Skip to content

KG Berlin: Auch gegen juristische Person kann unmittelbar DSGVO-Bußgeld verhängt werden - Deutsche Wohnen

KG Berlin
Beschluss vom 22.01.2024
3 Ws 250/21, 161 AR 84/21, 3 Ws 250/21 - 161 AR 84/21


Das KG Berlin hat entschieden, dass auch unittelbar gegen juristische Person ein DSGVO-Bußgeld verhängt werden kann.

Aus den Entscheidungsgründen:
Mit Bußgeldbescheid vom 30. Oktober 2019 hat die Berliner Beauftragte für den Datenschutz (im Folgenden: BlnBDI) gegen das betroffene Unternehmen (im Folgenden: Betroffene) Geldbußen festgesetzt. Mit dem Bußgeldbescheid ist der Betroffenen vorgeworfen worden, es zwischen dem 25. Mai 2018 und dem 5. März 2019 vorsätzlich unterlassen zu haben, die notwendigen Maßnahmen zur Ermöglichung der regelmäßigen Löschung nicht mehr benötigter oder in sonstiger Weise zu Unrecht gespeicherter Daten von Mietern zu treffen. Weiter hat der Bußgeldbescheid den Vorwurf enthalten, personenbezogene Daten von mindestens 15 näher bezeichneten Mietern fortgesetzt gespeichert zu haben, obwohl bekannt gewesen sei, dass dies nicht oder nicht mehr erforderlich war. Wegen des vorsätzlichen Verstoßes gegen Art. 25 Abs. 1, Art. 5 Abs. 1 a), c) und e) DS-GVO hat die Geldbuße 14.385.000 Euro betragen. Wegen Verstößen gegen Art. 6 Abs. 1 DS-GVO sind 15 weitere Geldbußen mit Beträge zwischen 3.000 und 17.000 Euro festgesetzt worden.

Auf den Einspruch der Betroffenen hat das Landgericht Berlin das Verfahren nach § 46 Abs. 1 OWiG i. V. m. § 206a StPO durch den angefochtenen Beschluss eingestellt. Das Landgericht hat die Auffassung vertreten, der Bußgeldbescheid habe unter so gravierenden Mängeln gelitten, dass er nicht Grundlage des Verfahrens sein könne. Namentlich ist das Landgericht der Auffassung gewesen, eine juristische Person könne nicht Betroffene eines Bußgeldverfahrens sein, auch nicht in einem solchen nach Art. 83 DS-GVO. Da einer juristischen Person lediglich ein Handeln ihrer Organmitglieder oder Repräsentanten zugerechnet werden könne, könne diese in einem Bußgeldverfahren nur als Nebenbeteiligte fungieren. Die Verhängung einer Geldbuße gegen eine juristische Person sei in § 30 OWiG abschließend geregelt, der über § 41 Abs. 1 BDSG auch für Verstöße nach Art. 83 Abs. 4 bis 6 DS-GVO Anwendung finde. Die in § 83 DS-GVO kodifizierte unmittelbare Unternehmenshaftung verstoße gegen das im deutschen Recht verankerte Schuldprinzip und könne daher nicht angewendet werden.

Hiergegen hat die Staatsanwaltschaft Berlin sofortige Beschwerde eingelegt. Der Senat hat das Verfahren durch Beschluss vom 6. Dezember 2021 ausgesetzt und nach Art. 267 Abs. 3 AEUV eine Vorabentscheidung des Gerichtshofs der Europäischen Union u.a. zu der Frage eingeholt, ob Art. 83 Abs. 4-6 DS-GVO dahin auszulegen sei, „dass es den Art. 101 und 102 AEUV zugeordneten funktionalen Unternehmensbegriff und das Funktionsträgerprinzip in das innerstaatliche Recht mit der Folge inkorporiert, dass unter Erweiterung des § 30 OWiG zugrundeliegenden Rechtsträgerprinzips ein Bußgeldverfahren unmittelbar gegen ein Unternehmen geführt werden kann und die Bebußung nicht der Feststellung einer durch eine natürliche und identifizierte Person, gegebenenfalls volldeliktisch, begangenen Ordnungswidrigkeit bedarf“. Der EuGH hat durch Urteil vom 5. Dezember 2023 (C-807/21 – [juris]) wie folgt entschieden: „Art. 58 Abs. 2 Buchst. i und Art. 83 Abs. 1 bis 6 der Verordnung (EU) 2016/679 des Europäischen Parlaments und des Rates vom 27. April 2016 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten, zum freien Datenverkehr und zur Aufhebung der Richtlinie 95/46/EG (Datenschutz-Grundverordnung) sind dahin auszulegen, dass sie einer nationalen Regelung entgegenstehen, wonach eine Geldbuße wegen eines in Art. 83 Abs. 4 bis 6 DSG-VO genannten Verstoßes gegen eine juristische Person in ihrer Eigenschaft als Verantwortliche nur dann verhängt werden kann, wenn dieser Verstoß zuvor einer identifizierten natürlichen Person zugerechnet wurde“. In einem weiteren Ausspruch desselben Urteils heißt es, dass „eine Geldbuße nur dann verhängt werden darf, wenn nachgewiesen ist, dass der Verantwortliche, der eine juristische Person und zugleich ein Unternehmen ist, einen in Art. 83 Abs. 4 bis 6 DSGVO genannten Verstoß vorsätzlich oder fahrlässig begangen hat“.

Mit Beschluss vom Folgetag hat der Senat angeordnet, dass das Verfahren fortgesetzt wird.

Die sofortige Beschwerde der Staatsanwaltschaft hat Erfolg. Nach Maßgabe des in dieser Sache ergangenen Urteils des Europäischen Gerichtshofs ist die Betroffene unbeschadet ihrer Eigenschaft als juristische Person taugliche Adressatin eines Bußgeldbescheids (1.). Das durch das Landgericht angenommene Verfahrenshindernis eines unwirksamen Bußgeldbescheids besteht nicht (2.).

1. Dass die Betroffene als juristische Person taugliche Adressatin eines Bußgeldbescheids sein kann und als solche zudem unmittelbar und nicht nur als Verfahrens- oder Nebenbeteiligte bebußt werden kann, ergibt sich aus dem in diesem Verfahren ergangenen Urteil des EuGH (Urteil vom 5. Dezember 2023 – C-807/21 – [juris]). Der Gerichtshof führt aus, es sei möglich, „die in Art. 83 DSG-VO für solche Verstöße vorgesehenen Geldbußen unmittelbar gegen juristische Personen zu verhängen, wenn diese als für die betreffende Verarbeitung Verantwortliche eingestuft werden können“ (Rn. 44). Dies folgt, so der EuGH weiter, daraus, dass Unternehmen „nicht nur für Verstöße haften, die von ihren Vertretern, Leitern oder Geschäftsführern begangen wurden, sondern auch für Verstöße, die von jeder anderen Person begangen wurden, die im Rahmen der unternehmerischen Tätigkeit und im Namen dieser juristischen Personen handelt“ (Rn. 44). Die hierdurch – und zwar unabhängig von einem individualisierbaren Organisationsdefizit oder einer Aufsichtspflichtverletzung – möglich gewordene unmittelbare Bebußung von juristischen Personen wird auch durch die Verteidigung, soweit aus ihrem Schriftsatz vom 15. Januar 2024 ersichtlich, nicht mehr in Frage gestellt.

2. Der Bußgeldbescheid der BlnBDI erfüllt die Wirksamkeitsvoraussetzungen des § 66 Abs. 1 OWiG und stellt eine ausreichende Verfahrensgrundlage dar. Ein Verfahrenshindernis besteht insoweit nicht.

a) Nach § 66 OWiG muss der Bußgeldbescheid „die Bezeichnung der Tat, die dem Betroffenen zur Last gelegt wird, Zeit und Ort ihrer Begehung, die gesetzlichen Merkmale der Ordnungswidrigkeit und die angewendeten Bußgeldvorschriften“ enthalten. Der Bußgeldbescheid muss den Tatvorwurf nach gefestigtem Verständnis formal und sachlich umgrenzen (Umgrenzungsfunktion) und den Betroffenen ausreichend über den Tatvorwurf unterrichten (Informationsfunktion) (vgl. BGHSt 23, 336; Senat Verkehrsrecht aktuell 2019, 123 [Volltext bei juris]; OLG Celle ZfSch 2015, 649).

b) Hier ist rechtstechnisch zusätzlich zu beachten, dass die in § 66 OWiG niedergelegten verfahrensbezogenen Anforderungen an die Gestaltung des Bußgeldbescheids den durch den EuGH formulierten Grundsätzen des materiellen Rechts folgen. Die vom EuGH entwickelten sachlich-rechtlichen Grundzüge der Verbandsgeldbuße überformen, prägen und gestalten das diesbezügliche nationale Verfahrensrecht. Formuliert der EuGH etwa, die Bebußung erfordere nicht, dass ein „Verstoß von einer identifizierten natürlichen Person begangen wurde“ (Rn. 46), so folgt daraus zwingend, dass sich die Bezeichnung einer solchen natürlichen Person auch nicht aus dem nationalen Verfahrensrecht, hier § 66 OWiG, ergeben muss.

Der Auffassung der Verteidigung, die Wirksamkeit des Bußgeldbescheids als Verfahrensvoraussetzung bemesse sich nach § 66 OWiG, trifft damit allgemein zu, denn eine Suspendierung der gesamten Vorschrift steht auch angesichts des nun anzuwendenden europarechtskonformen Verantwortungs- und Haftungsregimes nicht in Rede. Vielmehr sieht Art. 83 Abs. 8 DSG-VO vor, dass die „Ausübung der eigenen Befugnisse durch eine Aufsichtsbehörde“ unionsrechtskompatiblen Verfahrensgarantien „einschließlich wirksamer gerichtlicher Rechtsbehelfe und ordnungsgemäßer Verfahren“ unterliegt. Daher verweist § 41 BDSG auf Verfahrensvorschriften des OWiG und der StPO, und auch § 66 OWiG ist als grundlegendes nationales Verfahrensrecht anwendbar. Seine Auslegung allerdings richtet sich hier nach den sachlich-rechtlichen Vorgaben des übergeordneten Europarechts in der durch den EuGH nun gegebenen Ausprägung.

c) Unter Zugrundelegung der Maßgaben aus der Vorabentscheidung des EuGH und ihrer Weiterungen auf das nationale Verfahrensrecht erfüllt der Bußgeldbescheid der BlnBDI die Voraussetzungen des § 66 OWiG. Ohne Weiteres grenzt der Bußgeldbescheid den Gegenstand des Verfahrens in persönlicher, sachlicher und rechtlicher Hinsicht ab, und die Betroffene kann mühelos erkennen, welcher konkrete Vorwurf gegen sie erhoben wird. Namentlich die durch § 66 Abs. 1 Nr. 3 OWiG erforderten Essentialia, nämlich die „Bezeichnung der Tat, die dem Betroffenen zur Last gelegt wird“ sowie „Zeit und Ort ihrer Begehung“, sind bei der gebotenen funktional-normativen Betrachtung eingehalten.

Der Bußgeldbescheid wirft der Betroffenen vor, es zwischen dem 25. Mai 2018 und dem 5. März 2019 vorsätzlich unterlassen zu haben, die notwendigen Maßnahmen zur Ermöglichung der regelmäßigen Löschung nicht mehr benötigter oder in sonstiger Weise zu Unrecht gespeicherter Daten von Mietern zu treffen. Weiter wird ihr vorgeworfen, personenbezogene Daten von mindestens 15 näher bezeichneten Mietern fortgesetzt gespeichert zu haben, obgleich bekannt gewesen sei, dass dies nicht oder nicht mehr erforderlich war.

Diese – hier nur kursorisch zusammengefassten – Vorwürfe sind im Bußgeldbescheid ausgesprochen konkret und ausführlich dargestellt. Der Bußgeldbescheid bezeichnet die insgesamt 16 Tathandlungen auf mehr als 17 Seiten in einer ausdifferenzierten und nachgerade ziselierten Weise. Die Ausführungen vermitteln der Betroffenen präzise, was ihr vorgeworfen wird, und sie ermöglichen es ihr, sich hiergegen zu verteidigen. Dabei ist auch zu beachten, dass es sich bei den vorgeworfenen Handlungen (oder Unterlassungen) ersichtlich um keine Individualexzesse in einem Dunkelbereich des Unternehmens handelt. Gegenstand des Bußgeldverfahrens bildet die Speicherung bzw. Archivierung (oder Nichtlöschung) von Kundendaten. Es geht um einfach gelagerte und verständliche Sachverhalte und im Letzten um gewöhnliche Vorgänge in einem operativen Unternehmensbereich.

d) Nicht folgen kann der Senat der Überlegung der Betroffenen, der Bußgeldbescheid müsse konkretisieren, „welches Organ durch welche Handlung die Voraussetzungen des § 30 OWiG erfüllt hat“. Abgesehen davon, dass der Bußgeldbescheid die Rechtsverstöße auch in ihrer Entstehung („Handlung“) durchaus nachvollziehbar darstellt und umreißt, deduziert sich ein solches Erfordernis aus der überkommenen Vorstellung, eine Verbandshaftung erfordere das Verschulden eines Repräsentanten (§ 30 OWiG) oder eine Aufsichtspflichtverletzung (§ 130 OWiG). Sie lässt die europarechtlichen Einflüsse auf das Verbandsanktionenrecht außen vor und missachtet die Rechtsprechung des EuGH im hiesigen Vorabentscheidungsverfahren. Wenn der EuGH ausdrücklich formuliert, die Bebußung erfordere nicht, dass ein „Verstoß von einer identifizierten natürlichen Person begangen wurde“ (Rn. 46), so stellt er klar, dass juristische Personen dafür verantwortlich sind, dass Daten im Rahmen ihrer unternehmerischen Tätigkeit rechtmäßig verarbeitet werden (Rn. 44). Sanktioniert wird hiernach nicht (nur) eine fehlerhafte Organisation, sondern gerade die Pflichtverletzung des Verbands bzw. im Verband, als „genuine Verbandstat“ (vgl. als Kritik an der überkommenen nationalen Rechtslage: HK-OWiG/Schmitt-Leonardy, 2. Aufl., § 30 Rn. 13). Nach der Vorabentscheidung des EuGH ist auch eine juristische Person schuldfähig, so dass es zu einem Gleichlauf von Verantwortlichkeit und Haftbarkeit kommt (vgl. Grages/Strassemeyer, CR 2024, 10). Damit fallen alle Personen, die im Rahmen der unternehmerischen Tätigkeit handeln, in den abstrakten Verantwortungskreis der juristischen Person, und selbst eine normentsprechende Organisation führt – jedenfalls in aller Regel – nicht zur Exkulpation. Dies entspricht dem Effektivitätsgrundsatz des europäischen Rechts.

Dass der Verband (materiell-rechtlich) allein datenschutzrechtlich Verantwortlicher ist (vgl. Wünschelbaum, DSB 2024, 15), wirkt sich damit unmittelbar auf die verfahrensrechtlich gebotene Darstellungsdichte im Bußgeldbescheid aus. Insbesondere muss dieser gerade nicht bezeichnen, welchem Repräsentanten oder welchem „Organ“ welche konkrete Handlung oder welches konkrete Unterlassen zur Last fällt. Im Übrigen bleibt es aber auch insoweit dabei, dass der hier zu beurteilende Bußgeldbescheid die Tathandlungen bemerkenswert und – gemessen an den vom EuGH formulierten materiell-rechtlichen Haftungsvoraussetzungen ersichtlich – überobligatorisch konkret darstellt.

e) Auch kann sich der Senat der noch weitergehenden Überlegung der Verteidigung nicht anschließen, es sei sogar „unverzichtbar, dass ein Bußgeldbescheid die verfahrensmaßgeblichen Handlungen der natürlichen Person beschreibt“, um einen Vorwurf gegen den Verband „erkennen, abgrenzen, bewerten und sich gegen ihn verteidigen zu können“. Auch diese Auffassung verstößt eklatant gegen das im hiesigen Verfahren ergangene Urteil des EuGH. Das durch die Verteidigung erkannte Erfordernis geht darüber hinweg, dass eine Sanktionierung gerade nicht erfordert, dass ein „Verstoß von einer identifizierten natürlichen Person begangen wurde“ (Rn. 46). Dieses klare EuGH-Diktum ist mit der Forderung der Verteidigung, der Bußgeldbescheid müsse die „Handlung der natürlichen Person beschreiben“, ersichtlich unvereinbar. Allerdings gilt auch insoweit: Der Bußgeldbescheid beschreibt die vorgeworfenen Handlungen – zum großen Teil in der Form des Unterlassens der Löschung, teilweise als unterlassene Kennzeichnung von Daten – nachvollziehbar und deutlich. Der Betroffenen ist es möglich und unbenommen, im Bußgeldverfahren darzustellen, dass die Daten nicht gespeichert oder rechtmäßig gespeichert und ggf. rechtzeitig gelöscht wurden. Jedenfalls unter Zugrundelegung der vom EuGH umrissenen Grundzüge einer umfassenden Unternehmensverantwortung ist nicht ersichtlich, dass eine noch ausführlichere und noch „konkretere“ Darstellung der Tatvorwürfe im Bußgeldbescheid die Verteidigungsmöglichkeiten der Betroffenen substantiell erweitern könnte. Durch das EuGH-Judikat verringerte Exkulpationsmöglichkeiten sind nicht Folge eines unkonkret bleibenden Bußgeldbescheids, sondern einer dem Effektivitätsgrundsatz geschuldeten europarechtskonform erweiterten Verbandsverantwortung.

f) Folgerichtig ist der Verteidigung schließlich auch darin zu widersprechen, die Bezeichnung der dem Organ vorwerfbaren Tat sei unerlässliche Voraussetzung des Bußgeldbescheids. Dieses ehedem bestehende Erfordernis, das dem limitierten Haftungsregime des nationalen Rechts folgte, ist durch die im hiesigen Verfahren ergangene Vorabentscheidung des EuGH zu einer umfassenden Verbandsverantwortung nach kartellrechtlichem Vorbild obsolet. In dieser heißt es, „dass die Anwendung von Art. 83 DSG-VO keine Handlung und nicht einmal eine Kenntnis seitens des Leitungsorgans“ voraussetzt (Rn. 77).

3. Da kein Verfahrenshindernis besteht, war der angefochtene Beschluss aufzuheben, und die Sache ist an das Landgericht zurückzuverweisen. Funktional zuständig ist nicht die große Strafkammer (Wirtschaftskammer), sondern die Kammer für Bußgeldsachen (§ 47 Abs. 7 OWiG). Der Senat kann nachvollziehen, dass die Kammer entgegen einer analogen Anwendung des § 68 Abs. 1 Satz 2 OWiG nicht durch Einzelrichter entschieden hat, sondern – wohl entsprechend §§ 46 Abs. 1 OWiG, 76 Abs. 1 GVG – zuletzt eine Besetzung gewählt hat, die der einer großen Strafkammer entspricht (vgl. zur funktionalen Zuständigkeit und zur Besetzungsfrage Brodowski/Nowak in BeckOK Datenschutzrecht, 46. Edition, § 41 BDSG Rn. 16). Hierfür spricht, dass sich die sachliche Zuständigkeit des Landgerichts (§ 41 Abs. 1 Satz 3 BDSG) aus dem Streben nach einer verbesserten Kontrolle ableiten dürfte, die sich jedenfalls im Leitbild aus der Beteiligung mehrerer (Berufs-) Richter ergibt.

4. Eine Kostenentscheidung ist in Bezug auf das Rechtsmittel nicht veranlasst (ex arg. BGH WuW 2020, 615). Über die Kosten des Vorabentscheidungsverfahrens hat an sich das vorlegende Gericht zu entscheiden (Art. 102 EuGHVerfO). Das Vorabentscheidungsverfahren erweist sich aber lediglich als Zwischenverfahren des gleichfalls unselbständigen Beschwerdeverfahrens, durch dessen Entscheidung das Bußgeldverfahren nicht abgeschlossen wird. Da das Bußgeldverfahren beim Landgericht Berlin fortgesetzt und durch dieses entschieden wird, ist es angemessen, dass die Kammer für Bußgeldsachen in der abschließenden Kostengrundentscheidung über die Kosten des Vorabentscheidungsverfahrens mitentscheidet (vgl. bei ähnlicher Konstellation BGH WM 1996, 1889 unter Bezug auf EuGH GRUR Int. 1996, 147).


Den Volltext der Entscheidung finden Sie hier:


EuGH: Betroffener muss für Schadensersatzanspruch aus Art. 82 DSGVO konkreten materiellen oder immateriellen Schaden nachweisen - Kontrollverlust reicht nicht

EuGH
Urteil vom 25.01.2024
C-687/21
[...] gegen MediaMarktSaturn Hagen-Iserlohn GmbH, vormals Saturn Electro-Handelsgesellschaft mbH Hagen,


Der EuGH hat entschieden, dass ein Betroffener für einen Schadensersatzanspruch aus Art. 82 DSGVO nachweisen muss, dass ein DSGVO-Verstoß einen konkreten materiellen oder immateriellen Schaden verursacht hat. Der bloße Kontrollverlust über personenbezogene Daten reicht nicht. Zudem führt der EuGH aus, dass der Anspruch aus Art. 82 DSGVO kein "Strafschadensersatz" ist.

Tenor der Entscheidung:
1. Die Art. 5, 24, 32 und 82 der Verordnung (EU) 2016/679 des Europäischen Parlaments und des Rates vom 27. April 2016 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten, zum freien Datenverkehr und zur Aufhebung der Richtlinie 95/46/EG (Datenschutz-Grundverordnung) sind zusammen betrachtet dahin auszulegen, dass im Rahmen einer auf Art. 82 gestützten Schadensersatzklage der Umstand, dass Mitarbeiter des für die Verarbeitung Verantwortlichen irrtümlich ein Dokument mit personenbezogenen Daten an einen unbefugten Dritten weitergegeben haben, für sich genommen nicht ausreicht, um davon auszugehen, dass die technischen und organisatorischen Maßnahmen, die der für die betreffende Verarbeitung Verantwortliche getroffen hat, nicht „geeignet“ im Sinne der Art. 24 und 32 waren.

2. Art. 82 Abs. 1 der Verordnung 2016/679 ist dahin auszulegen, dass der in dieser Bestimmung vorgesehene Schadensersatzanspruch, insbesondere im Fall eines immateriellen Schadens, eine Ausgleichsfunktion hat, da eine auf sie gestützte Entschädigung in Geld es ermöglichen soll, den konkret aufgrund des Verstoßes gegen die Verordnung 2016/679 erlittenen Schaden vollständig auszugleichen, und keine Straffunktion erfüllt.

3. Art. 82 der Verordnung 2016/679 ist dahin auszulegen, dass er nicht verlangt, dass die Schwere des von dem für die Verarbeitung Verantwortlichen begangenen Verstoßes für die Zwecke des Ersatzes eines Schadens auf der Grundlage dieser Bestimmung berücksichtigt wird.

4. Art. 82 Abs. 1 der Verordnung 2016/679 ist dahin auszulegen, dass die Person, die aufgrund dieser Bestimmung Schadensersatz verlangt, nicht nur den Verstoß gegen Bestimmungen der Verordnung 2016/679 nachweisen muss, sondern auch, dass ihr dadurch ein materieller oder immaterieller Schaden entstanden ist.

5. Art. 82 Abs. 1 der Verordnung 2016/679 ist dahin auszulegen, dass in einem Fall, in dem ein Dokument, das personenbezogene Daten enthält, an einen unbefugten Dritten weitergegeben wurde, der diese Daten erwiesenermaßen nicht zur Kenntnis genommen hat, nicht schon deshalb ein „immaterieller Schaden“ im Sinne dieser Bestimmung vorliegt, weil die betroffene Person befürchtet, dass im Anschluss an die Weitergabe, die es ermöglichte, vor der Rückgabe des Dokuments eine Kopie von ihm anzufertigen, in der Zukunft eine Weiterverbreitung oder gar ein Missbrauch ihrer Daten stattfindet.

Den Volltext der Entscheidung finden Sie hier:


EuGH-Generalanwalt: Verbandsklagebefugnis für Verbraucherschutzverbände bei DSGVO-Verstoß - Verletzung der Informationspflicht aus Art. 12 Abs. 1 Satz 1 und Art. 13 Abs. 1 Buchst. c, e DSGVO

EuGH-Generalanwalt
Schlussanträge vom 25.01.2024
C‑757/22
Meta Platforms Ireland Limited
gegen
Bundesverband der Verbraucherzentralen und Verbraucherverbände – Verbraucherzentrale Bundesverband e. V.


Der EuGH-Generalanwalt kommt in seinen Schlussanträgen zu dem Ergebnis, dass die Verbandsklagebefugnis für Verbraucherschutzverbände bei DSGVO-Verstößen u.a. dann anzunehmen ist, wenn es um die Verletzung der Informationspflicht aus Art. 12 Abs. 1 Satz 1 DSGVO und Art. 13 Abs. 1 Buchst. c und e DSGVO geht.

Ergebnis des EuGH-Generalanwalts:
Art. 80 Abs. 2 der Verordnung (EU) 2016/679 des Europäischen Parlaments und des Rates vom 27. April 2016 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten, zum freien Datenverkehr und zur Aufhebung der Richtlinie 95/46/EG (Datenschutz-Grundverordnung) ist dahin auszulegen, dass

die Bedingung, wonach eine ermächtigte Einrichtung, um eine Verbandsklage nach dieser Bestimmung erheben zu können, geltend machen muss, dass ihres Erachtens die Rechte einer betroffenen Person aus der DSGVO infolge einer Verarbeitung verletzt worden sind, voraussetzt, dass diese Einrichtung eine Verarbeitung personenbezogener Daten sowie einen Zusammenhang zwischen der Rechtsverletzung und der Verarbeitung behauptet. Die Bedingung ist erfüllt, wenn die Klage im Zusammenhang mit einer Verarbeitung personenbezogener Daten darauf gestützt wird, dass der Verantwortliche die Informationspflicht gemäß Art. 12 Abs. 1 Satz 1 in Verbindung mit Art. 13 Abs. 1 Buchst. c und e DSGVO verletzt hat, da eine solche Verletzung die Verarbeitung rechtswidrig machen kann.

Die vollständigen Schlussanträge finden Sie hier:


OLG Hamm: Kontrollverlust über personenbezogene Daten bei unrechtmäßiger Datenverarbeitung begründet allein keinen Anspruch auf immateriellen Schadensersatz aus Art. 82 DSGVO

OLG Hamm
Beschluss vom 21.12.2023
7 U 137/23

Das OLG Hamm hat seine Rechtsansicht bekräftigt, wonach ein Kontrollverlust über personenbezogene Daten bei unrechtmäßiger Datenverarbeitung allein keinen Anspruch auf immateriellen Schadensersatz aus Art. 82 DSGVO begründet.

Aus den Entscheidungsgründen:
1. Die Berufung hat offensichtlich keine Aussicht auf Erfolg (§ 522 Abs. 2 Satz 1 Nr. 1 ZPO).

Mit Blick auf den vorliegend fehlenden kausalen immateriellen Schaden folgen die Ausführungen im Hinweisbeschluss des Senats der Rechtsprechung des EuGH (Urt. v. 14.12.2023 – C-340/21, BeckRS 2023, 35786 Rn. 84, 85). Danach hat der Kläger als Person, die von einem Verstoß gegen die DSGVO betroffen ist, der für sie negative Folgen gehabt hat, nachzuweisen, dass diese Folgen einen immateriellen Schaden im Sinne von Art. 82 DSGVO darstellen. Dem folgend sieht der Senat somit den Kläger zutreffend in der Pflicht, den Indizienbeweis zum Eintritt eines kausalen immateriellen Schadens zu führen. Indem der Senat sich mit den vom Kläger dargelegten Indizien befasst und diese (hier als nicht den Eintritt eines kausalen immateriellen Schadens tragend) würdigt, setzt der Senat schlicht die weitere Vorgabe des EuGH um; denn danach ist das angerufene nationale Gericht, wenn sich eine Person auf die Befürchtung beruft, dass ihre personenbezogenen Daten in Zukunft aufgrund eines solchen Verstoßes missbräuchlich verwendet werden, gehalten zu prüfen, ob diese Befürchtung unter den gegebenen besonderen Umständen und im Hinblick auf die betroffene Person als begründet angesehen werden kann.

2. Die Sache hat auch keine grundsätzliche Bedeutung (§ 522 Abs. 2 Satz 1 Nr. 2 ZPO). Ebenso wenig ist eine Entscheidung des BGH zur Fortbildung des Rechts oder zur Sicherung einer einheitlichen Rechtsprechung erforderlich (§ 522 Abs. 2 Satz 1 Nr. 3 ZPO); denn die im vorliegenden Rechtsstreit entscheidungserheblichen Rechtsfragen sind durch die Rechtsprechung des EuGH und des BGH hinreichend geklärt und im Übrigen solche des Einzelfalls.

a) Mit Blick auf das Tatbestandsmerkmal „Eintritt eines kausalen immateriellen Schadens“ im Sinne des Art. 82 Abs. 1 DSGVO bietet der vorliegende Einzelfall keinen Anhaltspunkt für die Annahme einer weiteren klärungsbedürftigen und klärungsfähigen Rechtsfrage; vielmehr ist die streitgegenständliche Rechtsfrage zur fehlenden Qualität der negativen Folge eines bloßen Kontrollverlusts als immaterieller Schaden durch die aufgezeigten aktuellen Entscheidungen des EuGH geklärt. Die Vorlagefrage 4 aus dem Beschluss des BGH vom 26.09.2023 (VI ZR 97/22) betrifft eine andere Konstellation (vgl. hierzu i.E. Senat Beschl. v. 18.10.2023 – I-7 U 77/23, BeckRS 2023, 32741 Rn. 4).

b) Soweit das OLG Stuttgart (Urt. v. 22.11.2023 - 4 U 20/23, GRUR-RS 2023, 32883, Rn. 89 ff., 257 ff.) von der hiesigen Senatsrechtsprechung abweichend den dortigen und hiesigen Antrag zu 2. auf Feststellung der Ersatzpflicht der Beklagten für künftige materielle und immaterielle Schäden als zulässig und begründet ansieht, folgt aus dieser (vermeintlichen) Divergenz obergerichtlicher Entscheidungen kein Bedarf einer Klärung durch den BGH.

Klärungsbedürftig und damit von grundsätzlicher Bedeutung ist nur eine entscheidungserhebliche Rechtsfrage und auch nur dann, wenn ihre Beantwortung zweifelhaft ist oder wenn zu ihr unterschiedliche Auffassungen vertreten werden und die Frage höchstrichterlich noch nicht geklärt ist (vgl. BGH Beschl. v. 6.3.2019 – IV ZR 108/18, Rn. 13).

An einer grundsätzlichen Bedeutung in diesem Sinne fehlt es zunächst deshalb, weil das OLG Stuttgart (Urt. v. 22.11.2023 - 4 U 20/23, GRUR-RS 2023, 32883, Rn. 81) und der Senat (vgl. hierzu i.E. Senat Urt. v. 15.8.2023 – 7 U 19/23, GRUR-RS 2023, 22505 Rn. 191 ff.) übereinstimmend in rechtlicher Hinsicht die höchstrichterliche Rechtsprechung zugrunde legen, wonach für Schäden, die aus der behaupteten Verletzung des allgemeinen Persönlichkeitsrechts, also eines sonstigen absolut geschützten Rechtsguts im Sinne von § 823 Abs. 1 BGB, resultieren, bereits die Möglichkeit materieller oder weiterer immaterieller Schäden für die Annahme eines Feststellungsinteresses ausreicht.

Eine Divergenz in den obergerichtlichen Entscheidungen besteht lediglich insoweit, als das OLG Stuttgart anders als der Senat im Zuge der Subsumtion nicht auf den zu entscheidenden Einzelfall abstellt, sondern apodiktisch ohne die Betrachtung der Umstände des konkreten Einzelfalls die abstrakte, theoretische Möglichkeit eines (materiellen und immateriellen) Schadenseintritts für ausreichend erachtet.

Dies rechtfertigt es jedoch nicht, eine grundsätzliche Bedeutung anzunehmen; denn durch die gefestigte Rechtsprechung des BGH (vgl. nur BGH Urt. v. 5.10.2021 – VI ZR 136/20, NJW-RR 2022, 23 Rn. 28 m.w.N.) ist bereits höchstrichterlich geklärt, dass die Frage der Möglichkeit eines Schadenseintritts gerade nicht abstrakt, sondern aus der Sicht des konkret Geschädigten in verständiger Würdigung zu beurteilen ist. Dem folgt der Senat in Achtung der zugrundeliegenden Intention, der Beklagtenpartei keinen Rechtsstreit über nur theoretische Fragen aufzuzwingen, in ständiger Rechtsprechung (vgl. Senat Urt. v. 15.8.2023 – 7 U 19/23, GRUR-RS 2023, 22505 Rn. 194 m.w.N.). Dies mag das OLG Stuttgart (Urt. v. 22.11.2023 - 4 U 20/23, GRUR-RS 2023, 32883, Rn. 93 f.) verkannt haben. Eine solche vereinzelte, nicht nachvollziehbar begründete Entscheidung zwingt den Senat jedenfalls nicht zur Zulassung der Revision und damit zugleich zur Abkehr vom Verfahren nach § 522 Abs. 2 ZPO (vgl. dazu BGH Beschl. v. 6.3.2019 - IV ZR 108/18, r+s 2019, 272 Rn. 14; BGH Beschl. v. 8.2.2010 - II ZR 156/09, NJW-RR 2010, 978 Rn. 3; BGH Beschl. v. 27.11.2013 - VII ZR 371/12, NJW 2014, 456 Rn. 9).

Mit Blick darauf ist auch eine Entscheidung des BGH zur Fortbildung des Rechts nicht geboten. Ebenso wenig liegt eine tragende Rechtssatzabweichung von der Rechtsprechung eines höher- oder gleichrangigen anderen Gerichts vor, die eine höchstrichterliche Entscheidung zur Sicherung einer einheitlichen Rechtsprechung erforderte (vgl. hierzu BGH Beschl. v. 6.3.2019 - IV ZR 108/18, r+s 2019, 272 Rn. 15).

c. Entsprechendes gilt insoweit, als das OLG Stuttgart (Urt. v. 22.11.2023 – 4 U 20/23, GRUR-RS 2023, 32883 Rn. 98 ff. und 272) anders als der Senat (Urt. v. 15.8.2023 – 7 U 19/23, GRUR-RS 2023, 22505 Rn. 203 ff.) die Unterlassungsanträge als zulässig erachtet und mit Blick darauf, dass in der Sache über die Unterlassungsansprüche letztlich doch die Implementierung bestimmter Sicherheitsmaßnahmen und damit im Ergebnis eine Leistung verlangt werde, erst die Begründetheit verneint; denn das OLG Stuttgart setzt sich in keiner Weise mit den Ausführungen des Senats zur Unzulässigkeit der beiden Unterlassungsanträge, die auf entsprechender Rechtsprechung des BGH fußen, auseinander. Infolgedessen lassen sich über den jeweiligen Einzelfall hinaus schon keine (weiteren) Unklarheiten in der höchstrichterlichen Rechtsprechung, die eine zusätzliche Klärung durch den BGH erforderten (vgl. hierzu BGH Beschl. v. 8.2.2010 - II ZR 156/09, NJW-RR 2010, 978 Rn. 3; BGH Beschl. v. 27.11.2013 - VII ZR 371/12, NJW 2014, 456 Rn. 9), feststellen.

d. Allein die Vielzahl bundesweit anhängiger gleichgerichteter Rechtsstreite vermag vor dem Hintergrund, dass die entscheidungserheblichen Rechtsfragen sämtlich durch EuGH und BGH geklärt sind, dem Einzelfall keine grundsätzliche Bedeutung zu verleihen.

3. Auch die Durchführung einer mündlichen Verhandlung (§ 522 Abs. 2 Satz 1 Nr. 4 ZPO) ist nicht geboten. Es wird insoweit auf die Ausführungen im Hinweisbeschluss vom 24.11.2023 (Bl. 149 ff. der zweitinstanzlichen elektronischen Gerichtsakte) Bezug genommen.

II. Die Kostenentscheidung beruht auf § 97 Abs. 1 ZPO; die Entscheidung über die vorläufige Vollstreckbarkeit folgt aus § 544 Abs. 2, § 708 Nr. 10, § 713 ZPO.

III. Aus dem Umstand, dass das OLG Stuttgart im Tenor seines Urteils (v. 22.11.2023 – 4 U 20/23, GRUR-RS 2023, 32883) ohne weitere Begründung in seinem Einzelfall den Streitwert für das Berufungsverfahren auf 7.000,00 EUR festgesetzt hat, ergibt sich für den Senat für den vorliegenden Einzelfall kein Grund von seiner Praxis zur Streitwertfestsetzung abzuweichen. Auch insoweit orientiert sich der Senat an ständiger Rechtsprechung des BGH (Senat Urt. v. 15.8.2023 – 7 U 19/23, GRUR-RS 2023, 22505 Rn. 254 ff.).


Den Volltext der Entscheidung finden Sie hier:

OLG Hamburg: 4.000 EURO immaterieller Schadensersatz aus Art. 82 DSGVO wegen zwei unberechtigter Schufameldungen

OLG Hamburg
Urteil vom 10.01.2024
13 U 70/23

Das OLG Hamburg hat entschieden, dass dem Betroffenen 4.000 EURO immaterieller Schadensersatz aus Art. 82 DSGVO wegen zwei unberechtigter Schufameldungen zustehen.

Aus den Entscheidungsgründen:
Der Kläger hat gegen die Beklagte Anspruch auf Ersatz immateriellen Schadens gem. Art. 82 Abs. 1, Abs. 2 S. 1. DSGVO in Höhe von insgesamt 4.000,00.

Die Beklagte hat als „Verantwortlicher" i.S.d. Art. Nr. DSGVO gegen ihre Pflichten aus Art. 5, 6 i.V.m. Art.4 Abs.2 DSGVO verstoßen, indem sie ihre Forderungen gegen den Kläger zweimal an die Schufa gemeldet hat, obwohl die Voraussetzungen hierfür nicht vorlagen. Zur Begründung wird auf die zutreffenden Ausführungen des Landgerichts Bezug genommen, welchen sich das Berufungsgericht vollen Umfangs anschließt.

Hierdurch ist dem Kläger auch ein ersatzfähiger immaterieller Schaden entstanden. Das Landgericht hat sorgfältig und überzeugend begründet, dass der Kläger durch die zweifache unberechtigte Meldung an die Schufa eine Beeinträchtigung seines sozialen Ansehens durch die Darstellung als unzuverlässiger Schuldner hinnehmen musste.

Der Kläger hat zudem belegt, dass sich aus der Auskunft der Schufa und der verschlechterten Einschätzung des Bonitätsrisikos konkrete negative Konsequenzen in Bezug auf die Gewährung eines Kredits durch die ING (Anlage K16) sowie die Sperrung seiner Kreditkarte bei der Hanseatic Bank (Anlage 17) ergeben habe.

Bei der Bemessung des danach zuzuerkennenden Schmerzensgeldes sind nach Auffassung des Berufungsgerichts jedoch nicht alle Umstände hinreichend gewichtet worden.

Der EuGH (Urteil vom 4.5.2023, C-300/21, Rz. 51) hat zur Bemessung des geschuldeten Schadenersatzes festgestellt, dass die DSGVO keine Bestimmung enthält, die sich den Regeln für die Bemessung des Schadenersatzes widmet, auf den eine betroffene Person nach Art. 82 DSGVO Anspruch hat, wenn ihr durch einen Verstoß gegen die Verordnung ein Schaden entstanden ist, und dass ... die Festlegung der Kriterien für die Ermittlung des Umfangs des geschuldeten Schadenersatzes in Ermanglung einschlägiger unionsrechtlicher Vorschriften Aufgabe des Rechts des einzelnen Mitgliedsstaates ist, wobei der Äquivalenz- und der Effektivitätsgrundsatz zu beachten sind.

Maßgeblich sind hiernach die im deutschen Recht für die Schmerzensgeldbemessung maßgeblichen Kriterien, womit die Höhe des Ersatzanspruchs auf Grund einer Würdigung der Gesamtumstände des Falls unter Berücksichtigung der dem Schmerzensgeld zukommenden Ausgleichs- und Genugtuungsfunktion festzusetzen.

Danach muss zum einen dem Umstand, dass auf Seiten der Beklagten jedenfalls bedingter Vorsatz angenommen werden muss, besondere Bedeutung beigemessen werden. Die Beklagte hat die erste Meldung vorgenommen, obwohl der Kläger die Forderung auf ihren eigenen Hinweis hin, dass eine Meldung an die Schufa (nur dann) erfolgen werde, sofern er die Forderung nicht bestritten habe, mit Schreiben vom 1.12.2019, Anlage 7, ausdrücklich bestritten hat. Auch die zweite Meldung erfolgte trotz weiteren Bestreitens durch den Kläger (Schreiben vom 29.12.2019, Anlage 11), seiner Aufforderung zur Löschung und einer zwischenzeitlich erfolgten Löschung durch die Schufa selbst (Anlage 14). Ein solches Verhalten kann nicht anders gedeutet werden, als dass die Beklagte wissentlich und jedenfalls unter billigender Inkaufnahme des als möglich erkannten pflichtwidrigen Erfolges ihre Pflichten aus der DSGVO verletzt hat. Hinzu kommt, dass die Beklagte sich trotz Aufforderung durch den Kläger und Darlegung der Rechtswidrigkeit der Meldung geweigert hat, den Negativeintrag zu widerrufen.

Unter Berücksichtigung der dargestellten Umstände und im Hinblick auf einen kürzlich vom Senat entschiedenen vergleichbaren Fall, wo es weder zu konkreten Auswirkungen durch die Schufa-Meldung gekommen war noch ein vorsätzliches Vorgehen der Beklagten festgestellt werden konnte (13 71/21) und vom Senat ein Schmerzensgeld in Höhe von 1.000,- je Meldung zuerkannt worden war, wird ein deutlich höherer Betrag in Höhe von 2.000,- je Meldung, mithin insgesamt 4.000,00 als angemessen, aber auch als ausreichend erachtet, so dass die weitergehende Berufung zurückzuweisen ist.



EuGH: Parlamentarischer Untersuchungsausschuss muss Vorgaben der DSGVO einhalten es sei denn die nationale Sicherheit ist betroffen

EuGH
Urteil vom 16.01.2024
C-33/22
Österreichische Datenschutzbehörde


Der EuGH hat entschieden, dass ein parlamentarischer Untersuchungsausschuss die Vorgaben der DSGVO einhalten muss, es sei denn, die Tätigkeit betrifft die nationale Sicherheit.

Die Pressemitteilung des EuGH:
Ein parlamentarischer Untersuchungsausschuss muss grundsätzlich die Datenschutz-Grundverordnung einhalten

Dies gilt nicht, wenn er eine die nationale Sicherheit betreffende Tätigkeit ausübt.

Ein vom Parlament eines Mitgliedstaats in Ausübung seines Kontrollrechts der Vollziehung eingesetzter Untersuchungsausschuss muss grundsätzlich die Datenschutz-Grundverordnung (DSGVO) einhalten. Gibt es in diesem Mitgliedstaat nur eine Aufsichtsbehörde, ist diese grundsätzlich auch für die Überwachung der Einhaltung der DSGVO durch den Untersuchungsausschuss zuständig. Übt der Untersuchungsausschuss jedoch eine Tätigkeit aus, die als solche der Wahrung der nationalen Sicherheit dient, unterliegt er nicht der DSGVO und folglich auch nicht der Kontrolle durch die Aufsichtsbehörde.

Der Nationalrat, die Abgeordnetenkammer des österreichischen Parlaments, setzte einen Untersuchungsausschuss ein, um eine mögliche politische Einflussnahme auf das Bundesamt für Verfassungsschutz und Terrorismusbekämpfung aufzuklären.

Dieser Untersuchungsausschuss befragte medienöffentlich eine Auskunftsperson. Das Protokoll dieser Befragung wurde auf der Webseite des österreichischen Parlaments veröffentlicht. Es enthielt den vollständigen Namen der Auskunftsperson, obwohl diese die Anonymisierung beantragt hatte.

Da die Nennung ihres Namens aus der Sicht der Auskunftsperson gegen die DSGVO verstieß, brachte sie bei der österreichischen Datenschutzbehörde eine Beschwerde ein. Sie legte dar, als verdeckter Ermittler bei der polizeilichen Einsatzgruppe für die Bekämpfung der Straßenkriminalität tätig zu sein. Die Datenschutzbehörde wies die Beschwerde mit der Begründung zurück, dass sie aufgrund des Gewaltenteilungsgrundsatzes als Teil der Exekutive nicht kontrollieren könne, ob der Untersuchungsausschuss, der der Legislative zuzurechnen sei, die DSGVO einhalte. Die Auskunftsperson bekämpfte diese Entscheidung sodann vor den österreichischen Gerichten.

Der österreichische Verwaltungsgerichtshof möchte vom Gerichtshof wissen, ob der Untersuchungsausschuss, der der Legislative zuzurechnen ist und Tätigkeiten betreffend die nationale Sicherheit untersucht, der DSGVO und damit der Kontrolle der Datenschutzbehörde unterliegt.

Der Gerichtshof stellt fest, dass auch ein vom Parlament eines Mitgliedstaats in Ausübung seines Kontrollrechts der Vollziehung eingesetzter Untersuchungsausschuss grundsätzlich die DSGVO einzuhalten hat.

Zwar ist die DSGVO nicht auf Verarbeitungen personenbezogener Daten anwendbar, die von Behörden im Rahmen einer Tätigkeit vorgenommen werden, die der Wahrung der nationalen Sicherheit dient. Vorbehaltlich einer Überprüfung durch den österreichischen Verwaltungsgerichtshof scheint die in Rede stehende Untersuchung jedoch nicht als solche der Wahrung der nationalen Sicherheit zu dienen. Der Untersuchungsausschuss sollte nämlich eine mögliche politische Einflussnahme auf eine der Exekutive zuzurechnende Behörde prüfen, die für Verfassungsschutz und Terrorismusbekämpfung zuständig war.

Allerdings können Beschränkungen der sich aus der DSGVO ergebenden Pflichten und Rechte im Wege von Gesetzgebungsmaßnahmen aufgrund der nationalen Sicherheit gerechtfertigt sein. Aus der Akte ergibt sich jedoch nicht, dass der in Rede stehende Untersuchungsausschuss dargetan hätte, dass die Offenlegung des Namens der Auskunftsperson für die Gewährleistung der nationalen Sicherheit erforderlich gewesen sei und auf einer Gesetzgebungsmaßnahme beruht habe. Es ist jedoch Sache des österreichischen Verwaltungsgerichtshofs, die in diesem Zusammenhang erforderlichen Überprüfungen vorzunehmen.

Da Österreich entschieden hat, nur eine Aufsichtsbehörde im Sinne der DSGVO einzurichten, nämlich die Datenschutzbehörde, ist diese grundsätzlich auch für die Überwachung der Einhaltung der DSGVO durch einen Untersuchungsausschuss wie den in Rede stehenden zuständig, und zwar ungeachtet des Gewaltenteilungsgrundsatzes. Dies ergibt sich aus der unmittelbaren Wirkung der DSGVO und dem Anwendungsvorrang des Unionsrechts, einschließlich gegenüber nationalem Verfassungsrecht.


Tenor der Entscheidung:

1. Art. 16 Abs. 2 Satz 1 AEUV und Art. 2 Abs. 2 Buchst. a der Verordnung (EU) 2016/679 des Europäischen Parlaments und des Rates vom 27. April 2016 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten, zum freien Datenverkehr und zur Aufhebung der Richtlinie 95/46/EG (Datenschutz-Grundverordnung) sind dahin auszulegen, dass nicht angenommen werden kann, dass eine Tätigkeit allein deshalb außerhalb des Anwendungsbereichs des Unionsrechts liegt und damit der Anwendung dieser Verordnung entzogen ist, weil sie von einem vom Parlament eines Mitgliedstaats in Ausübung seines Kontrollrechts der Vollziehung eingesetzten Untersuchungsausschuss ausgeübt wird.

2. Art. 2 Abs. 2 Buchst. a der Verordnung 2016/679 im Licht des 16. Erwägungsgrundes dieser Verordnung ist dahin auszulegen, dass die Tätigkeiten eines vom Parlament eines Mitgliedstaats in Ausübung seines Kontrollrechts der Vollziehung eingesetzten Untersuchungsausschusses, die der Untersuchung der Tätigkeiten einer polizeilichen Staatsschutzbehörde aufgrund des Verdachts politischer Einflussnahme auf diese Behörde dienen, als solche nicht als die nationale Sicherheit betreffende Tätigkeiten im Sinne dieser Bestimmung anzusehen sind, die außerhalb des Anwendungsbereichs des Unionsrechts liegen.

3. Art. 77 Abs. 1 und Art. 55 Abs. 1 der Verordnung 2016/679 sind dahin auszulegen, dass diese Bestimmungen, wenn ein Mitgliedstaat im Einklang mit Art. 51 Abs. 1 DSGVO bloß eine einzige Aufsichtsbehörde eingerichtet hat, sie aber nicht mit der Zuständigkeit für die Überwachung der Anwendung dieser Verordnung durch einen vom Parlament dieses Mitgliedstaats in Ausübung seines Kontrollrechts der Vollziehung eingesetzten Untersuchungsausschuss ausgestattet hat, dieser Behörde unmittelbar die Zuständigkeit übertragen, über Beschwerden betreffend von diesem Untersuchungsausschuss durchgeführte Verarbeitungen personenbezogener Daten zu befinden.

Den Volltext der Entscheidung finden Sie hier:


EuGH: Verpflichtungen der gemeinsam für eine Verarbeitung personenbezogener Daten Verantwortlichen sind nicht notwendigerweise vom Bestehen einer Vereinbarung abhängig

EuGH
Urteil vom 11.01.2024
C‑231/22


Der EuGH hat entschieden, dass die Verpflichtungen der gemeinsam für eine Verarbeitung personenbezogener Daten Verantwortlichen nicht notwendigerweise vom Bestehen einer Vereinbarung abhängig sind.

Tenor der Entscheidung:
1. Art. 4 Nr. 7 der Verordnung (EU) 2016/679 des Europäischen Parlaments und des Rates vom 27. April 2016 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten, zum freien Datenverkehr und zur Aufhebung der Richtlinie 95/46/EG (Datenschutz-Grundverordnung) ist dahin auszulegen, dass die für das Amtsblatt eines Mitgliedstaats zuständige Einrichtung oder Stelle, die nach den Rechtsvorschriften dieses Staates u. a. verpflichtet ist, Rechtsakte und amtliche Dokumente unverändert zu veröffentlichen, die von Dritten in eigener Verantwortung unter Einhaltung der geltenden Vorschriften erstellt wurden und anschließend bei einer Justizbehörde, die sie der Einrichtung oder Stelle zum Zweck der Veröffentlichung übermittelt, hinterlegt wurden, trotz fehlender Rechtspersönlichkeit als für die Verarbeitung der in diesen Rechtsakten und Dokumenten enthaltenen personenbezogenen Daten „Verantwortlicher“ eingestuft werden kann, wenn die Zwecke und Mittel der durch das Amtsblatt vorgenommenen Verarbeitung personenbezogener Daten durch das betreffende nationale Recht vorgegeben sind.

2. Art. 5 Abs. 2 in Verbindung mit Art. 4 Nr. 7 und Art. 26 Abs. 1 der Verordnung 2016/679 ist dahin auszulegen, dass die für das Amtsblatt eines Mitgliedstaats zuständige Einrichtung oder Stelle, die als „Verantwortlicher“ im Sinne von Art. 4 Nr. 7 DSGVO eingestuft wird, in Bezug auf die von ihr nach nationalem Recht vorzunehmenden Verarbeitungen personenbezogener Daten für die Einhaltung der in Art. 5 Abs. 1 DSGVO genannten Grundsätze allein verantwortlich ist, es sei denn, aus dem nationalen Recht ergibt sich in Bezug auf diese Verarbeitungen eine gemeinsame Verantwortlichkeit mit anderen Stellen.

Den Volltext der Entscheidung finden Sie hier:

ArbG Suhl: Auskunftserteilung nach Art. 15 DSGVO per unverschlüsselter E-Mail verstößt gegen Art. 5 DSGVO - Schadensersatz aus Art. 82 DSGVO nur bei Nachweis eins konkreten Schadens

ArbG Suhl
Urteil vom 20.12.2023
6 Ca 704/23


Das ArbG Suhl hat entschieden, dass eine Auskunftserteilung nach Art. 15 DSGVO per unverschlüsselter E-Mail gegen Art. 5 DSGVO verstößt. Ein Anspruch auf Schadensersatz aus Art. 82 DSGVO besteht aber nur bei Nachweis eins konkreten Schadens.

Aus den Entscheidungsgründen:
1. Dem Kläger steht kein Anspruch aus Art. 82 DSGVO gegen die Beklagte auf Ersatz des von ihm geltend gemachten immateriellen Schadens zu.

Nach Art. 82 Abs. 1 DSGVO hat jede Person, der wegen eines Verstoßes gegen diese Verordnung ein materieller oder immaterieller Schaden entstanden ist, Anspruch auf Schadensersatz gegen den Verantwortlichen oder gegen den Auftragsverarbeiter. Jeder an einer Verarbeitung beteiligte Verantwortliche haftet für den Schaden, der durch eine nicht dieser Verordnung entsprechende Verarbeitung verursacht wurde, Art. 82 Abs. 2 Satz 1 DSGVO. Der Verantwortliche oder der Auftragsverarbeiter wird von der Haftung gemäß Absatz 2 befreit, wenn er nachweist, dass er in keinerlei Hinsicht für den Umstand, durch den der Schaden eingetreten ist, verantwortlich ist, Art. 82 Abs. 3 DSGVO.

Die Voraussetzungen für einen Schadensersatzanspruch liegen nicht vor, da es jedenfalls an der Darlegung des Eintritts eines Schadens bei dem Kläger fehlt.

Ein Verstoß gegen Art. 5 DSGVO wegen des Versands der unverschlüsselten E-Mail liegt vor. Dies wurde auch vom Thüringer Landesbeauftragen für den Datenschutz und die Informationsfreiheit mit Bescheid vom 03.08.2023 bestätigt. Ob die Weiterleitung der Daten an den Betriebsrat und die monierte unvollständige Auskunftserteilung ebenfalls Verstöße gegen Regelungen der DSGVO darstellen, kann vorliegend dahinstehen. Denn der Kläger hat bereits keinen Schaden dargelegt.

Soweit der Kläger der Auffassung ist, bereits ein Verstoß gegen die DSGVO genüge für das Entstehen eines Schadensersatzanspruches, kann dem nicht gefolgt werden.

Es ist zwar zutreffend, dass die Frage, ob bereits der Datenschutzverstoß als solcher für das Entstehen eines Schadensersatzanspruchs ausreicht oder es darüber hinaus der Darlegung und des Nachweises eines konkreten (auch: immateriellen) Schadens bedarf, in Rechtsprechung und Literatur umstritten ist. Sowohl der österreichische Oberste Gerichtshof (Vorabentscheidungsersuchen vom 12.05.2021, ZD 2021, S. 631, wobei der Gerichtshof die Auffassung vertritt, es sei der Nachweis eines Schadens erforderlich) als auch das Bundesarbeitsgericht (Vorabentscheidungsersuchen vom 26.08.2021, 8 AZR 253/20-A, wobei das BAG den Nachweis eines Schadens nicht für notwendig hält) haben die hiermit zusammenhängenden Fragen dem Europäischen Gerichtshof zur Vorabentscheidung vorgelegt (OLG Frankfurt, Urteil vom 02.03.2022 – 13 U 206/20 -Rn. 68, 69, juris).

Auf das Vorabentscheidungsersuchen des österreichischen Obersten Gerichtshofes entschied jedoch nunmehr unter dem 04.05.2023 der EuGH, dass Art. 82 Abs.1 DSGVO so auszulegen ist, dass der bloße Verstoß gegen die Bestimmungen dieser Verordnung nicht ausreicht, um einen Schadensersatzanspruch zu begründen. Zur Begründung führt der EuGH in seinem Urteil vom 04.05.2023, C-300/21, wie folgt aus:

„Mit seiner ersten Frage möchte das vorlegende Gericht im Wesentlichen wissen, ob Art. 82 Abs. 1 DSGVO dahin auszulegen ist, dass der bloße Verstoß gegen die Bestimmungen dieser Verordnung ausreicht, um einen

Insoweit ist darauf hinzuweisen, dass nach ständiger Rechtsprechung die Begriffe einer Bestimmung des Unionsrechts, die für die Ermittlung ihres Sinnes und ihrer Tragweite nicht ausdrücklich auf das Recht der Mitgliedstaaten verweist, in der Regel in der gesamten Union eine autonome und einheitliche Auslegung erhalten müssen (Urteile vom 22. Juni 2021, Latvijas Republikas Saeima [Strafpunkte], C-439/19, EU:C:2021:504, Rn. 81, und vom 10. Februar 2022, ShareWood Switzerland, C-595/20, EU:C:2022:86, Rn. 21), die insbesondere unter Berücksichtigung des Wortlauts der betreffenden Bestimmung und des Zusammenhangs, in den sie sich einfügt, zu ermitteln ist (vgl. in diesem Sinne Urteile vom 15. April 2021, The North of England P & I Association, C-786/19, EU:C:2021:276, Rn. 48, sowie vom 10. Juni 2021, KRONE – Verlag, C-65/20, EU:C:2021:471, Rn. 25).

Die DSGVO verweist für den Sinn und die Tragweite der in ihrem Art. 82 enthaltenen Begriffe, insbesondere in Bezug auf die Begriffe „materieller oder immaterieller Schaden“ und „Schadenersatz“, nicht auf das Recht der Mitgliedstaaten. Daraus folgt, dass diese Begriffe für die Anwendung der DSGVO als autonome Begriffe des Unionsrechts anzusehen sind, die in allen Mitgliedstaaten einheitlich auszulegen sind.

Was als Erstes den Wortlaut von Art. 82 DSGVO betrifft, ist darauf hinzuweisen, dass nach Abs. 1 dieses Artikels „[j]ede Person, der wegen eines Verstoßes gegen diese Verordnung ein materieller oder immaterieller Schaden entstanden ist, … Anspruch auf Schadenersatz gegen den Verantwortlichen oder gegen den Auftragsverarbeiter [hat]“.

Zum einen geht aus dem Wortlaut dieser Bestimmung klar hervor, dass das Vorliegen eines „Schadens“ eine der Voraussetzungen für den in dieser Bestimmung vorgesehenen Schadenersatzanspruch darstellt, ebenso wie das Vorliegen eines Verstoßes gegen die DSGVO und eines Kausalzusammenhangs zwischen dem Schaden und dem Verstoß, wobei diese drei Voraussetzungen kumulativ sind.

Daher kann nicht davon ausgegangen werden, dass jeder „Verstoß“ gegen die Bestimmungen der DSGVO für sich genommen den Schadenersatzanspruch der betroffenen Person im Sinne von Art. 4 Nr. 1 dieser Verordnung eröffnet. Eine solche Auslegung liefe dem Wortlaut von Art. 82 Abs. 1 DSGVO zuwider.

Zum anderen ist hervorzuheben, dass die gesonderte Erwähnung eines „Schadens“ und eines „Verstoßes“ in Art. 82 Abs. 1 DSGVO überflüssig wäre, wenn der Unionsgesetzgeber davon ausgegangen wäre, dass ein Verstoß gegen die Bestimmungen der DSGVO für sich allein in jedem Fall ausreichend wäre, um einen Schadenersatzanspruch zu begründen.

Als Zweites wird die vorstehende Wortauslegung durch den Zusammenhang bestätigt, in den sich diese Bestimmung einfügt.

Art. 82 Abs. 2 DSGVO, der die Haftungsregelung, deren Grundsatz in Abs. 1 dieses Artikels festgelegt ist, präzisiert, übernimmt nämlich die drei Voraussetzungen für die Entstehung des Schadenersatzanspruchs, nämlich eine Verarbeitung personenbezogener Daten unter Verstoß gegen die Bestimmungen der DSGVO, ein der betroffenen Person entstandener Schaden und ein Kausalzusammenhang zwischen der rechtswidrigen Verarbeitung und diesem Schaden.

Diese Auslegung wird auch durch die Erläuterungen in den Erwägungsgründen 75, 85 und 146 der DSGVO bestätigt. Zum einen bezieht sich der 146. Erwägungsgrund der DSGVO, der speziell den in Art. 82 Abs. 1 dieser Verordnung vorgesehenen Schadenersatzanspruch betrifft, in seinem ersten Satz auf „Schäden, die einer Person aufgrund einer Verarbeitung entstehen, die mit dieser Verordnung nicht im Einklang steht“. Zum anderen heißt es in den Erwägungsgründen 75 und 85 der DSGVO, dass „[d]ie Risiken … aus einer Verarbeitung personenbezogener Daten hervorgehen [können], die zu einem … Schaden führen könnte“ bzw. dass eine „Verletzung des Schutzes personenbezogener Daten … einen … Schaden … nach sich ziehen [kann]“. Daraus ergibt sich erstens, dass der Eintritt eines Schadens im Rahmen einer solchen Verarbeitung nur potenziell ist, zweitens, dass ein Verstoß gegen die DSGVO nicht zwangsläufig zu einem Schaden führt, und drittens, dass ein Kausalzusammenhang zwischen dem fraglichen Verstoß und dem der betroffenen Person entstandenen Schaden bestehen muss, um einen Schadenersatzanspruch zu begründen.

Die Wortauslegung von Art. 82 Abs. 1 DSGVO wird auch durch einen Vergleich mit anderen Bestimmungen bestätigt, die ebenfalls in Kapitel VIII der DSGVO enthalten sind, das u. a. die verschiedenen Rechtsbehelfe regelt, mit denen die Rechte der betroffenen Person im Fall einer Verarbeitung ihrer personenbezogenen Daten, die gegen die Bestimmungen dieser Verordnung verstoßen soll, geschützt werden können.

Hierzu ist festzustellen, dass die in diesem Kapitel enthaltenen Art. 77 und 78 DSGVO im Fall eines behaupteten Verstoßes gegen diese Verordnung Rechtsbehelfe bei einer bzw. gegen eine Aufsichtsbehörde vorsehen, wobei sie – anders als Art. 82 DSGVO in Bezug auf Schadenersatzklagen – keinen Hinweis darauf enthalten, dass der betroffenen Person ein „Schaden“ entstanden sein müsste, um solche Rechtsbehelfe einlegen zu können. Dieser Unterschied in der Formulierung offenbart die Bedeutung des Kriteriums „Schaden“ und damit seine Eigenständigkeit gegenüber dem Kriterium „Verstoß“ für die Zwecke der auf die DSGVO gestützten Schadenersatzansprüche.

Auch haben die Art. 83 und 84 DSGVO, die die Verhängung von Geldbußen und anderen Sanktionen erlauben, im Wesentlichen einen Strafzweck und hängen nicht vom Vorliegen eines individuellen Schadens ab. Das Verhältnis zwischen den in Art. 82 DSGVO und den in den Art. 83 und 84 DSGVO enthaltenen Vorschriften zeigt, dass zwischen diesen beiden Kategorien von Bestimmungen ein Unterschied besteht, sie einander aber als Anreiz zur Einhaltung der DSGVO auch ergänzen, wobei das Recht jeder Person, den Ersatz eines Schadens zu verlangen, die Durchsetzungskraft der in dieser Verordnung vorgesehenen Schutzvorschriften erhöht und geeignet ist, von der Wiederholung rechtswidriger Verhaltensweisen abzuschrecken.

Schließlich ist darauf hinzuweisen, dass nach dem vierten Satz des 146. Erwägungsgrundes der DSGVO die Vorschriften der DSGVO unbeschadet von Schadenersatzforderungen aufgrund von Verstößen gegen andere Vorschriften des Unionsrechts oder des Rechts der Mitgliedstaaten gelten.

Nach alledem ist auf die erste Frage zu antworten, dass Art. 82 Abs. 1 DSGVO dahin auszulegen ist, dass der bloße Verstoß gegen die Bestimmungen dieser Verordnung nicht ausreicht, um einen Schadenersatzanspruch zu begründen.“

Mit diesen Ausführungen wird nunmehr die Auffassung der Kammer bestätigt, dass für einen Anspruch auf Schadensersatz nach Art. 82 DSGVO neben einem Verstoß auch ein Schaden sowie ein Kausalzusammenhang zwischen Verstoß und Schaden erforderlich ist.

Der Kläger hat einen etwaigen immateriellen Schaden darzulegen und ggf. nachzuweisen.

Das Erfordernis des Nachweises eines tatsächlich erlittenen Schadens ist auch der Sache nach erforderlich, um ein vom Verordnungsgeber nicht gewolltes Ausufern von Schadensersatzforderungen in allen Fällen eines - tatsächlich für den Betroffenen folgenlosen - Datenschutzverstoßes zu vermeiden (OLG Frankfurt, Urteil vom 02.03.2022 – 13 U 206/20 -Rn. 73, juris).

Das Vorliegen eines konkreten immateriellen Schadens hat der Kläger nicht ausreichend dargetan. Im vorliegenden Fall ist nicht ersichtlich, inwieweit der Kläger einen Kontrollverlust erlitten haben will. Es ist nicht ersichtlich, dass der Kläger daran gehindert wurde, die ihn betreffenden personenbezogenen Daten zu kontrollieren. Darüber hinaus stellt nach Auffassung der Kammer ein bloßer, abstrakter Kontrollverlust auch keinen konkreten immateriellen Schaden dar.

2. Ein Anspruch des Klägers gegen die Beklagte auf Zahlung eines angemessenen Schmerzensgeldes unter dem Gesichtspunkt der Verletzung seines allgemeinen Persönlichkeitsrechts §§ 823 Abs. 1, 253 BGB in Verbindung mit Art. 1 Abs. 1, Art. 2 Abs. 1 GG besteht ebenfalls nicht.

Soweit der Kläger eine Entschädigung begehrt und argumentiert, dass alle immateriellen Schäden ersatzfähig seien, welche i.d.R. aus der Verletzung des allgemeinen Persönlichkeitsrechts heraus resultieren, kommen die genannten Normen auch als Anspruchsgrundlage in Betracht.

Das allgemeine Persönlichkeitsrecht dient in erster Linie dem Schutz ideeller Interessen, insbesondere dem Schutz des Wert- und Achtungsanspruchs der Persönlichkeit. Dieser Schutz wird dadurch verwirklicht, dass bei einer schweren Persönlichkeitsrechtsverletzung - neben negatorischen Schutzansprüchen und Ansprüchen auf Ersatz des materiellen Schadens - auch Ansprüche in Betracht kommen, die auf den Ausgleich immaterieller Beeinträchtigungen durch Zahlung einer Geldentschädigung gerichtet sind. Bei schwerwiegenden Verletzungen des allgemeinen Persönlichkeitsrechtsrechts besteht daher nach ständiger, mittlerweile gewohnheitsrechtlich anerkannter höchstrichterlicher Rechtsprechung ein Anspruch auf Ausgleich der dadurch verursachten immateriellen Schäden, der unmittelbar aus dem Schutzauftrag der Art. 1 Abs. 1, 2 Abs. 1 GG abgeleitet wird (OLG Düsseldorf, Beschluss vom 16.02.2021 – 16 U 269/20 – Rn. 14 m.w.N., juris).

Ein derartiger Anspruch scheitert vorliegend bereits daran, dass keine schwerwiegende Verletzung des allgemeinen Persönlichkeitsrechts dargetan wurde.

II. Das Verfahren war weder auszusetzen, noch das Ruhen des Verfahrens anzuordnen.


1. Entgegen der Ansicht des Klägers war das Gericht nicht gehalten, das vorliegende Verfahren auszusetzen. Das Verfahren war entscheidungsreif. Eine Aussetzung nach § 148 ZPO kam daher nicht in Betracht. Im Übrigen sind Bescheide des Landesdatenschutzbeauftragen nicht vorgreiflich im Sinne dieser Norm. Zudem ist unklar, ob weitere beim Landesdatenschutzbeauftragten anhängige Beschwerden überhaupt in Zusammenhang mit den hier behaupteten Datenschutzverstößen stehen.

Vielmehr geht die Kammer davon aus, dass mit Bescheid vom 03.08.2023 abschließend über die behaupteten Verstöße (unverschlüsselte E-Mail, Weiterleitung an Betriebsrat und unvollständige Auskunft) entschieden wurde. Entgegen der Darstellung des Klägers mit Beschwerdeformular vom 23.12.2021 sei ein weiterer Verstoß gerügt worden, betrifft diese Beschwerde offensichtlich den bereits dargelegten Verstoß der Auskunft per unverschlüsselter E-Mail.

Unter dem 25.01.2023 (Anlage K 3, Bl. 14 der Akte) erhielt der Kläger vom TLfDI eine Mittelung zur Beschwerde über Datenschutzverletzungen im A. In dem Schreiben wurde dargelegt, dass die Übermittlung mittels unverschlüsselter E-Mail als Verstoß gegen Art. 5 DSGVO zu werten ist. Es wurde auf ein laufendes Anhörungsverfahren hingewiesen und mitgeteilt, dass der Kläger über den Ausgang des Verfahrens informiert wird. Nach dem Antrag des Klägers auf Ergänzungsprüfung vom 30.03.2023 (Anlage K 4, Bl. 16 f. der Akte) und seiner weiteren Beschwerde vom 19.06.2023 (Anlage K5, Bl. 18 f. der Akte) erging am 03.08.2023 ein Bescheid. Mit dem Inhalt dieses Bescheides (Anlage K 6 Bl. 30 f. der Akte) ist davon auszugehen, dass damit abschließend über die Beschwerden des Klägers entschieden wurde. Denn der Bescheid ist überschrieben mit „Ihre Beschwerde über Datenschutzverletzungen im A in Bezug auf ihr Auskunftsersuchen“. Es wird ausgeführt: „das o.g. Verwaltungsverfahren zu Ihrer Beschwerde vom 23. Dezember 2021 ist abgeschlossen.“ Im Absatz vor der Rechtsbehelfsbelehrung wird zudem ausgeführt: „Weitere Maßnahmen sind nicht erforderlich. Auch aus Ihrem Schreiben vom 19. Juni 2023 ergibt sich nichts Anderes, weil wegen der fehlerhaften Auskunftserteilung eine Verwarnung erteilt wurde und Ihnen die begehrten Informationen vorliegen.“


Den Volltext der Entscheidung finden Sie hier:


VG München: DSGVO-Verstoß durch Erhebung und Speicherung von Drohnenaufnahmen zu Durchführung der Beitrags- und Gebührenerhebung im Rahmen der Abwasserbeseitigung

VG München
Beschluss vom 22.11.2023
M 7 E 23.5047


Das VG München hat entschieden, dass die Erhebung und Speicherung von Drohnenaufnahmen zu Durchführung der Beitrags- und Gebührenerhebung im Rahmen der Abwasserbeseitigung nicht mit der DSGVO vereinbar ist.

Aus den Entscheidungsgründen:
3. Auch aus dem unionalen und nationalen Datenschutzrecht dürfte keine Ermächtigung zur Durchführung der streitgegenständlichen Maßnahmen folgen.

Der Anwendungsbereich der DSGVO ist eröffnet, da es sich bei den Informationen, die durch die streitgegenständlichen Maßnahmen erhoben werden sollen, um personenbezogene Informationen i. S. v. Art. 4 Nrn. 1 und 2 DSGVO handelt. Ein Personenbezug liegt nicht nur dann vor, wenn die Maßnahmen Personen möglicherweise (mit-)aufzeichnen, was hier durchaus im Bereich des Möglichen liegen könnte (vgl. OVG Saarl, U.v. 14.9.2017 ‒ 2 A 213/16 ‒ juris Rn. 23). Selbst wenn durch die streitgegenständlichen Maßnahmen tatsächlich keine Person mitaufgezeichnet würde, liegt der Personenbezug jedoch gleichwohl vor. Gemäß Art. 4 Nr. 1 DSGVO bezeichnen „personenbezogene Daten“ alle Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person beziehen; als identifizierbar wird eine natürliche Person angesehen, die direkt oder indirekt, insbesondere mittels Zuordnung zu einer Kennung wie einem Namen, zu einer Kennnummer, zu Standortdaten etc. identifiziert werden kann. Die Informationen erfüllen die jeweils eigenständig zu prüfenden Merkmale (vgl. Klar/Kühling in Kühling/Buchner, DSGVO-BDSG, 3. Aufl. 2020, DSGVO Art. 4 Rn. 11) des Personenbezugs und der Identifizierbarkeit der Person. Bei den bildlichen Aufzeichnungen und ihrer anschließenden Auswertung insbesondere durch Erstellen von Modellen handelt sich nicht um Sachdaten, sondern um Informationen, die sich auf eine natürliche Person beziehen. Wenn in der Information über eine Sache aufgrund individualisierender Identifikationsmerkmale, des Detaillierungsgrads oder der Einzigartigkeit der Sache ein Personenbezug angelegt ist, handelt es sich um ein personenbezogenes Datum (vgl. Klar/Kühling a.a.O. Rn. 13). Der Personenbezug ergibt sich bei den streitgegenständlichen Maßnahmen aus mehreren Erwägungen. Es handelt sich bei den bildlichen Aufzeichnungen von Grundstücken (und daraus erstellten Modellen) nicht lediglich um Sachdaten, sondern um personenbezogene Daten. Der Personenbezug ergibt sich aus der Georeferenziertheit der Daten und der nachträglichen Bearbeitung der Daten durch den Ingenieurdienstleister. Die bildlichen Aufzeichnungen („Rohdaten“) zeigen stets auch die exakten Positionsdaten der Drohne wie die Flughöhe im Augenblick des Bildes, die geographische Lagebestimmung, die Aufnahmerichtung und den Neigungswinkel an. Auch die nachträgliche Verknüpfung der bildlichen Aufzeichnung mit den Informationen wie Name, Anschrift und Flurstücknummer stellt den Personenbezug i. S. v. Art. 4 Nr. 1 DSGVO her (ausdrücklich für die Anschrift als individualisierendes Identifikationsmerkmal Klar/Kühling a.a.O. Rn. 13). Zudem weisen die beabsichtigten Aufnahmen einen hohen Detailgrad auf und es handelt sich bei den aufzuzeichnenden Informationen um Wohngrundstücke. Die Aufzeichnungen sollen u. a. Terrassen und Balkone erfassen. Durch (leicht) seitliche Aufnahmen werden bei dem beabsichtigten Vorgehen auch Fenster zu (Wohn-)Räumen erfasst. Auch wenn man zu Gunsten der Antragsgegnerin von einem Detailgrad von drei Zentimetern ausgeht, könnten konkrete Details der Wohnverhältnisse erfasst werden. Auf nicht-überdachten Flächen wie Terrassen könnten Gegenstände von einer Größe über drei Zentimeter erfasst werden. Unter überdachten Flächen ist die Aufzeichnung der Wohnverhältnisse nicht ausgeschlossen. Die (leicht) seitliche Perspektive würde auch das Erfassen der Wohnverhältnisse in der Nähe eines Fensters oder einer Glastür ermöglichen. Wie weit durch die seitliche Perspektive der Einblick in Fenster und Glastüren ermöglicht wird, hängt von der konkreten Flugroute, während der Aufzeichnungen angefertigt werden, sowie von der vorhandenen Bebauung, dem Abstand zwischen den Gebäuden und dem Baumbestand ab. Je größer der Abstand zwischen zwei Wohngebäuden und je geringer der Baumbestand wäre, desto umfassender wären die möglichen Aufzeichnungen der Wohnverhältnisse. Ob der Ingenieurdienstleister die Grundstücke einzelnen befliegt oder eine zusammenhängende Befliegung mehrerer benachbarter Grundstücke „am Stück“ bei durchgehender Aufzeichnung vornimmt, kann zumindest im Eilverfahren offenbleiben. Bei lebensnaher Betrachtung ergeben sich die Vorzüge der Drohnenbefliegung gegenüber anderen Möglichkeiten der Geschossflächenermittlung indes daraus, dass in einem oder wenigen einheitlichen Vorgängen eine Vielzahl von Grundstücken erfasst wird. Bei durchgehender Aufzeichnung während der Befliegung wäre eine besonders weitreichende Aufzeichnung der Wohnverhältnisse durch Fenster und Glastüren möglich. Der Antragsteller ist durch die verarbeiteten Informationen auch identifizierbar. Ausgehend von den durch den Ingenieurdienstleister erstellten Modellen und Plänen folgt die Identität des Antragstellers unmittelbar aus der Information selbst. Mit Blick auf die Rohdaten wie bspw. „Orthofotos“ ist der Antragsteller zumindest unter Zuhilfenahme weiterer Informationen identifizierbar.

Die Verarbeitung personenbezogener Daten dürfte auch nicht gemäß Art. 6 Abs. 1 Unterabs. 1 Buchst. e, Abs. 3 Satz 1 Buchst. b DSGVO i. V. m. Art. 4 Abs. 1 BayDSG rechtmäßig sein.

Richtet sich die Datenverarbeitung gemäß Art. 6 Abs. 1 Unterabs. 1 Buchst. e, Abs. 3 Satz 1 Buchst. b DSGVO nach dem Recht der Mitgliedstaaten, handelt es sich bei Art. 6 Abs. 1 Unterabs. 1 Buchst. e DSGVO nicht um die Rechtsgrundlage zur Datenverarbeitung, sondern um eine Vorschrift mit Richtliniencharakter. Die eigentliche Legitimationsgrundlage muss im (unionalen oder) nationalen Recht geregelt sein. Für öffentliche Stellen der Länder ist gemäß § 1 Abs. 1 Satz 1 BDSG der Anwendungsbereich des Bayerischen Landesdatenschutzgesetzes eröffnet, vgl. auch Art. 1 Abs. 1 Satz 1 BayDSG. Die von Art. 6 Abs. 3 Satz 1 Buchst. b DSGVO vorausgesetzte Rechtsgrundlage ist Art. 4 Abs. 1 BayDSG (vgl. Wilde/Ehmann/Niese/Knoblauch Datenschutz in Bayern, Stand: Juni 2018, BayDSG Art. 4 Rn. 3; Buchner/Petri in Kühling/Buchner, DSGVO-BDSG, 3. Aufl. 2020, DSGVO Art. 6 Rn. 73).

Die streitgegenständlichen Maßnahmen dürften nicht gemäß Art. 4 Abs. 1 BayDSG zur Erfüllung einer der Antragsgegnerin obliegenden Aufgabe erforderlich sein. Da es sich bei Art. 4 Abs. 1 BayDSG um eine Durchführungsvorschrift handelt, richtet sich die Bestimmung der Begriffe „Aufgabe“ und „Erforderlichkeit“ nach Art. 6 Abs. 1 Unterabs. 1 Buchst. e, Art. 23 Abs. 1 Buchst. a bis Buchst. e DSGVO (vgl. vgl. Wilde/Ehmann/Niese/Knoblauch Datenschutz in Bayern, Stand: Juni 2018, BayDSG Art. 4 Rn. 6). Die Durchführung der Beitrags- und Gebührenerhebung im Rahmen der Abwasserbeseitigung fällt unter den Auffangtatbestand von Art. 23 Abs. 1 Buchst. e DSGVO (vgl. Bäcker in Kühling/Buchner, DSGVO-BDSG, 3. Aufl. 2020, Art. 23 Rn. 22) als wichtiges Ziel des allgemeinen öffentlichen Interesses. Wirtschaftliche und finanzielle Interessen werden von Art. 23 Abs. 1 Buchst. e DSGVO explizit aufgeführt.

Die streitgegenständlichen Maßnahmen dürften jedoch nicht zur Durchführung der Beitrags- und Gebührenerhebung im Rahmen der Abwasserbeseitigung erforderlich sein. Bei dem Kriterium der Erforderlichkeit handelt es sich um einen autonomen Begriff des Unionsrechts (vgl. Albers/Veit in Wolff/Brink/v.Ungern-Sternberg, BeckOK Datenschutzrecht, 45. Edition, DSGVO Art. 6 Rn. 60). Die Voraussetzung der Erforderlichkeit stellt sicher, dass der Verantwortliche ein vorgegebenes Ziel nicht zum Anlass nimmt, überschießend personenbezogene Daten zu verarbeiten (vgl. Buchner/Petri in Kühling/Buchner, DSGVO-BDSG, 3. Aufl. 2020, DSGVO Art. 6 Rn. 118, 81). Gemäß Art. 6 Abs. 1 Unterabs. 1 Buchst. e DSGVO ist eine Datenverarbeitung erforderlich, wenn ohne die Verarbeitung die Erreichung des Zwecks nicht, nur unzulänglich, nicht mit angemessenem Aufwand oder nicht in angemessener Zeit erfolgen könnte. Nach Erwägungsgrund 39 zur DSGVO sollten personenbezogene Daten nur verarbeitet werden dürfen, wenn der Zweck der Verarbeitung nicht in zumutbarer Weise durch andere Mittel erreicht werden kann. Ob Aufwand und Zeit angemessen sind, beurteilt sich nach einer Güterabwägung, in die einerseits die Schutzwürdigkeit der personenbezogenen Daten und andererseits der Verarbeitungszweck einzustellen ist (vgl. Wilde/Ehmann/Niese/Knoblauch in Datenschutz in Bayern, Stand Juni 2018, DSGVO Art. 6 Rn. 35).

Die streitgegenständlichen Maßnahmen dürften nicht erforderlich in diesem Sinne sein. Entgegen dem Vortrag der Antragsgegnerin dürften andere Verfahrensmöglichkeiten bestehen, mit denen der Zweck der Datenverarbeitung auch in zumutbarer Weise zu erreichen ist. So hat auch die Antragsgegnerin neben dem Befliegungsverfahren weitere Verfahrensmöglichkeiten zur Ermittlung der Geschossfläche in Betracht gezogen: die Grundstücksbegehung und das Selbstauskunftsverfahren.

Das Selbstauskunftsverfahren dürfte den Zweck hinlänglich, mit angemessenem Aufwand und in der angemessenen Zeit erreichen können. Es ist davon auszugehen, dass bei der letzten Beitragserhebung in 1995 über das Selbstauskunftsverfahren oder ein anderes geeignetes Verfahren ohne Befliegung und Aufzeichnung die Geschossflächenermittlung erfolgreich umgesetzt wurde. Es ist nicht ersichtlich, dass die Berechnung der Geschossfläche deutlich komplizierter wäre als die Berechnung der Wohnfläche. Der Großteil der Grundstückseigentümer dürfte bereits in der Grundsteuererklärung die Berechnung der Grundstücksfläche und ggf. der Wohnfläche vorgenommen haben und mit dem Selbstauskunftsverfahren vertraut sein. Zwar handelt es sich bei der Geschossfläche um einen anderen Wert als den der Wohnfläche, es dürfte sich jedoch bei beiden Flächen um Werte handeln, die ggf. durch händisches Messen der Bebauung unter Berücksichtigung des normativen Rahmens zu ermitteln sind. Die im Internet frei verfügbaren Berechnungshilfen für die Wohnfläche einerseits und die Geschossfläche andererseits dürften mit Blick auf ihre Anforderungen und die Komplexität des Vorhabens vergleichbar sein. Es ist auch nicht ersichtlich, weshalb bei der Ermittlung der Geschossfläche im Selbstauskunftsverfahren mit erheblichen Unrichtigkeiten und eventuell auch falschen Angaben gerechnet werden müsste. Bei Ermittlung der für die Herstellungsbeiträge erforderlichen Geschossfläche dürfte wie bei Ermittlung der für die Grundsteuer erforderlichen Wohnfläche (und anderen Angaben) davon auszugehen sein, dass die Beitragspflichtigen wie auch die Steuerpflichtigen wahrheitsgemäße Angaben machen, wovon die Antragsgegnerin grundsätzlich ausgehen können dürfte. Es liegen keine konkreten Anhaltspunkte dafür vor, dass die Antragsgegnerin bei Ermittlung der Werte im Selbstauskunftsverfahren in erheblichem Umfang mit bewussten oder unbewussten Falschangaben rechnen müsste. Die Antragsgegnerin hat in diesem Zusammenhang lediglich Vermutungen geäußert, ohne diese durch weiteren Vortrag plausibel zu belegen. Ob bspw. bei der letzten Erhebung des Beitrags und der dabei erfolgenden Geschossflächenermittlung Falschauskünfte zu verzeichnen waren, wurde nicht vorgetragen.

Das Selbstauskunftsverfahren dürfte auch mit angemessenem Aufwand und in der angemessenen Zeit durchführbar sein. Dies indiziert bereits ein der Antragsgegnerin vorliegendes Angebot einer anderen Kommunalberatung zur Kalkulation der Beiträge und Gebühren vom 23. Mai 2023, die ebenfalls mit einem (anderen) Ingenieurdienstleister zur Datenerhebung kooperiert. Nach dem Angebot dieses Ingenieurdienstleisters vom 19. Mai 2023 wurde zur Ermittlung der beitrags- und gebührenrelevanten Flächen vorgeschlagen, entweder auf die kostenpflichtig zu erwerbenden Bilder des Landesvermessungsamts zurückzugreifen und eine (lediglich ergänzende) Selbstauskunft durchzuführen („Alternative 1“) oder auf Grundlage des Amtlichen Liegenschaftskatasters ein reines Selbstauskunftsverfahren („Alternative 2“) durchzuführen. Für das als „Alternative 1“ bezeichnete Verfahren wurde wegen des geringen Baumbestands in der Gemarkung der Antragsgegnerin entgegen der üblichen Vorgehensweise vorgeschlagen, die Luftbilder des Landesvermessungsamtes zu erwerben. Auf dieser Grundlage würden die beitrags- und gebührenrelevanten Flächen ermittelt. Dadurch könnte direkt nach Erwerb der Luftbilder und damit deutlich schneller mit der Datenauswertung begonnen werden. Auch die Vorgehensweise in einem reinen Selbstauskunftsverfahren könnte in angemessener Zeit durchgeführt werden. Um die Rückgabe der Selbstauskunftsformulare zu beschleunigen, stünden der Antragsgegnerin verschiedene Möglichkeiten offen. Sie könnte Fristen setzen, Mahnungen aussprechen, Verspätungszuschläge erheben oder bei Einreichung innerhalb einer genannten Frist eine Reduzierung des Guthabens in Aussicht stellen. Auch der finanzielle Aufwand dürfte sowohl bei dem Rückgriff auf die Bilder des Landesvermessungsamtes als auch bei einem reinen Selbstauskunftsverfahren für die Antragsgegnerin und die Beitragspflichtigen nicht höher, sondern vielmehr niedriger sein.

Gegen die Rechtmäßigkeit der Datenverarbeitung durch die streitgegenständlichen Maßnahmen spricht auch der Grundsatz der Speicherbegrenzung. Nach Art. 5 Abs. 1 Buchst. e DSGVO müssen personenbezogene Daten in einer Form gespeichert werden, die die Identifizierung der Betroffenen Personen nur solange ermöglicht, wie es für die Zwecke, für welche diese verarbeitet werden, erforderlich ist. Aus dem Grundsatz der Speicherbegrenzung folgt das Verbot der Datenerhebung und Datenspeicherung auf Vorrat (vgl. Wilde/Ehmann/Niese/Knoblauch Datenschutz in Bayern, Stand April 2023, DSGVO Art. 6 Rn. 36). Ist bei der Erhebung nicht absehbar, zu welchem Zweck sie irgendwann einmal benutzt werden könnten, handelt es sich um Datenerhebung und Speicherung auf Vorrat. Sofern die Antragsgegnerin mit der Datenerhebung weitere, zusätzliche Zwecke verfolgt wie die Ermittlung von Gebäudehöhen, Firsthöhen und Dachneigungen, rechtfertigen diese Zwecke die konkrete Datenerhebung und -speicherung nicht.


Den Volltext der Entscheidung finden Sie hier:

VG Hannover: DSGVO gilt nicht für Altfälle bzw. Datenschutzverstöße vor Inkrafttreten am 25.05.2018

VG Hannover
Urteil vom 10.10.2023
10 A 5223/19


Das VG Hannover hat entschieden, dass die DSGVO nicht für Altfälle bzw. Datenschutzverstöße vor Inkrafttreten am 25.05.2018 gilt.

Aus den Entscheidungsgründen:
1. Auf den vorliegenden Fall findet die Verordnung (EU) Nr. 2016/679 des Europäischen Parlamentes und des Rates zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten, zum freien Datenverkehr und zur Aufhebung der Richtlinie 95/46/EG (Datenschutz-Grundverordnung, hiernach: DS-GVO) keine Anwendung.

Grundsätzlich ist für Frage, auf welchen Zeitpunkt für die Beurteilung der Sach- und Rechtslage abzustellen ist, bei Leistungs- oder Verpflichtungsklagen – wie hier – auf den Zeitpunkt der mündlichen Verhandlung abzustellen (vgl. dazu Hamb. OVG, Urteil vom 7.10.2019 – 5 Bf 279/17 –, juris Rn. 40). Aufgrund der Bindung an Recht und Gesetz nach Art. 20 Abs. 3 GG sind dabei aber Rechtsänderungen, die vor der behördlichen oder gerichtlichen Entscheidung über einen Antrag auf Vornahme eines Verwaltungsakts in Kraft getreten sind, bei der Entscheidung zu beachten, sofern das neu in Kraft gesetzte Recht nichts anderes bestimmt. Durch seine Auslegung ist zu ermitteln, ob das klägerische Begehren noch nach altem, also dem aufgehobenen oder nach dem inhaltlich geänderten Recht zu beurteilen ist (vgl. Decker in BeckOK VwGO, 66. Ed. 1.7.2023, VwGO § 113 Rn. 74.1; vgl. auch BVerwG, Urteil vom 31.3.2004 – 8 C 5/03 –, juris Rn. 35 f.)

Danach findet die DS-GVO auf den vorliegenden Fall keine Anwendung. Die Anwendbarkeit der DS-GVO ist in deren Art. 99 Abs. 2 DS-GVO festgelegt. Danach gilt die DS-GVO erst seit dem 25. Mai 2018. Die Klägerin hat gegenüber dem Beklagten beanstandet, dass sie betreffende medizinische Unterlagen im Jahr 2012 an einen Gutachter weitergegeben worden sind. Zu Sachverhalten, die sich vor Geltung der DS-GVO ereignet haben, enthält die DS-GVO keine expliziten Regelungen. Eine Übergangsvorschrift, die die Geltung der DS-GVO auch für Sachverhalte vor diesem Datum anordnet, existiert im deutschen Recht nicht. Im österreichischen Recht findet sich eine Regelung, welche die Anwendung des neuen Rechts, also der DS-GVO, explizit auch für Sachverhalte vor dem Inkrafttreten der DS-GVO anordnet, wenn die Fälle noch bei den Aufsichtsbehörden liegen (vgl. zu allem: VG Ansbach, Urteil vom 22.9.2021 – AN 14 K 19.01274 –, juris Rn. 21 m.V.a. VGH der Republik Österreich, Beschluss vom 5.6.2020 - VwGO RO 2018/04/0023 -, abrufbar über das Rechtsinformationssystem des Bundes, https://www.ris.bka.gv.at/Dokument.wxe?Abfrage=Vwgh&Dokumentnummer=JWT_2018040023_20200605J00, zuletzt abgerufen am 10.10.2023).

Das Inkrafttreten der DS-GVO stellt nach deren Art. 99 eine klare Zäsur zwischen dem alten und dem neuen Recht dar. Da der deutsche Gesetzgeber keine Übergangsvorschrift erlassen hat, die unter bestimmten Umständen eine Anwendung des neuen Rechts auch auf vor deren Geltung begangene Verstöße gegen datenschutzrechtliche Vorschriften angeordnet hat, unterliegen vor diesem Datum erfolgte Verstöße vollständig dem alten Recht (VG Ansbach, Urteil vom 22.9.2021 – AN 14 K 19.01274 –, juris Rn. 44).

2. Aus der Nichtanwendbarkeit der DS-GVO auf den vorliegenden Fall folgt, dass die Rüge, welche die Klägerin wegen der Weitergabe sie betreffender, medizinischer Unterlagen im April 2018 gegenüber dem Beklagten erhoben hat, keine "Beschwerde" im Sinne des Art. 77 DS-GVO darstellen kann, sondern nur als eine "Eingabe" im Sinne des Art. 28 Abs. 4 der (inzwischen außer Kraft getretenen) Richtlinie 95/46/EG des Europäischen Parlaments und des Rates zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten und zum freien Datenverkehr vom 24. Oktober 1996 (hiernach: RL 95/46/EG) anzusehen sein kann. Für vor dem 25. Mai 2018 liegende Verstöße gegen die Datenschutzrichtlinie werden Aufsichtsbehörden und Gerichte grundsätzlich nach dem bisherigen Rechtsregime tätig (vgl. VG Ansbach, Urteil vom 22.9.2021 – AN 14 K 19.01274 –, juris Rn. 38 m.V.a. Hornung/Spiecker in Simitis/Hornung/Spiecker gen. Döhmann, Datenschutzrecht, 1. Auflage 2019, Art. 99 DS-GVO, Rn. 4).

3. Die Eingabe der Klägerin gemäß Art. 28 Abs. 4 RL 95/46/EG kann keinen Anspruch auf aufsichtsbehördliches Einschreiten begründen.

Die überwiegende Meinung in Rechtsprechung und Literatur hat die Auffassung vertreten, dass die Eingabe gemäß Art. 28 Abs. 4 RL 95/46/EG petitionsähnlich ausgestaltet gewesen ist und die gerichtliche Prüfung sich daher darauf beschränkt hat, ob die Eingabe entgegengenommen, sachlich und rechtlich geprüft und das Ergebnis mitgeteilt worden war (vgl. VG Ansbach, Urteil vom 22.9.2021 – AN 14 K 19.01274 –, juris Rn. 21 m.V.a. BayVGH, Beschluss vom 23.3.2015 – 10 C 15.165BeckRS 2016, 44250; Döhmann in Simitis, BDSG a.F., 8. Auflage 2014, § 21 Rn. 18; Gola/Schomerus, BDSG, Kommentar, 11. Auflage 2012, § 21 Rn. 6; Körffer in Paal/Pauly, Datenschutz-Grundverordnung, 2. Auflage 2018, Art. 77 Rn. 5; Will, ZD 2020, 97; vgl. auch Nds. OVG, Beschluss vom 23.7.2013 - 11 PA 145/13 -, n.v.). Ein Anspruch auf aufsichtsbehördliches Einschreiten bestand dagegen nicht (Brink in BeckOK Datenschutzrecht, 22. Edition Stand 1.11.2017, § 38 BDSG, Rn. 51).

Die Regelungen der DS-GVO, aus denen sich nach Auffassung der überwiegenden Rechtsprechung ein Anspruch auf fehlerfreie Ermessensausübung über das "ob" und das "wie" eines aufsichtsrechtlichen Tätigwerdens der unabhängigen Aufsichtsbehörde und – im Falle einer Ermessensreduzierung auf Null – auch einen Anspruch auf ein konkretes Einschreiten der Aufsichtsbehörde ergeben kann, sind hier nicht anwendbar (vgl. zum Prüfungsumfang des Gerichts nach der DS-GVO OVG Hamburg, Urteil vom 7.10.2019 – 5 Bf 279/17 –, juris Rn. 63 ff. m.w.N.; VG Stuttgart, Urteil vom 11.11.2021 – 11 K 17/21 –, juris Rn. 90 f.; VG Wiesbaden, Beschluss vom 31.8.2021 – 6 K 226/21.WI –, juris; Urteil vom 7.6.2021 – 6 K 307/20.WI –, juris Rn. 37; VG Hamburg, Urteil vom 1.6.2021 - 17 K 2977/19 -, juris; VG Mainz, Urteil vom 16.1.2020 – 1 K 129/19.MZ –, juris; zur gegenteiligen Auffassung vgl. OVG Rheinland-Pfalz, Urteil vom 26.10.2020 – 10 A 10613/20 –, juris; VGH Baden-Württemberg, Urteil vom 22.1.2020 - 1 S 3001/19 -, juris). Insoweit wird mit den Erwägungsgründen 11, 142 und 143 der DS-GVO und Art. 57 Abs. 1 lit. f DS-GVO, der den Aufsichtsbehörden für das Beschwerdeverfahren konkrete Aufgaben zuweist, argumentiert (vgl. statt vieler: OVG Hamburg, Urteil vom 7.10.2019 – 5 Bf 279/17 –, juris Rn. 63 ff.). Diese Argumente können aber für den vorliegenden Fall nicht herangezogen werden. Der Erwägungsgrund 142 stellt nur auf die "Rechte nach dieser Verordnung" ab. Die Sätze 4 und 5 des Erwägungsgrundes 143 nennen zwar nicht ausdrücklich "diese Verordnung", nach ihrem Sinn und Zweck stellen sie jedoch auf die durch die DS-GVO ab ihrem Geltungsbeginn geschaffene Rechtslage ab und sprechen damit ebenfalls gegen einen Gleichlauf des gerichtlichen Prüfungsumfangs vor und nach dem Geltungsbeginn der DS-GVO. Nach Erwägungsgrund 11 erfordert ein wirksamer Schutz von personenbezogenen Daten die Stärkung der Rechte der Betroffenen. Diese Stärkung der Rechte der Betroffenen soll aber, wie sich aus dem Gesamtzusammenhang ergibt, gerade durch die DS-GVO erfolgen. Demnach lässt sich für den hier zu entscheidenden Fall, in dem die beanstandete Weitergabe von medizinischen Unterlagen Jahre vor Inkrafttreten der DS-GVO stattgefunden hat, aus den Erwägungsgründen nichts für die Rechtsauffassung der Klägerin ableiten. Anhaltspunkte dafür, dass diese Stärkung der Rechte der Betroffenen auch für Verstöße vor dem Inkrafttreten der DS-GVO gegen das zu diesem Zeitpunkt maßgebliche materielle Datenschutzrecht gelten soll, lassen sich daraus aber wiederum nicht ableiten (VG Ansbach, Urteil vom 22.9.2021 – AN 14 K 19.01274 –, juris Rn. 42).

Ebenso wenig kann Art. 57 Abs. 1 Buchst. f DS-GVO für die Begründung eines über das alte Recht hinausgehenden Prüfungsumfangs herangezogen werden. Denn auch diese Bestimmung gilt nur für Beschwerden wegen einer Verletzung der DS-GVO i.S.v. Art. 77 DS-GVO. Dies ist aber nach den obigen Ausführungen hier nicht der Fall.

4. Danach ergibt sich bei Anwendung des hier einschlägigen Rechts, dass die gerichtliche Prüfung darauf beschränkt ist, ob die Eingabe der Klägerin von dem Beklagten entgegengenommen, sachlich und rechtlich geprüft und dass der Klägerin das Ergebnis der Prüfung mitgeteilt wurde. Dies ist hier der Fall. Der Beklagte hat den von der Klägerin im April 2018 mitgeteilten Sachverhalt an die D. weitergeleitet und diese zur Stellungnahme sowie ggf. zur Vorlage einer Schweigepflichtentbindungserklärung aufgefordert. Es ist zwar nicht erkennbar, dass sie auf Grundlage der Stellungnahme der Mecklenburgischen Versicherung eine eigene rechtliche Prüfung vorgenommen hat, bevor sie der Klägerin mitgeteilt hat, dass keine personenbezogenen Daten weitergegeben worden sind. Sie hat die D. aber jedenfalls auf den Widerspruch der Klägerin gegen die Einstellung des Verfahrens vom 12. Oktober 2018 erneut zur Stellungnahme aufgefordert. Deren umfangreiche Stellungnahme hat sie in dem Bescheid vom 1. Oktober 2019 gewürdigt, seine – in Teilen von der M. Versicherung abweichende – Rechtsauffassung kundgetan und das Ergebnis der Prüfung mitgeteilt.


Den Volltext der Entscheidung finden Sie hier:

EuGH: Verarbeitung von Gesundheitsdaten nach Art. 9 Abs. 2 lit. h DSGVO muss auch Art. 6 Abs. 1 DSGVO erfüllen - Schadensersatzanspruch aus Art. 82 DSGVO ist Kompensation für konkreten Schaden

EuGH
Urteil vom 21.12.2023
C‑667/21
Medizinischer Dienst der Krankenversicherung Nordrhein

Der EuGH hat entschieden, dass Verarbeitung von Gesundheitsdaten auf Grundlage von Art. 9 Abs. 2 lit. h DSGVO auch die Voraussetzungen von Art. 6 Abs. 1 DSGVO erfüllen muss. Ferner hat der EuGH entschieden, dass ein Schadensersatzanspruch aus Art. 82 DSGVO die Kompensation für einen konkreten Schaden darstellt.

Tenor der Entscheidung:
1. Art. 9 Abs. 2 Buchst. h der Verordnung (EU) 2016/679 des Europäischen Parlaments und des Rates vom 27. April 2016 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten, zum freien Datenverkehr und zur Aufhebung der Richtlinie 95/46/EG (Datenschutz-Grundverordnung) ist dahin auszulegen, dass die in dieser Bestimmung vorgesehene Ausnahme unter dem Vorbehalt, dass die betreffende Datenverarbeitung die in Buchst. h und in Art. 9 Abs. 3 ausdrücklich vorgeschriebenen Voraussetzungen und Garantien erfüllt, auf Situationen anwendbar ist, in denen eine Stelle für medizinische Begutachtung Gesundheitsdaten eines ihrer Arbeitnehmer nicht als Arbeitgeber, sondern als Medizinischer Dienst verarbeitet, um die Arbeitsfähigkeit dieses Arbeitnehmers zu beurteilen.

2. Art. 9 Abs. 3 der Verordnung 2016/679 ist dahin auszulegen, dass der für eine auf Art. 9 Abs. 2 Buchst. h dieser Verordnung gestützte Verarbeitung von Gesundheitsdaten Verantwortliche gemäß diesen Bestimmungen nicht verpflichtet ist, zu gewährleisten, dass kein Kollege der betroffenen Person Zugang zu den Daten über ihren Gesundheitszustand hat. Eine solche Pflicht kann dem für eine solche Verarbeitung Verantwortlichen jedoch gemäß einer von einem Mitgliedstaat auf der Grundlage von Art. 9 Abs. 4 dieser Verordnung erlassenen Regelung oder aufgrund der in Art. 5 Abs. 1 Buchst. f dieser Verordnung genannten und in ihrem Art. 32 Abs. 1 Buchst. a und b konkretisierten Grundsätze der Integrität und der Vertraulichkeit obliegen.

3. Art. 9 Abs. 2 Buchst. h und Art. 6 Abs. 1 der Verordnung 2016/679 sind dahin auszulegen, dass eine auf die erstgenannte Bestimmung gestützte Verarbeitung von Gesundheitsdaten nur dann rechtmäßig ist, wenn sie nicht nur die sich aus dieser Bestimmung ergebenden Anforderungen einhält, sondern auch mindestens eine der in Art. 6 Abs. 1 genannten Rechtmäßigkeitsvoraussetzungen erfüllt.

4. Art. 82 Abs. 1 der Verordnung 2016/679 ist dahin auszulegen, dass der in dieser Bestimmung vorgesehene Schadenersatzanspruch eine Ausgleichsfunktion hat, da eine auf diese Bestimmung gestützte Entschädigung in Geld ermöglichen soll, den konkret aufgrund des Verstoßes gegen diese Verordnung erlittenen Schaden vollständig zu ersetzen, und keine abschreckende oder Straffunktion erfüllt.

5. Art. 82 der Verordnung 2016/679 ist dahin auszulegen, dass zum einen die Haftung des Verantwortlichen vom Vorliegen eines ihm anzulastenden Verschuldens abhängt, das vermutet wird, wenn er nicht nachweist, dass die Handlung, die den Schaden verursacht hat, ihm nicht zurechenbar ist, und dass Art. 82 zum anderen nicht verlangt, dass der Grad dieses Verschuldens bei der Bemessung der Höhe des als Entschädigung für einen immateriellen Schaden auf der Grundlage dieser Bestimmung gewährten Schadenersatzes berücksichtigt wird.

Den Volltext der Entscheidung finden Sie hier:

OLG Nürnberg: Keine rechtsmissbräuchliche Geltendmachung eines Auskunftsanspruch aus Art. 15 DSGVO wenn dies aus datenschutzfremden Motiven erfolgt

OLG Nürnberg
Urteil vom 29.11.2023
4 U 347/21


Das OLG Nürnberg hat entschieden, dass keine rechtsmissbräuchliche Geltendmachung eines Auskunftsanspruch aus Art. 15 DSGVO vorliegt, wenn dies aus datenschutzfremden Motive erfolgt.

Aus den Entscheidunsggründen:
2. Die Berufung ist begründet.
a) Wie das Landgericht zutreffend ausführt, ist der Auskunftsantrag hinreichend bestimmt (§ 253 Abs. 2 Nr. 2 ZPO). In den Fällen der Geltendmachung eines Auskunftsanspruchs gern. Art. 15 Abs. 1 DSGVO genügt es grundsätzlich, wenn der Klageantrag dem Wortlaut der Vorschrift entsprechend auf Erteilung einer vollständigen Auskunft über die von der Beklagten verarbeiteten personenbezogenen Daten des Klägers gerichtet ist; eine Spezifizierung dieser Daten ist grundsätzlich nicht erforderlich (so zuletzt OLG Köln, NZA-RR 2023, 515 Rn. 16, beck-online).

b) Soweit der Kläger seinen Antrag wegen vorgerichtlich übermittelter Personalstamm- und BAV-Daten bereits beschränkt und wegen zweier Schriftsätze, die ihm im Rahmen des beim Landgericht Oldenburg anhängig gewesenen Verfahrens zugänglich gemacht wurden, Teilerledigungserklärungen unter Verweis auf diese Schriftsätze abgegeben hat, ändert dies nichts daran, dass „offen“ tenoriert werden kann. Denn es kann – wie auch sonst bei noch teilweise „unerledigten“ im Sinne von noch nicht vollständig erfüllten – Auskunftsansprüchen einfach offen zur geschuldeten Auskunft (als geschuldetem „Enderfolg“) verurteilt werden (OLG Köln, NZA-RR 2023, 515 Rn. 17, beck-online). Die Beschränkung im ursprünglichen Antrag bzw. der Verweis auf Teilerledigungen berücksichtigt lediglich die Tatsache, dass die Beklagte bereits gewisse Auskünfte erteilt hat; mit der Beschränkung ist nur klargestellt, dass die Beklagte die bereits erteilten Auskünfte nach Auffassung des Klägers nicht mehr wiederholen muss, dieser die Auskunft ansonsten aber (zu Recht) als unvollständig ansieht und deswegen eine „vollständige“ Auskunft im Übrigen auch weiterhin einklagt (so auch OLG Köln, NZA-RR 2023, 515 Rn. 17, beck-online).

Wie das OLG Köln weiter ausgeführt hat, ,,ist eine Beschränkung durch Verweis auf bereits erteilte Teilauskünfte vor bzw. während des Verfahrens und/oder sonstige Klarstellungen prozessual nicht zwingend in Antrag und Tenor aufzunehmen, weil man mit dem oben Gesagten einfach einen weit gefassten Antrag in Anlehnung an den Gesetzeswortlaut stellen kann und alles andere dann nur – wie auch sonst – eine Frage des Erfüllungseinwands (§ 362 Abs. 1 BGB) im gerichtlichen Verfahren bzw. bei entsprechender Titulierung später im Zwangsvollstreckungsverfahren nach § 888 ZPO ist“ (OLG Köln, NZA-RR 2023, 515 Rn. 17, beck-online). Dem schließt sich der Senat an. Es ist einem Kläger auch nach Auffassung dieses Senats bei Auskunftsbegehren jedenfalls nicht zuzumuten, die bereits erteilten Auskünfte im Einzelnen in den Klageantrag aufzunehmen. Erforderlich ist nur im Rahmen der Begründetheit der Klage, dass im maßgeblichen Zeitpunkt der letzten mündlichen Verhandlung tatsächlich noch keine vollständige Erfüllung des Auskunftsanspruchs i.S.d. § 362 Abs. 1 BGB feststellbar ist. Eine vollständige Erfüllung ist nicht eingetreten. Die Beklagte macht gerade geltend, dass der Anspruch aufgrund des Umfangs des damit verbundenen unverhältnismäßig hohen Erfüllungsaufwands exzessiv im Sinne von Art. 12 Abs. 5 S. 2 DSGVO ist. Diese Aussage impliziert, dass es bei der Beklagten – wie auch aufgrund der langjährigen Tätigkeit des Klägers im dortigen Unternehmen nicht anders zu erwarten – umfangreiche weitere zu beauskunftende Daten gibt.

c) Art. 15 DSGVO gibt einen umfassenden Auskunftsanspruch über personenbezogene Daten.

aa) Art. 4 Nr. 1 DSGVO definiert den Begriff „personenbezogene Daten“ als alle Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person (im Folgenden „betroffene Person“) beziehen; als identifizierbar wird eine natürliche Person angesehen, die direkt oder indirekt, insbesondere mittels Zuordnung zu einer Kennung wie einem Namen, zu einer Kennnummer, zu Standortdaten, zu einer Online-Kennung oder zu einem oder mehreren besonderen Merkmalen, die Ausdruck der physischen, physiologischen, genetischen, psychischen, wirtschaftlichen, kulturellen oder sozialen Identität dieser natürlichen Person sind, identifiziert werden kann.

Dem Begriff der personenbezogenen Daten ist nach der Rechtsprechung des EuGH eine weite Bedeutung beizumessen: „Er ist nicht auf sensible oder private Informationen beschränkt, sondern umfasst potenziell alle Arten von Informationen sowohl objektiver als auch subjektiver Natur in Form von Stellungnahmen oder Beurteilungen, unter der Voraussetzung, dass es sich um Informationen „über“ die in Rede stehende Person handelt. Die letztgenannte Voraussetzung ist erfüllt, wenn die Information aufgrund ihres Inhalts, ihres Zwecks oder ihrer Auswirkungen mit einer bestimmten Person verknüpft ist“ (EuGH BeckRS 2017, 136145).

bb) Soweit Einschränkungen des umfassenden Auskunftsrechts auf Ewägungsgrund 63 der Verordnung gestützt werden sollen, haben diese Erwägungen in der Verordnung keinen Niederschlag gefunden. Der Anspruch auf Datenauskunft ist vielmehr voraussetzungslos. Der EuGH (Urteil vom 26.10.2023 – C-307/22, BeckRS 2023, 29132, beck-online) hat hierzu im ersten Leitsatz ausgeführt, dass Art. 12 Abs. 5 sowie Art. 15 Abs. 1 und 3 DSGVO dahin auszulegen sind, dass die Verpflichtung des Verantwortlichen, der betroffenen Person unentgeltlich eine erste Kopie ihrer personenbezogenen Daten, die Gegenstand einer Verarbeitung sind, zur Verfügung zu stellen, auch dann gilt, wenn der betreffende Antrag mit einem anderen als den in Satz 1 des 63. Erwägungsgrundes der Verordnung genannten Zwecken begründet wird.

cc) Entgegen der Auffassung der Beklagten ist der klägerische Anspruch auch nicht nach Art. 12 Abs. 5 S. 2 DSGVO ausgeschlossen. Nach dieser Bestimmung kann der Verantwortliche bei offenkundig unbegründeten oder – insbesondere im Fall von häufiger Wiederholung – exzessiven Anträgen einer betroffenen Person entweder ein angemessenes Entgelt verlangen, bei dem die Verwaltungskosten für die Unterrichtung oder die Mitteilung oder die Durchführung der beantragten Maßnahme berücksichtigt werden, oder sich weigern, aufgrund des Antrags tätig zu werden. Nach Art. 12 Abs. 5 S. 3 DS-GVO hat der Verantwortliche den Nachweis für den offenkundig unbegründeten oder exzessiven Charakter des Antrags zu erbringen.

Nach Wortlaut und Zweck von Art. 12 Abs. 5 S. 1, Art. 15 DSGVO liegt kein Missbrauch vor, wenn ein Betroffener das Auskunftsrecht (auch) für datenschutzfremde Motive verwendet, etwa um Informationen für Vergleichsverhandlungen oder um bei ihm nicht mehr vorhandene Vertragsinformationen zu erhalten (z.B. Auskunft über Konten, Versicherungsbedingungen etc.), da sich eine solche Beschränkung auf eine bestimmte Motivlage nicht in Art. 15 DSGVO findet. Dies gilt auch, wenn die Auskunft gem. Art. 15 DSGVO beim Verantwortlichen sehr viel Aufwand verursacht, da der Aufwand des Verantwortlichen für Art. 15 DSGVO keine Rolle spielt, oder wenn der Betroffene mehrfache Auskunftsansprüche geltend macht, da sie nur im Rahmen des Exzesses einen Rechtsmissbrauch begründen (BeckOK DatenschuteR/Schmidt-Wudy, 45. Ed. 1.8.2023, DS-GVO Art. 15 Rn. 48).

Da die Motivation des Klägers für die Begründetheit des Auskunftsverlangens keine Rolle spielt, kommt es auch nicht darauf an, ob er – jedenfalls ursprünglich – hoffte, durch die Datenauskunft Erkenntnisse für seine beim Landgericht Oldenburg anhängig gewesene Klage zu erlangen. Gleichfalls kommt es nicht darauf an, ob die Datenauskunft für den Beklagten mit viel Mühe oder Zeitaufwand verbunden ist, denn der Aufwand ist unerheblich. Exzessiv ist die Datenauskunft schon deswegen nicht, weil es sich um den ersten Antrag handelt.

dd) Die Geltendmachung des Anspruchs ist auch nicht rechtsmissbräuchlich. Der Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten ist ein Grundrecht. Gemäß Art. 8 Abs. 1 der Charta der Grundrechte der Europäischen Union (ABl. C 326 vom 26.10.2012, S. 391) hat jede Person das Recht auf Schutz der sie betreffenden personenbezogenen Daten. Der entsprechende Auskunftsanspruch wurde geregelt, um diesem Grundrecht Geltung zu verschaffen. Seine Geltendmachung kann daher über die gesetzlich geregelten (hier nicht einschlägigen) Tatbestände hinaus nicht rechtsmissbräuchlich sein. Dass für den Kläger aufgrund der Dauer und Art seiner Tätigkeit sehr viele Daten angefallen sind, steht der Geltendmachung seiner Rechte nicht entgegen.

ee) Da die Datenauskunft voraussetzungslos zu erteilen ist, steht der Beklagten auch kein Zurückbehaltungsrecht wegen der zu erwartenden Kosten zu, denn diese kann die Beklagte nicht verlangen. Die Auskunft ist kostenlos zu erteilen.

ff) Der streitgegenständliche Antrag erfasst ausdrücklich auch das Recht auf „Kopien“. Nach der Entscheidung des EuGH vom 04.05.2023 (C-487/21, NJW 2023, 2253 Rn. 45) ist Art. 15 Abs. 3 DSGVO dahin auszulegen, „dass das Recht, vom für die Verarbeitung Verantwortlichen eine Kopie der personenbezogenen Daten, die Gegenstand der Verarbeitung sind, zu erhalten, bedeutet, dass der betroffenen Person eine originalgetreue und verständliche Reproduktion aller dieser Daten ausgefolgt wird. Dieses Recht setzt das Recht voraus, eine Kopie von Auszügen aus Dokumenten oder gar von ganzen Dokumenten oder auch von Auszügen aus Datenbanken, die u. a. diese Daten enthalten, zu erlangen, wenn die Zurverfügungstellung einer solchen Kopie unerlässlich ist, um der betroffenen Person die wirksame Ausübung der ihr durch diese Verordnung verliehenen Rechte zu ermöglichen, wobei insoweit die Rechte und Freiheiten anderer zu berücksichtigen sind.“ Damit ist die strittige Frage geklärt, was unter „Kopie“ zu verstehen ist.

In der genannten Entscheidung hat der EuGH auch ausgeführt, dass Art. 15 Abs. 3 DSGVO „nur die praktischen Modalitäten für die Erfüllung der aus Art. 15 Abs. 1 DSGVO folgenden Auskunftspflichtfestlegt. Art. 15 DSGVO kann deshalb gerade nicht so ausgelegt werden, dass er in seinem Abs. 3 S. 1 ein anderes Recht als das in Abs. 1 vorgesehene gewährt“ (vgl. EuGH, Urteil vom 04.05.2023 – C-487/21, NJW 2023, 2253 Rn. 31 f.). Nach dieser Entscheidung ist auch die Frage geklärt, ob ein auf Überlassung einer Datenkopie gem. Art. 15 Abs. 3 DSGVO gerichteter Antrag erkennen lassen muss, von welchen personenbezogenen Daten eine Kopie verlangt wird. Ein Anspruchsteller, der zu einer genaueren Bezeichnung außerstande ist, ist deswegen auch nicht gehalten, im Wege der Stufenklage zunächst eine Auskunft darüber zu verlangen, welche personenbezogenen Daten der Anspruchsgegner verarbeitet, um auf dieser Grundlage sodann einen Antrag auf Überlassung einer Kopie der sich aus der Auskunft ergebenden Daten stellen zu können (so noch vor der Entscheidung des EuGH das Bundesarbeitsgericht, vgl. BAG, Urteil vom 16.12.2021 – 2 AZR 235/21, NZA 2022, 362 Rn. 33; Urteil vom 27.04.2021 – 2 AZR 342/20, BAGE 174, 351 Rn. 20 f. = NZA 2021, 1053; kritisch dazu bereits Lembke/Fischels, NZA 2022, 513 (519 f.)). Art. 15 DSGVO enthält vielmehr nach der jüngsten Rechtsprechung des EuGH einen einheitlichen Auskunftsanspruch (OLG Köln, NZA-RR 2023, 515 Rn. 18, beck-online). Der Kläger hatte sich zudem auch bereits erstinstanzlich auf sein Recht auf Überlassung einer Kopie berufen. Dieser einheitliche Anspruch muss grundsätzlich ohne eine Spezifizierung der personenbezogenen Daten – wie hier – einheitlich geltend gemacht werden können (OLG Köln, NZA-RR 2023, 515 Rn. 18, beck-online). Da der Anspruch auf eine unvertretbare Handlung gerichtet ist, ist er nach § 888 ZPO zu vollstrecken (vgl. Lembke/Fischels, NZA 2022, 513 (520)). Erteilt ein zur Auskunftserteilung verurteilter Schuldner (weitere) Auskünfte und stellt dem Gläubiger Datenkopien zur Verfügung, muss gegebenenfalls im Vollstreckungsverfahren geprüft werden, ob der titulierte Auskunftsanspruch dadurch dann endgültig erfüllt worden ist. Daraus möglicherweise resultierende Schwierigkeiten sind keine datenschutzrechtliche Besonderheit, sondern können in ähnlicher Form auch bei anderen Auskunftsansprüchen auftreten (OLG Köln, NZA-RR 2023, 515 Rn. 18, beck-online).


Den Volltext der Entscheidung finden Sie hier:

EuGH: Befürchtung eines möglichen Missbrauchs personenbezogener Daten nach Cyberangriff / Hackerattacke kann Anspruch auf immateriellen Schadensersatz gemäß Art. 82 DSGVO begründen

EuGH
Urteil vom 14.12.2023
C-340/21
Natsionalna agentsia za prihodite


Der EuGH hat entschieden, dass schon die bloße Befürchtung eines möglichen Missbrauchs personenbezogener Daten nach einem Cyberangriff / einer Hackerattacke einen Anspruch auf immateriellen Schadensersatz gemäß Art. 82 DSGVO begründen kann.

Tenor der Entscheidung:
1. Die Art. 24 und 32 der Verordnung (EU) 2016/679 des Europäischen Parlaments und des Rates vom 27. April 2016 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten, zum freien Datenverkehr und zur Aufhebung der Richtlinie 95/46/EG (Datenschutz- rundverordnung) sind dahin auszulegen, dass eine unbefugte Offenlegung von bzw. ein unbefugter Zugang zu personenbezogenen Daten durch „Dritte“ im Sinne von Art. 4 Nr. 10 dieser Verordnung allein nicht ausreicht, um anzunehmen, dass die technischen und organisatorischen Maßnahmen, die der für die betreffende Verarbeitung Verantwortliche getroffen hat, nicht „geeignet“ im Sinne der Art. 24 und 32 dieser Verordnung waren.

2. Art. 32 der Verordnung 2016/679 ist dahin auszulegen, dass die Geeignetheit der vom Verantwortlichen nach diesem Artikel getroffenen technischen und organisatorischen Maßnahmen von den nationalen Gerichten konkret zu beurteilen ist, wobei die mit der betreffenden Verarbeitung verbundenen Risiken zu berücksichtigen sind und zu beurteilen ist, ob Art, Inhalt und Umsetzung dieser Maßnahmen diesen Risiken angemessen sind.

3. Der in Art. 5 Abs. 2 der Verordnung 2016/679 formulierte und in Art. 24 dieser Verordnung konkretisierte Grundsatz der Rechenschaftspflicht des Verantwortlichen ist dahin auszulegen, dass im Rahmen einer auf Art. 82 der Verordnung gestützten Schadenersatzklage der für die betreffende Verarbeitung Verantwortliche die Beweislast dafür trägt, dass die von ihm getroffenen Sicherheitsmaßnahmen im Sinne von Art. 32 dieser Verordnung geeignet waren.

4. Art. 32 der Verordnung 2016/679 und der unionsrechtliche Effektivitätsgrundsatz sind dahin auszulegen, dass für die Beurteilung der Geeignetheit der Sicherheitsmaßnahmen, die der Verantwortliche nach diesem Artikel getroffen hat, ein gerichtliches Sachverständigengutachten kein generell notwendiges und ausreichendes Beweismittel sein kann.

5. Art. 82 Abs. 3 der Verordnung 2016/679 ist dahin auszulegen, dass der Verantwortliche von seiner nach Art. 82 Abs. 1 und 2 dieser Verordnung bestehenden Pflicht zum Ersatz des einer Person entstandenen Schadens nicht allein deshalb befreit werden kann, weil dieser Schaden die Folge einer unbefugten Offenlegung von bzw. eines unbefugten Zugangs zu personenbezogenen Daten durch „Dritte“ im Sinne von Art. 4 Nr. 10 dieser Verordnung ist, wobei der Verantwortliche dann nachweisen muss, dass er in keinerlei Hinsicht für den Umstand, durch den der betreffende Schaden eingetreten ist, verantwortlich ist.

6. Art. 82 Abs. 1 der Verordnung 2016/679 ist dahin auszulegen, dass allein der Umstand, dass eine betroffene Person infolge eines Verstoßes gegen diese Verordnung befürchtet, dass ihre personenbezogenen Daten durch Dritte missbräuchlich verwendet werden könnten, einen „immateriellen Schaden“ im Sinne dieser Bestimmung darstellen kann.

Pressemitteilung des EuGH:
Cyberkriminalität: Die Befürchtung eines möglichen Missbrauchs personenbezogener Daten kann für sich genommen einen immateriellen Schaden darstellen

Die bulgarische Nationale Agentur für Einnahmen (NAP) ist dem bulgarischen Finanzminister unterstellt. Sie ist u. a. mit der Feststellung, Sicherung und Einziehung öffentlicher Forderungen betraut. In diesem Rahmen ist sie für die Verarbeitung personenbezogener Daten verantwortlich. Am 15. Juli 2019 wurde in den Medien darüber berichtet, dass in das IT-System der NAP eingedrungen worden sei und infolge dieses Cyberangriffs in diesem System enthaltene personenbezogene Daten von Millionen von Menschen im Internet veröffentlicht worden seien. Zahlreiche Personen verklagten die NAP auf Ersatz des immateriellen Schadens, der ihnen aus der Befürchtung eines möglichen Missbrauchs ihrer Daten entstanden sein soll.

Das bulgarische Oberste Verwaltungsgericht legt dem Gerichtshof mehrere Fragen zur Auslegung der Datenschutz-Grundverordnung (DSGVO) zur Vorabentscheidung vori . Es möchte klären lassen, unter welchen Bedingungen eine Person, deren personenbezogene Daten, die sich im Besitz einer öffentlichen Agentur befinden, nach einem Angriff von Cyberkriminellen im Internet veröffentlicht wurden, Ersatz des immateriellen Schadens verlangen kann.

In seinem Urteil antwortet der Gerichtshof wie folgt:

1. Im Fall der unbefugten Offenlegung von bzw. des unbefugten Zugangs zu personenbezogenen Daten können die Gerichte aus diesem Umstand allein nicht ableiten, dass die Schutzmaßnahmen, die der für die Datenverarbeitung Verantwortliche ergriffen hat, nicht geeignet waren. Die Gerichte müssen die Geeignetheit dieser Maßnahmen konkret beurteilen.

2. Der Verantwortliche trägt die Beweislast dafür, dass die getroffenen Schutzmaßnahmen geeignet waren.

3. Im Fall der unbefugten Offenlegung von bzw. des unbefugten Zugangs zu personenbezogenen Daten durch „Dritte“ (wie Cyberkriminelle) kann der Verantwortliche gegenüber den Personen, denen ein Schaden entstanden ist, ersatzpflichtig sein, es sei denn, er weist nach, dass er in keinerlei Hinsicht für den Schaden verantwortlich ist.

4. Allein der Umstand, dass eine betroffene Person infolge eines Verstoßes gegen die DSGVO befürchtet, dass ihre personenbezogenen Daten durch Dritte missbräuchlich verwendet werden könnten, kann einen „immateriellen Schaden“ darstellen.


Den Volltext der Entscheidung finden Sie hier:

OLG Karlsruhe: Für immateriellen Schadensersatz aus Art. 82 DSGVO bei einem Datenleck muss ein konkreter kausaler Schaden als Folge der Rechtsverletzung nachgewiesen werden

OLG Karlsruhe
Urteil vom 07.11.2023
19 U 23/23


Das OLG Karlsruhe hat entschieden, dass für einen immateriellen Schadensersatz aus Art. 82 DSGVO bei einem Datenleck ein konkreter kausaler Schaden als Folge der Rechtsverletzung nachgewiesen werden muss.

Leitsätze des Gerichts:
1. Im Fall einer geltend gemachten Verletzung der Grundrechte auf Achtung des Privat- und Familienlebens aus Art. 7 GRCh und auf Schutz personenbezogener Daten aus Art. 8 GRCh reicht bereits die Möglichkeit des Eintritts eines Schadens für die Annahme eines Feststellungsinteresses aus.

2. Das Vorliegen eines „Verstoßes gegen diese Verordnung“ im Sinne von Art. 82 Abs. 1 DSGVO erfordert nicht mehr als die „unbefugte Offenlegung“ von oder den „unbefugten Zugang“ zu personenbezogenen Daten im Sinne von Art. 4 Nr. 12 DSGVO.

3. Ein potentieller oder hypothetischer Schaden oder die bloße Beunruhigung wegen des Diebstahls der eigenen personenbezogenen Daten reicht für das Vorliegen eines immateriellen Schadens im Sinne von Art. 82 Abs. 1 DS-GVO nicht aus.

4. Stellt sich der geltend gemachte immaterielle Schaden als Folge der Rechtsgutsverletzung in Gestalt der Verletzung der Grundrechte der betroffenen Person auf Achtung des Privat- und Familienlebens aus Art. 7 GRCh und auf Schutz personenbezogener Daten aus Art. 8 GRCh dar (Sekundärschaden), ist das Beweismaß des § 287 ZPO anzuwenden.

5. Die betroffene Person muss nachweisen, dass ein kausaler Zusammenhang zwischen dem Verstoß gegen die Verordnung im Sinne von Art. 82 Abs. 1 DSGVO und dem ihr entstandenen Schaden besteht.

6. Gem. Art. 82 Abs. 3 DSGVO reicht jedes fahrlässige (Mit-)Verschulden oder Versehen des Verantwortlichen aus, um die Anwendung der Befreiung auszuschließen. Dabei stellt indes nicht schon das Vorliegen einer Systemverletzung einen Beweis dafür dar, dass die von der verantwortlichen Person ergriffenen Maßnahmen nicht im Sinne von Art. 32 DSGVO geeignet waren.

Den Volltext der Entscheidung finden Sie hier:

EuGH: Längere Speicherung der Restschuldbefreiung als das öffentliche Insolvenzregister durch SCHUFA verstößt gegen DSGVO

EuGH
Urteil vom 07.12.2023
den verbundenen Rechtssachen
C-26/22 und C-64/22
SCHUFA Holding u. a. (Restschuldbefreiung)


Der EuGH hat entschieden, dass längere Speicherung der Restschuldbefreiung als das öffentliche Insolvenzregister (6 Monate) durch SCHUFA gegen die Vorgaben der DSGVO verstößt.

Tenor der Entscheidung:
1. Art. 78 Abs. 1 der Verordnung (EU) 2016/679 des Europäischen Parlaments und des Rates vom 27. April 2016 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten, zum freien Datenverkehr und zur Aufhebung der Richtlinie 95/46/EG (Datenschutz-Grundverordnung) ist dahin auszulegen, dass ein rechtsverbindlicher Beschluss einer Aufsichtsbehörde einer vollständigen inhaltlichen Überprüfung durch ein Gericht unterliegt.

2. Art. 5 Abs. 1 Buchst. a der Verordnung 2016/679 in Verbindung mit Art. 6 Abs. 1 Unterabs. 1 Buchst. f dieser Verordnung ist dahin auszulegen, dass er einer Praxis privater Wirtschaftsauskunfteien entgegensteht, die darin besteht, in ihren eigenen Datenbanken aus einem öffentlichen Register stammende Informationen über die Erteilung einer Restschuldbefreiung zugunsten natürlicher Personen zum Zweck der Lieferung von Auskünften über die Kreditwürdigkeit dieser Personen für einen Zeitraum zu speichern, der über die Speicherdauer der Daten im öffentlichen Register hinausgeht.

3. Art. 17 Abs. 1 Buchst. c der Verordnung 2016/679 ist dahin auszulegen, dass die betroffene Person das Recht hat, vom Verantwortlichen die unverzügliche Löschung der sie betreffenden personenbezogenen Daten zu verlangen, wenn sie gemäß Art. 21 Abs. 1 dieser Verordnung Widerspruch gegen die Verarbeitung einlegt und keine zwingenden schutzwürdigen Gründe vorliegen, die ausnahmsweise die betreffende Verarbeitung rechtfertigen.

4. Art. 17 Abs. 1 Buchst. d der Verordnung 2016/679 ist dahin auszulegen, dass der Verantwortliche verpflichtet ist, personenbezogene Daten, die unrechtmäßig verarbeitet wurden, unverzüglich zu löschen.

Aus der Pressemitteilung des EuGH:
Die Datenschutz-Grundverordnung (DSGVO) steht zwei Datenverarbeitungspraktiken von Wirtschaftsauskunfteien entgegen

Während das „Scoring“ nur unter bestimmten Voraussetzungen zulässig ist, steht die längere Speicherung von Informationen über die Erteilung einer Restschuldbefreiung im Widerspruch zur DSGVO.

Mehrere Bürger fochten vor dem Verwaltungsgericht Wiesbaden Bescheide des zuständigen Datenschutzbeauftragten an, mit denen er sich weigerte, gegen bestimmte Tätigkeiten der SCHUFA, einer privaten Wirtschaftsauskunftei, vorzugehen, zu deren Kunden insbesondere Banken zählen. Sie wandten sich konkret gegen das „Scoring“ sowie gegen die Speicherung von aus öffentlichen Registern übernommenen Informationen über die Erteilung einer Restschuldbefreiung.

[...]

In Bezug auf die Informationen über die Erteilung einer Restschuldbefreiung entscheidet der Gerichtshof, dass es im Widerspruch zur DSGVO steht, wenn private Auskunfteien solche Daten länger speichern als das öffentliche Insolvenzregister. Die erteilte Restschuldbefreiung soll nämlich der betroffenen Person ermöglichen, sich erneut am Wirtschaftsleben zu beteiligen, und hat daher für sie existenzielle Bedeutung. Diese Informationen werden bei der Bewertung der Kreditwürdigkeit der betroffenen Person stets als negativer Faktor verwendet. Im vorliegenden Fall hat der deutsche Gesetzgeber eine sechsmonatige Speicherung der Daten vorgesehen. Er geht daher davon aus, dass nach Ablauf der sechs Monate die Rechte und Interessen der betroffenen Person diejenigen der Öffentlichkeit, über diese Information zu verfügen, überwiegen.

Soweit die Speicherung der Daten nicht rechtmäßig ist, wie dies nach Ablauf der sechs Monate der Fall ist, hat die betroffene Person das Recht auf Löschung dieser Daten, und die Auskunftei ist verpflichtet, sie unverzüglich zu löschen.

Was die parallele Speicherung solcher Informationen durch die SCHUFA während dieser sechs Monate angeht, ist es Sache des vorlegenden Gerichts, die in Rede stehenden Interessen gegeneinander abzuwägen, um die Rechtmäßigkeit dieser Speicherung zu beurteilen. Sollte es zu dem Ergebnis kommen, dass die parallele Speicherung während der sechs Monate rechtmäßig ist, hat die betroffene Person dennoch das Recht, Widerspruch gegen die Verarbeitung ihrer Daten einzulegen, sowie das Recht auf deren Löschung, es sei denn, die SCHUFA weist das Vorliegen zwingender schutzwürdiger Gründe nach. Schließlich betont der Gerichtshof, dass die nationalen Gerichte jeden rechtsverbindlichen Beschluss einer Aufsichtsbehörde einer vollständigen inhaltlichen Überprüfung unterziehen können müssen.


Den Volltext der Entscheidung finden Sie hier: