BECKMANN UND NORDA - Rechtsanwälte Bielefeld

EuGH-Generalanwalt
Schlussanträge vom 25.04.2024
C-446/21
Offenlegung von Daten gegenüber der Öffentlichkeit
Maximilian Schrems gegen Meta Platforms Ireland Limited, vormals Facebook Ireland Limited

Der EuGH-Generalanwalt kommt in seinen Schlussanträgen zu dem Ergebnis, dass die Selbstöffnung des Betroffenen
zwar dazu führt, dass personenbezogene Daten "offensichtlich öffentlich" sind, dies aber nicht die Verarbeitung zum Zweck der personalisierten Werbung erlaubt.

Die Pressemitteilung des EuGH:
Generalanwalt Rantos: Die öffentliche Äußerung der eigenen sexuellen Orientierung durch den Nutzer eines sozialen Netzwerks macht dieses Datum „offensichtlich öffentlich“, doch erlaubt dies nicht dessen Verarbeitung zum Zweck der personalisierten Werbung

Im Laufe des Jahres 2018 legte Meta Platforms Ireland ihren Nutzern in der Europäischen Union neue Nutzungsbedingungen für Facebook vor. Die Einwilligung zu diesen Bedingungen ist erforderlich, um sich registrieren oder auf von Facebook bereitgestellte Konten und Dienste zugreifen zu können. Herr Maximilian Schrems, ein Facebook-Nutzer und Aktivist im Bereich des Datenschutzes, hat diese Bedingungen akzeptiert. Er habe oft Werbung, die auf homosexuelle Personen abgezielt habe, und Einladungen zu entsprechenden Veranstaltungen erhalten. Diese Werbungen hätten sich nicht unmittelbar auf seine sexuelle Orientierung gestützt, sondern auf die Analyse seiner Interessen. Da er mit der Behandlung seiner Daten unzufrieden war, und diese sogar für rechtswidrig hielt, klagte Herr Schrems vor den österreichischen Gerichten. In der darauffolgenden Zeit erwähnte er öffentlich bei einer Podiumsdiskussion seine sexuelle Orientierung, veröffentlichte darüber aber nichts auf seinem Facebook-Profil.

Der Oberste Gerichtshof hat Fragen zur Auslegung der Datenschutz-Grundverordnung (DSGVO) 1 . Er möchte vom Gerichtshof wissen, ob ein Netzwerk wie Facebook personenbezogene Daten, über die es verfügt, ohne zeitliche Einschränkung für Zwecke der zielgerichteten Werbung analysieren und verarbeiten darf. Des Weiteren fragt er den Gerichtshof, ob eine Äußerung einer Person über die eigene sexuelle Orientierung anlässlich einer Podiumsdiskussion die Verarbeitung von anderen diesbezüglichen Daten zu dem Zweck erlaubt, dieser Person personalisierte Werbung anzubieten.

Zur ersten Frage schlägt Generalanwalt Athanasios Rantos dem Gerichtshof vor, zu entscheiden, dass die DSGVO dem entgegenstehe, dass personenbezogene Daten für Zwecke der zielgerichteten Werbung ohne Einschränkung nach der Zeit verarbeitet würden. Das nationale Gericht habe auf der Grundlage insbesondere des Grundsatzes der Verhältnismäßigkeit zu beurteilen, inwieweit der Zeitraum der Speicherung und die Menge der verarbeiteten Daten im Hinblick auf das legitime Ziel der Verarbeitung dieser Daten für Zwecke der personalisierten Werbung gerechtfertigt seien. Zur zweiten Frage vertritt der Generalanwalt vorbehaltlich der dem Obersten Gerichtshof obliegenden Sachprüfungen die Ansicht, dass der Umstand, dass sich Herr Schrems bei einer öffentlichen Podiumsdiskussion in vollem Bewusstsein über die eigene sexuelle Orientierung geäußert habe, eine Handlung darstellen könne, mit der er dieses Datum im Sinne der DSGVO „offensichtlich öffentlich gemacht“ habe. Er weist darauf hin, dass Daten über die sexuelle Orientierung zwar in die Kategorie besonders geschützter Daten fielen, für die ein Verarbeitungsverbot gelte, doch gelte dieses Verbot dann nicht, wenn diese Daten von der betroffenen Person offensichtlich öffentlich gemacht worden seien. Eine solche Stellungnahme erlaube jedoch für sich genommen nicht die Verarbeitung zum Zweck der personalisierten Werbung.

Das Ergebnis der Schlussantraäge:
1. Art. 5 Abs. 1 Buchst. c der Verordnung (EU) 2016/679 des Europäischen Parlaments und des Rates vom 27. April 2016 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten, zum freien Datenverkehr und zur Aufhebung der Richtlinie 95/46/EG (Datenschutz-Grundverordnung) ist dahin auszulegen,

– dass er der Verarbeitung personenbezogener Daten für Zwecke der zielgerichteten Werbung ohne Einschränkung nach Zeit oder Art der Daten entgegensteht und

– dass es Sache des vorlegenden Gerichts ist, unter Berücksichtigung der Umstände des Einzelfalls und unter Anwendung des Grundsatzes der Verhältnismäßigkeit zu beurteilen, inwieweit der Zeitraum der Speicherung der Daten und die Menge der verarbeiteten Daten im Hinblick auf das legitime Ziel der Verarbeitung dieser Daten für Zwecke der personalisierten Werbung gerechtfertigt sind.

2. Art. 5 Abs. 1 Buchst. b in Verbindung mit Art. 9 Abs. 2 Buchst. e der Verordnung 2016/679 ist dahin auszulegen,

– dass eine Äußerung über die eigene sexuelle Orientierung für die Zwecke einer öffentlichen Podiumsdiskussion zwar eine Handlung darstellen kann, mit der die betroffene Person dieses Datum im Sinne von Art. 9 Abs. 2 Buchst. e dieser Verordnung „offensichtlich öffentlich gemacht“ hat, jedoch für sich genommen nicht die Verarbeitung dieser Daten oder anderer Daten zur sexuellen Orientierung dieser Person für Zwecke der Aggregation und Analyse von Daten zum Zweck der personalisierten Werbung erlaubt.

Die vollständigen Schlussanträge finden Sie hier:

LG Kiel
Urteil vom 04.04.2024
13 O 40/23

Das LG Kiel hat vorliegend die Klage eines Abgeordneten gegen Meta / Facebook wegen der automatisierten Kontrolle von Facebook-Messenger-Chatverläufen auf illegale Inhalte als unzulässig abgewiesen (fehlende internationale Zuständigkeit und zu unbestimmter Antrag).

Aus den Entscheidungsgründen:
1. Das Landgericht Kiel ist international nicht zuständig.

Eine Zuständigkeit folgt bereits nicht aus Art. 7 Nr. 2 EuGVVO. Danach kann eine Person, die ihren Wohnsitz im Hoheitsgebiet eines Mitgliedstaates hat, in einem anderen Mitgliedstaat u.a. dann, wenn eine Handlung, die einer unerlaubten Handlung gleichgestellt ist vor dem Gericht des Ortes, an dem das schädigende Ereignis eingetreten ist, verklagt werden. Diese Voraussetzungen sind vorliegend nicht erfüllt.
Zwar hat die Beklagte ihren Sitz im Hoheitsgebiet eines Mitgliedstaates, nämlich in Irland. Denn gemäß Art. 63 Abs. 1 Buchst. a), Abs. 2 EuGVVO haben Gesellschaften und juristische Personen für die Anwendung der Verordnung ihren Wohnsitz an dem Ort, an dem sich u.a. ihr satzungsmäßiger Sitz befindet.

Allerdings liegt der Ort des Eintritts des schädigenden Ereignisses nicht im Gerichtsbezirk des Landgerichts Kiel, sondern am Ort des Interessenmittelpunktes des Klägers in Brüssel. Der Begriff des Anknüpfungspunktes, der Ort, „an dem das schädigende Ereignis eingetreten ist oder einzutreten droht“ ist, wie der Begriff der unerlaubten Handlung, autonom auszulegen. International zuständig nach Art. 7 Nr. 2 EuGVVO ist das Gericht des Ortes, an dem das schädigende Ereignis eingetreten ist oder einzutreten droht. Das schädigende Ereignis i.S.d. Nr. 2 ist sowohl der Ort der Verwirklichung des Schadenserfolgs als auch der Ort des für den Schaden ursächlichen Geschehens (vgl. BeckOK ZPO/Thode, 51. Ed. 1.12.2023, Brüssel Ia-VO Art. 7 Rn. 81, 82 mwN). Der Erfolgsort liegt dort, wo das geschützte Rechtsgut tatsächlich oder voraussichtlich verletzt wird, d.h. an dem Ort, an dem „die schädigenden Auswirkungen des haftungsauslösenden Ereignisses zu Lasten des Betroffenen eintreten“ (vgl. EuGH EuZW 1995, 248 Rn. 28 – Shevill und andere/Presse Alliance). Der Ort der mittelbaren Folgeschäden ist für die Zuständigkeitsbegründung gem. Nr. 2 nicht relevant. Bei Internetdelikten, insbesondere bei Persönlichkeitsrechtsverletzungen im Internet ist Erfolgsort der Ort des Interessenmittelpunktes (vgl. BeckOK IT-Recht/Rühl, 12. Ed. 1.10.2023, VO (EU) Nr. 1215/2012 Art. 7 Rn. 15). Der Ort, an dem eine Person den Mittelpunkt ihrer Interessen hat, entspricht im Allgemeinen ihrem gewöhnlichen Aufenthalt. Jedoch kann eine Person den Mittelpunkt ihrer Interessen auch in einem anderen Mitgliedstaat haben, in dem sie sich nicht gewöhnlich aufhält, sofern andere Indizien wie die Ausübung einer beruflichen Tätigkeit einen besonders engen Bezug zu diesem Staat herstellen können (EuGH, NJW 2012, 137 Rn. 49).

Der Kläger hat schon nicht darzulegen vermocht, dass sein Interessenmittelpunkt im Gerichtsbezirk des Landgerichts Kiel liegt. Auch der nach dem Hinweis der Kammer im Termin zur mündlichen Verhandlung vom 01.02.2024 erfolgte weitere Vortrag des Klägers, er habe in Kiel eine Eigentumswohnung sowie familiäre Beziehungen, ist vorliegend nicht ausreichend, um den Interessenmittelpunkt, nach den dargestellten Maßstäben, des Klägers in Kiel zu begründen. Vielmehr bestimmt sich der Interessenmittelpunkt des Klägers aufgrund seiner Tätigkeit als Abgeordneter im Europäischen Parlament in Brüssel. Die berufliche Tätigkeit des Klägers als Abgeordneter bestimmt im Wesentlichen seinen derzeitigen Aufenthaltsort. So unterhält der Kläger ebenfalls eine Wohnung in Brüssel, um seiner parlamentarischen Arbeit nachgehen zu können. Dass der Kläger in Brüssel keine Familie hat, ist insofern für die Entscheidung über den tatsächlichen Interessenmittelpunkt unerheblich.

Selbst wenn man diesen Vortrag für ausreichend erachten würde, wäre der Kläger insofern beweisfällig geblieben. Denn er hat auch auf den Hinweis der Kammer im Termin zur mündlichen Verhandlung vom 01.02.2024 keinen Beweis angeboten.

Eine internationale Zuständigkeit des Landgerichts Kiel folgt auch nicht aus Art. 17 Abs. 1, 18 EuGVVO. Nach Art. 17 Abs. 1 lit. c) EUGVVO bestimmt sich die Zuständigkeit unbeschadet des Artikels 6 und des Artikels 7 Nr. 5 nach diesem Abschnitt (heißt hier: Art. 18 EuGVVO), wenn ein Vertrag oder Ansprüche aus einem Vertrag, den eine Person, der Verbraucher, zu einem Zweck geschlossen hat, der nicht der beruflichen oder gewerblichen Tätigkeit dieser Person zugerechnet werden kann, Gegenstand des Verfahren sind und wenn der andere Vertragspartner in dem Mitgliedstaat, in dessen Hoheitsgebiet der Verbraucher seinen Wohnsitz hat, eine berufliche oder gewerbliche Tätigkeit ausübt oder eine solche auf irgendeinem Wege auf diesen Mitgliedstaat oder auf mehrere Staaten ausrichtet und der Vertrag in den Bereich dieser Tätigkeit fällt. Diese Voraussetzungen liegen nicht vor.

Der Kläger hat nicht als Verbraucher den Vertrag mit der Beklagten geschlossen. Der Verbraucherbegriff ist eng auszulegen und anhand der Stellung dieser Person innerhalb des konkreten Vertrags in Verbindung mit dessen Natur und Zielsetzung und nicht anhand ihrer subjektiven Stellung zu bestimmen (EuGH, NJW 2018, 1003 Rn. 29).

Bei Verträgen, die sowohl privaten als auch beruflichen oder gewerblichen Zwecken dienen, liegt kein Verbrauchergeschäft vor, es sei denn, der beruflich-gewerbliche Zweck ist derart nebensächlich, dass er im Gesamtzusammenhang des betreffenden Geschäfts nur eine ganz untergeordnete Rolle spielt (EuGH NJW 05, 653; Mankowski IPRax 05, 503). Vorliegend hat der Kläger die streitgegenständliche F-Seite „X“ im Januar 2019 aus Anlass seiner Kandidatur zur Europawahl 2019 für Wahlkampfzwecke eingerichtet. Die Einrichtung der F-Seite und damit auch die Nutzung des F-Messengers diente hiernach ausschließlich beruflichen Zwecken des Klägers.

Entgegen der Auffassung des Klägers stellt seine Tätigkeit als Abgeordneter auch eine berufliche Tätigkeit dar. Von Art. 17 EuGVVO werden nach ständiger Rechtsprechung des EuGH nur Verträge erfasst, die eine Einzelperson ohne Bezug zu einer beruflichen oder gewerblichen Tätigkeit oder Zielsetzung und unabhängig von einer solchen allein zu dem Zweck schließt, ihren Eigenbedarf beim privaten Verbrauch zu decken (EuGH, EuZW 2022, 1061 Rn. 53, beck-online). Es ist entgegen der Auffassung des Klägers auch nicht danach zu unterscheiden, ob es sich bei der beruflichen oder gewerblichen Tätigkeit um eine selbständige Tätigkeit oder eine abhängige Beschäftigung handelt. Es ist lediglich zu ermitteln, ob der Vertrag ohne Bezug zu einer beruflichen oder gewerblichen Tätigkeit oder Zielsetzung und unabhängig von einer solchen geschlossen worden ist (EuGH, EuZW 2022, 1061 Rn. 54, beck-online). Hierbei sind insbesondere die mit dem Abschluss dieses Vertrags verfolgten gegenwärtigen oder zukünftigen Ziele zu berücksichtigen (EuGH, EuZW 2023, 420 Rn. 28).

Diesen Grundsätzen zufolge ist der streitgegenständliche Vertrag ausschließlich im Zusammenhang mit den beruflichen bzw. politischen Interessen des Klägers und seiner Tätigkeit als Abgeordneter abgeschlossen worden. Der Kläger nutzt die F-Seite unstreitig ausschließlich zu diesen beruflichen Zwecken. Auch die Einrichtung der F-Seite erfolgte einzig zu Wahlkampfzwecken im Hinblick auf die Europawahl im Mai 2019.

2. Darüber hinaus ist der Klageantrag nicht hinreichend bestimmt i.S.d. § 253 Abs. 2 Nr. 2 Alt. 2 ZPO. Unterlassungsanträge müssen so konkret gefasst sein, dass bei einer Rechtsverteidigung und der Vollstreckung klar ist, worauf sich das Verbot erstreckt (vgl. Greger in: Zöller, Zivilprozessordnung, 35. Auflage 2024, § 253 ZPO, Rn. 13b).

Dabei genügt die bloße Wiedergabe unbestimmter Tatbestandsmerkmale der verletzten Rechtsnorm in der Regel nicht (vgl. BGH, Urteil vom 4. Oktober 2007 – I ZR 143/04 –, Rn. 14, juris; BGH, Urteil vom 12. März 2020 – I ZR 126/18 –, BGHZ 225, 59-90, Rn. 39, juris).

Unter Berücksichtigung dieser Grundsätze genügt der vom Kläger gestellte Unterlassungsantrag dem Bestimmtheitserfordernis des § 253 Abs. 2 Nr. 2 Alt. 2 ZPO nicht.

Der Unterlassungsantrag bezieht sich verallgemeinert darauf es zu unterlassen, „den Inhalt und die näheren Umstände von mittels „F-Messenger“ versandten Nachrichten von und an den Kläger zur Suche nach möglicherweise rechtswidrigen Inhalten oder Kontaktaufnahmen automatisiert zu analysieren, zu kontrollieren und an Dritte weiterzugeben“. Dieser Antrag gibt lediglich formelhaft die Voraussetzungen des § 3 Abs. 3 TTDSG in verallgemeinerter Form wieder, ohne dabei konkret auf das begehrte Verbot einzugehen. Wie der Kläger mit Schriftsatz vom 27.02.2024 (Bl. 325 f. d.A.) klargestellt hat, begehrt er das Unterlassen einer allgemeinen Kontrolle/Analyse und Weitergabe seiner Nachrichten und gerade nicht nur im Hinblick auf kinderpornografische Inhalte (sog. CSAM). Wie eine anderweitige Kontrolle der Beklagten indes aussehen soll, trägt der Kläger nicht vor.

Insoweit genügt der Antrag gerade nicht noch den Bestimmtheitserfordernissen des § 253 Abs. 2 Nr. 2 ZPO. Dies ist wäre dann der Fall, wenn der Kläger hinreichend deutlich macht, dass er nicht ein Verbot im Umfang des Gesetzeswortlauts beansprucht, sondern sich mit seinem Unterlassungsbegehren an der konkreten Verletzungshandlung orientiert. Die Bejahung der Bestimmtheit setzt in solchen Fällen allerdings grundsätzlich voraus, dass sich das mit dem selbst nicht hinreichend klaren Antrag Begehrte im Tatsächlichen durch Auslegung unter Heranziehung des Sachvortrags des Klägers eindeutig ergibt und die betreffende tatsächliche Gestaltung zwischen den Parteien nicht in Frage gestellt ist, sondern sich der Streit der Parteien ausschließlich auf die rechtliche Qualifizierung der angegriffenen Verhaltensweise beschränkt (BGH, GRUR 2017, 537 Rn. 12 - Konsumgetreide, mwN; BGH, Urteil vom 12. März 2020 – I ZR 126/18 –, BGHZ 225, 59-90, Rn. 39). Diese Voraussetzungen sind vorliegend nicht erfüllt. Auch unter Heranziehung des Sachvortrags des Klägers ist nicht ersichtlich, welche Verhaltensweise der Kläger von der Beklagten tatsächlich begehrt.

3. Darüber hinaus fehlt es dem Kläger auch an einem erforderlichen Rechtsschutzbedürfnis. Mit dem Erfordernis des Rechtsschutzbedürfnisses als Einschränkung des durch Art. 20 Abs. 3 GG iVm Art. 2 Abs. 1 GG verfassungsrechtlich abgesicherten Justizgewährleistungsanspruchs (lediglich) soll verhindert werden, dass die Gerichte als Teil der Staatsgewalt unnütz oder gar unlauter bemüht werden oder ein gesetzlich vorgesehenes Verfahren zur Verfolgung zweckwidriger und insoweit nicht schutzwürdiger Ziele ausgenutzt wird. Es sollen solche Klagebegehren nicht in das Stadium der Begründetheitsprüfung gelangen, die – gemessen am Zweck des Zivilprozesses – ersichtlich eines staatlichen Rechtsschutzes durch eine materiell-rechtliche Prüfung nicht bedürfen (vgl. BGH, NJW-RR 2022, 660 Rn. 16).

Vorliegend fehlt es an diesen Voraussetzungen.

Zum einen kann der Kläger seine von ihm aufgeführten Interessen effektiver und schneller durchsetzen, indem er in den Chats manuell die „Ende-zu-Ende“- Verschlüsselung aktiviert (vgl. OLG Hamm, GRUR 2023, 1791 Rn. 217 f.). Eine Kontrolle der Nachrichten auf kinderpornografische Inhalte ist insofern nach dem übereinstimmenden Parteivortrag nicht mehr möglich.

Zum anderen geht es dem Kläger vorliegend nicht um den Schutz seiner Individualinteressen, sondern um die Durchsetzung einer politischen Kampagne. Dies kann indes nicht im Rahmen eines Zivilprozesses verfolgt werden.

Den Volltext der Entscheidung finden Sie hier:

LAG Düsseldorf
Urteil vom 28.11.2023
3 Sa 285/23

Das LAG Düsseldorf hat entschieden, dass eine verspätete oder unvollständige Auskunftserteilung nach Art. 15 DSGVO keinen Schadensersatzanspruch aus Art. 82 DSGVO begründet.

Die Pressemitteilung des Gerichts:
LAG Düsseldorf: Keine Entschädigung für verspätete und unvollständige Auskunft gemäß Art. 15 DSGVO

Der Kläger war vom 01.12.2016 bis zum 31.12.2016 bei dem Kundenservice eines Immobilienunternehmens, der Beklagten, beschäftigt. Bereits im Jahre 2020 hatte er einen Antrag auf Auskunft gemäß Art. 15 DSGVO gestellt, den die Beklagte beantwortet hatte.

Mit Schreiben vom 01.10.2022, das der Beklagten an diesem Tag zuging, verlangte er erneut Auskunft und eine Datenkopie auf der Grundlage von Art. 15 DSGVO. Er setzte eine Frist bis zum 16.10.2022. Als die Beklagte nicht antwortete, erinnerte der Kläger mit Schreiben vom 21.10.2022 mit weiterer Fristsetzung bis zum 31.10.2022. Die ihm mit Schreiben vom 27.10.2022 erteilte Auskunft rügte der Kläger mit Schrei-ben vom 04.11.2022 als verspätetet und inhaltlich mangelhaft. Es fehlten die konkreten Angaben zur Dauer der Datenspeicherung und die namentlich bezeichneten Empfänger seiner Daten. Außerdem sei die Datenkopie unvollständig. Mit Schreiben vom 11.11.2022 teilte die Beklagte dem Kläger mit, dass die Angaben zu den Datenempfängern die Betroffenen in der Regel nicht interessierten und daher nur kategorisiert mitgeteilt worden seien. Zudem konkretisierte sie die Angaben zur Speicherdauer und die Datenkopie. Mit Schreiben vom 18.11.2022 verlangte der Kläger erneut die namentliche Nennung der Empfänger und auch nähere Angaben zur Speicherdauer. Die Datenkopie sei weiterhin unzureichend. Die Beklagte konkretisierte die Informationen mit Schreiben vom 01.12.2022.

Der Kläger hat von der Beklagten gemäß Art. 82 Abs. 1 DSGVO eine Geldentschädigung nach Ermessen des Gerichts verlangt, die 2.000 Euro nicht unterschreiten sollte, weil sein Auskunftsrecht aus Art. 15 DSGVO durch die Beklagte mehrfach verletzt worden sei. Diese hat dem widersprochen, weil es u.a. bereits an einem im-materiellen Schaden des Klägers fehle.

Anders als das Arbeitsgericht, das dem Kläger wegen des von ihm angenommenen vorsätzlichen Verstoßes der Beklagten eine Geldentschädigung von 10.000 Euro zugesprochen hatte, hat die 3. Kammer des Landesarbeitsgerichts Düsseldorf die Klage heute vollständig abgewiesen. Es treffe zwar zu, dass die Beklagte gegen Art. 12 Abs. 3 DSGVO und Art. 15 DSGVO verstoßen habe. Sie habe die Auskunft nicht fristgerecht und anfangs unvollständig erteilt. Eine vollständige Auskunft habe erst am 01.12.2022, d.h. sechs Wochen nach Ablauf der vom Kläger gesetzten Frist vor-gelegen. Dies begründe indes aus zwei Gründen keinen Anspruch auf eine Geldentschädigung gemäß Art. 82 Abs. 1 DSGVO. Ein Verstoß gegen Art. 15 DSGVO falle bereits nicht in den Anwendungsbereich von Art. 82 DSGVO. Die Vorschrift setzt haftungsbegründend eine gegen die DSGVO verstoßende Datenverarbeitung voraus. Daran fehle es bei der bloßen Verletzung der Auskunftspflicht aus Art. 15 DSGVO - sei es, dass diese verzögert oder anfangs unvollständig erfüllt werde. Unabhängig davon setze Art. 82 DSGVO für einen Anspruch auf eine Geldentschädigung wegen eines immateriellen Schadens mehr als einen bloßen Verstoß gegen die Vorschriften der DSGVO voraus. Der bloße vom Kläger angeführte Kontrollverlust über die Daten genüge nicht und sei mit dem Verstoß gegen Art. 15 DSGVO letztlich identisch. Zu weiterem immateriellen Schaden fehlte es an jeglichem konkreten Vortrag des Klägers.

Das Landesarbeitsgericht hat die Revision zugelassen.

Landesarbeitsgericht Düsseldorf, Urteil vom 28.11.2023 - 3 Sa 285/23
Arbeitsgericht Duisburg, Urteil vom 23.03.2023 - 3 Ca 44/23

Auszug aus der Verordnung (EU) 2016/679 des Europäischen Parlaments und des Rates vom 27. April 2016 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten, zum freien Datenverkehr und zur Aufhebung der Richtlinie 95/46/EG (DSGVO)

"Artikel 12
Transparente Information, Kommunikation und Modalitäten für die Ausübung der Rechte der betroffenen Person

…

(3) Der Verantwortliche stellt der betroffenen Person Informationen über die auf Antrag gemäß den Artikeln 15 bis 22 ergriffenen Maßnahmen unverzüglich, in jedem Fall aber innerhalb eines Monats nach Eingang des Antrags zur Verfügung. Diese Frist kann um weitere zwei Monate verlängert werden, wenn dies unter Berücksichtigung der Komplexität und der Anzahl von Anträgen erforderlich ist. Der Verantwortliche unterrichtet die betroffene Person innerhalb eines Monats nach Eingang des Antrags über eine Fristverlängerung, zusammen mit den Gründen für die Verzögerung. Stellt die betroffene Person den Antrag elektronisch, so ist sie nach Möglichkeit auf elektronischem Weg zu unterrichten, sofern sie nichts anderes angibt.

…

Artikel 15
Auskunftsrecht der betroffenen Person

(1) Die betroffene Person hat das Recht, von dem Verantwortlichen eine Bestätigung darüber zu verlangen, ob sie betreffende personenbezogene Daten verarbeitet werden; ist dies der Fall, so hat sie ein Recht auf Auskunft über diese personenbezogenen Daten und auf folgende Informationen:

a) die Verarbeitungszwecke;

b) die Kategorien personenbezogener Daten, die verarbeitet werden;

c) die Empfänger oder Kategorien von Empfängern, gegenüber denen die personenbezogenen Daten offengelegt worden sind oder noch offengelegt werden, insbesondere bei Empfängern in Drittländern oder bei internationalen Organisationen;

d) falls möglich die geplante Dauer, für die die personenbezogenen Daten gespeichert werden, oder, falls dies nicht möglich ist, die Kriterien für die Festlegung dieser Dauer;

e) das Bestehen eines Rechts auf Berichtigung oder Löschung der sie betreffenden personenbezogenen Daten oder auf Einschränkung der Verarbeitung durch den Verantwortlichen oder eines Widerspruchsrechts gegen diese Verarbeitung;

f) das Bestehen eines Beschwerderechts bei einer Aufsichtsbehörde;

g) wenn die personenbezogenen Daten nicht bei der betroffenen Person erhoben werden, alle verfügbaren Informationen über die Herkunft der Daten;

h) das Bestehen einer automatisierten Entscheidungsfindung einschließlich Profiling gemäß Ar-tikel 22 Absätze 1 und 4 und — zumindest in diesen Fällen — aussagekräftige Informationen über die involvierte Logik sowie die Tragweite und die angestrebten Auswirkungen einer derartigen Verarbeitung für die betroffene Person.

…

(3) Der Verantwortliche stellt eine Kopie der personenbezogenen Daten, die Gegenstand der Verar-beitung sind, zur Verfügung. Für alle weiteren Kopien, die die betroffene Person beantragt, kann der Verantwortliche ein angemessenes Entgelt auf der Grundlage der Verwaltungskosten verlangen. Stellt die betroffene Person den Antrag elektronisch, so sind die Informationen in einem gängigen elektronischen Format zur Verfügung zu stellen, sofern sie nichts anderes angibt.

(4) Das Recht auf Erhalt einer Kopie gemäß Absatz 1b darf die Rechte und Freiheiten anderer Personen nicht beeinträchtigen.

Artikel 82
Haftung und Recht auf Schadenersatz

(1) Jede Person, der wegen eines Verstoßes gegen diese Verordnung ein materieller oder immaterieller Schaden entstanden ist, hat Anspruch auf Schadenersatz gegen den Verantwortlichen oder gegen den Auftragsverarbeiter.

(2) Jeder an einer Verarbeitung beteiligte Verantwortliche haftet für den Schaden, der durch eine nicht dieser Verordnung entsprechende Verarbeitung verursacht wurde. Ein Auftragsverarbeiter haftet für den durch eine Verarbeitung verursachten Schaden nur dann, wenn er seinen speziell den Auftragsverarbeitern auferlegten Pflichten aus dieser Verordnung nicht nachgekommen ist oder unter Nichtbeachtung der rechtmäßig erteilten Anweisungen des für die Datenverarbeitung Verantwortlichen oder gegen diese Anweisungen gehandelt hat.

(3) Der Verantwortliche oder der Auftragsverarbeiter wird von der Haftung gemäß Absatz 2 befreit, wenn er nachweist, dass er in keinerlei Hinsicht für den Umstand, durch den der Schaden einge-treten ist, verantwortlich ist.
…"

LG Paderborn
Urteil vom 12.03.2024
2 O 35/23

Das LG Paderborn hat entschieden, dass ein Widerspruch gegen die weitere Zusendung von Werbung per E-Mail vom Versender sofort umgesetzt werden muss.

Aus den Entscheidungsgründen:
Letztlich kann aber dahinstehen, ob die Beklagte einen hinreichenden Werbehinweis gem. § 7 Abs. 3 Nr. 4 UWG erteilt hat, da das anwaltliche Schreiben vom 14.09.2023 jedenfalls als Widerspruch im Sinne des § 7 Abs. 3 Nr. 3 UWG gegen (weitere) Werbe-E-Mails zu verstehen war.

Die Verwendung der Adresse für die eigene Direktwerbung des Unternehmers ist ausgeschlossen, wenn der Kunde ihrer Verwendung zu Werbezwecken widersprochen hat. Der Widerspruch gegen die Verwendung der elektronischen Postadresse zum Zwecke der Übersendung von Werbung nach § 7 Abs. 3 Nr. 3 UWG ist formlos möglich und setzt nicht voraus, dass der Kunde selbst bestimmte Einstellungen im “Kundenverwaltungssystem” des Unternehmens tätigt.

Hat der Beworbene einer Werbung mittels elektronischer Post wirksam iSd § 7 Abs. 3 Nr. 3 widersprochen, so ergibt sich die Unzulässigkeit der Werbung, weil dem Unternehmer der entgegenstehende Wille des Beworbenen dann erkennbar ist.

Soweit sich die Beklagte hiernach gem. Art. 12 Abs. 3 DSGVO eine Bearbeitungsdauer von bis zu einem Monat ausbedingen will, kann sie damit nicht durchdringen.

Art. 21 Abs. 3 DSGVO stellt klar, dass nach Widerspruch gegen die Verarbeitung zu Zwecken der Direktwerbung, die Daten für diese Zwecke nicht mehr verarbeitet werden dürfen. Art. 12 Abs. 3 DSGVO sieht hingegen lediglich eine Bearbeitungsdauer von bis zu einem Monat für die Bereitstellung von Informationen vor; nicht für die Umsetzung des Widerspruchs. Ein datenschutzrechtliches Informationsrecht nimmt die Klägerin aber nicht für sich in Anspruch.

Der Verwender ist gehalten, den Widerspruch umgehend zu respektieren, d.h., dass die Umsetzung unverzüglich zu erfolgen hat. Diesem Maßstab hat die Beklagte nicht genügt. Nach dem Werbewiderspruch vom 14.09.2023 hat die Beklagte noch 5 (weitere) Werbe-E-Mails an die Klägerin versandt.

Die Beklagte kann sich auch nicht darauf zurückziehen, dass eine bereits angelaufene Werbeaktion nicht mehr gestoppt werden könne. Wenn durch die Betätigung des Abmeldelinks die Zusendung weiterer Werbe-E-Mails verhindert werden kann, dann muss dieses für die Beklagte nach Eingang des Widerspruchs erst Recht – unverzüglich - möglich sein. Die durch die Beklagte zu Rate gezogene Orientierungshilfe der DSK zur Umsetzungsfrist des Werbewiderspruchs nach Art. 21 Abs. 3 DSGVO bezieht sich unzweifelhaft auf postalische Werbung. Ein

Bearbeitungszeitraum hinsichtlich des Werbewiderspruchs in Bezug auf E-Mail-Werbung kann daraus nicht abgeleitet werden.

Der entscheidende Referenzrahmen für die Beklagte war nicht, dass diese nach Betätigung des Abmeldelinks durch die Klägerin am 26.09.2023, den Stopp weiterer Werbe-E-Mails bis zum 04.10.2023 umsetzte, sondern inwieweit die Beklagte auf den Widerspruch vom 14.09.2023 tätig geworden ist. Die Umsetzung des Werbewiderspruchs vom 14.09.2023 war auf vor dem Hintergrund der selbst skizierten Anforderungen der Beklagten unzureichend. Insbesondere die Zusendung von insgesamt drei (weiteren) Werbe-E-Mails nach Betätigung des Abmeldelinks ist mit einer zügigen Umsetzung des Werbewiderspruchs nicht in Einklang zu bringen.

Da die Voraussetzungen des § 7 Abs. 3 UWG nicht vorliegen und die Klägerin der Zusendung (weiterer) Werbe-E-Mails widersprochen hat, war im Unterlassungstenor auch keine Einschränkung dahingehend vorzunehmen, dass Bestandskundenwerbung grds. erlaubt ist.

Die für den Unterlassungsanspruch erforderliche Wiederholungsgefahr wird durch das festgestellte rechtsverletzende Verhalten der Beklagten indiziert. (vgl. BGH, Urteil vom 14.03.2017, Az. VI ZR 721/15). Die Abgabe einer strafbewehrten Unterlassungserklärung hat die Beklagte nach den Feststellungen der Kammer abgelehnt.

Die Klägerin kann auch die Erstattung der vorgerichtlichen Rechtsanwaltskosten iHv 652,60 € von der Beklagten verlangen.

Der Verletzte, der seinen Unterlassungsanspruch auf §§ 823 Abs. 1, 1004 Abs. 2

BGB stützt, hat einen Anspruch auf Erstattung der Abmahnkosten, wenn die Abmahnung begründet war. Lässt sich der Verletzte bei der Abmahnung anwaltlich vertreten, so hat der Verletze die gesetzlichen Gebühren des Rechtsanwalts nach dem Rechtsanwaltsvergütungsgesetz zu tragen, wenn die Beauftragung eines Rechtsanwalts zur Wahrnehmung der Rechte erforderlich und zweckmäßig war. Die Beauftragung eines Rechtsanwalts zur Abmahnung eines Verstoßes gegen einen deliktsrechtlichen Tatbestand ist nur dann nicht notwendig, wenn der Abmahnende selbst über eine hinreichende eigene Sachkunde zur zweckentsprechenden Rechtsverfolgung eines unschwer zu erkennenden Verstoßes verfügt (vgl. BGH, Urt. v. 12.09. 2013 – I ZR 208/12 = GRUR 2013, 1259).

Den Volltext der Entscheidung finden Sie hier:

EuGH
Urteil vom 11.04.2024
C-741/21

Der EuGH hat entschieden, dass Verstoß gegen Bestimmungen der DSGVO oder Kontrollverlust allein noch keinen Schadensersatzanspruch aus Art. 82 DSGVO begründen. Vielmehr ist der Nachweis eines konkreten immateriellen Schadens erforderlich.

Tenor der Entscheidung:
1. Art. 82 Abs. 1 der Verordnung (EU) 2016/679 des Europäischen Parlaments und des Rates vom 27. April 2016 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten, zum freien Datenverkehr und zur Aufhebung der Richtlinie 95/46/EG (Datenschutz-Grundverordnung) ist dahin auszulegen, dass ein Verstoß gegen Bestimmungen dieser Verordnung, die der betroffenen Person Rechte verleihen, für sich genommen nicht ausreicht, um unabhängig vom Schweregrad des von dieser Person erlittenen Schadens einen „immateriellen Schaden“ im Sinne dieser Bestimmung darzustellen.

2. Art. 82 der Verordnung 2016/679 ist dahin auszulegen, dass es für eine Befreiung des Verantwortlichen von seiner Haftung nach Art. 82 Abs. 3 dieser Verordnung nicht ausreicht, dass er geltend macht, dass der in Rede stehende Schaden durch ein Fehlverhalten einer ihm im Sinne von Art. 29 der Verordnung unterstellten Person verursacht wurde.

3. Art. 82 Abs. 1 der Verordnung 2016/679 ist dahin auszulegen, dass zur Bemessung des Betrags des auf diese Bestimmung gestützten Anspruchs auf Schadenersatz zum einen die in Art. 83 dieser Verordnung vorgesehenen Kriterien für die Festsetzung des Betrags von Geldbußen nicht entsprechend anzuwenden sind und zum anderen nicht zu berücksichtigen ist, dass die Person, die Schadenersatz verlangt, von mehreren Verstößen gegen die Verordnung betroffen ist, die sich auf denselben Verarbeitungsvorgang beziehen.

Den Volltext der Entscheidung finden Sie hier:

EuGH-Generalanwalt
Schlussanträge vom 11.04.2024
C-768/2
Land Hessen (Handlungspflicht der Datenschutzbehörde)

Der EuGH-Generalanwalt kommt in seinen Schlussanträgen zu dem Ergebnis, dass eine Datenschutzbehörde grundsätzlich tätig werden muss, wenn sie bei der Prüfung einer Beschwerde einen DSGVO-Verstoß feststellt.

Ergebnis der Schlussanträge:
Nach alledem schlage ich dem Gerichtshof vor, die Vorlagefrage des Verwaltungsgerichts Wiesbaden (Deutschland) wie folgt zu beantworten:

Art. 57 Abs. 1 Buchst. a und f sowie Art. 58 Abs. 2 Buchst. a bis j in Verbindung mit Art. 77 Abs. 1 der Verordnung (EU) 2016/679 des Europäischen Parlaments und des Rates vom 27. April 2016 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten, zum freien Datenverkehr und zur Aufhebung der Richtlinie 95/46/EG (Datenschutz-Grundverordnung)

sind dahin auszulegen, dass

die Aufsichtsbehörde, wenn sie eine Datenverarbeitung feststellt, die in die Rechte der betroffenen Person eingreift, verpflichtet ist, gemäß Art. 58 Abs. 2 der Verordnung 2016/679 einzuschreiten, soweit dies erforderlich ist, um die vollständige Beachtung dieser Verordnung zu gewährleisten. In diesem Zusammenhang hat sie unter Berücksichtigung der konkreten Umstände des jeweiligen Einzelfalls das geeignete, erforderliche und verhältnismäßige Mittel auszuwählen, um insbesondere den Rechtsverstoß zu beheben und die Rechte der betroffenen Person durchzusetzen

Die Pressemitteilung des EuGH:
Schutz personenbezogener Daten: Nach Ansicht von Generalanwalt Pikamäe ist die Aufsichtsbehörde zum Einschreiten verpflichtet, wenn sie bei der Prüfung einer Beschwerde einen Verstoß feststellt.

Die Entscheidung über die zu ergreifende Abhilfemaßnahme hänge jedoch von den konkreten Umständen des jeweiligen Einzelfalls ab

Ein Kunde einer Sparkasse ersuchte den Hessischen Beauftragten für Datenschutz und Informationsfreiheit (Deutschland), gegen die Sparkasse wegen einer Verletzung des Schutzes seiner personenbezogenen Daten einzuschreiten. Eine Mitarbeiterin der Sparkasse hatte nämlich mehrmals unbefugt auf seine Daten zugegriffen.

Der Datenschutzbeauftragte stellte eine Verletzung des in der Datenschutz-Grundverordnung (DSGVO) vorgesehenen Datenschutzes fest . Er kam jedoch zu dem Ergebnis, dass ein Einschreiten gegen die Sparkasse nicht geboten sei, da diese gegen die betreffende Mitarbeiterin bereits Disziplinarmaßnahmen ergriffen habe.

Der Kunde geht gegen diese Weigerung bei einem deutschen Gericht vor und beantragt, den Datenschutzbeauftragten zum Einschreiten gegen die Sparkasse zu verpflichten. Er macht u. a. geltend, dass der Datenschutzbeauftragte gegen die Sparkasse Bußgelder hätte verhängen müssen.

Das deutsche Gericht hat den Gerichtshof zu den Befugnissen und Pflichten des Datenschutzbeauftragten als „Aufsichtsbehörde“ im Sinne der DSGVO befragt.

Nach Ansicht von Generalanwalt Pikamäe ist die Aufsichtsbehörde zum Einschreiten verpflichtet, wenn sie bei der Prüfung einer Beschwerde eine Verletzung des Schutzes personenbezogener Daten feststelle. Insbesondere habe sie die Abhilfemaßnahme(n) zu ermitteln, die zur Behebung des Verstoßes und zur Durchsetzung der Rechte der betroffenen Person am besten geeignet sei bzw. seien.

In diesem Zusammenhang räume die DSGVO der Aufsichtsbehörde zwar ein gewisses Ermessen ein, verlange jedoch, dass die Maßnahmen geeignet, erforderlich und verhältnismäßig seien. Daraus ergebe sich zum einen, dass das Ermessen bei der Wahl der Mittel beschränkt sei, wenn der erforderliche Schutz nur durch ganz bestimmte Maßnahmen gewährleistet werden könne, und zum anderen, dass die Aufsichtsbehörde unter bestimmten Voraussetzungen auf die Maßnahmen nach der DSGVO verzichten dürfe, wenn dies durch die besonderen Umstände des Einzelfalls gerechtfertigt sei. Dies könne insbesondere dann der Fall sein, wenn der Verantwortliche bestimmte Maßnahmen aus eigener Initiative ergriffen habe. Jedenfalls habe die betroffene Person keinen Anspruch auf Erlass einer bestimmten Maßnahme . Diese Grundsätze gälten auch für die Geldbußenregelung.

Die vollständigen Schlussanträge finden Sie hier:

BGH
Urteil vom 05.03.2024
VI ZR 330/21
DSGVO Art. 15 Abs. 3

Der BGH hat sich in dieser Entscheidung mit der Reichweite des Begriffs "Kopie der personenbezogenen Daten" im Sinne von Art. 15 Abs. 3 DSGVO befasst.

Leitsatz des BGH:
Zum Begriff "Kopie der personenbezogenen Daten" in Art. 15 Abs. 3 DSGVO.

BGH, Urteil vom 5. März 2024 - VI ZR 330/21 - OLG München - LG München I

Aus den Entscheidungsgründen:
b) Art. 15 Abs. 1 DSGVO gibt der betroffenen Person gegenüber dem datenschutzrechtlich Verantwortlichen (Art. 4 Nr. 7 DSGVO) ein Auskunftsrecht über die Verarbeitung personenbezogener Daten. Art. 15 Abs. 3 DSGVO legt die praktischen Modalitäten für die Erfüllung der dem datenschutzrechtlich Verantwortlichen obliegenden Verpflichtung fest, indem er unter anderem die Form bestimmt, in der die personenbezogenen Daten zur Verfügung zu stellen sind, nämlich in Form einer "Kopie" der Daten, gewährt aber kein anderes Recht als das in Art. 15 Abs. 1 DSGVO vorgesehene (vgl. EuGH, Urteil vom 4. Mai 2023 - C-487/21, NJW 2023, 2253 Rn. 31 f.). Auf dieser Grundlage hat die Klägerin nur Anspruch auf Überlassung von Kopien der von ihr verfassten, bei den Beklagten vorhandenen Schreiben und E-Mails.

aa) Gemäß Art. 4 Nr. 1 DSGVO sind personenbezogene Daten alle Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person ("betroffene Person") beziehen. Nach der Rechtsprechung des Gerichtshofs der Europäischen Union ist der Begriff weit zu verstehen. Er ist nicht auf sensible oder private Informationen beschränkt, sondern umfasst potenziell alle Arten von Informationen sowohl objektiver als auch subjektiver Natur, unter der Voraussetzung, dass es sich um Informationen über die in Rede stehende Person handelt. Die letztgenannte Voraussetzung ist erfüllt, wenn die Information aufgrund ihres Inhalts, ihres Zwecks oder ihrer Auswirkungen mit einer bestimmten Person verknüpft ist (vgl. EuGH, Urteil vom 4. Mai 2023 - C-487/21, NJW 2023, 2253 Rn. 23 f.; Senatsurteil vom 15. Juni 2021 - VI ZR 576/19, NJW 2021, 2726 Rn. 22 mwN).

Nach diesen Grundsätzen sind - wovon das Berufungsgericht zu Recht ausgegangen ist - Schreiben der betroffenen Person an den Verantwortlichen ihrem gesamten Inhalt nach als personenbezogene Daten einzustufen, da die personenbezogene Information bereits darin besteht, dass die betroffene Person sich dem Schreiben gemäß geäußert hat, umgekehrt aber Schreiben des Verantwortlichen an die betroffene Person nur insoweit, als sie Informationen über die betroffene Person nach den oben genannten Kriterien enthalten (vgl. Senatsurteile vom 6. Februar 2024 - VI ZR 15/23, zVb; vom 15. Juni 2021 - VI ZR 576/19, NJW 2021, 2726 Rn. 25; BGH, Urteil vom 27. September 2023 - IV ZR 177/22, NJW 2023, 3490 Rn. 48). Dass diese Schreiben der betroffenen Person bereits bekannt sind, schließt den datenschutzrechtlichen Auskunftsanspruch nicht aus (vgl. Senatsurteil vom 15. Juni 2021 - VI ZR 576/19, NJW 2021, 2726 Rn. 25 mwN).

bb) Mit ihrem vom Berufungsgericht zuerkannten Antrag verlangt die Klägerin - wie erläutert -, ihr eine Abschrift von Telefonnotizen, Aktenvermerken, Gesprächsprotokollen, E-Mails, Briefen und Zeichnungsunterlagen für Kapitalanlagen zu überlassen, in denen personenbezogene Daten der Klägerin enthalten sind, die die Beklagten verarbeiten. Nach den Ausführungen unter aa) handelt es sich zwar bei den von der Klägerin verfassten Schreiben und E-Mails, die den Beklagten vorliegen, ihrem gesamten Inhalt nach um personenbezogene Daten, weshalb die Klägerin im Ergebnis nach Art. 15 Abs. 3 DSGVO eine Kopie dieser Schreiben und E-Mails fordern kann, auch wenn sich der Begriff der Kopie in dieser Vorschrift nicht auf ein Dokument als solches bezieht, sondern auf die personenbezogenen Daten, die es enthält (vgl. EuGH, Urteile vom 26. Oktober 2023 - C-307/22, NJW 2023, 3481 Rn. 72; vom 4. Mai 2023 - C-487/21, NJW 2023, 2253 Rn. 32). Denn die Kopie muss alle personenbezogenen Daten enthalten, die Gegenstand der Verarbeitung sind (EuGH, Urteile vom 26. Oktober 2023 - C-307/22, NJW 2023, 3481 Rn. 73; vom 4. Mai 2023 - C-487/21, NJW 2023, 2253 Rn. 32, 39). Der Vollständigkeit der Auskunft kann hier nur durch eine Kopie des gesamten Dokuments genügt werden.

Demgegenüber handelt es sich - entgegen der Ansicht des Berufungsgerichts - weder bei Schreiben und E-Mails der Beklagten, noch bei Telefonnotizen, Aktenvermerken oder Gesprächsprotokollen der Beklagten und auch nicht bei Zeichnungsunterlagen für Kapitalanlagen zwangsläufig in ihrer Gesamtheit um personenbezogene Daten der Klägerin, auch wenn sie Informationen über die Klägerin enthalten. Zwar ist bei internen Vermerken wie Telefonnotizen oder Gesprächsprotokollen, die festhalten, wie sich die Klägerin telefonisch oder in persönlichen Gesprächen äußerte, denkbar, dass der Vermerk ausschließlich Informationen über die Klägerin enthält. Es kann jedoch nicht davon ausgegangen werden, dass dies in allen Fällen so ist. Deshalb ergibt sich aus dem Erfordernis, eine vollständige Auskunft über personenbezogene Daten zu erteilen, kein Anspruch der Klägerin darauf, dass - wie von ihr gefordert - alle diese Dokumente im Gesamten als Kopie zu überlassen sind. Zwar kann sich die Reproduktion von Auszügen aus Dokumenten oder gar von ganzen Dokumenten oder auch von Auszügen aus Datenbanken unabhängig vom Erfordernis, eine vollständige Auskunft zu erteilen, dann als unerlässlich erweisen, wenn die Kontextualisierung der verarbeiteten Daten erforderlich ist, um ihre Verständlichkeit zu gewährleisten und der betroffenen Person die wirksame Ausübung ihrer Rechte zu gewährleisten (vgl. EuGH, Urteile vom 4. Mai 2023 - C-487/21, NJW 2023, 2253 Rn. 41, 45; vom 22. Juni 2023 - C-579/21, NJW 2023, 2555 Rn. 66; vom 26. Oktober 2023 - C-307/22, NJW 2023, 3481 Rn. 74 f.; Senatsurteil vom 6. Februar 2024 - VI ZR 15/23, zVb; BGH, Urteil vom 27. September 2023 - IV ZR 177/22, NJW 2023, 3490 Rn. 51 ff.). Die Klägerin hat aber weder in den Vorinstanzen dazu vorgetragen noch ist sonst ersichtlich, dass die Kontextualisierung der verarbeiteten Daten erforderlich ist, um ihre Verständlichkeit zu gewährleisten, sodass ausnahmsweise die Übermittlung einer Kopie der geforderten Telefonnotizen, Aktenvermerke, Gesprächsprotokolle, E-Mails und Briefe der Beklagten sowie Zeichnungsunterlagen für Kapitalanlagen nötig wäre.

Den Volltext der Entscheidung finden Sie hier:

LG Düsseldorf
15.03.2024
34 O 41/23

Das LG Düsseldorf hat entschieden, dass Art. 15 DSGVO eine Marktverhaltensregel nach § 3a UWG ist. Ein Verstoß kann von Verbraucherschutzvereinen abgemahnt werden

Aus den Entscheidungsgründen:
Der Unterlassungsanspruch zu 2) ist begründet gemäß § 8 Abs. 3 Nr. 3, Abs. 1, § 3, 3a UWG i.V.m. Art. 15 DSGVO.

1. Der Kläger ist als qualifizierte Einrichtung im Sinne des § 8 Abs. 3 Nr. 3 UWG klagebefugt (EuGH, Urteil vom 28.04.2022 – C-319/20 – Meta Platforms Ireland; Köhler/Bornkamm/Feddersen, UWG, 42. Auflage 2024, § 3a UWG, Rn. 1.40b ff.).

2. In der Auskunftserteilung liegt eine geschäftliche Handlung im Sinne des § 2 Abs. 1 Nr. 2 UWG, weil sie im Zusammenhang mit der Durchführung eines (vermeintlichen) Vertrags über Waren steht. Die Beklagte hat Herrn … erst knapp zwei Monate nach seinem Auskunftsbegehren (Anlage K 4) die geforderte datenschutzrechtliche Auskunft (Anlage K 5) erteilt und damit gegen Marktverhaltensregelungen verstoßen.

Nach Art. 15 Abs. 1 DSGVO hat die betroffene Person das Recht, von dem Verantwortlichen eine Bestätigung darüber zu verlangen, ob sie betreffende personenbezogene Daten verarbeitet werden; ist dies der Fall, so hat sie ein Recht auf Auskunft über diese personenbezogenen Daten und auf die in der Vorschrift nachfolgend aufgezählten Informationen. Gemäß Art. 12 Abs. 3 Satz 1 DSGVO hat der Unternehmer einer betroffenen Person die Auskunft nach Art. 15 DSGVO unverzüglich, spätestens jedoch innerhalb eines Monats zu erteilen. Diese Frist hat die Beklagte unstreitig nicht eingehalten. Bei Art. 12 Abs. 3, Art. 15 DSGVO handelt es sich um Marktverhaltensvorschriften im Sinne des § 3a UWG. Marktverhalten ist jede Tätigkeit auf einem Markt, die objektiv der Förderung des Absatzes oder des Bezugs von Waren oder Dienstleistungen dient und durch die ein Unternehmer auf Mitbewerber, Verbraucher oder sonstige Marktteilnehmer einwirkt. Eine Norm regelt das Marktverhalten, wenn sie einen Wettbewerbsbezug aufweist, indem sie die wettbewerblichen Belange der als Anbieter oder Nachfrager von Waren oder Dienstleistungen in Betracht kommenden Personen schützt. Eine Vorschrift, die dem Schutz von Rechten, Rechtsgütern oder sonstigen Interessen von Marktteilnehmern dient, ist eine Marktverhaltensregelung, wenn das geschützte Interesse gerade durch die Marktteilnahme, also durch den Abschluss von Austauschverträgen und den nachfolgenden Verbrauch oder Gebrauch der erworbenen Ware oder in Anspruch genommenen Dienstleitung berührt wird. Dabei genügt, dass die Vorschrift zumindest auch den Schutz der wettbewerblichen Interessen der Marktteilnehmer bezweckt. Datenschutzrechtliche Bestimmungen weisen einen wettbewerbsrechtlichen Bezug auf, soweit es um die Zulässigkeit der Erhebung, Verarbeitung oder Nutzung von Daten geht, etwa zu Zwecken der Werbung, der Meinungsforschung, der Erstellung von Nutzerprofilen, des Adresshandels oder sonstiger kommerzieller Zwecke (vgl. statt aller: OLG Stuttgart, Urteil vom 27.02.2020 – 2 U 257/19 – Reifensofortverkauf, m.w.N.).

Unter Zugrundelegung dieses Maßstabs handelt es sich bei Art. 12, Art. 15 DSGVO um Marktverhaltensregelungen. Die Auskunftspflicht und die diesbezügliche Frist dienen dem Verbraucherschutz. Sie flankieren die Informationspflichten des Unternehmers nach Art. 13 DSGVO, wonach der Verantwortliche im Sinne von Art. 4 DSGVO vor der Entgegennahme personenbezogener Daten des Interessenten über bestimmte Umstände zu informieren hat. Beide Informations- bzw. Auskunftspflichten dienen dem Interesse des Verbrauchers und sonstigen Marktteilnehmers, eine geschäftliche Entscheidung zu treffen. Bei den Informationspflichten nach Art. 13 DSGVO dienen sie dem Verbraucher zur Entscheidung, ob er mit dem Unternehmen überhaupt in Kontakt treten möchte (vgl. OLG Stuttgart, a.a.O.). Die Auskunftspflicht nach Art. 15 DSGVO und die Frist in Art. 12 DSGVO dienen im Nachgang zur Geschäftsanbahnung der Vertragsabwicklung. Sie ermöglichen damit dem Verbraucher eine geschäftliche Entscheidung über sein weiteres Handeln in diesem Geschäftskontakt zu treffen.

4. Der Verstoß ist auch geeignet, die Interessen von Verbrauchern, sonstigen Marktteilnehmern oder Mitbewerbern spürbar zu beeinträchtigen. Die Spürbarkeitsklausel hat den Zweck, solche Fälle des Verstoßes gegen eine Marktverhaltensregelung von der Verfolgung auszunehmen, die keine nennenswerte Auswirkung auf andere Marktteilnehmer haben. Denn daran besteht kein Interesse der Allgemeinheit. Ein Verbot ist vielmehr nur dann erforderlich, wenn dies der Schutz der Verbraucher, der Mitbewerber oder der sonstigen Marktteilnehmer erfordert. Das ist aber nur dann der Fall, wenn sich die unlautere geschäftliche Handlung tatsächlich auf die anderen Marktteilnehmer auswirkt oder doch auswirken kann (Köhler/Bornkamm/Feddersen, a.a.O., Rn. 1.96). Bei den Verbrauchern und sonstigen Marktteilnehmern geht es in erster Linie darum, eine informierte und freie geschäftliche Entscheidung (§ 2 Abs.1 Nr. 1 UWG) treffen zu können (Köhler/Bornkamm/Feddersen, a.a.O., Rn. 1.98). Da die fristgerechte Auskunftserteilung dem Verbraucher ermöglicht, die weitere Durchführung eines Vertrags oder Geschäftskontakts zu gestalten, ist ein hiergegen gerichteter Verstoß als spürbar zu bewerten. Denn sie dient letztlich der informierten Entscheidung.

Den Volltext der Entscheidung finden Sie hier:

BGH
Beschluss vom 23.01.2024
II ZB 8/23
DSGVO Art. 17 Abs. 1, Art. 18 Abs. 1 Buchst. d, Art. 21 Abs. 1; HGB § 9 Abs. 1, § 10 Abs. 1, § 106 Abs. 1, Abs. 2 Nr. 2 Buchst. a, § 162 Abs. 1; HRV § 40 Nr. 5 Buchst. c

Der BGH hat entschieden, dass ein Kommanditist keinen Anspruch auf Löschung von Wohnort und Geburtsdatum aus dem Handelsregister nach Art . 17 Abs. 1 DSGVO hat.

Leitsätze des BGH:
a) Der Kommanditist hat keinen Anspruch aus Art. 17 Abs. 1 DS-GVO auf Löschung seines Geburtsdatums und seines Wohnorts im Handelsregister.

b) Der Kommanditist hat keinen Anspruch auf Einschränkung der Verarbeitung seines Geburtsdatums und seines Wohnorts durch das Registergericht aus Art. 18 Abs. 1 Buchst. d, Art. 21 Abs. 1 DS-GVO.

BGH, Beschluss vom 23. Januar 2024 - II ZB 8/23 - OLG Celle - AG Walsrode

Den Volltext der Entscheidung finden Sie hier:

BGH
Beschluss vom 23.01.2024
II ZB 7/23
DSGVO Art. 17 Abs. 1, Art. 18 Abs. 1 Buchst. d, Art. 21 Abs. 1; GmbHG § 7 Abs. 1, § 10 Abs. 1; HGB § 9 Abs. 1, § 10 Abs. 1; HRV § 24 Abs. 1, § 43 Nr. 4 Satz Buchst. b

Der BGH hat entschieden, dass ein GmbH-Geschäftsführer keinen Anspruch auf Löschung von Wohnort und Geburtsdatum aus dem Handelsregister nach Art . 17 Abs. 1 DSGVO hat.

Leitsätze des BGH:
a) Der Geschäftsführer einer GmbH hat keinen Anspruch aus Art. 17 Abs. 1 DS-GVO auf Löschung seines Geburtsdatums und seines Wohnorts im Handelsregister.

b) Der Wohnort des Geschäftsführers einer GmbH ist zur Eintragung in das Handelsregister anzumelden.

c) Ein Widerspruchsrecht gemäß Art. 21 Abs. 1 DS-GVO besteht nicht, wenn die Datenverarbeitung aufgrund von Art. 6 Abs. 1 Buchst. c DS-GVO zur Erfüllung einer rechtlichen Pflicht des Verantwortlichen erfolgt. Das gilt auch dann, wenn die Verarbeitung zugleich nach Art. 6 Abs. 1 Buchst. e DS-GVO erlaubt wäre. Auch ein Anspruch aus Art. 18 Abs. 1 Buchst. d DS-GVO auf Einschränkung der Verarbeitung besteht in diesem Fall nicht.

BGH, Beschluss vom 23. Januar 2024 - II ZB 7/23 - OLG Celle - AG Walsrode

Den Volltext der Entscheidung finden Sie hier:

BVerwG
Urteil vom 20.03.2024
6 C 8.22

Das BVerwG hat entschieden, dass die Speicherung der Postanschrift durch die Behörde bei einer Anfrage nach dem Informationsfreiheitsgesetz datenschutzkonform ist. Anonyme IFG-Anfragen sind nicht zulässig.

Die Pressemitteilung des Gerichts:
Verarbeitung der Postanschrift eines Antragstellers nach dem Informationsfreiheitsgesetz

Bei einer auf das Informationsfreiheitsgesetz (IFG) gestützten Anfrage ist die Verarbeitung der Postanschrift eines Antragstellers nach den Regelungen dieses Gesetzes in Verbindung mit § 3 Bundesdatenschutzgesetz (BDSG) zulässig. Dies hat das Bundesverwaltungsgericht in Leipzig entschieden.

Die Bundesrepublik Deutschland, vertreten durch das Bundesministerium des Innern, für Bau und Heimat (BMI), wandte sich gegen eine auf Art. 58 Abs. 2 Buchst. b Datenschutz-Grundverordnung (DSGVO) gestützte Verwarnung des beklagten Bundesbeauftragten für den Datenschutz und die Informationsfreiheit. Der Beanstandung lag ein Auskunftsersuchen eines Antragstellers zugrunde, welches dieser über eine Internetplattform per E-Mail an das BMI gerichtet hatte. Jene Plattform generiert E-Mail-Adressen, unter denen ein Antrag nach dem Informationsfreiheitsgesetz gestellt und die Kommunikation mit der Behörde abgewickelt werden kann. Das BMI hatte auf der Übermittlung der Anschrift des Antragstellers bestanden und ihm in einem per Post übermittelten Schreiben geantwortet. Daraufhin erließ der Beklagte eine Verwarnung mit der Begründung, die Postanschrift sei ohne rechtliche Grundlage abgefragt und unberechtigt verarbeitet worden.

Das Verwaltungsgericht Köln hat der Klage stattgegeben und die Verwarnung aufgehoben. Auf die Berufung des Beklagten hat das Oberverwaltungsgericht Münster das erstinstanzliche Urteil geändert und die Klage abgewiesen. Die Verwarnung sei rechtmäßig. Bei der Erhebung der Postanschrift habe es sich um einen Verarbeitungsvorgang gehandelt, für den § 3 BDSG eine Rechtsgrundlage biete. Allerdings seien die Voraussetzungen der Norm nicht erfüllt gewesen, weil es an der Erforderlichkeit der Datenerhebung gefehlt habe.

Auf die Revision der Klägerin hat das Bundesverwaltungsgericht das Urteil des Oberverwaltungsgerichts geändert und die Berufung zurückgewiesen. Die von der angegriffenen Verwarnung erfassten Datenverarbeitungen - die Erhebung der Anschrift, ihre Speicherung sowie die Verwendung - lassen sich auf § 3 BDSG in Verbindung mit den Regelungen des Informationsfreiheitsgesetzes stützen. § 3 BDSG stellt für Datenverarbeitungen von geringer Eingriffsintensität im Zusammenhang mit einem Auskunftsbegehren nach dem Informationsfreiheitsgesetz eine unionsrechtskonforme Rechtsgrundlage nach der Datenschutz-Grundverordnung dar. Nach Art. 6 Abs. 1 Unterabs. 1 Buchst. e DSGVO ist die Verarbeitung personenbezogener Daten durch eine öffentliche Stelle unter anderem dann zulässig, wenn sie zur Erfüllung der in der Zuständigkeit des Verantwortlichen liegenden Aufgabe erforderlich ist. Diese Vorschrift wird durch die Brückennorm des § 3 BDSG in Verbindung mit den Regelungen des Informationsfreiheitsgesetzes ausgefüllt. Die Erforderlichkeit verlangt die Prüfung, ob das von der öffentlichen Stelle verfolgte Ziel in zumutbarer Weise ebenso wirksam mit anderen Mitteln erreicht werden kann, die weniger stark in die Grundrechte des Betroffenen eingreifen. Zudem sind die Grundsätze der Zweckbindung und der Datenminimierung einzuhalten (Art. 5 Abs. 1 DSGVO).

Gemessen hieran war die Abfrage der Anschrift zur ordnungsgemäßen Bearbeitung des Auskunftsersuchens erforderlich. Nach dem Informationsfreiheitsgesetz sind anonyme Anträge unzulässig. Deshalb muss die Behörde den Namen und regelmäßig auch die Anschrift des Antragstellers kennen. Die Speicherung der Adresse war erforderlich, um sie für die Dauer der Bearbeitung des Antrags zu sichern. Auch die Verwendung der Anschrift für die Übersendung des ablehnenden Bescheides per Post war erforderlich. Das BMI durfte sich ermessensfehlerfrei für die Schriftform und die Bekanntgabe per Post entscheiden, obwohl der Antragsteller einen elektronischen Zugang gemäß § 3a Abs. 1 VwVfG eröffnet hatte. Bislang muss es ein Antragsteller in der Regel hinnehmen, dass die Behörde trotz eines eröffneten elektronischen Zugangs mit ihm auf dem Postweg kommuniziert.

BVerwG 6 C 8.22 - Urteil vom 20. März 2024

Vorinstanzen:
OVG Münster, OVG 16 A 857/21 - Urteil vom 15. Juni 2022 -
VG Köln, VG 13 K 1190/20 - Urteil vom 18. März 2021 -

EuGH
Urteil vom 21.03.2024
C-61/22

Der EuGH hat entschieden, dass die Erfassung und Speicherung des Fingerabdrucks auf dem Personalausweis mit der DSGVO sowie Art. 7 und 8 der EU-Grundrechte-Charta vereinbar ist.

Aus den Entscheidungsgründen:
B. Zum zweiten Ungültigkeitsgrund: Nichtbeachtung von Art. 35 Abs. 10 DSGVO
Der zweite vom vorlegenden Gericht angeführte Ungültigkeitsgrund stützt sich darauf, dass die Verordnung 2019/1157 unter Verstoß gegen Art. 35 Abs. 10 DSGVO ohne Durchführung einer Datenschutz-Folgenabschätzung erlassen worden sei.

Hierzu ist darauf hinzuweisen, dass nach Art. 35 Abs. 1 DSGVO der Verantwortliche, wenn eine Form der Verarbeitung, insbesondere bei Verwendung neuer Technologien, aufgrund der Art, des Umfangs, der Umstände und der Zwecke der Verarbeitung voraussichtlich ein hohes Risiko für die Rechte und Freiheiten natürlicher Personen zur Folge hat, vorab eine Abschätzung der Folgen der vorgesehenen Verarbeitungsvorgänge für den Schutz personenbezogener Daten durchführen muss. Art. 35 Abs. 3 DSGVO stellt klar, dass eine solche Folgenabschätzung im Fall umfangreicher Verarbeitung besonderer Kategorien personenbezogener Daten gemäß Art. 9 Abs. 1 DSGVO (wie biometrischer Daten zur eindeutigen Identifizierung einer natürlichen Person) erforderlich ist.

Da im vorliegenden Fall die Verordnung 2019/1157 selbst keinen Vorgang im Zusammenhang mit personenbezogenen Daten oder Sätzen von personenbezogenen Daten durchführt, sondern lediglich vorsieht, dass die Mitgliedstaaten im Fall der Beantragung eines Personalausweises bestimmte Verarbeitungen vornehmen, ist festzustellen, dass der Erlass dieser Verordnung nicht von der vorherigen Durchführung einer Abschätzung der Folgen der vorgesehenen Verarbeitungsvorgänge im Sinne von Art. 35 Abs. 1 DSGVO abhängig war. Art. 35 Abs. 10 DSGVO enthält insoweit eine Ausnahme von Art. 35 Abs. 1 DSGVO.

Da nach den vorstehenden Ausführungen Art. 35 Abs. 1 DSGVO beim Erlass der Verordnung 2019/1157 nicht anzuwenden war, konnte dieser Erlass folglich nicht gegen Art. 35 Abs. 10 der Verordnung 2016/679 verstoßen.

Nach alledem vermag der zweite Grund, der auf einen Verstoß gegen Art. 35 Abs. 10 DSGVO gestützt wird, nicht zur Ungültigkeit der Verordnung 2019/1157 zu führen.

C. Zum dritten Ungültigkeitsgrund: Unvereinbarkeit von Art. 3 Abs. 5 der Verordnung 2019/1157 mit den Art. 7 und 8 der Charta

Der dritte vom vorlegenden Gericht angeführte Grund für die Ungültigkeit der Verordnung 2019/1157 betrifft die Frage, ob die in Art. 3 Abs. 5 der Verordnung vorgesehene Verpflichtung, zwei vollständige Fingerabdrücke in das Speichermedium der von den Mitgliedstaaten ausgestellten Personalausweise aufzunehmen, eine nicht gerechtfertigte Einschränkung der in den Art. 7 und 8 der Charta garantierten Rechte mit sich bringt.

[...]

In die Beurteilung der Schwere des Eingriffs, den eine Einschränkung der in den Art. 7 und 8 der Charta garantierten Rechte bewirkt, sind die Art der betroffenen personenbezogenen Daten, insbesondere der möglicherweise sensible Charakter dieser Daten, sowie die Art und die konkreten Modalitäten der Datenverarbeitung, u. a. die Zahl der Personen, die Zugang zu diesen Daten haben, und die Modalitäten des Zugangs zu diesen Daten, einzubeziehen. Gegebenenfalls ist auch zu berücksichtigen, ob diese Daten nicht Gegenstand missbräuchlicher Verarbeitungen sind.

Im vorliegenden Fall kann die sich aus der Verordnung 2019/1157 ergebende Einschränkung der Ausübung der in den Art. 7 und 8 der Charta garantierten Rechte zwar eine große Zahl von Personen betreffen, wobei diese Zahl von der Kommission in ihrer Folgenabschätzung auf 370 Millionen der damals 440 Millionen Einwohner der Union geschätzt wurde. Fingerabdrücke sind als biometrische Daten naturgemäß besonders sensibel und genießen, wie u. a. aus dem 51. Erwägungsgrund der DSGVO hervorgeht, im Unionsrecht einen besonderen Schutz.

Die Erfassung und Speicherung von zwei vollständigen Fingerabdrücken ist nach der Verordnung 2019/1157 jedoch nur im Hinblick auf die Aufnahme dieser Fingerabdrücke in das Speichermedium von Personalausweisen gestattet.

Des Weiteren ergibt sich aus Art. 3 Abs. 5 in Verbindung mit Art. 10 Abs. 3 der Verordnung, dass, sobald diese Aufnahme erfolgt und der Personalausweis der betroffenen Person ausgehändigt worden ist, die erfassten Fingerabdrücke ausschließlich auf dem Speichermedium dieses Ausweises gespeichert werden, der sich grundsätzlich im physischen Besitz der betroffenen Person befindet.

Schließlich sieht die Verordnung 2019/1157 eine Reihe von Garantien vor, die die Risiken begrenzen sollen, dass bei ihrer Durchführung personenbezogene Daten zu anderen Zwecken als zur Erreichung der mit ihr verfolgten Ziele erhoben oder verwendet werden, und zwar nicht nur in Bezug auf die Vorgänge der Verarbeitung personenbezogener Daten, die diese Verordnung zwingend vorschreibt, sondern auch im Hinblick auf die hauptsächlichen Verarbeitungen, denen die in das Speichermedium der Personalausweise aufgenommenen Fingerabdrücke unterzogen werden können.

Was erstens die Datenerfassung betrifft, sieht Art. 10 Abs. 1 und 2 der Verordnung 2019/1157 vor, dass biometrische Identifikatoren „ausschließlich durch qualifiziertes und ordnungsgemäß befugtes Personal erfasst“ werden und dass dieses Personal „angemessene und wirksame Verfahren für die Erfassung biometrischer Identifikatoren“ einhalten muss, wobei diese Verfahren den in der Charta, in der EMRK und im Übereinkommen der Vereinten Nationen über die Rechte des Kindes verankerten Rechten und Grundsätzen entsprechen müssen. Zudem enthält Art. 3 Abs. 7 der Verordnung, wie in Rn. 93 des vorliegenden Urteils ausgeführt, Sonderregelungen für Kinder unter zwölf Jahren (Unterabs. 1 und 2) sowie für Personen, bei denen eine Abnahme von Fingerabdrücken physisch nicht möglich ist (Unterabs. 3), wobei die letztgenannten Personen „von der Pflicht zur Abgabe von Fingerabdrücken befreit“ sind.

Was zweitens die Speicherung der Daten betrifft, verpflichtet die Verordnung 2019/1157 zum einen die Mitgliedstaaten, ein Gesichtsbild und zwei Fingerabdrücke als biometrische Daten zu speichern. Insoweit stellt der 21. Erwägungsgrund der Verordnung ausdrücklich klar, dass diese „keine Rechtsgrundlage für die Einrichtung oder Aufrechterhaltung von Datenbanken auf nationaler Ebene zur Speicherung biometrischer Daten in den Mitgliedstaaten [darstellt], zumal es sich dabei um eine Frage des nationalen Rechts handelt, welches dem Unionsrecht im Bereich Datenschutz entsprechen muss“ und sie auch „keine Rechtsgrundlage für die Einrichtung oder Aufrechterhaltung einer zentralen Datenbank auf der Ebene der Union“ darstellt. Zum anderen sieht Art. 10 Abs. 3 der Verordnung vor, dass diese „biometrischen Identifikatoren … ausschließlich bis zu dem Tag der Abholung des Dokuments und keinesfalls länger als 90 Tage ab dem Tag der Ausstellung des Dokuments gespeichert“ werden, und stellt klar, dass „die biometrischen Identifikatoren [nach diesem Zeitraum] umgehend gelöscht oder vernichtet“ werden.

Daraus ergibt sich insbesondere, dass Art. 10 Abs. 3 der Verordnung 2019/1157 es den Mitgliedstaaten nicht gestattet, biometrische Daten zu anderen als den in dieser Verordnung vorgesehenen Zwecken zu verarbeiten. Außerdem steht diese Bestimmung einer zentralen Speicherung von Fingerabdrücken entgegen, die über die vorläufige Speicherung dieser Abdrücke zum Zweck der Personalisierung von Personalausweisen hinausgeht.

Schließlich weist Art. 11 Abs. 6 der Verordnung 2019/1157 auf die Möglichkeit hin, dass die im sicheren Speichermedium enthaltenen biometrischen Daten gemäß dem Unionsrecht und dem nationalen Recht von ordnungsgemäß befugten Mitarbeitern der zuständigen nationalen Behörden und Agenturen der Union verwendet werden dürfen.

Was Art. 11 Abs. 6 Buchst. a der Verordnung betrifft, erlaubt diese Bestimmung die Verwendung von auf dem Speichermedium von Personalausweisen und Aufenthaltsdokumenten gespeicherten biometrischen Daten nur, um den Personalausweis oder das Aufenthaltsdokument auf seine Echtheit zu überprüfen.

Art. 11 Abs. 6 Buchst. b der Verordnung 2019/1157 sieht vor, dass die auf dem Speichermedium von Personalausweisen und Aufenthaltsdokumenten gespeicherten biometrischen Daten zur Überprüfung der Identität des Inhabers „anhand direkt verfügbarer abgleichbarer Merkmale …, wenn die Vorlage des Personalausweises oder Aufenthaltsdokuments gesetzlich vorgeschrieben ist“, verwendet werden können. Da eine solche Verarbeitung jedoch geeignet ist, zusätzliche Informationen über das Privatleben der betroffenen Personen zu liefern, kann sie nur zu Zwecken, die strikt auf die Identifizierung der betroffenen Person beschränkt sind, und unter durch gesetzliche Bestimmungen über die Vorlage des Personalausweises oder des Aufenthaltsdokuments genau abgegrenzten Voraussetzungen erfolgen.

Was drittens die Abfrage der auf dem Speichermedium von Personalausweisen gespeicherten biometrischen Daten anbelangt, ist darauf hinzuweisen, dass der 19. Erwägungsgrund der Verordnung 2019/1157 eine Rangfolge bei der Verwendung der Mittel zur Überprüfung der Echtheit des Dokuments und der Identität des Inhabers aufstellt, indem er vorsieht, dass die Mitgliedstaaten „vorrangig das Gesichtsbild überprüfen“ müssen und, falls zur zweifelsfreien Bestätigung der Echtheit des Dokuments und der Identität des Inhabers notwendig, „auch die Fingerabdrücke“.

Was viertens das Risiko des unbefugten Zugriffs auf die gespeicherten Daten betrifft, sieht Art. 3 Abs. 5 und 6 der Verordnung 2019/1157 zur Reduzierung dieses Risikos auf ein Minimum vor, dass die Fingerabdrücke auf einem „hochsicheren Speichermedium“ gespeichert werden, das „eine ausreichende Kapazität [aufweist] und geeignet [ist], die Integrität, die Authentizität und die Vertraulichkeit der Daten sicherzustellen“. Zudem geht aus Art. 3 Abs. 10 dieser Verordnung hervor, dass dann, wenn „die Mitgliedstaaten im Personalausweis Daten für elektronische Dienste wie elektronische Behördendienste und den elektronischen Geschäftsverkehr [speichern], … diese nationalen Daten physisch oder logisch getrennt sein [müssen]“, insbesondere von Fingerabdrücken, die auf der Grundlage der Verordnung erhoben und gespeichert wurden. Schließlich ergibt sich aus den Erwägungsgründen 41 und 42 sowie aus Art. 11 Abs. 4 dieser Verordnung, dass die Mitgliedstaaten für die ordnungsgemäße Verarbeitung biometrischer Daten verantwortlich bleiben, auch wenn sie mit externen Dienstleistungsanbietern zusammenarbeiten.

ii) Zur Bedeutung der verfolgten Zielsetzungen

Wie in Rn. 86 des vorliegenden Urteils ausgeführt, zielt die Aufnahme von zwei Fingerabdrücken in das Speichermedium von Personalausweisen darauf ab, die Herstellung gefälschter Personalausweise und den Identitätsdiebstahl zu bekämpfen sowie die Interoperabilität der Systeme zur Überprüfung von Identitätsdokumenten zu gewährleisten. Insoweit ist sie geeignet, zum Schutz des Privatlebens der betroffenen Personen sowie im weiteren Sinne zur Bekämpfung von Kriminalität und Terrorismus beizutragen.

Des Weiteren ermöglicht es eine solche Maßnahme, sowohl dem Bedürfnis jedes Unionsbürgers nachzukommen, über ein Mittel zu verfügen, um sich zuverlässig zu identifizieren, als auch dem der Mitgliedstaaten, sich zu vergewissern, dass den Personen, die sich auf durch das Unionsrecht anerkannte Rechte berufen, diese Rechte auch tatsächlich zustehen. Sie trägt somit insbesondere dazu bei, den Unionsbürgern die Ausübung ihres Freizügigkeits- und Aufenthaltsrecht zu erleichtern, das ebenfalls ein in Art. 45 der Charta verbürgtes Grundrecht ist. Somit haben die mit der Verordnung 2019/1157, insbesondere durch die Aufnahme von zwei Fingerabdrücken in das Speichermedium von Personalausweisen, verfolgten Zielsetzungen nicht nur für die Union und die Mitgliedstaaten, sondern auch für die Unionsbürger besondere Bedeutung.

Im Übrigen werden die Legitimität und Bedeutung dieser Zielsetzungen nicht durch den vom vorlegenden Gericht angeführten Umstand in Frage gestellt, dass in den Rn. 24 bis 26 der Stellungnahme 7/2018 darauf hingewiesen wurde, dass zwischen 2013 und 2017 nur 38 870 gefälschte Personalausweise festgestellt worden seien und dass diese Zahl seit mehreren Jahren abnehme.

Selbst wenn man nämlich von einer geringen Zahl der gefälschten Personalausweise ausginge, war der Unionsgesetzgeber nicht verpflichtet, bis zum Anstieg dieser Zahl zu warten, um Maßnahmen zur Vermeidung des Risikos der Verwendung solcher Ausweise zu erlassen, sondern konnte, insbesondere im Interesse der Risikokontrolle, eine solche Entwicklung vorwegnehmen, sofern die übrigen Voraussetzungen in Bezug auf die Achtung des Grundsatzes der Verhältnismäßigkeit gewahrt wurden.

iii) Abwägung

Nach alledem ist festzustellen, dass die Einschränkung der Ausübung der in den Art. 7 und 8 der Charta garantierten Rechte, die sich aus der Aufnahme von zwei Fingerabdrücken in das Speichermedium von Personalausweisen ergibt, angesichts der Art der in Rede stehenden Daten, der Art und der Modalitäten der Verarbeitungsvorgänge sowie der vorgesehenen Schutzmechanismen nicht so schwer erscheint, dass sie außer Verhältnis zur Bedeutung der verschiedenen mit dieser Maßnahme verfolgten Zielsetzungen stünde. Somit ist davon auszugehen, dass eine solche Maßnahme auf einer ausgewogenen Gewichtung zwischen diesen Zielsetzungen und den betroffenen Grundrechten beruht.

Folglich verstößt die Einschränkung der Ausübung der in den Art. 7 und 8 der Charta garantierten Rechte nicht gegen den Grundsatz der Verhältnismäßigkeit, so dass der dritte Ungültigkeitsgrund nicht zur Ungültigkeit der Verordnung 2019/1157 zu führen vermag.

Den Volltext der Entscheidung finden Sie hier:

OVG Lüneburg
Beschluss vom 23.01.2024
14 LA 1/24

Das OVG Lüneburg hat entschieden, dass eine Online-Apotheke bei Bestellungen nicht bei allen Produkten das Geburtsdatum des Kunden abfragen darf. Insofern liegt ein Verstoß gegen den Grundsatz der Datenminimierung vor.

Aus den Entscheidungsgründen:
II. Die Berufung gegen das angefochtene Urteil ist nicht zuzulassen, da die Voraussetzungen der von der Klägerin geltend gemachten Zulassungsgründe des § 124 Abs. 2 Nrn. 1 und 3 VwGO teilweise schon nicht in einer § 124a Abs. 4 Satz 4 VwGO genügenden Weise dargelegt sind und im Übrigen nicht vorliegen.

1. Die Berufung ist nicht wegen ernstlicher Zweifel an der Richtigkeit der angefochtenen Entscheidung nach § 124 Abs. 2 Nr. 1 VwGO zuzulassen.

Ernstliche Zweifel an der Richtigkeit der erstinstanzlichen Entscheidung im Sinne des § 124 Abs. 2 Nr. 1 VwGO sind zu bejahen, wenn der Rechtsmittelführer einen einzelnen tragenden Rechtssatz oder eine einzelne erhebliche Tatsachenfeststellung mit schlüssigen Gegenargumenten in Frage stellt (BVerfG, Beschl. v. 18.6.2019 - 1 BvR 587/17 -, juris Rn. 32 und v. 8.12.2009 - 2 BvR 758/07 -, juris Rn. 96). Die Richtigkeitszweifel müssen sich dabei auch auf das Ergebnis der Entscheidung beziehen; es muss also mit hinreichender Wahrscheinlichkeit anzunehmen sein, dass die Berufung zu einer Änderung der angefochtenen Entscheidung führen wird (vgl. BVerwG, Beschl. v. 10.3.2004 - 7 AV 4.03 -, juris Rn. 9). Eine den Anforderungen des § 124a Abs. 4 Satz 4 VwGO genügende Darlegung dieses Zulassungsgrundes erfordert, dass im Einzelnen unter konkreter Auseinandersetzung mit der verwaltungsgerichtlichen Entscheidung ausgeführt wird, dass und warum Zweifel an der Richtigkeit der Auffassung des erkennenden Verwaltungsgerichts bestehen sollen. Hierzu bedarf es regelmäßig qualifizierter, ins Einzelne gehender, fallbezogener und aus sich heraus verständlicher Ausführungen, die sich mit der angefochtenen Entscheidung auf der Grundlage einer eigenständigen Sichtung und Durchdringung des Prozessstoffes auseinandersetzen (vgl. NdsOVG, Beschl. v. 17.6.2015 - 8 LA 16/15 -, juris, Rn. 10; Seibert, in: Sodan/Ziekow, VwGO, 5. Aufl. 2018, § 124a Rn. 206 jeweils m.w.N.). Hat das Verwaltungsgericht seine Entscheidung auf mehrere selbstständig tragende Gründe gestützt, kann ein Berufungszulassungsantrag nur dann Erfolg haben, wenn für jedes der die Entscheidung des erstinstanzlichen Gerichts selbständig tragenden Begründungselemente ein Zulassungsgrund dargelegt worden ist und vorliegt (NdsOVG, Beschl. v. vom 28.6.2022 - 10 LA 234/20 -, juris Rn. 2; vgl. Niedersächsisches OVG, Beschl. v. 1.8.2022 - 10 LA 14/22 -, juris Rn. 3 m.w.N.).

Bei der Entscheidung über den Zulassungsgrund des § 124 Abs. 2 Nr. 1 VwGO ist das Oberverwaltungsgericht nicht auf die Berücksichtigung der Sach- und Rechtslage im Zeitpunkt der Entscheidung des Verwaltungsgerichts beschränkt. Da über § 128a VwGO hinaus eine Präklusion gesetzlich nicht vorgesehen ist, sind im Zulassungsverfahren alle dargelegten tatsächlichen Gesichtspunkte zu berücksichtigen, die für den Erfolg des angestrebten Rechtsmittels entscheidungserheblich sein können. Zu berücksichtigen sind sowohl neue Tatsachen als auch Tatsachen, die zwar bereits vorlagen, vom Verwaltungsgericht jedoch nicht berücksichtigt werden konnten, weil sie von den Beteiligten nicht vorgetragen und mangels entsprechender Anhaltspunkte auch nicht von Amts wegen zu ermitteln waren (Roth, in: BeckOK VwGO, Stand: 1.7.2023, § 124 Rn. 27 m.w.N.).

Nach diesem Maßstab begründen die Einwände der Klägerin keine ernstlichen Zweifel an der Richtigkeit der angefochtenen Entscheidung.

a) Die Klägerin trägt vor, um die ihr bei der Durchführung der Verträge (Art. 6 Abs. 1 Satz 1 lit. b) DSGVO) obliegenden Beratungs- und Informationspflichten aus § 20 Abs. 1 und 2 der Apothekenbetriebsordnung (ApBetrO) erfüllen zu können, sei es eine unabdingbare Voraussetzung, den Kunden bzw. Patienten zweifelsfrei zu identifizieren. Nur eine solche Identifikation stelle sicher, dass Kunden, welche beispielsweise rezeptpflichtige Medikamente und Nahrungsergänzungsmittel zusammen einnähmen, zur sachgerechten Anwendung und zu möglichen Wechselwirkungen beraten werden können. Dafür werde für jeden Kunden ein Arzneimitteldossier angelegt. Für eine einwandfreie Identifikation des Kunden und zur Verhinderung von Dubletten bedürfe sie neben dem Vor- und Nachnamen des Kunden zusätzlich dessen Geburtsdatum. Dieses stelle bei einer Namensgleichheit sicher, dass sie die verschiedenen Kunden hinreichend sicher unterscheiden könne.

Damit zieht die Klägerin die Annahmen des Verwaltungsgerichts nicht durchgreifend in Zweifel. Das Verwaltungsgericht hat zutreffend darauf hingewiesen, dass der Besteller und diejenige Person, für die das bestellte Produkt zur Anwendung bzw. Einnahme bestimmt ist, nicht identisch seien müssen. Dieses Argument greift auch, soweit mit der Beschwerdebegründung nunmehr erstmals geltend gemacht wird, dass das Geburtsdatum als Identifizierungskriterium erforderlich sei, um ein Arzneimitteldossier für den Kunden anlegen zu können. Nicht die eindeutige Identifizierung des Bestellers ist zur Erfüllung von Beratungspflichten notwendig, sondern die Kenntnis von derjenigen Person, die das bestellte Produkt anwenden bzw. einnehmen wird. Die Anlage eines Arzneimitteldossiers für den Besteller erscheint daher zur Erfüllung von Beratungs- und Informationspflichten bereits nicht geeignet. Mit dieser schon vom Verwaltungsgericht aufgezeigten Problematik setzt sich die Beschwerdebegründung nicht auseinander. Ob bzw. unter welchen Voraussetzungen die Anlage eines Arzneimitteldossiers überhaupt datenschutzrechtlich zulässig ist, ist nicht Gegenstand des vorliegenden Verfahrens.

Davon abgesehen legt die Beschwerde auch nicht dar, warum das Geburtsdatum zur Identifizierung des Bestellers bei Namensgleichheit erforderlich sein soll. Die Klägerin verfügt auch über die Anschrift sowie die Telefonnummer des Bestellers, es wird nicht erläutert und ist auch nicht ersichtlich, warum mit diesen Daten nicht bereits eine hinreichend sichere Identifizierung namensgleicher Kunden möglich sein soll. Etwas anderes ergibt sich auch nicht aus der von der Klägerin zitierten Entscheidung des OLG München (Urt. v. 28.9.2006 - 29 U 2769/06). Die Entscheidung, die noch zum alten Recht erging, betraf ein Unternehmen, das ein Kundenbindungs- und Rabattsystem mit über 30 Millionen Kunden betrieb. Ein solches Unternehmen ist mit einer Versandapotheke bereits nicht vergleichbar; es verfügt schon nicht zwingend über die aktuelle Anschrift und Telefonnummer seiner Kunden.

Ergänzend wird zudem darauf hingewiesen, dass Versandapotheken zur Erfüllung ihrer Beratungspflicht den Kunden zur Angabe einer Telefonnummer auffordern müssen, unter der er durch pharmazeutisches Personal der Apotheke telefonisch und ohne zusätzliche Gebühren beraten werden kann (§ 17 Abs. 2a Satz 1 Nr. 7 ApBetrO). Sie haben damit die Möglichkeit, über diese Telefonnummer Kontakt zum Kunden aufzunehmen und in diesem Rahmen die für die konkrete Beratung erforderlichen Daten jeweils zu erfragen.

b) Auch soweit die Klägerin geltend macht, die Verarbeitung des Merkmals "Geburtsdatum" sei zur Feststellung der Geschäftsfähigkeit der Kunden erforderlich, zeigt sie keine ernstlichen Zweifel an der Entscheidung des Verwaltungsgerichts auf.

Das Verwaltungsgericht hat dazu ausgeführt, dass für diesen Zweck als milderes Mittel die einfache Abfrage der Volljährigkeit genüge. Damit setzt sich das Beschwerdevorbringen nicht hinreichend auseinander. Es ist auch nicht ersichtlich, dass die Abfrage der Volljährigkeit zu dem Zweck, die Geschäftsfähigkeit des Kunden zu prüfen, weniger geeignet ist. Anhaltspunkte dafür, dass bei dieser Abfrageart die Hemmschwelle, unwahre Angaben zu machen, geringer ist, als wenn das gesamte Geburtsdatum abgefragt wird, trägt die Klägerin weiterhin nicht vor und sind auch nicht ersichtlich. Eine Altersprüfung über die Angabe des Geburtsdatums bzw. eine Checkbox bietet im Übrigen ohnedies nicht die Gewähr der Richtigkeit der Angaben. Die Eignung der Abfrage ist daher ohnehin zweifelhaft.

c) Soweit die Klägerin geltend macht, die Verarbeitung des Merkmals "Geburtsdatum" sei zur Erfüllung von Rückabwicklungs- und Gewährleistungsansprüchen erforderlich, legt sie dies schon nicht hinreichend substantiiert dar. Es bleibt unklar, warum im Falle von Rückabwicklungs- und Gewährleistungsansprüchen ohne die Angabe eines Geburtsdatums der Vertragspartner, von dem Name, Anschrift und Telefonnummer bekannt sind, nicht hinreichend identifizierbar sein soll.

d) Auch das Vorbringen der Klägerin, die Verarbeitung des Geburtsdatums sei zur Erfüllung einer rechtlichen Verpflichtung (Art. 6 Abs. 1 Satz 1 lit. c) DSGVO) erforderlich, um Kunden, die ihre Rechte aus den Art. 15 ff. DSGVO geltend machten, hinreichend klar zu identifizieren, begründet keine ernstlichen Zweifel an der Entscheidung des Verwaltungsgerichts.

Art. 12 Abs. 6 DSGVO gestattet dem Verantwortlichen, sofern er begründete Zweifel an der Identität der natürlichen Person hat, die den Antrag gemäß den Artikeln 15 bis 21 stellt, zusätzliche Informationen anzufordern, die zur Bestätigung der Identität der betroffenen Person erforderlich sind. Eine routinemäßige Identitätsprüfung, die es dem Verantwortlichen ermöglicht, generell die Vorlage eines Identitätsnachweises zu verlangen, ist hiervon nicht erfasst. Ein Verantwortlicher sollte Identifizierungsdaten daher nicht allein zu dem Zweck speichern, auf mögliche Auskunftsersuchen reagieren zu können (Erwägungsgrund 64 Satz 2 der DSGVO; vgl. auch Greve, in: Sydow/Marsch, DSGVO, 3. Aufl. 2022, Art. 12 Rn. 30 m.w.N.). Die Klägerin kann daher nicht das Geburtsdatum sämtlicher Kunden erheben, um dieses im Falle eines Auskunftsersuchens zur im Einzelfall erforderlichen Identitätsprüfung nutzen zu können.

Aus dem von der Klägerin zitierten Urteil des Landgerichts Bonn (Urt. v. 11.11.2020 - 29 OWi 1/20 -, juris) ergibt sich im Übrigen lediglich, dass die Angabe des Namens und des Geburtsdatums zur Authentifizierung bei einem Telefonanbieter nicht ausreichend sind. Auch aus der angeführten Entscheidung des Bundesgerichtshofs (Urt. v. 16. Juli 2008 - VIII ZR 348/06 -, juris) folgt nichts anderes. Das Urteil knüpft an das zitierte Urteil des OLG München an und stellt (ebenfalls nach altem Recht) fest, dass angesichts der Vielzahl der Teilnehmer am Payback-Programm eine praktikable und gleichzeitig sichere Methode der Identifizierung der Programmteilnehmer zu den Vertragszwecken gehöre. Die Angabe des vollständigen Geburtsdatums sei bei einem Bonusprogramm, welches nach den Feststellungen des Berufungsgerichts rund dreißig Millionen Teilnehmer habe, zur Vermeidung von Identitätsverwechselungen in besonderer Weise geeignet. Dies ist - wie bereits ausgeführt - nicht auf die Bedürfnisse einer Versandapotheke übertragbar.

e) Schließlich wendet die Klägerin ein, die Verarbeitung des Geburtsdatums des Kunden sei auch auf Grundlage eines überwiegenden berechtigten Interesses nach Art. 6 Abs. 1 Satz 1 lit. f) DSGVO rechtmäßig. Das berechtigte Interesse ergebe sich aus der Notwendigkeit, dieses im Rahmen der Durchsetzung offener Forderungen gegen säumige Kunden verarbeiten zu müssen. Insbesondere bei der Einschaltung eines Gerichtsvollziehers bedürfe dieser bei der Ermittlung des Schuldners bei den in § 755 ZPO genannten Behörden häufig das Geburtsdatum des säumigen Kunden.

Auch damit begründet die Klägerin keine ernsthaften Zweifel an der erstinstanzlichen Entscheidung. Die Klägerin legt bereits nicht dar, welche Zahlungsmöglichkeiten sie anbietet und warum insoweit aus ihrer Sicht ein Ausfallrisiko bestehen soll. Ein Ausfallrisiko kann allenfalls beim Kauf auf Rechnung bestehen, weil hier die Klägerin gegenüber dem Kunden in Vorleistung geht. Der Kauf auf Rechnung ist beim Online-Handel aber nur eine von zahlreichen Varianten der Zahlungsabwicklung. Der Verkäufer kann die Versendung der Ware ebenso gut auch von einer vorherigen Zahlung des Kunden mittels Kreditkarte, Vorabüberweisung oder Ähnliches abhängig machen. Möchte der Verkäufer gleichwohl - etwa aus Marketinggesichtspunkten - in Vorleistung gehen und zur Risikoabsicherung weitere Daten des potentiellen Kunden erheben, so muss sie hierfür auf dessen Einwilligung zurückgreifen (vgl. Buchner/Petri, in: Kühling/Buchner, DSGVO, 4. Aufl. 2024, Art. 6 Rn. 66 m.w.N.).

2. Die Berufung ist auch nicht wegen der von der Klägerin geltend gemachten grundsätzlichen Bedeutung der Rechtssache i. S. d. § 124 Abs. 2 Nr. 3 VwGO zuzulassen.

Eine Rechtssache hat grundsätzliche Bedeutung im Sinne dieser Vorschrift, wenn sie eine konkrete noch nicht geklärte Rechts- oder Tatsachenfrage aufwirft, deren Beantwortung sowohl für die Entscheidung des Verwaltungsgerichts von Bedeutung war als auch für die Entscheidung im Berufungsverfahren erheblich sein wird, und die über den konkreten Fall hinaus wesentliche Bedeutung für die einheitliche Anwendung oder Weiterentwicklung des Rechts hat. Zur Darlegung des Zulassungsgrundes ist die Frage auszuformulieren und substantiiert auszuführen, warum sie für klärungsbedürftig und entscheidungserheblich gehalten und aus welchen Gründen ihr Bedeutung über den Einzelfall hinaus zugemessen wird. Ist die aufgeworfene Frage eine Rechtsfrage, so ist ihre Klärungsbedürftigkeit nicht schon allein deshalb zu bejahen, weil sie bislang nicht obergerichtlich oder höchstrichterlich entschieden ist. Nach der Zielsetzung des Zulassungsrechts ist vielmehr Voraussetzung, dass aus Gründen der Einheit oder Fortentwicklung des Rechts eine obergerichtliche oder höchstrichterliche Entscheidung geboten ist. Die Klärungsbedürftigkeit fehlt deshalb, wenn sich die als grundsätzlich bedeutsam bezeichnete Frage entweder schon auf der Grundlage des Gesetzeswortlauts nach allgemeinen Auslegungsmethoden oder aber (ggf. ergänzend) auf der Basis bereits vorliegender Rechtsprechung ohne weiteres beantworten lässt (Seibert, in: Sodan/Ziekow, VwGO, 5. Aufl. 2018, § 124 Rn. 127, 142 ff., 149 und 151 ff.).

In Anwendung dieser Grundsätze liegen die Voraussetzungen für eine Zulassung der Berufung nicht vor.

Zwar hat die Klägerin mit ihrer Zulassungsbegründung als rechtsgrundsätzlich bedeutsam die Frage formuliert, ob bzw. in welchem Umfang das Geburtsdatum eines Kunden unter datenschutzrechtlichen Gesichtspunkten von einer Online-Apotheke insbesondere unter Berücksichtigung der dieser obliegenden umfangreichen Beratungspflichten verarbeitet werden dürfe.

Sie legt jedoch nicht hinreichend dar, warum sie die aufgeworfene Frage für klärungsbedürftig und entscheidungserheblich hält und aus welchen Gründen sie ihr Bedeutung über den Einzelfall hinaus zumisst - dies wird lediglich behauptet. Unabhängig davon ist die Frage in ihrer Allgemeinheit nicht entscheidungserheblich gewesen. Konkret ging es darum, ob die von der Klägerin erstinstanzlich angeführten Gründe für die Erhebung des Geburtsdatums - die ihr nach § 20 ApBetrO obliegende Beratungspflicht sowie die Ermöglichung der Prüfung der Geschäftsfähigkeit des Bestellers - die Datenverarbeitung rechtfertigen können.

Mit der Ablehnung des Zulassungsantrags wird das angefochtene Urteil rechtskräftig (§ 124a Abs. 5 Satz 4 VwGO).

Den Volltext der Entscheidung finden Sie hier:

EuGH
Urteil vom 14.03.2024
C‑46/23

Der EuGH hat entschieden, dass eine datenschutzrechtliche Aufsichtsbehörde auch ohne Antrag des Betroffenen die Löschung unrechtmäßig verarbeiteter personenbezogener Daten anweisen darf.

Tenor der Entscheidung:
1. Art. 58 Abs. 2 Buchst. d und g der Verordnung (EU) 2016/679 des Europäischen Parlaments und des Rates vom 27. April 2016 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten, zum freien Datenverkehr und zur Aufhebung der Richtlinie 95/46/EG (Datenschutz-Grundverordnung) ist dahin auszulegen, dass die Aufsichtsbehörde eines Mitgliedstaats den Verantwortlichen oder Auftragsverarbeiter in Ausübung ihrer in diesen Bestimmungen vorgesehenen Abhilfebefugnisse selbst dann zur Löschung unrechtmäßig verarbeiteter personenbezogener Daten anweisen darf, wenn die betroffene Person keinen entsprechenden Antrag auf Ausübung ihrer Rechte nach Art. 17 Abs. 1 dieser Verordnung gestellt hat.

2. Art. 58 Abs. 2 der Verordnung 2016/679 ist dahin auszulegen, dass sich die Befugnis der Aufsichtsbehörde eines Mitgliedstaats, die Löschung unrechtmäßig verarbeiteter personenbezogener Daten anzuordnen, sowohl auf bei der betroffenen Person erhobene als auch auf aus einer anderen Quelle stammende Daten beziehen kann.

Die Pressemitteilung des EuGH:
Schutz personenbezogener Daten: Die Aufsichtsbehörde eines Mitgliedstaats kann selbst dann die Löschung unrechtmäßig verarbeiteter Daten anordnen, wenn die betroffene Person zuvor keinen entsprechenden Antrag gestellt hat

Eine solche Löschung kann sich sowohl auf bei der betroffenen Person erhobene als auch auf aus einer anderen Quelle stammende Daten beziehen.

2020 beschloss die Kommunalverwaltung Újpest (Ungarn), Personen, die zu einer von der Covid-19-Pandemie gefährdeten Gruppe gehörten, finanziell zu unterstützen. Sie ersuchte deshalb die ungarische Staatskasse und die Regierungsbehörde des IV. Bezirks der Hauptstadt Budapest, ihr die zur Prüfung der Anspruchsvoraussetzungen erforderlichen personenbezogenen Daten zu übermitteln.

Aufgrund eines Hinweises stellte die zuständige ungarische Datenschutzbehörde (im Folgenden: Aufsichtsbehörde) fest, dass sowohl die Verwaltung Újpest als auch die ungarische Staatskasse und die Regierungsbehörde gegen Regelungen der DSGVO1 verstoßen hatten. Entsprechende Geldbußen wurden verhängt.

Die Aufsichtsbehörde stellte fest, dass die Verwaltung Újpest die betroffenen Personen innerhalb der dafür geltenden Frist von einem Monat weder über die Verwendung ihrer Daten und den Zweck dieser Verarbeitung noch über ihre Datenschutzrechte informiert hatte. Zudem wies sie die Verwaltung Újpest an, die Daten anspruchsberechtigter Personen, die keine Unterstützung beantragt hatten, zu löschen.

Die Verwaltung Újpest hat diese Entscheidung beim Hauptstädtischen Stuhlgericht (Ungarn) angefochten und macht geltend, die Aufsichtsbehörde sei nicht befugt, die Löschung personenbezogener Daten anzuordnen, wenn die betroffene Person zuvor keinen entsprechenden Antrag gestellt habe.

Das ungarische Gericht ersucht den Gerichtshof um Auslegung der DSGVO.

Mit seinem heutigen Urteil antwortet der Gerichtshof, dass die Aufsichtsbehörde eines Mitgliedstaats von Amts wegen die Löschung unrechtmäßig verarbeiteter Daten anordnen darf, also selbst dann, wenn die betroffene Person zuvor keinen entsprechenden Antrag gestellt hat, falls eine solche Maßnahme zur Erfüllung ihrer Aufgabe erforderlich ist, die darin besteht, über die umfassende Einhaltung der DSGVO zu wachen. Erkennt die Aufsichtsbehörde, dass eine Datenverarbeitung nicht der DSGVO entspricht, so muss sie dem festgestellten Verstoß abhelfen, und zwar auch dann, wenn die betroffene Person zuvor keinen Antrag gestellt hat. Denn das Erfordernis einer solchen Antragstellung würde bedeuten, dass der Verantwortliche bei fehlendem Antrag die betreffenden personenbezogenen Daten weiterhin speichern und unrechtmäßig verarbeiten dürfte.

Außerdem kann die Aufsichtsbehörde eines Mitgliedstaats die Löschung unrechtmäßig verarbeiteter Daten unabhängig davon anordnen, ob sie unmittelbar bei der betroffenen Person erhoben wurden oder aus einer anderen Quelle stammen.

Den Volltext der Entscheidung finden Sie hier:

BGH
Urteil vom 06.02.2024
VI ZR 15/23
DSGVO Art. 15 Abs. 1, 3

Der BGH hat abermals entschieden, dass Art. 15 Abs. 1 und 3 DSGVO keinen Anspruch auf Abschriften der Begründungsschreiben samt Anlagen zu Prämienanpassungen einer privaten Krankenversicherung gewährt.

Leitsatz des BGH:
Aus Art. 15 Abs. 1 und 3 DSGVO folgt grundsätzlich kein Anspruch auf Abschriften der Begründungsschreiben samt Anlagen zu Prämienanpassungen in der privaten Krankenversicherung (Anschluss an BGH, Urteil vom27. September 2023 - IV ZR 177/22, NJW 2023, 3490 Rn. 45 ff.).

BGH, Urteil vom 6. Februar 2024 - VI ZR 15/23 - OLG Celle - LG Verden

Den Volltext der Entscheidung finden Sie hier: