Skip to content

EuGH-Generalanwalt: Veräußerung einer Datenbank mit personenbezogenen Daten im Zwangsvollstreckungsverfahren kann ohne Zustimmung der Betroffenen DSGVO-konform und zulässig sein

EuGH
Schlussanträge vom 28.02.2024
C-693/22
Verkauf einer Datenbank


Der EuGH-Generalanwalt kommt in seinen Schlussanträgen zu dem Ergebnis, dass die Veräußerung einer Datenbank mit personenbezogenen Daten im Zwangsvollstreckungsverfahren ohne Zustimmung der Betroffenen DSGVO-konform und zulässig sein kann.

Die Pressemitteilung des EuGH:
Nach Ansicht von Generalanwalt Priit Pikamäe kann eine Datenbank mit personenbezogenen Daten unter bestimmten Voraussetzungen im Rahmen eines Zwangsvollstreckungsverfahrens verkauft werden, auch wenn die von diesen Daten betroffenen Personen dem nicht zugestimmt haben.

Das ist dann der Fall, wenn die mit einem solchen Verkauf verbundene Datenverarbeitung in einer demokratischen Gesellschaft zur Sicherstellung der Durchsetzung eines zivilrechtlichen Anspruchs notwendig und verhältnismäßig ist .
Bei einem polnischen Gericht ist ein Rechtsstreit anhängig zwischen einer Gesellschaft und einem Mitglied des Vorstands einer anderen Gesellschaft, die auf den Online-Verkauf spezialisiert ist und gegenüber der die erstgenannte Gesellschaft eine Forderung hat. Die vermögensrechtliche Haftung dieses Mitglieds kann dann geltend gemacht werden, wenn die Schuldnergesellschaft nicht über hinreichende Vermögenswerte verfügt, um die Forderung der Gläubigergesellschaft zu befriedigen. Das Vorstandsmitglied ist jedoch der Ansicht, dass dies nicht der Fall sei, da die Schuldnergesellschaft u. a. zwei Datenbanken mit Daten von Nutzern der von ihr geschaffenen Online-Plattform besitze. Diese Datenbanken enthalten personenbezogene Daten von Hunderttausenden von Personen, die der Verarbeitung ihrer Daten in Form einer Bereitstellung an Dritte außerhalb dieser Plattform nicht zugestimmt haben.

Das polnische Gericht hat Zweifel, ob die Datenschutz-Grundverordnung (DSGVO) es einem Gerichtsvollzieher gestattet, diese Datenbanken in einem Zwangsvollstreckungsverfahren ohne die Zustimmung der von diesen Daten betroffenen Personen zu veräußern, und hat daher den Gerichtshof angerufen.

In seinen Schlussanträgen schlägt Generalanwalt Priit Pikamäe dem Gerichtshof vor, dies zu bejahen.

Seiner Ansicht nach fallen die von dem Gerichtsvollzieher zur Schätzung des Werts der betreffenden Datenbanken und zu ihrer Versteigerung vorgenommenen Handlungen in den Anwendungsbereich der DSGVO. Diese Handlungen umfassten nämlich mindestens das Auslesen, das Abfragen und die Verwendung der personenbezogenen Daten und ihre Bereitstellung an den Erwerber und seien daher als eine „Verarbeitung“ dieser Daten im Sinne dieser Verordnung anzusehen. Zudem meint der Generalanwalt, dass der Gerichtsvollzieher als der für diese Verarbeitung Verantwortliche eingestuft werden müsse.

Außerdem vertritt der Generalanwalt den Standpunk , dass die in Rede stehende Verarbeitung rechtmäßig sei, wenn sie für die Wahrnehmung einer dem Gerichtsvollzieher übertragenen Aufgabe, die in Ausübung öffentlicher Gewalt erfolge, erforderlich sei.

Schließlich stellt der Generalanwalt fest, dass sich der Zweck der von dem Gerichtsvollzieher vorgenommenen Verarbeitung von dem ursprünglichen Zweck unterscheide, der darin bestanden habe, die Nutzung der in Rede stehenden Online-Plattform zu ermöglichen. Damit diese weitere Verarbeitung als mit der DSGVO vereinbar angesehen werden könne, müsse sie eine in einer demokratischen Gesellschaft notwendige und verhältnismäßige Maßnahme zur Erreichung eines der mit dieser Verordnung verfolgten Ziele im öffentlichen Interesse darstellen. Nach Auffassung des Generalanwalts kann unter diesen Zielen das der Durchsetzung zivilrechtlicher Ansprüche grundsätzlich die Verarbeitung der vorliegend in Rede stehenden Daten rechtfertigen. Er hebt auch hervor, dass die Prüfung der Verhältnismäßigkeit, die dem polnischen Gericht obliege, eine Abwägung zwischen dem Eigentumsrecht der Gläubigergesellschaft und dem Recht der Nutzer der in Rede stehenden Online-Plattform auf Schutz personenbezogener Daten impliziere.

Die vollständigen Schlussanträge finden Sie hier:

EuGH-Generalanwalt: Offensichtliche Verletzung der Meinungsäußerungsfreiheit kann Versagung der Vollstreckbarerklärung in anderem EU-Mitgliedsstaat zur Folge haben

EuGH-Generalanwalt
Schlussanträge vom 08.02.2024
C-633/22
Real Madrid Club de Fútbol u.a. gegen Société Éditrice du Monde SA u.a.


Der EuGH-Generalanwalt kommt in seinen Schlussanträgen zu dem Ergebnis, dass die offensichtliche Verletzung der Meinungsäußerungsfreiheit die Versagung der Vollstreckbarerklärung in anderem EU-Mitgliedsstaat zur Folge haben kann.

Die Pressemitteilung des EuGH:
Erster Generalanwalt Szpunar: Eine offensichtliche Verletzung der Meinungsäußerungsfreiheit kann einen Grund für die Versagung der Vollstreckbarerklärung darstellen

Eine Verurteilung zu Schadensersatz, dessen Betrag offensichtlich überhöht sei, führe zu einer abschreckenden Wirkung, die sowohl die journalistische Freiheit als auch die Informationsfreiheit beeinträchtige.

Vor nahezu zehn Jahren wurden die Zeitung Le Monde und einer ihrer Journalisten in Spanien wegen der 2006 erfolgten Veröffentlichung eines Artikels verurteilt, in dem über Verbindungen zwischen dem Fußballverein Real Madrid und Dr. Fuentes berichtet wurde, dem Drahtzieher eines Dopingrings im Radsport. Mit der Entscheidung, dass der Artikel verleumderisch sei und dem Ruf des Vereins schade, ordnete die spanische Justiz eine Strafzahlung in Höhe von 390 000 Euro gegen die Herausgeberin der Zeitung Le Monde und in Höhe von 33 000 gesamtschuldnerisch gegen Letztere und ihren Journalisten an.

Real Madrid beantragte die Vollstreckung dieser spanischen Entscheidungen in Frankreich. 2020 lehnte das Berufungsgericht Paris den Antrag aber unter Verweis auf die Ordre-public-Klausel ab: Die Verurteilung entfalte unter Verletzung der Presse- und der Meinungsäußerungsfreiheit eine abschreckende Wirkung auf Journalisten und Presseorgane in Bezug auf die Beteiligung an der öffentlichen Erörterung für die Allgemeinheit interessanter Themen.

Der mit der Rechtssache befasste französische Kassationsgerichtshof möchte vom Gerichtshof wissen, ob die von der Charta der Grundrechte der Europäischen Union garantierte Pressefreiheit in der Unionsrechtsordnung ein Grundprinzip darstellt, deren Verletzung einen Rückgriff auf die Ordre-Public-Klausel rechtfertigen kann.

Der Erste Generalanwalt Maciej Szpunar geht in seinen Schlussanträgen davon aus, dass ein Mitgliedstaat, in dem die Vollstreckung einer Entscheidung wie der im Ausgangsverfahren in Rede stehenden beantragt wird, diese Vollstreckung versagen oder aufheben müsse, wenn sie zu einer offensichtlichen Verletzung der Meinungsäußerungsfreiheit führen würde.

Bei einer Verurteilung zu kompensatorischem Schadensersatz ist der Generalanwalt der Auffassung, dass die Gefahr einer Abschreckungswirkung, die über die Situation der unmittelbar betroffenen Person hinausgehe, die Versagung der Vollstreckbarerklärung rechtfertige, da sie eine offensichtliche und unverhältnismäßige Verletzung der Pressefreiheit in dem in Rede stehenden Mitgliedstaat darstelle. Insoweit stellt er klar, dass der Gesamtbetrag, den eine natürliche Person zu zahlen habe, als offensichtlich überhöht anzusehen sei, wenn diese Person jahrelang kämpfen müsste, um ihn vollständig zu begleichen, oder wenn der Betrag mehreren Dutzend Standardmindestlöhnen im betreffenden Mitgliedstaat entspreche. Was juristische Personen angehe, dürfe die Höhe des Presseunternehmen auferlegten Schadensersatzes nicht geeignet sein, deren finanzielles Gleichgewicht zu gefährden.

Unter Berücksichtigung ihrer Bedeutung in einer demokratischen Gesellschaft und in einem Rechtsstaat stelle die Pressefreiheit einen wesentlichen Grundsatz der Unionsrechtsordnung dar, dessen offensichtliche Verletzung einen Grund für die Versagung der Vollstreckbarerklärung bilden könne. Ein Rückgriff auf die öffentliche Ordnung sei nur in Ausnahmefällen möglich, und zwar dann, wenn bei einer Verurteilung zu kompensatorischen Schadensersatz die Vollstreckung der Entscheidung geeignet sei, im betroffenen Mitgliedstaat eine abschreckende Wirkung auf die Ausübung dieser Freiheit zu entfalten.


Ergebnis der Schlussanträge:
Nach alledem schlage ich dem Gerichtshof vor, die Vorlagefragen der Cour de Cassation (Kassationsgerichtshof, Frankreich) wie folgt zu beantworten:

Art. 45 Abs. 1 in Verbindung mit Art. 34 Nr. 1 und Art. 45 Abs. 2 der Verordnung (EG) Nr. 44/2001 des Rates vom 22. Dezember 2000 über die gerichtliche Zuständigkeit und die Anerkennung und Vollstreckung von Entscheidungen in Zivil- und Handelssachen sowie Art. 11 der Charta der Grundrechte der Europäischen Union sind dahin auszulegen, dass

ein Mitgliedstaat, in dem die Vollstreckung einer in einem anderen Mitgliedstaat ergangenen Entscheidung beantragt wird, die sich auf eine Verurteilung eines Unternehmens, das eine Zeitung herausgibt, und eines Journalisten wegen Schädigung des Rufs eines Sportvereins und eines Mitglieds seines medizinischen Teams durch eine in dieser Zeitung veröffentlichte Information bezieht, eine Vollstreckbarerklärung der Entscheidung versagen oder aufheben muss, wenn deren Vollstreckung zu einer offensichtlichen Verletzung der in Art. 11 der Charta der Grundrechte garantierten Freiheit der Meinungsäußerung führen würde.

Eine solche Verletzung ist zu bejahen, wenn die Vollstreckung der Entscheidung im Vollstreckungsmitgliedstaat eine potenziell abschreckende Wirkung in Bezug auf die Beteiligung sowohl der von der Verurteilung betroffenen Personen als auch anderer Presseunternehmen und Journalisten an der Debatte über ein Thema von allgemeinem Interesse hat. Eine potenziell abschreckende Wirkung liegt vor, wenn der Gesamtbetrag, dessen Zahlung gefordert wird, in Anbetracht der Art und der wirtschaftlichen Lage der betroffenen Person offensichtlich überhöht ist. Im Fall eines Journalisten liegt eine potenziell abschreckende Wirkung insbesondere dann vor, wenn dieser Betrag mehreren Dutzend Standardmindestlöhnen im Vollstreckungsmitgliedstaat entspricht. Im Fall eines Unternehmens, das eine Zeitung herausgibt, ist die potenziell abschreckende Wirkung so zu verstehen, dass das finanzielle Gleichgewicht dieser Zeitung offensichtlich gefährdet ist. Das Gericht des Vollstreckungsmitgliedstaats darf die Schwere des Verschuldens und das Ausmaß des Schadens nur berücksichtigen, um festzustellen, ob der Gesamtbetrag einer Verurteilung, obwohl er auf den ersten Blick offensichtlich überhöht scheint, angemessenen ist, um den Auswirkungen der verleumderischen Äußerungen entgegenzuwirken.

Die vollständigen Schlussanträge finden Sie hier:

EuGH-Generalanwalt: Verbandsklagebefugnis für Verbraucherschutzverbände bei DSGVO-Verstoß - Verletzung der Informationspflicht aus Art. 12 Abs. 1 Satz 1 und Art. 13 Abs. 1 Buchst. c, e DSGVO

EuGH-Generalanwalt
Schlussanträge vom 25.01.2024
C‑757/22
Meta Platforms Ireland Limited
gegen
Bundesverband der Verbraucherzentralen und Verbraucherverbände – Verbraucherzentrale Bundesverband e. V.


Der EuGH-Generalanwalt kommt in seinen Schlussanträgen zu dem Ergebnis, dass die Verbandsklagebefugnis für Verbraucherschutzverbände bei DSGVO-Verstößen u.a. dann anzunehmen ist, wenn es um die Verletzung der Informationspflicht aus Art. 12 Abs. 1 Satz 1 DSGVO und Art. 13 Abs. 1 Buchst. c und e DSGVO geht.

Ergebnis des EuGH-Generalanwalts:
Art. 80 Abs. 2 der Verordnung (EU) 2016/679 des Europäischen Parlaments und des Rates vom 27. April 2016 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten, zum freien Datenverkehr und zur Aufhebung der Richtlinie 95/46/EG (Datenschutz-Grundverordnung) ist dahin auszulegen, dass

die Bedingung, wonach eine ermächtigte Einrichtung, um eine Verbandsklage nach dieser Bestimmung erheben zu können, geltend machen muss, dass ihres Erachtens die Rechte einer betroffenen Person aus der DSGVO infolge einer Verarbeitung verletzt worden sind, voraussetzt, dass diese Einrichtung eine Verarbeitung personenbezogener Daten sowie einen Zusammenhang zwischen der Rechtsverletzung und der Verarbeitung behauptet. Die Bedingung ist erfüllt, wenn die Klage im Zusammenhang mit einer Verarbeitung personenbezogener Daten darauf gestützt wird, dass der Verantwortliche die Informationspflicht gemäß Art. 12 Abs. 1 Satz 1 in Verbindung mit Art. 13 Abs. 1 Buchst. c und e DSGVO verletzt hat, da eine solche Verletzung die Verarbeitung rechtswidrig machen kann.

Die vollständigen Schlussanträge finden Sie hier:


EuGH-Generalanwalt: Mitgliedstaat darf in seinem Hoheitsgebiet tätigen Online-Dienste-Anbietern die in anderem Mitgliedstaat ansässig sind keine generellen und abstrakten Verpflichtungen auferlegen

EuGH-Generalanwalt
Schlussanträge vom 11.01.2024
in den verbundenen Rechtssachen C-662/22 - Airbnb Ireland und C-667/22 - Amazon Services Europe Sàrl,
in der Rechtssache C-663/22 - Expedia Inc.,
in den verbundenen Rechtssachen C-664/22 - Google Ireland Limited und C-666/22 - Eg Vacation Rentals Ireland Limited
in der Rechtssache C-665/22 - Amazon Services Europe


Der EuGH-Generalanwalt kommt in seinen Schlussanträgen zu dem Ergebnis, dass ein Mitgliedstaat einem Anbieter von Online-Diensten, der in seinem Hoheitsgebiet tätig aber in anderem Mitgliedstaat ansässig ist, keine generellen und abstrakten Verpflichtungen auferlegen darf.

Die Pressemitteilung des EuGH:
Generalanwalt Szpunar: Ein Mitgliedstaat darf einem Anbieter von Online-Diensten, der in seinem Hoheitsgebiet tätig, aber in einem anderen Mitgliedstaat ansässig ist, keine generellen und abstrakten Verpflichtungen auferlegen

In Italien unterliegen Anbieter von Online-Vermittlungsdiensten und Online-Suchmaschinen wie Airbnb, Google, Amazon und Vacation Rentals einer Reihe von Verpflichtungen: Sie müssen in einem Register eingetragen sein, in regelmäßigen Zeitabständen einer Behörde eine Reihe von Informationen übermitteln und eine Gebühr entrichten. Bei Verstößen gegen diese Verpflichtungen drohen ihnen Sanktionen.

Mit Ausnahme von Expedia, die in den Vereinigten Staaten ansässig ist und sich lediglich gegen die Pflicht zur Erteilung von Informationen wendet, greifen die genannten Anbieter von Online-Diensten, die in der Europäischen Union ansässig sind, diese Verpflichtungen vor den italienischen Gerichten an. Sie machen geltend, die Verpflichtungen verstießen gegen die Verordnung der Union zur Förderung von Fairness und Transparenz für gewerbliche Nutzer von Online-Vermittlungsdiensten , während Italien vorträgt, mit der fraglichen Regelung würden die Unionsvorschriften umgesetzt. Überdies machen die in der Union ansässigen Gesellschaften geltend, die betreffenden Verpflichtungen verstießen insbesondere gegen den in der Richtlinie über den elektronischen Geschäftsverkehr aufgestellten Grundsatz, wonach die Dienste der Informationsgesellschaft im Prinzip dem Recht des Mitgliedstaats der Niederlassung eines Anbieters (im konkreten Fall Irland oder Luxemburg) unterlägen. In diesem Kontext hat ein italienisches Gericht beschlossen, dem Gerichtshof Fragen vorzulegen.

Generalanwalt Maciej Szpunar kommt zu dem Ergebnis, dass es mit dem Unionsrecht und speziell der Richtlinie über den elektronischen Geschäftsverkehr unvereinbar sei, einem in einem anderen Mitgliedstaat ansässigen Anbieter von Online-Diensten solche generellen und abstrakten Verpflichtungen aufzuerlegen.

Außerdem vertritt er in Bezug auf die Verordnung zur Förderung von Fairness und Transparenz für gewerbliche Nutzer von Online-Vermittlungsdiensten die Auffassung, dass die in der italienischen Regelung vorgesehenen Verpflichtungen keine Maßnahmen zur Durchsetzung dieser Verordnung darstellten. Die Verordnung rechtfertige die Verpflichtungen daher nicht. Sie solle durch die Schaffung eines fairen, vorhersehbaren, tragfähigen und vertrauenswürdigen Online- Geschäftsumfelds im Binnenmarkt zum reibungslosen Funktionieren des Binnenmarkts beitragen. In diesem Kontext dürfe ein Mitgliedstaat nur Informationen sammeln, die mit den ihm durch die Verordnung auferlegten Verpflichtungen und den mit ihr verfolgten Zielen in Zusammenhang stünden.



EuGH: Längere Speicherung der Restschuldbefreiung als das öffentliche Insolvenzregister durch SCHUFA verstößt gegen DSGVO

EuGH
Urteil vom 07.12.2023
den verbundenen Rechtssachen
C-26/22 und C-64/22
SCHUFA Holding u. a. (Restschuldbefreiung)


Der EuGH hat entschieden, dass längere Speicherung der Restschuldbefreiung als das öffentliche Insolvenzregister (6 Monate) durch SCHUFA gegen die Vorgaben der DSGVO verstößt.

Tenor der Entscheidung:
1. Art. 78 Abs. 1 der Verordnung (EU) 2016/679 des Europäischen Parlaments und des Rates vom 27. April 2016 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten, zum freien Datenverkehr und zur Aufhebung der Richtlinie 95/46/EG (Datenschutz-Grundverordnung) ist dahin auszulegen, dass ein rechtsverbindlicher Beschluss einer Aufsichtsbehörde einer vollständigen inhaltlichen Überprüfung durch ein Gericht unterliegt.

2. Art. 5 Abs. 1 Buchst. a der Verordnung 2016/679 in Verbindung mit Art. 6 Abs. 1 Unterabs. 1 Buchst. f dieser Verordnung ist dahin auszulegen, dass er einer Praxis privater Wirtschaftsauskunfteien entgegensteht, die darin besteht, in ihren eigenen Datenbanken aus einem öffentlichen Register stammende Informationen über die Erteilung einer Restschuldbefreiung zugunsten natürlicher Personen zum Zweck der Lieferung von Auskünften über die Kreditwürdigkeit dieser Personen für einen Zeitraum zu speichern, der über die Speicherdauer der Daten im öffentlichen Register hinausgeht.

3. Art. 17 Abs. 1 Buchst. c der Verordnung 2016/679 ist dahin auszulegen, dass die betroffene Person das Recht hat, vom Verantwortlichen die unverzügliche Löschung der sie betreffenden personenbezogenen Daten zu verlangen, wenn sie gemäß Art. 21 Abs. 1 dieser Verordnung Widerspruch gegen die Verarbeitung einlegt und keine zwingenden schutzwürdigen Gründe vorliegen, die ausnahmsweise die betreffende Verarbeitung rechtfertigen.

4. Art. 17 Abs. 1 Buchst. d der Verordnung 2016/679 ist dahin auszulegen, dass der Verantwortliche verpflichtet ist, personenbezogene Daten, die unrechtmäßig verarbeitet wurden, unverzüglich zu löschen.

Aus der Pressemitteilung des EuGH:
Die Datenschutz-Grundverordnung (DSGVO) steht zwei Datenverarbeitungspraktiken von Wirtschaftsauskunfteien entgegen

Während das „Scoring“ nur unter bestimmten Voraussetzungen zulässig ist, steht die längere Speicherung von Informationen über die Erteilung einer Restschuldbefreiung im Widerspruch zur DSGVO.

Mehrere Bürger fochten vor dem Verwaltungsgericht Wiesbaden Bescheide des zuständigen Datenschutzbeauftragten an, mit denen er sich weigerte, gegen bestimmte Tätigkeiten der SCHUFA, einer privaten Wirtschaftsauskunftei, vorzugehen, zu deren Kunden insbesondere Banken zählen. Sie wandten sich konkret gegen das „Scoring“ sowie gegen die Speicherung von aus öffentlichen Registern übernommenen Informationen über die Erteilung einer Restschuldbefreiung.

[...]

In Bezug auf die Informationen über die Erteilung einer Restschuldbefreiung entscheidet der Gerichtshof, dass es im Widerspruch zur DSGVO steht, wenn private Auskunfteien solche Daten länger speichern als das öffentliche Insolvenzregister. Die erteilte Restschuldbefreiung soll nämlich der betroffenen Person ermöglichen, sich erneut am Wirtschaftsleben zu beteiligen, und hat daher für sie existenzielle Bedeutung. Diese Informationen werden bei der Bewertung der Kreditwürdigkeit der betroffenen Person stets als negativer Faktor verwendet. Im vorliegenden Fall hat der deutsche Gesetzgeber eine sechsmonatige Speicherung der Daten vorgesehen. Er geht daher davon aus, dass nach Ablauf der sechs Monate die Rechte und Interessen der betroffenen Person diejenigen der Öffentlichkeit, über diese Information zu verfügen, überwiegen.

Soweit die Speicherung der Daten nicht rechtmäßig ist, wie dies nach Ablauf der sechs Monate der Fall ist, hat die betroffene Person das Recht auf Löschung dieser Daten, und die Auskunftei ist verpflichtet, sie unverzüglich zu löschen.

Was die parallele Speicherung solcher Informationen durch die SCHUFA während dieser sechs Monate angeht, ist es Sache des vorlegenden Gerichts, die in Rede stehenden Interessen gegeneinander abzuwägen, um die Rechtmäßigkeit dieser Speicherung zu beurteilen. Sollte es zu dem Ergebnis kommen, dass die parallele Speicherung während der sechs Monate rechtmäßig ist, hat die betroffene Person dennoch das Recht, Widerspruch gegen die Verarbeitung ihrer Daten einzulegen, sowie das Recht auf deren Löschung, es sei denn, die SCHUFA weist das Vorliegen zwingender schutzwürdiger Gründe nach. Schließlich betont der Gerichtshof, dass die nationalen Gerichte jeden rechtsverbindlichen Beschluss einer Aufsichtsbehörde einer vollständigen inhaltlichen Überprüfung unterziehen können müssen.


Den Volltext der Entscheidung finden Sie hier:

EuGH: SCHUFA-Scoring ist eine "automatisierte Entscheidung im Einzelfall" und damit Profiling im Sinne der DSGVO soweit Score maßgeblich für Kreditgewährung oder Vertragsschluss ist

EuGH
Urteil vom 07.12.2023
C-634/21
SCHUFA Holding (Scoring)


Der EuGH hat entschieden, dass das SCHUFA-Scoring eine "automatisierte Entscheidung im Einzelfall" und damit Profiling im Sinne der DSGVO ist, soweit der Score maßgeblich für Kreditgewährung oder Vertragsschluss ist.

Tenor der Entscheidung:
Art. 22 Abs. 1 der Verordnung (EU) 2016/679 des Europäischen Parlaments und des Rates vom 27. April 2016 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten, zum freien Datenverkehr und zur Aufhebung der Richtlinie 95/46/EG (Datenschutz-Grundverordnung) ist dahin auszulegen, dass eine „automatisierte Entscheidung im Einzelfall“ im Sinne dieser Bestimmung vorliegt, wenn ein auf personenbezogene Daten zu einer Person gestützter Wahrscheinlichkeitswert in Bezug auf deren Fähigkeit zur Erfüllung künftiger Zahlungsverpflichtungen durch eine Wirtschaftsauskunftei automatisiert erstellt wird, sofern von diesem Wahrscheinlichkeitswert maßgeblich abhängt, ob ein Dritter, dem dieser Wahrscheinlichkeitswert übermittelt wird, ein Vertragsverhältnis mit dieser Person begründet, durchführt oder beendet.

Aus der Pressemitteilung des EuGH:
Die Datenschutz-Grundverordnung (DSGVO) steht zwei Datenverarbeitungspraktiken von Wirtschaftsauskunfteien entgegen

Während das „Scoring“ nur unter bestimmten Voraussetzungen zulässig ist, steht die längere Speicherung von Informationen über die Erteilung einer Restschuldbefreiung im Widerspruch zur DSGVO.

Mehrere Bürger fochten vor dem Verwaltungsgericht Wiesbaden Bescheide des zuständigen Datenschutzbeauftragten an, mit denen er sich weigerte, gegen bestimmte Tätigkeiten der SCHUFA, einer privaten Wirtschaftsauskunftei, vorzugehen, zu deren Kunden insbesondere Banken zählen. Sie wandten sich konkret gegen das „Scoring“ sowie gegen die Speicherung von aus öffentlichen Registern übernommenen Informationen über die Erteilung einer Restschuldbefreiung.

Das „Scoring“ ist ein mathematisch-statistisches Verfahren, das es ermöglicht, die Wahrscheinlichkeit eines künftigen Verhaltens, wie etwa die Rückzahlung eines Kredits, vorauszusagen. Die Informationen über die Erteilung einer Restschuldbefreiung werden im deutschen öffentlichen Insolvenzregister sechs Monate lang gespeichert, während Verhaltensregeln der deutschen Wirtschaftsauskunfteien für ihre eigenen Datenbanken eine Speicherdauer von drei Jahren vorsehen. Das Verwaltungsgericht ersucht den Gerichtshof, den Umfang des Schutzes der personenbezogenen Daten, wie er von der Datenschutz-Grundverordnung (DSGVO)1 vorgesehen ist, näher zu erläutern.

Der Gerichtshof entscheidet, dass das „Scoring“ als eine von der DSGVO grundsätzlich verbotene „automatisierte Entscheidung im Einzelfall“ anzusehen ist, sofern die Kunden der SCHUFA, wie beispielsweise Banken, ihm eine maßgebliche Rolle im Rahmen der Kreditgewährung beimessen. Nach Ansicht des Verwaltungsgerichts Wiesbaden ist dies der Fall. Es obliegt diesem Gericht zu beurteilen, ob das deutsche Bundesdatenschutzgesetz im Einklang mit der DSGVO eine gültige Ausnahme von diesem Verbot enthält. Trifft dies zu, wird das Gericht außerdem zu prüfen haben, ob die in der DSGVO vorgesehenen allgemeinen Voraussetzungen für die Datenverarbeitung erfüllt sind. [...]


Den Volltext der Entscheidung finden Sie hier:

EuGH-Generalanwalt: Immaterieller Schadensersatz aus Art. 82 DSGVO beim Diebstahl sensibler personenbezogener Daten setzt DSGVO-Verstoß, konkreten Schaden und Kausalzusammenhang voraus

EuGH-Generalanwalt
Schlussanträge vom 26.10.2023
Verbundene Rechtssachen C‑182/22 und C‑189/22


Der EuGH-Generalanwalt kommt in seinen Schlussanträgen zu dem Ergebnis, dass ein Anspruch auf immateriellen Schadensersatz aus Art. 82 DSGVO beim Diebstahl sensibler personenbezogener Daten einen Verstoß gegen die Bestimmungen der DSGVO, einen konkreten Schaden und einen Kausalzusammenhang voraussetzt.

Ergebnis:
Art. 82 Abs. 1 der Verordnung (EU) 2016/679 des Europäischen Parlaments und des Rates vom 27. April 2016 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten, zum freien Datenverkehr und zur Aufhebung der Richtlinie 95/46/EG (Datenschutz-Grundverordnung)

ist wie folgt auszulegen:

Der Diebstahl sensibler personenbezogener Daten einer betroffenen Person durch einen unbekannten Straftäter kann zu einem Anspruch auf immateriellen Schadensersatz führen, wenn der Nachweis eines Verstoßes gegen die Datenschutz-Grundverordnung, eines konkreten erlittenen Schadens und eines Kausalzusammenhangs zwischen dem Schaden und diesem Verstoß erbracht wird. Für die Gewährung eines solchen Schadensersatzes ist es nicht erforderlich, dass der Straftäter die Identität der betroffenen Person angenommen hat, und der Besitz von Daten, die die betroffene Person identifizierbar machen, stellt für sich genommen keinen Identitätsdiebstahl dar.


Rechtliche Würdigung:
Das vorlegende Gericht möchte mit seiner fünften Frage wissen, ob der einfache Diebstahl der sensiblen personenbezogenen Daten einer betroffenen Person durch einen unbekannten Straftäter einen Identitätsdiebstahl darstellt, der einen Schadensersatzanspruch begründet, oder ob der Straftäter für die Annahme eines Identitätsdiebstahls die Identität der betroffenen Person tatsächlich annehmen oder zu diesem Zweck Anstrengungen unternehmen muss. Diese Frage wird im Zusammenhang mit der Feststellung gestellt, dass unbekannte Straftäter bestimmte sensible personenbezogene Daten von JU und SO aus der Trading-App von Scalable Capital gestohlen haben. Obwohl keine weitere (missbräuchliche) Verwendung der Daten erfolgt zu sein scheint, kann, da die Identität der Straftäter unbekannt ist und diese noch nicht ergriffen worden sind, eine solche künftige (missbräuchliche) Verwendung nicht ausgeschlossen werden.

23. Art. 82 der DSGVO bestätigt allgemein den Anspruch jeder betroffenen Person, der wegen eines Verstoßes gegen die DSGVO „ein materieller oder immaterieller Schaden“ entstanden ist, auf Schadensersatz und teilt die Haftung zwischen dem (den) Verantwortlichen und/oder dem (den) Auftragsverarbeiter(n) auf. Diese Bestimmung benennt weder die genaue Art noch die Form eines solchen Schadens. Die DSGVO verweist zur Definition der Bedeutung und des Anwendungsbereichs des Begriffs „immaterieller Schaden“ nicht auf das Recht der Mitgliedstaaten. Dieser Begriff ist daher als autonomer Begriff des Unionsrechts zu behandeln und in allen Mitgliedstaaten einheitlich auszulegen.

24. Nach Art. 82 der DSGVO ist Schadensersatz zu leisten, wenn der Nachweis eines Verstoßes gegen die DSGVO, eines „tatsächlich erlittenen Schadens“ und eines Kausalzusammenhangs zwischen diesem Verstoß und diesem Schaden erbracht wird. Die DSGVO sieht kein System der verschuldensunabhängigen Haftung vor. Die Ausgleichsfunktion der durch Art. 82 Abs. 1 der DSGVO eingeführten Regelung schließt auch den Zuspruch von Strafschadensersatz aus. Eine solche Entschädigung muss vollständig und wirksam sein und damit „den aufgrund des Verstoßes gegen [die DSGVO] konkret erlittenen Schaden in vollem Umfang ausgleichen“. Der immaterielle Schaden, den die betroffene Person erlitten hat, braucht keinen bestimmten Grad an Erheblichkeit zu erreichen. Auch wenn es keine Geringfügigkeitsschwelle für die Höhe des immateriellen Schadens gibt, bedarf es eindeutiger und präziser Beweise dafür, dass die betroffene Person einen solchen Schaden erlitten hat. Ein potenzieller oder hypothetischer Schaden oder die bloße Beunruhigung wegen des Diebstahls der eigenen personenbezogenen Daten reicht nicht aus.

25. Art. 82 Abs. 3 der DSGVO befreit den Verantwortlichen oder den Auftragsverarbeiter von der Haftung, „wenn er nachweist, dass er in keinerlei Hinsicht für den Umstand, durch den der Schaden eingetreten ist, verantwortlich ist“. Der Gerichtshof hatte bisher noch keine Gelegenheit, Art. 82 Abs. 3 der DSGVO ausführlich zu prüfen. Eine wörtliche Auslegung dieser Bestimmung scheint darauf hinauszulaufen, dass jedes fahrlässige (Mit‑)Verschulden oder Versehen des Verantwortlichen oder des Auftragsverarbeiters ausreicht, um die Anwendung der Befreiung auszuschließen. Zudem kann die dem (den) Verantwortlichen oder dem (den) Auftragsverarbeiter(n), der (die) von der Befreiung Gebrauch machen möchte(n), nach dieser Bestimmung obliegende Beweislast die Umsetzung fortlaufender Maßnahmen zur Vorbeugung gegen Datenschutzverletzungen auferlegen.

26. Der Diebstahl der personenbezogenen Daten einer betroffenen Person begründet einen Anspruch auf Ersatz des immateriellen Schadens nach Art. 82 Abs. 1 der DSGVO, wenn die drei im Urteil Österreichische Post aufgestellten Voraussetzungen erfüllt sind. Der siebte Erwägungsgrund der DSGVO bestimmt: „Natürliche Personen sollten die Kontrolle über ihre eigenen Daten besitzen.“ Der Umstand, dass betroffene Personen „daran gehindert werden, die sie betreffenden personenbezogenen Daten zu kontrollieren“, oder dass natürliche Personen die „Kontrolle über ihre personenbezogenen Daten“ verlieren, kann zu einem immateriellen Schaden führen. Dies ist der Kontext, in dem das vorlegende Gericht fragt, ob der Diebstahl personenbezogener Daten einen Identitätsdiebstahl darstellt.

27. Die operativen Bestimmungen der DSGVO erwähnen den Identitätsdiebstahl nicht und definieren ihn auch nicht. Die Erwägungsgründe 75 und 85 der DSGVO erwähnen den „Identitätsdiebstahl oder ‑betrug“ nur. Der 75. Erwägungsgrund nennt in einer nicht erschöpfenden Liste von Beispielen den „Identitätsdiebstahl oder ‑betrug“ als ein Beispiel für die Risiken für die Ausübung der Rechte und Freiheiten natürlicher Personen aufgrund der Verarbeitung ihrer personenbezogenen Daten. In ähnlicher Weise erwähnt der 85. Erwägungsgrund der DSGVO den „Identitätsdiebstahl oder ‑betrug“ als ein Beispiel für den Schaden, der durch das Versäumnis entsteht, auf eine Verletzung des Schutzes personenbezogener Daten rechtzeitig und angemessen zu reagieren.

28. In einer Reihe von Erwägungsgründen und Bestimmungen in anderen Rechtsvorschriften der Union werden Begriffe wie „Identitätsdiebstahl“, „Identitätsbetrug“ und „Identitätsdiebstahl oder ‑betrug“ erwähnt. Ich habe keine Bestimmung des Unionsrechts gefunden, in der die diese Begriffe definiert werden(33). Der Unionsgesetzgeber nennt diese Begriffe daher beispielhaft.

29. Dies wird auch aus einer Betrachtung der verschiedenen Sprachfassungen dieser Begriffe in den Erwägungsgründen 75 und 85 der DSGVO ersichtlich. Während die deutsche (Identitätsdiebstahl oder –betrug), die englische (identity theft or fraud), die estnische (identiteedivargust või –pettust), die irische (goid aitheantais nó calaois aitheantais), die litauische (būti pavogta ar suklastota tapatybė), die niederländische (identiteitsdiefstal of –fraude), die polnische (kradzieżą tożsamości lub oszustwem dotyczącym tożsamości), die rumänische (furt sau fraudă a identității) und die slowakische (krádeži totožnosti alebo podvodu) Sprachfassung weitgehend ähnlich sind, weichen andere Sprachfassungen in unterschiedlichem Maß hiervon ab: die tschechische (krádeži či zneužití identity), die französische (vol ou une usurpation d’identité), die griechische (κατάχρηση ή υποκλοπή ταυτότητας), die portugiesische (usurpação ou roubo da identidade), die italienische (furto o usurpazione d’identità) und die spanische (usurpación de identidad o fraude). Die verschiedenen Sprachfassungen der maßgeblichen Erwägungsgründe der DSGVO deuten darauf hin, dass sich die Begriffe Identitätsdiebstahl, Identitätsbetrug, Identitätsmissbrauch, missbräuchliche Verwendung der Identität, Identitätsaneignung und Identitätsanmaßung überschneiden und dass sie zumindest zu einem gewissen Grad als austauschbar angesehen werden können. Folglich unterscheiden die Erwägungsgründe 75 und 85 der DSGVO entgegen dem in Nr. 18 der vorliegenden Schlussanträge dargelegten Vorbringen von SO nicht klar zwischen Identitätsdiebstahl und Identitätsbetrug.

30. Die Erwägungsgründe 75 und 85 unterscheiden zwischen dem Beispiel des „Verlusts der Kontrolle“ oder der Unmöglichkeit, personenbezogene Daten zu „kontrollieren“, und dem Beispiel des „Identitätsdiebstahls oder ‑betrugs“. Daher stellt der Diebstahl personenbezogener Daten allein selbst dann keinen Identitätsdiebstahl dar, wenn dieser Diebstahl zu einer künftigen (missbräuchlichen) Verwendung dieser Daten führen kann. Ein Identitätsdiebstahl erfordert eine zusätzliche Handlung oder einen zusätzlichen Schritt mit über den Diebstahl der personenbezogenen Daten hinausgehenden, nachteiligen Auswirkungen auf die betroffene Person. Wer die personenbezogenen Daten einer betroffenen Person stiehlt, muss diese Daten ohne Einwilligung der betroffenen Person (missbräuchlich) zu rechtswidrigen Zwecken verwenden oder konkrete Schritte hierzu unternehmen. Mit einer solchen Handlung ist typischerweise ein Betrug oder eine andere Form der Täuschung verbunden, und sie wird im Allgemeinen zur Erzielung eines finanziellen oder anderweitigen Gewinns durchgeführt oder um der betroffenen Person oder ihrer Umgebung Schaden zuzufügen.

31. Aus den vorstehenden Erwägungen folgt, dass der Diebstahl personenbezogener Daten zwar keinen Identitätsdiebstahl oder ‑betrug darstellt, jedoch zur Entstehung eines immateriellen Schadens und zu einem Schadensersatzanspruch nach Art. 82 Abs. 1 der DSGVO führen kann. Der Nachweis eines immateriellen Schadens kann einfacher zu erbringen sein, wenn festgestellt wird, dass die betroffene Person infolge des Diebstahls ihrer personenbezogenen Daten Opfer eines Identitätsdiebstahls oder ‑betrugs geworden ist. Ein Anspruch auf Ersatz des immateriellen Schadens nach Art. 82 Abs. 1 der DSGVO wegen des Diebstahls personenbezogener Daten hängt jedoch nicht vom Vorliegen eines Identitätsdiebstahls oder ‑betrugs ab. Ein immaterieller Schaden und der Schadensersatzanspruch nach Art. 82 Abs. 1 der DSGVO sind unter Berücksichtigung aller Umstände einzelfallbezogen zu beurteilen.


Den Volltext der Schlussanträge finden Sie hier:


EuGH-Generalanwalt: Zugriff von Behörden auf mit IP-Adressen verknüpfte Identitätsdaten zur Verfolgung von Urheberrechtsverletzungen im Internet als ultima ratio zulässig

EuGH-Generalanwalt
Schlussanträge vom 29.09.2023
C-470/21
La Quadrature du Net u. a.
(Personenbezogene Daten und Bekämpfung von Verletzungen der Rechte des geistigen Eigentums)


Der EuGH-Generalanwalt kommt in seinen Schlussanträgen zu dem Ergebnis, dass der Zugriff von Behörden auf mit IP-Adressen verknüpfte Identitätsdaten zur Verfolgung von Urheberrechtsverletzungen im Internet als ultima ratio zulässig ist.

Die Pressemitteilung des EuGH:
Generalanwalt Szpunar: die Vorratsspeicherung und der Zugriff auf Identitätsdaten, die mit der verwendeten IP-Adresse verknüpft sind, sollten erlaubt sein, wenn diese Daten den einzigen Anhaltspunkt darstellen, um die Identität von Personen zu ermitteln, die ausschließlich im Internet Urheberrechtsverletzungen begangen haben

Seiner Ansicht nach ist die von der Verwaltungsbehörde für den Schutz der Urheberrechte in Frankreich angewandte Regelung der abgestuften Reaktion mit den Anforderungen des Unionsrechts im Bereich des Schutzes der personenbezogenen Daten vereinbar.

Die heutigen Schlussanträge werden im Rahmen der Wiedereröffnung des Verfahrens in dieser Rechtssache vorgelegt. Auf Betreiben der Großen Kammer hat der Gerichtshof nämlich beschlossen, die Rechtssache an das Plenum zu verweisen und Fragen zu stellen, die in der Sitzung vom 15 und 16. Mai 2023 beantwortet werden sollten.

Der Erste Generalanwalt Maciej Szpunar hat seine Schlussanträge zum ersten Mal am 27. Oktober 2022 vorgelegt (vgl. PM Nr. 172/22).

Die Haute Autorité pour la diffusion des œuvres et la protection des droits sur Internet (Hohe Behörde für die Verbreitung von Werken und den Schutz von Rechten im Internet, Hadopi) hat in Frankreich die Aufgabe, die Wahrung der Eigentumsrechte sicherzustellen. Wird eine Urheberrechtsverletzung eines Internetnutzers entdeckt, richtet die Hadopi eine Empfehlung an Letzteren und trägt ihm auf, keine weitere Verletzung mehr zu begehen, worauf eine neuerliche Warnung im Fall der wiederholten Verletzung erfolgt. Werden die ersten beiden Warnungen missachtet und wird eine dritte Verletzung begangen, kann sich die Hadopi an die zuständige Justizbehörde wenden, um eine Strafverfolgung einzuleiten.

Dieses System der abgestuften Reaktion setzt voraus, dass die Hadopi den Täter ermitteln kann, um ihm diese Empfehlungen zukommen zu lassen. Hierfür wurde im Jahr 2010 ein Dekret erlassen, das der Hadopi erlaubt, sich an die Betreiber elektronischer Kommunikation zu richten, damit Letztere ihr die Identitätsdaten des Nutzers übermitteln, dem die für die Begehung der Straftat verwendete IP-Adresse zugeordnet ist.

Vier Vereinigungen zum Schutz der Rechte und Freiheiten im Internet fechten den Erlass dieses Dekrets gerichtlich an. Der Conseil d’État befragt den Gerichtshof, ob das Sammeln der Identitätsdaten, die IP-Adressen zugeordnet sind, sowie die automatisierte Verarbeitung dieser Daten zur Verhinderung von Verletzungen der Rechte des geistigen Eigentums ohne vorherige Kontrolle durch ein Gericht oder eine Verwaltungsstelle mit dem Unionsrecht vereinbar sind.

In seinen heute vorgelegten Schlussanträgen vertritt der Erste Generalanwalt Maciej Szpunar die Auffassung, dass das Unionsrecht dem nicht entgegensteht, dass die Betreiber elektronischer Kommunikation die IP-Adressen und die entsprechenden Identitätsdaten auf Vorrat zu speichern haben und dass eine Verwaltungsbehörde für den Schutz der Urheberrechte gegen Urheberrechtsverletzungen im Internet darauf Zugriff hat.

Nach Ansicht des Generalanwalts ermöglichen die IP-Adresse, die bürgerliche Identität des Inhabers eines Internetzugangs und die Informationen über das fragliche Werk keine genauen Schlüsse auf das Privatleben der Person, die der Begehung einer Urheberrechtsverletzung verdächtigt wird. Es handelt sich hierbei lediglich um die Offenlegung eines zu einem bestimmten Zeitpunkt abgerufenen Inhalts, der für sich genommen nicht geeignet ist, ein detailliertes Profil der Person zu erstellen, die diesen Inhalt abgerufen hat.

Diese Maßnahme soll dieser Behörde ermöglichen, die Inhaber dieser Adressen, die im Verdacht stehen, für diese Rechtsverletzungen verantwortlich zu sein, zu ermitteln und gegebenenfalls Maßnahmen gegen sie zu ergreifen.

Außerdem ist es nicht erforderlich, dass dieser Zugang einer vorherigen Kontrolle durch ein Gericht oder eine unabhängige Verwaltungsstelle unterliegt. Diese Daten stellen nämlich den einzigen Anhaltspunkt dar, der es ermöglicht, die Identität der Person zu ermitteln, der diese Adresse zugeordnet war, als die Tat begangen wurde.

Er betont, dass es sich nicht um eine Abkehr von der bisherigen Rechtsprechung handelt, sondern um deren pragmatische Weiterentwicklung, wodurch unter besonderen und sehr eng abgegrenzten Umständen eine differenziertere Lösung gefunden werden kann. Seiner Auffassung nach liegt dieser Würdigung ein Ausgleich der verschiedenen einander gegenüberstehenden Interessen entsprechend dem Grundsatz der Verhältnismäßigkeit zugrunde, der eine Verfeinerung der Rechtsprechung des Gerichtshofs zur Vorratsspeicherung von und zum Zugriff auf Daten wie IP-Adressen, die mit Identitätsdaten verknüpft sind, rechtfertigt, um so eine systematische Straflosigkeit der ausschließlich online begangenen Gesetzesverletzungen zu verhindern.


Die vollständigen Schlussanträge finden Sie hier:

EuGH-Generalanwältin: Europäische harmonisierte technische Normen müssen als unionsrechtliche Rechtsakte frei und kostenlos zugänglich sein

EuGH-Generalanwältin
Schlussanträge vom 22.06.2023
C-588/21 P
Public.Resource.Org und Right to Know / Kommission u. a.

Die EuGH-Generalanwältin kommt in ihren Schlussanträgen zu dem Ergebnis, dass europäische harmonisierte technische Normen als unionsrechtliche Rechtsakte frei und kostenlos zugänglich sein müssen.

Die Pressemitteilung des EuGH:
Nach Ansicht von Generalanwältin Medina müssen europäische harmonisierte technische Normen wegen ihrer besonderen Rechtsnatur als unionsrechtliche Rechtsakte, frei und kostenlos zugänglich sein

Der Gerichtshof sollte das angefochtene Urteil aufheben und einen Beschluss der Kommission, mit dem der Zugang zu den angeforderten harmonisierten technischen Normen verweigert wurde, für nichtig erklären.

Die Public.Resource.Org Inc. und die Right to Know CLG sind zwei gemeinnützige Organisationen, deren vorrangige Aufgabe darin besteht, das Rechtssystem allen Bürgern frei zugänglich zu machen. Diese Organisationen erhoben beim Gericht Klage gegen einen Beschluss der Kommission, mit dem ihnen der Zugang zu vier vom Europäischen Komitee für Normung (CEN) angenommenen harmonisierten technischen Normen (HTN) insbesondere zur Spielzeugsicherheit verweigert worden war. Da ihre Klage ohne Erfolg blieb, legten sie gegen das Urteil des Gerichts ein Rechtsmittel beim Gerichtshof ein.

In ihren heutigen Schlussanträgen befasst sich Generalanwältin Laila Medina mit der Frage, ob die Rechtsstaatlichkeit sowie der Grundsatz der Transparenz und das Recht auf Zugang zu Dokumenten der Unionsorgane verlangen, dass HTN frei und kostenlos zugänglich sind.

Die Organisationen haben vorgetragen, dass dem Gericht durch eine fehlerhafte Beurteilung des urheberrechtlichen Schutzes für die angeforderten HTN ein Rechtsfehler unterlaufen sei. Sie meinen, HTN könnten nicht urheberrechtlich geschützt sein, da sie Teil des Unionsrechts seien und die Rechtsstaatlichkeit einen freien Zugang zum Recht gebiete. Generalanwältin Medina legt dar, dass der Gerichtshof bereits anerkannt habe, dass HTN Rechtswirkungen hätten, Teil des Unionsrechts seien und verbindlich sein könnten, wohingegen er sich noch nicht zu ihrer genauen Natur geäußert habe.

Die Generalanwältin prüft sodann die genaue Natur von HTN als Rechtsakte, die Teil des Unionsrechts seien. Sie meint, dass HTN nicht bloß Durchführungsmaßnahmen einer privaten Einrichtung (nämlich einer der drei europäischen Normungsorganisationen, etwa des CEN) seien, sondern dass sie – im Rahmen des vom Unionsgesetzgeber errichteten Normungssystem der Europäischen Union – als von der Kommission erlassen anzusehen seien bzw. dass zumindest davon auszugehen sei, dass die Kommission zusammen mit der betreffenden europäischen Normungsorganisation für die Annahme der HTN verantwortlich sei. Auch das Verfahren zur Annahme von HTN bestätige die entscheidende Rolle der Kommission, da die Kommission den gesamten Prozess zur Erstellung von HTS leite und u. a. aus dem vorbereitenden Dokument einen Rechtsakt mache, der Teil des Unionsrechts sei, wenn sie die Fundstelle der betreffenden HTN im Amtsblatt der Europäischen Union veröffentliche.

In Bezug auf die Rechtswirkungen von HTN ist Generalanwältin Medina der Auffassung, dass die Einhaltung von HTN die Vermutung der Konformität mit den wesentlichen Anforderungen des abgeleiteten Unionsrechts begründe. Das bedeute, dass HTN für jede natürliche oder juristische Person, die diese Vermutung in Bezug auf ein bestimmtes Produkt oder eine bestimmte Dienstleistung in Frage stellen möchte, tatsächlich die gleiche Wirkung hätten wie eine verbindliche Vorschrift. Ferner wirke sich die Bezugnahme auf eine HTN im Streitfall unmittelbar auf die Beweislast aus. Schließlich müsse jeder Mitgliedstaat nach Fertigstellung von HTN und Veröffentlichung ihrer Fundstelle im Amtsblatt der Europäischen Union jede HTN – unverändert – als nationale Norm übernehmen und entgegenstehende Normen innerhalb von sechs Monaten zurückziehen.

Sodann prüft Generalanwältin Medina die Auswirkungen des Grundsatzes der Rechtsstaatlichkeit auf HTN und legt dar, dass die Rechtsstaatlichkeit verlange, dass alle natürlichen und juristischen Personen in der Europäischen Union freien Zugang zum Unionsrecht hätten. Die Generalanwältin meint, dass sich der Gerichtshof an den Grundsatz der Transparenz halten sollte, da keinem Bürger die Möglichkeit vorenthalten werden dürfe, „offiziell“ vom Inhalt der HTN Kenntnis zu nehmen, die ihn unmittelbar oder mittelbar betreffen könnten. In diesem Zusammenhang kommt die Generalanwältin zu dem Ergebnis, dass der Grundsatz der Rechtsstaatlichkeit einen freien und kostenlosen Zugang zu HTN verlange. Als Harmonisierungsmaßnahmen, die Teil des Unionsrechts seien, abgeleitetes Unionsrecht umsetzten und Rechtswirkungen erzeugten, sollten HTN demnach im Amtsblatt veröffentlicht werden, um ihre Durchsetzbarkeit und Zugänglichkeit sicherzustellen.

Generalanwältin Medina ist der Auffassung, dass HTN für die Zwecke des Unionsrechts im Allgemeinen und des Zugangs zum Unionsrecht im Besonderen und angesichts ihrer unverzichtbaren Rolle bei der Umsetzung des abgeleiteten Unionsrechts sowie ihrer Rechtswirkungen grundsätzlich nicht urheberrechtlich schutzfähig sein dürften. Nach Ansicht der Generalanwältin folgt aus Art. 297 AEUV, dass Unionsrecht grundsätzlich nicht urheberrechtlich schutzfähig sei. Das Gericht habe es rechtsfehlerhaft unterlassen, zu beurteilen, ob das Recht (und damit HTN als Rechtsakte, die Teil des Unionsrechts seien) überhaupt urheberrechtlich schutzfähig sei. Überdies habe, selbst wenn HTN urheberrechtlich schutzfähig seien, der freie Zugang zum Recht Vorrang vor dem Schutz des Urheberrechts. Demzufolge schlägt die Generalanwältin vor, das angefochtene Urteil aufzuheben.

Ergänzend schlägt Generalanwältin Medina dem Gerichtshof auch vor, den Beschluss der Kommission über die Verweigerung des Zugangs zu den angeforderten HTN für nichtig zu erklären.


Die vollständigen Schlussanträge finden Sie hier:


EuGH-Generalanwalt: Google, Meta Platforms und Tik Tok dürfen zusätzliche Verpflichtungen in einem anderen Mitgliedstaat als dem ihres Sitzes nur im konkreten Einzelfall auferlegt werden

EuGH-Generalanwalt
Schlussanträge vom 08.06.2023
C-376/22
Google Ireland Limited, Tik Tok Technology Limited, Meta Platforms Ireland Limited


EuGH-Generalanwalt kommt in seinen Schlussanträge zu dem Ergebniss, dass Anbieter wie Google, Meta Platforms und Tik Tok zusätzliche Verpflichtungen in einem anderen Mitgliedstaat als dem ihres Sitzes nur im konkreten Einzelfall auferlegt werden dürfen.

Die Pressemitteilung des EuGH:
Plattformen wie Google, Meta Platforms und Tik Tok dürfen zusätzliche Verpflichtungen in einem anderen Mitgliedstaat als dem ihres Sitzes nur in Bezug auf einen konkreten Einzelfall ergriffene Maßnahmen auferlegt werden

Das Unionsrecht verwehrt es, den freien Verkehr von Diensten der Informationsgesellschaft aus anderen Mitgliedstaaten durch gesetzliche Maßnahmen generell-abstrakter Natur zu beschränken.

Google, Meta Platforms und Tik Tok wenden sich vor den österreichischen Gerichten gegen die von der österreichischen Regulierungsbehörde für Kommunikation (KommAustria) getroffene Feststellung, dass das österreichische Bundesgesetz aus dem Jahr 2020 über Maßnahmen zum Schutz der Nutzer auf Kommunikationsplattformen (KoPl-G 1) auf sie anwendbar sei, obwohl sie in einem anderen Mitgliedstaat, nämlich Irland, niedergelassen sind.

Mit diesem Gesetz soll die Verantwortlichkeit von Kommunikationsplattformen gestärkt werden. Im Einzelnen verpflichtet es allgemein die Betreiber von „Kommunikationsplattformen“, die in Österreich oder im Ausland niedergelassen sind, ein Melde- und Überprüfungssystem für angeblich rechtswidrige Inhalte einzurichten. Außerdem sind diese Betreiber verpflichtet, regelmäßig Berichte über die Behandlung solcher Meldungen zu erstellen. Die im KoPl-G festgelegten Verpflichtungen erfordern nicht den vorherigen Erlass eines individuellkonkreten Rechtsakts. Des Weiteren sieht das Gesetz Geldstrafen bei Verstößen gegen die gesetzlichen Verpflichtungen vor.

Google, Meta Platforms und Tik Tok machen geltend, dass das KoPl-G mit der Richtlinie über den elektronischen Geschäftsverkehr2, insbesondere mit dem Herkunftslandprinzip, unvereinbar sei. Der österreichische Verwaltungsgerichtshof hat dem Gerichtshof hierzu Fragen vorgelegt. Er möchte wissen, ob ein Mitgliedstaat den freien Verkehr von Diensten der Informationsgesellschaft aus anderen Mitgliedstaaten dadurch beschränken darf, dass er nationale Maßnahmen generell-abstrakter Natur ergreift, die sich auf eine allgemein umschriebene Kategorie bestimmter Dienste der Informationsgesellschaft – nämlich „Kommunikationsplattformen“ – beziehen, ohne dass diese Maßnahmen in Bezug auf einen konkreten Einzelfall ergriffen werden.

In seinen Schlussanträgen vom heutigen Tag weist Generalanwalt Maciej Szpunar darauf hin, dass seine Analyse auf der Prämisse beruht, dass es sich bei den von den drei Unternehmen in Österreich erbrachten Dienstleistungen um Dienste der Informationsgesellschaft handelt, wie dies für den österreichischen Verwaltungsgerichtshof feststeht.

Der Generalanwalt stellt fest, dass die Richtlinie über den elektronischen Geschäftsverkehr es im koordinierten Bereich den Mitgliedstaaten verbietet, den freien Verkehr von Diensten der Informationsgesellschaft aus einem anderen Mitgliedstaat einzuschränken. Vorbehaltlich von Ausnahmen lässt diese Richtlinie es nicht zu, dass der Anbieter eines Dienstes des elektronischen Geschäftsverkehrs strengeren Anforderungen unterliegt, als sie das in seinem Herkunftsmitgliedstaat geltende Recht vorsieht.

Zu den von der Richtlinie vorgesehenen Ausnahmen vom Herkunftslandprinzip wiederholt der Generalanwalt die Ausführungen in seinen Schlussanträgen in der Rechtssache Airbnb Ireland. Seiner Ansicht nach darf ein anderer als der Herkunftsmitgliedstaat Ausnahmen vom freien Verkehr von Diensten der Informationsgesellschaft nur durch auf den konkreten Einzelfall bezogene Maßnahmen vorsehen, und zwar nach vorheriger Mitteilung an die Kommission und Aufforderung an den Herkunftsmitgliedstaat, Maßnahmen im Bereich der Dienste der Informationsgesellschaft zu ergreifen, was vorliegend nicht geschehen ist.

Ginge man davon aus, dass eine generell-abstrakte Regelung, die für alle Anbieter einer Kategorie von Diensten der Informationsgesellschaft gilt, eine „Maßnahme“ darstellt, liefe dies im Übrigen darauf hinaus, die Fragmentierung des Binnenmarkts durch nationale Regelungen zuzulassen. Die Anwendung unterschiedlicher Gesetze auf einen Anbieter zuzulassen, liefe außerdem dem von der Richtlinie verfolgten Ziel zuwider, die rechtlichen Hemmnisse für das reibungslose Funktionieren des Binnenmarkts zu beseitigen.

Daher ist der Generalanwalt der Auffassung, dass diese Richtlinie es verwehrt, dass ein Mitgliedstaat unter diesen Umständen und in derartiger Weise den freien Verkehr von Diensten der Informationsgesellschaft aus einem anderen Mitgliedstaat beschränkt.

Die vollständigen Schlussanträge finden Sie hier:

EuGH-Generalanwalt: Haftung und Höhe des Schadensersatzes nach Art. 82 DGVO richten sich nicht nach dem Grad des Verschuldens des Verantwortlichen oder des Auftragsverarbeiters

EuGH-Generalanwalt
Schlussanträge vom 25.05.2023
C‑667/21


Der EuGH-Generalanwalt kommt in seinen Schlussanträgen zu dem Ergebnis, dass sich Haftung und Höhe des Schadensersatzes nach Art. 82 DGVO nicht nach dem Grad des Verschuldens des Verantwortlichen oder des Auftragsverarbeiters richten.

Ergebnis des EuGH-Generalanwalts:
Art. 9 Abs. 2 Buchst. h und Abs. 3 sowie Art. 82 Abs. 1 und 3 der Verordnung (EU) 2016/679 des Europäischen Parlaments und des Rates vom 27. April 2016 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten, zum freien Datenverkehr und zur Aufhebung der Richtlinie 95/46/EG (Datenschutz-Grundverordnung),

sind dahin auszulegen, dass

es einem Medizinischen Dienst einer Krankenkasse nicht untersagt ist, Gesundheitsdaten seines Arbeitnehmers, die Voraussetzung für die Beurteilung der Arbeitsfähigkeit dieses Arbeitnehmers sind, zu verarbeiten.

Sie lassen eine Ausnahme vom Verbot der Verarbeitung personenbezogener Gesundheitsdaten zu, wenn diese Verarbeitung zur Beurteilung der Arbeitsfähigkeit des Arbeitnehmers erforderlich ist; dabei sind die in Art. 5 genannten Grundsätze sowie eine der in Art. 6 der Verordnung 2016/679 genannten Bedingungen für die Rechtmäßigkeit einzuhalten.

Der Grad des Verschuldens des Verantwortlichen oder des Auftragsverarbeiters ist weder für deren Haftung noch für die Bemessung der Höhe des nach Art. 82 Abs. 1 der Verordnung 2016/679 zu ersetzenden immateriellen Schadens von Bedeutung.

Die Beteiligung der betroffenen Person an dem Umstand, aus dem sich die Verpflichtung zum Schadenersatz ergibt, kann je nach Lage des Falles zu einer Befreiung des Verantwortlichen oder Auftragsverarbeiters von der Haftung gemäß Art. 82 Abs. 3 der Verordnung 2016/679 führen.

Die vollständigen Schlussanträge finden Sie hier:


EuGH-Generalanwalt: Bei einem Datenleck oder Hackerangriff kann ein Anspruch auf Ersatz des immateriellen Schadens aus Art. 82 DSGVO für Befürchtung eines künftigen Missbrauchs der Daten bestehen

EuGH-Generalanwalt
Schlussanträge vom 27.04.2023
C-340/21 | Natsionalna agentsia za prihodite


Der EuGH-Generalanwalt kommt in seinen Schlussanträgen zu dem Ergebnis, dass bei einem Datenleck oder Hackerangriff ein Anspruch auf Ersatz des immateriellen Schadens aus Art. 82 DSGVO gegen die verarbeitende Stelle für die Befürchtung eines künftigen Missbrauchs der Daten bestehen kann.

Die Pressemitteilung des EuGH:
Bei einem unbefugten Zugang zu personenbezogenen Daten durch Dritte haftet der Verantwortliche für mutmaßliches Verschulden und es kommt eventuell ein Ersatz des immateriellen Schadens in Betracht

Für eine Haftungsbefreiung muss der Verantwortliche nachweisen, dass er für den Umstand, durch den der Schaden eingetreten ist, in keinerlei Hinsicht verantwortlich ist. Die Befürchtung eines künftigen Missbrauchs personenbezogener Daten kann nur dann einen immateriellen Schaden darstellen, wenn es sich um einen realen und sicheren emotionalen Schaden und nicht nur um ein Ärgernis oder eine Unannehmlichkeit handelt.

Am 15. Juli 2019 verbreiteten die bulgarischen Medien die Nachricht, dass ein unbefugter Zugang zum Informationssystem der bulgarischen Nationalen Agentur für Einnahmen (NAP) erfolgt sei und dass verschiedene Steuer- und Sozialversicherungsdaten von Millionen von Menschen im Internet veröffentlicht worden seien. Mehrere Personen, darunter V.B., verklagten die NAP auf Ersatz des immateriellen Schadens, der sich in Sorgen und Befürchtungen des künftigen Missbrauchs ihrer personenbezogenen Daten äußere. Nach Ansicht von V.B. hatte die NAP gegen nationale Vorschriften und ihre Verpflichtung verstoßen, geeignete Maßnahmen zu ergreifen, um als Verantwortliche bei der Verarbeitung personenbezogener Daten angemessene Sicherheitsstandards zu gewährleisten. Das erstinstanzliche Gericht wies die Klage mit der Begründung ab, dass die Veröffentlichung der Daten nicht der NAP zuzurechnen sei, dass die Beweislast für die Geeignetheit der Maßnahmen bei V.B. liege und dass kein immaterieller Schaden geltend gemacht werden könne. Das mit der Kassationsbeschwerde befasste Oberste Verwaltungsgericht hat dem Gerichtshof einige Fragen zur Auslegung der DatenschutzGrundverordnung1 zur Vorabentscheidung vorgelegt, um zu klären, unter welchen Bedingungen eine Person, deren personenbezogene Daten, die sich im Besitz einer öffentlichen Agentur befinden, nach einem Hackerangriff im Internet veröffentlicht wurden, Ersatz des immateriellen Schadens verlangen kann.

In den heutigen Schlussanträgen weist Generalanwalt Giovanni Pitruzzella zunächst darauf hin, dass der Verantwortliche geeignete technische und organisatorische Maßnahmen umsetzen müsse, um sicherzustellen, dass die Verarbeitung personenbezogener Daten gemäß der Verordnung erfolge. Die Geeignetheit dieser Maßnahmen werde unter Berücksichtigung der Art, des Umfangs, der Umstände und der Zwecke der Verarbeitung sowie der unterschiedlichen Eintrittswahrscheinlichkeit und Schwere der Risiken für die Rechte und Freiheiten natürlicher Personen auf der Grundlage einer Einzelfallprüfung bestimmt.

Der Generalanwalt führt erstens aus, dass das Vorliegen einer „Verletzung des Schutzes personenbezogener Daten“ an sich nicht ausreiche, um anzunehmen, dass die vom Verantwortlichen ergriffenen technischen und organisatorischen Maßnahmen nicht „geeignet" gewesen seien, um den Schutz der Daten zu gewährleisten. Bei der Auswahl der Maßnahmen müsse der Verantwortliche eine Reihe von Faktoren berücksichtigen, darunter den „Stand der Technik“, der eine Begrenzung des technologischen Niveaus der Maßnahmen auf das, was zum Zeitpunkt des Ergreifens der Maßnahmen vernünftigerweise möglich sei, zulasse, wobei auch die Implementierungskosten zu berücksichtigen seien. Die Entscheidung des Verantwortlichen unterliege einer möglichen gerichtlichen Prüfung der Vereinbarkeit mit der Verordnung. Die Beurteilung der Geeignetheit der Maßnahmen müsse auf einer Abwägung zwischen den Interessen der betroffenen Person und den wirtschaftlichen Interessen und technischen Möglichkeiten des Verantwortlichen unter Wahrung des allgemeinen Verhältnismäßigkeitsgrundsatzes beruhen.

Zweitens müsse das nationale Gericht bei der Prüfung der Frage, ob die Maßnahmen geeignet gewesen seien, eine Überprüfung vornehmen, die sich auf eine konkrete Analyse sowohl des Inhalts der Maßnahmen als auch der Art und Weise ihrer Durchführung und ihrer praktischen Auswirkungen erstrecke. Bei der gerichtlichen Überprüfung müssten daher alle Faktoren berücksichtigt werden, die in der Verordnung enthalten seien. Unter diesen Faktoren könne die Einführung von Verhaltensregeln oder Zertifizierungssystemen ein nützliches Element der Bewertung zum Zweck der Erfüllung der Beweispflicht sein, wobei der Verantwortliche nachweisen müsse, dass er die in den Verhaltensregeln vorgesehenen Maßnahmen tatsächlich ergriffen habe, während die Zertifizierung als solche den Beweis für die Übereinstimmung der durchgeführten Verarbeitungen mit der Verordnung darstelle. Da diese Maßnahmen erforderlichenfalls überprüft und aktualisiert werden müssten, habe das Gericht auch diesen Umstand zu würdigen.

Drittens obliege dem Verantwortlichen der Nachweis, dass die Maßnahmen geeignet seien. Gemäß dem Grundsatz der Verfahrensautonomie sei es Sache der innerstaatlichen Rechtsordnung jedes Mitgliedstaats, die zulässigen Beweismittel und deren Beweiskraft, einschließlich der Ermittlungsmaßnahmen, zu bestimmen.

Viertens stelle der Umstand, dass der Verstoß gegen die Verordnung von einem Dritten begangen worden sei, für sich genommen keinen Grund dar, den Verantwortlichen von der Haftung zu befreien. Für eine Haftungsbefreiung müsse der Verantwortliche mit hohem Beweisniveau nachweisen, dass er für den Umstand, durch den der Schaden eingetreten sei, in keinerlei Hinsicht verantwortlich sei. Bei der Haftung für die unrechtmäßige Verarbeitung personenbezogener Daten handele es sich nämlich um eine verschärfte Haftung für mutmaßliches Verschulden. Der Verantwortliche habe daher die Möglichkeit, einen Entlastungsbeweis vorzulegen.

Schließlich ist der Generalanwalt der Ansicht, dass der Schaden, der in der Befürchtung eines möglichen künftigen Missbrauchs der personenbezogenen Daten bestehe und dessen Vorhandensein die betroffene Person nachgewiesen habe, einen immateriellen Schaden darstellen könne, der einen Schadensersatzanspruch begründe. Dies gelte aber nur, wenn es sich um einen realen und sicheren emotionalen Schaden und nicht nur um ein Ärgernis oder eine Unannehmlichkeit handele.


Die vollständigen Schlussanträge finden Sie hier:

EuGH-Generalanwalt: Auskunft nach Art. 15 DSGVO muss nicht aus Gründen gemäß 63. Erwägungsgrund verlangt werden - keine kostenlose Kopie vollständiger Patientenakte

EuGH-Generalanwalt
Schlussanträge vom 20.04.2023
C‑307/22


Der EuGH-Generalanwalt kommt in seinen Schlussanträgen zu dem Ergebnis, dass ein Anspruch aus Auskunft bzw. Überlassung von Kopien nach Art. 15 DSGVO nicht zwingend aus Gründen gemäß 63. Erwägungsgrund der DSGVO verlangt werden muss, sondern auch zu datenschutzfremden Zwecken begehrt werden kann. Einen Anspruch auf kostenlose Überlassung der vollständigen Kopie einer Patientenakte besteht jedoch nicht.

Aus den Schlussanträgen:
Nach alledem schlage ich dem Gerichtshof vor, die vom Bundesgerichtshof (Deutschland) zur Vorabentscheidung vorgelegten Fragen wie folgt zu beantworten:

Art. 12 Abs. 5 und Art. 15 Abs. 3 der Verordnung (EU) 2016/679 des Europäischen Parlaments und des Rates vom 27. April 2016 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten, zum freien Datenverkehr und zur Aufhebung der Richtlinie 95/46/EG (Datenschutz-Grundverordnung) sind dahin auszulegen, dass der Verantwortliche verpflichtet ist, der betroffenen Person eine Kopie ihrer personenbezogenen Daten zur Verfügung zu stellen, und zwar auch dann, wenn die betroffene Person die Kopie nicht für die im 63. Erwägungsgrund der DSGVO genannten Zwecke, sondern für einen anderen, datenschutzfremden Zweck beantragt.

Eine nationale Regelung, die von Patienten, die Kopien ihrer in Patientenakten enthaltenen personenbezogenen Daten beantragen, verlangt, dass sie den Ärzten die entstandenen Kosten erstatten, ist nach Art. 23 Abs. 1 DSGVO zulässig, sofern die Beschränkung des Auskunftsrechts unter Berücksichtigung aller relevanten Umstände im Hinblick auf die Ziele des Schutzes der öffentlichen Gesundheit und der unternehmerischen Freiheit der Ärzte erforderlich und verhältnismäßig ist. Das nationale Gericht hat insbesondere zu prüfen, ob die Kosten, deren Erstattung die Ärzte von den Patienten verlangen können, strikt auf die tatsächlich anfallenden Kosten beschränkt sind.

Der Ausdruck „eine Kopie der personenbezogenen Daten, die Gegenstand der Verarbeitung sind“, in Art. 15 Abs. 3 DSGVO kann im Rahmen eines Arzt-Patienten-Verhältnisses nicht dahin ausgelegt werden, dass er der betroffenen Person ein allgemeines Recht darauf gewährt, eine vollständige Kopie aller in ihrer Patientenakte enthaltenen Dokumente zu erhalten. Jedoch hat der Verantwortliche der betroffenen Person bestimmte Dokumente teilweise oder vollständig in Kopie zur Verfügung zu stellen, wenn dies erforderlich ist, um sicherzustellen, dass die übermittelten Daten verständlich sind und dass die betroffene Person in der Lage ist, zu überprüfen, ob die übermittelten Daten vollständig und richtig sind.


Die vollständigen Schlussanträge finden Sie hier:

EuGH-Generalanwalt: SCHUFA-Scoring ist Profiling im Sinne der DSGVO und zur Speicherung der Restschuldbefreiung über 6 Monate hinaus

EuGH-Generalanwalt
Schlussanträge vom 16.03.2023
C-634/21 SCHUFA Holding u. a. (Scoring)
und den verbundenen Rechtssachen
C-26/22 und C-64/22 SCHUFA Holding u. a. (Restschuldbefreiung)


Der EuGH-Generalanwalt kommt in seinen Schlussanträgen zu dem Ergebnis, dass das SCHUFA-Scoring Profiling im Sinne der DSGVO ist. Zudem äußert sich der EuGH-Generalanwalt zur Speicherung der Restschuldbefreiung über 6 Monate hinaus durch Wirtschaftsauskunfteien.

Die Pressemitteilung des EuGH:
Generalanwalt Pikamäe: Die automatisierte Erstellung eines Wahrscheinlichkeitswerts über die Fähigkeit einer Person, einen Kredit zu bedienen, ist ein Profiling im Sinne der DSGVO

Rechtsverbindliche Beschlüsse einer datenschutzrechtlichen Aufsichtsbehörde müssten gerichtlich umfassend überprüfbar sein

Die Rechtssache C-634/21 betrifft einen Rechtsstreit zwischen einem Bürger und dem Land Hessen, vertreten durch den Hessischen Beauftragten für Datenschutz und Informationsfreiheit (im Folgenden: HBDI), hinsichtlich des Schutzes personenbezogener Daten. Im Rahmen ihrer wirtschaftlichen Tätigkeit, die darin besteht, ihre Kunden mit Auskünften über die Kreditwürdigkeit Dritter zu versorgen, lieferte die SCHUFA Holding AG einem Kreditinstitut einen Score-Wert in Bezug auf diesen Bürger. Dieser Score-Wert diente als Grundlage für die Verweigerung des von diesem Bürger beantragten Kredits. Der Bürger forderte daraufhin die SCHUFA auf, die darauf bezogene Eintragung zu löschen und ihm Zugang zu den entsprechenden Daten zu gewähren. Die SCHUFA teilte ihm jedoch nur den entsprechenden Score-Wert und in allgemeiner Form die der Methode zur Berechnung des Score-Wertes zugrunde liegenden Grundsätze mit. Sie erteilte ihm aber keine Auskunft darüber, welche konkreten Informationen in diese Berechnung eingeflossen waren und welche Bedeutung ihnen in diesem Zusammenhang beigemessen wurde und begründete dies damit, dass die Berechnungsmethode dem Geschäftsgeheimnis unterliege.

Soweit der betroffene Bürger geltend macht, dass die Ablehnung seines Ersuchens durch die SCHUFA gegen Datenschutzrecht verstoße, wird der Gerichtshof vom Verwaltungsgericht Wiesbaden ersucht, über die Beschränkungen zu entscheiden, die die Datenschutz-Grundverordnung (DSGVO) der wirtschaftlichen Tätigkeit von Auskunfteien im Finanzsektor, insbesondere bei der Datenverwaltung, auferlegt, sowie über die Bedeutung, die dem Geschäftsgeheimnis zuzuerkennen ist. Der Gerichtshof wird auch den Umfang der Regelungsbefugnisse zu präzisieren haben, die dem nationalen Gesetzgeber durch einige Bestimmungen der DSGVO abweichend von dem mit diesem Rechtsakt verfolgten allgemeinen Harmonisierungszweck übertragen werden.

In seinen Schlussanträgen führt Generalanwalt Priit Pikamäe zunächst aus, dass die DSGVO ein „Recht“ der betroffenen Person verankere, nicht einer ausschließlich auf einer automatisierten Verarbeitung – einschließlich Profiling – beruhenden Entscheidung unterworfen zu werden.

Der Generalanwalt stellt sodann fest, dass die Voraussetzungen, denen dieses Recht unterliege, erfüllt seien, da:

1. das fragliche Verfahren ein „Profiling“ darstelle,
2. die Entscheidung rechtliche Wirkungen gegenüber der betroffenen Person entfalte oder sie in ähnlicher Weise erheblich beeinträchtige und
3. davon auszugehen sei, dass die Entscheidung ausschließlich auf einer automatisierten Verarbeitung beruhe.

Die Bestimmung der DSGVO, in der dieses Recht vorgesehen sei, sei somit unter Umständen wie denen des Ausgangsverfahrens anwendbar.

Der Generalanwalt unterstreicht, dass die betroffene Person nach einer anderen Bestimmung der DSGVO das Recht habe, von dem für die Verarbeitung Verantwortlichen nicht nur die Bestätigung zu verlangen, ob sie betreffende personenbezogene Daten verarbeitet werden oder nicht, sondern auch andere Informationen wie das Bestehen einer automatisierten Entscheidungsfindung einschließlich Profiling, aussagekräftige Informationen über die involvierte Logik sowie die Tragweite und die angestrebten Auswirkungen einer derartigen Verarbeitung für die betroffene Person. Der Generalanwalt ist der Ansicht, dass die Verpflichtung, „aussagekräftige Informationen über die involvierte Logik“ bereitzustellen, dahin zu verstehen sei, dass sie hinreichend detaillierte Erläuterungen zur Methode für die Berechnung des Score-Wertes und zu den Gründen umfasst, die zu einem bestimmten Ergebnis geführt haben. Generell sollte der Verantwortliche der betroffenen Person allgemeine Informationen übermitteln, vor allem zu bei der Entscheidungsfindung berücksichtigten Faktoren und deren Gewichtung auf aggregierter Ebene, die der betroffenen Person auch für die Anfechtung von „Entscheidungen“ im Sinne der Bestimmung der DSGVO, in der das Recht verankert sei, nicht einer ausschließlich auf einer automatisierten Verarbeitung, einschließlich Profiling, beruhenden Entscheidung unterworfen zu werden, nützlich seien.

Der Generalanwalt kommt zu dem Schluss, dass diese Bestimmung dahin auszulegen sei, dass bereits die automatisierte Erstellung eines Wahrscheinlichkeitswerts über die Fähigkeit einer betroffenen Person, künftig einen Kredit zu bedienen, eine ausschließlich auf einer automatisierten Verarbeitung – einschließlich Profiling – beruhende Entscheidung darstelle, die der betroffenen Person gegenüber rechtliche Wirkung entfalte oder sie in ähnlicher Weise erheblich beeinträchtige, wenn dieser mittels personenbezogener Daten der betroffenen Person ermittelte Wert von dem Verantwortlichen an einen dritten Verantwortlichen übermittelt werde und jener Dritte nach ständiger Praxis diesen Wert seiner Entscheidung über die Begründung, Durchführung oder Beendigung eines Vertragsverhältnisses mit der betroffenen Person maßgeblich zugrunde lege.

Das Verwaltungsgericht Wiesbaden hat zwei weitere Vorabentscheidungsersuchen zur DSGVO vorgelegt (Rechtssachen C-26/22 und C-64/22). Diese Ersuchen ergehen im Rahmen von zwei Rechtsstreitigkeiten zwischen zwei Bürgern und dem Land Hessen, vertreten durch den HBDI, über Anträge dieser Bürger beim HBDI auf Löschung einer Eintragung betreffend eine Restschuldbefreiung bei der SCHUFA. Im Rahmen der diese Bürger betreffenden Insolvenzverfahren wurde ihnen mit gerichtlichen Beschlüssen eine vorzeitige Restschuldbefreiung erteilt. Dieser Umstand wurde im Internet amtlich veröffentlicht, und der Eintrag nach sechs Monaten gelöscht. Die SCHUFA speichert solche veröffentlichten Informationen über vorzeitige Restschuldbefreiungen in ihrem Datenbestand, löscht sie aber erst drei Jahre nach der Eintragung. Die vom nationalen Gericht gestellten Fragen betreffen unter anderem die Rechtsnatur der Entscheidung der mit einer Beschwerde befassten Aufsichtsbehörde sowie den Umfang der gerichtlichen Kontrolle, die das Gericht im Rahmen eines Rechtsbehelfs gegen eine solche Entscheidung ausüben kann. Die Rechtssachen betreffen auch die Frage der Rechtmäßigkeit der Speicherung personenbezogener Daten aus öffentlichen Registern bei Wirtschaftsauskunfteien.

In seinen Schlussanträgen weist Generalanwalt Pikamäe als Erstes darauf hin, dass sich die Rechtmäßigkeit der Verarbeitung aus einer Abwägung der verschiedenen betroffenen Interessen ergeben müsse, wobei die berechtigten Interessen des Verantwortlichen oder eines Dritten überwiegen müssten. Die Aufsichtsbehörde, die nach der DSGVO jede etwaige Beschwerde der betroffenen Person wegen Verletzung ihrer Grundrechte zu behandeln habe, habe zu prüfen, ob die Voraussetzungen für die Verarbeitung erfüllt seien. Sollte diese Person schließlich gemäß der DSGVO einen Rechtsbehelf gegen einen Beschluss der Aufsichtsbehörde einlegen, obliege es den nationalen Gerichten, eine wirksame gerichtliche Kontrolle sicherzustellen. Nach Ansicht des Generalanwalts unterliegt ein rechtsverbindlicher Beschluss einer Aufsichtsbehörde einer umfassenden gerichtlichen Kontrolle in der Sache, wodurch die Wirksamkeit des Rechtsbehelfs gewährleistet werde.

Als Zweites führt der Generalanwalt aus, dass die Verarbeitung personenbezogener Daten nach der DSGVO unter drei kumulativen Voraussetzungen zulässig sei:

- erstens müsse von dem für die Verarbeitung Verantwortlichen oder von dem oder den Dritten, denen die Daten übermittelt werden, ein berechtigtes Interesse wahrgenommen werden,
- zweitens müsse die Verarbeitung der personenbezogenen Daten zur Verwirklichung des berechtigten Interesses erforderlich sein und
- drittens dürften die Grundrechte und Grundfreiheiten der Person, deren Daten geschützt werden sollen, nicht überwiegen.

Herr Pikamäe merkt an, dass die erheblichen negativen Folgen, die die Speicherung der Daten für die betroffene Person nach Ablauf des fraglichen Zeitraums von sechs Monaten haben werde, gegenüber dem geschäftlichen Interesse des privaten Unternehmens und seiner Kunden an der Speicherung der Daten nach diesem Zeitraum zu überwiegen scheinen. In diesem Kontext sei hervorzuheben, dass die gewährte Restschuldbefreiung dem Begünstigten ermöglichen solle, sich erneut am Wirtschaftsleben zu beteiligen. Dieses Ziel würde jedoch vereitelt, wenn private Wirtschaftsauskunfteien berechtigt wären, personenbezogene Daten in ihren Datenbanken zu speichern, nachdem diese Daten aus dem öffentlichen Register gelöscht worden seien.

Der Generalanwalt kommt zu dem Schluss, dass die Speicherung der Daten durch eine private Wirtschaftsauskunftei nicht auf der Grundlage der Bestimmung der DSGVO, in der die oben genannten Voraussetzungen aufgeführt sind, rechtmäßig sein könne, wenn die personenbezogenen Daten über eine Insolvenz aus den öffentlichen Registern gelöscht worden seien. Was den Zeitraum von sechs Monaten betrifft, in dem die personenbezogenen Daten auch in öffentlichen Registern verfügbar seien, sei es Sache des vorlegenden Gerichts, die angeführten Interessen und Auswirkungen auf die betroffene Person gegeneinander abzuwägen, um festzustellen, ob die parallele Speicherung dieser Daten durch private Wirtschaftsauskunfteien auf dieser Grundlage rechtmäßig sei.

Als Drittes unterstreicht der Generalanwalt, dass die DSGVO vorsehe, dass die betroffene Person das Recht habe, zu verlangen, dass sie betreffende personenbezogene Daten gelöscht werden, wenn sie Widerspruch gegen die Verarbeitung einlege und wenn diese Daten unrechtmäßig verarbeitet worden seien. Nach Ansicht des Generalanwalts hat die betroffene Person in einem solchen Fall daher das Recht, von dem Verantwortlichen zu verlangen, dass sie betreffende personenbezogene Daten unverzüglich gelöscht werden. Es sei Sache des vorlegenden Gerichts, zu prüfen, ob es ausnahmsweise vorrangige berechtigte Gründe für die Verarbeitung gebe.


Den Volltext der Schlussanträge finden Sie hier:
C634/21
C26/22 und C64/22

EuGH-Generalanwalt: Pfandbetrag bei Mehrwegbehältern ist nicht Bestandteil des Verkaufspreises im Sinne der Richtlinie 98/6/EG und kann gesondert angegeben werden

EuGH-Generalanwalt
Schlussanträge vom 02.02.2023
C-543/21
Verband Sozialer Wettbewerb e. V. gegen famila-Handelsmarkt Kiel GmbH & Co. KG


Der EuGH-Generalanwalt kommt in seinen Schlussanträgen zu dem Erhebnis, dass der Pfandbetrag bei Mehrwegbehältern nicht Bestandteil des Verkaufspreises im Sinne der Richtlinie 98/6/EG ist und gesondert angegeben werden kann.

Schlussanträge des EuGH-Generalanwalts:
Nach alledem schlage ich dem Gerichtshof vor, auf die Vorlagefragen des Bundesgerichtshofs (Deutschland) wie folgt zu antworten:

Art. 2 Buchst. a der Richtlinie 98/6/EG des Europäischen Parlaments und des Rates vom 16. Februar 1998 über den Schutz der Verbraucher bei der Angabe der Preise der ihnen angebotenen Erzeugnisse

ist dahin auszulegen, dass

der darin festgelegte Begriff „Verkaufspreis“ nicht einen rückerstattbaren Pfandbetrag umfasst, der auf Mehrwegbehälter erhoben wird, in denen die Waren dem Verbraucher angeboten werden.

Den Volltext finden Sie hier: