BECKMANN UND NORDA - Rechtsanwälte Bielefeld

BGH
Urteil vom 28.10.2025
VI ZR 183/22
DSGVO Art. 82 Abs. 1

Der BGH hat entschieden, dass eim Schadensersatzanspruch aus Art. 82 Abs. 1 DSGVO weder eine Abschreckungsfunktion noch eine Straffunktion sondern ausschließlich eine Ausgleichsfunktion hat. Aus diesem Grund dürfen - so der BGH - auch die Schwere des Verstoßes und Verschuldensfragen bei der Bestimmung der Höhe des Anspruchs nicht berücksichtigt werden.

Aus den Entscheidungsgründen:
Die zulässige Revision der Beklagten hat keinen Erfolg. Zwar sind die Erwägungen, mit denen das Berufungsgericht den immateriellen Schadensersatz nach Art. 82 Abs. 1 DSGVO mit 500 € bemessen hat, rechtsfehlerhaft. Entgegen der Ansicht der Revision hätte das Berufungsgericht bei der Bemessung des Schadensersatzes einer abschreckenden Wirkung aber nicht noch größeres Gewicht einräumen müssen. Es hätte diese vielmehr überhaupt nicht, sondern ausschließlich eine Ausgleichsfunktion des Schadensersatzes berücksichtigen dürfen. Dass sich dieser Rechtsfehler zum Nachteil der Beklagten ausgewirkt hätte, ist aber nicht ersichtlich.

1. Der Begriff des "immateriellen Schadens" ist in Ermangelung eines Verweises in Art. 82 Abs. 1 DSGVO auf das innerstaatliche Recht der Mitgliedstaaten im Sinne dieser Bestimmung autonom unionsrechtlich zu definieren (st. Rspr., EuGH, Urteil vom 20. Juni 2024 - C-590/22, DB 2024, 1676 Rn. 31 - PS GbR; Senatsurteil vom 18. November 2024 - VI ZR 10/24, DB 2024, 3091 Rn. 28; jeweils mwN). Dabei soll nach ErwG 146 Satz 3 DSGVO der Begriff des Schadens weit ausgelegt werden, in einer Art und Weise, die den Zielen dieser Verordnung in vollem Umfang entspricht (Senatsurteil vom 18. November 2024 - VI ZR 10/24, DB 2024, 3091 Rn. 28).

Nach der Rechtsprechung des Gerichtshofes der Europäischen Union kommt dem in Art. 82 Abs. 1 DSGVO niedergelegten Schadensersatzanspruch ausschließlich eine Ausgleichsfunktion zu. Er erfüllt - entgegen der Ansicht des Berufungsgerichts und der Revision - keine Abschreckungs- oder gar Straffunktion (EuGH, Urteil vom 20. Juni 2024 - C-182/22 und C-189/22, NJW 2024, 2599 Rn. 23 - Scalable Capital; Senatsurteil vom 18. November 2024 - VI ZR 10/24, DB 2024, 3091 Rn. 18; jeweils mwN).

In Anbetracht der Ausgleichsfunktion des in Art. 82 DSGVO vorgesehenen Schadensersatzanspruchs, wie sie in ErwG 146 Satz 6 DSGVO zum Ausdruck kommt, ist eine auf Art. 82 DSGVO gestützte Entschädigung in Geld als "vollständig und wirksam" anzusehen, wenn sie es ermöglicht, den aufgrund des Verstoßes gegen diese Verordnung konkret erlittenen Schaden in vollem Umfang auszugleichen (vgl. EuGH, Urteil vom 20. Juni 2024 - C-182/22 und C-189/22, NJW 2024, 2599 Rn. 24 - Scalable Capital; Senatsurteil vom 18. November 2024 - VI ZR 10/24, DB 2024, 3091 Rn. 96 mwN). Da der Anspruch aus Art. 82 Abs. 1 DSGVO weder eine Abschreckungs- noch eine Straffunktion erfüllt, darf weder die Schwere des Verstoßes gegen die Datenschutz-Grundverordnung, durch den der betreffende Schaden entstanden ist, berücksichtigt werden, noch der Umstand, ob schuldhaft gehandelt wurde (vgl. Senatsurteil vom 18. November 2024 - VI ZR 10/24, DB 2024, 3091 Rn. 96 mwN).


Leitsatz des BGH:
Zur Frage des immateriellen Schadens im Sinne des Art. 82 Abs. 1 DSGVO.

BGH, Urteil vom 28. Januar 2025 - VI ZR 183/22 - OLG Koblenz LG Koblenz

Den Volltext der Entscheidung finden Sie hier:

EuGH
Urteil vom 09.01.2025
C-394/23
Mousse

Der EuGH hat entschieden, dass die Erhebung des Geschlechts bei Verkauf eines Bahn-Tickts nicht für die Erfüllung des Vertrages erforderlich im Sinne von Art. 6 I lit.b) DSGVO ist.

Die Pressemitteilungd es EuGH:
DSGVO und Schienentransport: Die Geschlechtsidentität des Kunden ist keine für den Erwerb eines Fahrscheins erforderliche Angabe

Die Erhebung von Daten hinsichtlich der Anrede der Kunden ist nicht objektiv unerlässlich, insbesondere wenn sie darauf abzielt, die geschäftliche Kommunikation zu personalisieren.

Der Verband Mousse beanstandete bei der französischen Behörde für den Schutz personenbezogener Daten (CNIL)1 die Praxis des französischen Eisenbahnunternehmens SNCF Connect, seine Kunden beim Onlineerwerb von Fahrscheinen systematisch zu verpflichten, ihre Anrede („Herr“ oder „Frau“) anzugeben. Seiner Ansicht nach verstößt diese Verpflichtung gegen die Datenschutz-Grundverordnung (DSGVO) , insbesondere im Hinblick auf den Grundsatz der Datenminimierung, da die Anrede, die einer Geschlechtsidentität entspreche, keine für den Erwerb eines Fahrscheins erforderliche Angabe sein dürfte. 2021 wies die CNIL diese Beschwerde mit der Begründung zurück, dass diese Praxis keinen Verstoß gegen die DSGVO darstelle.

Mousse war mit diesem Bescheid nicht einverstanden und wandte sich an den französischen Staatsrat, um ihn für nichtig erklären zu lassen. Der Staatsrat fragt den Gerichtshof insbesondere, ob die Erhebung von Daten hinsichtlich der Anrede der Kunden, die auf die Angaben „Herr“ oder „Frau“ beschränkt ist, als rechtmäßig und insbesondere mit dem Grundsatz der Datenminimierung vereinbar eingestuft werden kann, wenn diese Erhebung darauf abzielt, eine personalisierte geschäftliche Kommunikation mit diesen Kunden in Übereinstimmung mit der allgemeinen Verkehrssitte in diesem Bereich zu ermöglichen.

Der Gerichtshof weist darauf hin, dass nach dem Grundsatz der Datenminimierung, mit dem der Grundsatz der Verhältnismäßigkeit zum Ausdruck gebracht wird, die erhobenen Daten dem Zweck angemessen und erheblich sowie auf das für die Zwecke der Verarbeitung notwendige Maß beschränkt sein müssen.

Die DSGVO enthält eine erschöpfende und abschließende Liste der Fälle, in denen eine Verarbeitung personenbezogener Daten als rechtmäßig angesehen werden kann: Dies ist insbesondere dann der Fall, wenn die Verarbeitung (1.) für die Erfüllung eines Vertrags, dessen Vertragspartei die betroffene Person ist, oder (2.) zur Wahrung der berechtigten Interessen des Verantwortlichen dieser Verarbeitung oder eines Dritten erforderlich ist.

Was den ersten dieser beiden Rechtfertigungsgründe anbelangt, muss die Verarbeitung von Daten für die ordnungsgemäße Erfüllung des Vertrags objektiv unerlässlich sein, damit sie für die Erfüllung eines Vertrags als erforderlich angesehen werden kann. In diesem Zusammenhang erscheint eine Personalisierung der geschäftlichen Kommunikation, die auf einer anhand der Anrede des Kunden angenommenen Geschlechtsidentität beruht, nicht objektiv unerlässlich, um die ordnungsgemäße Erfüllung eines Schienentransportvertrags zu ermöglichen. Das Eisenbahnunternehmen könnte sich nämlich für eine Kommunikation entscheiden, die auf allgemeinen und inklusiven Höflichkeitsformeln beruht, die in keinem Zusammenhang mit der angenommenen Geschlechtsidentität der Kunden stehen, was eine praktikable und weniger einschneidende Lösung wäre.

In Bezug auf den zweiten Rechtfertigungsgrund stellt der Gerichtshof unter Hinweis auf seine einschlägige ständige Rechtsprechung klar, dass die Verarbeitung von Daten hinsichtlich der Anrede der Kunden eines Transportunternehmens, die darauf abzielt, die geschäftliche Kommunikation aufgrund ihrer Geschlechtsidentität zu personalisieren, nicht als erforderlich angesehen werden kann, wenn (1.) diesen Kunden bei der Erhebung dieser Daten nicht das verfolgte berechtigte Interesse mitgeteilt wurde, oder (2.) die Verarbeitung nicht innerhalb der Grenzen dessen erfolgt, was zur Verwirklichung dieses berechtigten Interesses unbedingt notwendig ist, oder (3.) in Anbetracht aller relevanten Umstände die Grundrechte und Grundfreiheiten dieser Kunden gegenüber diesem berechtigten Interesse überwiegen können, insbesondere wegen der Gefahr einer Diskriminierung aufgrund der Geschlechtsidentität.

Den Volltext der Entscheidung finden Sie hier:

BVerwG
Beschluss vom 02.05.2024
6 B 66.23

Das Bundesverwaltungsgericht hat entschieden, das Art. 79 Abs. 1 DSGVO einen öffentlich-rechtlichen Unterlassungsanspruch gegen die kommunale Videoüberwachung einer Grünfläche zur Gefahrenabwehr und Gefahrenvorsorge nicht ausschließt.

Leitsatz des Gerichts:
Art. 79 Abs. 1 DSGVO schließt die Geltendmachung eines öffentlich-rechtlichen Unterlassungsanspruchs gegen die Datenverarbeitung im Bereich der kommunalen Gefahrenabwehr und Gefahrenvorsorge - hier durch Videoüberwachung einer als öffentliche Einrichtung gewidmeten Grünfläche - nicht aus.

Den Volltext der Entscheidung finden Sie hier:

BayVGH
Beschluss vom 15.02.2023
4 CE 23.2267

Der BayVGH hat entschieden, dass die Erhebung und Speicherung von Drohnenaufnahmen zu Durchführung der Beitrags- und Gebührenerhebung im Rahmen der Abwasserbeseitigung rechtswidrig ist.

Die Pressemitteilung des Gerichts:
BayVGH: Drohnenbefliegung eines Wohngrundstücks zur Beitragserhebung ist rechtswidrig

Mit Beschluss vom 15. Februar 2024 hat der Bayerische Verwaltungsgerichtshof (BayVGH) die Beschwerde der Stadt Neumarkt-Sankt Veit im Landkreis Mühldorf am Inn zurückgewiesen und die geplante Drohnenbefliegung eines Wohngrundstücks zur Ermittlung der Geschossfläche als rechtswidrig eingestuft.

Die Stadt Neumarkt-Sankt Veit plante ursprünglich für Oktober 2023 eine Drohnenbefliegung verschiedener Wohngrundstücke, um die Geschossfläche der dort vorhandenen Gebäude zu bestimmen. Die dadurch erlangten Daten sollten zur Berechnung des sog. Herstellungsbeitrags dienen, der für den Anschluss von Grundstücken an die gemeindliche Abwasserentsorgung erhoben wird. Nachdem der Antragsteller, dem ein Wohngrundstück im Stadtgebiet gehört, über die geplante Drohnenbefliegung informiert worden war, wandte er sich an das Verwaltungsgericht München, das seinem Eilantrag stattgab. Gegen diesen Beschluss legte die Stadt Beschwerde zum BayVGH ein.

Der BayVGH wies die Beschwerde der Stadt zurück. Dem Antragsteller stehe ein Unterlassungsanspruch zu, der eine Drohnenbefliegung seines Grundstücks verbiete. Für die geplante Maßnahme fehle es bereits an einer Rechtsgrundlage. Hierfür könne insbesondere nicht die Generalklausel des bayerischen Datenschutzgesetzes herangezogen werden. Diese lässt eine Verarbeitung personenbezogener Daten durch eine öffentliche Stelle zu, wenn sie zur Erfüllung einer ihr obliegenden Aufgabe erforderlich ist. Die Vorschrift erlaube eine Erhebung personenbezogener Daten jedoch nur dann, wenn es sich um einen geringfügigen Eingriff in die Rechte der betroffenen Person handele. Der Einsatz der Drohne stelle aber einen erheblichen Eingriff in das vom Grundgesetz geschützte allgemeine Persönlichkeitsrecht des Antragstellers dar. Auch wenn das Wohngebäude von außen aufgenommen werde, sei die schützenswerte Privatsphäre betroffen. Denn mit der Drohne könnten Aufnahmen von zur Wohnung zählenden Terrassen, Balkonen oder Gartenflächen hergestellt werden. Zudem könnten die sich dort aufhaltenden Personen fotografiert werden. Weiter sei nicht auszuschließen, dass durch Glasflächen auch Innenräume erfasst würden.

Der Beschluss des BayVGH ist unanfechtbar.

(BayVGH, Beschluss vom 15. Februar 2024, Az.: 4 CE 23.2267)

VG München
Beschluss vom 22.11.2023
M 7 E 23.5047

Das VG München hat entschieden, dass die Erhebung und Speicherung von Drohnenaufnahmen zu Durchführung der Beitrags- und Gebührenerhebung im Rahmen der Abwasserbeseitigung nicht mit der DSGVO vereinbar ist.

Aus den Entscheidungsgründen:
3. Auch aus dem unionalen und nationalen Datenschutzrecht dürfte keine Ermächtigung zur Durchführung der streitgegenständlichen Maßnahmen folgen.

Der Anwendungsbereich der DSGVO ist eröffnet, da es sich bei den Informationen, die durch die streitgegenständlichen Maßnahmen erhoben werden sollen, um personenbezogene Informationen i. S. v. Art. 4 Nrn. 1 und 2 DSGVO handelt. Ein Personenbezug liegt nicht nur dann vor, wenn die Maßnahmen Personen möglicherweise (mit-)aufzeichnen, was hier durchaus im Bereich des Möglichen liegen könnte (vgl. OVG Saarl, U.v. 14.9.2017 ‒ 2 A 213/16 ‒ juris Rn. 23). Selbst wenn durch die streitgegenständlichen Maßnahmen tatsächlich keine Person mitaufgezeichnet würde, liegt der Personenbezug jedoch gleichwohl vor. Gemäß Art. 4 Nr. 1 DSGVO bezeichnen „personenbezogene Daten“ alle Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person beziehen; als identifizierbar wird eine natürliche Person angesehen, die direkt oder indirekt, insbesondere mittels Zuordnung zu einer Kennung wie einem Namen, zu einer Kennnummer, zu Standortdaten etc. identifiziert werden kann. Die Informationen erfüllen die jeweils eigenständig zu prüfenden Merkmale (vgl. Klar/Kühling in Kühling/Buchner, DSGVO-BDSG, 3. Aufl. 2020, DSGVO Art. 4 Rn. 11) des Personenbezugs und der Identifizierbarkeit der Person. Bei den bildlichen Aufzeichnungen und ihrer anschließenden Auswertung insbesondere durch Erstellen von Modellen handelt sich nicht um Sachdaten, sondern um Informationen, die sich auf eine natürliche Person beziehen. Wenn in der Information über eine Sache aufgrund individualisierender Identifikationsmerkmale, des Detaillierungsgrads oder der Einzigartigkeit der Sache ein Personenbezug angelegt ist, handelt es sich um ein personenbezogenes Datum (vgl. Klar/Kühling a.a.O. Rn. 13). Der Personenbezug ergibt sich bei den streitgegenständlichen Maßnahmen aus mehreren Erwägungen. Es handelt sich bei den bildlichen Aufzeichnungen von Grundstücken (und daraus erstellten Modellen) nicht lediglich um Sachdaten, sondern um personenbezogene Daten. Der Personenbezug ergibt sich aus der Georeferenziertheit der Daten und der nachträglichen Bearbeitung der Daten durch den Ingenieurdienstleister. Die bildlichen Aufzeichnungen („Rohdaten“) zeigen stets auch die exakten Positionsdaten der Drohne wie die Flughöhe im Augenblick des Bildes, die geographische Lagebestimmung, die Aufnahmerichtung und den Neigungswinkel an. Auch die nachträgliche Verknüpfung der bildlichen Aufzeichnung mit den Informationen wie Name, Anschrift und Flurstücknummer stellt den Personenbezug i. S. v. Art. 4 Nr. 1 DSGVO her (ausdrücklich für die Anschrift als individualisierendes Identifikationsmerkmal Klar/Kühling a.a.O. Rn. 13). Zudem weisen die beabsichtigten Aufnahmen einen hohen Detailgrad auf und es handelt sich bei den aufzuzeichnenden Informationen um Wohngrundstücke. Die Aufzeichnungen sollen u. a. Terrassen und Balkone erfassen. Durch (leicht) seitliche Aufnahmen werden bei dem beabsichtigten Vorgehen auch Fenster zu (Wohn-)Räumen erfasst. Auch wenn man zu Gunsten der Antragsgegnerin von einem Detailgrad von drei Zentimetern ausgeht, könnten konkrete Details der Wohnverhältnisse erfasst werden. Auf nicht-überdachten Flächen wie Terrassen könnten Gegenstände von einer Größe über drei Zentimeter erfasst werden. Unter überdachten Flächen ist die Aufzeichnung der Wohnverhältnisse nicht ausgeschlossen. Die (leicht) seitliche Perspektive würde auch das Erfassen der Wohnverhältnisse in der Nähe eines Fensters oder einer Glastür ermöglichen. Wie weit durch die seitliche Perspektive der Einblick in Fenster und Glastüren ermöglicht wird, hängt von der konkreten Flugroute, während der Aufzeichnungen angefertigt werden, sowie von der vorhandenen Bebauung, dem Abstand zwischen den Gebäuden und dem Baumbestand ab. Je größer der Abstand zwischen zwei Wohngebäuden und je geringer der Baumbestand wäre, desto umfassender wären die möglichen Aufzeichnungen der Wohnverhältnisse. Ob der Ingenieurdienstleister die Grundstücke einzelnen befliegt oder eine zusammenhängende Befliegung mehrerer benachbarter Grundstücke „am Stück“ bei durchgehender Aufzeichnung vornimmt, kann zumindest im Eilverfahren offenbleiben. Bei lebensnaher Betrachtung ergeben sich die Vorzüge der Drohnenbefliegung gegenüber anderen Möglichkeiten der Geschossflächenermittlung indes daraus, dass in einem oder wenigen einheitlichen Vorgängen eine Vielzahl von Grundstücken erfasst wird. Bei durchgehender Aufzeichnung während der Befliegung wäre eine besonders weitreichende Aufzeichnung der Wohnverhältnisse durch Fenster und Glastüren möglich. Der Antragsteller ist durch die verarbeiteten Informationen auch identifizierbar. Ausgehend von den durch den Ingenieurdienstleister erstellten Modellen und Plänen folgt die Identität des Antragstellers unmittelbar aus der Information selbst. Mit Blick auf die Rohdaten wie bspw. „Orthofotos“ ist der Antragsteller zumindest unter Zuhilfenahme weiterer Informationen identifizierbar.

Die Verarbeitung personenbezogener Daten dürfte auch nicht gemäß Art. 6 Abs. 1 Unterabs. 1 Buchst. e, Abs. 3 Satz 1 Buchst. b DSGVO i. V. m. Art. 4 Abs. 1 BayDSG rechtmäßig sein.

Richtet sich die Datenverarbeitung gemäß Art. 6 Abs. 1 Unterabs. 1 Buchst. e, Abs. 3 Satz 1 Buchst. b DSGVO nach dem Recht der Mitgliedstaaten, handelt es sich bei Art. 6 Abs. 1 Unterabs. 1 Buchst. e DSGVO nicht um die Rechtsgrundlage zur Datenverarbeitung, sondern um eine Vorschrift mit Richtliniencharakter. Die eigentliche Legitimationsgrundlage muss im (unionalen oder) nationalen Recht geregelt sein. Für öffentliche Stellen der Länder ist gemäß § 1 Abs. 1 Satz 1 BDSG der Anwendungsbereich des Bayerischen Landesdatenschutzgesetzes eröffnet, vgl. auch Art. 1 Abs. 1 Satz 1 BayDSG. Die von Art. 6 Abs. 3 Satz 1 Buchst. b DSGVO vorausgesetzte Rechtsgrundlage ist Art. 4 Abs. 1 BayDSG (vgl. Wilde/Ehmann/Niese/Knoblauch Datenschutz in Bayern, Stand: Juni 2018, BayDSG Art. 4 Rn. 3; Buchner/Petri in Kühling/Buchner, DSGVO-BDSG, 3. Aufl. 2020, DSGVO Art. 6 Rn. 73).

Die streitgegenständlichen Maßnahmen dürften nicht gemäß Art. 4 Abs. 1 BayDSG zur Erfüllung einer der Antragsgegnerin obliegenden Aufgabe erforderlich sein. Da es sich bei Art. 4 Abs. 1 BayDSG um eine Durchführungsvorschrift handelt, richtet sich die Bestimmung der Begriffe „Aufgabe“ und „Erforderlichkeit“ nach Art. 6 Abs. 1 Unterabs. 1 Buchst. e, Art. 23 Abs. 1 Buchst. a bis Buchst. e DSGVO (vgl. vgl. Wilde/Ehmann/Niese/Knoblauch Datenschutz in Bayern, Stand: Juni 2018, BayDSG Art. 4 Rn. 6). Die Durchführung der Beitrags- und Gebührenerhebung im Rahmen der Abwasserbeseitigung fällt unter den Auffangtatbestand von Art. 23 Abs. 1 Buchst. e DSGVO (vgl. Bäcker in Kühling/Buchner, DSGVO-BDSG, 3. Aufl. 2020, Art. 23 Rn. 22) als wichtiges Ziel des allgemeinen öffentlichen Interesses. Wirtschaftliche und finanzielle Interessen werden von Art. 23 Abs. 1 Buchst. e DSGVO explizit aufgeführt.

Die streitgegenständlichen Maßnahmen dürften jedoch nicht zur Durchführung der Beitrags- und Gebührenerhebung im Rahmen der Abwasserbeseitigung erforderlich sein. Bei dem Kriterium der Erforderlichkeit handelt es sich um einen autonomen Begriff des Unionsrechts (vgl. Albers/Veit in Wolff/Brink/v.Ungern-Sternberg, BeckOK Datenschutzrecht, 45. Edition, DSGVO Art. 6 Rn. 60). Die Voraussetzung der Erforderlichkeit stellt sicher, dass der Verantwortliche ein vorgegebenes Ziel nicht zum Anlass nimmt, überschießend personenbezogene Daten zu verarbeiten (vgl. Buchner/Petri in Kühling/Buchner, DSGVO-BDSG, 3. Aufl. 2020, DSGVO Art. 6 Rn. 118, 81). Gemäß Art. 6 Abs. 1 Unterabs. 1 Buchst. e DSGVO ist eine Datenverarbeitung erforderlich, wenn ohne die Verarbeitung die Erreichung des Zwecks nicht, nur unzulänglich, nicht mit angemessenem Aufwand oder nicht in angemessener Zeit erfolgen könnte. Nach Erwägungsgrund 39 zur DSGVO sollten personenbezogene Daten nur verarbeitet werden dürfen, wenn der Zweck der Verarbeitung nicht in zumutbarer Weise durch andere Mittel erreicht werden kann. Ob Aufwand und Zeit angemessen sind, beurteilt sich nach einer Güterabwägung, in die einerseits die Schutzwürdigkeit der personenbezogenen Daten und andererseits der Verarbeitungszweck einzustellen ist (vgl. Wilde/Ehmann/Niese/Knoblauch in Datenschutz in Bayern, Stand Juni 2018, DSGVO Art. 6 Rn. 35).

Die streitgegenständlichen Maßnahmen dürften nicht erforderlich in diesem Sinne sein. Entgegen dem Vortrag der Antragsgegnerin dürften andere Verfahrensmöglichkeiten bestehen, mit denen der Zweck der Datenverarbeitung auch in zumutbarer Weise zu erreichen ist. So hat auch die Antragsgegnerin neben dem Befliegungsverfahren weitere Verfahrensmöglichkeiten zur Ermittlung der Geschossfläche in Betracht gezogen: die Grundstücksbegehung und das Selbstauskunftsverfahren.

Das Selbstauskunftsverfahren dürfte den Zweck hinlänglich, mit angemessenem Aufwand und in der angemessenen Zeit erreichen können. Es ist davon auszugehen, dass bei der letzten Beitragserhebung in 1995 über das Selbstauskunftsverfahren oder ein anderes geeignetes Verfahren ohne Befliegung und Aufzeichnung die Geschossflächenermittlung erfolgreich umgesetzt wurde. Es ist nicht ersichtlich, dass die Berechnung der Geschossfläche deutlich komplizierter wäre als die Berechnung der Wohnfläche. Der Großteil der Grundstückseigentümer dürfte bereits in der Grundsteuererklärung die Berechnung der Grundstücksfläche und ggf. der Wohnfläche vorgenommen haben und mit dem Selbstauskunftsverfahren vertraut sein. Zwar handelt es sich bei der Geschossfläche um einen anderen Wert als den der Wohnfläche, es dürfte sich jedoch bei beiden Flächen um Werte handeln, die ggf. durch händisches Messen der Bebauung unter Berücksichtigung des normativen Rahmens zu ermitteln sind. Die im Internet frei verfügbaren Berechnungshilfen für die Wohnfläche einerseits und die Geschossfläche andererseits dürften mit Blick auf ihre Anforderungen und die Komplexität des Vorhabens vergleichbar sein. Es ist auch nicht ersichtlich, weshalb bei der Ermittlung der Geschossfläche im Selbstauskunftsverfahren mit erheblichen Unrichtigkeiten und eventuell auch falschen Angaben gerechnet werden müsste. Bei Ermittlung der für die Herstellungsbeiträge erforderlichen Geschossfläche dürfte wie bei Ermittlung der für die Grundsteuer erforderlichen Wohnfläche (und anderen Angaben) davon auszugehen sein, dass die Beitragspflichtigen wie auch die Steuerpflichtigen wahrheitsgemäße Angaben machen, wovon die Antragsgegnerin grundsätzlich ausgehen können dürfte. Es liegen keine konkreten Anhaltspunkte dafür vor, dass die Antragsgegnerin bei Ermittlung der Werte im Selbstauskunftsverfahren in erheblichem Umfang mit bewussten oder unbewussten Falschangaben rechnen müsste. Die Antragsgegnerin hat in diesem Zusammenhang lediglich Vermutungen geäußert, ohne diese durch weiteren Vortrag plausibel zu belegen. Ob bspw. bei der letzten Erhebung des Beitrags und der dabei erfolgenden Geschossflächenermittlung Falschauskünfte zu verzeichnen waren, wurde nicht vorgetragen.

Das Selbstauskunftsverfahren dürfte auch mit angemessenem Aufwand und in der angemessenen Zeit durchführbar sein. Dies indiziert bereits ein der Antragsgegnerin vorliegendes Angebot einer anderen Kommunalberatung zur Kalkulation der Beiträge und Gebühren vom 23. Mai 2023, die ebenfalls mit einem (anderen) Ingenieurdienstleister zur Datenerhebung kooperiert. Nach dem Angebot dieses Ingenieurdienstleisters vom 19. Mai 2023 wurde zur Ermittlung der beitrags- und gebührenrelevanten Flächen vorgeschlagen, entweder auf die kostenpflichtig zu erwerbenden Bilder des Landesvermessungsamts zurückzugreifen und eine (lediglich ergänzende) Selbstauskunft durchzuführen („Alternative 1“) oder auf Grundlage des Amtlichen Liegenschaftskatasters ein reines Selbstauskunftsverfahren („Alternative 2“) durchzuführen. Für das als „Alternative 1“ bezeichnete Verfahren wurde wegen des geringen Baumbestands in der Gemarkung der Antragsgegnerin entgegen der üblichen Vorgehensweise vorgeschlagen, die Luftbilder des Landesvermessungsamtes zu erwerben. Auf dieser Grundlage würden die beitrags- und gebührenrelevanten Flächen ermittelt. Dadurch könnte direkt nach Erwerb der Luftbilder und damit deutlich schneller mit der Datenauswertung begonnen werden. Auch die Vorgehensweise in einem reinen Selbstauskunftsverfahren könnte in angemessener Zeit durchgeführt werden. Um die Rückgabe der Selbstauskunftsformulare zu beschleunigen, stünden der Antragsgegnerin verschiedene Möglichkeiten offen. Sie könnte Fristen setzen, Mahnungen aussprechen, Verspätungszuschläge erheben oder bei Einreichung innerhalb einer genannten Frist eine Reduzierung des Guthabens in Aussicht stellen. Auch der finanzielle Aufwand dürfte sowohl bei dem Rückgriff auf die Bilder des Landesvermessungsamtes als auch bei einem reinen Selbstauskunftsverfahren für die Antragsgegnerin und die Beitragspflichtigen nicht höher, sondern vielmehr niedriger sein.

Gegen die Rechtmäßigkeit der Datenverarbeitung durch die streitgegenständlichen Maßnahmen spricht auch der Grundsatz der Speicherbegrenzung. Nach Art. 5 Abs. 1 Buchst. e DSGVO müssen personenbezogene Daten in einer Form gespeichert werden, die die Identifizierung der Betroffenen Personen nur solange ermöglicht, wie es für die Zwecke, für welche diese verarbeitet werden, erforderlich ist. Aus dem Grundsatz der Speicherbegrenzung folgt das Verbot der Datenerhebung und Datenspeicherung auf Vorrat (vgl. Wilde/Ehmann/Niese/Knoblauch Datenschutz in Bayern, Stand April 2023, DSGVO Art. 6 Rn. 36). Ist bei der Erhebung nicht absehbar, zu welchem Zweck sie irgendwann einmal benutzt werden könnten, handelt es sich um Datenerhebung und Speicherung auf Vorrat. Sofern die Antragsgegnerin mit der Datenerhebung weitere, zusätzliche Zwecke verfolgt wie die Ermittlung von Gebäudehöhen, Firsthöhen und Dachneigungen, rechtfertigen diese Zwecke die konkrete Datenerhebung und -speicherung nicht.

Den Volltext der Entscheidung finden Sie hier:

EuGH
Urteil vom 27.01.2023
c-205/21
Ministerstvo na vatreshnite raboti (Registrierung biometrischer und genetischer Daten durch die Polizei)

Der EuGH hat entschieden, dass die systematische Erhebung biometrischer und genetischer Daten aller beschuldigten Personen für Zwecke polizeilicher Registrierung unzulässig ist.

Die Pressemitteilung des EuGH:
Die systematische Erhebung biometrischer und genetischer Daten aller beschuldigten Personen für die Zwecke ihrer polizeilichen Registrierung verstößt gegen die Anforderung, einen erhöhten Schutz gegen die Verarbeitung sensibler personenbezogener Daten zu gewährleisten

V. S. wurde im Rahmen eines von den bulgarischen Behörden eingeleiteten Strafverfahrens wegen Steuerhinterziehung beschuldigt, an einer kriminellen Vereinigung beteiligt zu sein, die zu Bereicherungszwecken gebildet worden sei, um in abgestimmter Weise im bulgarischen Hoheitsgebiet Straftaten zu begehen. Auf diese Beschuldigung hin forderte die bulgarische Polizei V. S. auf, sich der Erhebung daktyloskopischer und fotografischer Daten für die Zwecke ihrer Registrierung sowie der Entnahme von Proben zum Zweck der Erstellung ihres DNAProfils zu unterziehen. V. S. verweigerte diese Erhebung.

Gestützt auf das nationale Recht, das die „polizeiliche Registrierung“ von Personen vorsieht, die einer vorsätzlichen, von Amts wegen verfolgten Straftat (im Folgenden: vorsätzliche Offizialstraftat) beschuldigt werden, beantragten die Polizeibehörden beim Spetsializiran nakazatelen sad (Spezialisiertes Strafgericht, Bulgarien), die zwangsweise Durchführung der Erhebung genetischer und biometrischer Daten von V. S. zu bewilligen. Dem Antrag der Polizeibehörden waren lediglich Kopien des Beschlusses über die Beschuldigung von V. S. und von deren Erklärung, dass sie die Erhebung ihrer Daten verweigere, beigefügt.

Das genannte Gericht hegte Zweifel an der Vereinbarkeit der für diese „polizeiliche Registrierung“ geltenden bulgarischen Rechtsvorschriften mit der Richtlinie 2016/6801 in Verbindung mit der Charta der Grundrechte der Europäischen Union (im Folgenden: Charta) und hat den Gerichtshof daher um Vorabentscheidung ersucht.

In seinem Urteil präzisiert der Gerichtshof zunächst die Voraussetzungen, unter denen die Verarbeitung biometrischer und genetischer Daten durch die Polizeibehörden als nach nationalem Recht im Sinne der Richtlinie 2016/680 zulässig angesehen werden kann. Sodann äußert er sich zur Umsetzung der in dieser Richtlinie aufgestellten Anforderung betreffend die Verarbeitung von Daten einer Kategorie von Personen, bezüglich deren der begründete Verdacht der Beteiligung an einer Straftat besteht, sowie zur Achtung des Rechts auf effektiven gerichtlichen Rechtsschutz und des Grundsatzes der Unschuldsvermutung in Fällen, in denen das nationale Recht dem zuständigen nationalen Gericht gestattet, die zwangsweise Erhebung dieser Daten, die vom Unionsgesetzgeber als „sensibel“ angesehen werden, zu bewilligen. Schließlich befasst er sich mit der Frage, ob die nationalen Rechtsvorschriften, die die systematische Erhebung dieser Daten vorsehen, mit den die Verarbeitung dieser Daten betreffenden Bestimmungen der Richtlinie 2016/680 unter Berücksichtigung der dort verankerten Grundsätze vereinbar sind.

Würdigung durch den Gerichtshof
Der Gerichtshof stellt zunächst fest, dass die Richtlinie 2016/680 im Licht der Charta2 dahin auszulegen ist, dass die Verarbeitung biometrischer und genetischer Daten durch die Polizeibehörden für ihre Untersuchungstätigkeiten zu Zwecken der Kriminalitätsbekämpfung und der Aufrechterhaltung der öffentlichen Ordnung nach nationalem Recht zulässig ist, wenn Letzteres eine hinreichend klare und präzise Rechtsgrundlage für die Zulässigkeit dieser Verarbeitung enthält. Der Umstand, dass der nationale Gesetzgebungsakt, der eine solche Rechtsgrundlage enthält, im Übrigen auf die Datenschutz- Grundverordnung und nicht auf die Richtlinie 2016/680 Bezug nimmt, ist für sich genommen nicht geeignet, diese Zulässigkeit in Frage zu stellen, sofern die Auslegung aller anwendbaren Bestimmungen des nationalen Rechts hinreichend klar, präzise und unmissverständlich ergibt, dass die fragliche Verarbeitung biometrischer und genetischer Daten in den Anwendungsbereich dieser Richtlinie und nicht in den der DSGVO fällt.

In diesem Zusammenhang stellt der Gerichtshof in Anbetracht dessen, dass sich die einschlägigen nationalen Rechtsvorschriften auf die Bestimmungen der DSGVO zur Regelung der Verarbeitung sensibler Daten beziehen und dabei den Inhalt der Bestimmungen der Richtlinie 2016/680 wiedergeben, die die Verarbeitung eben dieser Daten betreffen, fest, dass diese Bestimmungen nicht gleichwertig sind. Während nämlich eine Verarbeitung sensibler Daten durch die zuständigen Behörden u. a. für die unter die Richtlinie 2016/680 fallenden Zwecke der Verhütung und Aufdeckung von Straftaten nur erlaubt sein kann, wenn sie unbedingt erforderlich ist, und mit geeigneten Garantien einhergehen und im Unionsrecht oder im nationalen Recht vorgesehen sein muss, sieht die DSGVO ein grundsätzliches Verbot der Verarbeitung solcher Daten, versehen mit einer Liste von Ausnahmen, vor. Der nationale Gesetzgeber kann zwar im Rahmen ein und desselben legislativen Instruments die
Verarbeitung personenbezogener Daten zu Zwecken, die unter die Richtlinie 2016/680 fallen, und zu anderen Zwecken, die unter die DSGVO fallen, vorsehen, jedoch ist er verpflichtet, sich zu vergewissern, dass keine Unklarheiten hinsichtlich der Anwendbarkeit des einen oder des anderen Unionsrechtsakts auf die Erhebung sensibler Daten bestehen.

Des Weiteren weist der Gerichtshof in Bezug auf eine etwaige nicht ordnungsgemäße Umsetzung der Richtlinie 2016/680, die das vorlegende Gericht vorgebracht hat, darauf hin, dass diese Richtlinie nicht verlangt, dass die nationalen Vorschriften, die die in ihren Anwendungsbereich fallende Verarbeitung von Daten erlauben, eine Bezugnahme auf diese Richtlinie enthalten müssten. Er stellt klar, dass der nationale Gesetzgeber, wenn er die Verarbeitung biometrischer und genetischer Daten durch die zuständigen Behörden vorsieht, die entweder in den Anwendungsbereich dieser Richtlinie oder in den der DSGVO fallen können, aus Gründen der Klarheit und Genauigkeit zum einen ausdrücklich auf die Vorschriften des nationalen Rechts, die die Umsetzung dieser Richtlinie gewährleisten, und zum anderen auf die DSGVO Bezug nehmen kann, ohne verpflichtet zu sein, die genannte Richtlinie zu erwähnen. Bei einem offensichtlichen Widerspruch zwischen den nationalen Bestimmungen, die die
in Rede stehende Datenverarbeitung erlauben, und jenen, die sie auszuschließen scheinen, muss das nationale Gericht diese Bestimmungen jedoch so auslegen, dass die praktische Wirksamkeit der Richtlinie 2016/680 gewahrt bleibt.

Sodann entscheidet der Gerichtshof, dass die Richtlinie 2016/6805 und die Charta6 nationalen Rechtsvorschriften nicht entgegenstehen, die vorsehen, dass das zuständige Strafgericht im Fall der Weigerung einer Person, die einer vorsätzlichen Offizialstraftat beschuldigt wird, freiwillig an der Erhebung der sie betreffenden biometrischen und genetischen Daten für die Zwecke ihrer Registrierung mitzuwirken, verpflichtet ist, eine Maßnahme der zwangsweisen Durchführung dieser Erhebung zu bewilligen, ohne befugt zu sein, zu beurteilen, ob ein begründeter Verdacht besteht, dass die betreffende Person die Straftat, derer sie beschuldigt wird, begangen hat, sofern das nationale Recht später eine wirksame gerichtliche Kontrolle der Voraussetzungen dieser Beschuldigung, aus denen sich die Bewilligung dieser Erhebung ergibt, gewährleistet.

Insoweit weist der Gerichtshof darauf hin, dass die Mitgliedstaaten nach der Richtlinie 2016/6807 sicherstellen müssen, dass eine klare Unterscheidung zwischen den Daten der verschiedenen Kategorien betroffener Personen getroffen wird, damit auf diese nicht unterschiedslos das gleiche Maß an Eingriffen in ihr Grundrecht auf Schutz ihrer personenbezogenen Daten, unabhängig davon, welcher Kategorie sie zugehören, angewandt wird. Diese Verpflichtung gilt jedoch nicht absolut. Soweit diese Richtlinie die Kategorie von Personen betrifft, gegen die ein begründeter Verdacht besteht, dass sie eine Straftat begangen haben, stellt der Gerichtshof im Übrigen klar, dass das Vorliegen einer hinreichenden Zahl von Beweisen für die Schuld einer Person grundsätzlich zu einem begründeten Verdacht führt, dass diese Person die betreffende Straftat begangen hat. Somit steht die Richtlinie 2016/680 nationalen Rechtsvorschriften nicht entgegen, die die zwangsweise Erhebung von Daten von Personen für die Zwecke ihrer Registrierung vorsehen, bezüglich deren hinreichende Beweise dafür vorliegen, dass sie sich der Begehung einer vorsätzlichen Offizialstraftat schuldig gemacht haben, und die aus diesem Grund beschuldigt worden sind.

Was die Achtung des Rechts auf effektiven gerichtlichen Rechtsschutz, wenn das zuständige nationale Gericht im Hinblick auf die Bewilligung einer Maßnahme der zwangsweisen Durchführung der Erhebung sensibler Daten einer beschuldigter Person die Voraussetzungen für die Beschuldigung nicht in der Sache überprüfen kann, anbelangt, weist der Gerichtshof insbesondere darauf hin, dass sich der Umstand, dass die Würdigung der Beweise, auf die sich die Beschuldigung der betroffenen Person stützt, vorübergehend der gerichtlichen Kontrolle entzogen ist, während des strafrechtlichen Ermittlungsverfahrens als gerechtfertigt erweisen kann. Eine solche Kontrolle in diesem Verfahren könnte nämlich den Ablauf der strafrechtlichen Ermittlungen, in deren Verlauf diese Daten erhoben werden, behindern und die Fähigkeit der Ermittler, weitere Straftaten auf der Grundlage eines Abgleichs dieser Daten mit Daten, die bei anderen Ermittlungen gesammelt wurden, aufzuklären, übermäßig einschränken. Diese Einschränkung des effektiven gerichtlichen Rechtsschutzes ist daher nicht unverhältnismäßig, wenn das
nationale Recht später eine effektive gerichtliche Kontrolle gewährleistet.

Was die Achtung des Rechts auf die Unschuldsvermutung durch eine gerichtliche Entscheidung, mit der die Erhebung der in Rede stehenden Daten bewilligt wird, anbelangt, weist der Gerichtshof zum einen darauf hin, dass, da das nationale Recht im vorliegenden Fall vorsieht, dass diese Erhebung auf die Kategorie der Personen beschränkt ist, deren strafrechtliche Verantwortlichkeit noch nicht festgestellt worden ist, diese Erhebung nicht als geeignet angesehen werden kann, den Eindruck der Behörden widerzuspiegeln, dass diese Personen schuldig seien. Zum anderen stellt der Umstand, dass das Gericht, das über die Schuld der betroffenen Person zu entscheiden hat, in diesem Stadium des Strafverfahrens nicht beurteilen kann, ob die Beweise, auf denen die Beschuldigung dieser Person beruht, ausreichend sind, eine Garantie für die Achtung ihres Rechts auf die Unschuldsvermutung dar.

Schließlich gelangt der Gerichtshof zu dem Ergebnis, dass die Richtlinie 2016/6808 nationalen Rechtsvorschriften entgegensteht, die die systematische Erhebung biometrischer und genetischer Daten aller Personen, die einer vorsätzlichen Offizialstraftat beschuldigt werden, für die Zwecke ihrer Registrierung vorsehen, ohne die Verpflichtung der zuständigen Behörde vorzusehen, zum einen zu überprüfen und nachzuweisen, ob bzw. dass diese Erhebung für die Erreichung der konkret verfolgten Ziele unbedingt erforderlich ist, und zum anderen, ob bzw. dass diese Ziele nicht durch Maßnahmen erreicht werden können, die einen weniger schwerwiegenden Eingriff in die Rechte und Freiheiten der betroffenen Person darstellen.

Insoweit weist der Gerichtshof darauf hin, dass die Richtlinie 2016/680 u. a. einen erhöhten Schutz gegen eine Verarbeitung sensibler Daten, zu denen biometrische und genetische Daten gehören, gewährleisten soll, da eine solche erhebliche Risiken für die Grundrechte und Grundfreiheiten mit sich bringen kann. Die dort genannte Anforderung, dass diese Verarbeitung „nur dann erlaubt [ist], wenn sie unbedingt erforderlich ist“, ist dahin auszulegen, dass sie verschärfte Voraussetzungen für die Rechtmäßigkeit der Verarbeitung dieser sensiblen Daten festlegt.

Außerdem ist die Tragweite dieser Anforderung auch anhand der Grundsätze in Bezug auf die Datenverarbeitung zu bestimmen, wie etwa der Zweckbindung und der Datenminimierung. In diesem Zusammenhang verstoßen nationale Rechtsvorschriften, die die systematische Erhebung biometrischer und genetischer Daten aller Personen, die einer vorsätzlichen Offizialstraftat beschuldigt werden, für die Zwecke ihrer Registrierung vorsehen, grundsätzlich gegen diese Anforderung. Sie können nämlich unterschiedslos und allgemein zur Erhebung von Daten der meisten beschuldigten Personen führen, da der Begriff „vorsätzliche Offizialstraftat“ besonders allgemein gehalten ist und auf eine große Zahl von Straftaten unabhängig von ihrer Art, ihrer Schwere, den besonderen Umstände dieser Straftaten, ihres etwaigen Zusammenhangs mit
anderen laufenden Verfahren, den Vorstrafen der betroffenen Person oder von deren individuellem Profil angewendet werden kann.

Tenor der Entscheidung:

1. Art. 10 Buchst. a der Richtlinie (EU) 2016/680 des Europäischen Parlaments und des Rates vom 27. April 2016 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten durch die zuständigen Behörden zum Zwecke der Verhütung, Ermittlung, Aufdeckung oder Verfolgung von Straftaten oder der Strafvollstreckung sowie zum freien Datenverkehr und zur Aufhebung des Rahmenbeschlusses 2008/977/JI des Rates ist im Licht von Art. 52 der Charta der Grundrechte der Europäischen Union

dahin auszulegen, dass

die Verarbeitung biometrischer und genetischer Daten durch die Polizeibehörden für ihre Untersuchungstätigkeiten zu Zwecken der Kriminalitätsbekämpfung und der Aufrechterhaltung der öffentlichen Ordnung nach dem Recht eines Mitgliedstaats im Sinne von Art. 10 Buchst. a dieser Richtlinie zulässig ist, wenn das Recht dieses Mitgliedstaats eine hinreichend klare und präzise Rechtsgrundlage für die Zulässigkeit dieser Verarbeitung enthält. Der Umstand, dass der nationale Gesetzgebungsakt, der eine solche Rechtsgrundlage enthält, im Übrigen auf die Verordnung (EU) 2016/679 des Europäischen Parlaments und des Rates vom 27. April 2016 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten, zum freien Datenverkehr und zur Aufhebung der Richtlinie 95/46/EG (Datenschutz-Grundverordnung) und nicht auf die Richtlinie 2016/680 Bezug nimmt, ist für sich genommen nicht geeignet, diese Zulässigkeit in Frage zu stellen, sofern die Auslegung aller anwendbaren Bestimmungen des nationalen Rechts hinreichend klar, präzise und unmissverständlich ergibt, dass die fragliche Verarbeitung biometrischer und genetischer Daten in den Anwendungsbereich dieser Richtlinie und nicht in den dieser Verordnung fällt.

2. Art. 6 Buchst. a der Richtlinie 2016/680 sowie Art. 47 und 48 der Charta der Grundrechte der Europäischen Union

sind dahin auszulegen, dass

sie nationalen Rechtsvorschriften nicht entgegenstehen, die vorsehen, dass das zuständige Strafgericht im Fall der Weigerung einer Person, die einer vorsätzlichen Offizialstraftat beschuldigt wird, freiwillig an der Erhebung der sie betreffenden biometrischen und genetischen Daten für die Zwecke ihrer Registrierung mitzuwirken, verpflichtet ist, eine Maßnahme der zwangsweisen Durchführung dieser Erhebung zu bewilligen, ohne befugt zu sein, zu beurteilen, ob ein begründeter Verdacht besteht, dass die betreffende Person die Straftat, derer sie beschuldigt wird, begangen hat, sofern das nationale Recht später eine wirksame gerichtliche Kontrolle der Voraussetzungen dieser Beschuldigung, aus denen sich die Bewilligung zur Erhebung dieser Daten ergibt, gewährleistet.

3. Art. 10 der Richtlinie 2016/680 in Verbindung mit Art. 4 Abs. 1 Buchst. a bis c sowie mit Art. 8 Abs. 1 und 2 dieser Richtlinie

ist dahin auszulegen, dass

er nationalen Rechtsvorschriften entgegensteht, die die systematische Erhebung biometrischer und genetischer Daten aller Personen, die einer vorsätzlichen Offizialstraftat beschuldigt werden, für die Zwecke ihrer Registrierung vorsehen, ohne die Verpflichtung der zuständigen Behörde vorzusehen, zum einen zu überprüfen und nachzuweisen, ob bzw. dass diese Erhebung für die Erreichung der konkret verfolgten Ziele unbedingt erforderlich ist, und zum anderen, ob bzw. dass diese Ziele nicht durch Maßnahmen erreicht werden können, die einen weniger schwerwiegenden Eingriff in die Rechte und Freiheiten der betroffenen Person darstellen.

Den Volltext der Entscheidung finden Sie hier:

EuGH
Urteil vom 21.06.2022
C-817/19
Ligue des droits humains gegen Conseil des ministres

Der EuGH hat entschieden, dass die Regelungen der PNR-Richtlinie eng auszulegen sind und sich die Erhebung und Verarbeitung von Fluggastdaten auf das absolut Notwendige beschränken muss.

Die Pressemitteilung des EuGH:
Nach Ansicht des Gerichtshofs erfordert die Achtung der Grundrechte eine Beschränkung der in der PNR-Richtlinie vorgesehenen Befugnisse auf das absolut Notwendige

Besteht keine reale und aktuelle oder vorhersehbare terroristische Bedrohung eines Mitgliedstaats, steht das Unionsrecht nationalen Rechtsvorschriften entgegen, die eine Übermittlung und Verarbeitung von PNR-Daten bei EU-Flügen sowie bei Beförderungen mit anderen Mitteln innerhalb der Union vorsehen.

Die PNR-Richtlinie schreibt zur Bekämpfung von Terrorismus und schwerer Kriminalität die systematische Verarbeitung einer großen Zahl von PNR-Daten (Passager Name Record) der Fluggäste von Flügen zwischen der Union und Drittstaaten (Drittstaatsflüge) bei der Einreise in die bzw. der Ausreise aus der Union vor. Darüber hinaus können die Mitgliedstaaten diese Richtlinie nach ihrem Art. 2 auch auf Flüge innerhalb der Union (EU-Flüge) anwenden.

Die Ligue des droits humains (Liga für Menschenrechte, LDH) ist ein gemeinnütziger Verein, der im Juli 2017 beim belgischen Verfassungsgerichtshof eine Nichtigkeitsklage gegen das Gesetz vom 25. Dezember 2016 erhoben hat, mit dem die PNR-Richtlinie, die API-Richtlinie2 und die Richtlinie 2010/653 in belgisches Recht umgesetzt wurden. Die LDH macht geltend, dieses Gesetz verletze das im belgischen Recht und im Unionsrecht garantierte Recht auf Achtung des Privatlebens und auf Schutz personenbezogener Daten. Sie rügt den sehr großen Umfang der PNR-Daten sowie den allgemeinen Charakter ihrer Erhebung, Übermittlung und Verarbeitung. Außerdem schränke das Gesetz die Freizügigkeit ein, da mit ihm durch die Ausdehnung des „PNR-Systems“ auf EU-Flüge sowie auf Beförderungen mit anderen Mitteln innerhalb der Union indirekt wieder Grenzkontrollen eingeführt würden. Im Oktober 2019 hat der belgische Verfassungsgerichtshof dem Gerichtshof zehn Fragen zur Vorabentscheidung vorgelegt, die u. a. die Gültigkeit der PNR-Richtlinie sowie die Vereinbarkeit des Gesetzes vom 25. Dezember 2016 mit dem Unionsrecht betreffen.

In seinem heutigen Urteil stellt der Gerichtshof erstens fest, dass die Prüfung der vorgelegten Fragen nichts ergeben hat, was die Gültigkeit der PNR-Richtlinie berühren könnte, da seine Auslegung ihrer Bestimmungen im Licht der Grundrechte, die in den Art. 7, 8 und 21 sowie in Art. 52 Abs. 1 der Charta der Grundrechte der Europäischen Union (im Folgenden: Charta) verankert sind, die Vereinbarkeit dieser Richtlinie mit den genannten Artikeln gewährleistet.

Zunächst weist der Gerichtshof darauf hin, dass ein Rechtsakt der Union so weit wie möglich in einer seine Gültigkeit nicht in Frage stellenden Weise und im Einklang mit dem gesamten Primärrecht und insbesondere mit den Bestimmungen der Charta auszulegen ist. Dabei müssen die Mitgliedstaaten darauf achten, dass sie sich nicht auf eine Auslegung des Rechtsakts stützen, die mit den durch die Rechtsordnung der Union geschützten Grundrechten oder mit anderen in dieser Rechtsordnung anerkannten allgemeinen Grundsätzen kollidiert. Zur PNR-Richtlinie führt der Gerichtshof aus, dass eine ganze Reihe ihrer Erwägungsgründe und Bestimmungen eine solche Auslegung erfordern, und hebt die Bedeutung hervor, die der Unionsgesetzgeber – unter Bezugnahme auf ein hohes Datenschutzniveau – der uneingeschränkten Achtung der in der Charta verankerten Grundrechte beimisst.

Der Gerichtshof stellt fest, dass die PNR-Richtlinie mit fraglos schwerwiegenden Eingriffen in die durch die Art. 7 und 8 der Charta garantierten Rechte verbunden ist, insbesondere soweit sie auf die Schaffung eines Systems kontinuierlicher, nicht zielgerichteter und systematischer Überwachung abzielt, das die automatisierte Überprüfung personenbezogener Daten sämtlicher Personen einschließt, die Flugreisen unternehmen. Er weist darauf hin, dass die Möglichkeit für die Mitgliedstaaten, einen solchen Eingriff zu rechtfertigen, zu beurteilen ist, indem seine Schwere bestimmt und geprüft wird, ob die verfolgte dem Gemeinwohl dienende Zielsetzung dazu in angemessenem Verhältnis steht.

Der Gerichtshof kommt zu dem Schluss, dass die in der PNR-Richtlinie vorgesehene Übermittlung, Verarbeitung und Speicherung von PNR-Daten als auf das für die Bekämpfung terroristischer Straftaten und schwerer Kriminalität absolut Notwendige beschränkt angesehen werden kann, sofern die in der Richtlinie vorgesehenen Befugnisse eng ausgelegt werden. Hierzu enthält das heutige Urteil unter anderem folgende Ausführungen:

- Das durch die PNR-Richtlinie eingeführte System darf sich nur auf die in den Rubriken ihres Anhangs I aufgeführten, klar identifizierbaren und umschriebenen Informationen erstrecken, die in Zusammenhang mit dem durchgeführten Flug und dem betreffenden Fluggast stehen. Dies bedeutet bei einigen Rubriken dieses Anhangs, dass nur die dort ausdrücklich genannten Angaben erfasst werden.

- Die Anwendung des durch die PNR-Richtlinie geschaffenen Systems muss auf terroristische Straftaten und auf schwere Kriminalität mit einem – zumindest mittelbaren – objektiven Zusammenhang mit der Beförderung von Fluggästen beschränkt werden. Sie darf sich nicht auf strafbare Handlungen erstrecken, die zwar das in der Richtlinie vorgesehene Kriterium in Bezug auf den Schweregrad erfüllen und in ihrem Anhang II aufgeführt sind, angesichts der Besonderheiten des nationalen Strafrechtssystems aber zur gewöhnlichen Kriminalität gehören.

- Die etwaige Ausdehnung der Anwendung der PNR-Richtlinie auf alle oder einen Teil der EU-Flüge aufgrund der den Mitgliedstaaten in der Richtlinie eingeräumten Befugnis muss sich auf das absolut Notwendige beschränken. Sie muss Gegenstand einer wirksamen Kontrolle durch ein Gericht oder eine unabhängige Verwaltungsstelle sein können, deren Entscheidung bindend ist. Hierzu führt der Gerichtshof aus:

- Nur in einer Situation, in der es nach der Einschätzung des betreffenden Mitgliedstaats hinreichend konkrete Umstände für die Annahme gibt, dass er mit einer als real und aktuell oder vorhersehbar einzustufenden terroristischen Bedrohung konfrontiert ist, werden die Grenzen des absolut Notwendigen nicht überschritten, wenn die PNR-Richtlinie für einen auf das absolut Notwendige begrenzten, aber verlängerbaren Zeitraum auf alle EU-Flüge aus oder nach diesem Mitgliedstaat angewandt wird.

- Ohne eine solche terroristische Bedrohung darf die Anwendung der Richtlinie nicht auf alle EU-Flüge ausgedehnt werden, sondern muss sich auf EU-Flüge beschränken, die etwa bestimmte Flugverbindungen, bestimmte Reisemuster oder bestimmte Flughäfen betreffen, für die es nach der Einschätzung des betreffenden Mitgliedstaats Anhaltspunkte gibt, die eine Anwendung der Richtlinie rechtfertigen können. Die absolute Notwendigkeit ihrer Anwendung auf die ausgewählten EU-Flüge muss nach Maßgabe der Entwicklung der Bedingungen, die ihre Auswahl gerechtfertigt haben, regelmäßig überprüft werden.

- Für die Zwecke der Vorabüberprüfung der PNR-Daten, die dazu dient, diejenigen Personen zu ermitteln, die vor ihrer Ankunft oder ihrem Abflug genauer überprüft werden müssen, und deren erster Schritt in automatisierten Verarbeitungen besteht, darf die PNR-Zentralstelle diese Daten zum einen nur mit Datenbanken betreffend Personen oder Gegenstände, nach denen gefahndet wird oder die Gegenstand einer Ausschreibung sind, abgleichen. Diese Datenbanken müssen frei von Diskriminierung sein und von den zuständigen Behörden im Zusammenhang mit der Bekämpfung terroristischer Straftaten und schwerer Kriminalität mit einem – zumindest mittelbaren – objektiven Zusammenhang mit der Beförderung von Fluggästen betrieben werden. Zum anderen darf die PNR-Zentralstelle bei der Vorabüberprüfung anhand im Voraus festgelegter Kriterien keine Technologien der künstlichen Intelligenz im Rahmen selbstlernender Systeme („machine learning“) heranziehen, die – ohne menschliche Einwirkung und Kontrolle – den Bewertungsprozess und insbesondere die Bewertungskriterien, auf denen das Ergebnis der Anwendung dieses Prozesses beruht, sowie die Gewichtung der Kriterien ändern können. Die genannten Kriterien sind so festzulegen, dass sie speziell auf Personen abzielen, bei denen der begründete Verdacht einer Beteiligung an
terroristischen Straftaten oder schwerer Kriminalität im Sinne dieser Richtlinie bestehen könnte, und dass sowohl „belastende“ als auch „entlastende“ Gesichtspunkte berücksichtigt werden; sie dürfen nicht zu unmittelbaren oder mittelbaren Diskriminierungen führen.

- Angesichts der Fehlerquote, die solchen automatisierten Verarbeitungen der PNR-Daten innewohnt, und der erheblichen Zahl „falsch positiver“ Ergebnisse, die in den Jahren 2018 und 2019 bei ihrer Anwendung auftraten, hängt die Eignung des durch die PNR-Richtlinie geschaffenen Systems zur Erreichung der verfolgten Ziele im Wesentlichen vom ordnungsgemäßen Ablauf der Überprüfung der im Rahmen dieser Verarbeitungen erzielten Treffer ab, die von der PNR-Zentralstelle in einem zweiten Schritt mit nicht-automatisierten Mitteln vorgenommen wird. Insoweit müssen die Mitgliedstaaten klare und präzise Regeln vorsehen, die Leitlinien und einen Rahmen für die von den Bediensteten der PNR-Zentralstelle, die mit der individuellen Überprüfung betraut sind, vorzunehmende Analyse vorgeben, um für die uneingeschränkte Achtung der in den Art. 7, 8 und 21 der Charta verankerten Grundrechte zu sorgen und insbesondere eine dem Diskriminierungsverbot Rechnung tragende kohärente Verwaltungspraxis innerhalb der PNR-Zentralstelle zu gewährleisten. Insbesondere müssen sie sich vergewissern, dass die PNR-Zentralstelle Kriterien für die objektive Überprüfung aufstellt, die es ihren Bediensteten ermöglichen, zum einen zu prüfen, ob und inwieweit ein Treffer (hit) tatsächlich eine Person betrifft, die möglicherweise an terroristischen Straftaten oder an schwerer Kriminalität beteiligt ist, und zum anderen, ob die automatisierten Verarbeitungen keinen diskriminierenden Charakter haben. Dabei müssen sich die zuständigen Behörden vergewissern, dass der Betroffene die Funktionsweise der im Voraus festgelegten Prüfkriterien und der Programme zu ihrer Anwendung verstehen und deshalb in Kenntnis aller Umstände entscheiden kann, ob er von seinem Recht auf Einlegung von Rechtsbehelfen Gebrauch macht. Desgleichen müssen im Rahmen eines solchen Rechtsbehelfs das mit der Rechtmäßigkeitsprüfung der Entscheidung der zuständigen Behörden betraute Gericht sowie, außer in Fällen einer Bedrohung der Sicherheit des Staates, der Betroffene selbst sowohl von allen Gründen als auch von den Beweisen, auf deren Grundlage diese Entscheidung getroffen wurde, Kenntnis erlangen können,
einschließlich der im Voraus festgelegten Prüfkriterien und der Funktionsweise der Programme, mit denen diese Kriterien angewandt werden.

- Nachträglich, d. h. nach der Ankunft oder dem Abflug der betreffenden Person, darf eine Zurverfügungstellung und Überprüfung der PNR-Daten nur aufgrund neuer Umstände und objektiver Anhaltspunkte erfolgen, die entweder geeignet sind, den begründeten Verdacht einer Beteiligung dieser Person an schwerer Kriminalität, die – zumindest mittelbar – einen objektiven Zusammenhang mit der Beförderung von Fluggästen aufweist, zu wecken, oder den Schluss zulassen, dass diese Daten in einem konkreten Fall einen wirksamen Beitrag zur Bekämpfung terroristischer Straftaten, die einen solchen Zusammenhang aufweisen, leisten könnten. Die Zurverfügungstellung der PNR-Daten zum Zweck einer solchen nachträglichen Überprüfung muss grundsätzlich – außer in hinreichend begründeten Eilfällen – einer vorherigen Kontrolle durch ein Gericht oder eine unabhängige Verwaltungsstelle im Anschluss an einen mit Gründen versehenen Antrag der zuständigen Behörden unterworfen werden, unabhängig davon, ob der Antrag vor oder nach Ablauf der Frist von sechs Monaten ab der Übermittlung dieser Daten an die PNRZentralstelle gestellt wurde.

Zweitens stellt der Gerichtshof fest, dass die PNR-Richtlinie im Licht der Charta nationalen Rechtsvorschriften entgegensteht, nach denen die Verarbeitung der PNR-Daten, die im Einklang mit dieser Richtlinie erhoben wurden, zu anderen als den in Art. 1 Abs. 2 der Richtlinie ausdrücklich genannten Zwecken zulässig ist.

Drittens entscheidet der Gerichtshof in Bezug auf die Speicherfrist der PNR-Daten, dass Art. 12 der PNR-Richtlinie im Licht der Art. 7 und 8 sowie von Art. 52 Abs. 1 der Charta nationalen Rechtsvorschriften entgegensteht, die eine allgemeine, unterschiedslos für alle Fluggäste geltende Speicherfrist dieser Daten von fünf Jahren vorsehen.

Dazu führt der Gerichtshof aus, dass sich nach Ablauf der ursprünglichen sechsmonatigen Speicherfrist die Speicherung von PNR-Daten nicht auf das absolut Notwendige beschränkt, wenn sie sich auf Fluggäste bezieht, bei denen weder die Vorabüberprüfung noch etwaige Überprüfungen während der ursprünglichen sechsmonatigen Speicherfrist oder irgendein anderer Umstand objektive Anhaltspunkte – wie die Tatsache, dass die PNR-Daten der betreffenden Fluggäste im Rahmen der Vorabüberprüfung zu einem überprüften Treffer führten – geliefert haben, die eine Gefahr im Bereich terroristischer Straftaten oder schwerer Kriminalität mit einem – zumindest mittelbaren – objektiven Zusammenhang mit ihrer Flugreise belegen können. Während des ursprünglichen Zeitraums von sechs Monaten überschreitet die Speicherung der PNR-Daten aller Fluggäste, für die das durch die PNR-Richtlinie geschaffene System gilt, dagegen grundsätzlich nicht die Grenzen des absolut Notwendigen.
Viertens entscheidet der Gerichtshof, dass das Unionsrecht nationalen Rechtsvorschriften entgegensteht, die, ohne dass der betreffende Mitgliedstaat mit einer realen und aktuellen oder vorhersehbaren terroristischen Bedrohung konfrontiert ist, ein System vorsehen, wonach die PNR-Daten aller EU-Flüge und aller Beförderungen mit anderen Mitteln innerhalb der Union aus diesem, in diesen oder durch diesen Mitgliedstaat zur Bekämpfung terroristischer Straftaten und schwerer Kriminalität von den
Beförderungsunternehmen und den Reiseunternehmen übermittelt sowie von den zuständigen Behörden verarbeitet werden. In einer solchen Situation muss die Anwendung des durch die PNR-Richtlinie geschaffenen Systems auf die Übermittlung und Verarbeitung der PNR-Daten von Flügen und/oder Beförderungen beschränkt werden, die insbesondere bestimmte Verbindungen, bestimmte Reisemuster oder bestimmte Flughäfen, Bahnhöfe oder Seehäfen betreffen, für die es Anhaltspunkte gibt, die seine Anwendung rechtfertigen können. Überdies steht das Unionsrecht nationalen Rechtsvorschriften entgegen, die zum Zweck der Verbesserung der Grenzkontrollen und der Bekämpfung illegaler Einwanderung ein solches System der Übermittlung und Verarbeitung der genannten Daten vorsehen.

Den Volltext der Entscheidung finden Sie hier:

Die Landesbeauftragte für Datenschutz und Informationsfreiheit (LfDI) Bremen hat ein Bußgeld von rund 1,9 Millionen Euro nach Art. 83 DSGVO gegen eine Wohnungsbaugesellschaft wegen diskriminierender Datenerhebung und Datenverarbeitung verhängt.

Die Pressemitteilung der LfDI Bremen:
LfDI verhängt gegen die BREBAU GmbH Geldbuße nach DSGVO

Am heutigen Tage hat die Landesbeauftragte für Datenschutz und Informationsfreiheit (LfDI) als datenschutzrechtliche Aufsichtsbehörde die BREBAU GmbH mit einer Geldbuße nach Artikel 83 Datenschutzgrundverordnung (DSGVO) belegt.

Die BREBAU GmbH hat mehr als 9.500 Daten über Mietinteressent:innen verarbeitet, ohne dass es hierfür eine Rechtsgrundlage gab. Beispielsweise Informationen über Haarfrisuren, den Körpergeruch und das persönliche Auftreten sind für den Abschluss von Mietverhältnissen nicht erforderlich.

Bei mehr als der Hälfte der Fälle handelte es sich darüber hinaus um Daten, die nach der DSGVO besonders geschützt sind. Rechtswidrig verarbeitet wurden auch Informationen über die Hautfarbe, die ethnische Herkunft, die Religionszugehörigkeit, die sexuelle Orientierung und über den Gesundheitszustand. Auch hat die BREBAU GmbH Anträge Betroffener auf Transparenz über die Verarbeitung ihrer Daten bewusst konterkariert.

Die nach Artikel 83 DSGVO verhängte Geldbuße beläuft sich auf rund 1,9 Millionen Euro. Der außerordentlichen Tiefe der Verletzung des Grundrechts auf Datenschutz wäre eine deutlich höhere Geldbuße angemessen gewesen. Weil die BREBAU GmbH im datenschutzrechtlichen Aufsichtsverfahren umfassend kooperierte, sich um Schadensminderung, eigene Aufklärung des Sachverhalts und darum bemühte, dass entsprechende Verstöße sich nicht wiederholen, konnte die Höhe der Geldbuße erheblich reduziert werden.

Anlässlich dieses Aufsichtsverfahrens äußerte die Landesbeauftragte für Datenschutz und Informationsfreiheit, Dr. Imke Sommer: "Im Zusammenhang mit der öffentlichen Diskussion über den Fall, der diesem datenschutzrechtlichen Aufsichtsverfahren zugrunde liegt, bin ich häufig gefragt worden, ob die DSGVO Diskriminierungen verbietet. Die Antwort auf diese Frage ist kompliziert, weil die DSGVO in spezifischer Weise auf Sachverhalte schaut. Nach der DSGVO ist es nur in wenigen Ausnahmefällen überhaupt erlaubt, Daten über Hautfarbe, ethnische Herkunft, Religionszugehörigkeit, sexuelle Orientierung und über den Gesundheitszustand zu verarbeiten. Damit sorgt die DSGVO dafür, dass diese besonders geschützten Daten in den allermeisten Fällen gar nicht erst erhoben und gespeichert werden dürfen. Nicht erhobene Daten können nicht missbraucht werden. In diesem Sinne schützt die DSGVO auch vor Diskriminierungen.

Der Landesbeauftragte für den Datenschutz und die Informationsfreiheit Rheinland-Pfalz hat ein datenschutzrechtliches Aufsichtsverfahren wegen Nutzung von Kontaktdaten aus der LUCA-App durch die Staatsanwaltschaft Mainz eingeleitet.

Die Pressemitteilung des Landesdatenschutzbeauftragten RLP

Nach Erhebung und Nutzung von Kontaktdaten aus der LUCA-App durch die Staatsanwaltschaft – Datenschutzbeauftragter leitet aufsichtsrechtliche Verfahren ein

Nachdem der Landesbeauftragte für den Datenschutz und die Informationsfreiheit Rheinland-Pfalz davon Kenntnis erlangte, dass die Staatsanwaltschaft Mainz zusammen mit der lokalen Polizeibehörde und dem örtlichen Gesundheitsamt über die LUCA-App erfasste Kontaktdaten von Besuchern einer Mainzer Gastwirtschaft zu Ermittlungszwecken erhoben und genutzt hat, hat er umgehend aufsichtsrechtliche Verfahren eingeleitet. Dabei sollen insbesondere die Umstände geklärt werden, die ungeachtet der eindeutigen Rechtslage zu der datenschutzrechtlich unzulässigen Abfrage und Nutzung der ausschließlich zu Infektionsschutzzwecken erfassten Kontaktdaten geführt haben. Entsprechende Informationsersuchen wurden bereits versendet.

Hintergrund ist ein Vorfall aus dem November 2021. Nachdem vor einer Mainzer Gastwirtschaft ein 39-jähriger Mann mit schwersten Kopfverletzungen aufgefunden wurde, ersuchten die zuständigen Strafermittlungsbehörden das Gesundheitsamt um Bereitstellung der über die LUCA-App von dem Betreiber der Gastwirtschaft zu dem vermuteten Tatzeitpunkt erfassten Kontaktdaten. Das Gesundheitsamt kam der Aufforderung nach und übermittelte die Daten von 21 Personen, die der Behörde auf Anfrage von dem App-Betreiber zur Verfügung gestellt wurden. Die Betroffenen wurden dann von der Polizei kontaktiert und zu dem Vorfall befragt. Mittlerweile haben die beteiligten Behörden die Unzulässigkeit der erfolgten Datenverarbeitung eingeräumt.

„Für mich ist es zunächst einmal besorgniserregend, dass sowohl Staatsanwaltschaft als auch Gesundheitsamt die bereits vor einiger Zeit geänderte Rechtslage im Infektionsschutzgesetz und damit zusammenhängende datenschutzrechtliche Bestimmungen offensichtlich nicht kannten oder sich darüber hinweg gesetzt haben“, kommentiert der Landesbeauftragte Prof. Dr. Kugelmann den Vorfall. Aus § 28a Abs. 4 Satz 3 des Infektionsschutzgesetzes geht eindeutig hervor, dass zum Zwecke des Infektionsschutzes erfasste Kontaktdaten lediglich zur Kontaktnachverfolgung verarbeitet werden dürfen und eine anderen Zwecken dienende Datenverwendung unzulässig ist. „Das Vorgehen erschüttert das Vertrauen der Bürger in die Rechtmäßigkeit staatlichen Handelns und ist gerade in Zeiten einer die Gesellschaft als Ganzes herausfordernden Pandemie das völlig falsche Signal.“ Kugelmann kündigt an, nach Aufklärung des Sachverhaltes die Ausübung sämtlicher ihm datenschutzrechtlich zur Verfügung stehender Befugnisse zu prüfen.

EuGH
Urteil vom 17.06.2021
C-597/19
Mircom International Content Management & Consulting (M.I.C.M.) Limited gegen Telenet BVBA,
Beteiligte: Proximus NV, Scarlet Belgium NV

Der EuGH hat entschieden, dass die systematische Speicherung und Weiterleitung von IP-Daten, Namen und Anschriften von Filesharing-Nutzern an Rechteinhaber zur Verfolgung von Urheberrechtsverletzungen zulässig ist.

Die Pressemitteilung des EuGH:

Die systematische Speicherung von IP-Adressen von Nutzern und die Übermittlung ihrer Namen und Anschriften an den Inhaber geistiger Rechte oder an einen Dritten, um die Erhebung einer Schadensersatzklage zu ermöglichen, ist unter bestimmten Voraussetzungen zulässig

Der Auskunftsantrag eines Inhabers von Rechten des geistigen Eigentums darf nicht missbräuchlich sein und er muss gerechtfertigt und verhältnismäßig sein Das Unternehmen Mircom International Content Management & Consulting (M.I.C.M.) Limited (im Folgenden: Mircom) stellte bei der Ondernemingsrechtbank Antwerpen (Unternehmensgericht Antwerpen, Belgien) einen Auskunftsantrag gegen die Telenet BVBA, einen Internetzugangsanbieter. Dieser Antrag ist auf eine Entscheidung gerichtet, mit der Telenet verpflichtet wird, die Daten zur Identifizierung ihrer Kunden auf der Grundlage der von einem spezialisierten Unternehmen im Auftrag von Mircom erhobenen IP-Adressen vorzulegen. Die Internetanschlüsse von Kunden von Telenet wurden dazu genutzt, in einem Peer-to-Peer-Netz über das BitTorrent-Protokoll Filme aus dem Repertoire von Mircom zu teilen. Telenet tritt dem Antrag von Mircom entgegen.

Vor diesem Hintergrund hat das vorlegende Gericht den Gerichtshof als Erstes gefragt, ob das Teilen von Segmenten einer Mediendatei, die ein geschütztes Werk enthält, in einem Peer-toPeer-Netz eine öffentliche Wiedergabe nach dem Unionsrecht darstellt. Als Zweites wollte es wissen, ob einem Inhaber von Rechten des geistigen Eigentums wie Mircom, der sie nicht nutzt, sondern von mutmaßlichen Verletzern Schadensersatz verlangt, die im Unionsrecht vorgesehenen Maßnahmen, Verfahren und Rechtsbehelfe offenstehen, um die Durchsetzung dieser Rechte zu gewährleisten, z. B. durch die Einholung von Informationen. Als Drittes hat das vorlegende Gericht den Gerichtshof um Klärung ersucht, ob die Art und Weise, in der die IP-Adressen der Kunden durch Mircom gesammelt werden, und die Übermittlung der von Mircom bei Telenet angefragten Daten zulässig sind.

In seinem Urteil entscheidet der Gerichtshof erstens, dass ein Hochladen von Segmenten einer Mediendatei in einem Peer-to-Peer-Netz wie das in Rede stehende eine öffentliche Zugänglichmachung im Sinne des Unionsrechts darstellt. Zweitens kann ein Inhaber von Rechten des geistigen Eigentums wie Mircom das System zum Schutz dieser Rechte in Anspruch nehmen,
aber sein Auskunftsantrag muss insbesondere nicht missbräuchlich, gerechtfertigt und verhältnismäßig sein. Drittens sind die systematische Speicherung von IP-Adressen von Nutzern eines Peer-to-peer-Netzes und die Übermittlung ihrer Namen und Anschriften an den Rechtsinhaber oder an einen Dritten, um die Erhebung einer Schadensersatzklage zu ermöglichen, unter bestimmten Voraussetzungen zulässig.

Würdigung durch den Gerichtshof
Der Gerichtshof, der sich bereits zum Begriff „öffentliche Wiedergabe“ im Kontext des Urheberrechtsschutzes geäußert hat, stellt erstens klar, dass es sich um eine „öffentliche Zugänglichmachung eines Werks“ handelt, wenn die zuvor heruntergeladenen Segmente einer Mediendatei, die ein geschütztes Werk enthält, unter Nutzung eines Peer-to-Peer-to-Peer-Netzes hochgeladen werden, auch wenn diese Segmente als solche nicht nutzbar sind und das Hochladen automatisch erfolgt, sofern der Nutzer sein Einverständnis mit der Filesharing-Software BitTorrent-Client erklärt hat, indem er deren Anwendung zugestimmt hat, nachdem er ordnungsgemäß über ihre Eigenschaften informiert wurde.

Jeder Nutzer des Peer-to-Peer-Netzes kann die Originaldatei aus den auf den Computern der anderen Nutzer verfügbaren Segmenten leicht wieder zusammensetzen. Durch das Herunterladen der Segmente einer Datei macht er sie zugleich für das Hochladen durch andere Nutzer zugänglich. Er muss auch keine Mindestmenge an Segmenten herunterladen. Jede Handlung, mit der er in voller Kenntnis der Folgen seines Verhaltens Zugang zu geschützten Werken verschafft, kann eine Zugänglichmachung darstellen. Im vorliegenden Fall handelt es sich um eine solche Handlung, weil sie auf eine unbestimmte Zahl potenzieller Adressaten abzielt, eine recht große Zahl von Personen betrifft und gegenüber einem neuen Publikum erfolgt. Mit dieser Auslegung soll der angemessene Ausgleich zwischen den Interessen und Grundrechten der Inhaber von Rechten
des geistigen Eigentums einerseits und den Interessen und Grundrechten der Nutzer von Schutzgegenständen andererseits gesichert werden.

Der Gerichtshof stellt zweitens fest, dass dem Inhaber von Rechten des geistigen Eigentums wie Mircom, der diese Rechte im Wege einer Forderungsabtretung erworben hat und sie nicht nutzt, sondern von mutmaßlichen Verletzern Schadensersatz verlangen möchte, grundsätzlich die im Unionsrecht vorgesehenen Maßnahmen, Verfahren und Rechtsbehelfe zustehen können, es sei denn, sein Antrag ist missbräuchlich. Die etwaige Feststellung eines solchen Missbrauchs unterliegt der Würdigung durch das vorlegende Gericht, das zu diesem Zweck z. B. prüfen könnte, ob tatsächlich Klagen erhoben worden sind, wenn eine gütliche Lösung abgelehnt wurde. Insbesondere kann ein Auskunftsantrag wie der von Mircom nicht deshalb als unzulässig angesehen werden, weil er in einem vorgerichtlichen Verfahren gestellt wurde. Der Antrag ist jedoch abzulehnen, wenn er unbegründet ist oder nicht die Verhältnismäßigkeit wahrt, was das nationale Gericht zu prüfen hat. Mit dieser Auslegung möchte der Gerichtshof ein hohes Schutzniveau für das geistige Eigentum im Binnenmarkt gewährleisten.

Der Gerichtshof entscheidet drittens, dass das Unionsrecht grundsätzlich weder den Inhaber von Rechten des geistigen Eigentums oder einen in dessen Auftrag handelnden Dritten daran hindert, IP-Adressen von Nutzern von Peer-to-Peer-Netzen, deren Internetanschlüsse für rechtsverletzende Tätigkeiten genutzt worden sein sollen, systematisch zu speichern (vorgelagerte Datenverarbeitung), noch dem entgegensteht, dass die Namen und Anschriften der Nutzer an den Rechtsinhaber oder an einen Dritten im Hinblick auf eine Schadensersatzklage übermittelt werden (nachgelagerte Datenverarbeitung). Die dahin gehenden Maßnahmen und Anträge müssen jedoch gerechtfertigt, verhältnismäßig, nicht missbräuchlich und in einer nationalen Rechtsvorschrift vorgesehen sein, die die Rechte und Pflichten aus dem Unionsrecht beschränkt. Der Gerichtshof stellt klar, dass das Unionsrecht keine Verpflichtung für eine Gesellschaft wie Telenet begründet, personenbezogene Daten an Privatpersonen zu übermitteln, damit diese vor den Zivilgerichten Urheberrechtsverstöße verfolgen können. Das Unionsrecht erlaubt es den Mitgliedstaaten jedoch, eine solche Verpflichtung vorzusehen.

Den Volltext der Entscheidung finden Sie hier:

Tenor der Entscheidung:
1. Art. 3 Abs. 1 und 2 der Richtlinie 2001/29/EG des Europäischen Parlaments und des Rates vom 22. Mai 2001 zur Harmonisierung bestimmter Aspekte des Urheberrechts und der verwandten Schutzrechte in der Informationsgesellschaft ist dahin auszulegen, dass es sich um eine öffentliche Zugänglichmachung im Sinne dieser Bestimmung handelt, wenn die von einem Nutzer eines Peer-to-Peer-Netzes zuvor heruntergeladenen Segmente einer Mediendatei, die ein geschütztes Werk enthält, von dem Endgerät dieses Nutzers aus auf die Endgeräte anderer Nutzer dieses Netzes hochgeladen werden, obwohl diese Segmente als solche erst nach dem Herunterladen eines bestimmten Prozentsatzes aller Segmente nutzbar sind. Unerheblich ist, dass dieses Hochladen aufgrund der Konfiguration der Filesharing-Software BitTorrent-Client durch die Software automatisch erfolgt, wenn der Nutzer, von dessen Endgerät aus das Hochladen erfolgt, sein Einverständnis mit dieser Software erklärt hat, indem er deren Anwendung zugestimmt hat, nachdem er ordnungsgemäß über ihre Eigenschaften informiert wurde.

2. Die Richtlinie 2004/48/EG des Europäischen Parlaments und des Rates vom 29. April 2004 zur Durchsetzung der Rechte des geistigen Eigentums ist dahin auszulegen, dass eine Person, die vertragliche Inhaberin bestimmter Rechte des geistigen Eigentums ist, diese Rechte aber nicht selbst nutzt, sondern lediglich Schadensersatzansprüche gegen mutmaßliche Verletzer geltend macht, die in Kapitel II dieser Richtlinie vorgesehenen Maßnahmen, Verfahren und Rechtsbehelfe grundsätzlich in Anspruch nehmen kann, es sei denn, es wird aufgrund der allgemeinen Verpflichtung aus Art. 3 Abs. 2 der Richtlinie und auf der Grundlage einer umfassenden und eingehenden Prüfung festgestellt, dass ihr Antrag missbräuchlich ist. Ein auf Art. 8 der Richtlinie gestützter Auskunftsantrag ist insbesondere auch dann abzulehnen, wenn er unbegründet ist oder nicht die Verhältnismäßigkeit wahrt, was das nationale Gericht zu prüfen hat.

3. Art. 6 Abs. 1 Unterabs. 1 Buchst. f der Verordnung (EU) 2016/679 des Europäischen Parlaments und des Rates vom 27. April 2016 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten, zum freien Datenverkehr und zur Aufhebung der Richtlinie 95/46/EG (Datenschutz-Grundverordnung) in Verbindung mit Art. 15 Abs. 1 der Richtlinie 2002/58/EG des Europäischen Parlaments und des Rates vom 12. Juli 2002 über die Verarbeitung personenbezogener Daten und den Schutz der Privatsphäre in der elektronischen Kommunikation (Datenschutzrichtlinie für elektronische Kommunikation) in der durch die Richtlinie 2009/136/EG des Europäischen Parlaments und des Rates vom 25. November 2009 geänderten Fassung ist dahin auszulegen, dass er grundsätzlich weder den Inhaber von Rechten des geistigen Eigentums oder einen in dessen Auftrag handelnden Dritten daran hindert, IP‑Adressen von Nutzern von Peer-to-Peer-Netzen, deren Internetanschlüsse für rechtsverletzende Tätigkeiten genutzt worden sein sollen, systematisch zu speichern, noch dem entgegensteht, dass die Namen und Anschriften dieser Nutzer an den Rechtsinhaber oder an einen Dritten übermittelt werden, um ihm die Möglichkeit zu geben, bei einem Zivilgericht eine Schadensersatzklage wegen eines Schadens zu erheben, der von diesen Nutzern verursacht worden sein soll, jedoch nur unter der Voraussetzung, dass die dahin gehenden Maßnahmen und Anträge des Rechtsinhabers oder des Dritten gerechtfertigt, verhältnismäßig und nicht missbräuchlich sind und ihre Rechtsgrundlage in einer Rechtsvorschrift im Sinne von Art. 15 Abs. 1 der Richtlinie 2002/58 in der durch die Richtlinie 2009/136 geänderten Fassung haben, die die Tragweite der Bestimmungen der Art. 5 und 6 dieser Richtlinie in geänderter Fassung beschränkt.

AG Wertheim
Beschluss vom 12.12.2019
1 C 66/19

Das AG Wertheim hat gegen ein Unternehmen nach Verurteilung zur Auskunftserteilung nach Art. 15 DSGVO ein Zwangsgeld in Höhe von 15.000 EURO verhängt, nachdem das Unternehmen seiner Auskunftspflicht nicht vollständig nachgekommen ist. Dabei ging es insbesondere um Informationen über die Herkunft der Daten hinsichtlich personenbezogener Daten, die nicht beim Betroffenen erhoben wurden (Art. 15 Abs. 1 lit. g DSGVO).

LG Köln
Teilurteil vom 18.03.2019
26 O 25/18

Das LG Köln hat sich in dieser Entscheidung mit der Reicheite des Auskunftsanspruchs nach Art. 15 Abs.1 DSGVO befasst. Das Gericht führt aus, dass der Auskunftsanspruch nicht der vereinfachten Buchführung des Betroffenen dienen soll. Vielmehr sollen der Betroffene in die Lage versetzt werden, den Umfang und Inhalt der gespeicherten personenbezogenen Daten zu beruteilen.

Aus den Entscheidungsgründen:

2. Hinsichtlich des Auskunftsanspruchs (Klageantrag Ziffer 1) ist die Klage aber unbegründet. Ein weitergehender Auskunftsanspruch steht der Klägerin nicht zu, nachdem die Beklagte während des Prozesses wiederholt Auskünfte erteilt hat und der Rechtsstreit insoweit übereinstimmend für erledigt erklärt wurde.

Gemäß Art. 15 Abs. 1 DS-GVO steht der betroffenen Person ein umfassender Anspruch auf Auskunft über verarbeitete sie betreffende personenbezogene Daten sowie weitere Informationen zu. Die Information muss u.a. auch die Verarbeitungszwecke (Ziffer a)), die Empfänger von Daten (Ziffer b)) und die geplante Dauer der Speicherung (Ziffer c)) enthalten. Gemäß Artikel 4 Nr. 1 DS-GVO sind „personenbezogene Daten“ in diesem Sinne alle Informationen, die sich auf identifizierte oder identifizierbare natürliche Personen beziehen. Eine „Verarbeitung von Daten“ stellt gemäß Artikel 4 Nr. 2 DS-GVO jeder Vorgang im Zusammenhang mit personenbezogenen Daten dar. Insofern ergibt sich ein umfassendes Auskunftsrecht bezogen auf die gespeicherten bzw. verarbeiteten personenbezogenen Daten. Dies beinhaltet Daten wie Namen oder Geburtsdatum genauso wie jegliche Merkmale, die die Identifizierbarkeit einer Person ermöglichen können, z.B. Gesundheitsdaten, Kontonummer usw. Nach diesen Grundsätzen und auf Grundlage der Erwägungsgründe stellen ärztliche Unterlagen, Gutachten oder sonstige vergleichbare Mitteilungen anderer Quellen ebenfalls „personenbezogene Daten“ dar. Nach der Auffassung der Kammer bezieht sich der Auskunftsanspruch aber nicht auf sämtliche internen Vorgänge der Beklagten, wie z.B. Vermerke, oder darauf, dass die betreffende Person sämtlichen gewechselten Schriftverkehr, der dem Betroffenen bereits bekannt ist, erneut ausgedruckt und übersendet erhalten kann (so das OLG Köln zu § 34 BDSG a.F., Beschluss vom 26.07.2018, 9 W 15/18). Rechtliche Bewertungen oder Analysen stellen insofern ebenfalls keine personenbezogenen Daten in diesem Sinne dar. Der Anspruch aus Art. 15 DS-GVO dient nicht der vereinfachten Buchführung des Betroffenen, sondern soll sicherstellen, dass der Betroffene den Umfang und Inhalt der gespeicherten personenbezogenen Daten beurteilen kann. Folgerichtig bestimmt Artikel 15 Abs. 3 DS-GVO, dass der Betroffene eine Kopie (lediglich) der personenbezogenen Daten, die Gegenstand der Verarbeitung sind, erhält. Vorliegend hat die Beklagte verschiedene Auskünfte und Informationen erteilt (u.a. Bl. 164 ff. d.A. = Anlage K 10; Bl. 234 d.A. = Anlage B 4, Bl. 359 ff. d.A. = SS vom 20.12.2018 nebst Anlage B 5) und angegeben, dass weitere personenbezogene Daten über die Klägerin nicht gespeichert seien bzw. verarbeitet wurden. Substantiierter Vortrag der Klägerin, welche Informationen seitens der Beklagten darüber hinaus noch verarbeitet worden seien könnten, ist nicht erfolgt. Insofern sind konkrete Anhaltspunkte, dass die Auskunft - nach Maßgabe der Rechtsauffassung der Kammer - unvollständig ist, nicht vorhanden. Aus den Auskünften der Beklagten ergeben sich vielmehr die personenbezogenen Daten sowie die sonstigen Informationen i.S.v. Art. 15 Abs. 1a)-h) wie Gruppen von personenbezogenen Daten, Erfassung der Daten, Speicherdauer usw..

Den Volltext der Entscheidung finden Sie hier:

EuGH-Generalanwalt
Schlussanträge vom 24.10.2017
C-434/15
Unabhängiges Landeszentrum für Datenschutz Schleswig-Holstein gegen Wirtschaftsakademie Schleswig-Holstein GmbH,
Beteiligte: Facebook Ireland Ltd, Vertreter des Bundesinteresses beim Bundesverwaltungsgericht

Der EuGH-Generalanwalt kommt zu dem Ergebnis, dass der Betreiber einer Facebook-Fanpage neben Facebook datenschutzrechtlich für die Erhebung und Verarbeitung personenbezogener Daten verantwortlich ist. Sollte sich der EuGH dieser Ansicht anschließen, würde dies de facto das Aus für Fanpages bedeuten.

Das Ergebnis des EuGH-Generalanwalts:

Nach alledem schlage ich dem Gerichtshof vor, die Vorlagefragen des Bundesverwaltungsgerichts wie folgt zu beantworten:

1. Art. 2 Buchst. d der Richtlinie 95/46/EG des Europäischen Parlaments und des Rates vom 24. Oktober 1995 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten und zum freien Datenverkehr in der durch die Verordnung (EG) Nr. 1882/2003 des Europäischen Parlaments und des Rates vom 29. September 2003 geänderten Fassung ist dahin auszulegen, dass der Betreiber einer Fanpage eines sozialen Netzwerks wie Facebook ein für die Verarbeitung Verantwortlicher im Sinne dieser Bestimmung hinsichtlich der Phase der Verarbeitung von personenbezogenen Daten ist, die in der Erhebung von Daten über die diese Seite besuchenden Personen durch dieses soziale Netzwerk im Hinblick auf die Erstellung von diese Seite betreffenden Besucherstatistiken besteht.

2. Art. 4 Abs. 1 Buchst. a der Richtlinie 95/46 in der durch die Verordnung Nr. 1882/2003 geänderten Fassung ist dahin auszulegen, dass im Sinne dieser Bestimmung eine Verarbeitung personenbezogener Daten wie die im Ausgangsverfahren in Rede stehende im Rahmen der Tätigkeiten einer Niederlassung ausgeführt wird, die der für die Verarbeitung Verantwortliche im Hoheitsgebiet eines Mitgliedstaats besitzt, wenn ein ein soziales Netzwerk betreibendes Unternehmen in einem Mitgliedstaat für die Förderung des Verkaufs der Werbeflächen dieses Unternehmens und diesen Verkauf selbst eine Tochtergesellschaft gründet, deren Tätigkeit auf die Einwohner dieses Staates ausgerichtet ist.

3. In einer Situation wie der im Ausgangsverfahren in Rede stehenden, in der das auf die betreffende Verarbeitung personenbezogener Daten anwendbare nationale Recht dasjenige des Mitgliedstaats einer Kontrollstelle ist, ist Art. 28 Abs. 1, 3 und 6 der Richtlinie 95/46 in der durch die Verordnung Nr. 1882/2003 geänderten Fassung dahin auszulegen, dass diese Kontrollstelle sämtliche wirksamen Einwirkungsbefugnisse, die ihr gemäß Art. 28 Abs. 3 dieser Richtlinie übertragen sind, gegenüber dem für die Verarbeitung Verantwortlichen ausüben darf, und zwar auch dann, wenn dieser Verantwortliche seinen Sitz in einem anderen Mitgliedstaat oder einem Drittstaat hat.

4. Art. 28 Abs. 1, 3 und 6 der Richtlinie 95/46 in der durch die Verordnung Nr. 1882/2003 geänderten Fassung ist dahin auszulegen, dass unter Umständen wie den im Ausgangsverfahren in Rede stehenden die Kontrollstelle des Mitgliedstaats, in dem sich die Niederlassung des für die Verarbeitung Verantwortlichen befindet, ihre Einwirkungsbefugnisse gegenüber diesem Verantwortlichen selbständig ausüben darf, ohne verpflichtet zu sein, zuvor die Kontrollstelle des Mitgliedstaats, in dem dieser Verantwortliche seinen Sitz hat, um die Ausübung ihrer Befugnisse zu ersuchen.

Die vollständigen Schlussanträge finden Sie hier: