BECKMANN UND NORDA - Rechtsanwälte Bielefeld

EuGH
Urteil vom 25.01.2024
C-334/22 | Audi
Emblemhalterung auf einem Kühlergrill

Der EuGH hat entschieden, dass Audi als Inhaber der entsprechenden Unionsmarke die Nutzung des Audi-Logos oder eines ähnlichen Zeichens für Ersatzteile von Drittanbietern verbieten kann.

Tenor der Entscheidung:
1. Art. 9 Abs. 2 und Abs. 3 Buchst. a bis c der Verordnung (EU) 2017/1001 des Europäischen Parlaments und des Rates vom 14. Juni 2017 über die Unionsmarke ist dahin auszulegen, dass der Dritte, der ohne Zustimmung des Automobilherstellers, der Inhaber einer Unionsmarke ist, Ersatzteile, und zwar Kühlergrills für diese Fahrzeuge, einführt und zum Kauf anbietet, die ein Element enthalten, das für die Anbringung des Emblems, das diese Marke wiedergibt, gedacht ist und dessen Form mit dieser Marke identisch oder ihr ähnlich ist, ein Zeichen im geschäftlichen Verkehr in einer Weise benutzt, die eine oder mehrere Funktionen dieser Marke beeinträchtigen kann, was das nationale Gericht prüfen muss.

2. Art. 14 Abs. 1 Buchst. c der Verordnung 2017/1001 ist dahin auszulegen, dass er den Automobilhersteller, der Inhaber einer Unionsmarke ist, nicht daran hindert, einem Dritten die Benutzung eines mit dieser Marke identischen oder ihr ähnlichen Zeichens für Autoersatzteile, und zwar Kühlergrills, zu verbieten, wenn dieses Zeichen in der Form eines Elements des Kühlergrills besteht, das für die Anbringung des diese Marke wiedergebenden Emblems auf diesem Kühlergrill gedacht ist, ohne dass es insoweit von Bedeutung ist, ob es technisch möglich ist, dieses Emblem auf dem Kühlergrill zu befestigen, ohne das Zeichen auf ihm anzubringen.

Die Pressemitteilung des EuGH:
Unionsmarke: Ein Automobilhersteller kann die Benutzung eines Zeichens, das mit der Marke, deren Inhaber er ist, identisch oder ihr ähnlich ist, für Ersatzteile verbieten

Das gilt dann, wenn das Ersatzteil ein Element enthält, das für die Anbringung des Emblems dieses Herstellers gedacht ist und in seiner Form dieser Marke ähnlich oder mit ihr identisch ist-

Der Automobilhersteller Audi ist Inhaber der folgenden Unionsbildmarke:

[Abbilung]

Sie ist u. a. für Fahrzeuge, Ersatzteile und Autozubehör eingetragen.

Diese Marke wird als Audi-Emblem wiedergegeben und benutzt. Ein polnischer Händler bietet nachgebaute, auf ältere Audi-Fahrzeuge angepasste Kühlergrills zum Kauf an und macht auf seiner Webseite Werbung dafür. Diese Kühlergrills enthalten ein Teil, dessen Form dieser Marke ähnlich oder mit ihr identisch ist und das für die Anbringung des Audi-Emblems gedacht ist.

Audi hat diesen Händler verklagt. Ihm soll verboten werden, nachgebaute Kühlergrills, die ein mit der Marke AUDI identisches oder ihr ähnliches Zeichen enthalten, zu vermarkten. Das mit dieser Klage befasste polnische Gericht möchte wissen, welchen Umfang der Schutz aus dieser Marke hat. Es hat sich an den Gerichtshof gewandt, um zu klären, ob die Vermarktung von Autoersatzteilen wie der in Rede stehenden Kühlergrills nach dem Unionsrecht1 eine „Benutzung eines Zeichens im geschäftlichen Verkehr“ darstellt, die die Funktionen der Marke AUDI beeinträchtigen kann. Es fragt sich auch, ob der Inhaber dieser Marke einem Dritten eine solche Benutzung verbieten kann.

In seinem Urteil bejaht der Gerichtshof dies. Er stellt zunächst fest, dass die für Geschmacksmuster vorgesehene Reparaturklausel nicht anwendbar ist . Sodann führt er aus, dass im vorliegenden Fall die Kühlergrills nicht vom Inhaber der Marke AUDI stammen und ohne seine Zustimmung auf den Markt gebracht werden. Das Teil, das für die Anbringung des Audi-Emblems gedacht ist, ist für ihre Vermarktung durch den Dritten in die Kühlergrills integriert. Es ist für das Publikum, das ein solches Ersatzteil kaufen will, sichtbar. Dies könnte einen sachlichen Zusammenhang zwischen dem fraglichen Ersatzteil und dem Inhaber der Marke AUDI darstellen. Daher kann eine solche Benutzung die Funktionen der Marke, die u. a. darin bestehen, die Herkunft oder die Qualität der Ware zu garantieren, beeinträchtigen.

Der Gerichtshof überlässt es dem nationalen Gericht, zu prüfen, ob das fragliche Teil des Kühlergrills mit der Marke AUDI identisch oder ihr ähnlich ist und ob der Kühlergrill mit einer oder mehreren Waren, für die diese Marke eingetragen ist, identisch oder ihnen ähnlich ist. Wenn das nationale Gericht der Auffassung ist, dass die Marke AUDI in der Union bekannt ist, muss ihr Inhaber allerdings unter bestimmten Bedingungen verstärkten Schutz genießen. In diesem Fall spielt es keine Rolle, ob die fraglichen Kühlergrills und die Waren, für die diese Marke eingetragen ist, identisch, ähnlich oder verschieden sind.

Der Gerichtshof bestätigt auch, dass das Unionsrecht, wenn die Wahl der Form des Teils, das für die Anbringung des Emblems des Automobilherstellers gedacht ist, von dem Willen geleitet ist, einen Kühlergrill zu vermarkten, der dem Originalkühlergrill so getreu wie möglich ähnelt, das ausschließliche Recht dieses Herstellers und Inhabers der Marke, die Benutzung eines identischen oder ähnlichen Zeichens zu verbieten, nicht beschränkt.

Den Volltext der Entscheidung finden Sie hier:

EuGH
Urteil vom 16.01.2024
C-33/22
Österreichische Datenschutzbehörde

Der EuGH hat entschieden, dass ein parlamentarischer Untersuchungsausschuss die Vorgaben der DSGVO einhalten muss, es sei denn, die Tätigkeit betrifft die nationale Sicherheit.

Die Pressemitteilung des EuGH:
Ein parlamentarischer Untersuchungsausschuss muss grundsätzlich die Datenschutz-Grundverordnung einhalten

Dies gilt nicht, wenn er eine die nationale Sicherheit betreffende Tätigkeit ausübt.

Ein vom Parlament eines Mitgliedstaats in Ausübung seines Kontrollrechts der Vollziehung eingesetzter Untersuchungsausschuss muss grundsätzlich die Datenschutz-Grundverordnung (DSGVO) einhalten. Gibt es in diesem Mitgliedstaat nur eine Aufsichtsbehörde, ist diese grundsätzlich auch für die Überwachung der Einhaltung der DSGVO durch den Untersuchungsausschuss zuständig. Übt der Untersuchungsausschuss jedoch eine Tätigkeit aus, die als solche der Wahrung der nationalen Sicherheit dient, unterliegt er nicht der DSGVO und folglich auch nicht der Kontrolle durch die Aufsichtsbehörde.

Der Nationalrat, die Abgeordnetenkammer des österreichischen Parlaments, setzte einen Untersuchungsausschuss ein, um eine mögliche politische Einflussnahme auf das Bundesamt für Verfassungsschutz und Terrorismusbekämpfung aufzuklären.

Dieser Untersuchungsausschuss befragte medienöffentlich eine Auskunftsperson. Das Protokoll dieser Befragung wurde auf der Webseite des österreichischen Parlaments veröffentlicht. Es enthielt den vollständigen Namen der Auskunftsperson, obwohl diese die Anonymisierung beantragt hatte.

Da die Nennung ihres Namens aus der Sicht der Auskunftsperson gegen die DSGVO verstieß, brachte sie bei der österreichischen Datenschutzbehörde eine Beschwerde ein. Sie legte dar, als verdeckter Ermittler bei der polizeilichen Einsatzgruppe für die Bekämpfung der Straßenkriminalität tätig zu sein. Die Datenschutzbehörde wies die Beschwerde mit der Begründung zurück, dass sie aufgrund des Gewaltenteilungsgrundsatzes als Teil der Exekutive nicht kontrollieren könne, ob der Untersuchungsausschuss, der der Legislative zuzurechnen sei, die DSGVO einhalte. Die Auskunftsperson bekämpfte diese Entscheidung sodann vor den österreichischen Gerichten.

Der österreichische Verwaltungsgerichtshof möchte vom Gerichtshof wissen, ob der Untersuchungsausschuss, der der Legislative zuzurechnen ist und Tätigkeiten betreffend die nationale Sicherheit untersucht, der DSGVO und damit der Kontrolle der Datenschutzbehörde unterliegt.

Der Gerichtshof stellt fest, dass auch ein vom Parlament eines Mitgliedstaats in Ausübung seines Kontrollrechts der Vollziehung eingesetzter Untersuchungsausschuss grundsätzlich die DSGVO einzuhalten hat.

Zwar ist die DSGVO nicht auf Verarbeitungen personenbezogener Daten anwendbar, die von Behörden im Rahmen einer Tätigkeit vorgenommen werden, die der Wahrung der nationalen Sicherheit dient. Vorbehaltlich einer Überprüfung durch den österreichischen Verwaltungsgerichtshof scheint die in Rede stehende Untersuchung jedoch nicht als solche der Wahrung der nationalen Sicherheit zu dienen. Der Untersuchungsausschuss sollte nämlich eine mögliche politische Einflussnahme auf eine der Exekutive zuzurechnende Behörde prüfen, die für Verfassungsschutz und Terrorismusbekämpfung zuständig war.

Allerdings können Beschränkungen der sich aus der DSGVO ergebenden Pflichten und Rechte im Wege von Gesetzgebungsmaßnahmen aufgrund der nationalen Sicherheit gerechtfertigt sein. Aus der Akte ergibt sich jedoch nicht, dass der in Rede stehende Untersuchungsausschuss dargetan hätte, dass die Offenlegung des Namens der Auskunftsperson für die Gewährleistung der nationalen Sicherheit erforderlich gewesen sei und auf einer Gesetzgebungsmaßnahme beruht habe. Es ist jedoch Sache des österreichischen Verwaltungsgerichtshofs, die in diesem Zusammenhang erforderlichen Überprüfungen vorzunehmen.

Da Österreich entschieden hat, nur eine Aufsichtsbehörde im Sinne der DSGVO einzurichten, nämlich die Datenschutzbehörde, ist diese grundsätzlich auch für die Überwachung der Einhaltung der DSGVO durch einen Untersuchungsausschuss wie den in Rede stehenden zuständig, und zwar ungeachtet des Gewaltenteilungsgrundsatzes. Dies ergibt sich aus der unmittelbaren Wirkung der DSGVO und dem Anwendungsvorrang des Unionsrechts, einschließlich gegenüber nationalem Verfassungsrecht.

Tenor der Entscheidung:

1. Art. 16 Abs. 2 Satz 1 AEUV und Art. 2 Abs. 2 Buchst. a der Verordnung (EU) 2016/679 des Europäischen Parlaments und des Rates vom 27. April 2016 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten, zum freien Datenverkehr und zur Aufhebung der Richtlinie 95/46/EG (Datenschutz-Grundverordnung) sind dahin auszulegen, dass nicht angenommen werden kann, dass eine Tätigkeit allein deshalb außerhalb des Anwendungsbereichs des Unionsrechts liegt und damit der Anwendung dieser Verordnung entzogen ist, weil sie von einem vom Parlament eines Mitgliedstaats in Ausübung seines Kontrollrechts der Vollziehung eingesetzten Untersuchungsausschuss ausgeübt wird.

2. Art. 2 Abs. 2 Buchst. a der Verordnung 2016/679 im Licht des 16. Erwägungsgrundes dieser Verordnung ist dahin auszulegen, dass die Tätigkeiten eines vom Parlament eines Mitgliedstaats in Ausübung seines Kontrollrechts der Vollziehung eingesetzten Untersuchungsausschusses, die der Untersuchung der Tätigkeiten einer polizeilichen Staatsschutzbehörde aufgrund des Verdachts politischer Einflussnahme auf diese Behörde dienen, als solche nicht als die nationale Sicherheit betreffende Tätigkeiten im Sinne dieser Bestimmung anzusehen sind, die außerhalb des Anwendungsbereichs des Unionsrechts liegen.

3. Art. 77 Abs. 1 und Art. 55 Abs. 1 der Verordnung 2016/679 sind dahin auszulegen, dass diese Bestimmungen, wenn ein Mitgliedstaat im Einklang mit Art. 51 Abs. 1 DSGVO bloß eine einzige Aufsichtsbehörde eingerichtet hat, sie aber nicht mit der Zuständigkeit für die Überwachung der Anwendung dieser Verordnung durch einen vom Parlament dieses Mitgliedstaats in Ausübung seines Kontrollrechts der Vollziehung eingesetzten Untersuchungsausschuss ausgestattet hat, dieser Behörde unmittelbar die Zuständigkeit übertragen, über Beschwerden betreffend von diesem Untersuchungsausschuss durchgeführte Verarbeitungen personenbezogener Daten zu befinden.

Den Volltext der Entscheidung finden Sie hier:

EuGH
Urteil vom 11.01.2024
C‑231/22

Der EuGH hat entschieden, dass die Verpflichtungen der gemeinsam für eine Verarbeitung personenbezogener Daten Verantwortlichen nicht notwendigerweise vom Bestehen einer Vereinbarung abhängig sind.

Tenor der Entscheidung:
1. Art. 4 Nr. 7 der Verordnung (EU) 2016/679 des Europäischen Parlaments und des Rates vom 27. April 2016 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten, zum freien Datenverkehr und zur Aufhebung der Richtlinie 95/46/EG (Datenschutz-Grundverordnung) ist dahin auszulegen, dass die für das Amtsblatt eines Mitgliedstaats zuständige Einrichtung oder Stelle, die nach den Rechtsvorschriften dieses Staates u. a. verpflichtet ist, Rechtsakte und amtliche Dokumente unverändert zu veröffentlichen, die von Dritten in eigener Verantwortung unter Einhaltung der geltenden Vorschriften erstellt wurden und anschließend bei einer Justizbehörde, die sie der Einrichtung oder Stelle zum Zweck der Veröffentlichung übermittelt, hinterlegt wurden, trotz fehlender Rechtspersönlichkeit als für die Verarbeitung der in diesen Rechtsakten und Dokumenten enthaltenen personenbezogenen Daten „Verantwortlicher“ eingestuft werden kann, wenn die Zwecke und Mittel der durch das Amtsblatt vorgenommenen Verarbeitung personenbezogener Daten durch das betreffende nationale Recht vorgegeben sind.

2. Art. 5 Abs. 2 in Verbindung mit Art. 4 Nr. 7 und Art. 26 Abs. 1 der Verordnung 2016/679 ist dahin auszulegen, dass die für das Amtsblatt eines Mitgliedstaats zuständige Einrichtung oder Stelle, die als „Verantwortlicher“ im Sinne von Art. 4 Nr. 7 DSGVO eingestuft wird, in Bezug auf die von ihr nach nationalem Recht vorzunehmenden Verarbeitungen personenbezogener Daten für die Einhaltung der in Art. 5 Abs. 1 DSGVO genannten Grundsätze allein verantwortlich ist, es sei denn, aus dem nationalen Recht ergibt sich in Bezug auf diese Verarbeitungen eine gemeinsame Verantwortlichkeit mit anderen Stellen.

Den Volltext der Entscheidung finden Sie hier:

EuGH
Urteil vom 21.12.2023
C‑667/21
Medizinischer Dienst der Krankenversicherung Nordrhein

Der EuGH hat entschieden, dass Verarbeitung von Gesundheitsdaten auf Grundlage von Art. 9 Abs. 2 lit. h DSGVO auch die Voraussetzungen von Art. 6 Abs. 1 DSGVO erfüllen muss. Ferner hat der EuGH entschieden, dass ein Schadensersatzanspruch aus Art. 82 DSGVO die Kompensation für einen konkreten Schaden darstellt.

Tenor der Entscheidung:
1. Art. 9 Abs. 2 Buchst. h der Verordnung (EU) 2016/679 des Europäischen Parlaments und des Rates vom 27. April 2016 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten, zum freien Datenverkehr und zur Aufhebung der Richtlinie 95/46/EG (Datenschutz-Grundverordnung) ist dahin auszulegen, dass die in dieser Bestimmung vorgesehene Ausnahme unter dem Vorbehalt, dass die betreffende Datenverarbeitung die in Buchst. h und in Art. 9 Abs. 3 ausdrücklich vorgeschriebenen Voraussetzungen und Garantien erfüllt, auf Situationen anwendbar ist, in denen eine Stelle für medizinische Begutachtung Gesundheitsdaten eines ihrer Arbeitnehmer nicht als Arbeitgeber, sondern als Medizinischer Dienst verarbeitet, um die Arbeitsfähigkeit dieses Arbeitnehmers zu beurteilen.

2. Art. 9 Abs. 3 der Verordnung 2016/679 ist dahin auszulegen, dass der für eine auf Art. 9 Abs. 2 Buchst. h dieser Verordnung gestützte Verarbeitung von Gesundheitsdaten Verantwortliche gemäß diesen Bestimmungen nicht verpflichtet ist, zu gewährleisten, dass kein Kollege der betroffenen Person Zugang zu den Daten über ihren Gesundheitszustand hat. Eine solche Pflicht kann dem für eine solche Verarbeitung Verantwortlichen jedoch gemäß einer von einem Mitgliedstaat auf der Grundlage von Art. 9 Abs. 4 dieser Verordnung erlassenen Regelung oder aufgrund der in Art. 5 Abs. 1 Buchst. f dieser Verordnung genannten und in ihrem Art. 32 Abs. 1 Buchst. a und b konkretisierten Grundsätze der Integrität und der Vertraulichkeit obliegen.

3. Art. 9 Abs. 2 Buchst. h und Art. 6 Abs. 1 der Verordnung 2016/679 sind dahin auszulegen, dass eine auf die erstgenannte Bestimmung gestützte Verarbeitung von Gesundheitsdaten nur dann rechtmäßig ist, wenn sie nicht nur die sich aus dieser Bestimmung ergebenden Anforderungen einhält, sondern auch mindestens eine der in Art. 6 Abs. 1 genannten Rechtmäßigkeitsvoraussetzungen erfüllt.

4. Art. 82 Abs. 1 der Verordnung 2016/679 ist dahin auszulegen, dass der in dieser Bestimmung vorgesehene Schadenersatzanspruch eine Ausgleichsfunktion hat, da eine auf diese Bestimmung gestützte Entschädigung in Geld ermöglichen soll, den konkret aufgrund des Verstoßes gegen diese Verordnung erlittenen Schaden vollständig zu ersetzen, und keine abschreckende oder Straffunktion erfüllt.

5. Art. 82 der Verordnung 2016/679 ist dahin auszulegen, dass zum einen die Haftung des Verantwortlichen vom Vorliegen eines ihm anzulastenden Verschuldens abhängt, das vermutet wird, wenn er nicht nachweist, dass die Handlung, die den Schaden verursacht hat, ihm nicht zurechenbar ist, und dass Art. 82 zum anderen nicht verlangt, dass der Grad dieses Verschuldens bei der Bemessung der Höhe des als Entschädigung für einen immateriellen Schaden auf der Grundlage dieser Bestimmung gewährten Schadenersatzes berücksichtigt wird.

Den Volltext der Entscheidung finden Sie hier:

EuGH
Urteil vom 21.12.2023
in den verbundenen Rechtssachen C-38/21, C-47/21 und C-232/21
BMW Bank, AUDI Bank, VOLKSWAGEN Bank

Der EuGH hat entschieden kein Widerrufsrecht des Verbrauchers bei einem Leasingvertrag über ein Kraftfahrzeug ohne Kaufverpflichtung besteht.

Die Pressemitteilung des EuGH:
Ein Verbraucher, der einen Leasingvertrag über ein Kraftfahrzeug ohne Kaufverpflichtung schließt, hat kein Widerrufsrecht

Dagegen kann ein Verbraucher, der einen Kreditvertrag im Hinblick auf den Kauf eines Fahrzeugs geschlossen hat, ohne dass er ordnungsgemäß über seine Rechte und Pflichten informiert wurde, jederzeit den Widerruf erklären, solange die Informationen nicht vollständig und zutreffend erteilt wurden, vorausgesetzt, der Widerruf erfolgt vor der vollständigen Erfüllung des Vertrags

Der Gerichtshof präzisiert die Rechte der Verbraucher im Bereich von Kraftfahrzeugleasing und -krediten. Im Fall eines Leasingvertrags über ein Kraftfahrzeug ohne Kaufverpflichtung ergibt sich aus dem Unionsrecht kein Widerrufsrecht für den Verbraucher. Dagegen kann er im Fall des Abschlusses eines Kreditvertrags im Hinblick auf den Kauf eines Fahrzeugs, ohne sich rechtsmissbräuchlich zu verhalten, jederzeit von seinem Widerrufsrecht Gebrauch machen, solange er keine vollständigen und zutreffenden Informationen über seine Rechte und Pflichten erhalten hat und der Vertrag noch nicht vollständig erfüllt wurde, d. h. in der Regel bis zur Fälligkeit der letzten Rückzahlungsrate.

Mehrere Verbraucher machen vor dem Landgericht Ravensburg (Deutschland) geltend, sie hätten Leasing- oder Kreditverträge mit Banken von Automobilherstellern (BMW Bank, Volkswagen Bank und Audi Bank) wirksam widerrufen. Diese Verträge betrafen das Leasing eines Fahrzeugs ohne Kaufverpflichtung oder die Finanzierung eines Gebrauchtwagens.

Im Fall des Leasingvertrags suchte der Verbraucher einen Automobilhändler auf, der befugt war, Auskünfte über den Vertrag zu geben. Dieser wurde sodann mittels eines Fernkommunikationsmittels unmittelbar zwischen dem Verbraucher und der Bank geschlossen. Bei den Kreditverträgen waren die Händler als Vermittler der Banken tätig.

Alle diese Verbraucher erklärten ihren Widerruf mehrere Monate oder mehrere Jahre nach dem Vertragsschluss. Einer von ihnen machte von seinem Widerrufsrecht Gebrauch, nachdem der Kredit vollständig zurückgezahlt worden war. Sie sind der Ansicht, die im Unionsrecht vorgesehene Widerrufsfrist von 14 Tagen habe nicht zu laufen begonnen, weil sie bei Vertragsschluss nicht hinreichend über ihre Rechte und Pflichten informiert worden seien. Die Banken machen geltend, ein Widerruf nach so langer Zeit sei jedenfalls als missbräuchlich zu qualifizieren.

Das Landgericht Ravensburg hat den Gerichtshof hierzu befragt.

Der Gerichtshof entscheidet, dass einem Verbraucher, der einen Leasingvertrag über ein nach seinen Vorgaben bestelltes Fahrzeug schließt, auf der Grundlage des Unionsrechts kein Widerrufsrecht zusteht, wenn er nach dem Vertrag nicht verpflichtet ist, das Fahrzeug am Ende der Leasingperiode zu kaufen. Dies gilt auch dann, wenn der Vertrag im Fernabsatz oder außerhalb von Geschäftsräumen geschlossen wurde.

In Bezug auf die Kreditverträge stellt der Gerichtshof fest, dass die in solchen Verträgen vorgesehene Widerrufsfrist von 14 Tagen nicht zu laufen beginnt, wenn die Informationen, die der Unternehmer bei Vertragsschluss erteilen muss, unvollständig oder fehlerhaft waren und wenn sich dies auf die Befähigung des Verbrauchers, den Umfang seiner Rechte und Pflichten einzuschätzen, und auf seine Entscheidung, den Vertrag zu schließen, ausgewirkt hat. In einem solchen Fall kann die Ausübung des Widerrufsrechts nach Ablauf der Frist von 14 Tagen keinesfalls als missbräuchlich angesehen werden, auch wenn dies lange nach Vertragsschluss geschieht. Sobald der Kreditvertrag vollständig erfüllt wurde, kann der Verbraucher hingegen nicht mehr von seinem Widerrufsrecht Gebrauch machen.


Tenor der Entscheidung:
1. Art. 2 Nr. 6 der Richtlinie 2011/83/EU des Europäischen Parlaments und des Rates vom 25. Oktober 2011 über die Rechte der Verbraucher, zur Abänderung der Richtlinie 93/13/EWG des Rates und der Richtlinie 1999/44/EG des Europäischen Parlaments und des Rates sowie zur Aufhebung der Richtlinie 85/577/EWG des Rates und der Richtlinie 97/7/EG des Europäischen Parlaments und des Rates ist in Verbindung mit Art. 3 Abs. 1 der Richtlinie 2011/83 dahin auszulegen, dass ein Leasingvertrag über ein Kraftfahrzeug, der dadurch gekennzeichnet ist, dass weder er noch ein gesonderter Vertrag vorsieht, dass der Verbraucher das Fahrzeug bei Vertragsende kaufen muss, als „Dienstleistungsvertrag“ im Sinne von Art. 2 Nr. 6 der Richtlinie 2011/83 in ihren Geltungsbereich fällt. Dagegen fällt ein solcher Vertrag weder in den Anwendungsbereich der Richtlinie 2002/65/EG des Europäischen Parlaments und des Rates vom 23. September 2002 über den Fernabsatz von Finanzdienstleistungen an Verbraucher und zur Änderung der Richtlinie 90/619/EWG des Rates und der Richtlinien 97/7/EG und 98/27/EG noch in den Geltungsbereich der Richtlinie 2008/48/EG des Europäischen Parlaments und des Rates vom 23. April 2008 über Verbraucherkreditverträge und zur Aufhebung der Richtlinie 87/102/EWG des Rates.

2. Art. 2 Nr. 7 der Richtlinie 2011/83 ist dahin auszulegen, dass ein Dienstleistungsvertrag im Sinne ihres Art. 2 Nr. 6, der zwischen einem Verbraucher und einem Unternehmer unter Verwendung eines Fernkommunikationsmittels geschlossen wird, nicht als „Fernabsatzvertrag“ im Sinne von Art. 2 Nr. 7 eingestuft werden kann, wenn dem Vertragsschluss eine Verhandlungsphase vorausging, bei der neben dem Verbraucher ein im Namen oder Auftrag des Unternehmers handelnder Vermittler körperlich anwesend war und in deren Verlauf der Verbraucher von dem Vermittler für die Zwecke dieser Verhandlungen alle in Art. 6 der Richtlinie genannten Informationen erhielt und dem Vermittler Fragen zu dem ins Auge gefassten Vertrag oder dem gemachten Angebot stellen konnte, um jeden Zweifel an der Tragweite seiner etwaigen vertraglichen Bindung an den Unternehmer auszuräumen.

3. Art. 2 Nr. 8 Buchst. a der Richtlinie 2011/83 ist dahin auszulegen, dass ein Dienstleistungsvertrag im Sinne ihres Art. 2 Nr. 6, der zwischen einem Verbraucher und einem Unternehmer geschlossen wird, nicht als „außerhalb von Geschäftsräumen abgeschlossener Vertrag“ im Sinne von Art. 2 Nr. 8 Buchst. a eingestuft werden kann, wenn der Verbraucher in der Anbahnungsphase, bevor der Vertrag unter Verwendung eines Fernkommunikationsmittels abgeschlossen wurde, die Geschäftsräume eines Vermittlers aufsuchte, der im Namen oder Auftrag des Unternehmers zum Zweck der Aushandlung dieses Vertrags handelte, aber in einer anderen Branche als der Unternehmer tätig ist, vorausgesetzt, ein normal informierter, angemessen aufmerksamer und verständiger Durchschnittsverbraucher konnte, als er die Geschäftsräume des Vermittlers aufsuchte, damit rechnen, von ihm zu kommerziellen Zwecken der Aushandlung und des Abschlusses eines Dienstleistungsvertrags mit dem Unternehmer angesprochen zu werden, und konnte überdies leicht erkennen, dass der Vermittler im Namen oder Auftrag des Unternehmers handelte.

4. Art. 16 Buchst. l der Richtlinie 2011/83 ist dahin auszulegen, dass ein zwischen einem Unternehmer und einem Verbraucher geschlossener Leasingvertrag über ein Kraftfahrzeug, der als Fernabsatzvertrag oder als außerhalb von Geschäftsräumen abgeschlossener Vertrag im Sinne dieser Richtlinie einzustufen ist, von der in dieser Bestimmung vorgesehenen Ausnahme vom Widerrufsrecht bei Fernabsatzverträgen oder außerhalb von Geschäftsräumen abgeschlossenen Verträgen über Dienstleistungen im Bereich von Mietwagen, die in den Geltungsbereich der Richtlinie fallen, erfasst wird, wenn der Hauptgegenstand des Vertrags darin besteht, es dem Verbraucher zu gestatten, ein Fahrzeug während der spezifischen vertraglich vorgesehenen Laufzeit gegen regelmäßige Zahlung von Geldbeträgen zu nutzen.

5. Art. 10 Abs. 2 Buchst. p der Richtlinie 2008/48 ist dahin auszulegen, dass er einer nationalen Regelung entgegensteht, die eine gesetzliche Vermutung aufstellt, wonach der Unternehmer seiner Pflicht, den Verbraucher über dessen Widerrufsrecht zu belehren, nachkommt, wenn er in einem Vertrag auf nationale Vorschriften verweist, die ihrerseits insoweit auf ein Regelungsmodell für die Informationen verweisen, wobei er darin enthaltene Klauseln verwendet, die nicht den Vorgaben dieser Bestimmung der Richtlinie entsprechen. Kann ein nationales Gericht, das mit einem Rechtsstreit befasst ist, in dem sich ausschließlich Privatpersonen gegenüberstehen, die in Rede stehende nationale Regelung nicht in einer mit der Richtlinie 2008/48 vereinbaren Weise auslegen, ist es nicht allein auf der Grundlage des Unionsrechts verpflichtet, eine solche Regelung unangewendet zu lassen, unbeschadet der Möglichkeit dieses Gerichts, ihre Anwendung auf der Grundlage seines innerstaatlichen Rechts auszuschließen, und, wenn dies nicht geschieht, des Rechts der durch die Unvereinbarkeit des nationalen Rechts mit dem Unionsrecht geschädigten Partei, Ersatz des ihr dadurch entstandenen Schadens zu verlangen.

6. Art. 10 Abs. 2 Buchst. p der Richtlinie 2008/48 ist in Verbindung mit Art. 14 Abs. 3 Buchst. b dieser Richtlinie dahin auszulegen, dass die in einem Kreditvertrag, der unter diese Bestimmung fällt, anzugebenden Zinsen, die der Verbraucher im Fall der Ausübung seines Widerrufsrechts pro Tag zu entrichten hat, keinesfalls höher sein dürfen als der Betrag, der sich rechnerisch aus dem im Kreditvertrag vereinbarten Sollzinssatz ergibt. Die im Vertrag enthaltenen Angaben zur Höhe der Zinsen pro Tag müssen klar und prägnant sein; insbesondere müssen sie in Verbindung mit anderen Angaben frei von Widersprüchen sein, die objektiv geeignet wären, einen normal informierten, angemessen aufmerksamen und verständigen Durchschnittsverbraucher hinsichtlich der Höhe der von ihm letztlich pro Tag zu zahlenden Zinsen irrezuführen. Fehlen Angaben mit diesen Merkmalen, werden keine Zinsen pro Tag geschuldet.

7. Art. 10 Abs. 2 Buchst. t der Richtlinie 2008/48 ist dahin auszulegen, dass in einem Kreditvertrag die wesentlichen Informationen über alle dem Verbraucher zur Verfügung stehenden außergerichtlichen Beschwerde- oder Rechtsbehelfsverfahren und gegebenenfalls die mit diesen Verfahren jeweils verbundenen Kosten, darüber, ob die Beschwerde oder der Rechtsbehelf per Post oder elektronisch einzureichen ist, über die physische oder elektronische Adresse, an die die Beschwerde oder der Rechtsbehelf zu senden ist, und über die sonstigen formalen Voraussetzungen, denen die Beschwerde oder der Rechtsbehelf unterliegt, anzugeben sind; ein bloßer Verweis im Kreditvertrag auf eine auf Wunsch zur Verfügung gestellte oder im Internet abrufbare Verfahrensordnung oder auf ein anderes Schriftstück oder Dokument, in dem die Modalitäten des Zugangs zu außergerichtlichen Beschwerde- und Rechtsbehelfsverfahren festgelegt sind, reicht nicht aus.

8. Art. 10 Abs. 2 Buchst. r der Richtlinie 2008/48 ist dahin auszulegen, dass in einem Kreditvertrag grundsätzlich für die Berechnung der bei vorzeitiger Rückzahlung des Kredits anfallenden Vorfälligkeitsentschädigung die Berechnungsweise dieser Entschädigung in konkreter und für einen normal informierten, angemessen aufmerksamen und verständigen Durchschnittsverbraucher leicht verständlicher Weise angegeben werden muss, damit er den Betrag der bei vorzeitiger Rückzahlung anfallenden Entschädigung auf der Grundlage der in diesem Vertrag enthaltenen Angaben ermitteln kann. Auch wenn konkrete und leicht verständliche Angaben zur Berechnungsweise fehlen, kann ein solcher Vertrag aber der in dieser Bestimmung aufgestellten Verpflichtung genügen, sofern er andere Elemente enthält, die es dem Verbraucher ermöglichen, die Höhe der betreffenden Entschädigung und insbesondere den Betrag, den er im Fall der vorzeitigen Rückzahlung des Kredits höchstens zu zahlen haben wird, leicht zu ermitteln.

9. Art. 14 Abs. 1 Unterabs. 2 Buchst. b der Richtlinie 2008/48 ist dahin auszulegen, dass die Widerrufsfrist, falls sich eine dem Verbraucher vom Kreditgeber gemäß Art. 10 Abs. 2 der Richtlinie erteilte Information als unvollständig oder fehlerhaft erweist, nur zu laufen beginnt, wenn die Unvollständigkeit oder Fehlerhaftigkeit dieser Information nicht geeignet ist, sich auf die Befähigung des Verbrauchers, den Umfang seiner Rechte und Pflichten aus der Richtlinie einzuschätzen, oder auf seine Entscheidung, den Vertrag zu schließen, auszuwirken und ihm gegebenenfalls die Möglichkeit zu nehmen, seine Rechte unter im Wesentlichen denselben Bedingungen wie denen auszuüben, die vorgelegen hätten, sofern die Information vollständig und zutreffend erteilt worden wäre.

10. Art. 10 Abs. 2 Buchst. l der Richtlinie 2008/48 ist dahin auszulegen, dass in einem Kreditvertrag der zum Zeitpunkt des Abschlusses dieses Vertrags geltende Satz der Verzugszinsen in Form eines konkreten Prozentsatzes anzugeben und der Mechanismus der Anpassung dieses Satzes konkret zu beschreiben ist. Wird dieser Zinssatz anhand eines Referenzzinssatzes, der im Lauf der Zeit variieren kann, ermittelt, muss im Kreditvertrag der zum Zeitpunkt des Vertragsschlusses geltende Referenzzinssatz angegeben werden, wobei die Methode zur Berechnung des Verzugszinssatzes anhand des Referenzzinssatzes im Vertrag in einer für einen Durchschnittsverbraucher, der nicht über Fachkenntnisse im Finanzbereich verfügt, leicht verständlichen Weise dargestellt werden muss, so dass er den Verzugszinssatz auf der Grundlage der in diesem Vertrag enthaltenen Angaben berechnen kann. Überdies muss im Kreditvertrag die Häufigkeit der Änderung des Referenzzinssatzes angegeben werden, auch wenn sie sich nach den nationalen Vorschriften richtet.

11. Art. 14 Abs. 1 der Richtlinie 2008/48 ist dahin auszulegen, dass die vollständige Erfüllung des Kreditvertrags zum Erlöschen des Widerrufsrechts führt. Außerdem kann sich der Kreditgeber nicht mit Erfolg darauf berufen, dass der Verbraucher aufgrund seines Verhaltens zwischen Vertragsschluss und Ausübung des Widerrufsrechts oder nach dessen Ausübung dieses Recht missbräuchlich ausgeübt habe, wenn wegen einer gegen Art. 10 Abs. 2 der Richtlinie 2008/48 verstoßenden unvollständigen oder fehlerhaften Information im Kreditvertrag die Widerrufsfrist nicht zu laufen begonnen hat, weil feststeht, dass sich diese Unvollständigkeit oder Fehlerhaftigkeit auf die Befähigung des Verbrauchers, den Umfang seiner Rechte und Pflichten aus der Richtlinie 2008/48 einzuschätzen, sowie auf seine Entscheidung, den Vertrag zu schließen, ausgewirkt hat.

12. Die Richtlinie 2008/48 ist dahin auszulegen, dass sie es dem Kreditgeber, wenn der Verbraucher sein Widerrufsrecht gemäß Art. 14 Abs. 1 dieser Richtlinie ausübt, verwehrt, sich nach den nationalen Rechtsvorschriften auf die Verwirkung dieses Rechts zu berufen, wenn mindestens eine der in Art. 10 Abs. 2 der Richtlinie aufgeführten Pflichtangaben im Kreditvertrag nicht oder unvollständig oder fehlerhaft enthalten war und auch nicht später ordnungsgemäß mitgeteilt wurde, so dass aus diesem Grund die in Art. 14 Abs. 1 vorgesehene Widerrufsfrist nicht zu laufen begann.

13. Art. 14 Abs. 1 der Richtlinie 2008/48 ist in Verbindung mit dem Effektivitätsgrundsatz dahin auszulegen, dass er einer nationalen Regelung entgegensteht, die vorsieht, dass ein Verbraucher, wenn er einen verbundenen Kreditvertrag im Sinne von Art. 3 Buchst. n der Richtlinie widerruft, den mit dem Kredit finanzierten Gegenstand an den Kreditgeber herausgeben oder diesen in Annahmeverzug setzen muss, ohne dass der Kreditgeber verpflichtet ist, gleichzeitig die vom Verbraucher bereits geleisteten monatlichen Kreditraten zurückzuzahlen.

Den Volltext der Entscheidung finden Sie hier:

EuGH
Urteil vom 14.12.2023
C-340/21
Natsionalna agentsia za prihodite

Der EuGH hat entschieden, dass schon die bloße Befürchtung eines möglichen Missbrauchs personenbezogener Daten nach einem Cyberangriff / einer Hackerattacke einen Anspruch auf immateriellen Schadensersatz gemäß Art. 82 DSGVO begründen kann.

Tenor der Entscheidung:
1. Die Art. 24 und 32 der Verordnung (EU) 2016/679 des Europäischen Parlaments und des Rates vom 27. April 2016 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten, zum freien Datenverkehr und zur Aufhebung der Richtlinie 95/46/EG (Datenschutz- rundverordnung) sind dahin auszulegen, dass eine unbefugte Offenlegung von bzw. ein unbefugter Zugang zu personenbezogenen Daten durch „Dritte“ im Sinne von Art. 4 Nr. 10 dieser Verordnung allein nicht ausreicht, um anzunehmen, dass die technischen und organisatorischen Maßnahmen, die der für die betreffende Verarbeitung Verantwortliche getroffen hat, nicht „geeignet“ im Sinne der Art. 24 und 32 dieser Verordnung waren.

2. Art. 32 der Verordnung 2016/679 ist dahin auszulegen, dass die Geeignetheit der vom Verantwortlichen nach diesem Artikel getroffenen technischen und organisatorischen Maßnahmen von den nationalen Gerichten konkret zu beurteilen ist, wobei die mit der betreffenden Verarbeitung verbundenen Risiken zu berücksichtigen sind und zu beurteilen ist, ob Art, Inhalt und Umsetzung dieser Maßnahmen diesen Risiken angemessen sind.

3. Der in Art. 5 Abs. 2 der Verordnung 2016/679 formulierte und in Art. 24 dieser Verordnung konkretisierte Grundsatz der Rechenschaftspflicht des Verantwortlichen ist dahin auszulegen, dass im Rahmen einer auf Art. 82 der Verordnung gestützten Schadenersatzklage der für die betreffende Verarbeitung Verantwortliche die Beweislast dafür trägt, dass die von ihm getroffenen Sicherheitsmaßnahmen im Sinne von Art. 32 dieser Verordnung geeignet waren.

4. Art. 32 der Verordnung 2016/679 und der unionsrechtliche Effektivitätsgrundsatz sind dahin auszulegen, dass für die Beurteilung der Geeignetheit der Sicherheitsmaßnahmen, die der Verantwortliche nach diesem Artikel getroffen hat, ein gerichtliches Sachverständigengutachten kein generell notwendiges und ausreichendes Beweismittel sein kann.

5. Art. 82 Abs. 3 der Verordnung 2016/679 ist dahin auszulegen, dass der Verantwortliche von seiner nach Art. 82 Abs. 1 und 2 dieser Verordnung bestehenden Pflicht zum Ersatz des einer Person entstandenen Schadens nicht allein deshalb befreit werden kann, weil dieser Schaden die Folge einer unbefugten Offenlegung von bzw. eines unbefugten Zugangs zu personenbezogenen Daten durch „Dritte“ im Sinne von Art. 4 Nr. 10 dieser Verordnung ist, wobei der Verantwortliche dann nachweisen muss, dass er in keinerlei Hinsicht für den Umstand, durch den der betreffende Schaden eingetreten ist, verantwortlich ist.

6. Art. 82 Abs. 1 der Verordnung 2016/679 ist dahin auszulegen, dass allein der Umstand, dass eine betroffene Person infolge eines Verstoßes gegen diese Verordnung befürchtet, dass ihre personenbezogenen Daten durch Dritte missbräuchlich verwendet werden könnten, einen „immateriellen Schaden“ im Sinne dieser Bestimmung darstellen kann.

Pressemitteilung des EuGH:
Cyberkriminalität: Die Befürchtung eines möglichen Missbrauchs personenbezogener Daten kann für sich genommen einen immateriellen Schaden darstellen

Die bulgarische Nationale Agentur für Einnahmen (NAP) ist dem bulgarischen Finanzminister unterstellt. Sie ist u. a. mit der Feststellung, Sicherung und Einziehung öffentlicher Forderungen betraut. In diesem Rahmen ist sie für die Verarbeitung personenbezogener Daten verantwortlich. Am 15. Juli 2019 wurde in den Medien darüber berichtet, dass in das IT-System der NAP eingedrungen worden sei und infolge dieses Cyberangriffs in diesem System enthaltene personenbezogene Daten von Millionen von Menschen im Internet veröffentlicht worden seien. Zahlreiche Personen verklagten die NAP auf Ersatz des immateriellen Schadens, der ihnen aus der Befürchtung eines möglichen Missbrauchs ihrer Daten entstanden sein soll.

Das bulgarische Oberste Verwaltungsgericht legt dem Gerichtshof mehrere Fragen zur Auslegung der Datenschutz-Grundverordnung (DSGVO) zur Vorabentscheidung vori . Es möchte klären lassen, unter welchen Bedingungen eine Person, deren personenbezogene Daten, die sich im Besitz einer öffentlichen Agentur befinden, nach einem Angriff von Cyberkriminellen im Internet veröffentlicht wurden, Ersatz des immateriellen Schadens verlangen kann.

In seinem Urteil antwortet der Gerichtshof wie folgt:

1. Im Fall der unbefugten Offenlegung von bzw. des unbefugten Zugangs zu personenbezogenen Daten können die Gerichte aus diesem Umstand allein nicht ableiten, dass die Schutzmaßnahmen, die der für die Datenverarbeitung Verantwortliche ergriffen hat, nicht geeignet waren. Die Gerichte müssen die Geeignetheit dieser Maßnahmen konkret beurteilen.

2. Der Verantwortliche trägt die Beweislast dafür, dass die getroffenen Schutzmaßnahmen geeignet waren.

3. Im Fall der unbefugten Offenlegung von bzw. des unbefugten Zugangs zu personenbezogenen Daten durch „Dritte“ (wie Cyberkriminelle) kann der Verantwortliche gegenüber den Personen, denen ein Schaden entstanden ist, ersatzpflichtig sein, es sei denn, er weist nach, dass er in keinerlei Hinsicht für den Schaden verantwortlich ist.

4. Allein der Umstand, dass eine betroffene Person infolge eines Verstoßes gegen die DSGVO befürchtet, dass ihre personenbezogenen Daten durch Dritte missbräuchlich verwendet werden könnten, kann einen „immateriellen Schaden“ darstellen.

Den Volltext der Entscheidung finden Sie hier:

EuGH
Urteil vom 05.12.2023, C-683/21 (Nacionalinis visuomenės sveikatos centras)
Urteil vom 05.12.2023, C-807/21 (Deutsche Wohnen)

Der EuGH hat entschieden, dass eine Geldbuße gegen ein Unternehmen durch die Datenschutzbehörde wegen eines DSGVO-Verstoßes einen schuldhaften Verstoß voraussetzt. Die Höhe richtet sich bei Unternehmen, die einem Konzern angehören, nach dem Jahresumsatz des Konzerns.

Die Pressemitteilung des Gerichts:
Nur ein schuldhafter Verstoß gegen die Datenschutz-Grundverordnung kann zur Verhängung einer Geldbuße führen

Gehört der Adressat der Geldbuße zu einem Konzern, bemisst sich die Geldbuße nach dem Jahresumsatz des Konzerns

Der Gerichtshof präzisiert die Voraussetzungen, unter denen die nationalen Aufsichtsbehörden eine Geldbuße gegen einen oder mehrere für die Datenverarbeitung Verantwortliche wegen Verstoßes gegen die DatenschutzGrundverordnung (DSGVO) verhängen können. Insbesondere stellt er fest, dass die Verhängung einer solchen Geldbuße ein schuldhaftes Verhalten voraussetzt, der Verstoß also vorsätzlich oder fahrlässig begangen worden sein muss. Gehört der Adressat der Geldbuße zu einem Konzern, ist bei der Berechnung der Geldbuße auf den Umsatz des Konzerns abzustellen

Ein litauisches und ein deutsches Gericht haben den Gerichtshof ersucht, die Datenschutz- Grundverordnung (DSGVO)1 auszulegen, und zwar im Hinblick auf die Möglichkeit nationaler Aufsichtsbehörden, Verstöße gegen diese Verordnung durch Verhängung einer Geldbuße gegen den für die Datenverarbeitung Verantwortlichen zu ahnden.

Im litauischen Fall wendet sich das Nationale Zentrum für öffentliche Gesundheit beim Gesundheitsministerium gegen eine Geldbuße in Höhe von 12 000 Euro, die ihm im Zusammenhang mit der Entwicklung (mit Unterstützung durch ein privates Unternehmen) einer mobilen Anwendung auferlegt wurde, die der Erfassung und Überwachung der Daten der dem Covid-19-Virus ausgesetzten Personen dienen sollte.

Im deutschen Fall wendet sich das Immobilienunternehmen Deutsche Wohnen, das mittelbar rund 163 000 Wohneinheiten und 3 000 Gewerbeeinheiten hält, u. a. gegen eine Geldbuße von über 14 Mio. Euro, die ihm auferlegt wurde, weil es personenbezogene Daten von Mietern länger als erforderlich speicherte.

Der Gerichtshof entscheidet, dass gegen einen für die Datenverarbeitung Verantwortlichen nur dann eine Geldbuße wegen Verstoßes gegen die DSGVO verhängt werden kann, wenn dieser Verstoß schuldhaft – also vorsätzlich oder fahrlässig – begangen wurde. Dies ist dann der Fall, wenn sich der Verantwortliche über die Rechtswidrigkeit seines Verhaltens nicht im Unklaren sein konnte, gleichviel, ob ihm dabei bewusst war, dass es gegen die Bestimmungen der DSGVO verstößt.

Handelt es sich bei dem Verantwortlichen um eine juristische Person, ist es nicht erforderlich, dass der Verstoß von ihrem Leitungsorgan begangen wurde oder dieses Organ Kenntnis davon hatte. Vielmehr haftet eine juristische Person sowohl für Verstöße, die von ihren Vertretern, Leitungspersonen oder Geschäftsführern begangen werden, als auch für Verstöße, die von jeder sonstigen Person begangen werden, die im Rahmen ihrer unternehmerischen Tätigkeit in ihrem Namen handelt. Die Verhängung einer Geldbuße gegen eine juristische Person als Verantwortliche darf nicht der Voraussetzung unterliegen, dass zuvor festgestellt wurde, dass der Verstoß von einer identifizierten natürlichen Person begangen wurde.

Außerdem kann gegen einen Verantwortlichen eine Geldbuße auch für Verarbeitungsvorgänge verhängt werden, die von einem Auftragsverarbeiter durchgeführt wurden, sofern diese Vorgänge dem Verantwortlichen zugerechnet werden können.

Zur gemeinsamen Verantwortlichkeit von zwei oder mehr Einrichtungen führt der Gerichtshof aus, dass diese sich allein daraus ergibt, dass die Einrichtungen an der Entscheidung über die Zwecke und Mittel der Verarbeitung mitgewirkt haben. Die Einstufung als „gemeinsam Verantwortliche“ setzt keine förmliche Vereinbarung zwischen den betreffenden Einrichtungen voraus. Eine gemeinsame Entscheidung oder übereinstimmende Entscheidungen reichen aus. Handelt es sich jedoch tatsächlich um gemeinsam Verantwortliche, müssen diese in einer Vereinbarung ihre jeweiligen Pflichten festlegen.

Schließlich muss sich die Aufsichtsbehörde bei der Bemessung der Geldbuße, wenn der Adressat ein Unternehmen ist oder zu einem Unternehmen gehört, auf den wettbewerbsrechtlichen Begriff „Unternehmen“ stützen. Der Höchstbetrag der Geldbuße ist daher auf der Grundlage eines Prozentsatzes des gesamten Jahresumsatzes zu berechnen, den das betreffende Unternehmen als Ganzes im vorangegangenen Geschäftsjahr weltweit erzielt hat.

Den Volltext der Entscheidung finden Sie hier:
EuGH, Urteil vom 05.12.2023, C-683/12 (Nacionalinis visuomenės sveikatos centras)
EuGH, Urteil vom 05.12.2023, C-807/21 (Deutsche Wohnen)

EuGH
Urteil vom 23.11.2023
C-354/22

Der EuGH hat entschieden, dass ein Weinerzeuger seinen Weinbaubetrieb auch dann angeben darf, wenn die Kelterung in fremden Betriebsräumern aber unter seiner Leitung und ständigen Überwachung erfolgt.

Die Pressemitteilung des EuGH:
Weinbereitung und -etikettierung: Ein Weinerzeuger darf seinen eigenen Weinbaubetrieb auch dann angeben, wenn die Kelterung in den Betriebsräumen eines anderen Weinerzeugers erfolgt

Dies setzt allerdings voraus, dass während der erforderlichen Zeit nur der namensgebende Weinerzeuger die angemietete Kelteranlage nutzt und die Kelterung unter seiner Leitung und seiner engen und ständigen Überwachung stattfindet.

Ein Weinerzeuger der deutschen Moselregion verwendet die Angaben „Weingut“ und „Gutsabfüllung“ für Wein, den er aus Trauben erzeugt, die von Rebflächen stammen, die er etwa 70 km von seinem eigenen Betrieb entfernt gepachtet hat. Aufgrund eines Vertrags werden die angepachteten Rebflächen von ihrem Eigentümer nach den Vorgaben des namensgebenden Weinerzeugers angebaut. Nach der Weinlese steht eine angemietete Kelteranlage für einen Zeitraum von 24 Stunden ausschließlich für die Verarbeitung der Trauben von den gepachteten Rebflächen nach den önologischen Vorgaben des namensgebenden Weinerzeugers zur Verfügung. Dieser befördert anschließend den hergestellten Wein zu seinen Betriebsräumen.

Nach Auffassung des Landes Rheinland-Pfalz darf der namensgebende Weinerzeuger die fraglichen Angaben nicht für den in den Betriebsräumen des anderen Weinerzeugers hergestellten Wein verwenden. Damit bestimmte Angaben, die wie beispielsweise „Weingut“ auf einen namensgebenden Weinbaubetrieb verweisen, verwendet werden dürfen, verlangt das Unionsrecht1 nämlich, dass das Weinbauerzeugnis ausschließlich aus Trauben gewonnen wird, die von Rebflächen dieses Betriebs stammen, und die Weinbereitung vollständig in diesem Betrieb erfolgt.

Das deutsche Verwaltungsgericht, bei dem der Rechtsstreit anhängig ist, hat den Gerichtshof zu der zuletzt genannten Voraussetzung befragt.

Der Gerichtshof stellt zunächst fest, dass nach dem Unionsrecht die fraglichen Angaben, die eine höhere Qualität gewährleisten sollen, Weinbauerzeugnissen mit geschützter Ursprungsbezeichnung (g. U.) oder geschützter geografischer Angabe (g. g. A.) vorbehalten sind. Das Verwaltungsgericht hat zu prüfen, ob die Rebflächen, die in 70 km Entfernung von dem namensgebenden Weinbaubetrieb angepachtet wurden, von dessen g. U. oder g. g. A. erfasst sind.

Des Weiteren stellt der Gerichtshof fest, dass der Begriff des Betriebs und damit die Verwendung der fraglichen Angaben nicht auf die Flächen beschränkt ist, die im Eigentum des namensgebenden Weinerzeugers stehen oder sich in deren Nähe befinden. Sie können sich auch auf Rebflächen erstrecken, die an einem anderen Ort gepachtet sind, sofern die Arbeiten der Bewirtschaftung und Ernte der Trauben unter der tatsächlichen Leitung, der engen und ständigen Überwachung und der Verantwortung des namensgebenden Weinerzeugers erfolgen.

Wenn diese Voraussetzungen bei der Kelterung in einer für einen kurzen Zeitraum bei einem anderen Betrieb angemieteten Kelteranlage erfüllt sind und diese Kelteranlage für die erforderliche Zeit ausschließlich dem namensgebenden Weinbaubetrieb zur Verfügung gestellt wird, dann kann davon ausgegangen werden, dass die Weinbereitung vollständig im namensgebenden Weinbaubetrieb erfolgt ist.

Dieselben Voraussetzungen gelten darüber hinaus dann, wenn Mitarbeiter des die Kelteranlage vermietenden Weinbaubetriebs die Kelterung durchführen. Dieser Vorgang muss nach den eigenen Vorgaben des namensgebenden Weinbaubetriebs erfolgen. Dieser Betrieb darf sich nicht darauf beschränken, auf etwaige Anweisungen des die Kelteranlage vermietenden Weinbaubetriebs zu verweisen

Tenor der Entscheidung:
1. Art. 54 Abs. 1 Unterabs. 2 der Delegierten Verordnung (EU) 2019/33 der Kommission vom 17. Oktober 2018 zur Ergänzung der Verordnung (EU) Nr. 1308/2013 des Europäischen Parlaments und des Rates in Bezug auf Anträge auf Schutz von Ursprungsbezeichnungen, geografischen Angaben und traditionellen Begriffen im Weinsektor, das Einspruchsverfahren, Einschränkungen der Verwendung, Änderungen der Produktspezifikationen, die Löschung des Schutzes sowie die Kennzeichnung und Aufmachung in der durch die Delegierte Verordnung (EU) 2021/1375 der Kommission vom 11. Juni 2021 geänderten Fassung

ist dahin auszulegen, dass

der Umstand, dass die Kelterung der von gepachteten Rebflächen stammenden Trauben in einer Anlage stattfindet, die der namensgebende Weinbaubetrieb für einen kurzen Zeitraum bei einem anderen Weinbaubetrieb anmietet, nicht ausschließt, dass die Weinbereitung als im Sinne dieser Bestimmung vollständig im namensgebenden Weinbaubetrieb erfolgt anzusehen ist, sofern diese Anlage für die für den Keltervorgang erforderliche Zeit ausschließlich dem namensgebenden Weinbaubetrieb zur Verfügung gestellt wird und dieser zuletzt genannte Betrieb die tatsächliche Leitung, die enge und ständige Überwachung und die Verantwortung für diesen Vorgang übernimmt.

2. Art. 54 Abs. 1 Unterabs. 2 der Delegierten Verordnung 2019/33 in der durch die Delegierte Verordnung 2021/1375 geänderten Fassung

ist dahin auszulegen, dass

eine Weinbereitung selbst dann vollständig im Sinne dieser Bestimmung im namensgebenden Weinbaubetrieb erfolgt, wenn der Vorgang der Kelterung von Mitarbeitern des dem namensgebenden Weinbaubetrieb die Kelteranlage vermietenden Weinbaubetriebs durchgeführt wurde, sofern der Inhaber des namensgebenden Weinbaubetriebs die tatsächliche Leitung, die enge und ständige Überwachung und die Verantwortung für diesen Vorgang übernimmt. Für die Frage, ob davon ausgegangen werden kann, dass die Weinbereitung im namensgebenden Weinbaubetrieb erfolgt, ist es irrelevant, dass der Weinbaubetrieb, der die Kelteranlage vermietet, ein Eigeninteresse an der Art und Weise der Durchführung der Kelterung hat, insbesondere aufgrund einer Vertragsklausel über einen ertrags- und qualitätsabhängigen Zuschlag je Hektoliter Wein.

Den Volltext der Entscheidung finden Sie hier:

EuGH
Urteil vom 16.11.2023
C-333/22
Ligue des droits humains (Prüfung der Datenverarbeitung durch die Aufsichtsbehörde)

Der EuGH hat entschieden, dass dem Betroffenen ein gerichtlicher Rechtsbehelf gegen eine Entscheidung der datenschutzrechtlichen Aufsichtsbehörde zustehen muss, wenn die Datenschutzbehörde mittelbar die Rechte des Betroffenen wahrgenommen hat.

Die Pressemitteilung des EuGH:
Verarbeitung personenbezogener Daten: Beschlüsse, die eine Aufsichtsbehörde im Rahmen der mittelbaren Ausübung von Rechten der betroffenen Person erlässt, sind rechtsverbindlich

Die Gründe und Beweise, auf die sie sich stützen, müssen gerichtlich überprüft werden können.

Ein Bürger beantragte zu beruflichen Zwecken bei der belgischen nationalen Sicherheitsbehörde die Erteilung einer Sicherheitsbescheinigung. Das Dokument wurde ihm mit der Begründung verweigert, dass er an Demonstrationen teilgenommen habe. Unter Berufung auf sein Recht auf Auskunft über seine Daten wandte sich der Bürger an das Organ für die Kontrolle polizeilicher Informationen, das ihm mitteilte, dass ihm nur ein mittelbarer Auskunftsanspruch zustehe und es selbst die Rechtmäßigkeit der Verarbeitung seiner Daten prüfen werde. Im Einklang mit dem belgischen Recht beschränkte sich das Organ nach Abschluss der Prüfung jedoch darauf, dem Bürger zu antworten, dass die erforderlichen Prüfungen durch die Aufsichtsbehörde erfolgt seien. Der Bürger erhob daraufhin Klage vor dem Gericht des ersten Rechtszugs, das sich für sachlich unzuständig erklärte.

Die vom Betroffenen und der Ligue des droits humains angerufene Cour d’appel de Bruxelles (Appellationshof Brüssel, Belgien) möchte vom Gerichtshof wissen, ob das Unionsrecht die Mitgliedstaaten dazu verpflichtet, der von der Verarbeitung ihrer Daten betroffenen Person die Möglichkeit zu geben, den Beschluss der Aufsichtsbehörde anzufechten, wenn diese Behörde die Rechte dieser Person in Bezug auf die Datenverarbeitung ausübt.

Der Gerichtshof ist der Auffassung, dass die zuständige Aufsichtsbehörde dadurch, dass sie die betroffene Person über das Ergebnis der Prüfungen unterrichtet, einen rechtsverbindlichen Beschluss erlässt. Gegen diesen Beschluss muss ein Rechtsbehelf eingelegt werden können, damit der Betroffene die Beurteilung der Rechtmäßigkeit der Datenverarbeitung durch die Aufsichtsbehörde und die Entscheidung zugunsten bzw. gegen die Ausübung von Abhilfebefugnissen anfechten kann.

Der Gerichtshof weist darauf hin, dass die Aufsichtsbehörde nach dem Unionsrecht verpflichtet ist, die betroffene Person „zumindest“ darüber zu unterrichten, „dass alle erforderlichen Prüfungen oder eine Überprüfung durch die Aufsichtsbehörde erfolgt sind“, und diese „über ihr Recht auf einen gerichtlichen Rechtsbehelf“ zu informieren. Wenn die im öffentlichen Interesse liegenden Zwecke dem nicht entgegenstehen, haben die Mitgliedstaaten jedoch vorzusehen, dass die Unterrichtung der betroffenen Person über diese Mindestangaben hinausgehen kann, damit die betroffene Person ihre Rechte verteidigen und entscheiden kann, ob sie das zuständige Gericht anruft.

Außerdem müssen die Mitgliedstaaten in den Fällen, in denen die der betroffenen Person übermittelten Informationen auf das strikte Minimum beschränkt wurden, dafür Sorge tragen, dass das zuständige Gericht bei der Prüfung der Stichhaltigkeit der Rechtfertigungsgründe für eine solche Beschränkung der Informationen die im öffentlichen Interesse liegenden Zwecke (Sicherheit des Staates, Verhütung, Aufdeckung, Untersuchung oder Verfolgung von Straftaten) und die Notwendigkeit, den Bürgern die Wahrung ihrer Verfahrensrechte zu gewährleisten, gegeneinander abwägen kann. Im Rahmen dieser gerichtlichen Kontrolle müssen die nationalen Vorschriften es dem Gericht ermöglichen, von den Gründen und Beweisen, auf die die Aufsichtsbehörde den Beschluss gestützt hat, aber auch von den daraus gezogenen Schlüssen Kenntnis zu nehmen.

Tenor der Entscheidung:

1. Art. 17 in Verbindung mit Art. 46 Abs. 1 Buchst. g, Art. 47 Abs. 1 und 2 und Art. 53 Abs. 1 der Richtlinie (EU) 2016/680 des Europäischen Parlaments und des Rates vom 27. April 2016 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten durch die zuständigen Behörden zum Zwecke der Verhütung, Ermittlung, Aufdeckung oder Verfolgung von Straftaten oder der Strafvollstreckung sowie zum freien Datenverkehr und zur Aufhebung des Rahmenbeschlusses 2008/977/JI des Rates sowie in Verbindung mit Art. 8 Abs. 3 und Art. 47 der Charta der Grundrechte der Europäischen Union ist dahin auszulegen, dass dass eine Person, wenn ihre Rechte in Anwendung von Art. 17 dieser Richtlinie über die zuständige Aufsichtsbehörde ausgeübt worden sind und diese Behörde sie über das Ergebnis der durchgeführten Prüfungen unterrichtet, über einen wirksamen gerichtlichen Rechtsbehelf gegen den Beschluss dieser Behörde, das Überprüfungsverfahren abzuschließen, verfügen muss.

2. Die Prüfung der zweiten Frage hat nichts ergeben, was geeignet wäre, die Gültigkeit von Art. 17 Abs. 3 der Richtlinie (EU) 2016/680 zu berühren.

Den Volltext der Entscheidung finden Sie hier:

EuGH
Urteil vom 09.11.2023
C-319/22
Gesamtverband Autoteile-Handel (Zugang zu Fahrzeuginformationen)

Der EuGH hat entschieden, dass Fahrzeughersteller unabhängigen Wirtschaftsakteuren die Fahrzeug-Identifizierungsnummern zur Verfügung stellen müssen. Der EuGH führt weiter aus, dass es sich in Kombination mit Halterdaten dabei um personenbezogene Daten im Sinne der DSGVO handelt, die Verpflichtung aber DSGVO-konform ist.

Die Pressemitteilung des EuGH:
Fahrzeughersteller müssen unabhängigen Wirtschaftsakteuren Fahrzeug-Identifizierungsnummern bereitstellen.

Ermöglicht diese Nummer, den Halter eines Fahrzeugs zu identifizieren, und stellt sie daher ein personenbezogenes Datum dar, ist diese Verpflichtung mit der Datenschutz-Grundverordnung vereinbar.

Fahrzeughersteller sind nach dem Unionsrecht verpflichtet, unabhängigen Wirtschaftsakteuren, zu denen Reparaturbetriebe, Ersatzteilhändler und Herausgeber technischer Informationen gehören, die Informationen zugänglich zu machen, die für die Reparatur und Wartung der von ihnen hergestellten Fahrzeuge erforderlich sind.

Ein deutscher Branchenverband des freien Kfz -Teilehandels ist der Ansicht, dass weder die Form noch der Inhalt der Informationen, die seinen Mitgliedern vom Lkw-Hersteller Scania zur Verfügung gestellt werden, dieser Verpflichtung genügen. Um dieser Situation abzuhelfen, rief der Verband ein deutsches Gericht an. Dieses hat sich seinerseits an den Gerichtshof gewandt, da es sich über den Umfang der Verpflichtungen von Scania nicht im Klaren war. Es möchte u. a. wissen, ob Fahrzeug-Identifizierungsnummern personenbezogene Daten darstellen, zu deren Übermittlung die Hersteller verpflichtet sind.

Der Gerichtshof entscheidet diese Frage dahingehend, dass Fahrzeughersteller verpflichtet sind, Zugang zu allen Fahrzeugreparatur- und -wartungsinformationen zu gewähren.

Diese Informationen müssen nicht unbedingt über eine Datenbankschnittstelle zugänglich gemacht werden, die eine maschinengesteuerte Abfrage und den Download der Ergebnisse ermöglicht. Ihr Format muss jedoch für die unmittelbare elektronische Weiterverarbeitung geeignet sein. So muss es das Format ermöglichen, die maßgeblichen Daten zu extrahieren und unmittelbar nach ihrer Erhebung zu speichern. Der Gerichtshof entscheidet außerdem, dass die Fahrzeughersteller verpflichtet sind, eine Datenbank zu erstellen, die die Informationen über die Teile umfasst, die durch Ersatzteile ausgetauscht werden können. Die Suche nach Informationen in dieser Datenbank muss anhand der Fahrzeug-Identifizierungsnummern und weiterer Merkmale wie der Motorleistung oder der Ausstattungsvariante des Fahrzeugs möglich sein.

Der Gerichtshof betont, dass die Fahrzeug-Identifizierungsnummern in der Datenbank enthalten sein müssen.

Diese Nummer ist als solche nicht personenbezogen. Sie wird jedoch zu einem personenbezogenen Datum, wenn derjenige, der Zugang zu ihr hat, über Mittel verfügt, die ihm die Identifizierung des Halters des Fahrzeugs ermöglichen, sofern der Halter eine natürliche Person ist. Der Gerichtshof stellt hierzu fest, dass der Halter wie auch die Fahrzeug-Identifizierungsnummer in der Zulassungsbescheinigung angegeben sind. Selbst in den Fällen, in denen die Fahrzeug-Identifizierungsnummern als personenbezogene Daten einzustufen sind, steht die Datenschutz-Grundverordnung dem nicht entgegen, dass Fahrzeughersteller verpflichtet sind, sie unabhängigen Wirtschaftsakteuren bereitzustellen.

Den Volltext der Entscheidung finden Sie hier:

EuGH
Urteil vom 09.11.2023
C-376/22
Google Ireland, Meta Platforms Ireland, TikTok

Der EuGH hat entschieden, dass Anbietern wie Google, Meta Platforms und Tik Tok zusätzliche Verpflichtungen in einem anderen Mitgliedstaat als dem ihres Sitzes nur im konkreten Einzelfall auferlegt werden dürfen.

Die Pressemitteilung des EuGH:
Bekämpfung rechtswidriger Inhalte im Internet: Ein Mitgliedstaat darf einem Anbieter einer Kommunikationsplattform, der in einem anderen Mitgliedstaat niedergelassen ist, keine generell-abstrakten Verpflichtungen auferlegen

Eine solche nationale Herangehensweise verstößt gegen das Unionsrecht, das den freien Verkehr von Diensten der Informationsgesellschaft durch den Grundsatz der Aufsicht im Herkunftsmitgliedstaat des betreffenden Dienstes gewährleiste.

Im Jahr 2021 hat Österreich ein Gesetz eingeführt, das inländische und ausländische Anbieter von Kommunikationsplattformen verpflichtet, Melde- und Überprüfungsverfahren für potenziell rechtswidrige Inhalte einzurichten. Dieses Gesetz sieht auch eine regelmäßige und transparente Veröffentlichung von Meldungen rechtswidriger Inhalte vor. Eine Verwaltungsbehörde stellt die Einhaltung der gesetzlichen Bestimmungen sicher und kann Geldstrafen in Höhe von bis zu 10 Mio. Euro verhängen.

Google Ireland, Meta Platforms Ireland und TikTok, drei in Irland ansässige Plattformen, machen geltend, dass das österreichische Gesetz gegen das Unionsrecht, konkret gegen die Richtlinie über Dienste der Informationsgesellschaft , verstoße.

Hierzu von einem österreichischen Gericht befragt, weist der Gerichtshof auf das Ziel der Richtlinie hin: Schaffung eines rechtlichen Rahmens, um den freien Verkehr von Diensten der Informationsgesellschaft zwischen den Mitgliedstaaten sicherzustellen. Unter diesem Gesichtspunkt beseitigt die Richtlinie durch den Grundsatz der Aufsicht im Herkunftsmitgliedstaat die Hemmnisse, die die verschiedenen nationalen, auf diese Dienste anwendbaren Regelungen darstellen.

Zwar können andere Mitgliedstaaten als der Herkunftsmitgliedstaat des betreffenden Dienstes unter eng gefassten Bedingungen und in bestimmten Fällen tatsächlich Maßnahmen ergreifen, um die öffentliche Ordnung, den Schutz der öffentlichen Gesundheit, die öffentliche Sicherheit oder den Schutz der Verbraucher zu gewährleisten. Diese konkreten Ausnahmen sind der Europäischen Kommission und dem Herkunftsmitgliedstaat mitzuteilen.

Jedoch dürfen andere Mitgliedstaaten als der Herkunftsmitgliedstaat des betreffenden Dienstes keine generell-abstrakten Maßnahmen ergreifen, die unterschiedslos für alle Anbieter einer Kategorie von Diensten der Informationsgesellschaft gelten. Unterschiedslos bedeutet ohne Unterschied zwischen in diesem Mitgliedstaat ansässigen Diensteanbietern und solchen, die in anderen Mitgliedstaaten niedergelassen sind.

Hätten diese Mitgliedstaaten die Möglichkeit, solche generell-abstrakten Verpflichtungen zu erlassen, würde dies nämlich den Grundsatz der Aufsicht im Herkunftsmitgliedstaat des betreffenden Dienstes, auf dem die Richtlinie beruht, in Frage stellen. Wäre der Bestimmungsmitgliedstaat (hier Österreich) ermächtigt, solche Maßnahmen zu erlassen, würde in die Regelungskompetenz des Herkunftsmitgliedstaats (hier Irlands) eingegriffen. Im Übrigen würde dies das gegenseitige Vertrauen zwischen den Mitgliedstaaten untergraben und gegen den Grundsatz der gegenseitigen Anerkennung verstoßen. Zudem unterlägen die betreffenden Plattformen unterschiedlichen Rechtsvorschriften, was auch dem freien Dienstleistungsverkehr und damit dem reibungslosen Funktionieren des Binnenmarkts zuwiderlaufen würde.

Den Volltext der Entscheidung finden Sie hier:

EuGH-Generalanwalt
Schlussanträge vom 26.10.2023
Verbundene Rechtssachen C‑182/22 und C‑189/22

Der EuGH-Generalanwalt kommt in seinen Schlussanträgen zu dem Ergebnis, dass ein Anspruch auf immateriellen Schadensersatz aus Art. 82 DSGVO beim Diebstahl sensibler personenbezogener Daten einen Verstoß gegen die Bestimmungen der DSGVO, einen konkreten Schaden und einen Kausalzusammenhang voraussetzt.

Ergebnis:
Art. 82 Abs. 1 der Verordnung (EU) 2016/679 des Europäischen Parlaments und des Rates vom 27. April 2016 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten, zum freien Datenverkehr und zur Aufhebung der Richtlinie 95/46/EG (Datenschutz-Grundverordnung)

ist wie folgt auszulegen:

Der Diebstahl sensibler personenbezogener Daten einer betroffenen Person durch einen unbekannten Straftäter kann zu einem Anspruch auf immateriellen Schadensersatz führen, wenn der Nachweis eines Verstoßes gegen die Datenschutz-Grundverordnung, eines konkreten erlittenen Schadens und eines Kausalzusammenhangs zwischen dem Schaden und diesem Verstoß erbracht wird. Für die Gewährung eines solchen Schadensersatzes ist es nicht erforderlich, dass der Straftäter die Identität der betroffenen Person angenommen hat, und der Besitz von Daten, die die betroffene Person identifizierbar machen, stellt für sich genommen keinen Identitätsdiebstahl dar.

Rechtliche Würdigung:
Das vorlegende Gericht möchte mit seiner fünften Frage wissen, ob der einfache Diebstahl der sensiblen personenbezogenen Daten einer betroffenen Person durch einen unbekannten Straftäter einen Identitätsdiebstahl darstellt, der einen Schadensersatzanspruch begründet, oder ob der Straftäter für die Annahme eines Identitätsdiebstahls die Identität der betroffenen Person tatsächlich annehmen oder zu diesem Zweck Anstrengungen unternehmen muss. Diese Frage wird im Zusammenhang mit der Feststellung gestellt, dass unbekannte Straftäter bestimmte sensible personenbezogene Daten von JU und SO aus der Trading-App von Scalable Capital gestohlen haben. Obwohl keine weitere (missbräuchliche) Verwendung der Daten erfolgt zu sein scheint, kann, da die Identität der Straftäter unbekannt ist und diese noch nicht ergriffen worden sind, eine solche künftige (missbräuchliche) Verwendung nicht ausgeschlossen werden.

23. Art. 82 der DSGVO bestätigt allgemein den Anspruch jeder betroffenen Person, der wegen eines Verstoßes gegen die DSGVO „ein materieller oder immaterieller Schaden“ entstanden ist, auf Schadensersatz und teilt die Haftung zwischen dem (den) Verantwortlichen und/oder dem (den) Auftragsverarbeiter(n) auf. Diese Bestimmung benennt weder die genaue Art noch die Form eines solchen Schadens. Die DSGVO verweist zur Definition der Bedeutung und des Anwendungsbereichs des Begriffs „immaterieller Schaden“ nicht auf das Recht der Mitgliedstaaten. Dieser Begriff ist daher als autonomer Begriff des Unionsrechts zu behandeln und in allen Mitgliedstaaten einheitlich auszulegen.

24. Nach Art. 82 der DSGVO ist Schadensersatz zu leisten, wenn der Nachweis eines Verstoßes gegen die DSGVO, eines „tatsächlich erlittenen Schadens“ und eines Kausalzusammenhangs zwischen diesem Verstoß und diesem Schaden erbracht wird. Die DSGVO sieht kein System der verschuldensunabhängigen Haftung vor. Die Ausgleichsfunktion der durch Art. 82 Abs. 1 der DSGVO eingeführten Regelung schließt auch den Zuspruch von Strafschadensersatz aus. Eine solche Entschädigung muss vollständig und wirksam sein und damit „den aufgrund des Verstoßes gegen [die DSGVO] konkret erlittenen Schaden in vollem Umfang ausgleichen“. Der immaterielle Schaden, den die betroffene Person erlitten hat, braucht keinen bestimmten Grad an Erheblichkeit zu erreichen. Auch wenn es keine Geringfügigkeitsschwelle für die Höhe des immateriellen Schadens gibt, bedarf es eindeutiger und präziser Beweise dafür, dass die betroffene Person einen solchen Schaden erlitten hat. Ein potenzieller oder hypothetischer Schaden oder die bloße Beunruhigung wegen des Diebstahls der eigenen personenbezogenen Daten reicht nicht aus.

25. Art. 82 Abs. 3 der DSGVO befreit den Verantwortlichen oder den Auftragsverarbeiter von der Haftung, „wenn er nachweist, dass er in keinerlei Hinsicht für den Umstand, durch den der Schaden eingetreten ist, verantwortlich ist“. Der Gerichtshof hatte bisher noch keine Gelegenheit, Art. 82 Abs. 3 der DSGVO ausführlich zu prüfen. Eine wörtliche Auslegung dieser Bestimmung scheint darauf hinauszulaufen, dass jedes fahrlässige (Mit‑)Verschulden oder Versehen des Verantwortlichen oder des Auftragsverarbeiters ausreicht, um die Anwendung der Befreiung auszuschließen. Zudem kann die dem (den) Verantwortlichen oder dem (den) Auftragsverarbeiter(n), der (die) von der Befreiung Gebrauch machen möchte(n), nach dieser Bestimmung obliegende Beweislast die Umsetzung fortlaufender Maßnahmen zur Vorbeugung gegen Datenschutzverletzungen auferlegen.

26. Der Diebstahl der personenbezogenen Daten einer betroffenen Person begründet einen Anspruch auf Ersatz des immateriellen Schadens nach Art. 82 Abs. 1 der DSGVO, wenn die drei im Urteil Österreichische Post aufgestellten Voraussetzungen erfüllt sind. Der siebte Erwägungsgrund der DSGVO bestimmt: „Natürliche Personen sollten die Kontrolle über ihre eigenen Daten besitzen.“ Der Umstand, dass betroffene Personen „daran gehindert werden, die sie betreffenden personenbezogenen Daten zu kontrollieren“, oder dass natürliche Personen die „Kontrolle über ihre personenbezogenen Daten“ verlieren, kann zu einem immateriellen Schaden führen. Dies ist der Kontext, in dem das vorlegende Gericht fragt, ob der Diebstahl personenbezogener Daten einen Identitätsdiebstahl darstellt.

27. Die operativen Bestimmungen der DSGVO erwähnen den Identitätsdiebstahl nicht und definieren ihn auch nicht. Die Erwägungsgründe 75 und 85 der DSGVO erwähnen den „Identitätsdiebstahl oder ‑betrug“ nur. Der 75. Erwägungsgrund nennt in einer nicht erschöpfenden Liste von Beispielen den „Identitätsdiebstahl oder ‑betrug“ als ein Beispiel für die Risiken für die Ausübung der Rechte und Freiheiten natürlicher Personen aufgrund der Verarbeitung ihrer personenbezogenen Daten. In ähnlicher Weise erwähnt der 85. Erwägungsgrund der DSGVO den „Identitätsdiebstahl oder ‑betrug“ als ein Beispiel für den Schaden, der durch das Versäumnis entsteht, auf eine Verletzung des Schutzes personenbezogener Daten rechtzeitig und angemessen zu reagieren.

28. In einer Reihe von Erwägungsgründen und Bestimmungen in anderen Rechtsvorschriften der Union werden Begriffe wie „Identitätsdiebstahl“, „Identitätsbetrug“ und „Identitätsdiebstahl oder ‑betrug“ erwähnt. Ich habe keine Bestimmung des Unionsrechts gefunden, in der die diese Begriffe definiert werden(33). Der Unionsgesetzgeber nennt diese Begriffe daher beispielhaft.

29. Dies wird auch aus einer Betrachtung der verschiedenen Sprachfassungen dieser Begriffe in den Erwägungsgründen 75 und 85 der DSGVO ersichtlich. Während die deutsche (Identitätsdiebstahl oder –betrug), die englische (identity theft or fraud), die estnische (identiteedivargust või –pettust), die irische (goid aitheantais nó calaois aitheantais), die litauische (būti pavogta ar suklastota tapatybė), die niederländische (identiteitsdiefstal of –fraude), die polnische (kradzieżą tożsamości lub oszustwem dotyczącym tożsamości), die rumänische (furt sau fraudă a identității) und die slowakische (krádeži totožnosti alebo podvodu) Sprachfassung weitgehend ähnlich sind, weichen andere Sprachfassungen in unterschiedlichem Maß hiervon ab: die tschechische (krádeži či zneužití identity), die französische (vol ou une usurpation d’identité), die griechische (κατάχρηση ή υποκλοπή ταυτότητας), die portugiesische (usurpação ou roubo da identidade), die italienische (furto o usurpazione d’identità) und die spanische (usurpación de identidad o fraude). Die verschiedenen Sprachfassungen der maßgeblichen Erwägungsgründe der DSGVO deuten darauf hin, dass sich die Begriffe Identitätsdiebstahl, Identitätsbetrug, Identitätsmissbrauch, missbräuchliche Verwendung der Identität, Identitätsaneignung und Identitätsanmaßung überschneiden und dass sie zumindest zu einem gewissen Grad als austauschbar angesehen werden können. Folglich unterscheiden die Erwägungsgründe 75 und 85 der DSGVO entgegen dem in Nr. 18 der vorliegenden Schlussanträge dargelegten Vorbringen von SO nicht klar zwischen Identitätsdiebstahl und Identitätsbetrug.

30. Die Erwägungsgründe 75 und 85 unterscheiden zwischen dem Beispiel des „Verlusts der Kontrolle“ oder der Unmöglichkeit, personenbezogene Daten zu „kontrollieren“, und dem Beispiel des „Identitätsdiebstahls oder ‑betrugs“. Daher stellt der Diebstahl personenbezogener Daten allein selbst dann keinen Identitätsdiebstahl dar, wenn dieser Diebstahl zu einer künftigen (missbräuchlichen) Verwendung dieser Daten führen kann. Ein Identitätsdiebstahl erfordert eine zusätzliche Handlung oder einen zusätzlichen Schritt mit über den Diebstahl der personenbezogenen Daten hinausgehenden, nachteiligen Auswirkungen auf die betroffene Person. Wer die personenbezogenen Daten einer betroffenen Person stiehlt, muss diese Daten ohne Einwilligung der betroffenen Person (missbräuchlich) zu rechtswidrigen Zwecken verwenden oder konkrete Schritte hierzu unternehmen. Mit einer solchen Handlung ist typischerweise ein Betrug oder eine andere Form der Täuschung verbunden, und sie wird im Allgemeinen zur Erzielung eines finanziellen oder anderweitigen Gewinns durchgeführt oder um der betroffenen Person oder ihrer Umgebung Schaden zuzufügen.

31. Aus den vorstehenden Erwägungen folgt, dass der Diebstahl personenbezogener Daten zwar keinen Identitätsdiebstahl oder ‑betrug darstellt, jedoch zur Entstehung eines immateriellen Schadens und zu einem Schadensersatzanspruch nach Art. 82 Abs. 1 der DSGVO führen kann. Der Nachweis eines immateriellen Schadens kann einfacher zu erbringen sein, wenn festgestellt wird, dass die betroffene Person infolge des Diebstahls ihrer personenbezogenen Daten Opfer eines Identitätsdiebstahls oder ‑betrugs geworden ist. Ein Anspruch auf Ersatz des immateriellen Schadens nach Art. 82 Abs. 1 der DSGVO wegen des Diebstahls personenbezogener Daten hängt jedoch nicht vom Vorliegen eines Identitätsdiebstahls oder ‑betrugs ab. Ein immaterieller Schaden und der Schadensersatzanspruch nach Art. 82 Abs. 1 der DSGVO sind unter Berücksichtigung aller Umstände einzelfallbezogen zu beurteilen.

Den Volltext der Schlussanträge finden Sie hier:

EuGH
Urteil vom 19.10.2023
C-655/21
Verhältnismäßigkeit der Strafe bei Markenfälschung

Der EuGH hat entschieden, dass eine nationale Regelung, die eine Mindestfreiheitsstrafe von 5 Jahren bei Markenfälschungen vorsieht, unionsrechtswidrig ist, da dies unverhältnismäßig sein kann.

Die Pressemitteilung des EuGH:
Eine Mindestfreiheitsstrafe von fünf Jahren im Falle der Markenfälschung kann sich als unverhältnismäßig herausstellen

Ein Strafverfahren wegen Markenfälschung wurde in Bulgarien gegen eine Eigentümerin eines Unternehmens eingeleitet, das Bekleidung verkauft. Die bulgarischen Behörden führten in einem von diesem Unternehmen gemieteten Geschäftslokal eine Kontrolle durch. Sie stellten fest, dass die auf den Waren angebrachten Zeichen bereits eingetragenen Marken ähnlich waren. Die Händlerin wurde wegen Benutzung der Marken ohne Zustimmung ihrer Inhaber vor das zuständige bulgarische Gericht gestellt. Das bulgarische Recht sieht Vorschriften vor, die dasselbe Verhalten sowohl als Straftat als auch als Ordnungswidrigkeit definieren.

Das bulgarische Gericht ersucht den Gerichtshof um Vorabentscheidung in Bezug auf die Vereinbarkeit des bulgarischen Rechts zur Ahndung der Markenfälschung mit dem Unionsrecht, da die vorgesehenen Sanktionen hoch seien und das Fehlen eines klaren und eindeutigen Kriteriums für die Einstufung als Straftat oder Ordnungswidrigkeit zu einander widersprechenden Praktiken und zu einer Ungleichbehandlung von Einzelnen führe, die praktisch die gleichen Handlungen begangen hätten.

Erstens weist der Gerichtshof darauf hin, dass die Markenfälschung vom nationalen Recht sowohl als Ordnungswidrigkeit als auch als Straftat eingestuft werden kann. Insoweit betont er, dass nach dem Grundsatz der Gesetzmäßigkeit im Zusammenhang mit Straftaten und Strafen Strafvorschriften hinsichtlich der Definition sowohl des Straftatbestands als auch des Strafmaßes zugänglich, vorhersehbar und klar sein müssen. So muss jeder Bürger erkennen, welches Verhalten seine strafrechtliche Verantwortlichkeit begründet. Dass Markenfälschung in Bulgarien auch ordnungswidrigkeitenrechtliche Sanktionen nach sich ziehen kann, bedeutet keinen Verstoß gegen diesen Grundsatz.

Zweitens verstößt nach Ansicht des Gerichtshofs eine nationale Rechtsvorschrift, die im Fall der wiederholten oder mit schwerwiegenden schädigenden Folgen einhergehenden Benutzung einer Marke eine Mindestfreiheitsstrafe von fünf Jahren vorsieht, gegen das Unionsrecht. Der Gerichtshof erläutert, dass die Mitgliedstaaten, auch wenn die Richtlinie zur Durchsetzung der Rechte des geistigen Eigentums strafrechtlich nicht zur Anwendung kommt, aufgrund des TRIPS-Übereinkommens , das sowohl die Union als auch die Mitgliedstaaten bindet, eine Haftstrafe für bestimmte Markenfälschungsstraftaten vorsehen können. In Ermangelung von Rechtsvorschriften auf europäischer Ebene sind die Mitgliedstaaten zwar befugt, die Art und Höhe der anwendbaren Sanktionen zu wählen. Diese repressiven Maßnahmen müssen jedoch verhältnismäßig sein. Wird aber für alle Fälle der ohne Zustimmung erfolgten Benutzung einer Marke im geschäftlichen Verkehr eine Freiheitsstrafe von mindestens fünf Jahren vorgesehen, so ist diesem Gebot nicht Genüge getan. Eine solche Regelung berücksichtigt nämlich nicht die etwaigen spezifischen Umstände der Begehung dieser Straftaten.

Den Volltext der Entscheidung finden Sie hier:

EuGH
Beschluss vom 16.10.2023
C-761/22
Verband Wirtschaft im Wettbewerb ./. Roller GmbH & Co. KG

Der EuGH hat entschieden, dass die Werbung für Backöfen und Dunstabzugshauben die Energieeffizienzklasse und das Spektrum der Effizienzklassen enthalten muss.

Die Pressemitteilung des EuGH:
In der Werbung für Haushaltsbacköfen und -dunstabzugshauben muss sowohl auf die Energieeffizienzklasse dieser Produkte als auch auf das Spektrum der Effizienzklassen hingewiesen werden

Der deutsche Möbel-Discounter Roller bewarb auf seiner Website eine Küchenzeile. In dieser Werbung war die Energieeffizienzklasse des Einbau-Backofens und der Haushaltsdunstabzugshaube angegeben, nicht aber das Spektrum der Energieeffizienzklassen auf dem Etikett der betreffenden Geräte.

Ein Verband zur Bekämpfung unlauteren Wettbewerbs erhob bei einem deutschen Gericht Klage auf künftige Unterlassung solcher Werbung.

Das deutsche Gericht möchte vom Gerichtshof wissen, ob die Lieferanten und Händler nach dem Unionsrecht verpflichtet sind, in ihrer Werbung für Backöfen und Dunstabzugshauben die Energieeffizienzklasse und das Spektrum der Energieeffizienzklassen anzugeben. Falls dies zu bejahen sein sollte, möchte es wissen, wie sie ihrer Verpflichtung nachkommen können.

In seinem Beschluss vom 5. Oktober 2023 stellt der Gerichtshof fest, dass die Lieferanten und Händler eines Produkts in ihrer visuell wahrnehmbaren Werbung oder in ihrem technischen Werbematerial auf die
Energieeffizienzklasse dieses Produkts und das Spektrum der auf dem Etikett der betreffenden Produktgruppe verfügbaren Effizienzklassen hinweisen müssen. Dies gilt auch dann, wenn die Kommission
noch keinen delegierten Rechtsakt erlassen hat, in dem festgelegt wird, wie ein solcher Hinweis vorzunehmen ist.

In Bezug auf Haushaltsbacköfen und -dunstabzugshauben gibt es bislang keinen solchen delegierten Rechtsakt.

Unter diesen Umständen verfügen die Lieferanten und Händler über einen gewissen Spielraum hinsichtlich der Art und Weise, in der sie auf die Energieeffizienzklassen und ‑spektren hinweisen; der Ausübung dieses Spielraums sind jedoch Grenzen gesetzt.

So muss die Gestaltung der Energieeffizienzklassen und ‑spektren in der Werbung möglichst der Gestaltung auf dem Energieetikett der betreffenden Backöfen oder Dunstabzugshauben entsprechen. Ist eine solche Gestaltung nicht möglich, müssen Klasse und Spektrum jedenfalls lesbar und sichtbar in einer Weise angegeben werden, die den Anforderungen an die Information des Verbrauchers genügt.

Der Gerichtshof nennt hierfür einige Beispiele, unbeschadet anderer denkbarer Lösungen: In der Werbung können die Energieeffizienzklasse und das Spektrum der Effizienzklassen lesbar und sichtbar mittels einer für einen normal informierten, angemessen aufmerksamen und verständigen Durchschnittsverbraucher leicht verständlichen Wendung (wie etwa: „Die Energieeffizienzklasse dieses Modells/Produkts ist [einschlägiger Buchstabe] innerhalb eines Spektrums von [erster Buchstabe] bis [letzter Buchstabe]“) angegeben oder der Buchstabe der betreffenden Klasse in einem Pfeil mit der Hintergrundfarbe des entsprechenden Buchstabens des Spektrums der Effizienzklassen wiedergegeben und neben diesem Pfeil der Umfang des Spektrums mittels einer Angabe oder eines äquivalenten Symbols präzisiert werden, die oder das für einen solchen Verbraucher leicht verständlich ist. Positionierung, Schriftart und Schriftgröße dieser Hinweise sind so zu wählen, dass sie lesbar und sichtbar sind und somit für den Verbraucher klar aus der Werbung hervorgehen.

Tenor der Entscheidung:
Art. 6 Abs. 1 Buchst. a der Verordnung (EU) 2017/1369 des Europäischen Parlaments und des Rates vom 4. Juli 2017 zur Festlegung eines Rahmens für die Energieverbrauchskennzeichnung und zur Aufhebung der Richtlinie 2010/30/EU

ist dahin auszulegen, dass

die Lieferanten und Händler eines Produkts verpflichtet sind, in ihrer visuell wahrnehmbaren Werbung oder ihrem technischen Werbematerial für ein bestimmtes Produktmodell auf dessen Energieeffizienzklasse und auf das Spektrum der auf dem Etikett der betreffenden Produktgruppe verfügbaren Effizienzklassen hinzuweisen, wenn diese Produktgruppe Gegenstand eines auf der Grundlage der Richtlinie 2010/30/EU des Europäischen Parlaments und des Rates vom 19. Mai 2010 über die Angabe des Verbrauchs an Energie und anderen Ressourcen durch energieverbrauchsrelevante Produkte mittels einheitlicher Etiketten und Produktinformationen erlassenen delegierten Rechtsakts und nicht eines auf der Grundlage der Verordnung 2017/1369 erlassenen delegierten Rechtsakts ist.

Sieht dieser delegierte Rechtsakt nicht vor, in welcher Weise die Lieferanten und Händler einen solchen Hinweis vornehmen müssen, und ist für die betreffende Produktgruppe noch kein delegierter Rechtsakt auf der Grundlage von Art. 16 der Verordnung 2017/1369 erlassen worden, müssen sie in ihrer visuell wahrnehmbaren Werbung und ihrem technischen Werbematerial auf die Energieeffizienzklasse dieses Produkts und das Spektrum der Effizienzklassen in gleicher Weise hinweisen wie auf dem Etikett der betreffenden Produktgruppe, sofern eine solche Gestaltung angesichts von Art, Größe und kommerziellen Erfordernissen der Werbung und des Werbematerials lesbar und sichtbar bleibt.

Ist eine solche Gestaltung nicht möglich, müssen sich die Lieferanten und Händler jedenfalls für eine äquivalente Gestaltung entscheiden, die den Anforderungen an die Information des Verbrauchers sowie den aus der Verordnung 2017/1369 resultierenden Erfordernissen der Lesbarkeit und Sichtbarkeit entspricht.

EuGH
Urteil vom 12.10.2023
C-286/22
KBC Verzekeringen

Der EuGH hat entschieden, dass E-Bikes keine Kraftfahrzeuge sind. Ein Fahrrad mit Elektrounterstützung fällt nicht unter die Kfz-Haftpflichtversicherungspflicht.

Die Pressemitteilung des EuGH:
Ein Fahrrad mit Elektrounterstützung fällt nicht unter die Kfz-Haftpflichtversicherungspflicht, da es nicht ausschließlich maschinell angetrieben wird

Ein Radfahrer auf einem Fahrrad mit Elektrounterstützung wurde im öffentlichen Straßenverkehr in der Nähe von Brügge (Belgien) Opfer eines schweren Unfalls: Er wurde von einem Auto angefahren, schwer verletzt und verstarb einige Monate später. Im späteren Gerichtsverfahren zur Feststellung eines möglichen Entschädigungsanspruchs wurden unterschiedliche Auffassungen zur rechtlichen Einordnung des Fahrrads mit Elektrounterstützung vertreten: Ist es als „Fahrzeug“ anzusehen? Im vorliegenden Fall bot der Motor, auch bei Nutzung der BoostFunktion, nur eine Tretunterstützung. Außerdem konnte diese Funktion nur nach Einsatz von Muskelkraft aktiviert
werden (durch Treten, Schieben oder Anschieben des Fahrrads). Die rechtliche Einordnung des betreffenden Fahrrads ist entscheidend für die Feststellung, ob der Geschädigte Fahrer eines „Kraftfahrzeugs“ war oder ob er als „schwacher Verkehrsteilnehmer“ nach belgischem Recht Anspruch auf eine automatische Entschädigung hatte.

Da der Begriff „Fahrzeug“ in den einschlägigen belgischen Rechtsvorschriften demjenigen in einer europäischen Richtlinie im Bereich der Kraftfahrzeug-Haftpflichtversicherung entspricht, hat der belgische Kassationshof beschlossen, dem Gerichtshof eine Frage zur Auslegung dieses Begriffs vorzulegen.

In seinem heutigen Urteil stellt der Gerichtshof zunächst fest, dass die Richtlinie keinen Hinweis darauf enthält, ob ein „Fahrzeug“ ausschließlich maschinell angetrieben sein muss.

Er legt jedoch dar, dass sich die Richtlinie auf die „Kfz-Haftpflichtversicherung“ bezieht; dieser Ausdruck bezeichnet im allgemeinen Sprachgebrauch üblicherweise eine Haftpflichtversicherung für den Verkehr von Gefährten wie Motorrädern, Personenkraftwagen und Lastkraftwagen, die ausschließlich maschinell angetrieben werden.

Der Gerichtshof weist auch auf das Ziel der Richtlinie hin, nämlich den Schutz der Opfer von durch
Kraftfahrzeuge verursachten Verkehrsunfällen. Dieses Ziel erfordert nicht, dass Fahrräder mit
Elektrounterstützung unter den Begriff „Fahrzeug“ im Sinne der Richtlinie fallen.

Gefährte, die nicht ausschließlich maschinell angetrieben werden, wie etwa Fahrräder mit Elektrounterstützung, die ohne Treten auf eine Geschwindigkeit von bis zu 20 km/h beschleunigt werden können, sind nämlich nicht geeignet, Dritten Personen- oder Sachschäden zuzufügen, die mit denen vergleichbar sind, die von Motorrädern, Personenkraftwagen, Lastkraftwagen oder anderen ausschließlich maschinell angetriebenen Fahrzeugen verursacht werden können, da letztere wesentlich schneller fahren können.


Tenor der Entscheidung:
Art. 1 Nr. 1 der Richtlinie 2009/103/EG des Europäischen Parlaments und des Rates vom 16. September 2009 über die Kraftfahrzeug-Haftpflichtversicherung und die Kontrolle der entsprechenden Versicherungspflicht

ist dahin auszulegen, dass

ein Fahrrad, dessen Elektromotor nur eine Tretunterstützung bietet und das über eine Funktion verfügt, mit der es ohne Treten auf eine Geschwindigkeit von bis zu 20 km/h beschleunigt werden kann, wobei aber diese Funktion nur nach Einsatz von Muskelkraft aktiviert werden kann, kein „Fahrzeug“ im Sinne dieser Bestimmung ist.


Den Volltext der Entscheidung finden Sie hier: