BECKMANN UND NORDA - Rechtsanwälte Bielefeld

LG Kiel
Urteil vom 04.04.2024
13 O 40/23

Das LG Kiel hat vorliegend die Klage eines Abgeordneten gegen Meta / Facebook wegen der automatisierten Kontrolle von Facebook-Messenger-Chatverläufen auf illegale Inhalte als unzulässig abgewiesen (fehlende internationale Zuständigkeit und zu unbestimmter Antrag).

Aus den Entscheidungsgründen:
1. Das Landgericht Kiel ist international nicht zuständig.

Eine Zuständigkeit folgt bereits nicht aus Art. 7 Nr. 2 EuGVVO. Danach kann eine Person, die ihren Wohnsitz im Hoheitsgebiet eines Mitgliedstaates hat, in einem anderen Mitgliedstaat u.a. dann, wenn eine Handlung, die einer unerlaubten Handlung gleichgestellt ist vor dem Gericht des Ortes, an dem das schädigende Ereignis eingetreten ist, verklagt werden. Diese Voraussetzungen sind vorliegend nicht erfüllt.
Zwar hat die Beklagte ihren Sitz im Hoheitsgebiet eines Mitgliedstaates, nämlich in Irland. Denn gemäß Art. 63 Abs. 1 Buchst. a), Abs. 2 EuGVVO haben Gesellschaften und juristische Personen für die Anwendung der Verordnung ihren Wohnsitz an dem Ort, an dem sich u.a. ihr satzungsmäßiger Sitz befindet.

Allerdings liegt der Ort des Eintritts des schädigenden Ereignisses nicht im Gerichtsbezirk des Landgerichts Kiel, sondern am Ort des Interessenmittelpunktes des Klägers in Brüssel. Der Begriff des Anknüpfungspunktes, der Ort, „an dem das schädigende Ereignis eingetreten ist oder einzutreten droht“ ist, wie der Begriff der unerlaubten Handlung, autonom auszulegen. International zuständig nach Art. 7 Nr. 2 EuGVVO ist das Gericht des Ortes, an dem das schädigende Ereignis eingetreten ist oder einzutreten droht. Das schädigende Ereignis i.S.d. Nr. 2 ist sowohl der Ort der Verwirklichung des Schadenserfolgs als auch der Ort des für den Schaden ursächlichen Geschehens (vgl. BeckOK ZPO/Thode, 51. Ed. 1.12.2023, Brüssel Ia-VO Art. 7 Rn. 81, 82 mwN). Der Erfolgsort liegt dort, wo das geschützte Rechtsgut tatsächlich oder voraussichtlich verletzt wird, d.h. an dem Ort, an dem „die schädigenden Auswirkungen des haftungsauslösenden Ereignisses zu Lasten des Betroffenen eintreten“ (vgl. EuGH EuZW 1995, 248 Rn. 28 – Shevill und andere/Presse Alliance). Der Ort der mittelbaren Folgeschäden ist für die Zuständigkeitsbegründung gem. Nr. 2 nicht relevant. Bei Internetdelikten, insbesondere bei Persönlichkeitsrechtsverletzungen im Internet ist Erfolgsort der Ort des Interessenmittelpunktes (vgl. BeckOK IT-Recht/Rühl, 12. Ed. 1.10.2023, VO (EU) Nr. 1215/2012 Art. 7 Rn. 15). Der Ort, an dem eine Person den Mittelpunkt ihrer Interessen hat, entspricht im Allgemeinen ihrem gewöhnlichen Aufenthalt. Jedoch kann eine Person den Mittelpunkt ihrer Interessen auch in einem anderen Mitgliedstaat haben, in dem sie sich nicht gewöhnlich aufhält, sofern andere Indizien wie die Ausübung einer beruflichen Tätigkeit einen besonders engen Bezug zu diesem Staat herstellen können (EuGH, NJW 2012, 137 Rn. 49).

Der Kläger hat schon nicht darzulegen vermocht, dass sein Interessenmittelpunkt im Gerichtsbezirk des Landgerichts Kiel liegt. Auch der nach dem Hinweis der Kammer im Termin zur mündlichen Verhandlung vom 01.02.2024 erfolgte weitere Vortrag des Klägers, er habe in Kiel eine Eigentumswohnung sowie familiäre Beziehungen, ist vorliegend nicht ausreichend, um den Interessenmittelpunkt, nach den dargestellten Maßstäben, des Klägers in Kiel zu begründen. Vielmehr bestimmt sich der Interessenmittelpunkt des Klägers aufgrund seiner Tätigkeit als Abgeordneter im Europäischen Parlament in Brüssel. Die berufliche Tätigkeit des Klägers als Abgeordneter bestimmt im Wesentlichen seinen derzeitigen Aufenthaltsort. So unterhält der Kläger ebenfalls eine Wohnung in Brüssel, um seiner parlamentarischen Arbeit nachgehen zu können. Dass der Kläger in Brüssel keine Familie hat, ist insofern für die Entscheidung über den tatsächlichen Interessenmittelpunkt unerheblich.

Selbst wenn man diesen Vortrag für ausreichend erachten würde, wäre der Kläger insofern beweisfällig geblieben. Denn er hat auch auf den Hinweis der Kammer im Termin zur mündlichen Verhandlung vom 01.02.2024 keinen Beweis angeboten.

Eine internationale Zuständigkeit des Landgerichts Kiel folgt auch nicht aus Art. 17 Abs. 1, 18 EuGVVO. Nach Art. 17 Abs. 1 lit. c) EUGVVO bestimmt sich die Zuständigkeit unbeschadet des Artikels 6 und des Artikels 7 Nr. 5 nach diesem Abschnitt (heißt hier: Art. 18 EuGVVO), wenn ein Vertrag oder Ansprüche aus einem Vertrag, den eine Person, der Verbraucher, zu einem Zweck geschlossen hat, der nicht der beruflichen oder gewerblichen Tätigkeit dieser Person zugerechnet werden kann, Gegenstand des Verfahren sind und wenn der andere Vertragspartner in dem Mitgliedstaat, in dessen Hoheitsgebiet der Verbraucher seinen Wohnsitz hat, eine berufliche oder gewerbliche Tätigkeit ausübt oder eine solche auf irgendeinem Wege auf diesen Mitgliedstaat oder auf mehrere Staaten ausrichtet und der Vertrag in den Bereich dieser Tätigkeit fällt. Diese Voraussetzungen liegen nicht vor.

Der Kläger hat nicht als Verbraucher den Vertrag mit der Beklagten geschlossen. Der Verbraucherbegriff ist eng auszulegen und anhand der Stellung dieser Person innerhalb des konkreten Vertrags in Verbindung mit dessen Natur und Zielsetzung und nicht anhand ihrer subjektiven Stellung zu bestimmen (EuGH, NJW 2018, 1003 Rn. 29).

Bei Verträgen, die sowohl privaten als auch beruflichen oder gewerblichen Zwecken dienen, liegt kein Verbrauchergeschäft vor, es sei denn, der beruflich-gewerbliche Zweck ist derart nebensächlich, dass er im Gesamtzusammenhang des betreffenden Geschäfts nur eine ganz untergeordnete Rolle spielt (EuGH NJW 05, 653; Mankowski IPRax 05, 503). Vorliegend hat der Kläger die streitgegenständliche F-Seite „X“ im Januar 2019 aus Anlass seiner Kandidatur zur Europawahl 2019 für Wahlkampfzwecke eingerichtet. Die Einrichtung der F-Seite und damit auch die Nutzung des F-Messengers diente hiernach ausschließlich beruflichen Zwecken des Klägers.

Entgegen der Auffassung des Klägers stellt seine Tätigkeit als Abgeordneter auch eine berufliche Tätigkeit dar. Von Art. 17 EuGVVO werden nach ständiger Rechtsprechung des EuGH nur Verträge erfasst, die eine Einzelperson ohne Bezug zu einer beruflichen oder gewerblichen Tätigkeit oder Zielsetzung und unabhängig von einer solchen allein zu dem Zweck schließt, ihren Eigenbedarf beim privaten Verbrauch zu decken (EuGH, EuZW 2022, 1061 Rn. 53, beck-online). Es ist entgegen der Auffassung des Klägers auch nicht danach zu unterscheiden, ob es sich bei der beruflichen oder gewerblichen Tätigkeit um eine selbständige Tätigkeit oder eine abhängige Beschäftigung handelt. Es ist lediglich zu ermitteln, ob der Vertrag ohne Bezug zu einer beruflichen oder gewerblichen Tätigkeit oder Zielsetzung und unabhängig von einer solchen geschlossen worden ist (EuGH, EuZW 2022, 1061 Rn. 54, beck-online). Hierbei sind insbesondere die mit dem Abschluss dieses Vertrags verfolgten gegenwärtigen oder zukünftigen Ziele zu berücksichtigen (EuGH, EuZW 2023, 420 Rn. 28).

Diesen Grundsätzen zufolge ist der streitgegenständliche Vertrag ausschließlich im Zusammenhang mit den beruflichen bzw. politischen Interessen des Klägers und seiner Tätigkeit als Abgeordneter abgeschlossen worden. Der Kläger nutzt die F-Seite unstreitig ausschließlich zu diesen beruflichen Zwecken. Auch die Einrichtung der F-Seite erfolgte einzig zu Wahlkampfzwecken im Hinblick auf die Europawahl im Mai 2019.

2. Darüber hinaus ist der Klageantrag nicht hinreichend bestimmt i.S.d. § 253 Abs. 2 Nr. 2 Alt. 2 ZPO. Unterlassungsanträge müssen so konkret gefasst sein, dass bei einer Rechtsverteidigung und der Vollstreckung klar ist, worauf sich das Verbot erstreckt (vgl. Greger in: Zöller, Zivilprozessordnung, 35. Auflage 2024, § 253 ZPO, Rn. 13b).

Dabei genügt die bloße Wiedergabe unbestimmter Tatbestandsmerkmale der verletzten Rechtsnorm in der Regel nicht (vgl. BGH, Urteil vom 4. Oktober 2007 – I ZR 143/04 –, Rn. 14, juris; BGH, Urteil vom 12. März 2020 – I ZR 126/18 –, BGHZ 225, 59-90, Rn. 39, juris).

Unter Berücksichtigung dieser Grundsätze genügt der vom Kläger gestellte Unterlassungsantrag dem Bestimmtheitserfordernis des § 253 Abs. 2 Nr. 2 Alt. 2 ZPO nicht.

Der Unterlassungsantrag bezieht sich verallgemeinert darauf es zu unterlassen, „den Inhalt und die näheren Umstände von mittels „F-Messenger“ versandten Nachrichten von und an den Kläger zur Suche nach möglicherweise rechtswidrigen Inhalten oder Kontaktaufnahmen automatisiert zu analysieren, zu kontrollieren und an Dritte weiterzugeben“. Dieser Antrag gibt lediglich formelhaft die Voraussetzungen des § 3 Abs. 3 TTDSG in verallgemeinerter Form wieder, ohne dabei konkret auf das begehrte Verbot einzugehen. Wie der Kläger mit Schriftsatz vom 27.02.2024 (Bl. 325 f. d.A.) klargestellt hat, begehrt er das Unterlassen einer allgemeinen Kontrolle/Analyse und Weitergabe seiner Nachrichten und gerade nicht nur im Hinblick auf kinderpornografische Inhalte (sog. CSAM). Wie eine anderweitige Kontrolle der Beklagten indes aussehen soll, trägt der Kläger nicht vor.

Insoweit genügt der Antrag gerade nicht noch den Bestimmtheitserfordernissen des § 253 Abs. 2 Nr. 2 ZPO. Dies ist wäre dann der Fall, wenn der Kläger hinreichend deutlich macht, dass er nicht ein Verbot im Umfang des Gesetzeswortlauts beansprucht, sondern sich mit seinem Unterlassungsbegehren an der konkreten Verletzungshandlung orientiert. Die Bejahung der Bestimmtheit setzt in solchen Fällen allerdings grundsätzlich voraus, dass sich das mit dem selbst nicht hinreichend klaren Antrag Begehrte im Tatsächlichen durch Auslegung unter Heranziehung des Sachvortrags des Klägers eindeutig ergibt und die betreffende tatsächliche Gestaltung zwischen den Parteien nicht in Frage gestellt ist, sondern sich der Streit der Parteien ausschließlich auf die rechtliche Qualifizierung der angegriffenen Verhaltensweise beschränkt (BGH, GRUR 2017, 537 Rn. 12 - Konsumgetreide, mwN; BGH, Urteil vom 12. März 2020 – I ZR 126/18 –, BGHZ 225, 59-90, Rn. 39). Diese Voraussetzungen sind vorliegend nicht erfüllt. Auch unter Heranziehung des Sachvortrags des Klägers ist nicht ersichtlich, welche Verhaltensweise der Kläger von der Beklagten tatsächlich begehrt.

3. Darüber hinaus fehlt es dem Kläger auch an einem erforderlichen Rechtsschutzbedürfnis. Mit dem Erfordernis des Rechtsschutzbedürfnisses als Einschränkung des durch Art. 20 Abs. 3 GG iVm Art. 2 Abs. 1 GG verfassungsrechtlich abgesicherten Justizgewährleistungsanspruchs (lediglich) soll verhindert werden, dass die Gerichte als Teil der Staatsgewalt unnütz oder gar unlauter bemüht werden oder ein gesetzlich vorgesehenes Verfahren zur Verfolgung zweckwidriger und insoweit nicht schutzwürdiger Ziele ausgenutzt wird. Es sollen solche Klagebegehren nicht in das Stadium der Begründetheitsprüfung gelangen, die – gemessen am Zweck des Zivilprozesses – ersichtlich eines staatlichen Rechtsschutzes durch eine materiell-rechtliche Prüfung nicht bedürfen (vgl. BGH, NJW-RR 2022, 660 Rn. 16).

Vorliegend fehlt es an diesen Voraussetzungen.

Zum einen kann der Kläger seine von ihm aufgeführten Interessen effektiver und schneller durchsetzen, indem er in den Chats manuell die „Ende-zu-Ende“- Verschlüsselung aktiviert (vgl. OLG Hamm, GRUR 2023, 1791 Rn. 217 f.). Eine Kontrolle der Nachrichten auf kinderpornografische Inhalte ist insofern nach dem übereinstimmenden Parteivortrag nicht mehr möglich.

Zum anderen geht es dem Kläger vorliegend nicht um den Schutz seiner Individualinteressen, sondern um die Durchsetzung einer politischen Kampagne. Dies kann indes nicht im Rahmen eines Zivilprozesses verfolgt werden.

Den Volltext der Entscheidung finden Sie hier:

LAG Düsseldorf
Urteil vom 28.11.2023
3 Sa 285/23

Das LAG Düsseldorf hat entschieden, dass eine verspätete oder unvollständige Auskunftserteilung nach Art. 15 DSGVO keinen Schadensersatzanspruch aus Art. 82 DSGVO begründet.

Die Pressemitteilung des Gerichts:
LAG Düsseldorf: Keine Entschädigung für verspätete und unvollständige Auskunft gemäß Art. 15 DSGVO

Der Kläger war vom 01.12.2016 bis zum 31.12.2016 bei dem Kundenservice eines Immobilienunternehmens, der Beklagten, beschäftigt. Bereits im Jahre 2020 hatte er einen Antrag auf Auskunft gemäß Art. 15 DSGVO gestellt, den die Beklagte beantwortet hatte.

Mit Schreiben vom 01.10.2022, das der Beklagten an diesem Tag zuging, verlangte er erneut Auskunft und eine Datenkopie auf der Grundlage von Art. 15 DSGVO. Er setzte eine Frist bis zum 16.10.2022. Als die Beklagte nicht antwortete, erinnerte der Kläger mit Schreiben vom 21.10.2022 mit weiterer Fristsetzung bis zum 31.10.2022. Die ihm mit Schreiben vom 27.10.2022 erteilte Auskunft rügte der Kläger mit Schrei-ben vom 04.11.2022 als verspätetet und inhaltlich mangelhaft. Es fehlten die konkreten Angaben zur Dauer der Datenspeicherung und die namentlich bezeichneten Empfänger seiner Daten. Außerdem sei die Datenkopie unvollständig. Mit Schreiben vom 11.11.2022 teilte die Beklagte dem Kläger mit, dass die Angaben zu den Datenempfängern die Betroffenen in der Regel nicht interessierten und daher nur kategorisiert mitgeteilt worden seien. Zudem konkretisierte sie die Angaben zur Speicherdauer und die Datenkopie. Mit Schreiben vom 18.11.2022 verlangte der Kläger erneut die namentliche Nennung der Empfänger und auch nähere Angaben zur Speicherdauer. Die Datenkopie sei weiterhin unzureichend. Die Beklagte konkretisierte die Informationen mit Schreiben vom 01.12.2022.

Der Kläger hat von der Beklagten gemäß Art. 82 Abs. 1 DSGVO eine Geldentschädigung nach Ermessen des Gerichts verlangt, die 2.000 Euro nicht unterschreiten sollte, weil sein Auskunftsrecht aus Art. 15 DSGVO durch die Beklagte mehrfach verletzt worden sei. Diese hat dem widersprochen, weil es u.a. bereits an einem im-materiellen Schaden des Klägers fehle.

Anders als das Arbeitsgericht, das dem Kläger wegen des von ihm angenommenen vorsätzlichen Verstoßes der Beklagten eine Geldentschädigung von 10.000 Euro zugesprochen hatte, hat die 3. Kammer des Landesarbeitsgerichts Düsseldorf die Klage heute vollständig abgewiesen. Es treffe zwar zu, dass die Beklagte gegen Art. 12 Abs. 3 DSGVO und Art. 15 DSGVO verstoßen habe. Sie habe die Auskunft nicht fristgerecht und anfangs unvollständig erteilt. Eine vollständige Auskunft habe erst am 01.12.2022, d.h. sechs Wochen nach Ablauf der vom Kläger gesetzten Frist vor-gelegen. Dies begründe indes aus zwei Gründen keinen Anspruch auf eine Geldentschädigung gemäß Art. 82 Abs. 1 DSGVO. Ein Verstoß gegen Art. 15 DSGVO falle bereits nicht in den Anwendungsbereich von Art. 82 DSGVO. Die Vorschrift setzt haftungsbegründend eine gegen die DSGVO verstoßende Datenverarbeitung voraus. Daran fehle es bei der bloßen Verletzung der Auskunftspflicht aus Art. 15 DSGVO - sei es, dass diese verzögert oder anfangs unvollständig erfüllt werde. Unabhängig davon setze Art. 82 DSGVO für einen Anspruch auf eine Geldentschädigung wegen eines immateriellen Schadens mehr als einen bloßen Verstoß gegen die Vorschriften der DSGVO voraus. Der bloße vom Kläger angeführte Kontrollverlust über die Daten genüge nicht und sei mit dem Verstoß gegen Art. 15 DSGVO letztlich identisch. Zu weiterem immateriellen Schaden fehlte es an jeglichem konkreten Vortrag des Klägers.

Das Landesarbeitsgericht hat die Revision zugelassen.

Landesarbeitsgericht Düsseldorf, Urteil vom 28.11.2023 - 3 Sa 285/23
Arbeitsgericht Duisburg, Urteil vom 23.03.2023 - 3 Ca 44/23

Auszug aus der Verordnung (EU) 2016/679 des Europäischen Parlaments und des Rates vom 27. April 2016 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten, zum freien Datenverkehr und zur Aufhebung der Richtlinie 95/46/EG (DSGVO)

"Artikel 12
Transparente Information, Kommunikation und Modalitäten für die Ausübung der Rechte der betroffenen Person

…

(3) Der Verantwortliche stellt der betroffenen Person Informationen über die auf Antrag gemäß den Artikeln 15 bis 22 ergriffenen Maßnahmen unverzüglich, in jedem Fall aber innerhalb eines Monats nach Eingang des Antrags zur Verfügung. Diese Frist kann um weitere zwei Monate verlängert werden, wenn dies unter Berücksichtigung der Komplexität und der Anzahl von Anträgen erforderlich ist. Der Verantwortliche unterrichtet die betroffene Person innerhalb eines Monats nach Eingang des Antrags über eine Fristverlängerung, zusammen mit den Gründen für die Verzögerung. Stellt die betroffene Person den Antrag elektronisch, so ist sie nach Möglichkeit auf elektronischem Weg zu unterrichten, sofern sie nichts anderes angibt.

…

Artikel 15
Auskunftsrecht der betroffenen Person

(1) Die betroffene Person hat das Recht, von dem Verantwortlichen eine Bestätigung darüber zu verlangen, ob sie betreffende personenbezogene Daten verarbeitet werden; ist dies der Fall, so hat sie ein Recht auf Auskunft über diese personenbezogenen Daten und auf folgende Informationen:

a) die Verarbeitungszwecke;

b) die Kategorien personenbezogener Daten, die verarbeitet werden;

c) die Empfänger oder Kategorien von Empfängern, gegenüber denen die personenbezogenen Daten offengelegt worden sind oder noch offengelegt werden, insbesondere bei Empfängern in Drittländern oder bei internationalen Organisationen;

d) falls möglich die geplante Dauer, für die die personenbezogenen Daten gespeichert werden, oder, falls dies nicht möglich ist, die Kriterien für die Festlegung dieser Dauer;

e) das Bestehen eines Rechts auf Berichtigung oder Löschung der sie betreffenden personenbezogenen Daten oder auf Einschränkung der Verarbeitung durch den Verantwortlichen oder eines Widerspruchsrechts gegen diese Verarbeitung;

f) das Bestehen eines Beschwerderechts bei einer Aufsichtsbehörde;

g) wenn die personenbezogenen Daten nicht bei der betroffenen Person erhoben werden, alle verfügbaren Informationen über die Herkunft der Daten;

h) das Bestehen einer automatisierten Entscheidungsfindung einschließlich Profiling gemäß Ar-tikel 22 Absätze 1 und 4 und — zumindest in diesen Fällen — aussagekräftige Informationen über die involvierte Logik sowie die Tragweite und die angestrebten Auswirkungen einer derartigen Verarbeitung für die betroffene Person.

…

(3) Der Verantwortliche stellt eine Kopie der personenbezogenen Daten, die Gegenstand der Verar-beitung sind, zur Verfügung. Für alle weiteren Kopien, die die betroffene Person beantragt, kann der Verantwortliche ein angemessenes Entgelt auf der Grundlage der Verwaltungskosten verlangen. Stellt die betroffene Person den Antrag elektronisch, so sind die Informationen in einem gängigen elektronischen Format zur Verfügung zu stellen, sofern sie nichts anderes angibt.

(4) Das Recht auf Erhalt einer Kopie gemäß Absatz 1b darf die Rechte und Freiheiten anderer Personen nicht beeinträchtigen.

Artikel 82
Haftung und Recht auf Schadenersatz

(1) Jede Person, der wegen eines Verstoßes gegen diese Verordnung ein materieller oder immaterieller Schaden entstanden ist, hat Anspruch auf Schadenersatz gegen den Verantwortlichen oder gegen den Auftragsverarbeiter.

(2) Jeder an einer Verarbeitung beteiligte Verantwortliche haftet für den Schaden, der durch eine nicht dieser Verordnung entsprechende Verarbeitung verursacht wurde. Ein Auftragsverarbeiter haftet für den durch eine Verarbeitung verursachten Schaden nur dann, wenn er seinen speziell den Auftragsverarbeitern auferlegten Pflichten aus dieser Verordnung nicht nachgekommen ist oder unter Nichtbeachtung der rechtmäßig erteilten Anweisungen des für die Datenverarbeitung Verantwortlichen oder gegen diese Anweisungen gehandelt hat.

(3) Der Verantwortliche oder der Auftragsverarbeiter wird von der Haftung gemäß Absatz 2 befreit, wenn er nachweist, dass er in keinerlei Hinsicht für den Umstand, durch den der Schaden einge-treten ist, verantwortlich ist.
…"

EuGH
Urteil vom 11.04.2024
C-741/21

Der EuGH hat entschieden, dass Verstoß gegen Bestimmungen der DSGVO oder Kontrollverlust allein noch keinen Schadensersatzanspruch aus Art. 82 DSGVO begründen. Vielmehr ist der Nachweis eines konkreten immateriellen Schadens erforderlich.

Tenor der Entscheidung:
1. Art. 82 Abs. 1 der Verordnung (EU) 2016/679 des Europäischen Parlaments und des Rates vom 27. April 2016 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten, zum freien Datenverkehr und zur Aufhebung der Richtlinie 95/46/EG (Datenschutz-Grundverordnung) ist dahin auszulegen, dass ein Verstoß gegen Bestimmungen dieser Verordnung, die der betroffenen Person Rechte verleihen, für sich genommen nicht ausreicht, um unabhängig vom Schweregrad des von dieser Person erlittenen Schadens einen „immateriellen Schaden“ im Sinne dieser Bestimmung darzustellen.

2. Art. 82 der Verordnung 2016/679 ist dahin auszulegen, dass es für eine Befreiung des Verantwortlichen von seiner Haftung nach Art. 82 Abs. 3 dieser Verordnung nicht ausreicht, dass er geltend macht, dass der in Rede stehende Schaden durch ein Fehlverhalten einer ihm im Sinne von Art. 29 der Verordnung unterstellten Person verursacht wurde.

3. Art. 82 Abs. 1 der Verordnung 2016/679 ist dahin auszulegen, dass zur Bemessung des Betrags des auf diese Bestimmung gestützten Anspruchs auf Schadenersatz zum einen die in Art. 83 dieser Verordnung vorgesehenen Kriterien für die Festsetzung des Betrags von Geldbußen nicht entsprechend anzuwenden sind und zum anderen nicht zu berücksichtigen ist, dass die Person, die Schadenersatz verlangt, von mehreren Verstößen gegen die Verordnung betroffen ist, die sich auf denselben Verarbeitungsvorgang beziehen.

Den Volltext der Entscheidung finden Sie hier:

BGH
Urteil vom 05.03.2024
VI ZR 330/21
DSGVO Art. 15 Abs. 3

Der BGH hat sich in dieser Entscheidung mit der Reichweite des Begriffs "Kopie der personenbezogenen Daten" im Sinne von Art. 15 Abs. 3 DSGVO befasst.

Leitsatz des BGH:
Zum Begriff "Kopie der personenbezogenen Daten" in Art. 15 Abs. 3 DSGVO.

BGH, Urteil vom 5. März 2024 - VI ZR 330/21 - OLG München - LG München I

Aus den Entscheidungsgründen:
b) Art. 15 Abs. 1 DSGVO gibt der betroffenen Person gegenüber dem datenschutzrechtlich Verantwortlichen (Art. 4 Nr. 7 DSGVO) ein Auskunftsrecht über die Verarbeitung personenbezogener Daten. Art. 15 Abs. 3 DSGVO legt die praktischen Modalitäten für die Erfüllung der dem datenschutzrechtlich Verantwortlichen obliegenden Verpflichtung fest, indem er unter anderem die Form bestimmt, in der die personenbezogenen Daten zur Verfügung zu stellen sind, nämlich in Form einer "Kopie" der Daten, gewährt aber kein anderes Recht als das in Art. 15 Abs. 1 DSGVO vorgesehene (vgl. EuGH, Urteil vom 4. Mai 2023 - C-487/21, NJW 2023, 2253 Rn. 31 f.). Auf dieser Grundlage hat die Klägerin nur Anspruch auf Überlassung von Kopien der von ihr verfassten, bei den Beklagten vorhandenen Schreiben und E-Mails.

aa) Gemäß Art. 4 Nr. 1 DSGVO sind personenbezogene Daten alle Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person ("betroffene Person") beziehen. Nach der Rechtsprechung des Gerichtshofs der Europäischen Union ist der Begriff weit zu verstehen. Er ist nicht auf sensible oder private Informationen beschränkt, sondern umfasst potenziell alle Arten von Informationen sowohl objektiver als auch subjektiver Natur, unter der Voraussetzung, dass es sich um Informationen über die in Rede stehende Person handelt. Die letztgenannte Voraussetzung ist erfüllt, wenn die Information aufgrund ihres Inhalts, ihres Zwecks oder ihrer Auswirkungen mit einer bestimmten Person verknüpft ist (vgl. EuGH, Urteil vom 4. Mai 2023 - C-487/21, NJW 2023, 2253 Rn. 23 f.; Senatsurteil vom 15. Juni 2021 - VI ZR 576/19, NJW 2021, 2726 Rn. 22 mwN).

Nach diesen Grundsätzen sind - wovon das Berufungsgericht zu Recht ausgegangen ist - Schreiben der betroffenen Person an den Verantwortlichen ihrem gesamten Inhalt nach als personenbezogene Daten einzustufen, da die personenbezogene Information bereits darin besteht, dass die betroffene Person sich dem Schreiben gemäß geäußert hat, umgekehrt aber Schreiben des Verantwortlichen an die betroffene Person nur insoweit, als sie Informationen über die betroffene Person nach den oben genannten Kriterien enthalten (vgl. Senatsurteile vom 6. Februar 2024 - VI ZR 15/23, zVb; vom 15. Juni 2021 - VI ZR 576/19, NJW 2021, 2726 Rn. 25; BGH, Urteil vom 27. September 2023 - IV ZR 177/22, NJW 2023, 3490 Rn. 48). Dass diese Schreiben der betroffenen Person bereits bekannt sind, schließt den datenschutzrechtlichen Auskunftsanspruch nicht aus (vgl. Senatsurteil vom 15. Juni 2021 - VI ZR 576/19, NJW 2021, 2726 Rn. 25 mwN).

bb) Mit ihrem vom Berufungsgericht zuerkannten Antrag verlangt die Klägerin - wie erläutert -, ihr eine Abschrift von Telefonnotizen, Aktenvermerken, Gesprächsprotokollen, E-Mails, Briefen und Zeichnungsunterlagen für Kapitalanlagen zu überlassen, in denen personenbezogene Daten der Klägerin enthalten sind, die die Beklagten verarbeiten. Nach den Ausführungen unter aa) handelt es sich zwar bei den von der Klägerin verfassten Schreiben und E-Mails, die den Beklagten vorliegen, ihrem gesamten Inhalt nach um personenbezogene Daten, weshalb die Klägerin im Ergebnis nach Art. 15 Abs. 3 DSGVO eine Kopie dieser Schreiben und E-Mails fordern kann, auch wenn sich der Begriff der Kopie in dieser Vorschrift nicht auf ein Dokument als solches bezieht, sondern auf die personenbezogenen Daten, die es enthält (vgl. EuGH, Urteile vom 26. Oktober 2023 - C-307/22, NJW 2023, 3481 Rn. 72; vom 4. Mai 2023 - C-487/21, NJW 2023, 2253 Rn. 32). Denn die Kopie muss alle personenbezogenen Daten enthalten, die Gegenstand der Verarbeitung sind (EuGH, Urteile vom 26. Oktober 2023 - C-307/22, NJW 2023, 3481 Rn. 73; vom 4. Mai 2023 - C-487/21, NJW 2023, 2253 Rn. 32, 39). Der Vollständigkeit der Auskunft kann hier nur durch eine Kopie des gesamten Dokuments genügt werden.

Demgegenüber handelt es sich - entgegen der Ansicht des Berufungsgerichts - weder bei Schreiben und E-Mails der Beklagten, noch bei Telefonnotizen, Aktenvermerken oder Gesprächsprotokollen der Beklagten und auch nicht bei Zeichnungsunterlagen für Kapitalanlagen zwangsläufig in ihrer Gesamtheit um personenbezogene Daten der Klägerin, auch wenn sie Informationen über die Klägerin enthalten. Zwar ist bei internen Vermerken wie Telefonnotizen oder Gesprächsprotokollen, die festhalten, wie sich die Klägerin telefonisch oder in persönlichen Gesprächen äußerte, denkbar, dass der Vermerk ausschließlich Informationen über die Klägerin enthält. Es kann jedoch nicht davon ausgegangen werden, dass dies in allen Fällen so ist. Deshalb ergibt sich aus dem Erfordernis, eine vollständige Auskunft über personenbezogene Daten zu erteilen, kein Anspruch der Klägerin darauf, dass - wie von ihr gefordert - alle diese Dokumente im Gesamten als Kopie zu überlassen sind. Zwar kann sich die Reproduktion von Auszügen aus Dokumenten oder gar von ganzen Dokumenten oder auch von Auszügen aus Datenbanken unabhängig vom Erfordernis, eine vollständige Auskunft zu erteilen, dann als unerlässlich erweisen, wenn die Kontextualisierung der verarbeiteten Daten erforderlich ist, um ihre Verständlichkeit zu gewährleisten und der betroffenen Person die wirksame Ausübung ihrer Rechte zu gewährleisten (vgl. EuGH, Urteile vom 4. Mai 2023 - C-487/21, NJW 2023, 2253 Rn. 41, 45; vom 22. Juni 2023 - C-579/21, NJW 2023, 2555 Rn. 66; vom 26. Oktober 2023 - C-307/22, NJW 2023, 3481 Rn. 74 f.; Senatsurteil vom 6. Februar 2024 - VI ZR 15/23, zVb; BGH, Urteil vom 27. September 2023 - IV ZR 177/22, NJW 2023, 3490 Rn. 51 ff.). Die Klägerin hat aber weder in den Vorinstanzen dazu vorgetragen noch ist sonst ersichtlich, dass die Kontextualisierung der verarbeiteten Daten erforderlich ist, um ihre Verständlichkeit zu gewährleisten, sodass ausnahmsweise die Übermittlung einer Kopie der geforderten Telefonnotizen, Aktenvermerke, Gesprächsprotokolle, E-Mails und Briefe der Beklagten sowie Zeichnungsunterlagen für Kapitalanlagen nötig wäre.

Den Volltext der Entscheidung finden Sie hier:

BGH
Beschluss vom 23.01.2024
II ZB 8/23
DSGVO Art. 17 Abs. 1, Art. 18 Abs. 1 Buchst. d, Art. 21 Abs. 1; HGB § 9 Abs. 1, § 10 Abs. 1, § 106 Abs. 1, Abs. 2 Nr. 2 Buchst. a, § 162 Abs. 1; HRV § 40 Nr. 5 Buchst. c

Der BGH hat entschieden, dass ein Kommanditist keinen Anspruch auf Löschung von Wohnort und Geburtsdatum aus dem Handelsregister nach Art . 17 Abs. 1 DSGVO hat.

Leitsätze des BGH:
a) Der Kommanditist hat keinen Anspruch aus Art. 17 Abs. 1 DS-GVO auf Löschung seines Geburtsdatums und seines Wohnorts im Handelsregister.

b) Der Kommanditist hat keinen Anspruch auf Einschränkung der Verarbeitung seines Geburtsdatums und seines Wohnorts durch das Registergericht aus Art. 18 Abs. 1 Buchst. d, Art. 21 Abs. 1 DS-GVO.

BGH, Beschluss vom 23. Januar 2024 - II ZB 8/23 - OLG Celle - AG Walsrode

Den Volltext der Entscheidung finden Sie hier:

BGH
Beschluss vom 23.01.2024
II ZB 7/23
DSGVO Art. 17 Abs. 1, Art. 18 Abs. 1 Buchst. d, Art. 21 Abs. 1; GmbHG § 7 Abs. 1, § 10 Abs. 1; HGB § 9 Abs. 1, § 10 Abs. 1; HRV § 24 Abs. 1, § 43 Nr. 4 Satz Buchst. b

Der BGH hat entschieden, dass ein GmbH-Geschäftsführer keinen Anspruch auf Löschung von Wohnort und Geburtsdatum aus dem Handelsregister nach Art . 17 Abs. 1 DSGVO hat.

Leitsätze des BGH:
a) Der Geschäftsführer einer GmbH hat keinen Anspruch aus Art. 17 Abs. 1 DS-GVO auf Löschung seines Geburtsdatums und seines Wohnorts im Handelsregister.

b) Der Wohnort des Geschäftsführers einer GmbH ist zur Eintragung in das Handelsregister anzumelden.

c) Ein Widerspruchsrecht gemäß Art. 21 Abs. 1 DS-GVO besteht nicht, wenn die Datenverarbeitung aufgrund von Art. 6 Abs. 1 Buchst. c DS-GVO zur Erfüllung einer rechtlichen Pflicht des Verantwortlichen erfolgt. Das gilt auch dann, wenn die Verarbeitung zugleich nach Art. 6 Abs. 1 Buchst. e DS-GVO erlaubt wäre. Auch ein Anspruch aus Art. 18 Abs. 1 Buchst. d DS-GVO auf Einschränkung der Verarbeitung besteht in diesem Fall nicht.

BGH, Beschluss vom 23. Januar 2024 - II ZB 7/23 - OLG Celle - AG Walsrode

Den Volltext der Entscheidung finden Sie hier:

EuGH
Urteil vom 21.03.2024
C-61/22

Der EuGH hat entschieden, dass die Erfassung und Speicherung des Fingerabdrucks auf dem Personalausweis mit der DSGVO sowie Art. 7 und 8 der EU-Grundrechte-Charta vereinbar ist.

Aus den Entscheidungsgründen:
B. Zum zweiten Ungültigkeitsgrund: Nichtbeachtung von Art. 35 Abs. 10 DSGVO
Der zweite vom vorlegenden Gericht angeführte Ungültigkeitsgrund stützt sich darauf, dass die Verordnung 2019/1157 unter Verstoß gegen Art. 35 Abs. 10 DSGVO ohne Durchführung einer Datenschutz-Folgenabschätzung erlassen worden sei.

Hierzu ist darauf hinzuweisen, dass nach Art. 35 Abs. 1 DSGVO der Verantwortliche, wenn eine Form der Verarbeitung, insbesondere bei Verwendung neuer Technologien, aufgrund der Art, des Umfangs, der Umstände und der Zwecke der Verarbeitung voraussichtlich ein hohes Risiko für die Rechte und Freiheiten natürlicher Personen zur Folge hat, vorab eine Abschätzung der Folgen der vorgesehenen Verarbeitungsvorgänge für den Schutz personenbezogener Daten durchführen muss. Art. 35 Abs. 3 DSGVO stellt klar, dass eine solche Folgenabschätzung im Fall umfangreicher Verarbeitung besonderer Kategorien personenbezogener Daten gemäß Art. 9 Abs. 1 DSGVO (wie biometrischer Daten zur eindeutigen Identifizierung einer natürlichen Person) erforderlich ist.

Da im vorliegenden Fall die Verordnung 2019/1157 selbst keinen Vorgang im Zusammenhang mit personenbezogenen Daten oder Sätzen von personenbezogenen Daten durchführt, sondern lediglich vorsieht, dass die Mitgliedstaaten im Fall der Beantragung eines Personalausweises bestimmte Verarbeitungen vornehmen, ist festzustellen, dass der Erlass dieser Verordnung nicht von der vorherigen Durchführung einer Abschätzung der Folgen der vorgesehenen Verarbeitungsvorgänge im Sinne von Art. 35 Abs. 1 DSGVO abhängig war. Art. 35 Abs. 10 DSGVO enthält insoweit eine Ausnahme von Art. 35 Abs. 1 DSGVO.

Da nach den vorstehenden Ausführungen Art. 35 Abs. 1 DSGVO beim Erlass der Verordnung 2019/1157 nicht anzuwenden war, konnte dieser Erlass folglich nicht gegen Art. 35 Abs. 10 der Verordnung 2016/679 verstoßen.

Nach alledem vermag der zweite Grund, der auf einen Verstoß gegen Art. 35 Abs. 10 DSGVO gestützt wird, nicht zur Ungültigkeit der Verordnung 2019/1157 zu führen.

C. Zum dritten Ungültigkeitsgrund: Unvereinbarkeit von Art. 3 Abs. 5 der Verordnung 2019/1157 mit den Art. 7 und 8 der Charta

Der dritte vom vorlegenden Gericht angeführte Grund für die Ungültigkeit der Verordnung 2019/1157 betrifft die Frage, ob die in Art. 3 Abs. 5 der Verordnung vorgesehene Verpflichtung, zwei vollständige Fingerabdrücke in das Speichermedium der von den Mitgliedstaaten ausgestellten Personalausweise aufzunehmen, eine nicht gerechtfertigte Einschränkung der in den Art. 7 und 8 der Charta garantierten Rechte mit sich bringt.

[...]

In die Beurteilung der Schwere des Eingriffs, den eine Einschränkung der in den Art. 7 und 8 der Charta garantierten Rechte bewirkt, sind die Art der betroffenen personenbezogenen Daten, insbesondere der möglicherweise sensible Charakter dieser Daten, sowie die Art und die konkreten Modalitäten der Datenverarbeitung, u. a. die Zahl der Personen, die Zugang zu diesen Daten haben, und die Modalitäten des Zugangs zu diesen Daten, einzubeziehen. Gegebenenfalls ist auch zu berücksichtigen, ob diese Daten nicht Gegenstand missbräuchlicher Verarbeitungen sind.

Im vorliegenden Fall kann die sich aus der Verordnung 2019/1157 ergebende Einschränkung der Ausübung der in den Art. 7 und 8 der Charta garantierten Rechte zwar eine große Zahl von Personen betreffen, wobei diese Zahl von der Kommission in ihrer Folgenabschätzung auf 370 Millionen der damals 440 Millionen Einwohner der Union geschätzt wurde. Fingerabdrücke sind als biometrische Daten naturgemäß besonders sensibel und genießen, wie u. a. aus dem 51. Erwägungsgrund der DSGVO hervorgeht, im Unionsrecht einen besonderen Schutz.

Die Erfassung und Speicherung von zwei vollständigen Fingerabdrücken ist nach der Verordnung 2019/1157 jedoch nur im Hinblick auf die Aufnahme dieser Fingerabdrücke in das Speichermedium von Personalausweisen gestattet.

Des Weiteren ergibt sich aus Art. 3 Abs. 5 in Verbindung mit Art. 10 Abs. 3 der Verordnung, dass, sobald diese Aufnahme erfolgt und der Personalausweis der betroffenen Person ausgehändigt worden ist, die erfassten Fingerabdrücke ausschließlich auf dem Speichermedium dieses Ausweises gespeichert werden, der sich grundsätzlich im physischen Besitz der betroffenen Person befindet.

Schließlich sieht die Verordnung 2019/1157 eine Reihe von Garantien vor, die die Risiken begrenzen sollen, dass bei ihrer Durchführung personenbezogene Daten zu anderen Zwecken als zur Erreichung der mit ihr verfolgten Ziele erhoben oder verwendet werden, und zwar nicht nur in Bezug auf die Vorgänge der Verarbeitung personenbezogener Daten, die diese Verordnung zwingend vorschreibt, sondern auch im Hinblick auf die hauptsächlichen Verarbeitungen, denen die in das Speichermedium der Personalausweise aufgenommenen Fingerabdrücke unterzogen werden können.

Was erstens die Datenerfassung betrifft, sieht Art. 10 Abs. 1 und 2 der Verordnung 2019/1157 vor, dass biometrische Identifikatoren „ausschließlich durch qualifiziertes und ordnungsgemäß befugtes Personal erfasst“ werden und dass dieses Personal „angemessene und wirksame Verfahren für die Erfassung biometrischer Identifikatoren“ einhalten muss, wobei diese Verfahren den in der Charta, in der EMRK und im Übereinkommen der Vereinten Nationen über die Rechte des Kindes verankerten Rechten und Grundsätzen entsprechen müssen. Zudem enthält Art. 3 Abs. 7 der Verordnung, wie in Rn. 93 des vorliegenden Urteils ausgeführt, Sonderregelungen für Kinder unter zwölf Jahren (Unterabs. 1 und 2) sowie für Personen, bei denen eine Abnahme von Fingerabdrücken physisch nicht möglich ist (Unterabs. 3), wobei die letztgenannten Personen „von der Pflicht zur Abgabe von Fingerabdrücken befreit“ sind.

Was zweitens die Speicherung der Daten betrifft, verpflichtet die Verordnung 2019/1157 zum einen die Mitgliedstaaten, ein Gesichtsbild und zwei Fingerabdrücke als biometrische Daten zu speichern. Insoweit stellt der 21. Erwägungsgrund der Verordnung ausdrücklich klar, dass diese „keine Rechtsgrundlage für die Einrichtung oder Aufrechterhaltung von Datenbanken auf nationaler Ebene zur Speicherung biometrischer Daten in den Mitgliedstaaten [darstellt], zumal es sich dabei um eine Frage des nationalen Rechts handelt, welches dem Unionsrecht im Bereich Datenschutz entsprechen muss“ und sie auch „keine Rechtsgrundlage für die Einrichtung oder Aufrechterhaltung einer zentralen Datenbank auf der Ebene der Union“ darstellt. Zum anderen sieht Art. 10 Abs. 3 der Verordnung vor, dass diese „biometrischen Identifikatoren … ausschließlich bis zu dem Tag der Abholung des Dokuments und keinesfalls länger als 90 Tage ab dem Tag der Ausstellung des Dokuments gespeichert“ werden, und stellt klar, dass „die biometrischen Identifikatoren [nach diesem Zeitraum] umgehend gelöscht oder vernichtet“ werden.

Daraus ergibt sich insbesondere, dass Art. 10 Abs. 3 der Verordnung 2019/1157 es den Mitgliedstaaten nicht gestattet, biometrische Daten zu anderen als den in dieser Verordnung vorgesehenen Zwecken zu verarbeiten. Außerdem steht diese Bestimmung einer zentralen Speicherung von Fingerabdrücken entgegen, die über die vorläufige Speicherung dieser Abdrücke zum Zweck der Personalisierung von Personalausweisen hinausgeht.

Schließlich weist Art. 11 Abs. 6 der Verordnung 2019/1157 auf die Möglichkeit hin, dass die im sicheren Speichermedium enthaltenen biometrischen Daten gemäß dem Unionsrecht und dem nationalen Recht von ordnungsgemäß befugten Mitarbeitern der zuständigen nationalen Behörden und Agenturen der Union verwendet werden dürfen.

Was Art. 11 Abs. 6 Buchst. a der Verordnung betrifft, erlaubt diese Bestimmung die Verwendung von auf dem Speichermedium von Personalausweisen und Aufenthaltsdokumenten gespeicherten biometrischen Daten nur, um den Personalausweis oder das Aufenthaltsdokument auf seine Echtheit zu überprüfen.

Art. 11 Abs. 6 Buchst. b der Verordnung 2019/1157 sieht vor, dass die auf dem Speichermedium von Personalausweisen und Aufenthaltsdokumenten gespeicherten biometrischen Daten zur Überprüfung der Identität des Inhabers „anhand direkt verfügbarer abgleichbarer Merkmale …, wenn die Vorlage des Personalausweises oder Aufenthaltsdokuments gesetzlich vorgeschrieben ist“, verwendet werden können. Da eine solche Verarbeitung jedoch geeignet ist, zusätzliche Informationen über das Privatleben der betroffenen Personen zu liefern, kann sie nur zu Zwecken, die strikt auf die Identifizierung der betroffenen Person beschränkt sind, und unter durch gesetzliche Bestimmungen über die Vorlage des Personalausweises oder des Aufenthaltsdokuments genau abgegrenzten Voraussetzungen erfolgen.

Was drittens die Abfrage der auf dem Speichermedium von Personalausweisen gespeicherten biometrischen Daten anbelangt, ist darauf hinzuweisen, dass der 19. Erwägungsgrund der Verordnung 2019/1157 eine Rangfolge bei der Verwendung der Mittel zur Überprüfung der Echtheit des Dokuments und der Identität des Inhabers aufstellt, indem er vorsieht, dass die Mitgliedstaaten „vorrangig das Gesichtsbild überprüfen“ müssen und, falls zur zweifelsfreien Bestätigung der Echtheit des Dokuments und der Identität des Inhabers notwendig, „auch die Fingerabdrücke“.

Was viertens das Risiko des unbefugten Zugriffs auf die gespeicherten Daten betrifft, sieht Art. 3 Abs. 5 und 6 der Verordnung 2019/1157 zur Reduzierung dieses Risikos auf ein Minimum vor, dass die Fingerabdrücke auf einem „hochsicheren Speichermedium“ gespeichert werden, das „eine ausreichende Kapazität [aufweist] und geeignet [ist], die Integrität, die Authentizität und die Vertraulichkeit der Daten sicherzustellen“. Zudem geht aus Art. 3 Abs. 10 dieser Verordnung hervor, dass dann, wenn „die Mitgliedstaaten im Personalausweis Daten für elektronische Dienste wie elektronische Behördendienste und den elektronischen Geschäftsverkehr [speichern], … diese nationalen Daten physisch oder logisch getrennt sein [müssen]“, insbesondere von Fingerabdrücken, die auf der Grundlage der Verordnung erhoben und gespeichert wurden. Schließlich ergibt sich aus den Erwägungsgründen 41 und 42 sowie aus Art. 11 Abs. 4 dieser Verordnung, dass die Mitgliedstaaten für die ordnungsgemäße Verarbeitung biometrischer Daten verantwortlich bleiben, auch wenn sie mit externen Dienstleistungsanbietern zusammenarbeiten.

ii) Zur Bedeutung der verfolgten Zielsetzungen

Wie in Rn. 86 des vorliegenden Urteils ausgeführt, zielt die Aufnahme von zwei Fingerabdrücken in das Speichermedium von Personalausweisen darauf ab, die Herstellung gefälschter Personalausweise und den Identitätsdiebstahl zu bekämpfen sowie die Interoperabilität der Systeme zur Überprüfung von Identitätsdokumenten zu gewährleisten. Insoweit ist sie geeignet, zum Schutz des Privatlebens der betroffenen Personen sowie im weiteren Sinne zur Bekämpfung von Kriminalität und Terrorismus beizutragen.

Des Weiteren ermöglicht es eine solche Maßnahme, sowohl dem Bedürfnis jedes Unionsbürgers nachzukommen, über ein Mittel zu verfügen, um sich zuverlässig zu identifizieren, als auch dem der Mitgliedstaaten, sich zu vergewissern, dass den Personen, die sich auf durch das Unionsrecht anerkannte Rechte berufen, diese Rechte auch tatsächlich zustehen. Sie trägt somit insbesondere dazu bei, den Unionsbürgern die Ausübung ihres Freizügigkeits- und Aufenthaltsrecht zu erleichtern, das ebenfalls ein in Art. 45 der Charta verbürgtes Grundrecht ist. Somit haben die mit der Verordnung 2019/1157, insbesondere durch die Aufnahme von zwei Fingerabdrücken in das Speichermedium von Personalausweisen, verfolgten Zielsetzungen nicht nur für die Union und die Mitgliedstaaten, sondern auch für die Unionsbürger besondere Bedeutung.

Im Übrigen werden die Legitimität und Bedeutung dieser Zielsetzungen nicht durch den vom vorlegenden Gericht angeführten Umstand in Frage gestellt, dass in den Rn. 24 bis 26 der Stellungnahme 7/2018 darauf hingewiesen wurde, dass zwischen 2013 und 2017 nur 38 870 gefälschte Personalausweise festgestellt worden seien und dass diese Zahl seit mehreren Jahren abnehme.

Selbst wenn man nämlich von einer geringen Zahl der gefälschten Personalausweise ausginge, war der Unionsgesetzgeber nicht verpflichtet, bis zum Anstieg dieser Zahl zu warten, um Maßnahmen zur Vermeidung des Risikos der Verwendung solcher Ausweise zu erlassen, sondern konnte, insbesondere im Interesse der Risikokontrolle, eine solche Entwicklung vorwegnehmen, sofern die übrigen Voraussetzungen in Bezug auf die Achtung des Grundsatzes der Verhältnismäßigkeit gewahrt wurden.

iii) Abwägung

Nach alledem ist festzustellen, dass die Einschränkung der Ausübung der in den Art. 7 und 8 der Charta garantierten Rechte, die sich aus der Aufnahme von zwei Fingerabdrücken in das Speichermedium von Personalausweisen ergibt, angesichts der Art der in Rede stehenden Daten, der Art und der Modalitäten der Verarbeitungsvorgänge sowie der vorgesehenen Schutzmechanismen nicht so schwer erscheint, dass sie außer Verhältnis zur Bedeutung der verschiedenen mit dieser Maßnahme verfolgten Zielsetzungen stünde. Somit ist davon auszugehen, dass eine solche Maßnahme auf einer ausgewogenen Gewichtung zwischen diesen Zielsetzungen und den betroffenen Grundrechten beruht.

Folglich verstößt die Einschränkung der Ausübung der in den Art. 7 und 8 der Charta garantierten Rechte nicht gegen den Grundsatz der Verhältnismäßigkeit, so dass der dritte Ungültigkeitsgrund nicht zur Ungültigkeit der Verordnung 2019/1157 zu führen vermag.

Den Volltext der Entscheidung finden Sie hier:

EuGH
Urteil vom 14.03.2024
C‑46/23

Der EuGH hat entschieden, dass eine datenschutzrechtliche Aufsichtsbehörde auch ohne Antrag des Betroffenen die Löschung unrechtmäßig verarbeiteter personenbezogener Daten anweisen darf.

Tenor der Entscheidung:
1. Art. 58 Abs. 2 Buchst. d und g der Verordnung (EU) 2016/679 des Europäischen Parlaments und des Rates vom 27. April 2016 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten, zum freien Datenverkehr und zur Aufhebung der Richtlinie 95/46/EG (Datenschutz-Grundverordnung) ist dahin auszulegen, dass die Aufsichtsbehörde eines Mitgliedstaats den Verantwortlichen oder Auftragsverarbeiter in Ausübung ihrer in diesen Bestimmungen vorgesehenen Abhilfebefugnisse selbst dann zur Löschung unrechtmäßig verarbeiteter personenbezogener Daten anweisen darf, wenn die betroffene Person keinen entsprechenden Antrag auf Ausübung ihrer Rechte nach Art. 17 Abs. 1 dieser Verordnung gestellt hat.

2. Art. 58 Abs. 2 der Verordnung 2016/679 ist dahin auszulegen, dass sich die Befugnis der Aufsichtsbehörde eines Mitgliedstaats, die Löschung unrechtmäßig verarbeiteter personenbezogener Daten anzuordnen, sowohl auf bei der betroffenen Person erhobene als auch auf aus einer anderen Quelle stammende Daten beziehen kann.

Die Pressemitteilung des EuGH:
Schutz personenbezogener Daten: Die Aufsichtsbehörde eines Mitgliedstaats kann selbst dann die Löschung unrechtmäßig verarbeiteter Daten anordnen, wenn die betroffene Person zuvor keinen entsprechenden Antrag gestellt hat

Eine solche Löschung kann sich sowohl auf bei der betroffenen Person erhobene als auch auf aus einer anderen Quelle stammende Daten beziehen.

2020 beschloss die Kommunalverwaltung Újpest (Ungarn), Personen, die zu einer von der Covid-19-Pandemie gefährdeten Gruppe gehörten, finanziell zu unterstützen. Sie ersuchte deshalb die ungarische Staatskasse und die Regierungsbehörde des IV. Bezirks der Hauptstadt Budapest, ihr die zur Prüfung der Anspruchsvoraussetzungen erforderlichen personenbezogenen Daten zu übermitteln.

Aufgrund eines Hinweises stellte die zuständige ungarische Datenschutzbehörde (im Folgenden: Aufsichtsbehörde) fest, dass sowohl die Verwaltung Újpest als auch die ungarische Staatskasse und die Regierungsbehörde gegen Regelungen der DSGVO1 verstoßen hatten. Entsprechende Geldbußen wurden verhängt.

Die Aufsichtsbehörde stellte fest, dass die Verwaltung Újpest die betroffenen Personen innerhalb der dafür geltenden Frist von einem Monat weder über die Verwendung ihrer Daten und den Zweck dieser Verarbeitung noch über ihre Datenschutzrechte informiert hatte. Zudem wies sie die Verwaltung Újpest an, die Daten anspruchsberechtigter Personen, die keine Unterstützung beantragt hatten, zu löschen.

Die Verwaltung Újpest hat diese Entscheidung beim Hauptstädtischen Stuhlgericht (Ungarn) angefochten und macht geltend, die Aufsichtsbehörde sei nicht befugt, die Löschung personenbezogener Daten anzuordnen, wenn die betroffene Person zuvor keinen entsprechenden Antrag gestellt habe.

Das ungarische Gericht ersucht den Gerichtshof um Auslegung der DSGVO.

Mit seinem heutigen Urteil antwortet der Gerichtshof, dass die Aufsichtsbehörde eines Mitgliedstaats von Amts wegen die Löschung unrechtmäßig verarbeiteter Daten anordnen darf, also selbst dann, wenn die betroffene Person zuvor keinen entsprechenden Antrag gestellt hat, falls eine solche Maßnahme zur Erfüllung ihrer Aufgabe erforderlich ist, die darin besteht, über die umfassende Einhaltung der DSGVO zu wachen. Erkennt die Aufsichtsbehörde, dass eine Datenverarbeitung nicht der DSGVO entspricht, so muss sie dem festgestellten Verstoß abhelfen, und zwar auch dann, wenn die betroffene Person zuvor keinen Antrag gestellt hat. Denn das Erfordernis einer solchen Antragstellung würde bedeuten, dass der Verantwortliche bei fehlendem Antrag die betreffenden personenbezogenen Daten weiterhin speichern und unrechtmäßig verarbeiten dürfte.

Außerdem kann die Aufsichtsbehörde eines Mitgliedstaats die Löschung unrechtmäßig verarbeiteter Daten unabhängig davon anordnen, ob sie unmittelbar bei der betroffenen Person erhoben wurden oder aus einer anderen Quelle stammen.

Den Volltext der Entscheidung finden Sie hier:

BGH
Urteil vom 06.02.2024
VI ZR 15/23
DSGVO Art. 15 Abs. 1, 3

Der BGH hat abermals entschieden, dass Art. 15 Abs. 1 und 3 DSGVO keinen Anspruch auf Abschriften der Begründungsschreiben samt Anlagen zu Prämienanpassungen einer privaten Krankenversicherung gewährt.

Leitsatz des BGH:
Aus Art. 15 Abs. 1 und 3 DSGVO folgt grundsätzlich kein Anspruch auf Abschriften der Begründungsschreiben samt Anlagen zu Prämienanpassungen in der privaten Krankenversicherung (Anschluss an BGH, Urteil vom27. September 2023 - IV ZR 177/22, NJW 2023, 3490 Rn. 45 ff.).

BGH, Urteil vom 6. Februar 2024 - VI ZR 15/23 - OLG Celle - LG Verden

Den Volltext der Entscheidung finden Sie hier:

EuGH
Urteil vom 07.03.2024
C-604/22
IAB Europe gegen Gegevensbeschermingsautoriteit

Der EuGH hat entschieden, dass die TC-Strings der IAB Europe personenbezogene Daten im Sinne der DSGVO sind.

Tenor der Entscheidung:
1. Art. 4 Nr. 1 der Verordnung (EU) 2016/679 des Europäischen Parlaments und des Rates vom 27. April 2016 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten, zum freien Datenverkehr und zur Aufhebung der Richtlinie 95/46/EG (Datenschutz-Grundverordnung) ist dahin auszulegen, dass eine aus einer Kombination von Buchstaben und Zeichen bestehende Zeichenfolge wie der TC‑String (Transparency and Consent String), die die Präferenzen eines Internetnutzers oder Nutzers einer Anwendung in Bezug auf dessen Einwilligung in die Verarbeitung der ihn betreffenden personenbezogenen Daten durch Anbieter von Websites oder Anwendungen sowie durch Datenbroker und Werbeplattformen enthält, ein personenbezogenes Datum im Sinne dieser Bestimmung darstellt, soweit sie, wenn sie mit vertretbarem Aufwand einer Kennung wie insbesondere der IP‑Adresse des Geräts dieses Nutzers zugeordnet werden kann, es erlaubt, die betreffende Person zu identifizieren. Unter diesen Umständen schließt der Umstand, dass eine Branchenorganisation, die im Besitz dieser Zeichenfolge ist, ohne einen Beitrag von außen weder Zugang zu den Daten hat, die von ihren Mitgliedern im Rahmen der von ihr aufgestellten Regeln verarbeitet werden, noch diese Zeichenfolge mit anderen Elementen kombinieren kann, nicht aus, dass diese Zeichenfolge ein personenbezogenes Datum im Sinne dieser Bestimmung darstellt.

2. Art. 4 Nr. 7 und Art. 26 Abs. 1 der Verordnung 2016/679 sind dahin auszulegen, dass

– zum einen eine Branchenorganisation, soweit sie ihren Mitgliedern einen von ihr aufgestellten Regelungsrahmen in Bezug auf die Einwilligung im Bereich der Verarbeitung personenbezogener Daten anbietet, der nicht nur verbindliche technische Vorschriften enthält, sondern auch Vorschriften, die detailliert festlegen, wie personenbezogene Daten, die diese Einwilligung betreffen, gespeichert und verbreitet werden müssen, als „gemeinsam Verantwortlicher“ im Sinne dieser Bestimmungen einzustufen ist, wenn sie unter Berücksichtigung der besonderen Umstände des vorliegenden Falles aus Eigeninteresse auf die betreffende Verarbeitung personenbezogener Daten Einfluss nimmt und damit gemeinsam mit ihren Mitgliedern die Zwecke der und die Mittel zur betreffenden Verarbeitung festlegt. Der Umstand, dass eine solche Branchenorganisation selbst keinen unmittelbaren Zugang zu den von ihren Mitgliedern innerhalb dieses Regelungsrahmens verarbeiteten personenbezogenen Daten hat, schließt nicht aus, dass sie ein gemeinsam Verantwortlicher im Sinne dieser Bestimmungen sein kann;

– zum anderen sich die gemeinsame Verantwortlichkeit dieser Branchenorganisation nicht automatisch auf die Weiterverarbeitung personenbezogener Daten durch Dritte, wie beispielsweise Anbieter von Websites oder Anwendungen, erstreckt, was die Nutzerpräferenzen für gezielte Online-Werbung betrifft.

Die Pressemitteilung des EuGH:
Versteigerung von personenbezogenen Daten für Werbezwecke: der Gerichtshof stellt die Regeln auf der Grundlage der DSGVO klar

Wenn ein Nutzer eine Website oder eine Anwendung mit einem Werbeplatz aufruft, können Werbeunternehmen, Datenbroker und Werbeplattformen, die Tausende von Werbetreibenden vertreten, anonym in Echtzeit Gebote abgeben, um diesen Werbeplatz zu erhalten und dort auf das Profil des Nutzers abgestimmte Werbung anzuzeigen (Real Time Bidding).

Bevor jedoch eine solche gezielte Werbung angezeigt wird, muss die vorherige Einwilligung des Nutzers zur Erhebung und Verarbeitung seiner Daten (insbesondere seinen Standort, sein Alter, den Verlauf seiner Suchanfragen und seine zuletzt getätigten Einkäufe betreffend) für bestimmte Zwecke, wie u. a. Marketing oder Werbung, oder zum Austausch dieser Daten mit bestimmten Anbietern eingeholt werden. Der Nutzer kann dem auch widersprechen.

IAB Europe ist ein Verband ohne Gewinnerzielungsabsicht mit Sitz in Belgien, der Unternehmen der digitalen Werbe- und Marketingindustrie auf europäischer Ebene vertritt. IAB Europe hat eine Lösung entwickelt, die dieses Versteigerungssystem mit der DSGVO in Einklang bringen können soll. Die Nutzerpräferenzen werden in einem aus einer Kombination von Buchstaben und Zeichen bestehenden String kodiert und gespeichert, der als „Transparency and Consent String“ (TC-String) bezeichnet wird und der mit Brokern für personenbezogene Daten und Werbeplattformen geteilt wird, damit diese wissen, worin der Nutzer eingewilligt oder wogegen er Widerspruch eingelegt hat. Auf dem Gerät des Nutzers wird auch ein Cookie gespeichert. Miteinander kombiniert, können der TC-String und das Cookie der IP-Adresse dieses Nutzers zugeordnet werden.

Im Jahr 2022 stellte die belgische Datenschutzbehörde fest, dass der TC-String ein personenbezogenes Datum im Sinne der DSGVO darstelle und dass IAB Europe als Verantwortlicher aufgetreten sei, ohne die Vorschriften der DSGVO vollständig einzuhalten. Die Behörde verhängte gegen IAB Europe mehrere Abhilfemaßnahmen sowie eine Geldbuße. IAB Europe focht diese Entscheidung an und wandte sich an den Appellationshof Brüssel, der dem Gerichtshof Fragen zur Vorabentscheidung vorgelegt hat.

Mit seinem Urteil bestätigt der Gerichtshof, dass der TC-String Informationen über einen identifizierbaren Nutzer enthält und somit ein personenbezogenes Datum im Sinne der DSGVO darstellt. Anhand der in einem TC-String enthaltenen Informationen kann nämlich, wenn sie einer Kennung wie insbesondere der IP-Adresse des Geräts des Nutzers zugeordnet werden, ein Profil dieses Nutzers erstellt und die betreffende Person identifiziert werden.

Darüber hinaus ist IAB Europe als „gemeinsam Verantwortlicher“ im Sinne der DSGVO anzusehen. Vorbehaltlich der vom vorlegenden Gericht vorzunehmenden Prüfungen scheint diese Organisation nämlich bei der Speicherung der Einwilligungspräferenzen der Nutzer in einem TC-String auf die Verarbeitungen personenbezogener Daten Einfluss zu nehmen und gemeinsam mit ihren Mitgliedern sowohl die Zwecke dieser Verarbeitungen als auch die ihnen zugrunde liegenden Mittel festzulegen. Allerdings kann, unbeschadet einer etwaigen im nationalen Recht vorgesehenen zivilrechtlichen Haftung, IAB Europe für Datenverarbeitungen, die nach der Speicherung der Einwilligungspräferenzen der Nutzer in einem TC-String erfolgen, nur dann als im Sinne der DSGVO verantwortlich angesehen werden, wenn nachgewiesen werden kann, dass dieser Verband Einfluss auf die Festlegung der Zwecke und Modalitäten dieser Weiterverarbeitungen ausgeübt hat.

Den Volltext der Entscheidung finden Sie hier:

AG Lörrach
Urteil vom 05.02.2024
3 C 661/23

Das AG Lörrach hat entschieden, dass der Auskunftsanspruch gemäß Art. 15 DSGVO auch gespeicherte Audiomitschnitte von Telefongesprächen umfasst.

Aus den Entscheidungsgründen:
I) Die Klage ist hinsichtlich des Auskunftsanspruchs nach Art. 15 DSGVO unstreitig gegeben. Zwischen den Parteien blieb bis zuletzt lediglich streitig, ob der Audiomitschnitt vom Telefongespräch Ende 2022 übermittelt wurde. Dafür bot die Beklagte keinen Beweis an, obwohl sie die Erfüllung zu beweisen hatte. Damit war die Beklagte dahingehend noch zu verurteilen.

II) Der Kläger hat gegen die Beklagte einen Anspruch auf Schadensersatz in Höhe seiner vorgerichtlichen Anwaltskosten in Höhe von 713,76 €. Dieser Anspruch richtet sich nach § 257 BGB auf Freistellung. Der Anspruch gründet für verschiedene Streitgegenstände auf verschiedenen Anspruchsgrundlagen (1)-3)). Hinsichtlich der Rechtsanwaltsgebühren ist der Streitwert aber einheitlich zu bestimmen, woraus sich die Schadenshöhe ergibt (4)).

1) Wegen der vorgerichtlichen Aufforderung zur Datenauskunft nach Art. 15 DSGVO hat der Kläger gegen die Beklagte einen Anspruch auf Ersatz der vorgerichtlichen Anwaltskosten aus Art. 82 DSGVO.

a) Die Beklagte hat gegen Art. 6 DSGVO verstoßen, indem sie die personenbezogenen Daten des Klägers ohne Rechtfertigung verarbeitet hat. Die Beklagte erhielt die Daten des Klägers ohne sein Wissen und Wollen. Die erlangten Daten benutzte die Beklagte, um den Kläger anzurufen und einen Vertragsschluss anzubieten. Die Telefondaten und die Personalien des Klägers sind personenbezogene Daten nach Art. 4 Nr. 1 DSGVO. Indem die Beklagte die Daten erhalten hat und bei sich selbst gespeichert hat, liegt eine Verarbeitung nach Art. 4 Nr. 2 DSGVO vor. Die Daten wurden anschließend für den Anruf und die Vertragsanbahnung verwendet, womit eine weitere Verarbeitung vorliegt. Solch eine Verarbeitung ist nur unter den Voraussetzungen des Art. 6 Abs. 1 DSGVO rechtmäßig. Die Beklagte hat keinen Fall davon vorgetragen. Insbesondere hat sie nicht vorgetragen, dass der Kläger zu solch einer Verarbeitung zustimmt hat. Soweit in der mündlichen Verhandlung erörtert wurde, woher die Beklagte die Daten hat und der Sohn des Klägers informatorisch angehört wurde, konnte er nicht bestätigen, dass er gegenüber der a. GmbH eine Einwilligung erteilt hat. Es ist auch nicht ersichtlich, dass unter einer Abwägung der Interessen die Verarbeitung gerechtfertigt war (Art. 6 Abs. 1 lit. f) DSGVO). Damit liegt ein Verstoß gegen eine konkrete Datenschutzbestimmung vor. Es kommt also nicht darauf an, ob auch anderweitige Verstöße ausreichen (dazu: BeckOK DatenschutzR/Quaas, 46. Ed. 1.11.2023, DS-GVO Art. 82 Rn. 14; EuGH GRUR-RS 2023, 8972).

b) Soweit auch die a. GmbH für die rechtswidrige Verarbeitung der personenbezogenen Daten verantwortlich war, ändert dies nichts daran, dass die Beklagte nach Art. 82 Abs. 4 DSGVO auch alleine für den gesamten Schaden haftet.

c) Die Beklagte konnte sich auch nicht nach Art. 82 Abs. 3 DSGVO exkulpieren, weil die Beklagte sowohl für die Speicherung als auch für die Verwendung selbst verantwortlich ist.

d) Als Schaden kann der Kläger die vorgerichtlichen Anwaltskosten für die Geltendmachung des Anspruchs aus Art. 15 DSGVO geltend machen.

aa) Hinsichtlich der Schadenshöhe hat der EuGH festgestellt, dass sich dieser grundsätzlich nach den nationalen Vorschriften ergibt. Dies darf allerdings nicht gegen die unionsrechtlichen Grundsätze der Äquivalenz und der Effektivität verstoßen. (EuGH GRUR-RS 2023, 8972, Rn. 59) Dahingehend ist zu berücksichtigen, dass die DSGVO einen vollständigen und wirksamen Schadensersatz für den erlittenen Schaden sicherstellen soll. (EuGH GRUR-RS 2023, 8972, Rn. 57) Damit ist kein Strafschadensersatz gefordert. (EuGH GRUR-RS 2023, 8972, Rn. 58) Allerdings erfordert Sinn und Zweck der DSGVO eine weite Auslegung des Schadensbegriffs (BeckOK DatenschutzR/Quaas, 46. Ed. 1.11.2023, DS-GVO Art. 82 Rn. 29).

bb) Hinsichtlich entstandener Rechtsanwaltskosten ist es im Rahmen von § 249 BGB anerkannt, dass diese ersetzt werden müssen, wenn man sich vorprozessual anwaltlicher Hilfe bedient hat, um einen Schadensersatzanspruch geltend zu machen (BeckOGK/Brand, 1.3.2022, BGB § 249 Rn. 178). Der Kläger macht aber Rechtsanwaltskosten geltend, weil er sich zur Durchsetzung seines Anspruchs aus Art. 15 DSGVO eines Anwalts bedient hat, was keinen Schadensersatzanspruch beinhaltet. Ein Schaden müsste sich damit aus den allgemeinen Grundsätzen der §§ 249 ff. BGB ergeben.

Nach der Differenzhypothese sind die Güterlagen mit und ohne schädigendes Ereignis zu bewerten (BeckOGK/Brand, 1.3.2022, BGB § 249 Rn. 12). Danach kann ein Schaden angenommen werden, weil das schädigende Ereignis die Erlangung der Daten durch die Beklagte und deren Verwendung ist. Ohne dieses Ereignis, hätte der Kläger niemals einen Anspruch aus Art. 15 DSGVO geltend machen wollen.

Die Beauftragung eines Anwalts geschah nach dem schädigenden Ereignis und basiert auf einem eigenen Willensentschluss des Klägers. Es handelt sich aber trotzdem um einen unfreiwilligen Schaden und keine Aufwendung als freiwilliges Vermögensopfer. Ein Schaden bei freiwilligen Vermögensopfern liegt vor, wenn sie aus Sicht eines verständigen Menschen in der Lage des Geschädigten erforderlich sind, um die Folgen einer Rechtsgutsverletzung zu beseitigen. (BeckOGK/Brand, 1.3.2022, BGB § 249 Rn. 10) Das ist vorliegend der Fall. Die Rechtsgutsverletzung ist die rechtswidrige Datenverarbeitung. Für den Kläger war es erforderlich, zunächst das Ausmaß dieser Rechtsgutsverletzung in Erfahrung zu bringen, um sich anschließend um die Schadensbehebung zu bemühen. Für die Durchsetzung des Anspruches aus Art. 15 DSGVO war auch die Einschaltung eines Anwalts erforderlich. Dem Kläger war es nicht nach § 254 BGB zuzumuten den Anspruch selbst zu verfolgen (so auch: LG Lübeck, Urteil vom 7. Dezember 2023 – 15 O 73/23 –, juris Rn. 192; LG Nürnberg-Fürth, Beschluss vom 20. Oktober 2023 – 10 O 1510/22 –, juris Rn. 162). Es kann nicht erwartet werden, dass ein juristischer Laie die Regelungen und Ansprüche aus der DSGVO kennt, um diese selbst durchzusetzen.

cc) Auch in der Literatur wird angenommen, dass vorgerichtliche Anwaltskosten ein Schaden sein können (BeckOK DatenschutzR/Quaas, 46. Ed. 1.11.2023, DS-GVO Art. 82 Rn. 29; Boehm in: Simitis/Hornung/Spiecker gen. Döhmann, Datenschutzrecht, 1. Auflage 2019, DSGVO Art. 82 Rn. 28: gerade in Bezug für die Ermittlung und Hilfe den immateriellen Schaden zu beseitigen). Auch in der Rechtsprechung wird dies angenommen (LG Lübeck, Urteil vom 7. Dezember 2023 – 15 O 73/23 –, juris Rn. 192; LG Nürnberg-Fürth, Beschluss vom 20. Oktober 2023 – 10 O 1510/22 –, juris Rn. 162).

dd) Da ein Schaden nach deutschem Recht angenommen werden kann, liegt auch kein Verstoß gegen die unionsrechtlichen Grundsätze der Äquivalenz und der Effektivität vor, da einer weiten Auslegung von Art. 82 DSGVO Rechnung getragen wird.

ee) Die Rechtsfrage ist auch nicht dem EuGH im Wege eines Vorabentscheidungsverfahrens vorzulegen. In der zitierten Entscheidung (EuGH GRUR-RS 2023, 8972) hat er bereits explizit entschieden, dass für die Schadenshöhe das nationale Recht anwendbar ist, dies aber nicht gegen die eigenständigen Anforderungen von Art. 82 DSGVO verstoßen darf. Diese Grundsätze wurden hier beachtet. Eine weitergehende Auslegung von EU-Recht noch ungeklärter Fragen ist nicht veranlasst.

2) Sowohl wegen des Strom- und Gaslieferungsvertrags und der Abwehr der Ansprüche daraus hat der Kläger gegen die Beklagte einen Anspruch auf Schadensersatz auf Erstattung der vorgerichtlichen Anwaltskosten aus §§ 280 Abs. 1; 311 Abs. 2 Nr. 2; 241 Abs. 2 BGB; 7 Abs. 2 Nr. 1 UWG.

a) Zwischen den Parteien bestand ein Schuldverhältnis nach § 311 Abs. 2 Nr. 2 BGB, weil die Beklagte den Kläger zur Vertragsanbahnung angerufen hat.

b) Dabei hat die Beklagte gegen ihre Rücksichtnahmepflicht aus § 241 Abs. 2 BGB i. V. m. § 7 Abs. 2 Nr. 1 UWG verstoßen. Sie hat ihn unaufgefordert angerufen und keine Einwilligung eingeholt, was einen Verstoß gegen § 7 Abs. 2 Nr. 1 UWG darstellt, weil der Kläger Verbraucher nach § 13 BGB war. Dem steht nicht entgegen, dass hier die Vertragsanbahnung und die Pflichtverletzung zusammengehen. Die Pflichtverletzung setzte sich nämlich fort, indem die Beklagte den Anruf aufrechterhielt ohne eine Einwilligung nach § 7a UWG einzuholen (so auch: AG Remscheid, Urteil vom 26. November 2015 – 7 C 73/15 –, juris; LG Arnsberg, Urteil vom 22. Januar 2015 – 8 O 133/14 –, juris Rn. 24; dagegen zweifelnd, aber nicht entschieden: OLG Hamm, Urteil vom 7. Oktober 2016 – 12 U 38/15 –, juris Rn. 38).

Soweit für die Beklagte ein Mitarbeiter handelte, wird ihr dieses Verhalten nach § 278 BGB zugerechnet.

c) Es wird vermutet, dass die Beklagte dies zu vertreten hat (§ 280 Abs. 2 BGB). Die Beklagte handelte sogar vorsätzlich, weil sie es gerade darauf anlegte, den Kläger unaufgefordert anzurufen. Auch hier wird das Verhalten des Mitarbeiters nach § 278 BGB zugerechnet.

Randnummer35
d) Als Schadensersatz kann der Kläger die vorgerichtlichen Anwaltskosten zur Klärung des fehlenden Vertragsverhältnisses und Abwehr der daraus resultierenden Ansprüche verlangen (§ 249 Abs. 1 BGB).

aa) Allein wegen des unerlaubten Anrufs nach § 7 Abs. 2 Nr. 1 UWG kam es zu dem für den Kläger unklaren Vertragsverhältnis zu der Beklagten. Damit waren die Vermögensinteressen des Klägers gefährdet, weil er befürchten musste, dass die Beklagte ungerechtfertigte Zahlungsansprüche geltend macht. Als juristischen Laien war es dem Kläger nicht zumutbar, das tatsächliche Vertragsverhältnis selbst zu klären. Es war somit für ihn erforderlich, einen Anwalt zu beauftragen. Dieser Vermögensschaden des Klägers war auch kausal aufgrund der Pflichtverletzung, weil das unklare Vertragsverhältnis gerade aus dem ungewollten Telefonanruf hervorging.

bb) Daran ändert nichts, dass die Beklagte mit Schreiben vom 14.02.2023 den Gaslieferungsvertrag kündigte. Entscheidend war, ob überhaupt ein Vertrag zustande kam. Im Kündigungsschreiben wurde auch noch angekündigt, dass eine Abschlussrechnung erfolgen werde. Damit ging die Beklagte weiterhin von einem geschlossenen Vertrag aus.

Hinsichtlich des Vertrags über Stromlieferung musste der Beklagte bis zu Schluss davon ausgehen, dass die Beklagte von einem bestehenden Vertrag ausging, weil er keine gegenteilige Information erhielt.

3) Sowohl wegen des Strom- und Gaslieferungsvertrags und der Abwehr der Ansprüche daraus kann der Kläger gegen die Beklagte Schadensersatz auf Erstattung der vorgerichtlichen Anwaltskosten aus §§ 831; 823 Abs. 2 BGB i. V. m. §§ 20 Abs. 1 Nr. 1; 7 Abs. 2 Nr. 1 UWG und damit aus einer weiteren Anspruchsgrundlage verlangen.

a) § 7 Abs. 2 Nr. 1 UWG ist an sich kein Schutzgesetz im Sinne des § 823 Abs. 2 BGB, weil die §§ 8 ff. UWG die zivilrechtliche Folgen des Verstoßes abschließend regeln (OLG Köln, Urteil vom 18. November 2022 – 6 U 49/22 –, juris). Allerdings ist § 7 Abs. 2 Nr. 1 UWG darüber hinaus nach § 20 Abs. 1 Nr. 1 UWG bußgeldbewährt. Diese Norm ist als Schutzgesetz im Sinne des § 823 Abs. 2 BGB einzuordnen (BeckOK UWG/Fritzsche, 22. Ed. 1.10.2023, UWG § 7 Rn. 21). Der Schutzumfang ist derselbe, weshalb nicht entschieden werden muss, ob § 7 Abs. 2 Nr. 1 UWG nicht doch selbst nach richtlinienkonformer Auslegung (Art. 13 ePrivacy-RL) als Schutzgesetz anzusehen ist (so: Köhler/Bornkamm/Feddersen/Köhler, 42. Aufl. 2024, UWG § 7 Rn. 24).

Das Gericht folgt auch dieser in der Literatur vertretene Auffassung. Eine Norm ist ein Schutzgesetz nach § 823 Abs. 2 BGB, wenn sie gerade Individualinteressen schützen möchte. Das ist hier der Fall. Das UWG will Verbraucher schützen (§ 1 Abs. 1 UWG). Dieser Schutz ist besonders ausgeprägt. So gewährt § 7 Abs. 2 Nr. 1 UWG Schutz vor sogenannten Cold-Calls. Dieser ist gegenüber Verbrauchern besonders ausgestaltet, da bei ihnen eine ausdrückliche Einwilligung eingeholt werden muss und ein Verstoß dagegen bußgeldbewährt ist, was bei Nicht-Verbrauchern jeweils nicht der Fall ist. Die Norm will somit nicht nur die Allgemeinheit vor Cold-Calls schützen, sondern auch einzelne Verbraucher vor dessen Gefahren bewahren. Wegen § 20 Abs. 1 Nr. 1 UWG kann nicht davon ausgegangen werden, dass die §§ 8 ff. UWG eine weitergehende zivilrechtliche Haftung ausschließen, weil die §§ 8 ff. UWG nicht die zivilrechtlichen Folgen von § 20 Abs. 1 Nr. 1 UWG regelt und § 20 Abs. 1 Nr. 1 UWG auch nicht denselben Regelungsgehalt von § 7 Abs. 2 Nr. 1 UWG hat, sondern einen eingeschränkteren Anwendungsbereich hat.

b) Die Beklagte verstieß gegen § 7 Abs. 2 Nr. 1 UWG. Sie holte beim Kläger keine Einwilligung ein für den ungefragten Anruf und zwischen den Parteien bestand auch davor keine Vertragsbeziehung. Der Kläger war Verbraucher nach § 13 BGB.

c) Dieses Vorgehen war durch die Beklagte auch so geplant, weshalb sie vorsätzlich nach § 823 Abs. 2 S. 2 BGB handelte.

d) Da für die Beklagte ein Mitarbeiter als Verrichtungsgehilfe handelte, haftet die Beklagte selbst nach § 831 BGB. Sie kann sich nicht nach § 831 Abs. 1 S. 2 BGB exkulpieren, weil dazu nichts vorgetragen wurde.

e) Als Schaden kann der Kläger die vorgerichtlichen Rechtsanwaltskosten nach § 249 Abs. 1 BGB verlangen.

aa) Der Kläger war damit konfrontiert, dass die Beklagte von zwei abgeschlossenen Verträgen ausging, was tatsächlich nicht der Fall war. Grundlage dafür war gerade die unzumutbare Belästigung nach § 7 Abs. 2 Nr. 1 UWG. Um diese Belastung zu beseitigen, hat Kläger zunächst Widerrufserklärungen abgegeben. Dies war aber nicht erfolgreich, weil der Kläger anschließend mit Gas zwangsbeliefert wurde und hinsichtlich des Vertrags über den Strom für ihn weiter nicht erkenntlich war, ob die Beklagte von einem wirksamen Vertrag ausging. Für den Kläger war es damit erforderlich einen Anwalt zu beauftragen, um das Vertragsverhältnis zu klären. Als juristischer Laie war ihm nicht klar, ob ein abgeschlossener Vertrag vorliegt oder er dies noch verhindern konnte. Für ihn war aber klar, dass zumindest die Beklagte noch von einem abgeschlossenen Vertrag ausging.

Damit wollte der Kläger nicht nur außervertragliche Ansprüche abwehren, wofür die Voraussetzungen der Geltendmachung von außergerichtlichen Rechtsanwaltskosten hoch sind (dazu: AG Lörrach, Urteil vom 25. September 2023 – 3 C 560/23 –, juris unter Verweis auf: BGH, NJW 2009, 1262). Für den Kläger ging es darum, ob der Vertrag an sich besteht. Gerade diese Unsicherheit will § 7 Abs. 2 Nr. 1 UWG vermeiden und die Beseitigung davon ist vom Schutzzweck und damit vom Schadensumfang umfasst.

bb) Daran ändert nichts, dass die Beklagte mit Schreiben vom 14.02.2023 den Gaslieferungsvertrag kündigte. Entscheidend war, ob überhaupt ein Vertrag zustande kam. Im Kündigungsschreiben wurde auch noch angekündigt, dass eine Abschlussrechnung erfolgen werde. Damit ging die Beklagte weiterhin von einem geschlossenen Vertrag aus.

Hinsichtlich des Vertrags über Stromlieferung musste der Beklagte bis zu Schluss davon ausgehen, dass die Beklagte von einem bestehenden Vertrag ausging, weil er keine gegenteilige Information erhielt.

4) Die Schadenshöhe für die jeweiligen Schadensersatzansprüche des Klägers setzen sich aus einem einheitlichen Streitwert zusammen, der die Höhe der Rechtsanwaltsgebühren bestimmt. Die Angelegenheit wurde als eine einzige behandelt und dafür ist ein einheitlicher Streitwert nach § 22 Abs. 1 RVG zu bilden.

Für den Auskunftsanspruch nahm der Kläger 1.000 € an, für den Gasliefervertrag 500 € und für den Stromliefervertrag 5.000 €. Die Beklagte ist diesen Werten nicht entgegengetreten. Zumindest hinsichtlich der Gasrechnung verlangte die Beklagte noch 654 €, weshalb die angesetzten 500 € angemessen waren. Soweit die Beklagte den Wert des Stromliefervertrags in Höhe von 5.000 € nicht anzweifelt, hält das Gericht auch diesen Betrag für angemessen. Hinsichtlich des Auskunftsanspruchs sieht das Gericht auch keinen Grund an der Angemessenheit von 1.000 € als Streitwert zu zweifeln.

Ausgehend von einem Streitwert von 6.500 € kann eine 1,3 Geschäftsgebühr, die Pauschale und die Mehrwertsteuer in Höhe von insgesamt 713,76 € verlangt werden.

C) Die Beklagte hat die Kosten des Rechtsstreits nach § 91 ZPO zu tragen, weil sie den Rechtsstreit verloren hat. Soweit der Rechtsstreit beidseitig für erledigt erklärt wurde, hat die Beklagte die Kosten nach § 91a ZPO zu tragen. Der Klageantrag Nr. 1 war ursprünglich zulässig und begründet. Wegen der Anspruchsberühmung war der Feststellungsantrag zulässig nach § 256 ZPO (BeckOK ZPO/Bacher, 51. Ed. 1.12.2023, ZPO § 256 Rn. 22). Die Beklagte forderte von dem Kläger noch 654 € aus dem Gasliefervertrag. Die Klage war auch begründet. Zwischen den Parteien kam kein Vertrag zustande. Für einen Vertragsschluss war die Beklagte beweisbelastet und hat dafür keinen Beweis angeboten, so dass auch damit zu rechnen war, dass sie den Prozess dahingehend verloren hätte. Dies erledigte sich dadurch, dass die Beklagte während des Prozesses versicherte aus dem Gasliefervertrag keine Ansprüche geltend machen zu wollen, damit war die Klage zum Zeitpunkt des erledigenden Ereignisses zulässig und begründet.

Den Volltext der Entscheidung finden Sie hier:

BFH
Beschluss vom 08.02.Februar 2024
IX B 113/22

Der BFH hat entschieden, dass juristische Personen keine Ansprüche nach der DSGVO und damit auch keinen Auskunftsanspruch gemäß Art. 15 DSGVO haben.

Aus den Entscheidungsgründen:
2. Ein Anspruch auf Überlassung der begehrten elektronischen Kopien über den Anwendungsbereich des § 78 FGO hinaus ergibt sich entgegen der Auffassung der Klägerin nicht aus Art. 15 Abs. 1 Halbsatz 2, Abs. 3 DSGVO.

a) Dabei kann dahinstehen, ob ‑‑wie vom X. Senat des BFH bereits entschieden‑‑ die Finanzgerichtsordnung dem Datenschutzrecht und damit auch dem Auskunftsrecht aus Art. 15 DSGVO vorgeht (BFH-Beschluss vom 29.08.2019 - X S 6/19, Rz 23, unter Verweis auf die Stellungnahme der Bundesregierung in ihrer Gegenäußerung zur Bundesratsstellungnahme vom 23.03.2017 zu Nr. 6, BTDrucks 18/11655, S. 27; ebenso BFH-Beschluss vom 18.03.2021 - V B 29/20, BFHE 272, 296, BStBl II 2021, 710, Rz 23; zu § 299 der Zivilprozessordnung vgl. Beschluss des Thüringer Oberlandesgerichts vom 22.06.2023 - 2 VA 5/23; zustimmend z.B. Brandis in Tipke/Kruse, § 78 FGO Rz 1; kritisch Schaz, Deutsche Steuer-Zeitung 2020, 338, 339 f.).

b) Jedenfalls enthält die Datenschutz-Grundverordnung nach deren Art. 1 Abs. 1 und 2 nur Vorschriften zum Schutze natürlicher Personen. Sie erfasst nicht die Daten, die juristische Personen betreffen (EuGH-Urteil J & S Service vom 10.12.2020 - C-620/19, EU:C:2020:1011, Rz 41). Als betroffene Personen kommen daher nur natürliche Personen in Betracht (vgl. Art. 4 Nr. 1 DSGVO). Im Erwägungsgrund 14 der DSGVO heißt es hierzu, dass die Datenschutz-Grundverordnung nicht für die Verarbeitung personenbezogener Daten juristischer Personen und insbesondere als juristische Person gegründeter Unternehmen, einschließlich Name, Rechtsform oder Kontaktdaten der juristischen Person, gilt. Dementsprechend betont der EuGH, dass der Begriff "Informationen, die sich auf Körperschaften beziehen" streng von dem unionsrechtlich definierten Begriff der personenbezogenen Daten natürlicher Personen zu unterscheiden ist. Das Recht natürlicher Personen auf Schutz ihrer personenbezogenen Daten ist ein Grundrecht, das durch Art. 8 Abs. 1 der Charta der Grundrechte der Europäischen Union garantiert wird. Dagegen werden Informationen, die juristische Personen betreffen, im Unionsrecht nicht in vergleichbarer Weise geschützt (vgl. EuGH-Urteil J & S Service vom 10.12.2020 - C-620/19, EU:C:2020:1011, Rz 46).

Im Streitfall kann die Klägerin, eine GmbH, als juristische Person daher keine Rechte aus Art. 15 DSGVO ableiten.

c) Ob der Gesellschafter-Geschäftsführer der Klägerin gegebenenfalls Rechte betreffend Daten einer sogenannten "Ein-Mann-GmbH" geltend machen kann, braucht der Senat nicht zu entscheiden. Den hier streitgegenständlichen Antrag hat der Gesellschafter-Geschäftsführer der Klägerin nicht als möglicherweise betroffene natürliche Person im eigenen Namen, sondern im Namen der Klägerin, also einer juristischen Person, gestellt.

d) Auch soweit sich die Klägerin auf § 2a Abs. 5 der Abgabenordnung (AO) beruft, begründet dies keine Anwendung des Art. 15 DSGVO. Die Anwendungserweiterung der Datenschutz-Grundverordnung durch § 2a Abs. 5 AO gilt nur für das Besteuerungsverfahren nach der Abgabenordnung (so auch Drüen in Tipke/Kruse, § 2a AO Rz 24a), nicht jedoch für das Verfahren vor den Finanzgerichten.

3. Der erkennende Senat sieht keinen Anlass für die Einholung einer Vorabentscheidung des EuGH nach Art. 267 des Vertrags über die Arbeitsweise der Europäischen Union.

a) Nach Ansicht des Senats bestehen ‑‑auf Grundlage der oben genannten Rechtsprechung des EuGH‑‑ keine Zweifel daran, dass gemäß Art. 1 Abs. 1 und 2 DSGVO juristische Personen keine Rechte aus der Datenschutz-Grundverordnung ableiten können, sondern lediglich die dahinterstehenden, betroffenen (natürlichen) Personen.

b) Mangels Anwendbarkeit der Datenschutz-Grundverordnung ist im vorliegenden Verfahren auch nicht klärbar, ob FA und FG gemeinsam Verantwortliche im Sinne des Art. 26 DSGVO sein können.

c) Die Frage, ob Art. 23 Abs. 1 DSGVO von seinem Anwendungsbereich nationale Gesetzgebungsmaßnahmen, die vor dem Inkrafttreten der Datenschutz-Grundverordnung erlassen wurden, ausschließt, hat der EuGH bereits beantwortet (EuGH-Urteil FT (Copies du dossier médical) vom 26.10.2023 - C-307/22, EU:C:2023:811, Rz 56) und ist im Streitfall auch nicht entscheidungserheblich.

Den Volltext der Entscheidung finden Sie hier:

EuGH
Schlussanträge vom 28.02.2024
C-693/22
Verkauf einer Datenbank

Der EuGH-Generalanwalt kommt in seinen Schlussanträgen zu dem Ergebnis, dass die Veräußerung einer Datenbank mit personenbezogenen Daten im Zwangsvollstreckungsverfahren ohne Zustimmung der Betroffenen DSGVO-konform und zulässig sein kann.

Die Pressemitteilung des EuGH:
Nach Ansicht von Generalanwalt Priit Pikamäe kann eine Datenbank mit personenbezogenen Daten unter bestimmten Voraussetzungen im Rahmen eines Zwangsvollstreckungsverfahrens verkauft werden, auch wenn die von diesen Daten betroffenen Personen dem nicht zugestimmt haben.

Das ist dann der Fall, wenn die mit einem solchen Verkauf verbundene Datenverarbeitung in einer demokratischen Gesellschaft zur Sicherstellung der Durchsetzung eines zivilrechtlichen Anspruchs notwendig und verhältnismäßig ist .
Bei einem polnischen Gericht ist ein Rechtsstreit anhängig zwischen einer Gesellschaft und einem Mitglied des Vorstands einer anderen Gesellschaft, die auf den Online-Verkauf spezialisiert ist und gegenüber der die erstgenannte Gesellschaft eine Forderung hat. Die vermögensrechtliche Haftung dieses Mitglieds kann dann geltend gemacht werden, wenn die Schuldnergesellschaft nicht über hinreichende Vermögenswerte verfügt, um die Forderung der Gläubigergesellschaft zu befriedigen. Das Vorstandsmitglied ist jedoch der Ansicht, dass dies nicht der Fall sei, da die Schuldnergesellschaft u. a. zwei Datenbanken mit Daten von Nutzern der von ihr geschaffenen Online-Plattform besitze. Diese Datenbanken enthalten personenbezogene Daten von Hunderttausenden von Personen, die der Verarbeitung ihrer Daten in Form einer Bereitstellung an Dritte außerhalb dieser Plattform nicht zugestimmt haben.

Das polnische Gericht hat Zweifel, ob die Datenschutz-Grundverordnung (DSGVO) es einem Gerichtsvollzieher gestattet, diese Datenbanken in einem Zwangsvollstreckungsverfahren ohne die Zustimmung der von diesen Daten betroffenen Personen zu veräußern, und hat daher den Gerichtshof angerufen.

In seinen Schlussanträgen schlägt Generalanwalt Priit Pikamäe dem Gerichtshof vor, dies zu bejahen.

Seiner Ansicht nach fallen die von dem Gerichtsvollzieher zur Schätzung des Werts der betreffenden Datenbanken und zu ihrer Versteigerung vorgenommenen Handlungen in den Anwendungsbereich der DSGVO. Diese Handlungen umfassten nämlich mindestens das Auslesen, das Abfragen und die Verwendung der personenbezogenen Daten und ihre Bereitstellung an den Erwerber und seien daher als eine „Verarbeitung“ dieser Daten im Sinne dieser Verordnung anzusehen. Zudem meint der Generalanwalt, dass der Gerichtsvollzieher als der für diese Verarbeitung Verantwortliche eingestuft werden müsse.

Außerdem vertritt der Generalanwalt den Standpunk , dass die in Rede stehende Verarbeitung rechtmäßig sei, wenn sie für die Wahrnehmung einer dem Gerichtsvollzieher übertragenen Aufgabe, die in Ausübung öffentlicher Gewalt erfolge, erforderlich sei.

Schließlich stellt der Generalanwalt fest, dass sich der Zweck der von dem Gerichtsvollzieher vorgenommenen Verarbeitung von dem ursprünglichen Zweck unterscheide, der darin bestanden habe, die Nutzung der in Rede stehenden Online-Plattform zu ermöglichen. Damit diese weitere Verarbeitung als mit der DSGVO vereinbar angesehen werden könne, müsse sie eine in einer demokratischen Gesellschaft notwendige und verhältnismäßige Maßnahme zur Erreichung eines der mit dieser Verordnung verfolgten Ziele im öffentlichen Interesse darstellen. Nach Auffassung des Generalanwalts kann unter diesen Zielen das der Durchsetzung zivilrechtlicher Ansprüche grundsätzlich die Verarbeitung der vorliegend in Rede stehenden Daten rechtfertigen. Er hebt auch hervor, dass die Prüfung der Verhältnismäßigkeit, die dem polnischen Gericht obliege, eine Abwägung zwischen dem Eigentumsrecht der Gläubigergesellschaft und dem Recht der Nutzer der in Rede stehenden Online-Plattform auf Schutz personenbezogener Daten impliziere.

Die vollständigen Schlussanträge finden Sie hier:

BayVGH
Beschluss vom 15.02.2023
4 CE 23.2267

Der BayVGH hat entschieden, dass die Erhebung und Speicherung von Drohnenaufnahmen zu Durchführung der Beitrags- und Gebührenerhebung im Rahmen der Abwasserbeseitigung rechtswidrig ist.

Die Pressemitteilung des Gerichts:
BayVGH: Drohnenbefliegung eines Wohngrundstücks zur Beitragserhebung ist rechtswidrig

Mit Beschluss vom 15. Februar 2024 hat der Bayerische Verwaltungsgerichtshof (BayVGH) die Beschwerde der Stadt Neumarkt-Sankt Veit im Landkreis Mühldorf am Inn zurückgewiesen und die geplante Drohnenbefliegung eines Wohngrundstücks zur Ermittlung der Geschossfläche als rechtswidrig eingestuft.

Die Stadt Neumarkt-Sankt Veit plante ursprünglich für Oktober 2023 eine Drohnenbefliegung verschiedener Wohngrundstücke, um die Geschossfläche der dort vorhandenen Gebäude zu bestimmen. Die dadurch erlangten Daten sollten zur Berechnung des sog. Herstellungsbeitrags dienen, der für den Anschluss von Grundstücken an die gemeindliche Abwasserentsorgung erhoben wird. Nachdem der Antragsteller, dem ein Wohngrundstück im Stadtgebiet gehört, über die geplante Drohnenbefliegung informiert worden war, wandte er sich an das Verwaltungsgericht München, das seinem Eilantrag stattgab. Gegen diesen Beschluss legte die Stadt Beschwerde zum BayVGH ein.

Der BayVGH wies die Beschwerde der Stadt zurück. Dem Antragsteller stehe ein Unterlassungsanspruch zu, der eine Drohnenbefliegung seines Grundstücks verbiete. Für die geplante Maßnahme fehle es bereits an einer Rechtsgrundlage. Hierfür könne insbesondere nicht die Generalklausel des bayerischen Datenschutzgesetzes herangezogen werden. Diese lässt eine Verarbeitung personenbezogener Daten durch eine öffentliche Stelle zu, wenn sie zur Erfüllung einer ihr obliegenden Aufgabe erforderlich ist. Die Vorschrift erlaube eine Erhebung personenbezogener Daten jedoch nur dann, wenn es sich um einen geringfügigen Eingriff in die Rechte der betroffenen Person handele. Der Einsatz der Drohne stelle aber einen erheblichen Eingriff in das vom Grundgesetz geschützte allgemeine Persönlichkeitsrecht des Antragstellers dar. Auch wenn das Wohngebäude von außen aufgenommen werde, sei die schützenswerte Privatsphäre betroffen. Denn mit der Drohne könnten Aufnahmen von zur Wohnung zählenden Terrassen, Balkonen oder Gartenflächen hergestellt werden. Zudem könnten die sich dort aufhaltenden Personen fotografiert werden. Weiter sei nicht auszuschließen, dass durch Glasflächen auch Innenräume erfasst würden.

Der Beschluss des BayVGH ist unanfechtbar.

(BayVGH, Beschluss vom 15. Februar 2024, Az.: 4 CE 23.2267)

KG Berlin
Beschluss vom 22.01.2024
3 Ws 250/21, 161 AR 84/21, 3 Ws 250/21 - 161 AR 84/21

Das KG Berlin hat entschieden, dass auch unittelbar gegen juristische Person ein DSGVO-Bußgeld verhängt werden kann.

Aus den Entscheidungsgründen:
Mit Bußgeldbescheid vom 30. Oktober 2019 hat die Berliner Beauftragte für den Datenschutz (im Folgenden: BlnBDI) gegen das betroffene Unternehmen (im Folgenden: Betroffene) Geldbußen festgesetzt. Mit dem Bußgeldbescheid ist der Betroffenen vorgeworfen worden, es zwischen dem 25. Mai 2018 und dem 5. März 2019 vorsätzlich unterlassen zu haben, die notwendigen Maßnahmen zur Ermöglichung der regelmäßigen Löschung nicht mehr benötigter oder in sonstiger Weise zu Unrecht gespeicherter Daten von Mietern zu treffen. Weiter hat der Bußgeldbescheid den Vorwurf enthalten, personenbezogene Daten von mindestens 15 näher bezeichneten Mietern fortgesetzt gespeichert zu haben, obwohl bekannt gewesen sei, dass dies nicht oder nicht mehr erforderlich war. Wegen des vorsätzlichen Verstoßes gegen Art. 25 Abs. 1, Art. 5 Abs. 1 a), c) und e) DS-GVO hat die Geldbuße 14.385.000 Euro betragen. Wegen Verstößen gegen Art. 6 Abs. 1 DS-GVO sind 15 weitere Geldbußen mit Beträge zwischen 3.000 und 17.000 Euro festgesetzt worden.

Auf den Einspruch der Betroffenen hat das Landgericht Berlin das Verfahren nach § 46 Abs. 1 OWiG i. V. m. § 206a StPO durch den angefochtenen Beschluss eingestellt. Das Landgericht hat die Auffassung vertreten, der Bußgeldbescheid habe unter so gravierenden Mängeln gelitten, dass er nicht Grundlage des Verfahrens sein könne. Namentlich ist das Landgericht der Auffassung gewesen, eine juristische Person könne nicht Betroffene eines Bußgeldverfahrens sein, auch nicht in einem solchen nach Art. 83 DS-GVO. Da einer juristischen Person lediglich ein Handeln ihrer Organmitglieder oder Repräsentanten zugerechnet werden könne, könne diese in einem Bußgeldverfahren nur als Nebenbeteiligte fungieren. Die Verhängung einer Geldbuße gegen eine juristische Person sei in § 30 OWiG abschließend geregelt, der über § 41 Abs. 1 BDSG auch für Verstöße nach Art. 83 Abs. 4 bis 6 DS-GVO Anwendung finde. Die in § 83 DS-GVO kodifizierte unmittelbare Unternehmenshaftung verstoße gegen das im deutschen Recht verankerte Schuldprinzip und könne daher nicht angewendet werden.

Hiergegen hat die Staatsanwaltschaft Berlin sofortige Beschwerde eingelegt. Der Senat hat das Verfahren durch Beschluss vom 6. Dezember 2021 ausgesetzt und nach Art. 267 Abs. 3 AEUV eine Vorabentscheidung des Gerichtshofs der Europäischen Union u.a. zu der Frage eingeholt, ob Art. 83 Abs. 4-6 DS-GVO dahin auszulegen sei, „dass es den Art. 101 und 102 AEUV zugeordneten funktionalen Unternehmensbegriff und das Funktionsträgerprinzip in das innerstaatliche Recht mit der Folge inkorporiert, dass unter Erweiterung des § 30 OWiG zugrundeliegenden Rechtsträgerprinzips ein Bußgeldverfahren unmittelbar gegen ein Unternehmen geführt werden kann und die Bebußung nicht der Feststellung einer durch eine natürliche und identifizierte Person, gegebenenfalls volldeliktisch, begangenen Ordnungswidrigkeit bedarf“. Der EuGH hat durch Urteil vom 5. Dezember 2023 (C-807/21 – [juris]) wie folgt entschieden: „Art. 58 Abs. 2 Buchst. i und Art. 83 Abs. 1 bis 6 der Verordnung (EU) 2016/679 des Europäischen Parlaments und des Rates vom 27. April 2016 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten, zum freien Datenverkehr und zur Aufhebung der Richtlinie 95/46/EG (Datenschutz-Grundverordnung) sind dahin auszulegen, dass sie einer nationalen Regelung entgegenstehen, wonach eine Geldbuße wegen eines in Art. 83 Abs. 4 bis 6 DSG-VO genannten Verstoßes gegen eine juristische Person in ihrer Eigenschaft als Verantwortliche nur dann verhängt werden kann, wenn dieser Verstoß zuvor einer identifizierten natürlichen Person zugerechnet wurde“. In einem weiteren Ausspruch desselben Urteils heißt es, dass „eine Geldbuße nur dann verhängt werden darf, wenn nachgewiesen ist, dass der Verantwortliche, der eine juristische Person und zugleich ein Unternehmen ist, einen in Art. 83 Abs. 4 bis 6 DSGVO genannten Verstoß vorsätzlich oder fahrlässig begangen hat“.

Mit Beschluss vom Folgetag hat der Senat angeordnet, dass das Verfahren fortgesetzt wird.

Die sofortige Beschwerde der Staatsanwaltschaft hat Erfolg. Nach Maßgabe des in dieser Sache ergangenen Urteils des Europäischen Gerichtshofs ist die Betroffene unbeschadet ihrer Eigenschaft als juristische Person taugliche Adressatin eines Bußgeldbescheids (1.). Das durch das Landgericht angenommene Verfahrenshindernis eines unwirksamen Bußgeldbescheids besteht nicht (2.).

1. Dass die Betroffene als juristische Person taugliche Adressatin eines Bußgeldbescheids sein kann und als solche zudem unmittelbar und nicht nur als Verfahrens- oder Nebenbeteiligte bebußt werden kann, ergibt sich aus dem in diesem Verfahren ergangenen Urteil des EuGH (Urteil vom 5. Dezember 2023 – C-807/21 – [juris]). Der Gerichtshof führt aus, es sei möglich, „die in Art. 83 DSG-VO für solche Verstöße vorgesehenen Geldbußen unmittelbar gegen juristische Personen zu verhängen, wenn diese als für die betreffende Verarbeitung Verantwortliche eingestuft werden können“ (Rn. 44). Dies folgt, so der EuGH weiter, daraus, dass Unternehmen „nicht nur für Verstöße haften, die von ihren Vertretern, Leitern oder Geschäftsführern begangen wurden, sondern auch für Verstöße, die von jeder anderen Person begangen wurden, die im Rahmen der unternehmerischen Tätigkeit und im Namen dieser juristischen Personen handelt“ (Rn. 44). Die hierdurch – und zwar unabhängig von einem individualisierbaren Organisationsdefizit oder einer Aufsichtspflichtverletzung – möglich gewordene unmittelbare Bebußung von juristischen Personen wird auch durch die Verteidigung, soweit aus ihrem Schriftsatz vom 15. Januar 2024 ersichtlich, nicht mehr in Frage gestellt.

2. Der Bußgeldbescheid der BlnBDI erfüllt die Wirksamkeitsvoraussetzungen des § 66 Abs. 1 OWiG und stellt eine ausreichende Verfahrensgrundlage dar. Ein Verfahrenshindernis besteht insoweit nicht.

a) Nach § 66 OWiG muss der Bußgeldbescheid „die Bezeichnung der Tat, die dem Betroffenen zur Last gelegt wird, Zeit und Ort ihrer Begehung, die gesetzlichen Merkmale der Ordnungswidrigkeit und die angewendeten Bußgeldvorschriften“ enthalten. Der Bußgeldbescheid muss den Tatvorwurf nach gefestigtem Verständnis formal und sachlich umgrenzen (Umgrenzungsfunktion) und den Betroffenen ausreichend über den Tatvorwurf unterrichten (Informationsfunktion) (vgl. BGHSt 23, 336; Senat Verkehrsrecht aktuell 2019, 123 [Volltext bei juris]; OLG Celle ZfSch 2015, 649).

b) Hier ist rechtstechnisch zusätzlich zu beachten, dass die in § 66 OWiG niedergelegten verfahrensbezogenen Anforderungen an die Gestaltung des Bußgeldbescheids den durch den EuGH formulierten Grundsätzen des materiellen Rechts folgen. Die vom EuGH entwickelten sachlich-rechtlichen Grundzüge der Verbandsgeldbuße überformen, prägen und gestalten das diesbezügliche nationale Verfahrensrecht. Formuliert der EuGH etwa, die Bebußung erfordere nicht, dass ein „Verstoß von einer identifizierten natürlichen Person begangen wurde“ (Rn. 46), so folgt daraus zwingend, dass sich die Bezeichnung einer solchen natürlichen Person auch nicht aus dem nationalen Verfahrensrecht, hier § 66 OWiG, ergeben muss.

Der Auffassung der Verteidigung, die Wirksamkeit des Bußgeldbescheids als Verfahrensvoraussetzung bemesse sich nach § 66 OWiG, trifft damit allgemein zu, denn eine Suspendierung der gesamten Vorschrift steht auch angesichts des nun anzuwendenden europarechtskonformen Verantwortungs- und Haftungsregimes nicht in Rede. Vielmehr sieht Art. 83 Abs. 8 DSG-VO vor, dass die „Ausübung der eigenen Befugnisse durch eine Aufsichtsbehörde“ unionsrechtskompatiblen Verfahrensgarantien „einschließlich wirksamer gerichtlicher Rechtsbehelfe und ordnungsgemäßer Verfahren“ unterliegt. Daher verweist § 41 BDSG auf Verfahrensvorschriften des OWiG und der StPO, und auch § 66 OWiG ist als grundlegendes nationales Verfahrensrecht anwendbar. Seine Auslegung allerdings richtet sich hier nach den sachlich-rechtlichen Vorgaben des übergeordneten Europarechts in der durch den EuGH nun gegebenen Ausprägung.

c) Unter Zugrundelegung der Maßgaben aus der Vorabentscheidung des EuGH und ihrer Weiterungen auf das nationale Verfahrensrecht erfüllt der Bußgeldbescheid der BlnBDI die Voraussetzungen des § 66 OWiG. Ohne Weiteres grenzt der Bußgeldbescheid den Gegenstand des Verfahrens in persönlicher, sachlicher und rechtlicher Hinsicht ab, und die Betroffene kann mühelos erkennen, welcher konkrete Vorwurf gegen sie erhoben wird. Namentlich die durch § 66 Abs. 1 Nr. 3 OWiG erforderten Essentialia, nämlich die „Bezeichnung der Tat, die dem Betroffenen zur Last gelegt wird“ sowie „Zeit und Ort ihrer Begehung“, sind bei der gebotenen funktional-normativen Betrachtung eingehalten.

Der Bußgeldbescheid wirft der Betroffenen vor, es zwischen dem 25. Mai 2018 und dem 5. März 2019 vorsätzlich unterlassen zu haben, die notwendigen Maßnahmen zur Ermöglichung der regelmäßigen Löschung nicht mehr benötigter oder in sonstiger Weise zu Unrecht gespeicherter Daten von Mietern zu treffen. Weiter wird ihr vorgeworfen, personenbezogene Daten von mindestens 15 näher bezeichneten Mietern fortgesetzt gespeichert zu haben, obgleich bekannt gewesen sei, dass dies nicht oder nicht mehr erforderlich war.

Diese – hier nur kursorisch zusammengefassten – Vorwürfe sind im Bußgeldbescheid ausgesprochen konkret und ausführlich dargestellt. Der Bußgeldbescheid bezeichnet die insgesamt 16 Tathandlungen auf mehr als 17 Seiten in einer ausdifferenzierten und nachgerade ziselierten Weise. Die Ausführungen vermitteln der Betroffenen präzise, was ihr vorgeworfen wird, und sie ermöglichen es ihr, sich hiergegen zu verteidigen. Dabei ist auch zu beachten, dass es sich bei den vorgeworfenen Handlungen (oder Unterlassungen) ersichtlich um keine Individualexzesse in einem Dunkelbereich des Unternehmens handelt. Gegenstand des Bußgeldverfahrens bildet die Speicherung bzw. Archivierung (oder Nichtlöschung) von Kundendaten. Es geht um einfach gelagerte und verständliche Sachverhalte und im Letzten um gewöhnliche Vorgänge in einem operativen Unternehmensbereich.

d) Nicht folgen kann der Senat der Überlegung der Betroffenen, der Bußgeldbescheid müsse konkretisieren, „welches Organ durch welche Handlung die Voraussetzungen des § 30 OWiG erfüllt hat“. Abgesehen davon, dass der Bußgeldbescheid die Rechtsverstöße auch in ihrer Entstehung („Handlung“) durchaus nachvollziehbar darstellt und umreißt, deduziert sich ein solches Erfordernis aus der überkommenen Vorstellung, eine Verbandshaftung erfordere das Verschulden eines Repräsentanten (§ 30 OWiG) oder eine Aufsichtspflichtverletzung (§ 130 OWiG). Sie lässt die europarechtlichen Einflüsse auf das Verbandsanktionenrecht außen vor und missachtet die Rechtsprechung des EuGH im hiesigen Vorabentscheidungsverfahren. Wenn der EuGH ausdrücklich formuliert, die Bebußung erfordere nicht, dass ein „Verstoß von einer identifizierten natürlichen Person begangen wurde“ (Rn. 46), so stellt er klar, dass juristische Personen dafür verantwortlich sind, dass Daten im Rahmen ihrer unternehmerischen Tätigkeit rechtmäßig verarbeitet werden (Rn. 44). Sanktioniert wird hiernach nicht (nur) eine fehlerhafte Organisation, sondern gerade die Pflichtverletzung des Verbands bzw. im Verband, als „genuine Verbandstat“ (vgl. als Kritik an der überkommenen nationalen Rechtslage: HK-OWiG/Schmitt-Leonardy, 2. Aufl., § 30 Rn. 13). Nach der Vorabentscheidung des EuGH ist auch eine juristische Person schuldfähig, so dass es zu einem Gleichlauf von Verantwortlichkeit und Haftbarkeit kommt (vgl. Grages/Strassemeyer, CR 2024, 10). Damit fallen alle Personen, die im Rahmen der unternehmerischen Tätigkeit handeln, in den abstrakten Verantwortungskreis der juristischen Person, und selbst eine normentsprechende Organisation führt – jedenfalls in aller Regel – nicht zur Exkulpation. Dies entspricht dem Effektivitätsgrundsatz des europäischen Rechts.

Dass der Verband (materiell-rechtlich) allein datenschutzrechtlich Verantwortlicher ist (vgl. Wünschelbaum, DSB 2024, 15), wirkt sich damit unmittelbar auf die verfahrensrechtlich gebotene Darstellungsdichte im Bußgeldbescheid aus. Insbesondere muss dieser gerade nicht bezeichnen, welchem Repräsentanten oder welchem „Organ“ welche konkrete Handlung oder welches konkrete Unterlassen zur Last fällt. Im Übrigen bleibt es aber auch insoweit dabei, dass der hier zu beurteilende Bußgeldbescheid die Tathandlungen bemerkenswert und – gemessen an den vom EuGH formulierten materiell-rechtlichen Haftungsvoraussetzungen ersichtlich – überobligatorisch konkret darstellt.

e) Auch kann sich der Senat der noch weitergehenden Überlegung der Verteidigung nicht anschließen, es sei sogar „unverzichtbar, dass ein Bußgeldbescheid die verfahrensmaßgeblichen Handlungen der natürlichen Person beschreibt“, um einen Vorwurf gegen den Verband „erkennen, abgrenzen, bewerten und sich gegen ihn verteidigen zu können“. Auch diese Auffassung verstößt eklatant gegen das im hiesigen Verfahren ergangene Urteil des EuGH. Das durch die Verteidigung erkannte Erfordernis geht darüber hinweg, dass eine Sanktionierung gerade nicht erfordert, dass ein „Verstoß von einer identifizierten natürlichen Person begangen wurde“ (Rn. 46). Dieses klare EuGH-Diktum ist mit der Forderung der Verteidigung, der Bußgeldbescheid müsse die „Handlung der natürlichen Person beschreiben“, ersichtlich unvereinbar. Allerdings gilt auch insoweit: Der Bußgeldbescheid beschreibt die vorgeworfenen Handlungen – zum großen Teil in der Form des Unterlassens der Löschung, teilweise als unterlassene Kennzeichnung von Daten – nachvollziehbar und deutlich. Der Betroffenen ist es möglich und unbenommen, im Bußgeldverfahren darzustellen, dass die Daten nicht gespeichert oder rechtmäßig gespeichert und ggf. rechtzeitig gelöscht wurden. Jedenfalls unter Zugrundelegung der vom EuGH umrissenen Grundzüge einer umfassenden Unternehmensverantwortung ist nicht ersichtlich, dass eine noch ausführlichere und noch „konkretere“ Darstellung der Tatvorwürfe im Bußgeldbescheid die Verteidigungsmöglichkeiten der Betroffenen substantiell erweitern könnte. Durch das EuGH-Judikat verringerte Exkulpationsmöglichkeiten sind nicht Folge eines unkonkret bleibenden Bußgeldbescheids, sondern einer dem Effektivitätsgrundsatz geschuldeten europarechtskonform erweiterten Verbandsverantwortung.

f) Folgerichtig ist der Verteidigung schließlich auch darin zu widersprechen, die Bezeichnung der dem Organ vorwerfbaren Tat sei unerlässliche Voraussetzung des Bußgeldbescheids. Dieses ehedem bestehende Erfordernis, das dem limitierten Haftungsregime des nationalen Rechts folgte, ist durch die im hiesigen Verfahren ergangene Vorabentscheidung des EuGH zu einer umfassenden Verbandsverantwortung nach kartellrechtlichem Vorbild obsolet. In dieser heißt es, „dass die Anwendung von Art. 83 DSG-VO keine Handlung und nicht einmal eine Kenntnis seitens des Leitungsorgans“ voraussetzt (Rn. 77).

3. Da kein Verfahrenshindernis besteht, war der angefochtene Beschluss aufzuheben, und die Sache ist an das Landgericht zurückzuverweisen. Funktional zuständig ist nicht die große Strafkammer (Wirtschaftskammer), sondern die Kammer für Bußgeldsachen (§ 47 Abs. 7 OWiG). Der Senat kann nachvollziehen, dass die Kammer entgegen einer analogen Anwendung des § 68 Abs. 1 Satz 2 OWiG nicht durch Einzelrichter entschieden hat, sondern – wohl entsprechend §§ 46 Abs. 1 OWiG, 76 Abs. 1 GVG – zuletzt eine Besetzung gewählt hat, die der einer großen Strafkammer entspricht (vgl. zur funktionalen Zuständigkeit und zur Besetzungsfrage Brodowski/Nowak in BeckOK Datenschutzrecht, 46. Edition, § 41 BDSG Rn. 16). Hierfür spricht, dass sich die sachliche Zuständigkeit des Landgerichts (§ 41 Abs. 1 Satz 3 BDSG) aus dem Streben nach einer verbesserten Kontrolle ableiten dürfte, die sich jedenfalls im Leitbild aus der Beteiligung mehrerer (Berufs-) Richter ergibt.

4. Eine Kostenentscheidung ist in Bezug auf das Rechtsmittel nicht veranlasst (ex arg. BGH WuW 2020, 615). Über die Kosten des Vorabentscheidungsverfahrens hat an sich das vorlegende Gericht zu entscheiden (Art. 102 EuGHVerfO). Das Vorabentscheidungsverfahren erweist sich aber lediglich als Zwischenverfahren des gleichfalls unselbständigen Beschwerdeverfahrens, durch dessen Entscheidung das Bußgeldverfahren nicht abgeschlossen wird. Da das Bußgeldverfahren beim Landgericht Berlin fortgesetzt und durch dieses entschieden wird, ist es angemessen, dass die Kammer für Bußgeldsachen in der abschließenden Kostengrundentscheidung über die Kosten des Vorabentscheidungsverfahrens mitentscheidet (vgl. bei ähnlicher Konstellation BGH WM 1996, 1889 unter Bezug auf EuGH GRUR Int. 1996, 147).

Den Volltext der Entscheidung finden Sie hier: