Das OLG München hat entschieden, dass eine wettbewerbswidrige SEPA-Diskriminierung durch Beschränkung der Auszahlung von Gutschriften auf deutsche Bankkonten vorliegt.
Aus den Entscheidungsgründen: 1. Wie von der Beklagten in der Berufungsinstanz nicht angegriffen, hat die Beklagte durch die Schreiben K 3, K 4 und K 5 gegen die Marktverhaltensregeln der Art. 9 Abs. 1 bzw. Art. 9 Abs. 2 SEPA-Verordnung verstoßen.
a) Die Schreiben K 3, K 4 und K 5 sind geschäftliche Handlungen im Sinne von § 2 Abs. 1 Nr. 1 UWG.
b) Gemäß Art. 9 Abs. 1 SEPA-Verordnung gibt ein Zahler, der eine Überweisung an einen Zahlungsempfänger vornimmt, der Inhaber eines Zahlungskontos innerhalb der Union ist, nicht vor, in welchem Mitgliedstaat dieses Zahlungskonto zu führen ist, sofern das Zahlungskonto gemäß Artikel 3 erreichbar ist. Gemäß Abs. 2 gibt ein Zahlungsempfänger, der eine Überweisung annimmt oder eine Lastschrift verwendet, um Geldbeträge von einem Zahler einzuziehen, der Inhaber eines Zahlungskontos innerhalb der Union ist, nicht vor, in welchem Mitgliedstaat dieses Zahlungskonto zu führen ist, sofern das Zahlungskonto gemäß Artikel 3 erreichbar ist.
Durch die Aufforderung deutsche Bankdaten mitzuteilen, um das Guthaben auszahlen zu können (Anlage K 4), gibt die Beklagte vor, in welchem Mitgliedstaat ein Konto zu führen ist und verstößt gegen Art. 9 Abs. 1 SEPA-Verordnung. Mit der Auskunft, im System könnten keine ausländischen Bankverbindungen erfasst (Anlage K 5) bzw. eingefügt werden (Anlage K 3), gibt die Beklagte ebenfalls vor, in welchem Mitgliedstaat ein Zahlungskonto zu führen ist und verstößt damit auch gegen Art. 9 Abs. 2 SEPA-Verordnung.
c) Art. 9 Abs. 2 SEPA-Verordnung ist eine Norm, die zumindest auch dem Schutz der Verbraucher dient und bei der dieser Schutz nicht nur untergeordnete Bedeutung hat oder eine nur zufällige Nebenwirkung ist (BGH GRUR 2020, 654, 655 Rn. 20 – SEPA-Lastschrift). Als Verbraucherschutzgesetz im Sinne des § 2 Abs. 1 Satz 1 UKlaG ist er zugleich Marktverhaltensregel mit dem erforderlichen Wettbewerbsbezug (BGH a.a.O, S. 657 Rn. 40). Gleiches gilt auch für Art. 9 Abs. 1 SEPA-Verordnung als gleichsam spiegelbildliche Norm zu Art. 9 Abs. 2 SEPA-Verordnung. Es kann in der Beurteilung einer Norm als Marktverhaltensregel keinen Unterschied machen, ob der Verbraucher als Zahlungsempfänger oder als Zahler betroffen ist. Auch der Schutzzweck der beiden Absätze, Schutz der Freiheit des Verbrauchers, Zahlungen über ein Konto in einem anderen Mitgliedstaat als demjenigen seines Wohnsitzes abzuwickeln (BGH, a.a.O., S. 657 Rn. 40), ist unabhängig davon, ob der Verbraucher als Zahler oder als Zahlungsempfänger betroffen ist.
d) Der Verstoß der Beklagten ist auch geeignet, die Interessen von Verbrauchern spürbar zu beeinträchtigen. Die Auskunft der Beklagten, sie könne Guthaben nur auf eine deutsche Bankverbindung überweisen (K 4), bzw. sie könne generell eine ausländische Kontonummer (und damit auch eine Kontonummer einer Bank aus dem EU-Ausland) nicht in das System einfügen (K 3)/ im System erfassen (K 5), ist geeignet, die passive Dienstleistungsfreiheit der Verbraucher erheblich zu beeinträchtigen, da sie letztlich gezwungen werden, ein deutsches Konto zu führen, um eine Gutschrift zu erhalten bzw. um Zahlungsverpflichtungen gegenüber der Beklagten zu erfüllen.
2. Entgegen der Auffassung der Beklagten steht dem geltend gemachten Anspruch nicht die Einrede der Verjährung entgegen.
a) Die Verjährung wurde durch Erhebung der Klage auf Unterlassung gemäß § 204 Abs. 1 Nr. 1 BGB gehemmt. Im Zeitpunkt der Erhebung der Klage war die sechsmonatige Verjährungsfrist der §§ 11 Abs. 1, 8 Abs. 1 UWG noch nicht abgelaufen. Die am 30.12.2021 eingereichte Klage vom 29.12.2021 wurde der Beklagten am 16.4.2022 (Bl. 13/14 d.A.) zugestellt. Die streitgegenständlichen Verstöße datieren von 9.11.2021 (K 4), vom 11.11.2021 (Anlage K 3) bzw. vom 23.11.2021 (K 5).
b) Die „Klarstellung“ der Klageanträge durch die Klagepartei mit Schriftsatz vom 9.9.2022 (Formulierung „im Rahmen von Verträgen über die Erbringung von Energielieferungen“ statt „im Rahmen der Durchführung von Energielieferungsverträgen“ sowie „EU-Raum“ statt „SEPA-Raum“) hindert die durch die Erhebung der Klage bewirkte Hemmung der Verjährung nicht. Die Hemmung der Verjährung ist zwar grundsätzlich auf denjenigen Anspruch oder Anspruchsteil beschränkt, auf den sich die Klage bezieht. Hierbei entscheidet für § 204 Abs. 1 Nr. 1 BGB grundsätzlich der prozessuale Anspruch und damit der Streitgegenstand, wie er durch Klageantrag und den zu seiner Begründung vorgetragenen Lebenssachverhalt bestimmt wird (Grothe, in MüKoBGB, 9. Aufl. 2021, § 204 Rn. 10 m.w.N.). Eine Erweiterung des Hemmungsumfangs über diesen prozessualen Streitgegenstandsbegriff hinaus wird jedoch anhand des Merkmals der materiellrechtlichen Wesensgleichheit der Ansprüche vorgenommen. Verlangt wird dabei im Kern eine Identität von Klagegrund und/oder verfolgtem Interesse trotz divergierender Klageanträge (vgl. Grothe, a.a.O., m.w.N., BGH NJW 1988, 1964, 1965 unter II 3 c).
c) Eine solche materiell-rechtliche Wesensgleichheit im Sinn einer Identität von Klagegrund und/ oder verfolgtem Interesse trotz divergierender Klageanträge zwischen dem Antrag vom 29.12.2021 und dem Antrag vom 9.9.2022 liegt hier vor: Die vom Kläger beanstandeten Verhaltensweisen (Sachverhalt „T. J.“, Sachverhalt „P. C.“ und Sachverhalt „D. B.“) werden bereits in der Klageschrift vom 29.12.2021 geschildert und mit den Anlagen K 3, K 4 und K 5 belegt. Das Begehren des Klägers und sein Interesse zielten von vorneherein und gleichbleibend darauf ab, dass die Beklagte solche Verhaltensweisen, wie sie in den Anlagen K 3, K 4 und K 5 zum Ausdruck gekommen sind, künftig unterlassen solle. Dabei ist es – anders als die Beklagte meint – vor dem Hintergrund des Ausgeführten auch unschädlich, dass sich der Unterlassungsantrag des Klägers zunächst auf den SEPA-Raum bezogen hat und erst mit Schriftsatz vom 9.9.2022 auf den EU-Raum beschränkt wurde. Dem Vortrag des Klägers in der Klageschrift vom 29.12.2023 und den Anlagen K 3, K 4 und K 5 lagen von vorneherein Sachverhalte zugrunde, die ausschließlich einen Bezug zum EU-Raum hatten. Sie betrafen jeweils in Deutschland wohnhafte Verbraucher mit Bankverbindungen im EU-Ausland (Fall T.J.: Litauen; Fall P.C.: Niederlande; Fall B. P.: Litauen). Hierin liegt das Charakteristische der Verletzungshandlung im Sinne der von der Beklagten zitierten Entscheidung des Bundesgerichtshofs „Buchclub-Koppelungsangebot“ (GRUR 2003, 890, 891). Dieses hat sich durch die „Klarstellung“ des Klageantrags nicht geändert. Hinzukommt, dass – wie die Beklagte selbst vorträgt (z.B. Schriftsatz vom 16.6.2022, Bl. 17/21 d.A. oder Schriftsatz vom 19.1.2023, Bl. 9/12 der e-Akte des Berufungsverfahrens) und wie das Landgericht zu Recht hervorhebt – der SEPA-Raum und der EU-Raum zumindest teilidentisch sind. Von einem „aliud“ kann daher nicht gesprochen werden. Vielmehr ist der EU-Raum aufgrund seiner geringeren Ausdehnung ein „Weniger“ gegenüber dem SEPA-Raum.
d) Soweit die Beklagte meint, in der Formulierung des ursprünglichen Klageantrags vom 29.12.2021 („im Rahmen der Durchführung von Energielieferungsverträgen“) liege eine „situative Einschränkung“ gegenüber der Formulierung des Antrages im Schriftsatz vom 9.9.2022 („im Rahmen von Verträgen über die Erbringung von Energielieferungen“), da der letztgenannte Antrag auch Zahlungen bzw. Gutschriften umfasse, die im Rahmen der Anbahnung von Verträgen oder im Rahmen der Abwicklung der Verträge nach Kündigung anfielen, vermag der Senat eine solche „situative Einschränkung“, die durch den Schriftsatz vom 9.9.2022 beseitigt worden wäre, bereits nicht zu erkennen. Jedenfalls die Auslegung des Antrags vom 9.9.2022 im Lichte seiner Begründung zeigt, dass sich dieser ausschließlich auf die bereits streitgegenständlichen Sachverhalte beziehen und ausschließlich der Klarstellung dienen sollte, „den Umfang der Unterlassung noch genauer zu bestimmen.“ Eine Erstreckung auf Sachverhalte im Vorfeld des Vertrages sowie im Rahmen seiner Abwicklung ist erkennbar nicht gewollt.
Das LG Traunstein hat entschieden, dass der Nutzer eines weltweit agierenden sozialen Netzwerks nach der DSGVO keinen Anspruch auf Unterlassung der Weitergabe und Übermittlung personenbezogener Daten in die USA hat.
Aus den Entscheidungsgründen: Die Klage ist nur teilweise zulässig.
I. Das Landgericht Traunstein ist sachlich nach §§ 1 ZPO, 71 Abs. 1, 23 GVG, international nach Art. 79 Abs. 2 S. 2, 82 Abs. 6 DSGVO und örtlich nach § 44 Abs. 1 S. 2 BDSG zuständig.
II.Der auf die Feststellung der Ersatzpflicht der Beklagten gegenüber der Klagepartei für künftige Schäden gerichtete Antrag ist nicht hinreichend bestimmt gern. § 253 Abs. 2 Nr. 2 ZPO. Der auf die Feststellung der Ersatzpflicht der Beklagten gegenüber der Klagepartei für künftige Schäden gerichtete Antrag ist nicht hinreichend bestimmt gern. § 253 Abs. 2 Nr. 2 ZPO. Der Antrag bezieht sich auf „künftige Schäden“, „die der Klägerseite (…) entstanden sind und/oder noch entstehen werden.„Auch unter Berücksichtigung des gesamten klägerischen Vorbringens ist für das Gericht nicht zu erkennen, ob sich der Antrag nur auf künftige Schäden oder auch bereits entstandene, aber ggfs. noch nicht bekannte Schäden erstrecken soll.
III. Hinsichtlich des Feststellungsantrags besteht auch kein ausreichendes Feststellungsinteresse (§ 256 Abs. 1 ZPO). Ein Feststellungsinteresse ist zu verneinen, wenn aus der Sicht des Geschädigten bei verständiger Würdigung kein Grund besteht, mit dem Eintritt eines Schadens wenigstens zu rechnen (BGH NJW-RR 2007, 601). Welcher Schaden der Klagepartei dadurch entstehen soll, dass die Beklagte rechtswidrig ihre MessengerNachrichten überwacht, OffF Daten verarbeitet und Daten in die USA übermitteln sollte, ist für das Gericht nicht ersichtlich und wird auch nicht plausibel dargelegt.
IV. Der Unterlassungsantrag zu Ziff. 4 a) der Klageanträge ist nicht hinlänglich bestimmt, § 253 Abs. 2 Nr. 2 ZPO. Das Wort „anlasslos“ schränkt das Unterlassungsbegehren in objektiv nicht abgrenzbarer Weise ein. Ein entsprechender Ausspruch wäre nicht vollstreckungsfähig.
V. Hinsichtlich des Unterlassungsantrags zu Ziff. 4b) fehlt der Klagepartei das Rechtsschutzbedürfnis. Die Klagepartei hat die Möglichkeit, über die Einstellungen die Behandlung der „Off-...- Daten“ bzw. „Aktivitäten außerhalb der ...-Technologien“ selbst zu steuern. Dies muss der Klagepartei spätestens aufgrund des Beklagtenvortrags im Rechtsstreit auch bekannt sein. Da ihr ein einfacherer Weg zur Erreichung ihres Rechtsschutzziels zur Verfügung steht, fehlt ihr für eine Unterlassungsklage das Rechtsschutzbedürfnis.
VI. Der Antrag auf Löschung „anlasslos gespeicherter“ Daten (Ziff. 5a und b der Klageanträge) ist aus den oben unter Ziff. IV genannten Erwägungen wegen Unbestimmtheit unzulässig.
VII. Im Übrigen ist die Klage zulässig.
B.
Die Klage ist – soweit sie unzulässig ist, jedenfalls auch – unbegründet.
23
I. Der Klagepartei stehen keine Ansprüche gegen die Beklagte im Zusammenhang mit den behaupteten Vorwürfen hinsichtlich des ...-Messenger-Dienstes zu. Es fehlt bereits an einem relevanten Verstoß gegen die Bestimmungen der DSGVO.
Die Klagepartei hat nicht schlüssig dargelegt, woraus sich ergeben soll, dass die Beklagte die über den ...-Messenger-Dienst ausgetauschten Inhalte systematisch automatisiert überwacht im Sinne eines „crawlings“ der Inhalte. Aus der Datenschutzrichtlinie der Beklagten ergibt sich solches jedenfalls nicht. Die Beklagte hat vielmehr plausibel dargelegt, dass sie die übertragenen Nachrichten entsprechend der gesetzlichen Vorgaben, insbesondere der ePrivacy-Richtlinie, behandelt und ein zulässiges CSAM (child sexual abuse material)-Scanning zur Identifikation kinderpornographischer Inhalte durchführt. Soweit die Klagepartei die Länge und Unübersichtlichkeit der Datenschutzrichtlinie der Beklagten rügt, lässt sich kein Verstoß gegen Art. 13, 14 DSGVO erkennen. Die umfangreichen datenschutzrechtlichen Anforderungen, die von Rechts wegen an die Beklagte gestellt werden, in Verbindung mit der Komplexität der von der Beklagten zur Verfügung gestellten Dienstleistungen lassen keine knappere oder einfachere Darstellung der datenschutzrechtlichen Rahmenbedingungen zu. Dass die Beklagte die über den MessengerDienst ausgetauschten Inhalte als solche speichert und an den Adressaten übermittelt, ist zur Bereitstellung dieser Dienstleistung unumgänglich, Art. 6 Abs. 1 Buchst. B DSGVO. Für einen Verstoß gegen das Gebot der Datenminimierung (Art. 5 Abs. 1 Buchst. c DSGVO) sieht das Gericht deswegen ebenfalls keine Anhaltspunkte. Das CSAM-Scanning ist von Art. 6 Abs. 1 Buchst. f DSGVO gedeckt. Im Übrigen ist es der Klagepartei – wie jedem „f-Nutzer selbst überlassen, ob sie den MessengerDienst überhaupt verwenden will oder nicht.
II. Der Klagepartei stehen auch keine Ansprüche gegen die Beklagte im Zusammenhang mit den behaupteten Vorwürfen hinsichtlich der “Off-...-Daten“ zu.
1. Auch insoweit ist kein datenschutzrechtlicher Verstoß ersichtlich. Die Verarbeitung von Daten im Zusammenhang mit „Aktivitäten außerhalb der ...-Technologien“ („Off-...-Daten“) ist durch die Einwilligung des Nutzers gedeckt, Art. 6 Abs. 1 Buchst. a und Art. 9 Abs. 2 Buchst. a DSGVO. Nach dem Vortrag der Beklagten, an dessen Richtigkeit das Gericht keine Zweifel hat, holt sie die Einwilligung der Nutzer mittels eines im Schriftsatz vom 04.03.2024 auf S. 11 abgebildeten CookieBanners ein. Die entsprechenden Einstellungen werden durch Hinweise nachvollziehbar beschrieben und können vom Benutzer nachträglich abgeändert werden. Die Klagepartei ist bei „...“ angemeldet, so dass sie selbst die entsprechenden Einstellungen vornehmen kann. Wie es sich bei Personen verhält, die nicht bei „...“ angemeldet sind, kann dahinstehen, weil die Klagepartei nicht zu diesem Personenkreis gehört. Dass die Schaltfläche „Alle Cookies erlauben“ blau eingefärbt ist, stellt keinen Verstoß gegen Art. 25 Abs. 2 DSGVO (datenschutzfreundliche Voreinstellung) dar. Denn es handelt sich um keine „Voreinstellung“, sondern um eine übliche und erlaubte optische Hervorhebung, die die aktive Entscheidungsmöglichkeit des Nutzers unberührt lässt. Soweit die Beklagte Informationen von Cookies und ähnlichen Technologien von Dritten erhält, verarbeitet sie diese nach eigenen Angaben ohne Zustimmung des Nutzers nur zu Sicherheits- und Integritätszwecken, was durch Art. 6 Abs. 1 Buchst. b ff. DSGVO bzw. Art. 9 Abs. 2 Buchst. B ff. DSGVO gedeckt ist. Substanziell Entgegenstehendes wurde durch die Klagepartei nicht in den Rechtsstreit getragen.
2. Soweit die Beklagte bis zum Beschluss des Bundeskartellamts vom 06.02.2019 (s. Pressemitteilung vom 07.02.2019, Anlage KE-4) die „Off-...-Daten“ ohne eine erforderliche Einwilligung verarbeitet haben sollte, wird schon nicht vorgetragen, dass die Beklagte „Off ... Daten“ aus diesem Zeitraum bezogen auf die Klagepartei überhaupt noch vorhält. Im Übrigen wären daraus resultierende Ansprüche der Klagepartei jedenfalls verjährt, §§ 195, 199 Abs. 1, 214 Abs. 1 BGB. Die Klagepartei musste jedenfalls infolge der vorgenannten Pressemitteilung die tatsächlichen Anspruchsvoraussetzungen kennen oder sich dem Vorwurf grob fahrlässiger Unkenntnis aussetzen. Verjährung wäre somit zum Ende des Jahres 2022 eingetreten.
III. Der Klagepartei stehen schließlich keine Ansprüche gegen die Beklagte im Zusammenhang mit den behaupteten Vorwürfen im Zusammenhang mit der Datenübermittlung in die USA zu.
1. Eine rechtswidrige Datenübermittlung kann das Gericht nicht erkennen. Die Plattform „...“ und der MKonzern stammen aus den USA. „...“ ist als globale Plattform konzipiert. Um dieses weltweite Netzwerk unterhalten zu können, müssen zwangsläufig Daten international ausgetauscht werden. Dass in diesem Zusammenhang auch Daten durch die Beklagte in die USA übermittelt werden, liegt folglich nahe. Dieses Erfordernis ist auch unabhängig davon, ob die Klagepartei mit USamerikanischen „...“-Nutzern „befreundet“ ist oder nicht. Denn allein die Suche nach Nutzern in anderen Rechtsgebieten kann nur funktionieren, wenn ein grenzüberschreitender Datenaustausch stattfindet. All dies muss jedem „..."-Nutzer, auch der Klagepartei, hinlänglich bekannt sein. Die Klagepartei hat keinen Anspruch darauf, dass „...“ dergestalt betrieben wird, dass sämtliche Daten in Europa gespeichert und verarbeitet werden im Sinne eines rein europäischen „...“. Die unternehmerische Entscheidung des Betreibers der Plattform „...“, Daten in den Vereinigten Staaten von Amerika zu verarbeiten, ist von den Nutzern hinzunehmen, zumal niemand dazu gezwungen wird, die Plattform „...“ zu nutzen.
2. Die Datenübermittlung ist daher grundsätzlich zur Vertragserfüllung erforderlich, Art. 6 Abs. 1 Buchst. b DSGVO. Dafür dass die Beklagte, was die Klagepartei letztlich behauptet, darüber hinaus ihren gesamten Datenbestand dem amerikanischen Auslandsgeheimdienst voraussetzungslos zur freien Verfügung stellt, gibt es keine hinreichenden tatsächlichen Anhaltspunkte. Was die USamerikanische Regierung insoweit „zugegeben“ haben soll, wird klägerseits nicht konkret dargelegt. Die Beklagte jedenfalls hat solches bestritten und Beweis wurde klägerseits nicht geführt.
3. Die Voraussetzungen für die Datenübermittlung in Drittländer nach Kapitel V DSGVO werden von der Beklagten eingehalten.
a) Aktuell erfolgt die Datenübermittlung aufgrund des Angemessenheitsbeschlusses der Kommission vom 10.07.2023. Dieser stellt eine taugliche Grundlage für die Datenübermittlung dar, Art. 45 Abs. 3 DSGVO. Eine weitergehende Überprüfung der Angemessenheit des Schutzniveaus erübrigt sich dadurch.
b) Für den vorangegangenen Zeitraum stellen die von der Kommission erlassenen Standardvertragsklauseln 2010 und 2021 in Verbindung mit Art. 46 Abs. 1, Abs. 2 Buchst. c) DSGVO eine ausreichende Rechtsgrundlage dar. Nach Art. 46 Abs. 1 DSGVO müssen den Betroffenen durchsetzbare Rechte und wirksame Rechtsbehelfe zur Verfügung stehen, um ein dem EURecht gleichwertiges Schutzniveau zu gewährleisten. Die Klagepartei rügt insoweit, dass der USamerikanische Rechtsbehelfsmechanismus auf einer Verordnung der Regierung und nicht auf formellem Gesetz beruhe. Auch bei einer Verordnung handelt es sich aber um ein Gesetz im materiellen Sinne. Wieso hierdurch kein gleichwertiger Rechtsschutz zur Verfügung gestellt werden könne, ist nicht zu erkennen.
c) Schließlich ist die Datenübermittlung, wie bereits oben ausgeführt, zur Vertragserfüllung erforderlich und damit auf Grundlage von Art. 49 Abs. 1 S. 1 b DSGVO zulässig.
d) Soweit Datenschutzbehörden abweichende Auffassungen vertreten, sind diese für das Gericht nicht bindend.
4. Für eine Verletzung von Art. 5 Abs. 1 Buchst. f bzw. Art. 32 DSGVO ist schlüssig nichts vorgetragen. Wieso Anlass zur Annahme bestehen sollte, dass die Beklagte die Daten der Klagepartei in technischer oder organisatorischer Hinsicht nicht hinlänglich schützt, ergibt sich aus dem Klagevortrag nicht.
5. Eine Verletzung von Art. 13 DSGVO kann das Gericht ebenfalls nicht erkennen. Die Beklagte hat die Fundstellen genannt, unter denen sich der Nutzer über die Notwendigkeit der Datenübermittlung an ausländische Unternehmen, namentlich die .., Inc., wie auch über die Beauskunftung von Regierungsanfragen informieren kann. Dass die Beklagte ihrer Informationspflicht nicht nachgekommen wäre, ist nicht ersichtlich.
6. Soweit US-Regierungsbehörden einschließlich der Geheimdienste von .., Inc., nach USamerikanischem Recht Auskünfte verlangen können, ist dies Folge der rechtmäßigen Datenübermittlung in den Herrschaftsbereich der Vereinigten Staaten von Amerika. Diese Möglichkeit steht der Gewährleistung eines im Wesentlichen gleichen Schutzniveaus nicht entgegen, da sie auch unter europäischem Datenschutzregime nach Art. 6 Abs. 1 Buchst. c DSGVO (Erfüllung einer rechtlichen Verpflichtung) zulässig wäre.
IV. Für einen Schadensersatzanspruch aus Art. 82 DSGVO fehlt es zudem an einem kausalen Schaden der Klagepartei. Diese gab im Rahmen ihrer informatorischen Anhörung lediglich an, dass sie erst durch die Klägervertreter auf etwaige Datenschutzverstöße im Zusammenhang mit der Übermittlung von Daten bzw. dem Messenger gebracht worden sei. Erst auf Hinweis des Gerichtes wurde ihr offenbar, dass die hiesige Klage sich nicht auf die Scraping-Fälle bezieht. Schließlich wird Bezug genommen auf die Entscheidung des OLG München, Az. 14 U 3359/23 e, Verfügung vom 19.12.23, in welcher folgendes ausgeführt wird:
„Die Befürchtung (noch deutlicher: englisch „fear“ und französisch „crainte“), in der der EuGH einen materiellen Schaden erblickt, kann nur etwas sein, was der Geschädigte (a) persönlich erlebt und was ihn (b) seelisch belastet, mithin psychisch beeinträchtigt. Vermag das Tatgericht nichts dergleichen zu erkennen, so ist der Eintritt des immateriellen Schadens nicht überwiegend wahrscheinlich im Sinne von § 287 Abs. 1 ZPO.“
So liegt der Fall hier: allein die im Rahmen der informatorischen Anhörung (erst) auf Vorhalt ihres Prozessbevollmächtigten angegebene „große Sorge“ (nachdem zunächst angegeben wurde, dass man es „auch schlimm findet“) stellt keinen immateriellen Schaden dar.
V. Auskunftsansprüche nach Art. 15 DSGVO stehen der Klagepartei gegen die Beklagte nicht zu.
1. Soweit begehrt wird Auskunft bezüglich der Daten „aus der Überwachung des FMessengers“ zu erteilen, „ChatProtokolle vorzulegen und deren interne Bewertung offenzulegen“, können die Chat-Verläufe durch die Klagepartei selbst heruntergeladen werden. Der Auskunftsanspruch ist dadurch erfüllt, § 362 Abs. 1 BGB. Was unter einer „internen Bewertung“ zu verstehen sein soll, erschließt sich dem Gericht nicht; eine Subsumtion unter eine der Kategorien des Art. 15 Abs. 1 DSGVO ist insoweit nicht möglich.
2. Soweit Auskunft begehrt wird, welche „Off-...-Daten“ durch die Beklagte an der IP-Adresse der Klägerseite gesammelt und zu welchem Zweck sie gespeichert und verwendet wurden, verweist die Beklagte zu Recht auf die von ihr zur Verfügung gestellte Selbstauskunftsmöglichkeit und hinsichtlich der Verarbeitungszwecke auf eine bestimmte Seite im Hilfebereich. Die Auskunft ist damit erteilt, § 362 Abs. 1 BGB.
3. Hinsichtlich etwaiger an die NSA übermittelter Daten kann die Beklagte die Auskunft verweigern, weil zum einen eine Geheimhaltungspflicht nach USamerikanischem Rechts besteht und es sich zum anderen um ihrem Wesen nach geheimhaltungsbedürftige Informationen handelt, Art. 23 DSGVO i.V.m. § 29 Abs. 1 S. 2 BDSG, wobei sich letztgenannte Vorschrift entgegen der Auffassung der Klagepartei schon dem Wortlaut nach nicht auf Berufsgeheimnisträger beschränkt. Es versteht sich von selbst, dass die Information, ob und welche Auskünfte an Geheimdienste erteilt werden, ihrem Wesen nach geheimhaltungsbedürftig ist. Im Übrigen erfolgt die Beauskunftung an die NSA nicht durch die Beklagte, sondern durch die .., Inc., so dass die Beklagte hinsichtlich eines Auskunftsanspruchs auch nicht passivlegitimiert wäre.
VI. Die Löschungsanträge nach Art. 17 DSGVO (Ziff. 5 b und c der Klageanträge) gehen ins Leere, weil sie unter der Voraussetzung gestellt sind, dass die Datenverarbeitung „anlasslos“ erfolgt. Selbst wenn man diesem Begriff die Bedeutung „nicht notwendig“ (Art. 17 Abs. 1 Buchst. a DSGVO), „ohne Rechtsgrundlage“ (Art. 17 Abs. 1 Buchst. b DSGVO), oder „unrechtmäßig“ (Art. 17 Abs. 1 Buchst. d DSGVO) beimessen wollte, liegen diese Voraussetzungen, wie unter Ziffer I. bis II. ausgeführt, nicht vor.
VII. Sämtliche Unterlassungsansprüche scheitern am Fehlen eines Verstoßes gegen die DSGVO, s.o. Ziff. I bis III. Bezüglich der „Off-...-Daten“ tritt hinzu, dass es der Nutzer selbst in der Hand hat, die diesbezüglichen Einstellungen zu verwalten. Die Klagepartei handelt widersprüchlich, wenn sie die Einstellungen so belässt, wie sie sind, und andererseits von der Beklagten verlangt, die Daten nicht auf Grundlage dieser Einstellungen zu verarbeiten.
Das LG Hamburg hat entschieden, dass ein wettbewerbswidriger Verstoß gegen die SEPA-Verordnung keine Diskriminierungsabsicht voraussetzt.
Aus den Entscheidungsgründen: Die zulässige Klage ist nach §§ 3, 3a, 8, 13 UWG, Art. 9 SEPA-Verordnung begründet.
Der mit der Klage geltend gemacht Unterlassungsanspruch des Klägers ergibt sich aus §§ 3, 3a, 8 UWG i. V. m. Art. 9 SEPA-Verordnung. Bei Art. 9 SEPA-Verordnung handelt es sich um eine Marktverhaltensregelung i. S. des § 3 a UWG, sodass ein Verstoß gegen diese Vorschrift einen Unterlassungsanspruch nach § 8 UWG begründet (vgl. Bundesgerichtshof, Urteil vom 06.02.2020 - I ZR 93/18 - SEPA-Lastschrift - Rn. 38, zitiert nach Juris), ohne dass es insoweit auf ein Verschulden ankäme.
Die aus Anlage K 3 ersichtliche E-Mail verstößt gegen Art. 9 Abs. 2 SEPA-Verordnung. Auch wenn in diesem Zusammenhang umgangssprachlich von einer SEPA-Diskriminierung gesprochen wird, setzt ein Verstoß gegen diese Vorschrift in keiner Weise die Absicht einer Diskriminierung oder Ähnliches voraus. Vielmehr gilt nach Art. 9 Abs. 2 SEPA-Verordnung Folgendes: Ein Zahlungsempfänger, der eine Überweisung annimmt oder eine Lastschrift verwendet, um Geldbeträge von einem Zahler einzuziehen, der Inhaber eines Zahlungskontos innerhalb der Union ist, gibt nicht vor, in welchem Mitgliedsstaat dieses Zahlungskonto zu führen ist, sofern das Zahlungskonto gem. Art. 3 SEPA-Verordnung erreichbar ist, wobei letzteres vorliegend nicht im Streit steht. Ein Verstoß gegen Art. 9 Abs. 2 SEPA-Verordnung liegt daher bereits dann vor, wenn ein Zahlungsempfänger zwar grundsätzlich Zahlungen per Lastschrift akzeptiert, dem Inhaber eines Zahlungskontos innerhalb der Europäischen Union aber vorgibt, in welchem Mitgliedsstaat dieses Zahlungskonto zu führen ist. Die Beklagte gestattet ihren Kunden die Zahlung im Wege des Lastschriftverfahrens. Sie hat jedoch ihrem Kunden R. mit der aus Anlage K 3 ersichtlichen E-Mail vorgegeben, eine deutsche Bankverbindung zu übermitteln. Dies ergibt sich gem. §§ 133, 157 BGB aus der Sicht eines objektiven Empfängers aus der aus Anlage K 3 ersichtlichen E-Mail, in der dem Kunden R. zunächst mitgeteilt wird, dass das System der Beklagten die von Herrn R. übermittelte IBAN mit der dazugehörigen BIC nicht annehme und deshalb um Übermittlung einer andern (deutschen) Bankverbindung gebeten werde, damit die monatlichen Beiträge eingezogen werden können. Ungeachtet der höflichen Formulierung „wir bitten Sie“ ergibt sich daraus für den Empfänger, der die von Beklagtenseite behaupteten Hintergründe dieser E-Mail nicht kennt, dass die Übermittlung einer anderen, und zwar einer deutschen Bankverbindung notwendig ist, damit die monatlichen Beiträge eingezogen werden können, weil das System die von Herrn R. mitgeteilte IBAN des litauischen Kontos nicht annehme. An dem damit erfolgte Verstoß gegen Art 9 Abs. 2 SEPA-Verordnung ändert es nichts, dass die Beklagte das litauische Konto des Herrn R. nachträglich akzeptiert und eine Lastschrift von diesem vorzunehmen versucht hat, zumal dies erst nach der Abmahnung und geraume Zeit nach der Zurückweisung der Bankverbindung und des daraufhin erfolgten Hinweises des Herrn R. auf die darin liegende IBAN-Diskriminierung (Anlage K 4) erfolgt ist.
In diesem Zusammenhang kommt es auch nicht darauf an, ob ein seinen Kunden das Lastschriftverfahren als solches anbietendes Unternehmen ausländische Bankverbindungen generell oder nur im Einzelfall ablehnt. Eine Beschränkung der Regelung des Art. 9 Abs. 2 SEPA- Verordnung auf die generelle Ablehnung ausländischer Bankverbindungen für das Lastschriftverfahren lässt sich weder dem Wortlaut noch dem Sinn und Zweck der Regelung entnehmen. Für das mit der SEPA-Verordnung bezweckte ordnungsgemäße Funktionieren des Zahlungsbinnenmarktes und des in diesem Zusammenhang als besonders wichtig angesehenen SEPA-Verfahrens (vgl. Erwägungsgründe 1, 2 der SEPA-Verordnung) ist es bereits abträglich, wenn Lastschriften von ausländischen Konto auch nur in Einzelfällen abgelehnt werden. Eine Einschränkung der Regelung des Art. 9 Abs. 2 SEPA-Verordnung auf Fälle genereller Zurückweisung von Auslandskonten lässt sich der Regelung daher nicht entnehmen.
Gegenteiliges ergibt sich auch nicht aus der Rechtsprechung des Bundesgerichtshofes (a. a. O.) oder der vorangegangenen Entscheidung des Oberlandesgerichtes Karlsruhe. In dem dort zur Entscheidung stehenden Sachverhalt hat die Beklagte Auslandskonten für das Lastschriftverfahren generell abgelehnt. Dies war für die Entscheidung doch nur insofern von Bedeutung, als das im dortigen Sachverhalt von Beklagtenseite angeführte Argument der Verhinderung einer möglichen Geldwäsche jedenfalls keinen generellen Ausschluss von Lastschriften rechtfertigt, bei denen Wohnsitzstaates des Zahlenden und Sitzstaat seines Zahlungsdienstleisters auseinander fallen, da die Zurückweisung von Auslandskunden immer nur in bestimmten Einzel- und Ausnahmefällen gerechtfertigt sein kann (Bundesgerichtshof a. a. O. Rn. 33, 34). Derartige Gründe sind im vorliegenden Fall nicht vorgetragen. Auch das allgemeine Interesse des Zahlungsempfängers, die Bonität eines Zahlers zu prüfen, was vorliegend im Hinblick auf die fehlende Deckung des angegebenen Kontos von Bedeutung gewesen sein könnte, bietet keinen hinreichenden Differenzierungsgrund (vgl. Bundesgerichtshof a. a. O., Rn. 33). Nur in begründeten Einzel- und Ausnahmefällen kann die Zurückweisung eines ausländischen Kontos für das Lastschriftverfahren gerechtfertigt sein, wobei dbzgl. eine Einschränkung des gerichtlichen Verbotes zu I. 1. nicht erforderlich ist, da sich diese Einschränkung aus den Entscheidungsgründen ergibt (vgl. Bundesgerichtshof a. a. O., Rn 34).
Da die Abmahnung gem. Anlage K 5 somit begründet war und den Anforderungen des § 13 Abs. 2 UWG entsprach, ist die Beklagte gem. § 13 Abs. 3 UWG zum Ausgleich der Kosten der Abmahnung verpflichtet.
Das LG Düsseldorf hat entschieden, dass ein wettbewerbswidriger Verstoß gegen die SEPA-Verordnung keinen Vertragsabschluss voraussetzt. Vorliegend ging es um die Ablehnung eines Kontos aus dem EU-Ausland durch eine Plattform für den Ankauf gebrauchter Unterhaltungselektronik. Geklagt hatte die Wettbewerbszentrale.
Die EU-Kommission hat einen neuen Angemessenheitsbeschluss für den sicheren und vertrauenswürdigen Datenverkehr zwischen der EU und den USA erlassen (EU-US Data Privacy Framework).
Die Pressemitteilung der EU-Kommission: Datenschutz: Europäische Kommission erlässt neuen Angemessenheitsbeschluss für einen sicheren und vertrauenswürdigen Datenverkehr zwischen der EU und den USA
Die Europäische Kommission hat heute ihren Angemessenheitsbeschluss für den Datenschutzrahmen EU-USA angenommen. In dem Beschluss wird festgelegt, dass die Vereinigten Staaten ein angemessenes Schutzniveau – vergleichbar mit dem der Europäischen Union – für personenbezogene Daten gewährleisten, die innerhalb des neuen Rahmens aus der EU an US-Unternehmen übermittelt werden. Auf der Grundlage des neuen Angemessenheitsbeschlusses können personenbezogene Daten sicher aus der EU an US-Unternehmen übermittelt werden, die am Rahmen teilnehmen, ohne dass zusätzliche Datenschutzgarantien eingeführt werden müssen.
Mit dem Datenschutzrahmen EU-USA werden neue verbindliche Garantien eingeführt, um allen vom Europäischen Gerichtshof geäußerten Bedenken Rechnung zu tragen; so ist vorgesehen, dass der Zugang von US-Nachrichtendiensten zu EU-Daten auf ein notwendiges und verhältnismäßiges Maß beschränkt ist und ein Gericht zur Datenschutzüberprüfung (Data Protection Review Court, DPRC) geschaffen wird, zu dem Einzelpersonen in der EU Zugang haben. Der neue Rahmen bringt erhebliche Verbesserungen gegenüber dem im Rahmen des Datenschutzschilds bestehenden Mechanismus mit sich. Stellt das Gericht zur Datenschutzüberprüfung beispielsweise fest, dass bei der Datenerhebung gegen die neuen Garantien verstoßen wurde, kann es die Löschung der Daten anordnen. Die neuen Garantien im Bereich des staatlichen Zugriffs auf Daten werden die Pflichten ergänzen, denen US-Unternehmen, die Daten aus der EU einführen, nachkommen müssen.
Präsidentin Ursula von der Leyen erklärte: „Der neue Datenschutzrahmen EU-USA wird einen sicheren Datenverkehr für die Europäerinnen und Europäer gewährleisten und den Unternehmen auf beiden Seiten des Atlantiks Rechtssicherheit bieten. Nach der grundsätzlichen Einigung, die ich im vergangenen Jahr mit Präsident Biden erzielt habe, haben die USA beispiellose Zusagen zur Schaffung des neuen Rahmens gemacht. Heute kommen wir einen wichtigen Schritt dabei voran, den Bürgerinnen und Bürgern Vertrauen in die Sicherheit ihrer Daten zu geben, unsere wirtschaftlichen Beziehungen zwischen der EU und den USA zu vertiefen und gleichzeitig unsere gemeinsamen Werte zu stärken. Der Rahmen zeigt, dass wir durch Zusammenarbeit die komplexesten Fragen angehen können.“
US-Unternehmen können sich dem Datenschutzrahmen EU-USA anschließen, indem sie sich zur Einhaltung detaillierter Datenschutzpflichten verpflichten, darunter beispielsweise die Pflichten, personenbezogene Daten zu löschen, wenn sie für den Zweck, für den sie erhoben wurden, nicht mehr erforderlich sind, und den Fortbestand des Schutzes zu gewährleisten, wenn personenbezogene Daten an Dritte weitergegeben werden.
Den EU-Bürgerinnen und -Bürgern werden mehrere Rechtsbehelfe offen stehen, falls ihre Daten von US-Unternehmen nicht ordnungsgemäß behandelt werden. Dazu gehören kostenlose unabhängige Streitbeilegungsmechanismen und eine Schiedsstelle.
Darüber hinaus sieht der US-Rechtsrahmen bestimmte Garantien in Bezug auf den Zugang von US-Behörden zu innerhalb des Rahmens übermittelten Daten vor, insbesondere für Datenzugriffe zum Zwecke der Strafverfolgung und der nationalen Sicherheit. Der Zugang zu Daten ist auf das zum Schutz der nationalen Sicherheit notwendige und verhältnismäßige Maß beschränkt.
Einzelpersonen in der EU werden im Zusammenhang mit der Erhebung und Verwendung ihrer Daten durch US-Nachrichtendienste auf ein unabhängiges und unparteiisches Rechtsbehelfsverfahren zurückgreifen können, das auch die Befassung eines neu geschaffenen Gerichts zur Datenschutzüberprüfung einschließt. Dieses Gericht soll etwaige Beschwerden unabhängig untersuchen und beilegen, unter anderem durch die Anordnung verbindlicher Abhilfemaßnahmen.
Die von den Vereinigten Staaten eingeführten Garantien werden zudem den transatlantischen Datenverkehr generell erleichtern, da sie auch für die Übermittlung von Daten unter Verwendung anderer Instrumente wie Standardvertragsklauseln und verbindliche unternehmensinterne Vorschriften gelten.
Nächste Schritte
Die Funktionsweise des Datenschutzrahmens EU-USA soll regelmäßig gemeinsam von der Europäischen Kommission und Vertretern der europäischen Datenschutzbehörden sowie der zuständigen US-Behörden überprüft werden.
Die erste Überprüfung soll binnen eines Jahres nach dem Inkrafttreten des Angemessenheitsbeschlusses erfolgen, um zu ermitteln, ob alle einschlägigen Elemente vollständig im US-Rechtsrahmen umgesetzt wurden und in der Praxis wirksam funktionieren.
Hintergrund
Gemäß Artikel 45 Absatz 3 der Datenschutzgrundverordnung (DSGVO) kann die Kommission im Wege eines Durchführungsrechtsakts beschließen, dass ein Drittland ein „angemessenes Schutzniveau“ bietet, das heißt einen Schutz personenbezogener Daten, der dem in der EU gebotenen Schutz der Sache nach gleichwertig ist. Angemessenheitsbeschlüsse haben zur Folge, dass personenbezogene Daten aus der EU (sowie aus Norwegen, Liechtenstein und Island) in ein Drittland übermittelt werden können, ohne dass es weiterer Schutzmaßnahmen bedarf.
Nachdem der Gerichtshof der Europäischen Union den vorherigen Angemessenheitsbeschluss zum Datenschutzschild EU-USA für ungültig erklärt hatte, nahmen die Europäische Kommission und die US-Regierung Gespräche über einen neuen Rahmen auf, in dem die vom Gerichtshof erhobenen Bedenken angegangen wurden.
Im März 2022 gaben Präsidentin von der Leyen und Präsident Biden bekannt, dass sie im Anschluss an die Verhandlungen zwischen Kommissionsmitglied Reynders und US-Handelsministerin Raimondo eine grundsätzliche Einigung über einen neuen transatlantischen Rahmen für den Datenverkehr erzielt haben. Im Oktober 2022 unterzeichnete Präsident Biden ein einschlägiges Dekret („Executive Order on Enhancing Safeguards for United States Signals Intelligence Activities“), das durch Verordnungen des US-Generalstaatsanwalts Garland ergänzt wurde. Mit diesen beiden Instrumenten wurden die von den Vereinigten Staaten im Rahmen dieser grundsätzlichen Einigung eingegangenen Verpflichtungen in US-amerikanisches Recht umgesetzt und die Pflichten der US-amerikanischen Unternehmen innerhalb des Datenschutzrahmens EU‑USA ergänzt.
Ein wesentliches Element des US-Rechtsrahmens, in dem diese Garantien verankert sind, ist das US-Dekret zur Verbesserung der Sicherheitsvorkehrungen für nachrichtendienstliche Tätigkeiten der Vereinigten Staaten im Bereich Fernmelde- und elektronische Aufklärung („Enhancing Safeguards for United States Signals Intelligence Activities“), in dem die vom Gerichtshof der Europäischen Union im „Schrems II“-Urteil vom Juli 2020 angeführten Kritikpunkte aufgegriffen werden.
Der Rahmen wird vom US-Handelsministerium verwaltet und überwacht. Die US-amerikanische Federal Trade Commission wird die Einhaltung der Vorschriften durch US-Unternehmen durchsetzen.
Facebook / Meta soll 1,2 Milliarden EURO Bußgeld wegen DSGVO-widriger Übermittlung personenbezogener Daten in die USA zahlen.
Die Pressemitteilung des European Data Protection Board (EDPB): 1.2 billion euro fine for Facebook as a result of EDPB binding decision
Brussels, 22 May - Following the EDPB’s binding dispute resolution decision of 13 April 2023, Meta Platforms Ireland Limited (Meta IE) was issued a 1.2 billion euro fine following an inquiry into its Facebook service, by the Irish Data Protection Authority (IE DPA). This fine, which is the largest GDPR fine ever, was imposed for Meta’s transfers of personal data to the U.S. on the basis of standard contractual clauses (SCCs) since 16 July 2020. Furthermore, Meta has been ordered to bring its data transfers into compliance with the GDPR.
Andrea Jelinek, EDPB Chair, said: “The EDPB found that Meta IE’s infringement is very serious since it concerns transfers that are systematic, repetitive and continuous. Facebook has millions of users in Europe, so the volume of personal data transferred is massive. The unprecedented fine is a strong signal to organisations that serious infringements have far-reaching consequences.”
In its binding decision of 13 April 2023, the EDPB instructed the IE DPA to amend its draft decision and to impose a fine on Meta IE. Given the seriousness of the infringement, the EDPB found that the starting point for calculation of the fine should be between 20% and 100% of the applicable legal maximum. The EDPB also instructed the IE DPA to order Meta IE to bring processing operations into compliance with Chapter V GDPR, by ceasing the unlawful processing, including storage, in the U.S. of personal data of European users transferred in violation of the GDPR, within 6 months after notification of the IE SA’s final decision.
The IE DPA's final decision incorporates the legal assessment expressed by the EDPB in its binding decision, adopted on the basis of Art. 65(1)(a) GDPR after the IE DPA, as lead supervisory authority (LSA), had triggered a dispute resolution procedure concerning the objections raised by several concerned supervisory authorities (CSAs). Among others, CSAs issued objections aiming to include an administrative fine and/or an additional order to bring processing into compliance*.
The final decision taken by the IE DPA is available in the Register for Decisions taken by supervisory authorities and courts on issues handled in the consistency mechanism.
Das LG Hamburg hat entschieden, dass auch dann ein wettbewerbswidriger Verstoß gegen die SEPA-Verordnung vorliegt, wenn die Zahlung per SEPA-Lastschrift von einem Konto aus dem EU-Ausland abgelehnt wird, wenn Kontoinhaber ein Dritter ist, der nicht zugleich Vertragspartner ist. Geklagt hatte die Wettbewerbszentrale.
Das VG Köln hat entschieden, dass sich eine juristische Person mit Sitz außerhalb der EUnicht auf Art. 5 Abs. 1 GG berufen kann.
Leitsätze des Gerichts:
Wer auftragsbasiert den Interessen Dritter durch strategische Beratung und andere Dienstleistungen der Öffentlichkeitsarbeit zum Zwecke einer öffentlichen Meinungsbildung im Sinne der Auftragsgeber dient und dabei auch Mittel, Methoden und Ausdrucksformen mit journalistisch-redaktionellem Anschein verwendet, kann sich nicht auf das Grundrecht der Pressefreiheit (Art. 5 Abs. 1 Satz 2 GG) berufen.
Presseethische Grundsätze können auch als freiwillige Selbstverpflichtung in Form eines Pressekodex für die Bestimmung des Schutzbereichs der Pressefreiheit relevant sein.
Eine juristische Person, die ihren Sitz außerhalb der Europäischen Union hat, kann sich nicht auf Art. 5 Abs. 1 GG berufen.
Aus den Entscheidungsgründen:
Es ist kein Anordnungsanspruch in Form einer Rechtsposition ersichtlich, die auf Art. 5 Abs. 1, Art. 19 Abs. 3 GG gestützt werden kann.
Gegen einen presserechtlichen Informationsanspruch (Art. 5 Abs. 1 Satz 2 GG),
vgl. dazu: VG Köln, Beschluss vom 22.08.2022 – 6 L 978/22 –, juris, Rn. 23 m. w. N.,
spricht bereits, dass die Antragstellerin keine Presse im Sinne des verfassungsunmittelbaren Informationsanspruchs ist. Publizistisch tätig, d. h. Vertreter der Presse, ist nur, wer deren Funktion wahrnimmt. Ob der erforderliche Funktionsbezug vorliegt, hängt von den jeweiligen Umständen des Einzelfalls ab; das schließt typisierende Bewertungen nicht aus. Der Schutz der Pressefreiheit knüpft nach Maßgabe des weiten und formalen Pressebegriffs an das Substrat einer Publikation in gedruckter oder digitalisierter und zur Verbreitung geeigneter und bestimmter Form an. Darüber hinaus wird in inhaltlicher Hinsicht vorausgesetzt, dass die Publikation am Kommunikationsprozess zur Ermöglichung freier individueller und öffentlicher Meinungsbildung teilnimmt. Dies ist ohne weiteres regelmäßig nur bei Presseunternehmen wie etwa Zeitungs- oder Zeitschriftenverlagen gerechtfertigt. Entsprechendes gilt für Journalisten und Redakteure, deren Berufsbild ebenfalls von der Wahrnehmung dieser Aufgabe geprägt wird. Bei anderen Unternehmen fehlt es an einer vergleichbar eindeutigen Verknüpfung zwischen Tätigkeit und publizistischem Zweck. In diesen Fällen bedarf daher näherer Prüfung, ob der erforderliche Funktionsbezug vorliegt. Insoweit ist darauf abzustellen, welche Tätigkeit das Unternehmen prägt und wofür die begehrten Informationen verwendet werden (sollen). Der Informationsanspruch knüpft an die Wahrnehmung der öffentlichen Aufgabe der Presse an. Dieser verfassungsrechtlich begründete Funktionsbezug verhindert ein zweckwidriges Ausufern des Kreises der Anspruchsberechtigten. Es ist daher jedenfalls zu verlangen, dass das journalistisch-redaktionell aufbereitete Angebot nach Inhalt und Verbreitungsart dazu bestimmt und geeignet ist, zur öffentlichen Kommunikation und Meinungsbildung beizutragen.
Vgl. BVerwG, Urteil vom 21.03.2019 – 7 C 26.17 –, juris, Rn. 24 ff. m. w. N.
An diesen Voraussetzungen fehlt es hier. Die Antragstellerin dient auftragsbasiert privaten Interessen oder auch Interessen von öffentlichen Trägern durch strategische Beratung und andere Dienstleistungen der Öffentlichkeitsarbeit zum Zwecke einer öffentlichen Meinungsbildung im Sinne der Auftragsgeber. Dazu verwendet sie möglicherweise auch Mittel, Methoden und Ausdrucksformen mit journalistisch-redaktionellem Anschein, die jedoch bereits aufgrund der Auftragsmotivation presseethischen Grundsätzen zuwiderlaufen, welche auch als freiwillige Selbstverpflichtung in Form von Pressekodices für die Bestimmung des Schutzbereichs der Pressefreiheit relevant sind.
Vgl. dazu: BVerwG, Urteil vom 13.10.2020 – 2 C 41.18 –, juris, Rn. 42; OVG NRW, Beschluss vom 27. 06.2012 – 5 B 1463/11 –, juris, Rn. 47; VG Saarland, Urteil vom 12.10.2006 – 1 K 64/05 –, juris, Rn. 60 ff.
In Ziffer 6. der Publizistischen Grundsätze (Pressekodex) des Deutschen Presserates in der Fassung vom 11.11.2019,
abrufbar auf www.presserat.de/pressekodex.html,
heißt es: „Journalisten und Verleger üben keine Tätigkeiten aus, die die Glaubwürdigkeit der Presse in Frage stellen könnten.“ Laut Ziffer 7. gebietet die Verantwortung der Presse gegenüber der Öffentlichkeit, dass redaktionelle Veröffentlichungen nicht durch private oder geschäftliche Interessen Dritter oder durch persönliche wirtschaftliche Interessen der Journalistinnen und Journalisten beeinflusst werden.
Im Übrigen nehmen auch nach der „Erklärung der Pflichten und Rechte der Journalistinnen und Journalisten“ im Journalistenkodex des Schweizer Presserates in der Fassung vom 05.06.2008,
abrufbar unter www.presserat.ch/journalistenkodex/erklaerung,
Journalistinnen und Journalisten weder Vorteile noch Versprechungen an, die geeignet sind, ihre berufliche Unabhängigkeit und die Äußerung ihrer persönlichen Meinung einzuschränken (Ziffer 9). Sie vermeiden in ihrer beruflichen Tätigkeit als Journalistinnen und Journalisten jede Form von kommerzieller Werbung und akzeptieren keinerlei Bedingungen von Seiten der Inserentinnen und Inserenten (Ziffer 10). Sie nehmen journalistische Weisungen nur von den hierfür als verantwortlich bezeichneten Mitgliedern ihrer Redaktion entgegen, und akzeptieren sie nur dann, wenn diese zur Erklärung der Pflichten der Journalistinnen und Journalisten nicht im Gegensatz stehen (Ziffer 10).
Die Antragstellerin trägt vor, „ein Redaktionsbüro für die Belieferung von deutschsprachigen Medien mit tagesaktuellen Inhalten“ zu betreiben. Ihr Geschäftsführer ist ausweislich des in Kopie vorgelegten Presseausweises ein in der Schweiz akkreditierter Journalist. Auf ihrer Internetseite „Internetadresse wurde entfernt“ bewirbt die Antragstellerin sich als „content creation company“ folgendermaßen:
„[…]“
Ausweislich der Eintragung im Handelsregister des Kantons B. B1. ,
abrufbar unter: „Internetadresse wurde entfernt“
ist der Gesellschaftszweck der Antragstellerin wie folgt bestimmt:
„[…]“
von Art. 5 Abs. 1 Satz 2 GG geschützter Funktionsbezug zur Ermöglichung freier individueller und öffentlicher Meinungsbildung durch ein journalistisch-redaktionell aufbereitetes Angebot ist angesichts der gewerblichen Förderung der Eigeninteressen Dritter zu verneinen. Das Fehlen eines solchen Funktionsbezugs zeigt sich auch daran, dass die Antragstellerin als juristische Person kein eigenes Medium im presserechtlichen Sinne, sondern „corporate publishing“ für ihre Kunden in anderen „Medienkanälen“ betreibt. Das materielle Grundrecht der Pressefreiheit schützt Marketing und Lobbyismus auch dann nicht, wenn diese in journalistischen Erscheinungsformen betrieben werden.
Darüber hinaus steht einem presserechtlichen Anspruch wie auch einem auf Art. 5 Abs. 1 Satz 1 GG gestützten Informationsfreiheitsanspruch der Antragstellerin entgegen, dass sie als ausländische juristische Person nicht grundrechtsberechtigt ist. Träger von Grundrechten sind in erster Linie natürliche Personen. Darüber hinaus gelten die Grundrechte gemäß Art. 19 Abs. 3 GG auch für inländische juristische Personen, soweit sie ihrem Wesen nach auf diese anwendbar sind. Ausländische juristische Personen können sich dagegen nicht auf materielle Grundrechte berufen. Wortlaut und Sinn von Art. 19 Abs. 3 GG verbieten eine ausdehnende Auslegung auf ausländische juristische Personen im Hinblick auf materielle Grundrechte; die Staatsangehörigkeit der hinter der juristischen Person stehenden natürlichen Personen ist dabei unerheblich. Eine Ausnahme bilden nur ausländische juristische Personen, die ihren Sitz in der Europäischen Union haben. Auf diese juristischen Personen ist die Grundrechtsberechtigung zu erstrecken, wenn ein hinreichender Inlandsbezug besteht, der die Geltung der Grundrechte in gleicher Weise wie für inländische juristische Personen geboten erscheinen lässt.
Vgl. BVerfG, Beschluss vom 27.06.2018 – 2 BvR 1287/17 –, juris, Rn. 26 ff. m. w. N.; BFH, Beschluss vom 24.01.2001 – I R 81/99 –, juris, Rn. 8 f.
Die Antragstellerin ist eine Gesellschaft mit beschränkter Haftung im Sinne der Art. 772 - 827 des schweizerischen Obligationenrechts mit Sitz in C. (Kanton B. B1. ) sowie weiteren Niederlassungen in C1. (Kanton A. ) und in A1. Die Schweizerische Eidgenossenschaft ist nicht Mitglied der Europäischen Union. Eine Erstreckung der Grundrechtsberechtigung auf schweizerische juristische Personen ergibt sich auch nicht aufgrund eines bilateralen Vertrages zwischen der Schweiz und der Bundesrepublik Deutschland oder der Europäischen Union.
Vgl. dazu: BFH, Urteil vom 08.08.2013 – V R 3/11 –, juris, Rn. 38.
Unabhängig von der Frage eines Anordnungsanspruchs ist auch kein Anordnungsgrund glaubhaft gemacht. Ein Anordnungsgrund für den Erlass einer einstweiligen Anordnung, die wie hier auf die Vorwegnahme der Hauptsache gerichtet ist, besteht nur dann, wenn dem Antragsteller ohne deren Erlass schwere und unzumutbare Nachteile drohen, die nachträglich durch die Entscheidung in der Hauptsache nicht mehr beseitigt werden können.
Vgl. OVG NRW, Beschluss vom 17.01.2018 – 13 C 59/17 –, juris, Rn. 2 m. w. N.
Derartige Nachteile hat die Antragstellerin nicht glaubhaft gemacht. Es ist ihr auch ohne die begehrte Anordnung möglich, als Abonnentin („Follower“) des Twitter-Accounts des Bundesministeriums für Gesundheit (im Folgenden: Bundesministerium) von denjenigen Nachrichten („Tweets“) des Twitter-Accounts „Account-Adresse01“, die das Bundesministerium auf seinem Account @BMG_Bund mit Followern teilt („Retweets“), in zumutbarer Weise Kenntnis zu nehmen. Wenn die Antragsgegnerin auf ihrem eigenen Account Nachrichten des Twitter-Profils „Account-Adresse01“ mit Abonnenten teilt, wird die Antragstellerin davon unmittelbar in Kenntnis gesetzt. Zwar kann die Antragstellerin den Inhalt dieser Retweets nicht unmittelbar auf dem Account der Antragsgegnerin lesen, weil sie – die Antragstellerin – vom Nutzer des Accounts „Account-Adresse01“ blockiert worden ist. Allerdings ist es ihr ohne weiteres möglich, im Falle eines solchen Retweets den Inhalt der Twitter-Nachricht auf der Internetseite „Internetadresse wurde entfernt“ nachzulesen, auf der der Twitter-Feed des Accounts „Account-Adresse01“ eingebettet ist. Es ist weder substantiiert vorgetragen noch sonst ersichtlich, warum ihr trotz dieser Möglichkeit schwere und unzumutbare Nachteile drohen, die nicht mehr nachträglich durch eine Entscheidung in der Hauptsache beseitigt werden könnten.
The European Commission and the United States announce that they have agreed in principle on a new Trans-Atlantic Data Privacy Framework, which will foster trans-Atlantic data flows and address the concerns raised by the Court of Justice of the European Union in the Schrems II decision of July 2020.
The new Framework marks an unprecedented commitment on the U.S. side to implement reforms that will strengthen the privacy and civil liberties protections applicable to U.S. signals intelligence activities. Under the Trans-Atlantic Data Privacy Framework, the United States is to put in place new safeguards to ensure that signals surveillance activities are necessary and proportionate in the pursuit of defined national security objectives, establish a two-level independent redress mechanism with binding authority to direct remedial measures, and enhance rigorous and layered oversight of signals intelligence activities to ensure compliance with limitations on surveillance activities.
The Trans-Atlantic Data Privacy Framework reflects more than a year of detailed negotiations between the U.S. and E.U. led by Secretary of Commerce Gina Raimondo and Commissioner for Justice Didier Reynders. It will provide a durable basis for trans-Atlantic data flows, which are critical to protecting citizens' rights and enabling trans-Atlantic commerce in all sectors of the economy, including for small and medium enterprises. By advancing cross-border data flows, the new framework will promote an inclusive digital economy in which all people can participate and in which companies of all sizes from all of our countries can thrive.
The announcement is another demonstration of the strength of the U.S.-EU relationship, in that we continue to deepen our partnership as a community of democracies to ensure both security and respect for privacy and to enable economic opportunities for our companies and citizens. The new Framework will facilitate further U.S.-EU cooperation, including through the Trade and Technology Council and through multilateral fora, such as the Organisation for Economic Cooperation and Development, on digital policies.
The teams of the U.S. Government and the European Commission will now continue their cooperation with a view to translate this arrangement into legal documents that will need to be adopted on both sides to put in place this new Trans-Atlantic Data Privacy Framework. For that purpose, these U.S. commitments will be included in an Executive Order that will form the basis of the Commission's assessment in its future adequacy decision.
Fact Sheet:
The European Commission and the United States reached an agreement in principle for a Trans-Atlantic Data Privacy Framework.
Key principles
• Based on the new framework, data will be able to flow freely and safely between the EU and participating U.S. companies
• A new set of rules and binding safeguards to limit access to data by U.S. intelligence authorities to what is necessary and proportionate to protect national security; U.S. intelligence agencies will adopt procedures to ensure effective oversight of new privacy and civil liberties standards
• A new two-tier redress system to investigate and resolve complaints of Europeans on access of data by U.S. Intelligence authorities, which includes a Data Protection Review Court
• Strong obligations for companies processing data transferred from the EU, which will continue to include the requirement to self-certify their adherence to the Principles through the U.S. Department of Commerce
• Specific monitoring and review mechanisms
Benefits of the deal
• Adequate protection of Europeans’ data transferred to the US, addressing the ruling of the European Court of Justice (Schrems II)
• Safe and secure data flows
• Durable and reliable legal basis
• Competitive digital economy and economic cooperation
• Continued data flows underpinning €900 billion in cross-border commerce every year
Next steps: The agreement in principle will now be translated into legal documents. The U.S.
commitments will be included in an Executive Order that will form the basis of a draft adequacy
decision by the Commission to put in place the new Trans-Atlantic Data Privacy Framework.
Das OLG Frankfurt hat entschieden, dass die EuGH-Rechtsprechung zum Umverpacken von Arzneimitteln mangels grenzüberschreitendem Bezug bei reinen Inlandssachverhalten nicht anwendbar ist.
Aus den Entscheidungsgründen:
"Die zulässige Berufung der Beklagten hat in der Sache Erfolg.
Der Klägerin steht der geltend gemachte Unterlassungsanspruch aus Art. 9 Abs. 2a UMV nicht zu, da die Klägerin sich dem weiteren Vertrieb der erschöpften Waren mangels berechtigter Gründe nicht nach Art. 15 Abs. 2 UMV widersetzen kann.
1. Gemäß Art. 15 Abs. 2 UMV kann sich ein Dritter nicht auf die Erschöpfung des Rechts des Markeninhabers aus der Gemeinschaftsmarke berufen, wenn berechtigte Gründe es rechtfertigen, dass der Inhaber sich dem weiteren Vertrieb der Waren widersetzt, insbesondere wenn der Zustand der Waren nach ihrem Inverkehrbringen verändert oder verschlechtert ist. Eine derartige Veränderung kann auch darin liegen, dass die Verpackung (z.B. durch Aufkleber) verändert wird. Zwar betrifft eine Veränderung der Umverpackung streng genommen nicht die „Ware“ selbst, sondern eben nur die Verpackung der Ware, sodass diese Veränderung vom Wortlaut des Abs. 2 nicht erfasst wäre. Änderungen der Verpackung können jedoch jedenfalls dann erhebliche Eingriffe sein, die die Erschöpfung entfallen lassen, wenn der Verkehr die Verpackung als für das Produkt wesentlich ansieht, es z.B. üblicherweise in einer verschlossenen Originalverpackung verkauft wird und der Verkehr gerade auf die Integrität der Verpackung Wert legt. Dies ist typischerweise bei Produktverpackungen von Arzneimitteln der Fall (vgl. EuGH GRUR 2002, 879 Rn 34 - Boehringer Ingelheim).
2. Die für das Umverpacken von Arzneimitteln durch den Europäischen Gerichtshof und den Bundesgerichtshof für Art. 15 Abs. 2 UMV entwickelten fünf Kriterien, die kumulativ für eine zulässige Veränderung der Produktverpackung von Arzneimitteln vorliegen müssen, sind hier nicht anwendbar, da es sich nicht um einen grenzüberschreitenden Sachverhalt handelt. Die Beklagte hat nicht vorgetragen, dass es sich um parallelimportierte Ware gehandelt hat.
Grundlage für die Rechtsprechung des EuGH zu Fällen des Umverpackens von Arzneimitteln und Medizinprodukten bei Fällen des Parallelimports ist die Warnverkehrsfreiheit des Art. 34 AEUV. Die Geltendmachung der Marke gegenüber dem Vertrieb veränderter Ware kann zu einer künstlichen Abschottung der Märkte zwischen Mitgliedstaaten und damit zu einer verschleierten Beschränkung des Handels zwischen den Mitgliedstaaten im Sinne von Art. 34 S. 2 AEUV beitragen (EuGH GRUR 2007, 586 Rn 37 - Boehringer Ingelheim/Swingward II; EuGH GRUR 2018, 736 Rn 25 - Debrisoft; BGH GRUR 2017, 71 Rn 15 - Debrisoft; OLG Frankfurt am Main GRUR-RR 2019, 426 Rn 16). Bei reinen Inlandssachverhalten ist eine solche Gefährdung ausgeschlossen.
3. Die danach nach Art. 15 Abs. 2 UMV vorzunehmende Gesamtbetrachtung führt hier dazu, dass die Klägerin keine berechtigten Gründe hat, sich der Erschöpfung der Ware zu widersetzen.
a) Die Beklagte hat ein berechtigtes Interesse daran, die PZN der Klägerin durch ihre eigene zu ersetzen. Ohne die von der Beklagten angebrachte eigene PZN sind die von der Beklagten angebotenen Packungen nicht mittels des Warenwirtschafts- und Abrechnungssystems von den Packungen der Klägerin zu unterscheiden. Andernfalls könne die Klägerin nämlich Wettbewerber von einem gleichwertigen Zugang zur elektronischen Warenwirtschaft ausschließen. Könnte die PZN nicht angebracht werden, würde kein Weitervertrieb möglich sein oder dieser zumindest erheblich erschwert, so dass im Endeffekt die Klägerin weiterhin Kontrolle über die Vertriebswege hätte, was mit dem Erschöpfungsgrundsatz unvereinbar wäre; zudem wäre auch der Preiswettbewerb erheblich behindert.
Damit unterstützt das Überkleben der PZN durch eine neue PZN der Beklagten den Normzweck der Erschöpfungsregelungen, der darin besteht, das Markenrecht angemessen zu begrenzen. Mit den Interessen des Wirtschaftsverkehrs - gleich ob auf nationaler oder europäischer Ebene - ist es unvereinbar, den weiteren Vertrieb von Waren, die mit Zustimmung des Zeicheninhabers gekennzeichnet und in den Verkehr gebracht worden sind, markenrechtlich zu behindern.
b) Aus der Tatsache, dass die Beklagte durch das Anbringen des eigenen PZN-Aufklebers die Klagemarke verdeckt hat, kann nichts Anderes folgen.
Allerdings kann das Überdecken der Marke grundsätzlich geeignet sein, die Herkunftsfunktion der Klagemarke zu beeinträchtigen. Indes kann nicht jedes Überkleben der Marke zwangsläufig zu einer derartigen Beeinträchtigung führen. Sonst hätte es der Markeninhaber in der Hand, durch eine mehrfache, großflächige Verteilung seiner Marke auf der Verpackung zu verhindern, dass die von in den Verkehr gebrachte Ware erschöpft und weitervertrieben werden kann. Vielmehr ist auf die konkrete Gestaltung im Einzelfall abzustellen. Entgegen der Auffassung der Klägerin ergibt sich auch weder aus der Rechtsprechung des EuGH (EuGH GRUR 2018, 736 - Debrisoft) noch des BGH (GRUR 2019, 515, Rn 22 - Debrisoft II), dass jede Überdeckung der Marke zwangsläufig dazu führt, dass eine Erschöpfung ausgeschlossen ist. Vielmehr wurde dort eine Markenverletzung auch deshalb abgelehnt, weil das Nichtüberkleben der Marke eine Verletzung ausschließe. Der Umkehrschluss, damit sei jedes Überkleben als eine Markenverletzung anzusehen, ist jedoch weder durch die Rechtsprechung des EuGH und BGH gedeckt noch mit den Gesetzen der Logik vereinbar.
In der vorliegenden konkreten Gestaltung sieht der Senat keine Verletzung berechtigter Interessen der Markeninhaberin. Die überdeckte Marke ist auf dem Ursprungsaufkleber lediglich im Fließtext nicht herausgehoben wiedergegeben, so dass schon fraglich erscheint, ob das Zeichen überhaupt markenmäßig oder nicht vielmehr firmenmäßig benutzt wird. Jedenfalls hat die Marke an dieser Stelle für die Kennzeichnung des Produkts keine nennenswerte Bedeutung. Die Klagemarke findet sich weiterhin unverändert auf allen Verpackungsseiten an prominenter Stelle in deutlich größerer Form. Diese Kennzeichnungen hat die Beklagte nicht verändert. Bei dieser Sachlage liegt insbesondere kein Fall vor, in welchem im Sinne der Debrisoft-Entscheidung des EuGH „die Marke verdeckt“ wird (EuGH GRUR 2018, 736 Rn 35 - Debrisoft; vgl. schon OLG Frankfurt am Main GRUR-RR 2019, 426 Rn 26). Vielmehr liegt der Gedanke nahe, dass die Klägerin die Marke an dieser unauffälligen und ungewöhnlichen Stelle bewusst unter dem Barcode und neben der PZN angebracht hat, um zu provozieren, dass bei der nötigen (und zulässigen) Anbringung der PZN durch die Beklagte die Marke mit überdeckt wird. Ob dies die Absicht der Klägerin war, kann jedoch im Ergebnis dahinstehen."
Die EU-Kommission hat die Angemessenheitsbeschlüsse zur Übermittlung personenbezogener Daten nach der DSGVO in das Vereinigte Königreich und zum Datenschutz bei der Strafverfolgung angenommen:
Datenschutz: Kommission nimmt Angemessenheitsbeschlüsse zum Vereinigten Königreich an
Die Kommission hat heute zwei Angemessenheitsbeschlüsse zum Vereinigten Königreich angenommen - einen im Rahmen der Datenschutzgrundverordnung (DSGVO) und einen im Rahmen der Richtlinie zum Datenschutz bei der Strafverfolgung. Beide Beschlüsse treten heute in Kraft. Personenbezogene Daten können nun ungehindert aus der Europäischen Union in das Vereinigte Königreich fließen, wo für sie dort ein Schutzniveau gilt, das dem nach dem EU-Recht garantierten Schutzniveau der Sache nach gleichwertig ist Die beiden Angemessenheitsbeschlüsse erleichtern zudem die ordnungsgemäße Umsetzung des Handels- und Kooperationsabkommens zwischen der EU und dem Vereinigten Königreich, welches den Austausch personenbezogener Daten (beispielsweise im Rahmen der justiziellen Zusammenarbeit) vorsieht. Datenübermittlungen für die vom Vereinigten Königreich praktizierte Einwanderungskontrolle sind vom sachlichen Geltungsbereich des im Rahmen der DSGVO angenommenen Angemessenheitsbeschlusses ausgenommen. Beide Angemessenheitsbeschlüsse enthalten starke Garantien für den Fall etwaiger künftiger Abweichungen, darunter eine Verfallsklausel, durch die ihre jeweilige Geltungsdauer auf vier Jahre begrenzt wird.
Věra Jourová (Vizepräsidentin für Werte und Transparenz) erklärte dazu: „Das Vereinigte Königreich ist zwar aus der EU ausgetreten, aber seine rechtlichen Bestimmungen zum Schutz personenbezogener Daten sind noch die alten. Aus diesem Grund haben wir heute diese beiden Angemessenheitsbeschlüsse angenommen. Zugleich haben wir die Bedenken, die vom Parlament, von den Mitgliedstaaten und vom Europäischen Datenschutzausschuss unter anderem hinsichtlich möglicher künftiger Abweichungen von unseren Standards im Datenschutzrahmen des Vereinigten Königreichs geäußert worden sind, sehr aufmerksam zur Kenntnis genommen. Es geht hier um ein Grundrecht der EU-Bürgerinnen und -Bürger, das wir schützen müssen. Aus diesem Grund haben wir umfangreiche Garantien vorgesehen, und falls sich auf Seiten des Vereinigten Königreichs die Gegebenheiten ändern, werden wir sofort eingreifen.“
Didier Reynders (Kommissar für Justiz) fügte hinzu: „Nach monatelanger sorgfältiger Prüfung können wir den EU-Bürgerinnen und -Bürgern heute die Gewissheit geben, dass ihre personenbezogenen Daten bei Übermittlungen in das Vereinigte Königreich geschützt sind. Dies ist ein wesentlicher Bestandteil unserer neuen Beziehungen zum Vereinigten Königreich. Er ist wichtig für einen reibungslosen Handel und eine wirksame Kriminalitätsbekämpfung. Die Kommission wird eng verfolgen, wie sich das System des Vereinigten Königreichs künftig entwickelt. Um dies zu ermöglichen und gegebenenfalls eingreifen zu können, haben wir unsere Beschlüsse verstärkt. Die EU hat die höchsten Standards auf dem Gebiet des Schutzes personenbezogener Daten, und diese dürfen nicht beeinträchtigt werden, wenn personenbezogene Daten ins Ausland übermittelt werden.“
Wichtigste Elemente der Angemessenheitsbeschlüsse
Das Datenschutzsystem des Vereinigten Königreichs basiert weiterhin auf denselben Regeln, die galten, als das Vereinigte Königreich noch Mitgliedstaat der EU war. Das Vereinigte Königreich hat die Grundsätze, Rechte und Pflichten der DSGVO und der Richtlinie zum Datenschutz bei der Strafverfolgung vollumfänglich in sein heutiges, seit dem Brexit geltendes Rechtssystem übernommen.
In Bezug auf den Zugriff auf personenbezogene Daten durch Behörden im Vereinigten Königreich (insbesondere aus Gründen der nationalen Sicherheit) sieht das System des Vereinigten Königreichs starke Garantien vor. Insbesondere die Datenerhebungen durch Nachrichtendienste unterliegen der vorherigen Genehmigung durch ein unabhängiges Rechtsorgan. Alle Maßnahmen müssen notwendig und im Hinblick auf das verfolgte Ziel verhältnismäßig sein. Wer sich unrechtmäßiger Überwachungsmaßnahmen ausgesetzt sieht, kann Klage beim Investigatory Powers Tribunal (Gericht für Ermittlungsbefugnisse) einreichen. Das Vereinigte Königreich unterliegt zudem der Rechtsprechung des Europäischen Gerichtshofs für Menschenrechte, der Europäischen Menschenrechtskonvention und dem Übereinkommen des Europarats zum Schutz des Menschen bei der automatischen Verarbeitung personenbezogener Daten, dem einzigen verbindlichen internationalen Übereinkommen auf dem Gebiet des Datenschutzes. Diese völkerrechtlichen Verpflichtungen sind ein wesentlicher Bestandteil des in den beiden Angemessenheitsbeschlüssen bewerteten Rechtsrahmens.
Die Angemessenheitsbeschlüsse enthalten erstmals eine Verfallsklausel, durch die ihre Geltungsdauer strikt begrenzt wird: Beide Beschlüsse laufen vier Jahre nach ihrem Inkrafttreten aus. Danach könnten sie erneuert werden, falls das Vereinigte Königreich weiterhin ein angemessenes Datenschutzniveau sicherstellt. Während dieser vier Jahre wird die Kommission die Rechtslage im Vereinigten Königreich weiterhin im Blick behalten und jederzeit eingreifen können, falls das Vereinigte Königreich von dem derzeit bestehenden Datenschutzniveau abweicht. Sollte die Kommission beschließen, die Angemessenheitsbeschlüsse zu erneuern, würde der Annahmeprozess erneut eingeleitet.
Datenübermittlungen für die vom Vereinigten Königreich praktizierte Einwanderungskontrolle sind vom sachlichen Geltungsbereich des im Rahmen der DSGVO angenommenen Angemessenheitsbeschlusses ausgenommen, um einer unlängst ergangenen Entscheidung des Berufungsgerichts von England und Wales über die Gültigkeit und die Auslegung bestimmter Einschränkungen der Datenschutzrechte in diesem Bereich Rechnung zu tragen. Sobald diese Situation nach dem Recht des Vereinigten Königreichs geklärt ist, wird die Kommission die Notwendigkeit dieses Ausschlusses neu prüfen.
Hintergrund
Die Kommission hat am 19. Februar zwei Entwürfe von Angemessenheitsbeschlüssen veröffentlicht und das Verfahren zu ihrer Annahme eingeleitet. In den vergangenen Monaten hat die Kommission die Rechtsvorschriften und die Praktiken des Vereinigten Königreichs auf dem Gebiet des Schutzes personenbezogener Daten einschließlich der Bestimmungen über den Datenzugriff von Behörden im Vereinigten Königreich gründlich bewertet. Die Kommission stand in engem Kontakt mit dem Europäischen Datenschutzausschuss, der seine einschlägige Stellungnahme am 13. April abgegeben hat, mit dem Europäischen Parlament und mit den Mitgliedstaaten. Nach dieser gründlichen Prüfung holte die Europäische Kommission im Rahmen des sogenannten Ausschussverfahrens die Zustimmung der Vertreter der Mitgliedstaaten zu den beiden Angemessenheitsbeschlüssen ein. Die heute erfolgte, an die Zustimmung der Vertreter der Mitgliedstaaten anschließende Annahme der Beschlüsse war der letzte Schritt dieses Verfahrens. Die beiden Angemessenheitsbeschlüsse treten heute in Kraft.
Das Handels- und Kooperationsabkommen zwischen der EU und dem Vereinigten Königreich enthält eine Selbstverpflichtung der EU und des Vereinigten Königreichs zur Aufrechterhaltung hoher Datenschutzstandards. Das Abkommen sieht zudem vor, dass jede im Zuge seiner Umsetzung durchzuführende Datenübermittlung im Einklang mit den maßgeblichen Datenschutzvorschriften der übermittelnden Vertragspartei (im Falle der EU sind dies die DSGVO und die Richtlinie zum Datenschutz bei der Strafverfolgung) stehen müssen. Die Annahme der beiden einseitigen und eigenständigen Angemessenheitsbeschlüsse ist eine wichtige Maßnahme zur Sicherstellung der ordnungsgemäßen Anwendung und des reibungslosen Funktionierens des Abkommens. Das Handels- und Kooperationsabkommen zwischen der EU und dem Vereinigten Königreich sieht ferner eine bedingte Übergangsregelung vor, in deren Rahmen Daten ungehindert aus der EU in das Vereinigte Königreich übermittelt werden können. Der Übergangszeitraum endet am 30. Juni 2021.
Die EU-Kommission hat die neuen Standardvertragsklauseln angenommen. Ob diese den strengen rechtliche Anforderungen genügen, ist nach wie vor sehr fraglich.
European Commission adopts new tools for safe exchanges of personal data
Today, the European Commission adopted two sets of standard contractual clauses, one for use between controllers and processors and one for the transfer of personal data to third countries. They reflect new requirements under the General Data Protection Regulation (GDPR) and take into account the Schrems II judgement of the Court of Justice, ensuring a high level of data protection for citizens. These new tools will offer more legal predictability to European businesses and help, in particular, SMEs to ensure compliance with requirements for safe data transfers, while allowing data to move freely across borders, without legal barriers.
The new standard contractual clauses take into account the joint opinion of the European Data Protection Board and the European Data Protection Supervisor, feedback from stakeholders during a broad public consultation and the opinion of Member States' representatives.
Vice-President for Values and Transparency, Vera Jourová said: “In Europe, we want to remain open and allow data to flow, provided that the protection flows with it. The modernised Standard Contractual Clauses will help to achieve this objective: they offer businesses a useful tool to ensure they comply with data protection laws, both for their activities within the EU and for international transfers. This is a needed solution in the interconnected digital world where transferring data takes a click or two.”
Commissioner for Justice, Didier Reynders, said: “In our modern digital world, it is important that data can be shared with the necessary protection - inside and outside the EU. With these reinforced clauses, we are giving more safety and legal certainty to companies for data transfers. After the Schrems II ruling, it was our duty and priority to come up with user-friendly tools, which companies can fully rely on. This package will significantly help companies to comply with the GDPR.”
Main Innovations
The standard contractual clauses published today reflect new requirements under the General Data Protection Regulation and address the realities faced by modern business. Thanks to their standardisation and pre-approval, the SCCs provide companies with an easy-to-implement template. Companies know that when they use this template they meet data protection requirements.
Main innovations of the new standard contractual clauses:
Update in line with the General Data Protection Regulation (GDPR);
One single entry-point covering a broad range of transfer scenarios, instead of separate sets of clauses;
More flexibility for complex processing chains, through a ‘modular approach' and by offering the possibility for more than two parties to join and use the clauses;
Practical toolbox to comply with the Schrems II judgment; i.e. an overview of the different steps companies have to take to comply with the Schrems II judgment as well as examples of possible ‘supplementary measures', such as encryption, that companies may take if necessary
For controllers and processors that are currently using previous sets of standard contractual clauses, a transition period of 18 months is provided.
These standard contractual clauses are adopted at a moment where a number of regional organisations and third countries are developing or have issued their own standard contractual clauses on the basis of converging principles. The Commission will intensify its cooperation with these international partners to further facilitate data transfers between different regions of the world.
Background
The General Data Protection Regulation (GDPR) entered into force on 24 May 2016 and became applicable on 25 May 2018. The standard contractual clauses are standardised and pre-approved model data protection clauses that can be incorporated into contractual arrangements on a voluntary basis, providing an easy-to-implement tool to comply with data protection requirements.
The Commission can adopt standard contractual clauses for the relationship between controllers and processors, as a tool to help to demonstrate compliance with the GDPR. In addition, the Commission can adopt standard contractual clauses providing data protection safeguards for data to be transferred internationally.
On July 16, 2020, the Court of Justice confirmed the validity of the EU Standard Contractual Clauses for the transfer of personal data to processors outside the EU/EEA ("SCCs"), while invalidating the EU–U.S. Privacy Shield. Thus, the Court has ruled that international data flows under the European Union's comprehensive data protection regime, the General Data Protection Regulation (GDPR), can continue to be based on EU Standard Contractual Clauses, while also further clarifying the conditions under which they can be used.
Das LG Stuttgart hat entschieden, dass eine Versicherung die Zahlung des Versicherungsbeitrags per SEPA-Lastschrift nicht auf deutsche Konten beschränken. Es liegt ein nach § 3a UWG wettbewerbswidriger Verstoß gegen die Marktverhaltensregelung Art. 9 Abs. 2 SEPA-VO vor. Geklagt hatte die Wettbewerbszentrale.
Die Konferenz der unabhängigen Datenschutzaufsichtsbehörden des Bundes und der Länder (DSK) hat mitgeteilt, dass Datenübermittlungen nach Großbritannien und Nordirland nach Abschluss des Brexit-Deals jedenfalls binnen viermonatiger Übergangsfrist weiter möglich ist.
Die Pressemitteilung des DSK:
Vorläufige Rechtssicherheit für Datenübermittlungen in das Vereinigte Königreich – Entwurf des Brexit-Abkommens bietet viermonatige Übergangsfrist ab dem 01. Januar 2021
Die Konferenz der unabhängigen Datenschutzaufsichtsbehörden des Bundes und der Länder (DSK) weist Unternehmen, Behörden und andere Institutionen in Deutschland darauf hin, dass in den Schlussbestimmungen des Entwurfs eines Handels- und Zusammenarbeitsabkommens zwischen dem Vereinigten Königreich und der Europäischen Union eine neue Übergangsregelung für Datenübermittlungen vorgesehen ist, die den bisher befürchteten gravierenden Rechtsunsicherheiten vorbeugt (Article 10A Interim provision for transmission of personal data to the United Kingdom, S. 406 ff.).
Danach sollen Übermittlungen personenbezogener Daten von der EU in das Vereinigte Königreich Großbritannien und Nordirland für eine Übergangsperiode nicht als Übermittlungen in ein Drittland (Art. 44 DSGVO) angesehen werden. Diese Periode beginnt mit dem In-Kraft-Treten des Abkommens und endet, wenn die EU-Kommission das Vereinigte Königreich betreffende Adäquanzentscheidungen nach Art. 45 Abs. 3 DSGVO und Art. 36 Abs. 3 Richtlinie (EU) 2016/680 getroffen hat, spätestens jedoch nach vier Monaten. Dieses Enddatum kann um zwei Monate verlängert werden, falls keine der beteiligten Parteien widerspricht.
Andreas Schurig: „Damit sind Übermittlungen in das Vereinigte Königreich vorerst weiterhin unter den bisherigen Voraussetzungen möglich. Gravierende Erschwernisse für die betroffenen Unternehmen werden so zunächst vermieden. Allerdings ist jetzt die EU-Kommission in der Pflicht, tragfähige Adäquanzentscheidungen vorzulegen, die auch die aktuelle Rechtsprechung des Europäischen Gerichtshofs berücksichtigen und von den Mitgliedstaaten genauso wie vom Europäischen Datenschutzausschuss sorgfältig zu prüfen sein werden.“
