Skip to content

EuGH: Anforderung von EncroChat-Daten aus Frankreich durch deutsche Staatsanwaltschaft per Europäischer Ermittlungsanordnung unionsrechtskonform

EuGH
Urteil vom
C-670/22
Staatsanwaltschaft Berlin - EncroChat


Der EuGH hat entschieden, dass die Anforderung von EncroChat-Daten aus Frankreich durch die deutsche Staatsanwaltschaft per Europäischer Ermittlungsanordnung unionsrechtskonform ist.

Die Pressemitteilung des EuGH:
EncroChat: Der Gerichtshof präzisiert die Voraussetzungen für die Übermittlung und die Verwendung von Beweismitteln im grenzüberschreitenden Strafverfahren

Im Zusammenhang mit in Deutschland geführten Strafverfahren wegen illegalen Handeltreibens mit Betäubungsmitteln mit Hilfe des EncroChat-Diensts für verschlüsselte Telekommunikation präzisiert der Gerichtshof bestimmte, sich aus der Richtlinie über die Europäische Ermittlungsanordnung in Strafsachen ergebende Voraussetzungen für die Übermittlung und Verwendung von Beweismitteln. So kann eine Europäische Ermittlungsanordnung, die auf die Übermittlung von Beweismitteln gerichtet ist, die von einem anderen Mitgliedstaat bereits erhoben wurden, unter bestimmten Voraussetzungen von einem Staatsanwalt erlassen werden. Für ihren Erlass ist es nicht erforderlich, dass die Voraussetzungen erfüllt sind, die für die Erhebung der Beweismittel im Anordnungsstaat gelten. Eine spätere gerichtliche Überprüfung der Wahrung der Grundrechte der betroffenen Personen muss allerdings möglich sein. Außerdem ist ein Mitgliedstaat von einer Überwachungsmaßnahme, die ein anderer Mitgliedstaat auf seinem Hoheitsgebiet vornimmt, rechtzeitig zu unterrichten. Das Strafgericht muss unter bestimmten Voraussetzungen Beweismittel unberücksichtigt lassen, wenn die betroffene Person nicht in der Lage ist, zu ihnen Stellung zu nehmen.

Der französischen Polizei gelang es mit Hilfe niederländischer Experten und nach Genehmigung durch ein französisches Gericht, den EncroChat-Dienst für verschlüsselte Telekommunikation zu infiltrieren. Dieser Dienst wurde auf Kryptohandys weltweit für den illegalen Handel mit Betäubungsmitteln genutzt. Das deutsche Bundeskriminalamt konnte die so gesammelten Daten der EncroChat-Nutzer in Deutschland auf einem EuropolServer abrufen.

Auf von der deutschen Staatsanwaltschaft erlassene Europäische Ermittlungsanordnungen hin genehmigte das französische Gericht die Übermittlung dieser Daten und ihre Verwendung in Strafverfahren in Deutschland.

Das mit einem solchen Verfahren befasste Landgericht Berlin hat Zweifel an der Rechtmäßigkeit dieser Europäischen Ermittlungsanordnungen. Es hat deshalb dem Gerichtshof mehrere Fragen zur Richtlinie über die Europäische Ermittlungsanordnung in Strafsachen1 zur Vorabentscheidung vorgelegt.

Der Gerichtshof antwortet, dass eine Europäische Ermittlungsanordnung, die auf die Übermittlung von Beweismitteln gerichtet ist, die sich bereits im Besitz der zuständigen Behörden des Vollstreckungsstaats (hier: Frankreich) befinden, nicht notwendigerweise von einem Richter erlassen werden muss. Sie kann von einem Staatsanwalt erlassen werden, wenn dieser in einem rein innerstaatlichen Verfahren dafür zuständig ist, die Übermittlung bereits erhobener Beweise anzuordnen.

Der Erlass einer solchen Anordnung unterliegt denselben materiell-rechtlichen Voraussetzungen, wie sie für die Übermittlung ähnlicher Beweismittel bei einem rein innerstaatlichen Sachverhalt gelten. Dagegen ist nicht erforderlich, dass er denselben materiell-rechtlichen Voraussetzungen unterliegt, wie sie für die Erhebung der Beweise gelten. Der Umstand, dass im vorliegenden Fall die französischen Behörden diese Beweise in Deutschland und im Interesse der deutschen Behörden erhoben haben, ist insoweit grundsätzlich unerheblich. Jedoch muss ein Gericht, das mit einem Rechtsbehelf gegen diese Anordnung befasst ist, die Wahrung der Grundrechte der betroffenen Personen überprüfen können.

Der Gerichtshof stellt außerdem klar, dass der Mitgliedstaat, in dem sich die Zielperson der Überwachung befindet (hier: Deutschland), von einer mit der Infiltration von Endgeräten verbundenen Maßnahme zur Abschöpfung von Verkehrs-, Standort- und Kommunikationsdaten eines internetbasierten Kommunikationsdienstes unterrichtet werden muss. Die zuständige Behörde dieses Mitgliedstaats hat dann die Möglichkeit, mitzuteilen, dass die Überwachung des Telekommunikationsverkehrs nicht durchgeführt werden kann oder zu beenden ist, wenn diese Überwachung in einem vergleichbaren innerstaatlichen Fall nicht genehmigt würde. Diese Verpflichtungen und diese Möglichkeiten sollen nicht nur die Achtung der Souveränität des unterrichteten Mitgliedstaats gewährleisten, sondern dienen auch dem Schutz der betroffenen Personen.

Das nationale Strafgericht muss in einem Strafverfahren gegen eine Person, die der Begehung von Straftaten verdächtig ist, Beweismittel unberücksichtigt lassen, wenn die betroffene Person nicht in der Lage ist, zu ihnen Stellung zu nehmen, und wenn sie geeignet sind, die Würdigung der Tatsachen maßgeblich zu beeinflussen.


Tenor der Entscheidung:
1. Art. 1 Abs. 1 und Art. 2 Buchst. c der Richtlinie 2014/41/EU des Europäischen Parlaments und des Rates vom 3. April 2014 über die Europäische Ermittlungsanordnung in Strafsachen sind dahin auszulegen, dass eine Europäische Ermittlungsanordnung, die auf die Übermittlung von Beweismitteln gerichtet ist, die sich bereits im Besitz der zuständigen Behörden des Vollstreckungsstaats befinden, nicht notwendigerweise von einem Richter erlassen werden muss, wenn nach dem Recht des Anordnungsstaats in einem rein innerstaatlichen Verfahren dieses Staates die originäre Erhebung dieser Beweismittel von einem Richter hätte angeordnet werden müssen, ein Staatsanwalt aber dafür zuständig ist, die Übermittlung dieser Beweise anzuordnen.

2. Art. 6 Abs. 1 der Richtlinie 2014/41 ist dahin auszulegen, dass er es nicht verbietet, dass eine Europäische Ermittlungsanordnung, die auf die Übermittlung von Beweismitteln gerichtet ist, die sich bereits im Besitz der zuständigen Behörden des Vollstreckungsstaats befinden, von einem Staatsanwalt erlassen wird, wenn diese Beweismittel aufgrund der durch diese Behörden im Hoheitsgebiet des Anordnungsstaats durchgeführte Überwachung des Telekommunikationsverkehrs sämtlicher Nutzer von Mobiltelefonen, die mittels spezieller Software und modifizierter Geräte eine Ende zu Ende verschlüsselte Kommunikation ermöglichen, erlangt wurden, sofern eine solche Anordnung alle Voraussetzungen erfüllt, die gegebenenfalls nach dem Recht des Anordnungsstaats für die Übermittlung solcher Beweismittel bei einem rein innerstaatlichen Sachverhalt vorgesehen sind.

3. Art. 31 der Richtlinie 2014/41 ist dahin auszulegen, dass eine mit der Infiltration von Endgeräten verbundene Maßnahme zur Abschöpfung von Verkehrs‑, Standort- und Kommunikationsdaten eines internetbasierten Kommunikationsdiensts eine „Überwachung des Telekommunikationsverkehrs“ im Sinne dieses Artikels darstellt, von der die Behörde zu unterrichten ist, die von dem Mitgliedstaat, in dessen Hoheitsgebiet sich die Zielperson der Überwachung befindet, zu diesem Zweck bestimmt wurde. Sollte der überwachende Mitgliedstaat nicht in der Lage sein, die zuständige Behörde des unterrichteten Mitgliedstaats zu ermitteln, so kann diese Unterrichtung an jede Behörde des unterrichteten Mitgliedstaats gerichtet werden, die der überwachende Mitgliedstaat für geeignet hält.

4. Art. 31 der Richtlinie 2014/41 ist dahin auszulegen, dass er auch bezweckt, die Rechte der von einer Maßnahme der „Überwachung des Telekommunikationsverkehrs“ im Sinne dieses Artikels betroffenen Nutzer zu schützen.

5. Art. 14 Abs. 7 der Richtlinie 2014/41 ist dahin auszulegen, dass er dem nationalen Strafgericht gebietet, im Rahmen eines Strafverfahrens gegen eine Person, die im Verdacht steht, Straftaten begangen zu haben, Informationen und Beweismittel unberücksichtigt zu lassen, wenn diese Person nicht in der Lage ist, sachgerecht zu diesen Informationen und Beweismitteln Stellung zu nehmen, und diese geeignet sind, die Würdigung der Tatsachen maßgeblich zu beeinflussen.

Den Volltext der Entscheidung finden Sie hier:

EuGH: Verstoß gegen Bestimmungen der DSGVO oder Kontrollverlust allein begründen noch keinen Schadensersatzanspruch aus Art. 82 DSGVO - Nachweis eines immateriellen Schadens erforderlich

EuGH
Urteil vom 11.04.2024
C-741/21


Der EuGH hat entschieden, dass Verstoß gegen Bestimmungen der DSGVO oder Kontrollverlust allein noch keinen Schadensersatzanspruch aus Art. 82 DSGVO begründen. Vielmehr ist der Nachweis eines konkreten immateriellen Schadens erforderlich.

Tenor der Entscheidung:
1. Art. 82 Abs. 1 der Verordnung (EU) 2016/679 des Europäischen Parlaments und des Rates vom 27. April 2016 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten, zum freien Datenverkehr und zur Aufhebung der Richtlinie 95/46/EG (Datenschutz-Grundverordnung) ist dahin auszulegen, dass ein Verstoß gegen Bestimmungen dieser Verordnung, die der betroffenen Person Rechte verleihen, für sich genommen nicht ausreicht, um unabhängig vom Schweregrad des von dieser Person erlittenen Schadens einen „immateriellen Schaden“ im Sinne dieser Bestimmung darzustellen.

2. Art. 82 der Verordnung 2016/679 ist dahin auszulegen, dass es für eine Befreiung des Verantwortlichen von seiner Haftung nach Art. 82 Abs. 3 dieser Verordnung nicht ausreicht, dass er geltend macht, dass der in Rede stehende Schaden durch ein Fehlverhalten einer ihm im Sinne von Art. 29 der Verordnung unterstellten Person verursacht wurde.

3. Art. 82 Abs. 1 der Verordnung 2016/679 ist dahin auszulegen, dass zur Bemessung des Betrags des auf diese Bestimmung gestützten Anspruchs auf Schadenersatz zum einen die in Art. 83 dieser Verordnung vorgesehenen Kriterien für die Festsetzung des Betrags von Geldbußen nicht entsprechend anzuwenden sind und zum anderen nicht zu berücksichtigen ist, dass die Person, die Schadenersatz verlangt, von mehreren Verstößen gegen die Verordnung betroffen ist, die sich auf denselben Verarbeitungsvorgang beziehen.

Den Volltext der Entscheidung finden Sie hier:

EuGH-Vizepräsident: Eilantrag von Amazon gegen Verpflichtung zur Veröffentlichung des Amazon Store Werbearchivs mit detaillierten Informationen über Online-Werbung abgelehnt

Vizepräsidenten des EuGH
Beschluss vom 27.03.2024
C-639/23 P(R)
EU-Kommission / Amazon Services Europe


Der EuGH-Vizepräsident hat den Eilantrag von Amazon gegen die Verpflichtung zur Veröffentlichung des Amazon Store Werbearchivs mit detaillierten Informationen über Online-Werbung abgelehnt.

Die Pressemitteilung des EuGH:
Online-Werbung: Der Antrag von Amazon auf Aussetzung ihrer Pflicht, ein Werbearchiv öffentlich zugänglich zu machen, wird zurückgewiesen

Amazon Services Europe gehört zum Amazon-Konzern. Ihre geschäftlichen Aktivitäten umfassen den OnlineEinzelhandel und weitere Dienstleistungen wie Cloud Computing und Online-Streaming. Sie erbringt OnlineMarktplatzdienste an Drittverkäufer und ermöglicht ihnen, Waren im Amazon Store zum Kauf anzubieten.

Mit Beschluss vom 23. April 20231 , der gemäß der Verordnung über einen Binnenmarkt für digitale Dienste erlassen wurde, benannte die Kommission Amazon Store als sehr große Online-Plattform. Dies bedeutet u. a., dass Amazon Store ein Werbearchiv mit detaillierten Informationen über ihre Online-Werbung öffentlich zugänglich machen muss. Amazon beantragte beim Gericht der Europäischen Union die Nichtigerklärung dieses Beschlusses. Sie stellte außerdem einen Antrag auf vorläufigen Rechtsschutz. Mit Beschluss vom 27. September 20234 ordnete der Präsident des Gerichts die Aussetzung des Beschlusses der Kommission an, soweit Amazon Store damit verpflichtet wird, das Werbearchiv öffentlich zugänglich zu machen. Die Kommission hat gegen den Beschluss des Präsidenten des Gerichts beim Gerichtshof ein Rechtsmittel eingelegt.

Mit seinem heutigen Beschluss hebt der Vizepräsident des Gerichtshofs den Teil des Beschlusses des Präsidenten des Gerichts auf, mit dem der Beschluss der Kommission in Bezug auf das Werbearchiv ausgesetzt wird. Er stellt fest, dass der Kommission unter Verstoß gegen den Grundsatz eines kontradiktorischen Verfahrens die Möglichkeit vorenthalten wurde, zu den Argumenten, die von Amazon im Verfahren vor dem Gericht vorgetragen wurden, Stellung zu nehmen. Da die Kommission vor dem Gerichtshof die Argumente vorgetragen hat, mit denen sie dem Vorbringen von Amazon vor dem Gericht entgegentreten wollte, entscheidet der Vizepräsident des Gerichtshofs den Rechtsstreit endgültig und weist den Antrag auf vorläufigen Rechtsschutz zurück.

Der Vizepräsident des Gerichtshofs ist der Ansicht, dass das Vorbringen von Amazon, die vom Unionsgesetzgeber eingeführte Pflicht, ein Werbearchiv öffentlich zugänglich zu machen, schränke ihre Grundrechte auf Achtung des Privatlebens und auf unternehmerische Freiheit rechtswidrig ein, dem ersten Anschein nach nicht als unerheblich und außerdem völlig haltlos angesehen werden kann.

Zudem würde Amazon, wenn keine Aussetzung erfolgt, vor einem eventuell ergehenden Urteil, mit dem der Beschluss der Kommission für nichtig erklärt wird, wahrscheinlich einen schwerwiegenden und nicht wiedergutzumachenden Schaden erleiden.

Diese Feststellungen sind jedoch für sich allein genommen nicht entscheidend. Es ist nämlich zu prüfen, ob die Abwägung sämtlicher beteiligter Interessen die Versagung der Aussetzung rechtfertigen kann. Hierzu stellt der Vizepräsident des Gerichtshofs fest, dass Amazon in dem Fall, dass die Aussetzung nicht gewährt wird, weiterhin ein Interesse an der Nichtigerklärung des Beschlusses der Kommission hätte. Außerdem ist nicht dargetan, dass in diesem Fall die Existenz oder die langfristige Entwicklung von Amazon auf dem Spiel stünden. Darüber hinaus würde die Aussetzung bedeuten, das vollständige Erreichen der Ziele der Verordnung über einen Binnenmarkt für digitale Dienste möglicherweise über mehrere Jahre hinauszuschieben und damit möglicherweise ein OnlineUmfeld bestehen oder sich entwickeln zu lassen, das eine Bedrohung für die Grundrechte darstellt; der Unionsgesetzgeber war aber der Auffassung, dass die sehr großen Online-Plattformen eine wichtige Rolle in diesem Umfeld spielen. Die vom Unionsgesetzgeber vertretenen Interessen gehen im vorliegenden Fall den materiellen Interessen von Amazon vor, weshalb die Abwägung zugunsten der Zurückweisung des Aussetzungsantrags ausfällt.


Den Volltext des Beschlusses finden Sie hier:

EuGH: Erfassung und Speicherung des Fingerabdrucks auf dem Personalausweis ist mit der DSGVO sowie Art. 7 und 8 der EU-Grundrechte-Charta vereinbar

EuGH
Urteil vom 21.03.2024
C-61/22


Der EuGH hat entschieden, dass die Erfassung und Speicherung des Fingerabdrucks auf dem Personalausweis mit der DSGVO sowie Art. 7 und 8 der EU-Grundrechte-Charta vereinbar ist.

Aus den Entscheidungsgründen:
B. Zum zweiten Ungültigkeitsgrund: Nichtbeachtung von Art. 35 Abs. 10 DSGVO
Der zweite vom vorlegenden Gericht angeführte Ungültigkeitsgrund stützt sich darauf, dass die Verordnung 2019/1157 unter Verstoß gegen Art. 35 Abs. 10 DSGVO ohne Durchführung einer Datenschutz-Folgenabschätzung erlassen worden sei.

Hierzu ist darauf hinzuweisen, dass nach Art. 35 Abs. 1 DSGVO der Verantwortliche, wenn eine Form der Verarbeitung, insbesondere bei Verwendung neuer Technologien, aufgrund der Art, des Umfangs, der Umstände und der Zwecke der Verarbeitung voraussichtlich ein hohes Risiko für die Rechte und Freiheiten natürlicher Personen zur Folge hat, vorab eine Abschätzung der Folgen der vorgesehenen Verarbeitungsvorgänge für den Schutz personenbezogener Daten durchführen muss. Art. 35 Abs. 3 DSGVO stellt klar, dass eine solche Folgenabschätzung im Fall umfangreicher Verarbeitung besonderer Kategorien personenbezogener Daten gemäß Art. 9 Abs. 1 DSGVO (wie biometrischer Daten zur eindeutigen Identifizierung einer natürlichen Person) erforderlich ist.

Da im vorliegenden Fall die Verordnung 2019/1157 selbst keinen Vorgang im Zusammenhang mit personenbezogenen Daten oder Sätzen von personenbezogenen Daten durchführt, sondern lediglich vorsieht, dass die Mitgliedstaaten im Fall der Beantragung eines Personalausweises bestimmte Verarbeitungen vornehmen, ist festzustellen, dass der Erlass dieser Verordnung nicht von der vorherigen Durchführung einer Abschätzung der Folgen der vorgesehenen Verarbeitungsvorgänge im Sinne von Art. 35 Abs. 1 DSGVO abhängig war. Art. 35 Abs. 10 DSGVO enthält insoweit eine Ausnahme von Art. 35 Abs. 1 DSGVO.

Da nach den vorstehenden Ausführungen Art. 35 Abs. 1 DSGVO beim Erlass der Verordnung 2019/1157 nicht anzuwenden war, konnte dieser Erlass folglich nicht gegen Art. 35 Abs. 10 der Verordnung 2016/679 verstoßen.

Nach alledem vermag der zweite Grund, der auf einen Verstoß gegen Art. 35 Abs. 10 DSGVO gestützt wird, nicht zur Ungültigkeit der Verordnung 2019/1157 zu führen.

C. Zum dritten Ungültigkeitsgrund: Unvereinbarkeit von Art. 3 Abs. 5 der Verordnung 2019/1157 mit den Art. 7 und 8 der Charta

Der dritte vom vorlegenden Gericht angeführte Grund für die Ungültigkeit der Verordnung 2019/1157 betrifft die Frage, ob die in Art. 3 Abs. 5 der Verordnung vorgesehene Verpflichtung, zwei vollständige Fingerabdrücke in das Speichermedium der von den Mitgliedstaaten ausgestellten Personalausweise aufzunehmen, eine nicht gerechtfertigte Einschränkung der in den Art. 7 und 8 der Charta garantierten Rechte mit sich bringt.

[...]

In die Beurteilung der Schwere des Eingriffs, den eine Einschränkung der in den Art. 7 und 8 der Charta garantierten Rechte bewirkt, sind die Art der betroffenen personenbezogenen Daten, insbesondere der möglicherweise sensible Charakter dieser Daten, sowie die Art und die konkreten Modalitäten der Datenverarbeitung, u. a. die Zahl der Personen, die Zugang zu diesen Daten haben, und die Modalitäten des Zugangs zu diesen Daten, einzubeziehen. Gegebenenfalls ist auch zu berücksichtigen, ob diese Daten nicht Gegenstand missbräuchlicher Verarbeitungen sind.

Im vorliegenden Fall kann die sich aus der Verordnung 2019/1157 ergebende Einschränkung der Ausübung der in den Art. 7 und 8 der Charta garantierten Rechte zwar eine große Zahl von Personen betreffen, wobei diese Zahl von der Kommission in ihrer Folgenabschätzung auf 370 Millionen der damals 440 Millionen Einwohner der Union geschätzt wurde. Fingerabdrücke sind als biometrische Daten naturgemäß besonders sensibel und genießen, wie u. a. aus dem 51. Erwägungsgrund der DSGVO hervorgeht, im Unionsrecht einen besonderen Schutz.

Die Erfassung und Speicherung von zwei vollständigen Fingerabdrücken ist nach der Verordnung 2019/1157 jedoch nur im Hinblick auf die Aufnahme dieser Fingerabdrücke in das Speichermedium von Personalausweisen gestattet.

Des Weiteren ergibt sich aus Art. 3 Abs. 5 in Verbindung mit Art. 10 Abs. 3 der Verordnung, dass, sobald diese Aufnahme erfolgt und der Personalausweis der betroffenen Person ausgehändigt worden ist, die erfassten Fingerabdrücke ausschließlich auf dem Speichermedium dieses Ausweises gespeichert werden, der sich grundsätzlich im physischen Besitz der betroffenen Person befindet.

Schließlich sieht die Verordnung 2019/1157 eine Reihe von Garantien vor, die die Risiken begrenzen sollen, dass bei ihrer Durchführung personenbezogene Daten zu anderen Zwecken als zur Erreichung der mit ihr verfolgten Ziele erhoben oder verwendet werden, und zwar nicht nur in Bezug auf die Vorgänge der Verarbeitung personenbezogener Daten, die diese Verordnung zwingend vorschreibt, sondern auch im Hinblick auf die hauptsächlichen Verarbeitungen, denen die in das Speichermedium der Personalausweise aufgenommenen Fingerabdrücke unterzogen werden können.

Was erstens die Datenerfassung betrifft, sieht Art. 10 Abs. 1 und 2 der Verordnung 2019/1157 vor, dass biometrische Identifikatoren „ausschließlich durch qualifiziertes und ordnungsgemäß befugtes Personal erfasst“ werden und dass dieses Personal „angemessene und wirksame Verfahren für die Erfassung biometrischer Identifikatoren“ einhalten muss, wobei diese Verfahren den in der Charta, in der EMRK und im Übereinkommen der Vereinten Nationen über die Rechte des Kindes verankerten Rechten und Grundsätzen entsprechen müssen. Zudem enthält Art. 3 Abs. 7 der Verordnung, wie in Rn. 93 des vorliegenden Urteils ausgeführt, Sonderregelungen für Kinder unter zwölf Jahren (Unterabs. 1 und 2) sowie für Personen, bei denen eine Abnahme von Fingerabdrücken physisch nicht möglich ist (Unterabs. 3), wobei die letztgenannten Personen „von der Pflicht zur Abgabe von Fingerabdrücken befreit“ sind.

Was zweitens die Speicherung der Daten betrifft, verpflichtet die Verordnung 2019/1157 zum einen die Mitgliedstaaten, ein Gesichtsbild und zwei Fingerabdrücke als biometrische Daten zu speichern. Insoweit stellt der 21. Erwägungsgrund der Verordnung ausdrücklich klar, dass diese „keine Rechtsgrundlage für die Einrichtung oder Aufrechterhaltung von Datenbanken auf nationaler Ebene zur Speicherung biometrischer Daten in den Mitgliedstaaten [darstellt], zumal es sich dabei um eine Frage des nationalen Rechts handelt, welches dem Unionsrecht im Bereich Datenschutz entsprechen muss“ und sie auch „keine Rechtsgrundlage für die Einrichtung oder Aufrechterhaltung einer zentralen Datenbank auf der Ebene der Union“ darstellt. Zum anderen sieht Art. 10 Abs. 3 der Verordnung vor, dass diese „biometrischen Identifikatoren … ausschließlich bis zu dem Tag der Abholung des Dokuments und keinesfalls länger als 90 Tage ab dem Tag der Ausstellung des Dokuments gespeichert“ werden, und stellt klar, dass „die biometrischen Identifikatoren [nach diesem Zeitraum] umgehend gelöscht oder vernichtet“ werden.

Daraus ergibt sich insbesondere, dass Art. 10 Abs. 3 der Verordnung 2019/1157 es den Mitgliedstaaten nicht gestattet, biometrische Daten zu anderen als den in dieser Verordnung vorgesehenen Zwecken zu verarbeiten. Außerdem steht diese Bestimmung einer zentralen Speicherung von Fingerabdrücken entgegen, die über die vorläufige Speicherung dieser Abdrücke zum Zweck der Personalisierung von Personalausweisen hinausgeht.

Schließlich weist Art. 11 Abs. 6 der Verordnung 2019/1157 auf die Möglichkeit hin, dass die im sicheren Speichermedium enthaltenen biometrischen Daten gemäß dem Unionsrecht und dem nationalen Recht von ordnungsgemäß befugten Mitarbeitern der zuständigen nationalen Behörden und Agenturen der Union verwendet werden dürfen.

Was Art. 11 Abs. 6 Buchst. a der Verordnung betrifft, erlaubt diese Bestimmung die Verwendung von auf dem Speichermedium von Personalausweisen und Aufenthaltsdokumenten gespeicherten biometrischen Daten nur, um den Personalausweis oder das Aufenthaltsdokument auf seine Echtheit zu überprüfen.

Art. 11 Abs. 6 Buchst. b der Verordnung 2019/1157 sieht vor, dass die auf dem Speichermedium von Personalausweisen und Aufenthaltsdokumenten gespeicherten biometrischen Daten zur Überprüfung der Identität des Inhabers „anhand direkt verfügbarer abgleichbarer Merkmale …, wenn die Vorlage des Personalausweises oder Aufenthaltsdokuments gesetzlich vorgeschrieben ist“, verwendet werden können. Da eine solche Verarbeitung jedoch geeignet ist, zusätzliche Informationen über das Privatleben der betroffenen Personen zu liefern, kann sie nur zu Zwecken, die strikt auf die Identifizierung der betroffenen Person beschränkt sind, und unter durch gesetzliche Bestimmungen über die Vorlage des Personalausweises oder des Aufenthaltsdokuments genau abgegrenzten Voraussetzungen erfolgen.

Was drittens die Abfrage der auf dem Speichermedium von Personalausweisen gespeicherten biometrischen Daten anbelangt, ist darauf hinzuweisen, dass der 19. Erwägungsgrund der Verordnung 2019/1157 eine Rangfolge bei der Verwendung der Mittel zur Überprüfung der Echtheit des Dokuments und der Identität des Inhabers aufstellt, indem er vorsieht, dass die Mitgliedstaaten „vorrangig das Gesichtsbild überprüfen“ müssen und, falls zur zweifelsfreien Bestätigung der Echtheit des Dokuments und der Identität des Inhabers notwendig, „auch die Fingerabdrücke“.

Was viertens das Risiko des unbefugten Zugriffs auf die gespeicherten Daten betrifft, sieht Art. 3 Abs. 5 und 6 der Verordnung 2019/1157 zur Reduzierung dieses Risikos auf ein Minimum vor, dass die Fingerabdrücke auf einem „hochsicheren Speichermedium“ gespeichert werden, das „eine ausreichende Kapazität [aufweist] und geeignet [ist], die Integrität, die Authentizität und die Vertraulichkeit der Daten sicherzustellen“. Zudem geht aus Art. 3 Abs. 10 dieser Verordnung hervor, dass dann, wenn „die Mitgliedstaaten im Personalausweis Daten für elektronische Dienste wie elektronische Behördendienste und den elektronischen Geschäftsverkehr [speichern], … diese nationalen Daten physisch oder logisch getrennt sein [müssen]“, insbesondere von Fingerabdrücken, die auf der Grundlage der Verordnung erhoben und gespeichert wurden. Schließlich ergibt sich aus den Erwägungsgründen 41 und 42 sowie aus Art. 11 Abs. 4 dieser Verordnung, dass die Mitgliedstaaten für die ordnungsgemäße Verarbeitung biometrischer Daten verantwortlich bleiben, auch wenn sie mit externen Dienstleistungsanbietern zusammenarbeiten.

ii) Zur Bedeutung der verfolgten Zielsetzungen

Wie in Rn. 86 des vorliegenden Urteils ausgeführt, zielt die Aufnahme von zwei Fingerabdrücken in das Speichermedium von Personalausweisen darauf ab, die Herstellung gefälschter Personalausweise und den Identitätsdiebstahl zu bekämpfen sowie die Interoperabilität der Systeme zur Überprüfung von Identitätsdokumenten zu gewährleisten. Insoweit ist sie geeignet, zum Schutz des Privatlebens der betroffenen Personen sowie im weiteren Sinne zur Bekämpfung von Kriminalität und Terrorismus beizutragen.

Des Weiteren ermöglicht es eine solche Maßnahme, sowohl dem Bedürfnis jedes Unionsbürgers nachzukommen, über ein Mittel zu verfügen, um sich zuverlässig zu identifizieren, als auch dem der Mitgliedstaaten, sich zu vergewissern, dass den Personen, die sich auf durch das Unionsrecht anerkannte Rechte berufen, diese Rechte auch tatsächlich zustehen. Sie trägt somit insbesondere dazu bei, den Unionsbürgern die Ausübung ihres Freizügigkeits- und Aufenthaltsrecht zu erleichtern, das ebenfalls ein in Art. 45 der Charta verbürgtes Grundrecht ist. Somit haben die mit der Verordnung 2019/1157, insbesondere durch die Aufnahme von zwei Fingerabdrücken in das Speichermedium von Personalausweisen, verfolgten Zielsetzungen nicht nur für die Union und die Mitgliedstaaten, sondern auch für die Unionsbürger besondere Bedeutung.

Im Übrigen werden die Legitimität und Bedeutung dieser Zielsetzungen nicht durch den vom vorlegenden Gericht angeführten Umstand in Frage gestellt, dass in den Rn. 24 bis 26 der Stellungnahme 7/2018 darauf hingewiesen wurde, dass zwischen 2013 und 2017 nur 38 870 gefälschte Personalausweise festgestellt worden seien und dass diese Zahl seit mehreren Jahren abnehme.

Selbst wenn man nämlich von einer geringen Zahl der gefälschten Personalausweise ausginge, war der Unionsgesetzgeber nicht verpflichtet, bis zum Anstieg dieser Zahl zu warten, um Maßnahmen zur Vermeidung des Risikos der Verwendung solcher Ausweise zu erlassen, sondern konnte, insbesondere im Interesse der Risikokontrolle, eine solche Entwicklung vorwegnehmen, sofern die übrigen Voraussetzungen in Bezug auf die Achtung des Grundsatzes der Verhältnismäßigkeit gewahrt wurden.

iii) Abwägung

Nach alledem ist festzustellen, dass die Einschränkung der Ausübung der in den Art. 7 und 8 der Charta garantierten Rechte, die sich aus der Aufnahme von zwei Fingerabdrücken in das Speichermedium von Personalausweisen ergibt, angesichts der Art der in Rede stehenden Daten, der Art und der Modalitäten der Verarbeitungsvorgänge sowie der vorgesehenen Schutzmechanismen nicht so schwer erscheint, dass sie außer Verhältnis zur Bedeutung der verschiedenen mit dieser Maßnahme verfolgten Zielsetzungen stünde. Somit ist davon auszugehen, dass eine solche Maßnahme auf einer ausgewogenen Gewichtung zwischen diesen Zielsetzungen und den betroffenen Grundrechten beruht.

Folglich verstößt die Einschränkung der Ausübung der in den Art. 7 und 8 der Charta garantierten Rechte nicht gegen den Grundsatz der Verhältnismäßigkeit, so dass der dritte Ungültigkeitsgrund nicht zur Ungültigkeit der Verordnung 2019/1157 zu führen vermag.


Den Volltext der Entscheidung finden Sie hier:

EuGH: Europäische Arzneimittel-Agentur muss im Genehmigungsverfahren für Arzneimittel dafür sorgen dass bei Sachverständigen kein Interessenkonflikt vorliegt

EuGH
Urteil vom 14.03.2024
C-291/22 P
D & A Pharma ./. EU-Kommission und EMA


Der EuGH hat entschieden, dass die Europäische Arzneimittel-Agentur im Genehmigungsverfahren für Arzneimittel dafür sorgen muss, dass bei Sachverständigen kein Interessenkonflikt vorliegt.

Die Pressemitteilung des EuGH:
Genehmigungen für das Inverkehrbringen von Arzneimitteln: Die Europäische Arzneimittel-Agentur (EMA) muss dafür sorgen, dass bei den von ihr konsultierten Sachverständigen kein Interessenkonflikt vorliegt

Die EMA kann sich dieser Pflicht zur objektiven Unparteilichkeit nicht dadurch entziehen, dass sie vom Anmelder verlangt, die Parteilichkeit des betreffenden Ausschussmitglieds nachzuweisen.

Das Laboratorium D & A Pharma beantragte bei der Europäischen Arzneimittel-Agentur (EMA) die Erteilung einer Genehmigung für das Inverkehrbringen von Hopveus, eines Arzneimittels auf der Basis von Natriumoxybat. Die Indikation dieses Wirkstoffs ist die mittel- und langfristig Bekämpfung von Alkoholabhängigkeit.

Im Anschluss an ein ablehnendes Gutachten des Ausschusses für Humanarzneimittel (CHMP) (der Teil der EMA ist) beantragte D & A Pharma eine Überprüfung ihres Antrags, wobei sie u. a. eine Änderung der therapeutischen Indikationen des Arzneimittels vorschlug, sowie die Einberufung einer wissenschaftlichen Beratergruppe (der WBG Psychiatrie). Auch dieser Überprüfungsantrag führte zu einem ablehnenden Gutachten, woraufhin die Europäische Kommission im Juli 2020 die Erteilung einer Genehmigung für das Inverkehrbringen von Hopveus verweigerte.

D & A Pharma erhob beim Gericht der Europäischen Union eine Klage auf Nichtigerklärung des Beschlusses der Kommission, wobei sie u. a. die mangelnde Unparteilichkeit der konsultierten Sachverständigen (die sich in einem Interessenkonflikt befänden) sowie eine Verletzung des Grundsatzes der kontradiktorischen Prüfung rügte. Nachdem ihre Klage abgewiesen wurde1 , wendet sie sich nunmehr an den Gerichtshof.

Der Gerichtshof hebt das Urteil des Gerichts sowie den Beschluss der Kommission, mit dem die Erteilung einer Genehmigung für das Inverkehrbringen von Hopveus verweigert wurde, auf.

In seinem Urteil führt der Gerichtshof zunächst aus, dass bei einem Mitglied der vom CHMP konsultierten Sachverständigengruppe ein Interessenkonflikt vorlag, was zu einem wesentlichen Verfahrensfehler führt. Sodann stellt er fest, dass das Urteil des Gerichts mit einem Rechtsfehler behaftet ist, da die vom Gericht vorgenommene Auslegung der Politik in Bezug auf konkurrierende Interessen mit dem Grundsatz der objektiven Unparteilichkeit unvereinbar ist.

Schließlich stellt der Gerichtshof fest, dass der Rechtsstreit entscheidungsreif ist, und fügt hinzu, dass die Entscheidung, anstelle der WBG Psychiatrie eine Ad-hoc-Sachverständigengruppe einzuberufen, einen Fehler darstellt, mit dem das Verfahren zur Verabschiedung des Gutachtens der EMA behaftet ist. Infolgedessen ist auch das Verfahren zum Erlass des Beschlusses der Kommission fehlerhaft. Die EMA ist nämlich verpflichtet, dafür zu sorgen, dass der CHMP systematisch eine WBG konsultiert, wenn derjenige, der eine Überprüfung beantragt, rechtzeitig und mit hinreichender Begründung eine solche Konsultation verlangt.


Den Volltext der Entscheidung finden Sie hier:

EuGH: Datenschutzrechtliche Aufsichtsbehörde darf auch ohne Antrag des Betroffenen die Löschung unrechtmäßig verarbeiteter personenbezogener Daten anweisen

EuGH
Urteil vom 14.03.2024
C‑46/23


Der EuGH hat entschieden, dass eine datenschutzrechtliche Aufsichtsbehörde auch ohne Antrag des Betroffenen die Löschung unrechtmäßig verarbeiteter personenbezogener Daten anweisen darf.

Tenor der Entscheidung:
1. Art. 58 Abs. 2 Buchst. d und g der Verordnung (EU) 2016/679 des Europäischen Parlaments und des Rates vom 27. April 2016 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten, zum freien Datenverkehr und zur Aufhebung der Richtlinie 95/46/EG (Datenschutz-Grundverordnung) ist dahin auszulegen, dass die Aufsichtsbehörde eines Mitgliedstaats den Verantwortlichen oder Auftragsverarbeiter in Ausübung ihrer in diesen Bestimmungen vorgesehenen Abhilfebefugnisse selbst dann zur Löschung unrechtmäßig verarbeiteter personenbezogener Daten anweisen darf, wenn die betroffene Person keinen entsprechenden Antrag auf Ausübung ihrer Rechte nach Art. 17 Abs. 1 dieser Verordnung gestellt hat.

2. Art. 58 Abs. 2 der Verordnung 2016/679 ist dahin auszulegen, dass sich die Befugnis der Aufsichtsbehörde eines Mitgliedstaats, die Löschung unrechtmäßig verarbeiteter personenbezogener Daten anzuordnen, sowohl auf bei der betroffenen Person erhobene als auch auf aus einer anderen Quelle stammende Daten beziehen kann.

Die Pressemitteilung des EuGH:
Schutz personenbezogener Daten: Die Aufsichtsbehörde eines Mitgliedstaats kann selbst dann die Löschung unrechtmäßig verarbeiteter Daten anordnen, wenn die betroffene Person zuvor keinen entsprechenden Antrag gestellt hat

Eine solche Löschung kann sich sowohl auf bei der betroffenen Person erhobene als auch auf aus einer anderen Quelle stammende Daten beziehen.

2020 beschloss die Kommunalverwaltung Újpest (Ungarn), Personen, die zu einer von der Covid-19-Pandemie gefährdeten Gruppe gehörten, finanziell zu unterstützen. Sie ersuchte deshalb die ungarische Staatskasse und die Regierungsbehörde des IV. Bezirks der Hauptstadt Budapest, ihr die zur Prüfung der Anspruchsvoraussetzungen erforderlichen personenbezogenen Daten zu übermitteln.

Aufgrund eines Hinweises stellte die zuständige ungarische Datenschutzbehörde (im Folgenden: Aufsichtsbehörde) fest, dass sowohl die Verwaltung Újpest als auch die ungarische Staatskasse und die Regierungsbehörde gegen Regelungen der DSGVO1 verstoßen hatten. Entsprechende Geldbußen wurden verhängt.

Die Aufsichtsbehörde stellte fest, dass die Verwaltung Újpest die betroffenen Personen innerhalb der dafür geltenden Frist von einem Monat weder über die Verwendung ihrer Daten und den Zweck dieser Verarbeitung noch über ihre Datenschutzrechte informiert hatte. Zudem wies sie die Verwaltung Újpest an, die Daten anspruchsberechtigter Personen, die keine Unterstützung beantragt hatten, zu löschen.

Die Verwaltung Újpest hat diese Entscheidung beim Hauptstädtischen Stuhlgericht (Ungarn) angefochten und macht geltend, die Aufsichtsbehörde sei nicht befugt, die Löschung personenbezogener Daten anzuordnen, wenn die betroffene Person zuvor keinen entsprechenden Antrag gestellt habe.

Das ungarische Gericht ersucht den Gerichtshof um Auslegung der DSGVO.

Mit seinem heutigen Urteil antwortet der Gerichtshof, dass die Aufsichtsbehörde eines Mitgliedstaats von Amts wegen die Löschung unrechtmäßig verarbeiteter Daten anordnen darf, also selbst dann, wenn die betroffene Person zuvor keinen entsprechenden Antrag gestellt hat, falls eine solche Maßnahme zur Erfüllung ihrer Aufgabe erforderlich ist, die darin besteht, über die umfassende Einhaltung der DSGVO zu wachen. Erkennt die Aufsichtsbehörde, dass eine Datenverarbeitung nicht der DSGVO entspricht, so muss sie dem festgestellten Verstoß abhelfen, und zwar auch dann, wenn die betroffene Person zuvor keinen Antrag gestellt hat. Denn das Erfordernis einer solchen Antragstellung würde bedeuten, dass der Verantwortliche bei fehlendem Antrag die betreffenden personenbezogenen Daten weiterhin speichern und unrechtmäßig verarbeiten dürfte.

Außerdem kann die Aufsichtsbehörde eines Mitgliedstaats die Löschung unrechtmäßig verarbeiteter Daten unabhängig davon anordnen, ob sie unmittelbar bei der betroffenen Person erhoben wurden oder aus einer anderen Quelle stammen.


Den Volltext der Entscheidung finden Sie hier:

EuGH: TC-Strings der IAB Europe sind personenbezogene Daten im Sinne der DSGVO - Zur Zulässigkeit von Werbung per Real Time Bidding

EuGH
Urteil vom 07.03.2024
C-604/22
IAB Europe gegen Gegevensbeschermingsautoriteit


Der EuGH hat entschieden, dass die TC-Strings der IAB Europe personenbezogene Daten im Sinne der DSGVO sind.

Tenor der Entscheidung:
1. Art. 4 Nr. 1 der Verordnung (EU) 2016/679 des Europäischen Parlaments und des Rates vom 27. April 2016 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten, zum freien Datenverkehr und zur Aufhebung der Richtlinie 95/46/EG (Datenschutz-Grundverordnung) ist dahin auszulegen, dass eine aus einer Kombination von Buchstaben und Zeichen bestehende Zeichenfolge wie der TC‑String (Transparency and Consent String), die die Präferenzen eines Internetnutzers oder Nutzers einer Anwendung in Bezug auf dessen Einwilligung in die Verarbeitung der ihn betreffenden personenbezogenen Daten durch Anbieter von Websites oder Anwendungen sowie durch Datenbroker und Werbeplattformen enthält, ein personenbezogenes Datum im Sinne dieser Bestimmung darstellt, soweit sie, wenn sie mit vertretbarem Aufwand einer Kennung wie insbesondere der IP‑Adresse des Geräts dieses Nutzers zugeordnet werden kann, es erlaubt, die betreffende Person zu identifizieren. Unter diesen Umständen schließt der Umstand, dass eine Branchenorganisation, die im Besitz dieser Zeichenfolge ist, ohne einen Beitrag von außen weder Zugang zu den Daten hat, die von ihren Mitgliedern im Rahmen der von ihr aufgestellten Regeln verarbeitet werden, noch diese Zeichenfolge mit anderen Elementen kombinieren kann, nicht aus, dass diese Zeichenfolge ein personenbezogenes Datum im Sinne dieser Bestimmung darstellt.

2. Art. 4 Nr. 7 und Art. 26 Abs. 1 der Verordnung 2016/679 sind dahin auszulegen, dass

– zum einen eine Branchenorganisation, soweit sie ihren Mitgliedern einen von ihr aufgestellten Regelungsrahmen in Bezug auf die Einwilligung im Bereich der Verarbeitung personenbezogener Daten anbietet, der nicht nur verbindliche technische Vorschriften enthält, sondern auch Vorschriften, die detailliert festlegen, wie personenbezogene Daten, die diese Einwilligung betreffen, gespeichert und verbreitet werden müssen, als „gemeinsam Verantwortlicher“ im Sinne dieser Bestimmungen einzustufen ist, wenn sie unter Berücksichtigung der besonderen Umstände des vorliegenden Falles aus Eigeninteresse auf die betreffende Verarbeitung personenbezogener Daten Einfluss nimmt und damit gemeinsam mit ihren Mitgliedern die Zwecke der und die Mittel zur betreffenden Verarbeitung festlegt. Der Umstand, dass eine solche Branchenorganisation selbst keinen unmittelbaren Zugang zu den von ihren Mitgliedern innerhalb dieses Regelungsrahmens verarbeiteten personenbezogenen Daten hat, schließt nicht aus, dass sie ein gemeinsam Verantwortlicher im Sinne dieser Bestimmungen sein kann;

– zum anderen sich die gemeinsame Verantwortlichkeit dieser Branchenorganisation nicht automatisch auf die Weiterverarbeitung personenbezogener Daten durch Dritte, wie beispielsweise Anbieter von Websites oder Anwendungen, erstreckt, was die Nutzerpräferenzen für gezielte Online-Werbung betrifft.

Die Pressemitteilung des EuGH:
Versteigerung von personenbezogenen Daten für Werbezwecke: der Gerichtshof stellt die Regeln auf der Grundlage der DSGVO klar

Wenn ein Nutzer eine Website oder eine Anwendung mit einem Werbeplatz aufruft, können Werbeunternehmen, Datenbroker und Werbeplattformen, die Tausende von Werbetreibenden vertreten, anonym in Echtzeit Gebote abgeben, um diesen Werbeplatz zu erhalten und dort auf das Profil des Nutzers abgestimmte Werbung anzuzeigen (Real Time Bidding).

Bevor jedoch eine solche gezielte Werbung angezeigt wird, muss die vorherige Einwilligung des Nutzers zur Erhebung und Verarbeitung seiner Daten (insbesondere seinen Standort, sein Alter, den Verlauf seiner Suchanfragen und seine zuletzt getätigten Einkäufe betreffend) für bestimmte Zwecke, wie u. a. Marketing oder Werbung, oder zum Austausch dieser Daten mit bestimmten Anbietern eingeholt werden. Der Nutzer kann dem auch widersprechen.

IAB Europe ist ein Verband ohne Gewinnerzielungsabsicht mit Sitz in Belgien, der Unternehmen der digitalen Werbe- und Marketingindustrie auf europäischer Ebene vertritt. IAB Europe hat eine Lösung entwickelt, die dieses Versteigerungssystem mit der DSGVO in Einklang bringen können soll. Die Nutzerpräferenzen werden in einem aus einer Kombination von Buchstaben und Zeichen bestehenden String kodiert und gespeichert, der als „Transparency and Consent String“ (TC-String) bezeichnet wird und der mit Brokern für personenbezogene Daten und Werbeplattformen geteilt wird, damit diese wissen, worin der Nutzer eingewilligt oder wogegen er Widerspruch eingelegt hat. Auf dem Gerät des Nutzers wird auch ein Cookie gespeichert. Miteinander kombiniert, können der TC-String und das Cookie der IP-Adresse dieses Nutzers zugeordnet werden.

Im Jahr 2022 stellte die belgische Datenschutzbehörde fest, dass der TC-String ein personenbezogenes Datum im Sinne der DSGVO darstelle und dass IAB Europe als Verantwortlicher aufgetreten sei, ohne die Vorschriften der DSGVO vollständig einzuhalten. Die Behörde verhängte gegen IAB Europe mehrere Abhilfemaßnahmen sowie eine Geldbuße. IAB Europe focht diese Entscheidung an und wandte sich an den Appellationshof Brüssel, der dem Gerichtshof Fragen zur Vorabentscheidung vorgelegt hat.

Mit seinem Urteil bestätigt der Gerichtshof, dass der TC-String Informationen über einen identifizierbaren Nutzer enthält und somit ein personenbezogenes Datum im Sinne der DSGVO darstellt. Anhand der in einem TC-String enthaltenen Informationen kann nämlich, wenn sie einer Kennung wie insbesondere der IP-Adresse des Geräts des Nutzers zugeordnet werden, ein Profil dieses Nutzers erstellt und die betreffende Person identifiziert werden.

Darüber hinaus ist IAB Europe als „gemeinsam Verantwortlicher“ im Sinne der DSGVO anzusehen. Vorbehaltlich der vom vorlegenden Gericht vorzunehmenden Prüfungen scheint diese Organisation nämlich bei der Speicherung der Einwilligungspräferenzen der Nutzer in einem TC-String auf die Verarbeitungen personenbezogener Daten Einfluss zu nehmen und gemeinsam mit ihren Mitgliedern sowohl die Zwecke dieser Verarbeitungen als auch die ihnen zugrunde liegenden Mittel festzulegen. Allerdings kann, unbeschadet einer etwaigen im nationalen Recht vorgesehenen zivilrechtlichen Haftung, IAB Europe für Datenverarbeitungen, die nach der Speicherung der Einwilligungspräferenzen der Nutzer in einem TC-String erfolgen, nur dann als im Sinne der DSGVO verantwortlich angesehen werden, wenn nachgewiesen werden kann, dass dieser Verband Einfluss auf die Festlegung der Zwecke und Modalitäten dieser Weiterverarbeitungen ausgeübt hat.


Den Volltext der Entscheidung finden Sie hier:

EuGH: Nachweis der früheren Offenbarung eines Gemeinschaftsgeschmacksmusters u.a. durch Rihanna-Fotos auf ihrem Instagram-Account - Puma-Geschmacksmuster für Schuhmodell nichtig

EuGH
Urteil vom 06.03.2024
T-647/22
Puma ./. EUIPO - Handelsmaatschappij J. Van Hilst


Der EuGH hat entschieden, dass ein Puma-Gemeinschaftsgeschmacksmuster für ein Schuhmodell nichtig ist. Grund ist der Nachweis der früheren Offenbarung eines älteren Gemeinschaftsgeschmacksmusters u.a. durch Fotos der Künstlerin Rihanna auf ihrem Instagram-Account.

Die Pressemitteilung des EuGH:
Die frühere Offenbarung eines Schuhmodells von Puma durch die Künstlerin Rihanna hat die Nichtigerklärung eines eingetragenen Gemeinschaftsgeschmacksmusters zur Folge

Das Gericht bestätigt die Entscheidung des Amtes der Europäischen Union für geistiges Eigentum (EUIPO).

Mit Entscheidung des EUIPO vom 11. August 2022 erwirkte die Handelsmaatschappij J. Van Hilst (HJVH) die Nichtigerklärung eines im August 2016 zugunsten von Puma eingetragenen Gemeinschaftsgeschmacksmusters für Turnschuhe. Zur Begründung seiner Entscheidung führte das EUIPO aus, dass Robyn Rihanna Fenty (bekannt als Rihanna) Schuhe getragen habe, die ein älteres Geschmacksmuster mit den gleichen Merkmalen wie das eingetragene Geschmacksmuster aufgewiesen hätten, und zwar zwölf Monate vor Einreichung der Anmeldung. Unter diesen Umständen war das EUIPO der Auffassung, dass das ältere Geschmacksmuster offenbart worden sei, was die Nichtigerklärung des eingetragenen Geschmacksmusters rechtfertige.

Das Gericht weist die von Puma gegen diese Entscheidung erhobene Klage ab.

HJVH hatte zur Stützung ihres Antrags auf Nichtigerklärung u. a. Fotos des Instagram-Kontos „badgalriri“ vorgelegt, die auf Mitte Dezember 2014 datiert waren und sich auf die Ernennung von Rihanna zur neuen Kreativdirektorin von Puma bezogen. Auf diesen Fotos war zu sehen, dass Rihanna ein Paar weiße Turnschuhe mit einer dicken schwarzen Sohle trug. Die Fotos wurden in mehreren Artikeln in Online-Zeitschriften abgebildet

HJVH hatte zur Stützung ihres Antrags auf Nichtigerklärung u. a. Fotos des Instagram-Kontos „badgalriri“ vorgelegt, die auf Mitte Dezember 2014 datiert waren und sich auf die Ernennung von Rihanna zur neuen Kreativdirektorin von Puma bezogen. Auf diesen Fotos war zu sehen, dass Rihanna ein Paar weiße Turnschuhe mit einer dicken schwarzen Sohle trug. Die Fotos wurden in mehreren Artikeln in Online-Zeitschriften abgebildet.

Das Gericht bestätigt die Beurteilung des EUIPO, wonach diese Fotos für den Nachweis einer Offenbarung des älteren Geschmacksmusters ausreichen, und dass die Fachkreise des betreffenden Wirtschaftszweigs Kenntnis von dieser Offenbarung haben konnten. Hierzu stellt es fest, dass auf den dem Instagram-Account mit dem Namen „badgalriri“ entnommenen, im Dezember 2014 verbreiteten Fotos alle wesentlichen Merkmale des älteren Geschmacksmusters mit bloßem Auge oder mithilfe einer Vergrößerung dieser Fotos erkennbar sind.

In diesem Zusammenhang weist das Gericht das Vorbringen von Puma zurück, wonach sich im Dezember 2014 niemand für die Schuhe von Rihanna interessiert und daher niemand das ältere Geschmacksmuster wahrgenommen habe. Im Dezember 2014 war Rihanna nämlich ein weltweit bekannter Popstar. Dies impliziert, dass ihre Fans und die Fachkreise im Modebereich zu diesem Zeitpunkt ein besonderes Interesse an den Schuhen entwickelt hatten, die sie am Tag der Unterzeichnung des Vertrags trug, durch den der Star Kreativdirektorin von Puma wurde.

Nach alledem hat das EUIPO nach Ansicht des Gerichts zu Recht angenommen, dass das ältere Geschmacksmuster im Dezember 2014 offenbart worden war, so dass das angemeldete Geschmacksmuster für nichtig erklärt werden konnte.


Den Volltext der Entscheidung finden Sie hier:

EuGH: Europol und Mitgliedstaat haften bei Zusammenarbeit gesamtschuldnerisch für Schäden aufgrund widerrechtlicher Datenverarbeitung

EuGH
Urteil vom 05.03.2024
C-755/21 P
Kočner ./. Europol


Der EuGH hat entschieden, dass Europol und der jeweilige Mitgliedstaat bei Zusammenarbeit gesamtschuldnerisch für Schäden aufgrund widerrechtlicher Datenverarbeitung auf Schadensersatz haften.

Die Pressemitteilung des EuGH:
Datenverarbeitung: Europol und der Mitgliedstaat, in dem aufgrund einer widerrechtlichen Datenverarbeitung im Rahmen der Zusammenarbeit zwischen Europol und diesem Mitgliedstaat ein Schaden eingetreten ist, haften für diesen Schaden gesamtschuldnerisch

Die betroffene Person, die von Europol oder dem betreffenden Mitgliedstaat vollständigen Ersatz ihres Schadens begehrt, muss lediglich nachweisen, dass anlässlich der Zusammenarbeit zwischen diesen beiden Stellen eine widerrechtliche Datenverarbeitung vorgenommen wurde, durch die ihr ein Schaden entstanden ist. Es ist nicht erforderlich, dass sie darüber hinaus nachweist, welcher dieser Stellen die widerrechtliche Verarbeitung zuzurechnen ist.

Nach der Ermordung des slowakischen Journalisten Ján Kuciak und von dessen Verlobter Martina Kušnírová am 21. Februar 2018 in der Slowakei führten die slowakischen Behörden umfangreiche Ermittlungen durch. Auf Ersuchen dieser Behörden extrahierte die Agentur der Europäischen Union für die Zusammenarbeit auf dem Gebiet der Strafverfolgung (Europol) die Daten, die auf zwei mutmaßlich Herrn Marian Kočner gehörenden Mobiltelefonen gespeichert waren. Europol übermittelte den genannten Behörden sodann ihre wissenschaftlichen Berichte und übergab eine Festplatte mit den extrahierten verschlüsselten Daten. Im Mai 2019 veröffentlichte die slowakische Presse Informationen betreffend Herrn Kočner, die aus dessen Mobiltelefonen stammten, darunter Transkriptionen seiner intimen Kommunikation. Zudem wies Europol in einem ihrer Berichte darauf hin, dass Herr Kočner seit 2018 wegen des Verdachts einer Finanzstraftat in Haft sei und dass sein Name u. a. unmittelbar mit den sogenannten „Mafia-Listen“ und den „Panama Papers“ in Zusammenhang stehe.

Herr Kočner erhob beim Gericht der Europäischen Union gegen Europol Klage auf eine Entschädigung in Höhe von 100 000 Euro als Ersatz des immateriellen Schadens, den er seiner Ansicht nach aufgrund der rechtswidrigen Verarbeitung seiner Daten erlitten hat. Mit Urteil vom 29. September 20211 wies das Gericht die Klage ab. Es kam zu dem Ergebnis, dass Herr Kočner zum einen keinen Beweis für einen Kausalzusammenhang zwischen dem behaupteten Schaden und dem Verhalten von Europol erbracht habe und zum anderen nicht nachgewiesen habe, dass die sogenannten „Mafia-Listen“ von Europol erstellt und geführt worden seien. Herr Kočner hat daraufhin beim Gerichtshof ein Rechtsmittel eingelegt.

Der Gerichtshof stellt in seinem Urteil fest, dass das Unionsrecht eine Regelung der gesamtschuldnerischen Haftung Europols und des Mitgliedstaats, in dem der Schaden infolge einer widerrechtlichen Datenverarbeitung im Rahmen einer Zusammenarbeit zwischen Europol und diesem Mitgliedstaat eingetreten ist, einführt. In einer ersten Stufe kann die gesamtschuldnerische Haftung Europols bzw. des betreffenden Mitgliedstaats vor dem Gerichtshof der Europäischen Union bzw. vor dem zuständigen nationalen Gericht geltend gemacht werden. Gegebenenfalls kann eine zweite Stufe vor dem Verwaltungsrat von Europol zur Klärung der Frage folgen, ob „letztlich“ Europol und/oder der betreffende Mitgliedstaat für den einer natürlichen Person gewährten Schadensersatz „zuständig“ sind bzw. ist.

Zur Geltendmachung dieser gesamtschuldnerischen Haftung muss die betroffene natürliche Person lediglich im Rahmen der ersten Stufe nachweisen, dass anlässlich der Zusammenarbeit zwischen Europol und dem betreffenden Mitgliedstaat eine widerrechtliche Datenverarbeitung vorgenommen wurde, durch die ihr ein Schaden entstanden ist. Anders als das Gericht entschieden hat, ist es nicht erforderlich, dass diese Person darüber hinaus nachweist, welcher dieser beiden Stellen die widerrechtliche Verarbeitung zuzurechnen ist. Folglich hebt der Gerichtshof das Urteil des Gerichts in diesem Punkt auf.

Der Gerichtshof entscheidet den Rechtsstreit selbst und urteilt, dass die widerrechtliche Datenverarbeitung, die in der Weitergabe von Daten betreffend intime Gespräche zwischen Herrn Kočner und seiner Freundin an Unbefugte zum Ausdruck kam, dazu führte, dass diese Daten durch die slowakische Presse der Öffentlichkeit zugänglich gemacht wurden. Er stellt fest, dass diese widerrechtliche Verarbeitung das Recht von Herrn Kočner auf Achtung seines Privat- und Familienlebens sowie seiner Kommunikation verletzt hat und seine Ehre und sein Ansehen beeinträchtigt hat, wodurch ihm ein immaterieller Schaden entstanden ist. Der Gerichtshof spricht Herrn Kočner eine Entschädigung in Höhe von 2 000 Euro als Ersatz dieses Schadens zu.


Den Volltext der Entscheidung finden Sie hier:

EuGH: Europäische harmonisierte technische Normen müssen als unionsrechtliche Rechtsakte bei überwiegendem öffentlichen Interesse frei und kostenlos zugänglich sein

EuGH
Urteil vom 05.03.2024
C-588/21 P
Public.Resource.Org und Right to Know ./. EU-Kommission u. a


Der EuGH hat entschieden, dass europäische harmonisierte technische Normen als unionsrechtliche Rechtsakte bei überwiegendem öffentlichen Interesse frei und kostenlos zugänglich sein müssen.

Die Pressemitteilung des EuGH:
Europäische harmonisierte technische Normen über die Sicherheit von Spielzeug müssen für Unionsbürger zugänglich sein

Der Gerichtshof erklärt den Beschluss der Kommission, mit dem der Zugang zu solchen Normen verweigert wurde, für nichtig und hebt das Urteil des Gerichts auf, mit dem die Weigerung für rechtmäßig erklärt wurde

2018 lehnte die Europäische Kommission den Antrag zweier gemeinnütziger Organisationen ab, ihnen Zugang zu harmonisierten technischen Normen über die Sicherheit von Spielzeugwaren zu gewähren. 2021 erklärte das Gericht diese Ablehnung für rechtmäßig. Im Rechtsmittelverfahren stellt der Gerichtshof jedoch fest, dass an der Verbreitung der harmonisierten Normen über die Sicherheit von Spielzeugwaren ein überwiegendes öffentliches Interesse besteht, da diese Normen wegen ihrer Rechtswirkungen Teil des Unionsrechts sind. Daher hebt der Gerichtshof das Urteil des Gerichts auf und erklärt den Beschluss der Kommission für nichtig.

Public.Resource.Org und Right to Know sind zwei gemeinnützige Organisationen, die es sich zur Aufgabe gemacht haben, allen Bürgern das Recht frei zugänglich zu machen. 2018 beantragten sie bei der Kommission, ihnen Zugang zu auf Unionsebene harmonisierten technischen Normen im Bereich der Sicherheit von Spielzeugwaren zu gewähren. Diese Normen betrafen im Einzelnen chemisches Spielzeug und chemische Experimentierkästen. Die Kommission lehnte ihren Antrag ab. Das von den Organisationen angerufene Gericht bestätigte diese Ablehnung.

Im Rechtsmittelverfahren hebt der Gerichtshof das Urteil des Gerichts auf und erklärt den Beschluss der Kommission für nichtig.

Der Gerichtshof weist darauf hin, dass das Unionsrecht jedem Unionsbürger und jeder natürlichen oder juristischen Person mit Wohnsitz oder Sitz in einem Mitgliedstaat den Zugang zu Dokumenten gewährleistet, u. a. zu denjenigen, die sich im Besitz der Europäischen Kommission befinden. Der Zugang zu einem Dokument kann allerdings verweigert werden, falls durch dessen Verbreitung der Schutz der geschäftlichen Interessen einer natürlichen oder juristischen Person, einschließlich des geistigen Eigentums, beeinträchtigt würde, es sei denn, es besteht ein überwiegendes öffentliches Interesse an der Verbreitung.

Im vorliegenden Fall sind die Normen über die Sicherheit von Spielzeug harmonisierten Normen Teil des Unionsrechts. Eine Unionsvorschrift kann nämlich solchen Normen Rechtswirkungen verleihen, insbesondere wenn für Erzeugnisse, die diese Normen beachten, die Vermutung besteht, dass sie die Standards einhalten, die in diesen Vorschriften festgelegt werden und von denen die Vermarktung in der Union abhängt. In diesem Sinne kann eine harmonisierte Norm die den Einzelnen eingeräumten Rechte sowie ihnen obliegende Pflichten näher bestimmen. Unter Verweis u. a. auf die Grundsätze der Rechtsstaatlichkeit und des freien Zugangs zum Gesetz ist der Gerichtshof der Auffassung, dass die Bürger darauf angewiesen sein können, von diesen Normen Kenntnis zu nehmen, damit sie prüfen können, ob ein bestimmtes Produkt oder eine bestimmte Dienstleistung tatsächlich die Anforderungen einer solchen Vorschrift erfüllt. Daher stellt der Gerichtshof fest, dass ein überwiegendes öffentliches Interesse an der Verbreitung der in Rede stehenden harmonisierten Normen besteht.

Den Volltext der Entscheidung finden Sie hier:

EuGH: Zur Notwendigkeit der Apothekereigenschaft beim Online-Verkauf rezeptfreier Arzneimittel über Online-Marktplätze

EuGH
Urteil vom 29.02.2024
C-606/21
Doctipharma


Der EuGH hat sich in dieser Entscheidung mit der Notwendigkeit der Apothekereigenschaft beim Online-Verkauf rezeptfreier Arzneimittel über Online-Marktplätze befasst.

Die Pressemitteilung des EuGH:
Verkauf von rezeptfreien Arzneimitteln im Fernabsatz: Der Gerichtshof erläutert die Voraussetzungen, unter denen ein Mitgliedstaat einen Dienst, der in der Zusammenführung von Apothekern und Kunden für den Online-Verkauf von Arzneimitteln besteht, verbieten kann.

Die Gesellschaft Doctipharma betreibt eine Website, auf der es bis 2016 möglich war, über Websites von Apotheken rezeptfrei erhältliche pharmazeutische Erzeugnisse und Arzneimittel zu kaufen. Konkret stellte die Website von Doctipharma die Waren mittels eines vorgespeicherten Katalogs zur Verfügung, der Kunde wählte die Arzneimittel aus und seine Bestellung wurde anschließend an die Apotheken weitergeleitet, deren Websites Doctipharma hostete. Die Zahlung des Kaufpreises erfolgte über ein für alle Apotheken anwendbares einheitliches Zahlungssystem von einem dafür vorgesehenen Konto.

Die Union des Groupements de pharmaciens d’officine (UDGPO) stellte die Rechtmäßigkeit dieser Website in Frage: Durch den Dienst, den Doctipharma mittels ihrer Website erbringe, nehme sie am elektronischen Arzneimittelhandel teil und verstoße daher gegen die nationalen Rechtsvorschriften, die den Verkauf von Arzneimitteln durch Personen, die nicht die Eigenschaft eines Apothekers hätten, verböten.

Die Cour d’appel de Paris (Berufungsgericht Paris, Frankreich) fragt den Gerichtshof zum einen, ob es sich bei der Tätigkeit von Doctipharma um einen Dienst der Informationsgesellschaft handelt, und zum anderen, ob das Unionsrecht es den Mitgliedstaaten erlaubt, die Erbringung eines solchen Dienstes zu verbieten, der darin besteht, mittels einer Website Apotheker und Kunden für den Verkauf nicht verschreibungspflichtiger Arzneimittel über Websites von Apotheken zusammenzuführen, die diesen Dienst abonniert haben.

Der Gerichtshof stellt insoweit klar, dass der Dienst, der in der Zusammenführung von Apothekern und potenziellen Patienten für den Verkauf von Arzneimitteln besteht, unter den Begriff „Dienst der Informationsgesellschaft“ im Sinne des Unionsrechts fällt.

Mit seinem Urteil entscheidet der Gerichtshof wie folgt:

1. Wird der Anbieter, der keine Apothekereigenschaft besitzt, selbst als Verkäufer der nicht verschreibungspflichtigen Arzneimittel angesehen, kann der Mitgliedstaat, in dem er niedergelassen ist, die Erbringung dieses Dienstes verbieten.

2. Beschränkt sich der betreffende Anbieter hingegen durch eine eigene und vom Verkauf unabhängige Leistung darauf, Verkäufer und Kunden zusammenzuführen, dürfen die Mitgliedstaaten diesen Dienst nicht mit der Begründung verbieten, dass die betreffende Gesellschaft am elektronischen Handel mit Arzneimitteln beteiligt sei, ohne die Eigenschaft eines Apothekers zu haben.

Zwar sind allein die Mitgliedstaaten dafür zuständig, die Personen zu bestimmen, die zum Verkauf nicht verschreibungspflichtiger Arzneimittel an die Öffentlichkeit im Fernabsatz durch Dienste der Informationsgesellschaft ermächtigt oder befugt sind, doch müssen sie auch sicherstellen, dass der Öffentlichkeit Arzneimittel zum Verkauf im Fernabsatz durch Dienste der Informationsgesellschaft angeboten werden und dürfen folglich einen solchen Dienst für nicht verschreibungspflichtige Arzneimittel nicht verbieten.


Den Volltext der Entscheidung finden Sie hier:

KG Berlin: Auch gegen juristische Person kann unmittelbar DSGVO-Bußgeld verhängt werden - Deutsche Wohnen

KG Berlin
Beschluss vom 22.01.2024
3 Ws 250/21, 161 AR 84/21, 3 Ws 250/21 - 161 AR 84/21


Das KG Berlin hat entschieden, dass auch unittelbar gegen juristische Person ein DSGVO-Bußgeld verhängt werden kann.

Aus den Entscheidungsgründen:
Mit Bußgeldbescheid vom 30. Oktober 2019 hat die Berliner Beauftragte für den Datenschutz (im Folgenden: BlnBDI) gegen das betroffene Unternehmen (im Folgenden: Betroffene) Geldbußen festgesetzt. Mit dem Bußgeldbescheid ist der Betroffenen vorgeworfen worden, es zwischen dem 25. Mai 2018 und dem 5. März 2019 vorsätzlich unterlassen zu haben, die notwendigen Maßnahmen zur Ermöglichung der regelmäßigen Löschung nicht mehr benötigter oder in sonstiger Weise zu Unrecht gespeicherter Daten von Mietern zu treffen. Weiter hat der Bußgeldbescheid den Vorwurf enthalten, personenbezogene Daten von mindestens 15 näher bezeichneten Mietern fortgesetzt gespeichert zu haben, obwohl bekannt gewesen sei, dass dies nicht oder nicht mehr erforderlich war. Wegen des vorsätzlichen Verstoßes gegen Art. 25 Abs. 1, Art. 5 Abs. 1 a), c) und e) DS-GVO hat die Geldbuße 14.385.000 Euro betragen. Wegen Verstößen gegen Art. 6 Abs. 1 DS-GVO sind 15 weitere Geldbußen mit Beträge zwischen 3.000 und 17.000 Euro festgesetzt worden.

Auf den Einspruch der Betroffenen hat das Landgericht Berlin das Verfahren nach § 46 Abs. 1 OWiG i. V. m. § 206a StPO durch den angefochtenen Beschluss eingestellt. Das Landgericht hat die Auffassung vertreten, der Bußgeldbescheid habe unter so gravierenden Mängeln gelitten, dass er nicht Grundlage des Verfahrens sein könne. Namentlich ist das Landgericht der Auffassung gewesen, eine juristische Person könne nicht Betroffene eines Bußgeldverfahrens sein, auch nicht in einem solchen nach Art. 83 DS-GVO. Da einer juristischen Person lediglich ein Handeln ihrer Organmitglieder oder Repräsentanten zugerechnet werden könne, könne diese in einem Bußgeldverfahren nur als Nebenbeteiligte fungieren. Die Verhängung einer Geldbuße gegen eine juristische Person sei in § 30 OWiG abschließend geregelt, der über § 41 Abs. 1 BDSG auch für Verstöße nach Art. 83 Abs. 4 bis 6 DS-GVO Anwendung finde. Die in § 83 DS-GVO kodifizierte unmittelbare Unternehmenshaftung verstoße gegen das im deutschen Recht verankerte Schuldprinzip und könne daher nicht angewendet werden.

Hiergegen hat die Staatsanwaltschaft Berlin sofortige Beschwerde eingelegt. Der Senat hat das Verfahren durch Beschluss vom 6. Dezember 2021 ausgesetzt und nach Art. 267 Abs. 3 AEUV eine Vorabentscheidung des Gerichtshofs der Europäischen Union u.a. zu der Frage eingeholt, ob Art. 83 Abs. 4-6 DS-GVO dahin auszulegen sei, „dass es den Art. 101 und 102 AEUV zugeordneten funktionalen Unternehmensbegriff und das Funktionsträgerprinzip in das innerstaatliche Recht mit der Folge inkorporiert, dass unter Erweiterung des § 30 OWiG zugrundeliegenden Rechtsträgerprinzips ein Bußgeldverfahren unmittelbar gegen ein Unternehmen geführt werden kann und die Bebußung nicht der Feststellung einer durch eine natürliche und identifizierte Person, gegebenenfalls volldeliktisch, begangenen Ordnungswidrigkeit bedarf“. Der EuGH hat durch Urteil vom 5. Dezember 2023 (C-807/21 – [juris]) wie folgt entschieden: „Art. 58 Abs. 2 Buchst. i und Art. 83 Abs. 1 bis 6 der Verordnung (EU) 2016/679 des Europäischen Parlaments und des Rates vom 27. April 2016 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten, zum freien Datenverkehr und zur Aufhebung der Richtlinie 95/46/EG (Datenschutz-Grundverordnung) sind dahin auszulegen, dass sie einer nationalen Regelung entgegenstehen, wonach eine Geldbuße wegen eines in Art. 83 Abs. 4 bis 6 DSG-VO genannten Verstoßes gegen eine juristische Person in ihrer Eigenschaft als Verantwortliche nur dann verhängt werden kann, wenn dieser Verstoß zuvor einer identifizierten natürlichen Person zugerechnet wurde“. In einem weiteren Ausspruch desselben Urteils heißt es, dass „eine Geldbuße nur dann verhängt werden darf, wenn nachgewiesen ist, dass der Verantwortliche, der eine juristische Person und zugleich ein Unternehmen ist, einen in Art. 83 Abs. 4 bis 6 DSGVO genannten Verstoß vorsätzlich oder fahrlässig begangen hat“.

Mit Beschluss vom Folgetag hat der Senat angeordnet, dass das Verfahren fortgesetzt wird.

Die sofortige Beschwerde der Staatsanwaltschaft hat Erfolg. Nach Maßgabe des in dieser Sache ergangenen Urteils des Europäischen Gerichtshofs ist die Betroffene unbeschadet ihrer Eigenschaft als juristische Person taugliche Adressatin eines Bußgeldbescheids (1.). Das durch das Landgericht angenommene Verfahrenshindernis eines unwirksamen Bußgeldbescheids besteht nicht (2.).

1. Dass die Betroffene als juristische Person taugliche Adressatin eines Bußgeldbescheids sein kann und als solche zudem unmittelbar und nicht nur als Verfahrens- oder Nebenbeteiligte bebußt werden kann, ergibt sich aus dem in diesem Verfahren ergangenen Urteil des EuGH (Urteil vom 5. Dezember 2023 – C-807/21 – [juris]). Der Gerichtshof führt aus, es sei möglich, „die in Art. 83 DSG-VO für solche Verstöße vorgesehenen Geldbußen unmittelbar gegen juristische Personen zu verhängen, wenn diese als für die betreffende Verarbeitung Verantwortliche eingestuft werden können“ (Rn. 44). Dies folgt, so der EuGH weiter, daraus, dass Unternehmen „nicht nur für Verstöße haften, die von ihren Vertretern, Leitern oder Geschäftsführern begangen wurden, sondern auch für Verstöße, die von jeder anderen Person begangen wurden, die im Rahmen der unternehmerischen Tätigkeit und im Namen dieser juristischen Personen handelt“ (Rn. 44). Die hierdurch – und zwar unabhängig von einem individualisierbaren Organisationsdefizit oder einer Aufsichtspflichtverletzung – möglich gewordene unmittelbare Bebußung von juristischen Personen wird auch durch die Verteidigung, soweit aus ihrem Schriftsatz vom 15. Januar 2024 ersichtlich, nicht mehr in Frage gestellt.

2. Der Bußgeldbescheid der BlnBDI erfüllt die Wirksamkeitsvoraussetzungen des § 66 Abs. 1 OWiG und stellt eine ausreichende Verfahrensgrundlage dar. Ein Verfahrenshindernis besteht insoweit nicht.

a) Nach § 66 OWiG muss der Bußgeldbescheid „die Bezeichnung der Tat, die dem Betroffenen zur Last gelegt wird, Zeit und Ort ihrer Begehung, die gesetzlichen Merkmale der Ordnungswidrigkeit und die angewendeten Bußgeldvorschriften“ enthalten. Der Bußgeldbescheid muss den Tatvorwurf nach gefestigtem Verständnis formal und sachlich umgrenzen (Umgrenzungsfunktion) und den Betroffenen ausreichend über den Tatvorwurf unterrichten (Informationsfunktion) (vgl. BGHSt 23, 336; Senat Verkehrsrecht aktuell 2019, 123 [Volltext bei juris]; OLG Celle ZfSch 2015, 649).

b) Hier ist rechtstechnisch zusätzlich zu beachten, dass die in § 66 OWiG niedergelegten verfahrensbezogenen Anforderungen an die Gestaltung des Bußgeldbescheids den durch den EuGH formulierten Grundsätzen des materiellen Rechts folgen. Die vom EuGH entwickelten sachlich-rechtlichen Grundzüge der Verbandsgeldbuße überformen, prägen und gestalten das diesbezügliche nationale Verfahrensrecht. Formuliert der EuGH etwa, die Bebußung erfordere nicht, dass ein „Verstoß von einer identifizierten natürlichen Person begangen wurde“ (Rn. 46), so folgt daraus zwingend, dass sich die Bezeichnung einer solchen natürlichen Person auch nicht aus dem nationalen Verfahrensrecht, hier § 66 OWiG, ergeben muss.

Der Auffassung der Verteidigung, die Wirksamkeit des Bußgeldbescheids als Verfahrensvoraussetzung bemesse sich nach § 66 OWiG, trifft damit allgemein zu, denn eine Suspendierung der gesamten Vorschrift steht auch angesichts des nun anzuwendenden europarechtskonformen Verantwortungs- und Haftungsregimes nicht in Rede. Vielmehr sieht Art. 83 Abs. 8 DSG-VO vor, dass die „Ausübung der eigenen Befugnisse durch eine Aufsichtsbehörde“ unionsrechtskompatiblen Verfahrensgarantien „einschließlich wirksamer gerichtlicher Rechtsbehelfe und ordnungsgemäßer Verfahren“ unterliegt. Daher verweist § 41 BDSG auf Verfahrensvorschriften des OWiG und der StPO, und auch § 66 OWiG ist als grundlegendes nationales Verfahrensrecht anwendbar. Seine Auslegung allerdings richtet sich hier nach den sachlich-rechtlichen Vorgaben des übergeordneten Europarechts in der durch den EuGH nun gegebenen Ausprägung.

c) Unter Zugrundelegung der Maßgaben aus der Vorabentscheidung des EuGH und ihrer Weiterungen auf das nationale Verfahrensrecht erfüllt der Bußgeldbescheid der BlnBDI die Voraussetzungen des § 66 OWiG. Ohne Weiteres grenzt der Bußgeldbescheid den Gegenstand des Verfahrens in persönlicher, sachlicher und rechtlicher Hinsicht ab, und die Betroffene kann mühelos erkennen, welcher konkrete Vorwurf gegen sie erhoben wird. Namentlich die durch § 66 Abs. 1 Nr. 3 OWiG erforderten Essentialia, nämlich die „Bezeichnung der Tat, die dem Betroffenen zur Last gelegt wird“ sowie „Zeit und Ort ihrer Begehung“, sind bei der gebotenen funktional-normativen Betrachtung eingehalten.

Der Bußgeldbescheid wirft der Betroffenen vor, es zwischen dem 25. Mai 2018 und dem 5. März 2019 vorsätzlich unterlassen zu haben, die notwendigen Maßnahmen zur Ermöglichung der regelmäßigen Löschung nicht mehr benötigter oder in sonstiger Weise zu Unrecht gespeicherter Daten von Mietern zu treffen. Weiter wird ihr vorgeworfen, personenbezogene Daten von mindestens 15 näher bezeichneten Mietern fortgesetzt gespeichert zu haben, obgleich bekannt gewesen sei, dass dies nicht oder nicht mehr erforderlich war.

Diese – hier nur kursorisch zusammengefassten – Vorwürfe sind im Bußgeldbescheid ausgesprochen konkret und ausführlich dargestellt. Der Bußgeldbescheid bezeichnet die insgesamt 16 Tathandlungen auf mehr als 17 Seiten in einer ausdifferenzierten und nachgerade ziselierten Weise. Die Ausführungen vermitteln der Betroffenen präzise, was ihr vorgeworfen wird, und sie ermöglichen es ihr, sich hiergegen zu verteidigen. Dabei ist auch zu beachten, dass es sich bei den vorgeworfenen Handlungen (oder Unterlassungen) ersichtlich um keine Individualexzesse in einem Dunkelbereich des Unternehmens handelt. Gegenstand des Bußgeldverfahrens bildet die Speicherung bzw. Archivierung (oder Nichtlöschung) von Kundendaten. Es geht um einfach gelagerte und verständliche Sachverhalte und im Letzten um gewöhnliche Vorgänge in einem operativen Unternehmensbereich.

d) Nicht folgen kann der Senat der Überlegung der Betroffenen, der Bußgeldbescheid müsse konkretisieren, „welches Organ durch welche Handlung die Voraussetzungen des § 30 OWiG erfüllt hat“. Abgesehen davon, dass der Bußgeldbescheid die Rechtsverstöße auch in ihrer Entstehung („Handlung“) durchaus nachvollziehbar darstellt und umreißt, deduziert sich ein solches Erfordernis aus der überkommenen Vorstellung, eine Verbandshaftung erfordere das Verschulden eines Repräsentanten (§ 30 OWiG) oder eine Aufsichtspflichtverletzung (§ 130 OWiG). Sie lässt die europarechtlichen Einflüsse auf das Verbandsanktionenrecht außen vor und missachtet die Rechtsprechung des EuGH im hiesigen Vorabentscheidungsverfahren. Wenn der EuGH ausdrücklich formuliert, die Bebußung erfordere nicht, dass ein „Verstoß von einer identifizierten natürlichen Person begangen wurde“ (Rn. 46), so stellt er klar, dass juristische Personen dafür verantwortlich sind, dass Daten im Rahmen ihrer unternehmerischen Tätigkeit rechtmäßig verarbeitet werden (Rn. 44). Sanktioniert wird hiernach nicht (nur) eine fehlerhafte Organisation, sondern gerade die Pflichtverletzung des Verbands bzw. im Verband, als „genuine Verbandstat“ (vgl. als Kritik an der überkommenen nationalen Rechtslage: HK-OWiG/Schmitt-Leonardy, 2. Aufl., § 30 Rn. 13). Nach der Vorabentscheidung des EuGH ist auch eine juristische Person schuldfähig, so dass es zu einem Gleichlauf von Verantwortlichkeit und Haftbarkeit kommt (vgl. Grages/Strassemeyer, CR 2024, 10). Damit fallen alle Personen, die im Rahmen der unternehmerischen Tätigkeit handeln, in den abstrakten Verantwortungskreis der juristischen Person, und selbst eine normentsprechende Organisation führt – jedenfalls in aller Regel – nicht zur Exkulpation. Dies entspricht dem Effektivitätsgrundsatz des europäischen Rechts.

Dass der Verband (materiell-rechtlich) allein datenschutzrechtlich Verantwortlicher ist (vgl. Wünschelbaum, DSB 2024, 15), wirkt sich damit unmittelbar auf die verfahrensrechtlich gebotene Darstellungsdichte im Bußgeldbescheid aus. Insbesondere muss dieser gerade nicht bezeichnen, welchem Repräsentanten oder welchem „Organ“ welche konkrete Handlung oder welches konkrete Unterlassen zur Last fällt. Im Übrigen bleibt es aber auch insoweit dabei, dass der hier zu beurteilende Bußgeldbescheid die Tathandlungen bemerkenswert und – gemessen an den vom EuGH formulierten materiell-rechtlichen Haftungsvoraussetzungen ersichtlich – überobligatorisch konkret darstellt.

e) Auch kann sich der Senat der noch weitergehenden Überlegung der Verteidigung nicht anschließen, es sei sogar „unverzichtbar, dass ein Bußgeldbescheid die verfahrensmaßgeblichen Handlungen der natürlichen Person beschreibt“, um einen Vorwurf gegen den Verband „erkennen, abgrenzen, bewerten und sich gegen ihn verteidigen zu können“. Auch diese Auffassung verstößt eklatant gegen das im hiesigen Verfahren ergangene Urteil des EuGH. Das durch die Verteidigung erkannte Erfordernis geht darüber hinweg, dass eine Sanktionierung gerade nicht erfordert, dass ein „Verstoß von einer identifizierten natürlichen Person begangen wurde“ (Rn. 46). Dieses klare EuGH-Diktum ist mit der Forderung der Verteidigung, der Bußgeldbescheid müsse die „Handlung der natürlichen Person beschreiben“, ersichtlich unvereinbar. Allerdings gilt auch insoweit: Der Bußgeldbescheid beschreibt die vorgeworfenen Handlungen – zum großen Teil in der Form des Unterlassens der Löschung, teilweise als unterlassene Kennzeichnung von Daten – nachvollziehbar und deutlich. Der Betroffenen ist es möglich und unbenommen, im Bußgeldverfahren darzustellen, dass die Daten nicht gespeichert oder rechtmäßig gespeichert und ggf. rechtzeitig gelöscht wurden. Jedenfalls unter Zugrundelegung der vom EuGH umrissenen Grundzüge einer umfassenden Unternehmensverantwortung ist nicht ersichtlich, dass eine noch ausführlichere und noch „konkretere“ Darstellung der Tatvorwürfe im Bußgeldbescheid die Verteidigungsmöglichkeiten der Betroffenen substantiell erweitern könnte. Durch das EuGH-Judikat verringerte Exkulpationsmöglichkeiten sind nicht Folge eines unkonkret bleibenden Bußgeldbescheids, sondern einer dem Effektivitätsgrundsatz geschuldeten europarechtskonform erweiterten Verbandsverantwortung.

f) Folgerichtig ist der Verteidigung schließlich auch darin zu widersprechen, die Bezeichnung der dem Organ vorwerfbaren Tat sei unerlässliche Voraussetzung des Bußgeldbescheids. Dieses ehedem bestehende Erfordernis, das dem limitierten Haftungsregime des nationalen Rechts folgte, ist durch die im hiesigen Verfahren ergangene Vorabentscheidung des EuGH zu einer umfassenden Verbandsverantwortung nach kartellrechtlichem Vorbild obsolet. In dieser heißt es, „dass die Anwendung von Art. 83 DSG-VO keine Handlung und nicht einmal eine Kenntnis seitens des Leitungsorgans“ voraussetzt (Rn. 77).

3. Da kein Verfahrenshindernis besteht, war der angefochtene Beschluss aufzuheben, und die Sache ist an das Landgericht zurückzuverweisen. Funktional zuständig ist nicht die große Strafkammer (Wirtschaftskammer), sondern die Kammer für Bußgeldsachen (§ 47 Abs. 7 OWiG). Der Senat kann nachvollziehen, dass die Kammer entgegen einer analogen Anwendung des § 68 Abs. 1 Satz 2 OWiG nicht durch Einzelrichter entschieden hat, sondern – wohl entsprechend §§ 46 Abs. 1 OWiG, 76 Abs. 1 GVG – zuletzt eine Besetzung gewählt hat, die der einer großen Strafkammer entspricht (vgl. zur funktionalen Zuständigkeit und zur Besetzungsfrage Brodowski/Nowak in BeckOK Datenschutzrecht, 46. Edition, § 41 BDSG Rn. 16). Hierfür spricht, dass sich die sachliche Zuständigkeit des Landgerichts (§ 41 Abs. 1 Satz 3 BDSG) aus dem Streben nach einer verbesserten Kontrolle ableiten dürfte, die sich jedenfalls im Leitbild aus der Beteiligung mehrerer (Berufs-) Richter ergibt.

4. Eine Kostenentscheidung ist in Bezug auf das Rechtsmittel nicht veranlasst (ex arg. BGH WuW 2020, 615). Über die Kosten des Vorabentscheidungsverfahrens hat an sich das vorlegende Gericht zu entscheiden (Art. 102 EuGHVerfO). Das Vorabentscheidungsverfahren erweist sich aber lediglich als Zwischenverfahren des gleichfalls unselbständigen Beschwerdeverfahrens, durch dessen Entscheidung das Bußgeldverfahren nicht abgeschlossen wird. Da das Bußgeldverfahren beim Landgericht Berlin fortgesetzt und durch dieses entschieden wird, ist es angemessen, dass die Kammer für Bußgeldsachen in der abschließenden Kostengrundentscheidung über die Kosten des Vorabentscheidungsverfahrens mitentscheidet (vgl. bei ähnlicher Konstellation BGH WM 1996, 1889 unter Bezug auf EuGH GRUR Int. 1996, 147).


Den Volltext der Entscheidung finden Sie hier:


BGH legt EuGH vor: Kann Inhaber einer nationalen Marke verbieten lassen dass Dritter markenverletzende Ware im Ausland besitzt um diese im Schutzland anzubieten

BGH
Beschluss vom 23. Januar 2024
I ZR 205/22
Extreme Durable
Richtlinie (EU) 2015/2436 Art. 10 Abs. 3 Buchst. b


Der BGH hat dem EuGH zur Entscheidung vorgelegt, ob der Inhaber einer nationalen Marke verbieten lassen kann, dass ein Dritter markenverletzende Ware im Ausland besitzt, um diese im Schutzland anzubieten.

Leitsatz des BGH:
Dem Gerichtshof der Europäischen Union werden zur Auslegung von Art. 10 Abs. 3 Buchst. b der Richtlinie (EU) 2015/2436 des Europäischen Parlaments und des Rates vom 16. Dezember 2015 zur Angleichung der Rechtsvorschriften der Mitgliedstaaten über die Marken (ABl. L 336 vom 23. Dezember 2015, S. 1) folgende Fragen zur Vorabentscheidung vorgelegt:

1. Kann es der Inhaber einer nationalen Marke gemäß Art. 10 Abs. 3 Buchst. b der Richtlinie (EU) 2015/2436 verbieten lassen, dass eine Person im Ausland markenverletzende Ware zu dem Zweck besitzt, die Ware im Schutzland anzubieten oder in den Verkehr zu bringen?

2. Kommt es für den Begriff des Besitzes im Sinne von Art. 10 Abs. 3 Buchst. b der Richtlinie (EU) 2015/2436 auf eine tatsächliche Zugriffsmöglichkeit auf markenverletzende Ware an oder reicht die Möglichkeit aus, auf denjenigen einwirken zu können, der den tatsächlichen Zugriff auf diese Ware hat?

BGH, Beschluss vom 23. Januar 2024 - I ZR 205/22 - OLG Nürnberg

Den Volltext der Entscheidung finden Sie hier:


EuGH: Lebenslange Speicherung biometrischer und genetischer Daten von Straftätern ohne regelmäßige Notwendigkeitsprüfung verstößt gegen DSGVO

EuGH
Urteil vom 30.01.2024
C-118/22

Der EuGH hat entschieden, dass die lebenslange Speicherung biometrischer und genetischer Daten von Straftätern ohne regelmäßige Notwendigkeitsprüfung gegen die Vorgaben der DSGVO verstößt.

Tenor der Entscheidung:
Art. 4 Abs. 1 Buchst. c und e der Richtlinie (EU) 2016/680 des Europäischen Parlaments und des Rates vom 27. April 2016 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten durch die zuständigen Behörden zum Zwecke der Verhütung, Ermittlung, Aufdeckung oder Verfolgung von Straftaten oder der Strafvollstreckung sowie zum freien Datenverkehr und zur Aufhebung des Rahmenbeschlusses 2008/977/JI des Rates in Verbindung mit ihren Art. 5 und 10, ihrem Art. 13 Abs. 2 Buchst. b und ihrem Art. 16 Abs. 2 und 3 sowie im Licht der Art. 7 und 8 der Charta der Grundrechte der Europäischen Union

ist dahin auszulegen, dass

er nationalen Rechtsvorschriften entgegensteht, die vorsehen, dass die Polizeibehörden zum Zweck der Verhütung, Ermittlung, Aufdeckung oder Verfolgung von Straftaten oder der Strafvollstreckung personenbezogene und insbesondere biometrische und genetische Daten, die wegen einer vorsätzlichen Offizialstraftat rechtskräftig verurteilte Personen betreffen, speichern, und zwar bis zum Tod der betroffenen Person und auch im Fall ihrer Rehabilitierung, ohne den Verantwortlichen zu verpflichten, regelmäßig zu überprüfen, ob diese Speicherung noch notwendig ist, und ohne dieser Person das Recht auf Löschung dieser Daten, sobald deren Speicherung für die Zwecke, für die sie verarbeitet worden sind, nicht mehr erforderlich ist, oder gegebenenfalls das Recht auf Beschränkung der Verarbeitung dieser Daten zuzuerkennen.

Den Volltext der Entscheidung finden Sie hier:

EuGH: Fernsehwerbespot für Radiosendung derselben Unternehmensgruppe zählt regelmäßig nicht als eigene Sendung des Fernsehsenders

EuGH
Urteil vom 03.02.2024
C-255/21
Reti Televisive Italiane


Der EuGH hat entschieden, dass ein Fernsehwerbespot für eine Radiosendung derselben Unternehmensgruppe regelmäßig nicht als eigene Sendung des Fernsehsenders zählt und so hinsichtlich der zeitlichen Begrenzung von Fernsehwerbung als Werbung zählt.

Die Pressemitteilung des EuGH:
Urteil des Gerichtshofs in der Rechtssache C-255/21 | Reti Televisive Italiane

Zeitliche Begrenzung von Fernsehwerbespots: Werbebotschaften für Radiosendungen, die auf Fernsehsendern derselben Unternehmensgruppe ausgestrahlt werden, stellen grundsätzlich keine Hinweise auf eigene Sendungen dieser Fernsehsender dar

Dies ist nicht der Fall, wenn sich die Sendungen, die Gegenstand dieser Hinweise sind, von der Hauptaktivität des Radiosenders trennen lassen und der Fernsehveranstalter die redaktionelle Verantwortung für diese Sendungen trägt.

Reti Televisive Italiane SpA (RTI) ist eine italienische Gesellschaft für audiovisuelle Mediendienste und Inhaberin der Fernsehsender Canale 5, Italia 1 und Rete 4. Im Jahr 2017 belangte die Regulierungsbehörde für das Kommunikationswesen (AGCOM) RTI wegen Verstößen gegen eine nationale Rechtsvorschrift, die eine zeitliche Grenze für Fernsehwerbung festlegt. Bei der Berechnung der betreffenden Sendezeit berücksichtigte die AGCOM die Werbebotschaften des Radiosenders R101, die auf den Fernsehsendern von RTI ausgestrahlt worden waren. Dieser Radiosender gehört wie RTI zur Mediaset-Gruppe. RTI macht geltend, dass die Botschaften des Radiosenders als Eigenwerbung (d. h., als Werbehinweise auf eigene Sendungen) einzustufen seien und daher von der Sendezeit für Fernsehwerbung pro Stunde ausgenommen seien.

Der von RTI angerufene italienische Staatsrat, bei dem die Aufhebung der Sanktionen beantragt wird, möchte vom Gerichtshof wissen, ob der Begriff „Hinweise des Fernsehveranstalters“ auf eigene Sendungen, die von der Berechnung des Anteils von 20 % der Sendezeit von Fernsehwerbespots ausgenommen sind, auch Werbebotschaften erfasst, die der Fernsehsender für einen Radiosender ausstrahlt, der zur selben Gruppe von Gesellschaften gehört .

In seinem Urteil verneint der Gerichtshof dies. Die Dienste eines Hörfunkveranstalters, die aus Hörsendungen ohne Bilder bestehen, unterscheiden sich von den audiovisuellen Sendungen eines Fernsehveranstalters. Sie fallen daher nicht unter den Begriff „Sendungen“, es sei denn, dass sie sich von der Hauptaktivität des Radiosenders trennen lassen und daher als „audiovisuelle Mediendienste“ eingestuft werden können. Damit eine Sendung als „eigene Sendung“ des Fernsehveranstalters angesehen werden kann, muss dieser außerdem die redaktionelle Verantwortung dafür tragen. Diese besteht aus der Ausübung einer wirksamen Kontrolle, sowohl hinsichtlich der Zusammenstellung der Sendungen als auch hinsichtlich ihrer Bereitstellung, durch eine Person oder Einrichtung, die befugt ist, in letzter Instanz über das audiovisuelle Angebot zu entscheiden. Da die Regeln über Höchstsendezeiten für Werbung pro Stunde andere Ziele verfolgen als die Wettbewerbsregeln, ist zur Erfassung des Ausdrucks „eigene Sendungen“ das Kriterium der redaktionellen Verantwortung für die betreffenden Sendungen zu berücksichtigen und nicht die Zugehörigkeit der beiden Sender zur selben Gruppe von Gesellschaften.


Den Volltext der Entscheidung finden Sie hier: