Skip to content

EuGH-Generalanwalt: Datenschutzbehörde muss grundsätzlich tätig werden wenn sie bei Prüfung einer Beschwerde einen DSGVO-Verstoß feststellt

EuGH-Generalanwalt
Schlussanträge vom 11.04.2024
C-768/2
Land Hessen (Handlungspflicht der Datenschutzbehörde)


Der EuGH-Generalanwalt kommt in seinen Schlussanträgen zu dem Ergebnis, dass eine Datenschutzbehörde grundsätzlich tätig werden muss, wenn sie bei der Prüfung einer Beschwerde einen DSGVO-Verstoß feststellt.

Ergebnis der Schlussanträge:
Nach alledem schlage ich dem Gerichtshof vor, die Vorlagefrage des Verwaltungsgerichts Wiesbaden (Deutschland) wie folgt zu beantworten:

Art. 57 Abs. 1 Buchst. a und f sowie Art. 58 Abs. 2 Buchst. a bis j in Verbindung mit Art. 77 Abs. 1 der Verordnung (EU) 2016/679 des Europäischen Parlaments und des Rates vom 27. April 2016 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten, zum freien Datenverkehr und zur Aufhebung der Richtlinie 95/46/EG (Datenschutz-Grundverordnung)

sind dahin auszulegen, dass

die Aufsichtsbehörde, wenn sie eine Datenverarbeitung feststellt, die in die Rechte der betroffenen Person eingreift, verpflichtet ist, gemäß Art. 58 Abs. 2 der Verordnung 2016/679 einzuschreiten, soweit dies erforderlich ist, um die vollständige Beachtung dieser Verordnung zu gewährleisten. In diesem Zusammenhang hat sie unter Berücksichtigung der konkreten Umstände des jeweiligen Einzelfalls das geeignete, erforderliche und verhältnismäßige Mittel auszuwählen, um insbesondere den Rechtsverstoß zu beheben und die Rechte der betroffenen Person durchzusetzen


Die Pressemitteilung des EuGH:
Schutz personenbezogener Daten: Nach Ansicht von Generalanwalt Pikamäe ist die Aufsichtsbehörde zum Einschreiten verpflichtet, wenn sie bei der Prüfung einer Beschwerde einen Verstoß feststellt.

Die Entscheidung über die zu ergreifende Abhilfemaßnahme hänge jedoch von den konkreten Umständen des jeweiligen Einzelfalls ab

Ein Kunde einer Sparkasse ersuchte den Hessischen Beauftragten für Datenschutz und Informationsfreiheit (Deutschland), gegen die Sparkasse wegen einer Verletzung des Schutzes seiner personenbezogenen Daten einzuschreiten. Eine Mitarbeiterin der Sparkasse hatte nämlich mehrmals unbefugt auf seine Daten zugegriffen.

Der Datenschutzbeauftragte stellte eine Verletzung des in der Datenschutz-Grundverordnung (DSGVO) vorgesehenen Datenschutzes fest . Er kam jedoch zu dem Ergebnis, dass ein Einschreiten gegen die Sparkasse nicht geboten sei, da diese gegen die betreffende Mitarbeiterin bereits Disziplinarmaßnahmen ergriffen habe.

Der Kunde geht gegen diese Weigerung bei einem deutschen Gericht vor und beantragt, den Datenschutzbeauftragten zum Einschreiten gegen die Sparkasse zu verpflichten. Er macht u. a. geltend, dass der Datenschutzbeauftragte gegen die Sparkasse Bußgelder hätte verhängen müssen.

Das deutsche Gericht hat den Gerichtshof zu den Befugnissen und Pflichten des Datenschutzbeauftragten als „Aufsichtsbehörde“ im Sinne der DSGVO befragt.

Nach Ansicht von Generalanwalt Pikamäe ist die Aufsichtsbehörde zum Einschreiten verpflichtet, wenn sie bei der Prüfung einer Beschwerde eine Verletzung des Schutzes personenbezogener Daten feststelle. Insbesondere habe sie die Abhilfemaßnahme(n) zu ermitteln, die zur Behebung des Verstoßes und zur Durchsetzung der Rechte der betroffenen Person am besten geeignet sei bzw. seien.

In diesem Zusammenhang räume die DSGVO der Aufsichtsbehörde zwar ein gewisses Ermessen ein, verlange jedoch, dass die Maßnahmen geeignet, erforderlich und verhältnismäßig seien. Daraus ergebe sich zum einen, dass das Ermessen bei der Wahl der Mittel beschränkt sei, wenn der erforderliche Schutz nur durch ganz bestimmte Maßnahmen gewährleistet werden könne, und zum anderen, dass die Aufsichtsbehörde unter bestimmten Voraussetzungen auf die Maßnahmen nach der DSGVO verzichten dürfe, wenn dies durch die besonderen Umstände des Einzelfalls gerechtfertigt sei. Dies könne insbesondere dann der Fall sein, wenn der Verantwortliche bestimmte Maßnahmen aus eigener Initiative ergriffen habe. Jedenfalls habe die betroffene Person keinen Anspruch auf Erlass einer bestimmten Maßnahme . Diese Grundsätze gälten auch für die Geldbußenregelung.


Die vollständigen Schlussanträge finden Sie hier:




BGH: Zur Reichweite des Begriffs "Kopie der personenbezogenen Daten" im Sinne von Art. 15 Abs. 3 DSGVO

BGH
Urteil vom 05.03.2024
VI ZR 330/21
DSGVO Art. 15 Abs. 3


Der BGH hat sich in dieser Entscheidung mit der Reichweite des Begriffs "Kopie der personenbezogenen Daten" im Sinne von Art. 15 Abs. 3 DSGVO befasst.

Leitsatz des BGH:
Zum Begriff "Kopie der personenbezogenen Daten" in Art. 15 Abs. 3 DSGVO.

BGH, Urteil vom 5. März 2024 - VI ZR 330/21 - OLG München - LG München I

Aus den Entscheidungsgründen:
b) Art. 15 Abs. 1 DSGVO gibt der betroffenen Person gegenüber dem datenschutzrechtlich Verantwortlichen (Art. 4 Nr. 7 DSGVO) ein Auskunftsrecht über die Verarbeitung personenbezogener Daten. Art. 15 Abs. 3 DSGVO legt die praktischen Modalitäten für die Erfüllung der dem datenschutzrechtlich Verantwortlichen obliegenden Verpflichtung fest, indem er unter anderem die Form bestimmt, in der die personenbezogenen Daten zur Verfügung zu stellen sind, nämlich in Form einer "Kopie" der Daten, gewährt aber kein anderes Recht als das in Art. 15 Abs. 1 DSGVO vorgesehene (vgl. EuGH, Urteil vom 4. Mai 2023 - C-487/21, NJW 2023, 2253 Rn. 31 f.). Auf dieser Grundlage hat die Klägerin nur Anspruch auf Überlassung von Kopien der von ihr verfassten, bei den Beklagten vorhandenen Schreiben und E-Mails.

aa) Gemäß Art. 4 Nr. 1 DSGVO sind personenbezogene Daten alle Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person ("betroffene Person") beziehen. Nach der Rechtsprechung des Gerichtshofs der Europäischen Union ist der Begriff weit zu verstehen. Er ist nicht auf sensible oder private Informationen beschränkt, sondern umfasst potenziell alle Arten von Informationen sowohl objektiver als auch subjektiver Natur, unter der Voraussetzung, dass es sich um Informationen über die in Rede stehende Person handelt. Die letztgenannte Voraussetzung ist erfüllt, wenn die Information aufgrund ihres Inhalts, ihres Zwecks oder ihrer Auswirkungen mit einer bestimmten Person verknüpft ist (vgl. EuGH, Urteil vom 4. Mai 2023 - C-487/21, NJW 2023, 2253 Rn. 23 f.; Senatsurteil vom 15. Juni 2021 - VI ZR 576/19, NJW 2021, 2726 Rn. 22 mwN).

Nach diesen Grundsätzen sind - wovon das Berufungsgericht zu Recht ausgegangen ist - Schreiben der betroffenen Person an den Verantwortlichen ihrem gesamten Inhalt nach als personenbezogene Daten einzustufen, da die personenbezogene Information bereits darin besteht, dass die betroffene Person sich dem Schreiben gemäß geäußert hat, umgekehrt aber Schreiben des Verantwortlichen an die betroffene Person nur insoweit, als sie Informationen über die betroffene Person nach den oben genannten Kriterien enthalten (vgl. Senatsurteile vom 6. Februar 2024 - VI ZR 15/23, zVb; vom 15. Juni 2021 - VI ZR 576/19, NJW 2021, 2726 Rn. 25; BGH, Urteil vom 27. September 2023 - IV ZR 177/22, NJW 2023, 3490 Rn. 48). Dass diese Schreiben der betroffenen Person bereits bekannt sind, schließt den datenschutzrechtlichen Auskunftsanspruch nicht aus (vgl. Senatsurteil vom 15. Juni 2021 - VI ZR 576/19, NJW 2021, 2726 Rn. 25 mwN).

bb) Mit ihrem vom Berufungsgericht zuerkannten Antrag verlangt die Klägerin - wie erläutert -, ihr eine Abschrift von Telefonnotizen, Aktenvermerken, Gesprächsprotokollen, E-Mails, Briefen und Zeichnungsunterlagen für Kapitalanlagen zu überlassen, in denen personenbezogene Daten der Klägerin enthalten sind, die die Beklagten verarbeiten. Nach den Ausführungen unter aa) handelt es sich zwar bei den von der Klägerin verfassten Schreiben und E-Mails, die den Beklagten vorliegen, ihrem gesamten Inhalt nach um personenbezogene Daten, weshalb die Klägerin im Ergebnis nach Art. 15 Abs. 3 DSGVO eine Kopie dieser Schreiben und E-Mails fordern kann, auch wenn sich der Begriff der Kopie in dieser Vorschrift nicht auf ein Dokument als solches bezieht, sondern auf die personenbezogenen Daten, die es enthält (vgl. EuGH, Urteile vom 26. Oktober 2023 - C-307/22, NJW 2023, 3481 Rn. 72; vom 4. Mai 2023 - C-487/21, NJW 2023, 2253 Rn. 32). Denn die Kopie muss alle personenbezogenen Daten enthalten, die Gegenstand der Verarbeitung sind (EuGH, Urteile vom 26. Oktober 2023 - C-307/22, NJW 2023, 3481 Rn. 73; vom 4. Mai 2023 - C-487/21, NJW 2023, 2253 Rn. 32, 39). Der Vollständigkeit der Auskunft kann hier nur durch eine Kopie des gesamten Dokuments genügt werden.

Demgegenüber handelt es sich - entgegen der Ansicht des Berufungsgerichts - weder bei Schreiben und E-Mails der Beklagten, noch bei Telefonnotizen, Aktenvermerken oder Gesprächsprotokollen der Beklagten und auch nicht bei Zeichnungsunterlagen für Kapitalanlagen zwangsläufig in ihrer Gesamtheit um personenbezogene Daten der Klägerin, auch wenn sie Informationen über die Klägerin enthalten. Zwar ist bei internen Vermerken wie Telefonnotizen oder Gesprächsprotokollen, die festhalten, wie sich die Klägerin telefonisch oder in persönlichen Gesprächen äußerte, denkbar, dass der Vermerk ausschließlich Informationen über die Klägerin enthält. Es kann jedoch nicht davon ausgegangen werden, dass dies in allen Fällen so ist. Deshalb ergibt sich aus dem Erfordernis, eine vollständige Auskunft über personenbezogene Daten zu erteilen, kein Anspruch der Klägerin darauf, dass - wie von ihr gefordert - alle diese Dokumente im Gesamten als Kopie zu überlassen sind. Zwar kann sich die Reproduktion von Auszügen aus Dokumenten oder gar von ganzen Dokumenten oder auch von Auszügen aus Datenbanken unabhängig vom Erfordernis, eine vollständige Auskunft zu erteilen, dann als unerlässlich erweisen, wenn die Kontextualisierung der verarbeiteten Daten erforderlich ist, um ihre Verständlichkeit zu gewährleisten und der betroffenen Person die wirksame Ausübung ihrer Rechte zu gewährleisten (vgl. EuGH, Urteile vom 4. Mai 2023 - C-487/21, NJW 2023, 2253 Rn. 41, 45; vom 22. Juni 2023 - C-579/21, NJW 2023, 2555 Rn. 66; vom 26. Oktober 2023 - C-307/22, NJW 2023, 3481 Rn. 74 f.; Senatsurteil vom 6. Februar 2024 - VI ZR 15/23, zVb; BGH, Urteil vom 27. September 2023 - IV ZR 177/22, NJW 2023, 3490 Rn. 51 ff.). Die Klägerin hat aber weder in den Vorinstanzen dazu vorgetragen noch ist sonst ersichtlich, dass die Kontextualisierung der verarbeiteten Daten erforderlich ist, um ihre Verständlichkeit zu gewährleisten, sodass ausnahmsweise die Übermittlung einer Kopie der geforderten Telefonnotizen, Aktenvermerke, Gesprächsprotokolle, E-Mails und Briefe der Beklagten sowie Zeichnungsunterlagen für Kapitalanlagen nötig wäre.


Den Volltext der Entscheidung finden Sie hier:

BGH: Kommanditist hat keinen Anspruch auf Löschung von Wohnort und Geburtsdatum aus dem Handelsregister nach Art. 17 Abs. 1 DSGVO

BGH
Beschluss vom 23.01.2024
II ZB 8/23
DSGVO Art. 17 Abs. 1, Art. 18 Abs. 1 Buchst. d, Art. 21 Abs. 1; HGB § 9 Abs. 1, § 10 Abs. 1, § 106 Abs. 1, Abs. 2 Nr. 2 Buchst. a, § 162 Abs. 1; HRV § 40 Nr. 5 Buchst. c

Der BGH hat entschieden, dass ein Kommanditist keinen Anspruch auf Löschung von Wohnort und Geburtsdatum aus dem Handelsregister nach Art . 17 Abs. 1 DSGVO hat.

Leitsätze des BGH:
a) Der Kommanditist hat keinen Anspruch aus Art. 17 Abs. 1 DS-GVO auf Löschung seines Geburtsdatums und seines Wohnorts im Handelsregister.

b) Der Kommanditist hat keinen Anspruch auf Einschränkung der Verarbeitung seines Geburtsdatums und seines Wohnorts durch das Registergericht aus Art. 18 Abs. 1 Buchst. d, Art. 21 Abs. 1 DS-GVO.

BGH, Beschluss vom 23. Januar 2024 - II ZB 8/23 - OLG Celle - AG Walsrode

Den Volltext der Entscheidung finden Sie hier:


BGH: GmbH-Geschäftsführer hat keinen Anspruch auf Löschung von Wohnort und Geburtsdatum aus dem Handelsregister nach Art. 17 Abs. 1 DSGVO

BGH
Beschluss vom 23.01.2024
II ZB 7/23
DSGVO Art. 17 Abs. 1, Art. 18 Abs. 1 Buchst. d, Art. 21 Abs. 1; GmbHG § 7 Abs. 1, § 10 Abs. 1; HGB § 9 Abs. 1, § 10 Abs. 1; HRV § 24 Abs. 1, § 43 Nr. 4 Satz Buchst. b


Der BGH hat entschieden, dass ein GmbH-Geschäftsführer keinen Anspruch auf Löschung von Wohnort und Geburtsdatum aus dem Handelsregister nach Art . 17 Abs. 1 DSGVO hat.

Leitsätze des BGH:
a) Der Geschäftsführer einer GmbH hat keinen Anspruch aus Art. 17 Abs. 1 DS-GVO auf Löschung seines Geburtsdatums und seines Wohnorts im Handelsregister.

b) Der Wohnort des Geschäftsführers einer GmbH ist zur Eintragung in das Handelsregister anzumelden.

c) Ein Widerspruchsrecht gemäß Art. 21 Abs. 1 DS-GVO besteht nicht, wenn die Datenverarbeitung aufgrund von Art. 6 Abs. 1 Buchst. c DS-GVO zur Erfüllung einer rechtlichen Pflicht des Verantwortlichen erfolgt. Das gilt auch dann, wenn die Verarbeitung zugleich nach Art. 6 Abs. 1 Buchst. e DS-GVO erlaubt wäre. Auch ein Anspruch aus Art. 18 Abs. 1 Buchst. d DS-GVO auf Einschränkung der Verarbeitung besteht in diesem Fall nicht.

BGH, Beschluss vom 23. Januar 2024 - II ZB 7/23 - OLG Celle - AG Walsrode

Den Volltext der Entscheidung finden Sie hier:

BVerwG: Speicherung der Postanschrift durch die Behörde bei einer Anfrage nach dem Informationsfreiheitsgesetz datenschutzkonform - keine anonymen IFG-Anfragen

BVerwG
Urteil vom 20.03.2024
6 C 8.22


Das BVerwG hat entschieden, dass die Speicherung der Postanschrift durch die Behörde bei einer Anfrage nach dem Informationsfreiheitsgesetz datenschutzkonform ist. Anonyme IFG-Anfragen sind nicht zulässig.

Die Pressemitteilung des Gerichts:
Verarbeitung der Postanschrift eines Antragstellers nach dem Informationsfreiheitsgesetz

Bei einer auf das Informationsfreiheitsgesetz (IFG) gestützten Anfrage ist die Verarbeitung der Postanschrift eines Antragstellers nach den Regelungen dieses Gesetzes in Verbindung mit § 3 Bundesdatenschutzgesetz (BDSG) zulässig. Dies hat das Bundesverwaltungsgericht in Leipzig entschieden.

Die Bundesrepublik Deutschland, vertreten durch das Bundesministerium des Innern, für Bau und Heimat (BMI), wandte sich gegen eine auf Art. 58 Abs. 2 Buchst. b Datenschutz-Grundverordnung (DSGVO) gestützte Verwarnung des beklagten Bundesbeauftragten für den Datenschutz und die Informationsfreiheit. Der Beanstandung lag ein Auskunftsersuchen eines Antragstellers zugrunde, welches dieser über eine Internetplattform per E-Mail an das BMI gerichtet hatte. Jene Plattform generiert E-Mail-Adressen, unter denen ein Antrag nach dem Informationsfreiheitsgesetz gestellt und die Kommunikation mit der Behörde abgewickelt werden kann. Das BMI hatte auf der Übermittlung der Anschrift des Antragstellers bestanden und ihm in einem per Post übermittelten Schreiben geantwortet. Daraufhin erließ der Beklagte eine Verwarnung mit der Begründung, die Postanschrift sei ohne rechtliche Grundlage abgefragt und unberechtigt verarbeitet worden.

Das Verwaltungsgericht Köln hat der Klage stattgegeben und die Verwarnung aufgehoben. Auf die Berufung des Beklagten hat das Oberverwaltungsgericht Münster das erstinstanzliche Urteil geändert und die Klage abgewiesen. Die Verwarnung sei rechtmäßig. Bei der Erhebung der Postanschrift habe es sich um einen Verarbeitungsvorgang gehandelt, für den § 3 BDSG eine Rechtsgrundlage biete. Allerdings seien die Voraussetzungen der Norm nicht erfüllt gewesen, weil es an der Erforderlichkeit der Datenerhebung gefehlt habe.

Auf die Revision der Klägerin hat das Bundesverwaltungsgericht das Urteil des Oberverwaltungsgerichts geändert und die Berufung zurückgewiesen. Die von der angegriffenen Verwarnung erfassten Datenverarbeitungen - die Erhebung der Anschrift, ihre Speicherung sowie die Verwendung - lassen sich auf § 3 BDSG in Verbindung mit den Regelungen des Informationsfreiheitsgesetzes stützen. § 3 BDSG stellt für Datenverarbeitungen von geringer Eingriffsintensität im Zusammenhang mit einem Auskunftsbegehren nach dem Informationsfreiheitsgesetz eine unionsrechtskonforme Rechtsgrundlage nach der Datenschutz-Grundverordnung dar. Nach Art. 6 Abs. 1 Unterabs. 1 Buchst. e DSGVO ist die Verarbeitung personenbezogener Daten durch eine öffentliche Stelle unter anderem dann zulässig, wenn sie zur Erfüllung der in der Zuständigkeit des Verantwortlichen liegenden Aufgabe erforderlich ist. Diese Vorschrift wird durch die Brückennorm des § 3 BDSG in Verbindung mit den Regelungen des Informationsfreiheitsgesetzes ausgefüllt. Die Erforderlichkeit verlangt die Prüfung, ob das von der öffentlichen Stelle verfolgte Ziel in zumutbarer Weise ebenso wirksam mit anderen Mitteln erreicht werden kann, die weniger stark in die Grundrechte des Betroffenen eingreifen. Zudem sind die Grundsätze der Zweckbindung und der Datenminimierung einzuhalten (Art. 5 Abs. 1 DSGVO).

Gemessen hieran war die Abfrage der Anschrift zur ordnungsgemäßen Bearbeitung des Auskunftsersuchens erforderlich. Nach dem Informationsfreiheitsgesetz sind anonyme Anträge unzulässig. Deshalb muss die Behörde den Namen und regelmäßig auch die Anschrift des Antragstellers kennen. Die Speicherung der Adresse war erforderlich, um sie für die Dauer der Bearbeitung des Antrags zu sichern. Auch die Verwendung der Anschrift für die Übersendung des ablehnenden Bescheides per Post war erforderlich. Das BMI durfte sich ermessensfehlerfrei für die Schriftform und die Bekanntgabe per Post entscheiden, obwohl der Antragsteller einen elektronischen Zugang gemäß § 3a Abs. 1 VwVfG eröffnet hatte. Bislang muss es ein Antragsteller in der Regel hinnehmen, dass die Behörde trotz eines eröffneten elektronischen Zugangs mit ihm auf dem Postweg kommuniziert.

BVerwG 6 C 8.22 - Urteil vom 20. März 2024

Vorinstanzen:
OVG Münster, OVG 16 A 857/21 - Urteil vom 15. Juni 2022 -
VG Köln, VG 13 K 1190/20 - Urteil vom 18. März 2021 -


OVG Lüneburg: Online-Apotheke darf bei Bestellungen nicht bei allen Produkten das Geburtsdatum des Kunden abfragen - Verstoß gegen Grundsatz der Datenminimierung

OVG Lüneburg
Beschluss vom 23.01.2024
14 LA 1/24


Das OVG Lüneburg hat entschieden, dass eine Online-Apotheke bei Bestellungen nicht bei allen Produkten das Geburtsdatum des Kunden abfragen darf. Insofern liegt ein Verstoß gegen den Grundsatz der Datenminimierung vor.

Aus den Entscheidungsgründen:
II. Die Berufung gegen das angefochtene Urteil ist nicht zuzulassen, da die Voraussetzungen der von der Klägerin geltend gemachten Zulassungsgründe des § 124 Abs. 2 Nrn. 1 und 3 VwGO teilweise schon nicht in einer § 124a Abs. 4 Satz 4 VwGO genügenden Weise dargelegt sind und im Übrigen nicht vorliegen.

1. Die Berufung ist nicht wegen ernstlicher Zweifel an der Richtigkeit der angefochtenen Entscheidung nach § 124 Abs. 2 Nr. 1 VwGO zuzulassen.

Ernstliche Zweifel an der Richtigkeit der erstinstanzlichen Entscheidung im Sinne des § 124 Abs. 2 Nr. 1 VwGO sind zu bejahen, wenn der Rechtsmittelführer einen einzelnen tragenden Rechtssatz oder eine einzelne erhebliche Tatsachenfeststellung mit schlüssigen Gegenargumenten in Frage stellt (BVerfG, Beschl. v. 18.6.2019 - 1 BvR 587/17 -, juris Rn. 32 und v. 8.12.2009 - 2 BvR 758/07 -, juris Rn. 96). Die Richtigkeitszweifel müssen sich dabei auch auf das Ergebnis der Entscheidung beziehen; es muss also mit hinreichender Wahrscheinlichkeit anzunehmen sein, dass die Berufung zu einer Änderung der angefochtenen Entscheidung führen wird (vgl. BVerwG, Beschl. v. 10.3.2004 - 7 AV 4.03 -, juris Rn. 9). Eine den Anforderungen des § 124a Abs. 4 Satz 4 VwGO genügende Darlegung dieses Zulassungsgrundes erfordert, dass im Einzelnen unter konkreter Auseinandersetzung mit der verwaltungsgerichtlichen Entscheidung ausgeführt wird, dass und warum Zweifel an der Richtigkeit der Auffassung des erkennenden Verwaltungsgerichts bestehen sollen. Hierzu bedarf es regelmäßig qualifizierter, ins Einzelne gehender, fallbezogener und aus sich heraus verständlicher Ausführungen, die sich mit der angefochtenen Entscheidung auf der Grundlage einer eigenständigen Sichtung und Durchdringung des Prozessstoffes auseinandersetzen (vgl. NdsOVG, Beschl. v. 17.6.2015 - 8 LA 16/15 -, juris, Rn. 10; Seibert, in: Sodan/Ziekow, VwGO, 5. Aufl. 2018, § 124a Rn. 206 jeweils m.w.N.). Hat das Verwaltungsgericht seine Entscheidung auf mehrere selbstständig tragende Gründe gestützt, kann ein Berufungszulassungsantrag nur dann Erfolg haben, wenn für jedes der die Entscheidung des erstinstanzlichen Gerichts selbständig tragenden Begründungselemente ein Zulassungsgrund dargelegt worden ist und vorliegt (NdsOVG, Beschl. v. vom 28.6.2022 - 10 LA 234/20 -, juris Rn. 2; vgl. Niedersächsisches OVG, Beschl. v. 1.8.2022 - 10 LA 14/22 -, juris Rn. 3 m.w.N.).

Bei der Entscheidung über den Zulassungsgrund des § 124 Abs. 2 Nr. 1 VwGO ist das Oberverwaltungsgericht nicht auf die Berücksichtigung der Sach- und Rechtslage im Zeitpunkt der Entscheidung des Verwaltungsgerichts beschränkt. Da über § 128a VwGO hinaus eine Präklusion gesetzlich nicht vorgesehen ist, sind im Zulassungsverfahren alle dargelegten tatsächlichen Gesichtspunkte zu berücksichtigen, die für den Erfolg des angestrebten Rechtsmittels entscheidungserheblich sein können. Zu berücksichtigen sind sowohl neue Tatsachen als auch Tatsachen, die zwar bereits vorlagen, vom Verwaltungsgericht jedoch nicht berücksichtigt werden konnten, weil sie von den Beteiligten nicht vorgetragen und mangels entsprechender Anhaltspunkte auch nicht von Amts wegen zu ermitteln waren (Roth, in: BeckOK VwGO, Stand: 1.7.2023, § 124 Rn. 27 m.w.N.).

Nach diesem Maßstab begründen die Einwände der Klägerin keine ernstlichen Zweifel an der Richtigkeit der angefochtenen Entscheidung.

a) Die Klägerin trägt vor, um die ihr bei der Durchführung der Verträge (Art. 6 Abs. 1 Satz 1 lit. b) DSGVO) obliegenden Beratungs- und Informationspflichten aus § 20 Abs. 1 und 2 der Apothekenbetriebsordnung (ApBetrO) erfüllen zu können, sei es eine unabdingbare Voraussetzung, den Kunden bzw. Patienten zweifelsfrei zu identifizieren. Nur eine solche Identifikation stelle sicher, dass Kunden, welche beispielsweise rezeptpflichtige Medikamente und Nahrungsergänzungsmittel zusammen einnähmen, zur sachgerechten Anwendung und zu möglichen Wechselwirkungen beraten werden können. Dafür werde für jeden Kunden ein Arzneimitteldossier angelegt. Für eine einwandfreie Identifikation des Kunden und zur Verhinderung von Dubletten bedürfe sie neben dem Vor- und Nachnamen des Kunden zusätzlich dessen Geburtsdatum. Dieses stelle bei einer Namensgleichheit sicher, dass sie die verschiedenen Kunden hinreichend sicher unterscheiden könne.

Damit zieht die Klägerin die Annahmen des Verwaltungsgerichts nicht durchgreifend in Zweifel. Das Verwaltungsgericht hat zutreffend darauf hingewiesen, dass der Besteller und diejenige Person, für die das bestellte Produkt zur Anwendung bzw. Einnahme bestimmt ist, nicht identisch seien müssen. Dieses Argument greift auch, soweit mit der Beschwerdebegründung nunmehr erstmals geltend gemacht wird, dass das Geburtsdatum als Identifizierungskriterium erforderlich sei, um ein Arzneimitteldossier für den Kunden anlegen zu können. Nicht die eindeutige Identifizierung des Bestellers ist zur Erfüllung von Beratungspflichten notwendig, sondern die Kenntnis von derjenigen Person, die das bestellte Produkt anwenden bzw. einnehmen wird. Die Anlage eines Arzneimitteldossiers für den Besteller erscheint daher zur Erfüllung von Beratungs- und Informationspflichten bereits nicht geeignet. Mit dieser schon vom Verwaltungsgericht aufgezeigten Problematik setzt sich die Beschwerdebegründung nicht auseinander. Ob bzw. unter welchen Voraussetzungen die Anlage eines Arzneimitteldossiers überhaupt datenschutzrechtlich zulässig ist, ist nicht Gegenstand des vorliegenden Verfahrens.

Davon abgesehen legt die Beschwerde auch nicht dar, warum das Geburtsdatum zur Identifizierung des Bestellers bei Namensgleichheit erforderlich sein soll. Die Klägerin verfügt auch über die Anschrift sowie die Telefonnummer des Bestellers, es wird nicht erläutert und ist auch nicht ersichtlich, warum mit diesen Daten nicht bereits eine hinreichend sichere Identifizierung namensgleicher Kunden möglich sein soll. Etwas anderes ergibt sich auch nicht aus der von der Klägerin zitierten Entscheidung des OLG München (Urt. v. 28.9.2006 - 29 U 2769/06). Die Entscheidung, die noch zum alten Recht erging, betraf ein Unternehmen, das ein Kundenbindungs- und Rabattsystem mit über 30 Millionen Kunden betrieb. Ein solches Unternehmen ist mit einer Versandapotheke bereits nicht vergleichbar; es verfügt schon nicht zwingend über die aktuelle Anschrift und Telefonnummer seiner Kunden.

Ergänzend wird zudem darauf hingewiesen, dass Versandapotheken zur Erfüllung ihrer Beratungspflicht den Kunden zur Angabe einer Telefonnummer auffordern müssen, unter der er durch pharmazeutisches Personal der Apotheke telefonisch und ohne zusätzliche Gebühren beraten werden kann (§ 17 Abs. 2a Satz 1 Nr. 7 ApBetrO). Sie haben damit die Möglichkeit, über diese Telefonnummer Kontakt zum Kunden aufzunehmen und in diesem Rahmen die für die konkrete Beratung erforderlichen Daten jeweils zu erfragen.

b) Auch soweit die Klägerin geltend macht, die Verarbeitung des Merkmals "Geburtsdatum" sei zur Feststellung der Geschäftsfähigkeit der Kunden erforderlich, zeigt sie keine ernstlichen Zweifel an der Entscheidung des Verwaltungsgerichts auf.

Das Verwaltungsgericht hat dazu ausgeführt, dass für diesen Zweck als milderes Mittel die einfache Abfrage der Volljährigkeit genüge. Damit setzt sich das Beschwerdevorbringen nicht hinreichend auseinander. Es ist auch nicht ersichtlich, dass die Abfrage der Volljährigkeit zu dem Zweck, die Geschäftsfähigkeit des Kunden zu prüfen, weniger geeignet ist. Anhaltspunkte dafür, dass bei dieser Abfrageart die Hemmschwelle, unwahre Angaben zu machen, geringer ist, als wenn das gesamte Geburtsdatum abgefragt wird, trägt die Klägerin weiterhin nicht vor und sind auch nicht ersichtlich. Eine Altersprüfung über die Angabe des Geburtsdatums bzw. eine Checkbox bietet im Übrigen ohnedies nicht die Gewähr der Richtigkeit der Angaben. Die Eignung der Abfrage ist daher ohnehin zweifelhaft.

c) Soweit die Klägerin geltend macht, die Verarbeitung des Merkmals "Geburtsdatum" sei zur Erfüllung von Rückabwicklungs- und Gewährleistungsansprüchen erforderlich, legt sie dies schon nicht hinreichend substantiiert dar. Es bleibt unklar, warum im Falle von Rückabwicklungs- und Gewährleistungsansprüchen ohne die Angabe eines Geburtsdatums der Vertragspartner, von dem Name, Anschrift und Telefonnummer bekannt sind, nicht hinreichend identifizierbar sein soll.

d) Auch das Vorbringen der Klägerin, die Verarbeitung des Geburtsdatums sei zur Erfüllung einer rechtlichen Verpflichtung (Art. 6 Abs. 1 Satz 1 lit. c) DSGVO) erforderlich, um Kunden, die ihre Rechte aus den Art. 15 ff. DSGVO geltend machten, hinreichend klar zu identifizieren, begründet keine ernstlichen Zweifel an der Entscheidung des Verwaltungsgerichts.

Art. 12 Abs. 6 DSGVO gestattet dem Verantwortlichen, sofern er begründete Zweifel an der Identität der natürlichen Person hat, die den Antrag gemäß den Artikeln 15 bis 21 stellt, zusätzliche Informationen anzufordern, die zur Bestätigung der Identität der betroffenen Person erforderlich sind. Eine routinemäßige Identitätsprüfung, die es dem Verantwortlichen ermöglicht, generell die Vorlage eines Identitätsnachweises zu verlangen, ist hiervon nicht erfasst. Ein Verantwortlicher sollte Identifizierungsdaten daher nicht allein zu dem Zweck speichern, auf mögliche Auskunftsersuchen reagieren zu können (Erwägungsgrund 64 Satz 2 der DSGVO; vgl. auch Greve, in: Sydow/Marsch, DSGVO, 3. Aufl. 2022, Art. 12 Rn. 30 m.w.N.). Die Klägerin kann daher nicht das Geburtsdatum sämtlicher Kunden erheben, um dieses im Falle eines Auskunftsersuchens zur im Einzelfall erforderlichen Identitätsprüfung nutzen zu können.

Aus dem von der Klägerin zitierten Urteil des Landgerichts Bonn (Urt. v. 11.11.2020 - 29 OWi 1/20 -, juris) ergibt sich im Übrigen lediglich, dass die Angabe des Namens und des Geburtsdatums zur Authentifizierung bei einem Telefonanbieter nicht ausreichend sind. Auch aus der angeführten Entscheidung des Bundesgerichtshofs (Urt. v. 16. Juli 2008 - VIII ZR 348/06 -, juris) folgt nichts anderes. Das Urteil knüpft an das zitierte Urteil des OLG München an und stellt (ebenfalls nach altem Recht) fest, dass angesichts der Vielzahl der Teilnehmer am Payback-Programm eine praktikable und gleichzeitig sichere Methode der Identifizierung der Programmteilnehmer zu den Vertragszwecken gehöre. Die Angabe des vollständigen Geburtsdatums sei bei einem Bonusprogramm, welches nach den Feststellungen des Berufungsgerichts rund dreißig Millionen Teilnehmer habe, zur Vermeidung von Identitätsverwechselungen in besonderer Weise geeignet. Dies ist - wie bereits ausgeführt - nicht auf die Bedürfnisse einer Versandapotheke übertragbar.

e) Schließlich wendet die Klägerin ein, die Verarbeitung des Geburtsdatums des Kunden sei auch auf Grundlage eines überwiegenden berechtigten Interesses nach Art. 6 Abs. 1 Satz 1 lit. f) DSGVO rechtmäßig. Das berechtigte Interesse ergebe sich aus der Notwendigkeit, dieses im Rahmen der Durchsetzung offener Forderungen gegen säumige Kunden verarbeiten zu müssen. Insbesondere bei der Einschaltung eines Gerichtsvollziehers bedürfe dieser bei der Ermittlung des Schuldners bei den in § 755 ZPO genannten Behörden häufig das Geburtsdatum des säumigen Kunden.

Auch damit begründet die Klägerin keine ernsthaften Zweifel an der erstinstanzlichen Entscheidung. Die Klägerin legt bereits nicht dar, welche Zahlungsmöglichkeiten sie anbietet und warum insoweit aus ihrer Sicht ein Ausfallrisiko bestehen soll. Ein Ausfallrisiko kann allenfalls beim Kauf auf Rechnung bestehen, weil hier die Klägerin gegenüber dem Kunden in Vorleistung geht. Der Kauf auf Rechnung ist beim Online-Handel aber nur eine von zahlreichen Varianten der Zahlungsabwicklung. Der Verkäufer kann die Versendung der Ware ebenso gut auch von einer vorherigen Zahlung des Kunden mittels Kreditkarte, Vorabüberweisung oder Ähnliches abhängig machen. Möchte der Verkäufer gleichwohl - etwa aus Marketinggesichtspunkten - in Vorleistung gehen und zur Risikoabsicherung weitere Daten des potentiellen Kunden erheben, so muss sie hierfür auf dessen Einwilligung zurückgreifen (vgl. Buchner/Petri, in: Kühling/Buchner, DSGVO, 4. Aufl. 2024, Art. 6 Rn. 66 m.w.N.).

2. Die Berufung ist auch nicht wegen der von der Klägerin geltend gemachten grundsätzlichen Bedeutung der Rechtssache i. S. d. § 124 Abs. 2 Nr. 3 VwGO zuzulassen.

Eine Rechtssache hat grundsätzliche Bedeutung im Sinne dieser Vorschrift, wenn sie eine konkrete noch nicht geklärte Rechts- oder Tatsachenfrage aufwirft, deren Beantwortung sowohl für die Entscheidung des Verwaltungsgerichts von Bedeutung war als auch für die Entscheidung im Berufungsverfahren erheblich sein wird, und die über den konkreten Fall hinaus wesentliche Bedeutung für die einheitliche Anwendung oder Weiterentwicklung des Rechts hat. Zur Darlegung des Zulassungsgrundes ist die Frage auszuformulieren und substantiiert auszuführen, warum sie für klärungsbedürftig und entscheidungserheblich gehalten und aus welchen Gründen ihr Bedeutung über den Einzelfall hinaus zugemessen wird. Ist die aufgeworfene Frage eine Rechtsfrage, so ist ihre Klärungsbedürftigkeit nicht schon allein deshalb zu bejahen, weil sie bislang nicht obergerichtlich oder höchstrichterlich entschieden ist. Nach der Zielsetzung des Zulassungsrechts ist vielmehr Voraussetzung, dass aus Gründen der Einheit oder Fortentwicklung des Rechts eine obergerichtliche oder höchstrichterliche Entscheidung geboten ist. Die Klärungsbedürftigkeit fehlt deshalb, wenn sich die als grundsätzlich bedeutsam bezeichnete Frage entweder schon auf der Grundlage des Gesetzeswortlauts nach allgemeinen Auslegungsmethoden oder aber (ggf. ergänzend) auf der Basis bereits vorliegender Rechtsprechung ohne weiteres beantworten lässt (Seibert, in: Sodan/Ziekow, VwGO, 5. Aufl. 2018, § 124 Rn. 127, 142 ff., 149 und 151 ff.).

In Anwendung dieser Grundsätze liegen die Voraussetzungen für eine Zulassung der Berufung nicht vor.

Zwar hat die Klägerin mit ihrer Zulassungsbegründung als rechtsgrundsätzlich bedeutsam die Frage formuliert, ob bzw. in welchem Umfang das Geburtsdatum eines Kunden unter datenschutzrechtlichen Gesichtspunkten von einer Online-Apotheke insbesondere unter Berücksichtigung der dieser obliegenden umfangreichen Beratungspflichten verarbeitet werden dürfe.

Sie legt jedoch nicht hinreichend dar, warum sie die aufgeworfene Frage für klärungsbedürftig und entscheidungserheblich hält und aus welchen Gründen sie ihr Bedeutung über den Einzelfall hinaus zumisst - dies wird lediglich behauptet. Unabhängig davon ist die Frage in ihrer Allgemeinheit nicht entscheidungserheblich gewesen. Konkret ging es darum, ob die von der Klägerin erstinstanzlich angeführten Gründe für die Erhebung des Geburtsdatums - die ihr nach § 20 ApBetrO obliegende Beratungspflicht sowie die Ermöglichung der Prüfung der Geschäftsfähigkeit des Bestellers - die Datenverarbeitung rechtfertigen können.

Mit der Ablehnung des Zulassungsantrags wird das angefochtene Urteil rechtskräftig (§ 124a Abs. 5 Satz 4 VwGO).


Den Volltext der Entscheidung finden Sie hier:


EuGH: Datenschutzrechtliche Aufsichtsbehörde darf auch ohne Antrag des Betroffenen die Löschung unrechtmäßig verarbeiteter personenbezogener Daten anweisen

EuGH
Urteil vom 14.03.2024
C‑46/23


Der EuGH hat entschieden, dass eine datenschutzrechtliche Aufsichtsbehörde auch ohne Antrag des Betroffenen die Löschung unrechtmäßig verarbeiteter personenbezogener Daten anweisen darf.

Tenor der Entscheidung:
1. Art. 58 Abs. 2 Buchst. d und g der Verordnung (EU) 2016/679 des Europäischen Parlaments und des Rates vom 27. April 2016 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten, zum freien Datenverkehr und zur Aufhebung der Richtlinie 95/46/EG (Datenschutz-Grundverordnung) ist dahin auszulegen, dass die Aufsichtsbehörde eines Mitgliedstaats den Verantwortlichen oder Auftragsverarbeiter in Ausübung ihrer in diesen Bestimmungen vorgesehenen Abhilfebefugnisse selbst dann zur Löschung unrechtmäßig verarbeiteter personenbezogener Daten anweisen darf, wenn die betroffene Person keinen entsprechenden Antrag auf Ausübung ihrer Rechte nach Art. 17 Abs. 1 dieser Verordnung gestellt hat.

2. Art. 58 Abs. 2 der Verordnung 2016/679 ist dahin auszulegen, dass sich die Befugnis der Aufsichtsbehörde eines Mitgliedstaats, die Löschung unrechtmäßig verarbeiteter personenbezogener Daten anzuordnen, sowohl auf bei der betroffenen Person erhobene als auch auf aus einer anderen Quelle stammende Daten beziehen kann.

Die Pressemitteilung des EuGH:
Schutz personenbezogener Daten: Die Aufsichtsbehörde eines Mitgliedstaats kann selbst dann die Löschung unrechtmäßig verarbeiteter Daten anordnen, wenn die betroffene Person zuvor keinen entsprechenden Antrag gestellt hat

Eine solche Löschung kann sich sowohl auf bei der betroffenen Person erhobene als auch auf aus einer anderen Quelle stammende Daten beziehen.

2020 beschloss die Kommunalverwaltung Újpest (Ungarn), Personen, die zu einer von der Covid-19-Pandemie gefährdeten Gruppe gehörten, finanziell zu unterstützen. Sie ersuchte deshalb die ungarische Staatskasse und die Regierungsbehörde des IV. Bezirks der Hauptstadt Budapest, ihr die zur Prüfung der Anspruchsvoraussetzungen erforderlichen personenbezogenen Daten zu übermitteln.

Aufgrund eines Hinweises stellte die zuständige ungarische Datenschutzbehörde (im Folgenden: Aufsichtsbehörde) fest, dass sowohl die Verwaltung Újpest als auch die ungarische Staatskasse und die Regierungsbehörde gegen Regelungen der DSGVO1 verstoßen hatten. Entsprechende Geldbußen wurden verhängt.

Die Aufsichtsbehörde stellte fest, dass die Verwaltung Újpest die betroffenen Personen innerhalb der dafür geltenden Frist von einem Monat weder über die Verwendung ihrer Daten und den Zweck dieser Verarbeitung noch über ihre Datenschutzrechte informiert hatte. Zudem wies sie die Verwaltung Újpest an, die Daten anspruchsberechtigter Personen, die keine Unterstützung beantragt hatten, zu löschen.

Die Verwaltung Újpest hat diese Entscheidung beim Hauptstädtischen Stuhlgericht (Ungarn) angefochten und macht geltend, die Aufsichtsbehörde sei nicht befugt, die Löschung personenbezogener Daten anzuordnen, wenn die betroffene Person zuvor keinen entsprechenden Antrag gestellt habe.

Das ungarische Gericht ersucht den Gerichtshof um Auslegung der DSGVO.

Mit seinem heutigen Urteil antwortet der Gerichtshof, dass die Aufsichtsbehörde eines Mitgliedstaats von Amts wegen die Löschung unrechtmäßig verarbeiteter Daten anordnen darf, also selbst dann, wenn die betroffene Person zuvor keinen entsprechenden Antrag gestellt hat, falls eine solche Maßnahme zur Erfüllung ihrer Aufgabe erforderlich ist, die darin besteht, über die umfassende Einhaltung der DSGVO zu wachen. Erkennt die Aufsichtsbehörde, dass eine Datenverarbeitung nicht der DSGVO entspricht, so muss sie dem festgestellten Verstoß abhelfen, und zwar auch dann, wenn die betroffene Person zuvor keinen Antrag gestellt hat. Denn das Erfordernis einer solchen Antragstellung würde bedeuten, dass der Verantwortliche bei fehlendem Antrag die betreffenden personenbezogenen Daten weiterhin speichern und unrechtmäßig verarbeiten dürfte.

Außerdem kann die Aufsichtsbehörde eines Mitgliedstaats die Löschung unrechtmäßig verarbeiteter Daten unabhängig davon anordnen, ob sie unmittelbar bei der betroffenen Person erhoben wurden oder aus einer anderen Quelle stammen.


Den Volltext der Entscheidung finden Sie hier:

EuGH: TC-Strings der IAB Europe sind personenbezogene Daten im Sinne der DSGVO - Zur Zulässigkeit von Werbung per Real Time Bidding

EuGH
Urteil vom 07.03.2024
C-604/22
IAB Europe gegen Gegevensbeschermingsautoriteit


Der EuGH hat entschieden, dass die TC-Strings der IAB Europe personenbezogene Daten im Sinne der DSGVO sind.

Tenor der Entscheidung:
1. Art. 4 Nr. 1 der Verordnung (EU) 2016/679 des Europäischen Parlaments und des Rates vom 27. April 2016 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten, zum freien Datenverkehr und zur Aufhebung der Richtlinie 95/46/EG (Datenschutz-Grundverordnung) ist dahin auszulegen, dass eine aus einer Kombination von Buchstaben und Zeichen bestehende Zeichenfolge wie der TC‑String (Transparency and Consent String), die die Präferenzen eines Internetnutzers oder Nutzers einer Anwendung in Bezug auf dessen Einwilligung in die Verarbeitung der ihn betreffenden personenbezogenen Daten durch Anbieter von Websites oder Anwendungen sowie durch Datenbroker und Werbeplattformen enthält, ein personenbezogenes Datum im Sinne dieser Bestimmung darstellt, soweit sie, wenn sie mit vertretbarem Aufwand einer Kennung wie insbesondere der IP‑Adresse des Geräts dieses Nutzers zugeordnet werden kann, es erlaubt, die betreffende Person zu identifizieren. Unter diesen Umständen schließt der Umstand, dass eine Branchenorganisation, die im Besitz dieser Zeichenfolge ist, ohne einen Beitrag von außen weder Zugang zu den Daten hat, die von ihren Mitgliedern im Rahmen der von ihr aufgestellten Regeln verarbeitet werden, noch diese Zeichenfolge mit anderen Elementen kombinieren kann, nicht aus, dass diese Zeichenfolge ein personenbezogenes Datum im Sinne dieser Bestimmung darstellt.

2. Art. 4 Nr. 7 und Art. 26 Abs. 1 der Verordnung 2016/679 sind dahin auszulegen, dass

– zum einen eine Branchenorganisation, soweit sie ihren Mitgliedern einen von ihr aufgestellten Regelungsrahmen in Bezug auf die Einwilligung im Bereich der Verarbeitung personenbezogener Daten anbietet, der nicht nur verbindliche technische Vorschriften enthält, sondern auch Vorschriften, die detailliert festlegen, wie personenbezogene Daten, die diese Einwilligung betreffen, gespeichert und verbreitet werden müssen, als „gemeinsam Verantwortlicher“ im Sinne dieser Bestimmungen einzustufen ist, wenn sie unter Berücksichtigung der besonderen Umstände des vorliegenden Falles aus Eigeninteresse auf die betreffende Verarbeitung personenbezogener Daten Einfluss nimmt und damit gemeinsam mit ihren Mitgliedern die Zwecke der und die Mittel zur betreffenden Verarbeitung festlegt. Der Umstand, dass eine solche Branchenorganisation selbst keinen unmittelbaren Zugang zu den von ihren Mitgliedern innerhalb dieses Regelungsrahmens verarbeiteten personenbezogenen Daten hat, schließt nicht aus, dass sie ein gemeinsam Verantwortlicher im Sinne dieser Bestimmungen sein kann;

– zum anderen sich die gemeinsame Verantwortlichkeit dieser Branchenorganisation nicht automatisch auf die Weiterverarbeitung personenbezogener Daten durch Dritte, wie beispielsweise Anbieter von Websites oder Anwendungen, erstreckt, was die Nutzerpräferenzen für gezielte Online-Werbung betrifft.

Die Pressemitteilung des EuGH:
Versteigerung von personenbezogenen Daten für Werbezwecke: der Gerichtshof stellt die Regeln auf der Grundlage der DSGVO klar

Wenn ein Nutzer eine Website oder eine Anwendung mit einem Werbeplatz aufruft, können Werbeunternehmen, Datenbroker und Werbeplattformen, die Tausende von Werbetreibenden vertreten, anonym in Echtzeit Gebote abgeben, um diesen Werbeplatz zu erhalten und dort auf das Profil des Nutzers abgestimmte Werbung anzuzeigen (Real Time Bidding).

Bevor jedoch eine solche gezielte Werbung angezeigt wird, muss die vorherige Einwilligung des Nutzers zur Erhebung und Verarbeitung seiner Daten (insbesondere seinen Standort, sein Alter, den Verlauf seiner Suchanfragen und seine zuletzt getätigten Einkäufe betreffend) für bestimmte Zwecke, wie u. a. Marketing oder Werbung, oder zum Austausch dieser Daten mit bestimmten Anbietern eingeholt werden. Der Nutzer kann dem auch widersprechen.

IAB Europe ist ein Verband ohne Gewinnerzielungsabsicht mit Sitz in Belgien, der Unternehmen der digitalen Werbe- und Marketingindustrie auf europäischer Ebene vertritt. IAB Europe hat eine Lösung entwickelt, die dieses Versteigerungssystem mit der DSGVO in Einklang bringen können soll. Die Nutzerpräferenzen werden in einem aus einer Kombination von Buchstaben und Zeichen bestehenden String kodiert und gespeichert, der als „Transparency and Consent String“ (TC-String) bezeichnet wird und der mit Brokern für personenbezogene Daten und Werbeplattformen geteilt wird, damit diese wissen, worin der Nutzer eingewilligt oder wogegen er Widerspruch eingelegt hat. Auf dem Gerät des Nutzers wird auch ein Cookie gespeichert. Miteinander kombiniert, können der TC-String und das Cookie der IP-Adresse dieses Nutzers zugeordnet werden.

Im Jahr 2022 stellte die belgische Datenschutzbehörde fest, dass der TC-String ein personenbezogenes Datum im Sinne der DSGVO darstelle und dass IAB Europe als Verantwortlicher aufgetreten sei, ohne die Vorschriften der DSGVO vollständig einzuhalten. Die Behörde verhängte gegen IAB Europe mehrere Abhilfemaßnahmen sowie eine Geldbuße. IAB Europe focht diese Entscheidung an und wandte sich an den Appellationshof Brüssel, der dem Gerichtshof Fragen zur Vorabentscheidung vorgelegt hat.

Mit seinem Urteil bestätigt der Gerichtshof, dass der TC-String Informationen über einen identifizierbaren Nutzer enthält und somit ein personenbezogenes Datum im Sinne der DSGVO darstellt. Anhand der in einem TC-String enthaltenen Informationen kann nämlich, wenn sie einer Kennung wie insbesondere der IP-Adresse des Geräts des Nutzers zugeordnet werden, ein Profil dieses Nutzers erstellt und die betreffende Person identifiziert werden.

Darüber hinaus ist IAB Europe als „gemeinsam Verantwortlicher“ im Sinne der DSGVO anzusehen. Vorbehaltlich der vom vorlegenden Gericht vorzunehmenden Prüfungen scheint diese Organisation nämlich bei der Speicherung der Einwilligungspräferenzen der Nutzer in einem TC-String auf die Verarbeitungen personenbezogener Daten Einfluss zu nehmen und gemeinsam mit ihren Mitgliedern sowohl die Zwecke dieser Verarbeitungen als auch die ihnen zugrunde liegenden Mittel festzulegen. Allerdings kann, unbeschadet einer etwaigen im nationalen Recht vorgesehenen zivilrechtlichen Haftung, IAB Europe für Datenverarbeitungen, die nach der Speicherung der Einwilligungspräferenzen der Nutzer in einem TC-String erfolgen, nur dann als im Sinne der DSGVO verantwortlich angesehen werden, wenn nachgewiesen werden kann, dass dieser Verband Einfluss auf die Festlegung der Zwecke und Modalitäten dieser Weiterverarbeitungen ausgeübt hat.


Den Volltext der Entscheidung finden Sie hier:

EuGH: Europol und Mitgliedstaat haften bei Zusammenarbeit gesamtschuldnerisch für Schäden aufgrund widerrechtlicher Datenverarbeitung

EuGH
Urteil vom 05.03.2024
C-755/21 P
Kočner ./. Europol


Der EuGH hat entschieden, dass Europol und der jeweilige Mitgliedstaat bei Zusammenarbeit gesamtschuldnerisch für Schäden aufgrund widerrechtlicher Datenverarbeitung auf Schadensersatz haften.

Die Pressemitteilung des EuGH:
Datenverarbeitung: Europol und der Mitgliedstaat, in dem aufgrund einer widerrechtlichen Datenverarbeitung im Rahmen der Zusammenarbeit zwischen Europol und diesem Mitgliedstaat ein Schaden eingetreten ist, haften für diesen Schaden gesamtschuldnerisch

Die betroffene Person, die von Europol oder dem betreffenden Mitgliedstaat vollständigen Ersatz ihres Schadens begehrt, muss lediglich nachweisen, dass anlässlich der Zusammenarbeit zwischen diesen beiden Stellen eine widerrechtliche Datenverarbeitung vorgenommen wurde, durch die ihr ein Schaden entstanden ist. Es ist nicht erforderlich, dass sie darüber hinaus nachweist, welcher dieser Stellen die widerrechtliche Verarbeitung zuzurechnen ist.

Nach der Ermordung des slowakischen Journalisten Ján Kuciak und von dessen Verlobter Martina Kušnírová am 21. Februar 2018 in der Slowakei führten die slowakischen Behörden umfangreiche Ermittlungen durch. Auf Ersuchen dieser Behörden extrahierte die Agentur der Europäischen Union für die Zusammenarbeit auf dem Gebiet der Strafverfolgung (Europol) die Daten, die auf zwei mutmaßlich Herrn Marian Kočner gehörenden Mobiltelefonen gespeichert waren. Europol übermittelte den genannten Behörden sodann ihre wissenschaftlichen Berichte und übergab eine Festplatte mit den extrahierten verschlüsselten Daten. Im Mai 2019 veröffentlichte die slowakische Presse Informationen betreffend Herrn Kočner, die aus dessen Mobiltelefonen stammten, darunter Transkriptionen seiner intimen Kommunikation. Zudem wies Europol in einem ihrer Berichte darauf hin, dass Herr Kočner seit 2018 wegen des Verdachts einer Finanzstraftat in Haft sei und dass sein Name u. a. unmittelbar mit den sogenannten „Mafia-Listen“ und den „Panama Papers“ in Zusammenhang stehe.

Herr Kočner erhob beim Gericht der Europäischen Union gegen Europol Klage auf eine Entschädigung in Höhe von 100 000 Euro als Ersatz des immateriellen Schadens, den er seiner Ansicht nach aufgrund der rechtswidrigen Verarbeitung seiner Daten erlitten hat. Mit Urteil vom 29. September 20211 wies das Gericht die Klage ab. Es kam zu dem Ergebnis, dass Herr Kočner zum einen keinen Beweis für einen Kausalzusammenhang zwischen dem behaupteten Schaden und dem Verhalten von Europol erbracht habe und zum anderen nicht nachgewiesen habe, dass die sogenannten „Mafia-Listen“ von Europol erstellt und geführt worden seien. Herr Kočner hat daraufhin beim Gerichtshof ein Rechtsmittel eingelegt.

Der Gerichtshof stellt in seinem Urteil fest, dass das Unionsrecht eine Regelung der gesamtschuldnerischen Haftung Europols und des Mitgliedstaats, in dem der Schaden infolge einer widerrechtlichen Datenverarbeitung im Rahmen einer Zusammenarbeit zwischen Europol und diesem Mitgliedstaat eingetreten ist, einführt. In einer ersten Stufe kann die gesamtschuldnerische Haftung Europols bzw. des betreffenden Mitgliedstaats vor dem Gerichtshof der Europäischen Union bzw. vor dem zuständigen nationalen Gericht geltend gemacht werden. Gegebenenfalls kann eine zweite Stufe vor dem Verwaltungsrat von Europol zur Klärung der Frage folgen, ob „letztlich“ Europol und/oder der betreffende Mitgliedstaat für den einer natürlichen Person gewährten Schadensersatz „zuständig“ sind bzw. ist.

Zur Geltendmachung dieser gesamtschuldnerischen Haftung muss die betroffene natürliche Person lediglich im Rahmen der ersten Stufe nachweisen, dass anlässlich der Zusammenarbeit zwischen Europol und dem betreffenden Mitgliedstaat eine widerrechtliche Datenverarbeitung vorgenommen wurde, durch die ihr ein Schaden entstanden ist. Anders als das Gericht entschieden hat, ist es nicht erforderlich, dass diese Person darüber hinaus nachweist, welcher dieser beiden Stellen die widerrechtliche Verarbeitung zuzurechnen ist. Folglich hebt der Gerichtshof das Urteil des Gerichts in diesem Punkt auf.

Der Gerichtshof entscheidet den Rechtsstreit selbst und urteilt, dass die widerrechtliche Datenverarbeitung, die in der Weitergabe von Daten betreffend intime Gespräche zwischen Herrn Kočner und seiner Freundin an Unbefugte zum Ausdruck kam, dazu führte, dass diese Daten durch die slowakische Presse der Öffentlichkeit zugänglich gemacht wurden. Er stellt fest, dass diese widerrechtliche Verarbeitung das Recht von Herrn Kočner auf Achtung seines Privat- und Familienlebens sowie seiner Kommunikation verletzt hat und seine Ehre und sein Ansehen beeinträchtigt hat, wodurch ihm ein immaterieller Schaden entstanden ist. Der Gerichtshof spricht Herrn Kočner eine Entschädigung in Höhe von 2 000 Euro als Ersatz dieses Schadens zu.


Den Volltext der Entscheidung finden Sie hier:

BFH: Juristische Personen haben keine Ansprüche nach der DSGVO und damit auch keinen Auskunftsanspruch gemäß Art. 15 DSGVO

BFH
Beschluss vom 08.02.Februar 2024
IX B 113/22

Der BFH hat entschieden, dass juristische Personen keine Ansprüche nach der DSGVO und damit auch keinen Auskunftsanspruch gemäß Art. 15 DSGVO haben.

Aus den Entscheidungsgründen:
2. Ein Anspruch auf Überlassung der begehrten elektronischen Kopien über den Anwendungsbereich des § 78 FGO hinaus ergibt sich entgegen der Auffassung der Klägerin nicht aus Art. 15 Abs. 1 Halbsatz 2, Abs. 3 DSGVO.

a) Dabei kann dahinstehen, ob ‑‑wie vom X. Senat des BFH bereits entschieden‑‑ die Finanzgerichtsordnung dem Datenschutzrecht und damit auch dem Auskunftsrecht aus Art. 15 DSGVO vorgeht (BFH-Beschluss vom 29.08.2019 - X S 6/19, Rz 23, unter Verweis auf die Stellungnahme der Bundesregierung in ihrer Gegenäußerung zur Bundesratsstellungnahme vom 23.03.2017 zu Nr. 6, BTDrucks 18/11655, S. 27; ebenso BFH-Beschluss vom 18.03.2021 - V B 29/20, BFHE 272, 296, BStBl II 2021, 710, Rz 23; zu § 299 der Zivilprozessordnung vgl. Beschluss des Thüringer Oberlandesgerichts vom 22.06.2023 - 2 VA 5/23; zustimmend z.B. Brandis in Tipke/Kruse, § 78 FGO Rz 1; kritisch Schaz, Deutsche Steuer-Zeitung 2020, 338, 339 f.).

b) Jedenfalls enthält die Datenschutz-Grundverordnung nach deren Art. 1 Abs. 1 und 2 nur Vorschriften zum Schutze natürlicher Personen. Sie erfasst nicht die Daten, die juristische Personen betreffen (EuGH-Urteil J & S Service vom 10.12.2020 - C-620/19, EU:C:2020:1011, Rz 41). Als betroffene Personen kommen daher nur natürliche Personen in Betracht (vgl. Art. 4 Nr. 1 DSGVO). Im Erwägungsgrund 14 der DSGVO heißt es hierzu, dass die Datenschutz-Grundverordnung nicht für die Verarbeitung personenbezogener Daten juristischer Personen und insbesondere als juristische Person gegründeter Unternehmen, einschließlich Name, Rechtsform oder Kontaktdaten der juristischen Person, gilt. Dementsprechend betont der EuGH, dass der Begriff "Informationen, die sich auf Körperschaften beziehen" streng von dem unionsrechtlich definierten Begriff der personenbezogenen Daten natürlicher Personen zu unterscheiden ist. Das Recht natürlicher Personen auf Schutz ihrer personenbezogenen Daten ist ein Grundrecht, das durch Art. 8 Abs. 1 der Charta der Grundrechte der Europäischen Union garantiert wird. Dagegen werden Informationen, die juristische Personen betreffen, im Unionsrecht nicht in vergleichbarer Weise geschützt (vgl. EuGH-Urteil J & S Service vom 10.12.2020 - C-620/19, EU:C:2020:1011, Rz 46).

Im Streitfall kann die Klägerin, eine GmbH, als juristische Person daher keine Rechte aus Art. 15 DSGVO ableiten.

c) Ob der Gesellschafter-Geschäftsführer der Klägerin gegebenenfalls Rechte betreffend Daten einer sogenannten "Ein-Mann-GmbH" geltend machen kann, braucht der Senat nicht zu entscheiden. Den hier streitgegenständlichen Antrag hat der Gesellschafter-Geschäftsführer der Klägerin nicht als möglicherweise betroffene natürliche Person im eigenen Namen, sondern im Namen der Klägerin, also einer juristischen Person, gestellt.

d) Auch soweit sich die Klägerin auf § 2a Abs. 5 der Abgabenordnung (AO) beruft, begründet dies keine Anwendung des Art. 15 DSGVO. Die Anwendungserweiterung der Datenschutz-Grundverordnung durch § 2a Abs. 5 AO gilt nur für das Besteuerungsverfahren nach der Abgabenordnung (so auch Drüen in Tipke/Kruse, § 2a AO Rz 24a), nicht jedoch für das Verfahren vor den Finanzgerichten.

3. Der erkennende Senat sieht keinen Anlass für die Einholung einer Vorabentscheidung des EuGH nach Art. 267 des Vertrags über die Arbeitsweise der Europäischen Union.

a) Nach Ansicht des Senats bestehen ‑‑auf Grundlage der oben genannten Rechtsprechung des EuGH‑‑ keine Zweifel daran, dass gemäß Art. 1 Abs. 1 und 2 DSGVO juristische Personen keine Rechte aus der Datenschutz-Grundverordnung ableiten können, sondern lediglich die dahinterstehenden, betroffenen (natürlichen) Personen.

b) Mangels Anwendbarkeit der Datenschutz-Grundverordnung ist im vorliegenden Verfahren auch nicht klärbar, ob FA und FG gemeinsam Verantwortliche im Sinne des Art. 26 DSGVO sein können.

c) Die Frage, ob Art. 23 Abs. 1 DSGVO von seinem Anwendungsbereich nationale Gesetzgebungsmaßnahmen, die vor dem Inkrafttreten der Datenschutz-Grundverordnung erlassen wurden, ausschließt, hat der EuGH bereits beantwortet (EuGH-Urteil FT (Copies du dossier médical) vom 26.10.2023 - C-307/22, EU:C:2023:811, Rz 56) und ist im Streitfall auch nicht entscheidungserheblich.


Den Volltext der Entscheidung finden Sie hier:


EuGH-Generalanwalt: Veräußerung einer Datenbank mit personenbezogenen Daten im Zwangsvollstreckungsverfahren kann ohne Zustimmung der Betroffenen DSGVO-konform und zulässig sein

EuGH
Schlussanträge vom 28.02.2024
C-693/22
Verkauf einer Datenbank


Der EuGH-Generalanwalt kommt in seinen Schlussanträgen zu dem Ergebnis, dass die Veräußerung einer Datenbank mit personenbezogenen Daten im Zwangsvollstreckungsverfahren ohne Zustimmung der Betroffenen DSGVO-konform und zulässig sein kann.

Die Pressemitteilung des EuGH:
Nach Ansicht von Generalanwalt Priit Pikamäe kann eine Datenbank mit personenbezogenen Daten unter bestimmten Voraussetzungen im Rahmen eines Zwangsvollstreckungsverfahrens verkauft werden, auch wenn die von diesen Daten betroffenen Personen dem nicht zugestimmt haben.

Das ist dann der Fall, wenn die mit einem solchen Verkauf verbundene Datenverarbeitung in einer demokratischen Gesellschaft zur Sicherstellung der Durchsetzung eines zivilrechtlichen Anspruchs notwendig und verhältnismäßig ist .
Bei einem polnischen Gericht ist ein Rechtsstreit anhängig zwischen einer Gesellschaft und einem Mitglied des Vorstands einer anderen Gesellschaft, die auf den Online-Verkauf spezialisiert ist und gegenüber der die erstgenannte Gesellschaft eine Forderung hat. Die vermögensrechtliche Haftung dieses Mitglieds kann dann geltend gemacht werden, wenn die Schuldnergesellschaft nicht über hinreichende Vermögenswerte verfügt, um die Forderung der Gläubigergesellschaft zu befriedigen. Das Vorstandsmitglied ist jedoch der Ansicht, dass dies nicht der Fall sei, da die Schuldnergesellschaft u. a. zwei Datenbanken mit Daten von Nutzern der von ihr geschaffenen Online-Plattform besitze. Diese Datenbanken enthalten personenbezogene Daten von Hunderttausenden von Personen, die der Verarbeitung ihrer Daten in Form einer Bereitstellung an Dritte außerhalb dieser Plattform nicht zugestimmt haben.

Das polnische Gericht hat Zweifel, ob die Datenschutz-Grundverordnung (DSGVO) es einem Gerichtsvollzieher gestattet, diese Datenbanken in einem Zwangsvollstreckungsverfahren ohne die Zustimmung der von diesen Daten betroffenen Personen zu veräußern, und hat daher den Gerichtshof angerufen.

In seinen Schlussanträgen schlägt Generalanwalt Priit Pikamäe dem Gerichtshof vor, dies zu bejahen.

Seiner Ansicht nach fallen die von dem Gerichtsvollzieher zur Schätzung des Werts der betreffenden Datenbanken und zu ihrer Versteigerung vorgenommenen Handlungen in den Anwendungsbereich der DSGVO. Diese Handlungen umfassten nämlich mindestens das Auslesen, das Abfragen und die Verwendung der personenbezogenen Daten und ihre Bereitstellung an den Erwerber und seien daher als eine „Verarbeitung“ dieser Daten im Sinne dieser Verordnung anzusehen. Zudem meint der Generalanwalt, dass der Gerichtsvollzieher als der für diese Verarbeitung Verantwortliche eingestuft werden müsse.

Außerdem vertritt der Generalanwalt den Standpunk , dass die in Rede stehende Verarbeitung rechtmäßig sei, wenn sie für die Wahrnehmung einer dem Gerichtsvollzieher übertragenen Aufgabe, die in Ausübung öffentlicher Gewalt erfolge, erforderlich sei.

Schließlich stellt der Generalanwalt fest, dass sich der Zweck der von dem Gerichtsvollzieher vorgenommenen Verarbeitung von dem ursprünglichen Zweck unterscheide, der darin bestanden habe, die Nutzung der in Rede stehenden Online-Plattform zu ermöglichen. Damit diese weitere Verarbeitung als mit der DSGVO vereinbar angesehen werden könne, müsse sie eine in einer demokratischen Gesellschaft notwendige und verhältnismäßige Maßnahme zur Erreichung eines der mit dieser Verordnung verfolgten Ziele im öffentlichen Interesse darstellen. Nach Auffassung des Generalanwalts kann unter diesen Zielen das der Durchsetzung zivilrechtlicher Ansprüche grundsätzlich die Verarbeitung der vorliegend in Rede stehenden Daten rechtfertigen. Er hebt auch hervor, dass die Prüfung der Verhältnismäßigkeit, die dem polnischen Gericht obliege, eine Abwägung zwischen dem Eigentumsrecht der Gläubigergesellschaft und dem Recht der Nutzer der in Rede stehenden Online-Plattform auf Schutz personenbezogener Daten impliziere.

Die vollständigen Schlussanträge finden Sie hier:

BayVGH: Erhebung und Speicherung von Drohnenaufnahmen zu Durchführung der Beitrags- und Gebührenerhebung im Rahmen der Abwasserbeseitigung rechtswidrig

BayVGH
Beschluss vom 15.02.2023
4 CE 23.2267


Der BayVGH hat entschieden, dass die Erhebung und Speicherung von Drohnenaufnahmen zu Durchführung der Beitrags- und Gebührenerhebung im Rahmen der Abwasserbeseitigung rechtswidrig ist.

Die Pressemitteilung des Gerichts:
BayVGH: Drohnenbefliegung eines Wohngrundstücks zur Beitragserhebung ist rechtswidrig

Mit Beschluss vom 15. Februar 2024 hat der Bayerische Verwaltungsgerichtshof (BayVGH) die Beschwerde der Stadt Neumarkt-Sankt Veit im Landkreis Mühldorf am Inn zurückgewiesen und die geplante Drohnenbefliegung eines Wohngrundstücks zur Ermittlung der Geschossfläche als rechtswidrig eingestuft.

Die Stadt Neumarkt-Sankt Veit plante ursprünglich für Oktober 2023 eine Drohnenbefliegung verschiedener Wohngrundstücke, um die Geschossfläche der dort vorhandenen Gebäude zu bestimmen. Die dadurch erlangten Daten sollten zur Berechnung des sog. Herstellungsbeitrags dienen, der für den Anschluss von Grundstücken an die gemeindliche Abwasserentsorgung erhoben wird. Nachdem der Antragsteller, dem ein Wohngrundstück im Stadtgebiet gehört, über die geplante Drohnenbefliegung informiert worden war, wandte er sich an das Verwaltungsgericht München, das seinem Eilantrag stattgab. Gegen diesen Beschluss legte die Stadt Beschwerde zum BayVGH ein.

Der BayVGH wies die Beschwerde der Stadt zurück. Dem Antragsteller stehe ein Unterlassungsanspruch zu, der eine Drohnenbefliegung seines Grundstücks verbiete. Für die geplante Maßnahme fehle es bereits an einer Rechtsgrundlage. Hierfür könne insbesondere nicht die Generalklausel des bayerischen Datenschutzgesetzes herangezogen werden. Diese lässt eine Verarbeitung personenbezogener Daten durch eine öffentliche Stelle zu, wenn sie zur Erfüllung einer ihr obliegenden Aufgabe erforderlich ist. Die Vorschrift erlaube eine Erhebung personenbezogener Daten jedoch nur dann, wenn es sich um einen geringfügigen Eingriff in die Rechte der betroffenen Person handele. Der Einsatz der Drohne stelle aber einen erheblichen Eingriff in das vom Grundgesetz geschützte allgemeine Persönlichkeitsrecht des Antragstellers dar. Auch wenn das Wohngebäude von außen aufgenommen werde, sei die schützenswerte Privatsphäre betroffen. Denn mit der Drohne könnten Aufnahmen von zur Wohnung zählenden Terrassen, Balkonen oder Gartenflächen hergestellt werden. Zudem könnten die sich dort aufhaltenden Personen fotografiert werden. Weiter sei nicht auszuschließen, dass durch Glasflächen auch Innenräume erfasst würden.

Der Beschluss des BayVGH ist unanfechtbar.

(BayVGH, Beschluss vom 15. Februar 2024, Az.: 4 CE 23.2267)



VG Berlin: Auskunftsanspruch aus Art. 15 DSGVO kann ein unverhältnismäßiger Aufwand zur Auskunftserteilung nur ein eng begrenzten Ausnahmefällen entgegengehalten werden

VG Berlin
Urteil vom 06.02.2024
1 K 187/21


Das VG Berlin hat entschieden, dass einem Auskunftsanspruch aus Art. 15 DSGVO ein unverhältnismäßiger Aufwand zur Auskunftserteilung nur ein eng begrenzten Ausnahmefällen entgegengehalten werden kann.

Aus den Entscheidungsgründen:
Soweit der Kläger – mit seinem Antrag zu 1.) – die Verpflichtung der Beklagten begehrt, die ihm unter dem 18. November 2020 erteilte Auskunft zu vervollständigen und ihm Auskunft über seine bis zum Datum seines Auskunftsantrages in den Verwaltungsvorgängen der Beklagten verarbeiteten personenbezogenen Daten zu erteilen, indem die Beklage ihm eine Kopie dieser Daten zur Verfügung stellt, ist die nach § 42 Abs. 1 Alt. 2 VwGO statthafte (vgl. BVerwG, Urteil vom 30. November 2022 - 6 C 10.21, juris Rn. 14) und auch sonst zulässige Verpflichtungsklage begründet (§ 113 Abs. 5 Satz 1 VwGO).

Grundlage für den insoweit geltend gemachten Anspruch ist Art. 15 Abs. 1 i.V.m. Abs. 3 Satz 1 der Verordnung (EU) 2016/679 (Datenschutz-Grundverordnung - DSGVO).

Sinn und Zweck des Auskunftsanspruchs aus Art. 15 Abs. 1 DSGVO ist es, wie sich u.a. aus Erwägungsgrund 63 zur DSGVO ergibt, den Betroffenen in die Lage zu versetzen, von einer Verarbeitung ihn betreffender personenbezogener Daten Kenntnis zu erhalten, um im Folgenden nicht nur die Richtigkeit dieser Daten, sondern auch die Zulässigkeit ihrer Verarbeitung überprüfen und im Folgenden ggf. die ihm nach den Art. 16f. DSGVO zustehenden Rechte – beispielweise auf Löschung oder Einschränkung der Verarbeitung der Daten – ausüben zu können (EuGH, Urteil vom 4. Mai 2023 - C-487, juris Rn. 33f.). Gerade für eine Rechtmäßigkeitskontrolle ist aber, worauf der Kläger zu Recht hingewiesen hat, eine bloß abstrakte Übersicht über die verarbeiteten Daten nicht ausreichend, weshalb der Anspruch des Klägers nicht durch die ihm unter dem 18. November 2020 erteilte Auskunft der Beklagten erloschen ist, die sich lediglich auf die in den IT-Systemen der Beklagten gespeicherten (Stamm-)Daten des Klägers erstreckte. Vielmehr bedarf es, um die Rechtmäßigkeit der Datenverarbeitung im jeweiligen Einzelfall überprüfen zu können, notwendigerweise der konkreten Mitteilung, in welchem Kontext die Daten verarbeitet wurden (EuGH, Urteil vom 4. Mai 2023, a.a.O. Rn. 41f.; vgl. auch EuGH, Urteil vom 22. Juni 2023 - C-579/21, juris Rn. 64f., 66). Dies lässt sich regelmäßig durch Zurverfügungstellung einer Kopie i.S.d. Art. 15 Abs. 3 Satz 1 DSGVO erreichen, d.h. einer vollständigen, originalgetreuen Reproduktion der verarbeiteten Daten (EuGH, Urteil vom 4. Mai 2023, a.a.O. Rn. 32, 39 und Urteil vom 22. Juni 2023, a.a.O.; vgl. auch EuGH, Urteil vom 26. Oktober 2023 - C-307/22, juris Rn. 79).

Der Klagebegründung zufolge (vgl. Schriftsatz vom 22. Dezember 2023, S. 3, 4) soll der geltend gemachte Auskunftsanspruch aus Art. 15 Abs. 1 DSGVO auf diese Weise erfüllt werden. Durch die (dementsprechend tenorierte) Verpflichtung der Beklagten zur Zurverfügungstellung einer Kopie i.S.d. Art. 15 Abs. 3 Satz 1 DSGVO wird zugleich der durch den Kläger weiter geltend gemachten Anspruch auf Auskunft über die sogenannten „Metadaten“ i.S.d. Art. 15 Abs. 1 HS. 2 lit. a) bis h) DSGVO erfüllt (vgl. Urteil der Kammer vom 10. Januar 2024 - VG 1 K 73/22, UA S. 5f.).

Dem damit dem Grunde nach bestehenden Anspruch des Klägers aus Art. 15 Abs. 1 i.V.m. Abs. 3 Satz 1 DSGVO kann die Beklagte nicht mit Erfolg den Einwand der Unverhältnismäßigkeit oder des Rechtsmissbrauchs entgegenhalten.

Das Gericht verkennt nicht, dass mit der Zurverfügungstellung von Kopien aller in den Verwaltungsvorgängen der Beklagten enthaltenen Dokumente, in denen personenbezogene Daten des Klägers verarbeitet werden, nicht nur wegen der in jedem Einzelfall erforderlichen Prüfung entgegenstehender Rechte i.S.d. Art. 15 Abs. 4 DSGVO ein erheblicher Aufwand einhergeht. Aufgrund der Bedeutung des – grundsätzlich unbedingt gewährleisteten – Auskunftsanspruchs aus Art. 15 Abs. 1 DSGVO kommt eine Weigerung des Verantwortlichen, einem Auskunftsbegehren wegen des zu seiner Erfüllung zu treibenden unverhältnismäßigen Aufwandes Folge zu leisten, jedoch nur in eng begrenzten Ausnahmefällen in Betracht, beispielsweise bei einem offenkundig groben Missverhältnis zwischen den zur Erfüllung des Auskunftsanspruches erforderlichen Anstrengungen und dem Informationsinteresse des Betroffenen (vgl. Urteil der Kammer vom 12. Oktober 2023 - 1 K 561/21, juris Rn. 60). Diese Voraussetzung ist hier jedoch – trotz des großen Umfangs der durch die Beklagte zu sichtenden und vor einer Herausgabe an den Kläger ggf. zu anonymisierenden Akten – nicht erfüllt. Denn der Kläger hat unter Bezugnahme auf die besondere Schutzwürdigkeit seiner personenbezogenen Daten (vgl. hierzu das den Beteiligten bekannte Urteil der Kammer vom 10. Juni 2020 - VG 1 K 143/16, UA S. 9f.) plausibel dargelegt, dass er vorrangig deren Weitergabe durch die Beklagte an Dritte nachvollziehen wolle (die laut der Mitteilung der Beklagten an den Kläger vom 18. November 2020 mehrfach erfolgt ist), um diesen Dritten gegenüber eventuell die Löschung oder die Einschränkung der Verarbeitung der Daten geltend zu machen. Dem lässt sich allein dadurch Rechnung tragen, dass die Beklagte die betreffenden Dokumente in Kopie an den Kläger herausgibt; eine abstrakte Mitteilung der Empfänger der Daten ist nach dem oben Gesagten für die jeweils erforderliche Einzelfallprüfung nicht ausreichend. Der Einwand des Rechtsmissbrauchs, an den gleichermaßen strenge Anforderungen zu stellen sind, greift vor diesem Hintergrund ebenfalls nicht durch.


Den Volltext der Entscheidung finden Sie hier:



OLG Naumburg: Recht auf Löschung gemäß Art. 17 Abs. 1 DSGVO gilt nach Art. 17 Abs. 3 lit. b DSGVO nicht in Handelsregistersachen - Schwärzung von Unterschriften im Handelsregister

OLG Naumburg
Beschluss vom 11.01.2023
5 Wx 14/22


Das OLG Naumburg hat entschieden, dass das Recht auf Löschung gemäß Art. 17 Abs. 1 DSGVO nach Art. 17 Abs. 3 lit. b DSGVO nicht in Handelsregistersachen gilt. Vorliegend ging es um die Schwärzung von Unterschriften im Handelsregister.

Aus den Entscheidungsgründen:
Nach § 59 Abs. 1 FamFG steht demjenigen die Beschwerde zu, der durch einen gerichtlichen Beschluss in seinen Rechten beeinträchtigt ist. Es muss sich um die unmittelbare Beeinträchtigung eines eigenen materiellen Rechts handeln (vgl. BGH FamRZ 2011, 465 mwN; BGHZ 1, 343, 351). Eine solche Beeinträchtigung ist hier nicht gegeben, weil den Beteiligten ein Anspruch auf Schwärzung ihrer Unterschriften unter keinem denkbaren Gesichtspunkt zukommt.

a) Das von den Beteiligten reklamierte Recht auf Löschung gem. Art. 17 Abs. 1 DS-GVO findet aufgrund der Ausnahmevorschrift des Art. 17 Abs. 3 lit. b DS-GVO im Registerwesen keine Anwendung (hierzu MüKoHGB/Krafka, 5. Aufl. 2021, HGB § 10a Rn. 13, 14; BT-Drs. 18/12611, S. 68). Danach ist die Art. 17 Abs. 1 DS-GVO unanwendbar, wenn „die Verarbeitung zur Erfüllung einer rechtlichen Verpflichtung erforderlich ist, die die Verarbeitung nach dem Recht der Union oder der Mitgliedstaaten, dem der Verantwortliche unterliegt, erfordert, oder zur Wahrnehmung einer Aufgabe, die im öffentlichen Interesse liegt oder in Ausübung öffentlicher Gewalt erfolgt, die dem Verantwortlichen übertragen wurde“. Dass die Tätigkeit eines Hoheitsträgers, die darauf gerichtet ist, in Erfüllung von Publizitätspflichten übermittelte Daten in einer Datenbank zu speichern sowie interessierten Personen Einsicht zu gewähren, zur Ausübung hoheitlicher Befugnisse gehört, hat der Europäische Gerichtshof bereits entschieden (EUGH ZD 2012, 522). Eine solche Tätigkeit stellt zudem auch eine im öffentlichen Interesse liegende Aufgabe im Sinne des Art. 17 Abs. 3 lit. b DS-GVO dar (Pauly/Paal, 3. Aufl. 2021, DS-GVO Art. 17 Rn. 43).

Im Übrigen hat der Europäische Gerichtshof in der Rechtssache Salvator Manni zur von der DS-GVO abgelösten Datenschutz-RL, die eine mit Art. 17 Abs. 3 lit. b DS-GVO vergleichbare Anwendungsausnahme nicht kannte, hervorgehoben, dass die Registerpublizität grundsätzlich Vorrang vor dem Persönlichkeitsschutz genießt (EuGH ZD 2017, 325, 327). Ein Löschungsbegehren kam daher schon unter Herrschaft Datenschutz-RL nur in besonderen Ausnahmefällen in Betracht, also in Konstellationen, in denen der Betroffene besonders schutzbedürftig erscheint (zur Übertragbarkeit der Grundsätze auf die DS-GVO Hübner, ZHR 183 [2019], 540, 571]). Eine solche Schutzbedürftigkeit der Beteiligten ist hinsichtlich der hier streitbefangenen Unterschriften nicht ersichtlich.

b) Auch auf Art. 16 Abs. 1 DS-GVO können sich die Beteiligten nicht berufen. Denn der dort geregelte Berichtigungsanspruch setzt eine - hier nicht gegebene - unrichtige Angabe in Bezug auf personenbezogene Daten voraus.

c) Schließlich folgt auch kein Löschungsanspruch aus den Grundrechten der Beteiligten. Zwar steht einem solchen, anders als das Registergericht meint, nicht bereits entgegen, dass die Beteiligten die Veröffentlichung ihrer Unterschriften seinerzeit willentlich veranlassten und es damit an einer Grundrechtsbeeinträchtigung fehlte (zum Grundrechtsverzicht BVerfGE 106, 28, 44 f.; Sachs, GG, 9. Aufl. 2021, Vorbemerkungen zu Abschnitt I, Rn. 55). Denn angesichts der (faktischen) Erweiterung der Einsichtsrechte in das Register und die dort eingestellten Dokumente infolge der Digitalisierungsrichtlinie und ihrer Umsetzung in nationales Recht durch das DiRUG aufgrund der Statuierung der Kostenfreiheit der Einsicht verlöre die ursprüngliche Einwilligung ihre Geltung und wäre ein fortwirkender Verzicht auf die in Art. 7, 8 GRCh verankerten Grundrechte der Beteiligten auf Achtung des Privatlebens und auf Schutz personenbezogener Daten sowie das allgemeine Persönlichkeitsrecht aus Art. 2 Abs. 1 GG i.V.m. Art. 1 Abs. 1 GG ausgeschlossen (zum Verhältnis der deutschen Grundrechte zu europäischen in - wie hier - nicht vollständig unionsrechtlich determinierten Bereichen mit nationalen Gestaltungsspielräumen BVerfG, NJW 2020, 300, 302).


Gleichwohl können die Beteiligten nicht die Schwärzung ihrer Unterschriften in den zum Register seinerzeit eingereichten Unterlagen verlangen. Anerkanntermaßen ist ein grundrechtlicher (Folgen-)Beseitigungsanspruch insoweit begrenzt, als die in der Rechtsfolge begehrte Handlung rechtlich und tatsächlich möglich sein muss (BVerwGE 69, 366, 370; 82, 76, 95; BVerwG, NVwZ 1998, 1292, 1294; Bay. VGH, NVwZ 1999, 1237). Diese Schranken kommen hier zur Anwendung: Denn einmal in den Registerordner eingestellte Dokumente können zum Schutz der Registerwahrheit grundsätzlich nicht verändert werden (vgl. BR-Drs. 560/22, S. 29). Daher ist es nicht Aufgabe des Registergerichts, in freigegebene Dokumente nachtäglich einzugreifen. Daran ändert auch der mit Wirkung zum 23. Dezember 2022 neu eingefügte § 9 Abs. 7 HRV nichts. Nach dieser Vorschrift ist beim Austausch eines in den Registerordner eingestellten Dokuments gegen ein neues Dokument der Austausch kenntlich zu machen und das Datum der Aufnahme des alten Dokuments in den Registerordner anzugeben. Diese Vorschrift setzt die Möglichkeit des nachträglichen Austausches von Dokumenten damit zwar voraus. Doch erstreben die Beteiligten hier keinen unter die Vorschrift fallenden Austausch von Dokumenten, sondern begehren die Veränderung des Ausgangsdokuments. Auf die von § 9 Abs. 7 HRV nicht beantwortete Frage, unter welchen Voraussetzungen ein Austausch überhaupt möglich ist, kommt es hier nicht an. Im Übrigen wäre der § 9 Abs. 7 HRV unterfallende Austausch vom Notar, und nicht, wie hier, den Beteiligten gegenüber dem Registergericht zu veranlassen (vgl. § 12 Abs. 2 HGB).

Den Volltext der Entscheidung finden Sie hier:

KG Berlin: Auch gegen juristische Person kann unmittelbar DSGVO-Bußgeld verhängt werden - Deutsche Wohnen

KG Berlin
Beschluss vom 22.01.2024
3 Ws 250/21, 161 AR 84/21, 3 Ws 250/21 - 161 AR 84/21


Das KG Berlin hat entschieden, dass auch unittelbar gegen juristische Person ein DSGVO-Bußgeld verhängt werden kann.

Aus den Entscheidungsgründen:
Mit Bußgeldbescheid vom 30. Oktober 2019 hat die Berliner Beauftragte für den Datenschutz (im Folgenden: BlnBDI) gegen das betroffene Unternehmen (im Folgenden: Betroffene) Geldbußen festgesetzt. Mit dem Bußgeldbescheid ist der Betroffenen vorgeworfen worden, es zwischen dem 25. Mai 2018 und dem 5. März 2019 vorsätzlich unterlassen zu haben, die notwendigen Maßnahmen zur Ermöglichung der regelmäßigen Löschung nicht mehr benötigter oder in sonstiger Weise zu Unrecht gespeicherter Daten von Mietern zu treffen. Weiter hat der Bußgeldbescheid den Vorwurf enthalten, personenbezogene Daten von mindestens 15 näher bezeichneten Mietern fortgesetzt gespeichert zu haben, obwohl bekannt gewesen sei, dass dies nicht oder nicht mehr erforderlich war. Wegen des vorsätzlichen Verstoßes gegen Art. 25 Abs. 1, Art. 5 Abs. 1 a), c) und e) DS-GVO hat die Geldbuße 14.385.000 Euro betragen. Wegen Verstößen gegen Art. 6 Abs. 1 DS-GVO sind 15 weitere Geldbußen mit Beträge zwischen 3.000 und 17.000 Euro festgesetzt worden.

Auf den Einspruch der Betroffenen hat das Landgericht Berlin das Verfahren nach § 46 Abs. 1 OWiG i. V. m. § 206a StPO durch den angefochtenen Beschluss eingestellt. Das Landgericht hat die Auffassung vertreten, der Bußgeldbescheid habe unter so gravierenden Mängeln gelitten, dass er nicht Grundlage des Verfahrens sein könne. Namentlich ist das Landgericht der Auffassung gewesen, eine juristische Person könne nicht Betroffene eines Bußgeldverfahrens sein, auch nicht in einem solchen nach Art. 83 DS-GVO. Da einer juristischen Person lediglich ein Handeln ihrer Organmitglieder oder Repräsentanten zugerechnet werden könne, könne diese in einem Bußgeldverfahren nur als Nebenbeteiligte fungieren. Die Verhängung einer Geldbuße gegen eine juristische Person sei in § 30 OWiG abschließend geregelt, der über § 41 Abs. 1 BDSG auch für Verstöße nach Art. 83 Abs. 4 bis 6 DS-GVO Anwendung finde. Die in § 83 DS-GVO kodifizierte unmittelbare Unternehmenshaftung verstoße gegen das im deutschen Recht verankerte Schuldprinzip und könne daher nicht angewendet werden.

Hiergegen hat die Staatsanwaltschaft Berlin sofortige Beschwerde eingelegt. Der Senat hat das Verfahren durch Beschluss vom 6. Dezember 2021 ausgesetzt und nach Art. 267 Abs. 3 AEUV eine Vorabentscheidung des Gerichtshofs der Europäischen Union u.a. zu der Frage eingeholt, ob Art. 83 Abs. 4-6 DS-GVO dahin auszulegen sei, „dass es den Art. 101 und 102 AEUV zugeordneten funktionalen Unternehmensbegriff und das Funktionsträgerprinzip in das innerstaatliche Recht mit der Folge inkorporiert, dass unter Erweiterung des § 30 OWiG zugrundeliegenden Rechtsträgerprinzips ein Bußgeldverfahren unmittelbar gegen ein Unternehmen geführt werden kann und die Bebußung nicht der Feststellung einer durch eine natürliche und identifizierte Person, gegebenenfalls volldeliktisch, begangenen Ordnungswidrigkeit bedarf“. Der EuGH hat durch Urteil vom 5. Dezember 2023 (C-807/21 – [juris]) wie folgt entschieden: „Art. 58 Abs. 2 Buchst. i und Art. 83 Abs. 1 bis 6 der Verordnung (EU) 2016/679 des Europäischen Parlaments und des Rates vom 27. April 2016 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten, zum freien Datenverkehr und zur Aufhebung der Richtlinie 95/46/EG (Datenschutz-Grundverordnung) sind dahin auszulegen, dass sie einer nationalen Regelung entgegenstehen, wonach eine Geldbuße wegen eines in Art. 83 Abs. 4 bis 6 DSG-VO genannten Verstoßes gegen eine juristische Person in ihrer Eigenschaft als Verantwortliche nur dann verhängt werden kann, wenn dieser Verstoß zuvor einer identifizierten natürlichen Person zugerechnet wurde“. In einem weiteren Ausspruch desselben Urteils heißt es, dass „eine Geldbuße nur dann verhängt werden darf, wenn nachgewiesen ist, dass der Verantwortliche, der eine juristische Person und zugleich ein Unternehmen ist, einen in Art. 83 Abs. 4 bis 6 DSGVO genannten Verstoß vorsätzlich oder fahrlässig begangen hat“.

Mit Beschluss vom Folgetag hat der Senat angeordnet, dass das Verfahren fortgesetzt wird.

Die sofortige Beschwerde der Staatsanwaltschaft hat Erfolg. Nach Maßgabe des in dieser Sache ergangenen Urteils des Europäischen Gerichtshofs ist die Betroffene unbeschadet ihrer Eigenschaft als juristische Person taugliche Adressatin eines Bußgeldbescheids (1.). Das durch das Landgericht angenommene Verfahrenshindernis eines unwirksamen Bußgeldbescheids besteht nicht (2.).

1. Dass die Betroffene als juristische Person taugliche Adressatin eines Bußgeldbescheids sein kann und als solche zudem unmittelbar und nicht nur als Verfahrens- oder Nebenbeteiligte bebußt werden kann, ergibt sich aus dem in diesem Verfahren ergangenen Urteil des EuGH (Urteil vom 5. Dezember 2023 – C-807/21 – [juris]). Der Gerichtshof führt aus, es sei möglich, „die in Art. 83 DSG-VO für solche Verstöße vorgesehenen Geldbußen unmittelbar gegen juristische Personen zu verhängen, wenn diese als für die betreffende Verarbeitung Verantwortliche eingestuft werden können“ (Rn. 44). Dies folgt, so der EuGH weiter, daraus, dass Unternehmen „nicht nur für Verstöße haften, die von ihren Vertretern, Leitern oder Geschäftsführern begangen wurden, sondern auch für Verstöße, die von jeder anderen Person begangen wurden, die im Rahmen der unternehmerischen Tätigkeit und im Namen dieser juristischen Personen handelt“ (Rn. 44). Die hierdurch – und zwar unabhängig von einem individualisierbaren Organisationsdefizit oder einer Aufsichtspflichtverletzung – möglich gewordene unmittelbare Bebußung von juristischen Personen wird auch durch die Verteidigung, soweit aus ihrem Schriftsatz vom 15. Januar 2024 ersichtlich, nicht mehr in Frage gestellt.

2. Der Bußgeldbescheid der BlnBDI erfüllt die Wirksamkeitsvoraussetzungen des § 66 Abs. 1 OWiG und stellt eine ausreichende Verfahrensgrundlage dar. Ein Verfahrenshindernis besteht insoweit nicht.

a) Nach § 66 OWiG muss der Bußgeldbescheid „die Bezeichnung der Tat, die dem Betroffenen zur Last gelegt wird, Zeit und Ort ihrer Begehung, die gesetzlichen Merkmale der Ordnungswidrigkeit und die angewendeten Bußgeldvorschriften“ enthalten. Der Bußgeldbescheid muss den Tatvorwurf nach gefestigtem Verständnis formal und sachlich umgrenzen (Umgrenzungsfunktion) und den Betroffenen ausreichend über den Tatvorwurf unterrichten (Informationsfunktion) (vgl. BGHSt 23, 336; Senat Verkehrsrecht aktuell 2019, 123 [Volltext bei juris]; OLG Celle ZfSch 2015, 649).

b) Hier ist rechtstechnisch zusätzlich zu beachten, dass die in § 66 OWiG niedergelegten verfahrensbezogenen Anforderungen an die Gestaltung des Bußgeldbescheids den durch den EuGH formulierten Grundsätzen des materiellen Rechts folgen. Die vom EuGH entwickelten sachlich-rechtlichen Grundzüge der Verbandsgeldbuße überformen, prägen und gestalten das diesbezügliche nationale Verfahrensrecht. Formuliert der EuGH etwa, die Bebußung erfordere nicht, dass ein „Verstoß von einer identifizierten natürlichen Person begangen wurde“ (Rn. 46), so folgt daraus zwingend, dass sich die Bezeichnung einer solchen natürlichen Person auch nicht aus dem nationalen Verfahrensrecht, hier § 66 OWiG, ergeben muss.

Der Auffassung der Verteidigung, die Wirksamkeit des Bußgeldbescheids als Verfahrensvoraussetzung bemesse sich nach § 66 OWiG, trifft damit allgemein zu, denn eine Suspendierung der gesamten Vorschrift steht auch angesichts des nun anzuwendenden europarechtskonformen Verantwortungs- und Haftungsregimes nicht in Rede. Vielmehr sieht Art. 83 Abs. 8 DSG-VO vor, dass die „Ausübung der eigenen Befugnisse durch eine Aufsichtsbehörde“ unionsrechtskompatiblen Verfahrensgarantien „einschließlich wirksamer gerichtlicher Rechtsbehelfe und ordnungsgemäßer Verfahren“ unterliegt. Daher verweist § 41 BDSG auf Verfahrensvorschriften des OWiG und der StPO, und auch § 66 OWiG ist als grundlegendes nationales Verfahrensrecht anwendbar. Seine Auslegung allerdings richtet sich hier nach den sachlich-rechtlichen Vorgaben des übergeordneten Europarechts in der durch den EuGH nun gegebenen Ausprägung.

c) Unter Zugrundelegung der Maßgaben aus der Vorabentscheidung des EuGH und ihrer Weiterungen auf das nationale Verfahrensrecht erfüllt der Bußgeldbescheid der BlnBDI die Voraussetzungen des § 66 OWiG. Ohne Weiteres grenzt der Bußgeldbescheid den Gegenstand des Verfahrens in persönlicher, sachlicher und rechtlicher Hinsicht ab, und die Betroffene kann mühelos erkennen, welcher konkrete Vorwurf gegen sie erhoben wird. Namentlich die durch § 66 Abs. 1 Nr. 3 OWiG erforderten Essentialia, nämlich die „Bezeichnung der Tat, die dem Betroffenen zur Last gelegt wird“ sowie „Zeit und Ort ihrer Begehung“, sind bei der gebotenen funktional-normativen Betrachtung eingehalten.

Der Bußgeldbescheid wirft der Betroffenen vor, es zwischen dem 25. Mai 2018 und dem 5. März 2019 vorsätzlich unterlassen zu haben, die notwendigen Maßnahmen zur Ermöglichung der regelmäßigen Löschung nicht mehr benötigter oder in sonstiger Weise zu Unrecht gespeicherter Daten von Mietern zu treffen. Weiter wird ihr vorgeworfen, personenbezogene Daten von mindestens 15 näher bezeichneten Mietern fortgesetzt gespeichert zu haben, obgleich bekannt gewesen sei, dass dies nicht oder nicht mehr erforderlich war.

Diese – hier nur kursorisch zusammengefassten – Vorwürfe sind im Bußgeldbescheid ausgesprochen konkret und ausführlich dargestellt. Der Bußgeldbescheid bezeichnet die insgesamt 16 Tathandlungen auf mehr als 17 Seiten in einer ausdifferenzierten und nachgerade ziselierten Weise. Die Ausführungen vermitteln der Betroffenen präzise, was ihr vorgeworfen wird, und sie ermöglichen es ihr, sich hiergegen zu verteidigen. Dabei ist auch zu beachten, dass es sich bei den vorgeworfenen Handlungen (oder Unterlassungen) ersichtlich um keine Individualexzesse in einem Dunkelbereich des Unternehmens handelt. Gegenstand des Bußgeldverfahrens bildet die Speicherung bzw. Archivierung (oder Nichtlöschung) von Kundendaten. Es geht um einfach gelagerte und verständliche Sachverhalte und im Letzten um gewöhnliche Vorgänge in einem operativen Unternehmensbereich.

d) Nicht folgen kann der Senat der Überlegung der Betroffenen, der Bußgeldbescheid müsse konkretisieren, „welches Organ durch welche Handlung die Voraussetzungen des § 30 OWiG erfüllt hat“. Abgesehen davon, dass der Bußgeldbescheid die Rechtsverstöße auch in ihrer Entstehung („Handlung“) durchaus nachvollziehbar darstellt und umreißt, deduziert sich ein solches Erfordernis aus der überkommenen Vorstellung, eine Verbandshaftung erfordere das Verschulden eines Repräsentanten (§ 30 OWiG) oder eine Aufsichtspflichtverletzung (§ 130 OWiG). Sie lässt die europarechtlichen Einflüsse auf das Verbandsanktionenrecht außen vor und missachtet die Rechtsprechung des EuGH im hiesigen Vorabentscheidungsverfahren. Wenn der EuGH ausdrücklich formuliert, die Bebußung erfordere nicht, dass ein „Verstoß von einer identifizierten natürlichen Person begangen wurde“ (Rn. 46), so stellt er klar, dass juristische Personen dafür verantwortlich sind, dass Daten im Rahmen ihrer unternehmerischen Tätigkeit rechtmäßig verarbeitet werden (Rn. 44). Sanktioniert wird hiernach nicht (nur) eine fehlerhafte Organisation, sondern gerade die Pflichtverletzung des Verbands bzw. im Verband, als „genuine Verbandstat“ (vgl. als Kritik an der überkommenen nationalen Rechtslage: HK-OWiG/Schmitt-Leonardy, 2. Aufl., § 30 Rn. 13). Nach der Vorabentscheidung des EuGH ist auch eine juristische Person schuldfähig, so dass es zu einem Gleichlauf von Verantwortlichkeit und Haftbarkeit kommt (vgl. Grages/Strassemeyer, CR 2024, 10). Damit fallen alle Personen, die im Rahmen der unternehmerischen Tätigkeit handeln, in den abstrakten Verantwortungskreis der juristischen Person, und selbst eine normentsprechende Organisation führt – jedenfalls in aller Regel – nicht zur Exkulpation. Dies entspricht dem Effektivitätsgrundsatz des europäischen Rechts.

Dass der Verband (materiell-rechtlich) allein datenschutzrechtlich Verantwortlicher ist (vgl. Wünschelbaum, DSB 2024, 15), wirkt sich damit unmittelbar auf die verfahrensrechtlich gebotene Darstellungsdichte im Bußgeldbescheid aus. Insbesondere muss dieser gerade nicht bezeichnen, welchem Repräsentanten oder welchem „Organ“ welche konkrete Handlung oder welches konkrete Unterlassen zur Last fällt. Im Übrigen bleibt es aber auch insoweit dabei, dass der hier zu beurteilende Bußgeldbescheid die Tathandlungen bemerkenswert und – gemessen an den vom EuGH formulierten materiell-rechtlichen Haftungsvoraussetzungen ersichtlich – überobligatorisch konkret darstellt.

e) Auch kann sich der Senat der noch weitergehenden Überlegung der Verteidigung nicht anschließen, es sei sogar „unverzichtbar, dass ein Bußgeldbescheid die verfahrensmaßgeblichen Handlungen der natürlichen Person beschreibt“, um einen Vorwurf gegen den Verband „erkennen, abgrenzen, bewerten und sich gegen ihn verteidigen zu können“. Auch diese Auffassung verstößt eklatant gegen das im hiesigen Verfahren ergangene Urteil des EuGH. Das durch die Verteidigung erkannte Erfordernis geht darüber hinweg, dass eine Sanktionierung gerade nicht erfordert, dass ein „Verstoß von einer identifizierten natürlichen Person begangen wurde“ (Rn. 46). Dieses klare EuGH-Diktum ist mit der Forderung der Verteidigung, der Bußgeldbescheid müsse die „Handlung der natürlichen Person beschreiben“, ersichtlich unvereinbar. Allerdings gilt auch insoweit: Der Bußgeldbescheid beschreibt die vorgeworfenen Handlungen – zum großen Teil in der Form des Unterlassens der Löschung, teilweise als unterlassene Kennzeichnung von Daten – nachvollziehbar und deutlich. Der Betroffenen ist es möglich und unbenommen, im Bußgeldverfahren darzustellen, dass die Daten nicht gespeichert oder rechtmäßig gespeichert und ggf. rechtzeitig gelöscht wurden. Jedenfalls unter Zugrundelegung der vom EuGH umrissenen Grundzüge einer umfassenden Unternehmensverantwortung ist nicht ersichtlich, dass eine noch ausführlichere und noch „konkretere“ Darstellung der Tatvorwürfe im Bußgeldbescheid die Verteidigungsmöglichkeiten der Betroffenen substantiell erweitern könnte. Durch das EuGH-Judikat verringerte Exkulpationsmöglichkeiten sind nicht Folge eines unkonkret bleibenden Bußgeldbescheids, sondern einer dem Effektivitätsgrundsatz geschuldeten europarechtskonform erweiterten Verbandsverantwortung.

f) Folgerichtig ist der Verteidigung schließlich auch darin zu widersprechen, die Bezeichnung der dem Organ vorwerfbaren Tat sei unerlässliche Voraussetzung des Bußgeldbescheids. Dieses ehedem bestehende Erfordernis, das dem limitierten Haftungsregime des nationalen Rechts folgte, ist durch die im hiesigen Verfahren ergangene Vorabentscheidung des EuGH zu einer umfassenden Verbandsverantwortung nach kartellrechtlichem Vorbild obsolet. In dieser heißt es, „dass die Anwendung von Art. 83 DSG-VO keine Handlung und nicht einmal eine Kenntnis seitens des Leitungsorgans“ voraussetzt (Rn. 77).

3. Da kein Verfahrenshindernis besteht, war der angefochtene Beschluss aufzuheben, und die Sache ist an das Landgericht zurückzuverweisen. Funktional zuständig ist nicht die große Strafkammer (Wirtschaftskammer), sondern die Kammer für Bußgeldsachen (§ 47 Abs. 7 OWiG). Der Senat kann nachvollziehen, dass die Kammer entgegen einer analogen Anwendung des § 68 Abs. 1 Satz 2 OWiG nicht durch Einzelrichter entschieden hat, sondern – wohl entsprechend §§ 46 Abs. 1 OWiG, 76 Abs. 1 GVG – zuletzt eine Besetzung gewählt hat, die der einer großen Strafkammer entspricht (vgl. zur funktionalen Zuständigkeit und zur Besetzungsfrage Brodowski/Nowak in BeckOK Datenschutzrecht, 46. Edition, § 41 BDSG Rn. 16). Hierfür spricht, dass sich die sachliche Zuständigkeit des Landgerichts (§ 41 Abs. 1 Satz 3 BDSG) aus dem Streben nach einer verbesserten Kontrolle ableiten dürfte, die sich jedenfalls im Leitbild aus der Beteiligung mehrerer (Berufs-) Richter ergibt.

4. Eine Kostenentscheidung ist in Bezug auf das Rechtsmittel nicht veranlasst (ex arg. BGH WuW 2020, 615). Über die Kosten des Vorabentscheidungsverfahrens hat an sich das vorlegende Gericht zu entscheiden (Art. 102 EuGHVerfO). Das Vorabentscheidungsverfahren erweist sich aber lediglich als Zwischenverfahren des gleichfalls unselbständigen Beschwerdeverfahrens, durch dessen Entscheidung das Bußgeldverfahren nicht abgeschlossen wird. Da das Bußgeldverfahren beim Landgericht Berlin fortgesetzt und durch dieses entschieden wird, ist es angemessen, dass die Kammer für Bußgeldsachen in der abschließenden Kostengrundentscheidung über die Kosten des Vorabentscheidungsverfahrens mitentscheidet (vgl. bei ähnlicher Konstellation BGH WM 1996, 1889 unter Bezug auf EuGH GRUR Int. 1996, 147).


Den Volltext der Entscheidung finden Sie hier: