Skip to content

EuGH-Generalanwalt: Zur Haftung des Betreibers eines Online-Marktplatzes nach der DSGVO und der Richtlinie über den elektronischen Geschäftsverkehr

EuGH-Generalanwalt
Schlussansträge vom 06.02.2025
C-492/23
Russmedia Digital und Inform Media Press


Der EuGH-Generalanwalt hat sich vorliegend mit der Haftung des Betreibers eines Online-Marktplatzes nach der DSGVO und der Richtlinie über den elektronischen Geschäftsverkehr befasst.

Die Pressemitteilung des EuGH:
Elektronischer Geschäftsverkehr und DSGVO: Generalanwalt Szpunar nimmt Klarstellungen zur Haftung des Betreibers eines Online-Marktplatzes vor

Im Jahr 2018 wurde auf der Website Publi24.ro (Website der Gesellschaft Russmedia), einem Online-Marktplatz, eine Anzeige veröffentlicht, aus der hervorging, dass eine Person (X) sexuelle Dienstleistungen anbiete. Die Anzeige enthielt Fotos und eine Telefonnummer, die aus den sozialen Netzwerken des Opfers stammten und die ohne seine Zustimmung verwendet wurden. Russmedia entfernte zwar die Anzeige rasch, doch wurde sie auf andere Websites kopiert. X erhob Klage gegen Russmedia.

Das Berufungsgericht Cluj (Rumänien) hat den Gerichtshof der Europäischen Union angerufen, um die Haftung des Betreibers eines Online-Marktplatzes für diesen Fall zu klären.

Generalanwalt Maciej Szpunar geht in seinen Schlussanträgen, um die Vorlagefragen des vorlegenden Gerichts zu beantworten, auf den Zusammenhang zwischen der Richtlinie über den elektronischen Geschäftsverkehr und der Datenschutz-Grundverordnung (DSGVO) ein.

In Bezug auf die Richtlinie über den elektronischen Geschäftsverkehr weist er darauf hin, dass ein Betreiber eines Online-Marktplatzes wie Russmedia in den Genuss einer Haftungsbefreiung für den Inhalt der auf seinem Marktplatz veröffentlichten Anzeigen kommen könne, sofern seine Rolle neutral und rein technisch bleibe.

Dies gelte nicht, wenn aktiv in die Verwaltung der Inhalte, deren Änderung oder die Werbung für die Inhalte eingegriffen werde.

Zur DSGVO stellt der Generalanwalt klar, dass der Betreiber eines Online-Marktplatzes für die in den Anzeigen enthaltenen personenbezogenen Daten als Auftragsverarbeiter agiere. Folglich sei der Betreiber nicht verpflichtet, vor der Veröffentlichung systematisch den Inhalt der Anzeigen zu überprüfen. Er müsse jedoch organisatorische und technische Maßnahmen zum Schutz dieser Daten ergreifen. Demgegenüber vertritt der Generalanwalt die Ansicht, dass der Betreiber des Online-Marktplatzes in Bezug auf die personenbezogenen Daten der auf diesem Online-Marktplatz registrierten inserierenden Nutzer als Verantwortlicher handele und in diesem Rahmen die Identität der inserierenden Nutzer überprüfen müsse.


Die vollständigen Schlussanträge finden Sie hier:


Irische Datenschutzbehörde: Bußgeld in Höhe von 251 Millionen EURO gegen Meta wegen Datenschutzverstößen im Zusammenhang mit einem Facebook-Datenleck

Die Irische Datenschutzbehörde hate eine Bußgeld in Höhe von 251 Millionen EURO gegen Meta wegen Datenschutzverstößen im Zusammenhang mit einem Facebook-Datenleck verhängt.

Die Pressmeitteilung der Irischen Datenschutzbehörde:
Irish Data Protection Commission fines Meta €251 Million

The Irish Data Protection Commission (DPC) has today announced its final decisions following two inquiries into Meta Platforms Ireland Limited (‘MPIL’). These own-volition inquiries were launched by the DPC following a personal data breach, which was reported by MPIL in September 2018.

This data breach impacted approximately 29 million Facebook accounts globally, of which approximately 3 million were based in the EU/EEA. The categories of personal data affected included: user’s full name; email address; phone number; location; place of work; date of birth; religion; gender; posts on timelines; groups of which a user was a member; and children’s personal data. The breach arose from the exploitation by unauthorised third parties of user tokens[1] on the Facebook platform. The breach was remedied by MPIL and its US parent company shortly after its discovery.

The decisions, which were made by the Commissioners for Data Protection, Dr. Des Hogan and Dale Sunderland, included a number of reprimands and an order to pay administrative fines totalling €251 million.

The DPC submitted a draft decision to the GDPR cooperation mechanism in Sept 2024, as required under Article 60 of the GDPR[2]. No objections to the DPC’s draft decision were raised. The DPC is grateful for the cooperation and assistance of its peer EU/EEA supervisory authorities in this case.

The DPC’s final decisions record the following findings of infringement of the GDPR:

Decision 1
Article 33(3) GDPR - By not including in its breach notification all the information required by that provision that it could and should have included. The DPC reprimanded MPIL for failures in regards to this provision and ordered it to pay administrative fines of €8 million.
Article 33(5) GDPR - By failing to document the facts relating to each breach, the steps taken to remedy them, and to do so in a way that allows the Supervisory Authority to verify compliance. The DPC reprimanded MPIL for failures in regards to this provision and ordered it to pay administrative fines of €3 million.
Decision 2
Article 25(1) GDPR - By failing to ensure that data protection principles were protected in the design of processing systems. The DPC found that MPIL had infringed this provision, reprimanded MPIL, and ordered it to pay administrative fines of €130 million.
Article 25(2) - By failing in their obligations as controllers to ensure that, by default, only personal data that are necessary for specific purposes are processed. The DPC found that MPIL had infringed these provisions, reprimanded MPIL, and ordered it to pay administrative fines of €110 million.
DPC Deputy Commissioner Graham Doyle commented:

“This enforcement action highlights how the failure to build in data protection requirements throughout the design and development cycle can expose individuals to very serious risks and harms, including a risk to the fundamental rights and freedoms of individuals. Facebook profiles can, and often do, contain information about matters such as religious or political beliefs, sexual life or orientation, and similar matters that a user may wish to disclose only in particular circumstances. By allowing unauthorised exposure of profile information, the vulnerabilities behind this breach caused a grave risk of misuse of these types of data.”

The DPC will publish the full decision and further related information in due course.


OLG Düsseldorf: Nach Ablauf der Monatsfrist gemäß Art.12 Abs. 3 Satz 1 DSGVO für die Auskunftserteilung gemäß Art. 15 Abs. 1 DSGVO tritt ohne Mahnung Verzug ein

OLG Düsseldorf
Beschluss vom 02.12.2024
16 W 93/23

Das OLG Düsseldorf hat entschieden, dass nach Ablauf der Monatsfrist gemäß Art.12 Abs. 3 Satz 1 DSGVO für die Auskunftserteilung gemäß Art. 15 Abs. 1 DSGVO ohne Mahnung Verzug eintritt.

Aus den Entscheidungsgründen:
Die sofortige Beschwerde der Beklagten bleibt erfolglos, während die Anschlussbeschwerde des Klägers Erfolg hat.

Die auch im Beschwerdeverfahren von Amts wegen zu prüfende internationale Zuständigkeit der deutschen Gerichte (vgl. BGH, Beschluss vom 29. Juli 2021 – XII ZB 495/20, juris, Rn. 12) ist gegeben. Sie ergibt sich aus Art. 17 Abs. 1 Buchst. c, Art. 18 Abs. 1 EuGVVO. Der Kläger ist Verbraucher im Sinne von Art. 17 Abs. 1 EuGVVO mit Wohnsitz in Deutschland und die Beklagte richtete ihre Geschäftstätigkeit in dem hier maßgeblichen Zeitraum auch auf Deutschland aus.

Auf das Rechtsverhältnis der Parteien findet gemäß Art. 6 Abs. 1 Buchst. b Rom-I-VO auch deutsches Recht Anwendung. Ausschlaggebend hierfür sind wiederum die Verbrauchereigenschaft des Klägers, der in Deutschland seinen gewöhnlichen Aufenthalt hat, und die Ausrichtung der geschäftlichen Tätigkeit der Beklagten auch auf Deutschland.

1. Die nach §§ 91a Abs. 2, 567 Abs. 1 Nr. 1 ZPO statthafte und auch im Übrigen zulässige sofortige Beschwerde der Beklagten ist unbegründet. Das gilt zum einen, soweit sie sich dagegen wendet, dass das Landgericht im Rahmen der zu treffenden Kostenentscheidung zugunsten des Klägers einen voraussichtlichen Erfolg seines Auskunftsantrags berücksichtigt hat. Das gilt zum anderen aber auch, soweit die sofortige Beschwerde hilfsweise die Gewichtung des Auskunftsantrags im Rahmen der Kostenentscheidung rügt. Die sofortige Beschwerde beanstandet insofern zwar mit Recht, dass das Landgericht den Wert des Auskunftsantrags im Rahmen der Kostenentscheidung mit 50 % und nicht niedriger gewichtet hat. Dies spielt für die Kostenentscheidung nach § 91a Abs. 1 ZPO jedoch keine Rolle, weil die Beklagte auf die erfolgreiche Anschlussbeschwerde des Klägers auch die Kosten zu tragen hat, die auf den von ihm im Rahmen der Stufenklage verfolgten Leistungsantrag entfallen.

a) Nach § 91a Abs. 1 Satz 1 ZPO entscheidet das Gericht im Falle übereinstimmender Erledigungserklärungen über die Kosten nach billigem Ermessen unter Berücksichtigung des bisherigen Sach- und Streitstands. Danach sind die auf den Auskunftsantrag entfallenden Kosten von der Beklagten zu tragen. Nach bisherigem Sach- und Streitstand wäre der Auskunftsantrag des Klägers ohne die von der Beklagten am 2. August 2023 erteilten Auskünfte, mit denen die Beklagte den Auskunftsanspruch des Klägers erfüllt hat, voraussichtlich erfolgreich gewesen.

aa) Der Auskunftsantrag war zulässig. Das gilt selbst für den Fall, dass man – entgegen der Auffassung des Senats – die vom Kläger erhobene Stufenklage, für deren erste Stufe über den Wortlaut des § 254 ZPO hinaus jegliche Auskunftsbegehren in Betracht kommen (vgl. Bacher, in: BeckOK ZPO, Stand: 01.09.2024, § 254 Rn. 3), für unzulässig halten wollte. Denn dann wäre die Stufenklage hier in eine von der Stufung unabhängige objektive Anspruchshäufung nach § 260 ZPO umzudeuten (vgl. BGH, Urteil vom 27. September 2023 – IV ZR 177/22, juris, Rn. 26) mit der Folge, dass gegen den dann isoliert zu betrachtenden Auskunftsanspruch keine Zulässigkeitsbedenken bestünden. Anders als die Beklagte möglicherweise meint, ist die Funktionalisierung eines – wie hier – auf Art. 15 Abs. 1 DS-GVO gestützten Auskunftsantrags zur Bezifferung eines unbestimmten Leistungsantrags kein Problem der Zulässigkeit oder Statthaftigkeit des Antrags, sondern wäre allenfalls auf der Ebene der Begründetheit zu hinterfragen.

bb) Die Voraussetzungen eines Anspruchs nach Art. 15 Abs. 1 DS-GVO lagen vor. Die Anwendbarkeit des Art. 15 DS-GVO in zeitlicher Hinsicht war hier zu bejahen, weil der Kläger sein Auskunftsverlangen nach Inkrafttreten der Datenschutz-Grundverordnung gestellt hat (vgl. zur Anwendbarkeit des Art. 15 DS-GVO in zeitlicher Hinsicht BGH, Urteil vom 5. März 2024 – VI ZR 330/21, juris, Rn. 13). Auch der sachliche und der räumliche Anwendungsbereich der Datenschutz-Grundverordnung waren eröffnet. Soweit der Kläger als betroffene Person im Sinne von Art. 15 Abs. 1 DS-GVO mit seinem Auskunftsantrag von der Beklagten als der Verantwortlichen im Sinne von Art. 15 Abs. 1 DS-GVO nicht nur Auskunft über seine von ihr verarbeiteten personenbezogenen Daten verlangt hat, sondern auch die Mitteilung bestimmter Informationen, war dies durch die Vorschrift gedeckt. Die abgefragten Informationen entsprachen den in Art. 15 Abs. 1 DS-GVO genannten.

Es steht einem Auskunftsanspruch aus Art. 15 Abs. 1 DS-GVO auch nicht entgegen, wenn sich die betroffene Person – wie bei einer sogenannten pre-trial discovery – dadurch Erkenntnisse zur Bezifferung eines Zahlungsantrags erhofft. Der in Art. 15 Abs. 1 DS-GVO normierte Auskunftsanspruch ist nicht an die Voraussetzung geknüpft, dass die betroffene Person mit den erwünschten Angaben und Informationen in bestimmter Weise verfährt (vgl. EuGH, Urteil vom 26. Oktober 2023 – C-307/22, juris, Rn. 43). Das Recht auf Auskunft über die Verarbeitung personenbezogener Daten nach Art. 15 Abs. 1 DS-GVO besteht in den Grenzen des Art. 12 Abs. 5 DS-GVO unabhängig von den mit der Auskunft verfolgten Zwecken. Der Auskunftsanspruch ist auch weder davon abhängig, dass die betroffene Person ihn begründet (vgl. EuGH, Urteil vom 26. Oktober 2023 – C-307/22, juris, Rn. 38 und 43), noch an die Voraussetzung gebunden, dass dem Betroffenen die erfragten Daten und Informationen gänzlich unbekannt sind (vgl. BGH, Urteile vom 15. Juni 2021 – VI ZR 576/19, juris, Rn. 25, und vom 16. April 2024 – VI ZR 223/21, juris, Rn. 13).

b) Das Landgericht durfte den danach voraussichtlich in Gänze erfolgreichen Auskunftsantrag zwar nicht mit einem Wert von 50 % in die zu treffende Kostenentscheidung einstellen. Wie die Beklagte mit Recht geltend macht, ist ein Auskunftsantrag nur mit einem Bruchteil des Werts der noch zu beziffernden Leistungsklage zu bemessen. Hier erscheint danach ein Wert von etwa einem Fünftel des Werts des Zahlungsantrags angemessen. Das verhilft der sofortigen Beschwerde der Beklagten wegen der erfolgreichen Anschlussbeschwerde des Klägers jedoch noch nicht einmal zu einem Teilerfolg, weil die Beklagte auch den auf den unbezifferten Zahlungsantrag des Klägers entfallenden Kostenanteil vollumfänglich zu tragen hat.

2. Die nach § 567 Abs. 3 Satz 1 ZPO statthafte und auch im Übrigen zulässige Anschlussbeschwerde des Klägers ist begründet. Auch die auf den unbezifferten Leistungsantrag des Klägers entfallenden Prozesskosten sind nach § 91a Abs. 1 Satz 1 ZPO von der Beklagten zu tragen. Das entspricht billigem Ermessen unter Berücksichtigung des bisherigen Sach- und Streitstands. Dem steht nicht entgegen, dass der unbezifferte Leistungsantrag des Klägers mangels Spielverlusten von Anfang an unbegründet war. Der unbezifferte Klageantrag war zulässig. Zudem hätte im Fall von erlittenen Spielverlusten mit überwiegender Wahrscheinlichkeit (siehe zur genügenden Wahrscheinlichkeit BGH, Beschluss vom 24. September 2020 – IX ZB 71/19, juris, Rn. 13 f.) ein Anspruch des Klägers gegen die Beklagte bestanden, wie eine im Verfahren nach § 91a Abs. 1 ZPO gebotene summarische Prüfung (vgl. Althammer, in: Zöller, ZPO, 35. Aufl., § 91a Rn. 27) der höchstrichterlich noch nicht abschließend geklärten Rechtsfragen ergibt. Schließlich befand sich die Beklagte zum Zeitpunkt der Klageerhebung mit der Auskunftserteilung auch in Verzug, so dass dem Kläger mit Erhebung der Stufenklage ein Anspruch auf Ersatz der auf die unbezifferte Leistungsklage entfallenden Kosten zustand. Dieser materiell-rechtliche Kostenerstattungsanspruch ist im Rahmen der Kostenentscheidung nach § 91a Abs. 1 ZPO ebenfalls zu berücksichtigen.

a) Die Stufenklage – und damit auch der unbezifferte Zahlungsantrag – war nach § 254 ZPO zulässig.

Dem steht hier nicht entgegen, dass die der Stufenklage eigentümliche Verknüpfung von unbestimmtem Leistungsantrag und vorbereitendem Auskunftsantrag nicht zur Verfügung steht, wenn die Auskunft nicht dem Zweck einer Bestimmbarkeit des Leistungsanspruchs dient, sondern dem Kläger sonstige mit der Bestimmbarkeit als solcher nicht in Zusammenhang stehende Informationen über seine Rechtsverfolgung verschaffen soll (vgl. BGH, Urteile vom 27. September 2023 – IV ZR 177/22, juris, Rn. 24, und vom 8. Mai 2024 – IV ZR 102/23, juris, Rn. 8). Zwar dienten die vom Kläger mit dem Auskunftsantrag verlangten Angaben größtenteils nicht der Bezifferung eines sich aus einer Rechnungslegung ohne Weiteres ergebenden Anspruchs, sondern der Prüfung der Rechtmäßigkeit der Datenverarbeitung. Das ist jedoch deshalb unschädlich, weil die vom Kläger mit dem Auskunftsantrag ebenfalls verlangten Angaben zu seiner vollständigen Zahlungshistorie auf der Grundlage seines Vorbringens in der Klageschrift (vgl. zur Maßgeblichkeit des Klägervorbringens BGH, Urteil vom 24. Mai 2012 – IX ZR 168/11, juris, Rn. 20; OLG Saarbrücken, Teilurteil vom 10. Januar 2024 – 5 U 26/23, juris, Rn. 43), zu dem auch die behaupteten Spielverluste zählten, der Bezifferung seines auf Bereicherungs- und Deliktsrecht gestützten Zahlungsantrags dienen sollten. Dass der Kläger unter Einsatz von Geld bis Mitte 2021 in Deutschland an Online-Glücksspielen teilgenommen hat, welche die Beklagte ohne deutsche Glücksspiellizenz angeboten hat, war zwischen den Parteien nicht streitig.

b) Hinsichtlich der dem Kläger gegen die Beklagte aus seiner Beteiligung an den Online-Glücksspielen dem Grunde nach zustehenden Ansprüche folgt der Senat – bei der im Verfahren nach § 91a Abs. 1 ZPO gebotenen summarischen Prüfung – der einheitlichen oberlandesgerichtlichen Rechtsprechung. Danach bestehen in Fällen der vorliegenden Art Ansprüche der sich an den Glücksspielen Beteiligenden gegen den Glücksspielanbieter aus § 812 Abs. 1 Satz 1 Alt. 1 BGB i.V.m. §§ 134 BGB, 4 Abs. 1 und Abs. 4 GlüStV 2012 (siehe OLG Braunschweig, Urteil vom 23. Februar 2023 – 9 U 3/22, juris, Rn. 63 ff.; OLG Hamm, Urteil vom 21. März 2023 – I-21 U 116/21, juris, Rn. 24 ff.; OLG Karlsruhe, Urteil vom 19. Dezember 2023 – 19 U 44/23, juris, Rn. 57 ff.; KG, Beschluss vom 21. Juli 2023 – 18 U 37/22, juris, Rn. 38 ff.; OLG Köln, Urteil vom 6. Mai 2024 – I-19 U 76/23, juris, Rn. 31 ff.; OLG Oldenburg, Urteil vom 30. November 2023 – 1 U 14/23, juris, Rn. 27 ff.; OLG Stuttgart, Urteil vom 24. Mai 2024 – 5 U 101/23, juris, Rn. 47 ff.; siehe ferner BGH, Beschlüsse vom 22. März 2024 – I ZR 88/23, juris, Rn. 11, und vom 25. Juli 2024 – I ZR 90/23, juris, Rn. 9) und aus §§ 823 Abs. 2, 31 BGB i.V.m. § 4 Abs. 4 GlüStV 2012 (OLG Köln, Urteil vom 6. Mai 2024 – I-19 U 76/23, juris, Rn. 98 ff.; OLG Stuttgart, Urteil vom 24. Mai 2024 – 5 U 101/23, juris, Rn. 158 ff.; siehe ferner BGH, Beschluss vom 25. Juli 2024 – I ZR 90/23, juris, Rn. 61 ff.). Mit der genannten oberlandesgerichtlichen Rechtsprechung geht der Senat – in Kenntnis und Würdigung der bei dem Gerichtshof der Europäischen Union anhängigen Vorabentscheidungsverfahren C-440/23 und C-530/24 sowie der aktuellen Vorlage- und Aussetzungsentscheidungen des Bundesgerichtshofs (vgl. z.B. BGH, Beschlüsse vom 27. Juni 2024 – I ZR 11/24, juris, und vom 7. November 2024 – I ZR 90/23, juris) – davon aus, dass es – was für eine Kostenentscheidung zulasten einer Partei im Rahmen des § 91a Abs. 1 ZPO ausreicht – überwiegend wahrscheinlich ist, dass dieses materiell-rechtliche Ergebnis auch mit europäischem Recht, insbesondere mit der Dienstleistungsfreiheit aus Art. 56 AEUV, vereinbar ist (vgl. z.B. OLG Karlsruhe, Urteil vom 19. Dezember 2023 – 19 U 44/23, juris, Rn. 70 ff.; OLG Köln, Urteil vom 6. Mai 2024 – I-19 U 76/23, juris, Rn. 129 ff.; OLG Stuttgart, Urteil vom 24. Mai 2024 – 5 U 101/23, juris, Rn. 110 ff.).

c) Zwar ergab sich aus der von der Beklagten erteilten Auskunft, dass die Leistungsklage des Klägers mangels Spielverlusten von Beginn an unbegründet war. Nach der vom Senat geteilten vorherrschenden Auffassung in Rechtsprechung und Literatur (vgl. z.B. OLG Düsseldorf, Beschluss vom 27. August 2012 – I-7 W 70/12, juris, Rn. 9; OLG Frankfurt a.M., Beschluss vom 8. September 1986 – 3 WF 163/86, juris, Rn. 19 f.; Althammer, in: Zöller, ZPO, 35. Aufl., § 91a Rn. 58.44; Assmann, in: Wieczorek/Schütze, ZPO, 5. Aufl., § 254 Rn. 83; Bacher, in: BeckOK ZPO, Stand: 01.09.2024, § 254 Rn. 31) hat der Beklagte im Rahmen einer Kostenentscheidung nach § 91a Abs. 1 ZPO jedoch auch in solchen Fällen die auf die unbezifferte Leistungsklage entfallenden Prozesskosten zu tragen, wenn dem Kläger gegen den Beklagten bis dahin ein materiell-rechtlicher Schadensersatz- beziehungsweise Kostenerstattungsanspruch wegen Verzugs bei der Erfüllung der Auskunftspflicht zustand. So liegt es hier.

aa)Dem Kläger stand gegen die Beklagte bis zu der mit dem vorliegenden Beschluss getroffenen Kostenentscheidung aus §§ 280 Abs. 1 und 2, 286 BGB ein Ersatzanspruch in Höhe der Kosten für den unbezifferten Zahlungsantrag zu. Das vom Kläger an die Beklagte gerichtete vorgerichtliche Auskunftsverlangen nach Art. 15 Abs. 1 DS-GVO begründete zwischen den Parteien ein eigenes Schuldverhältnis im Sinne von § 280 Abs. 1 Satz 1 BGB. Zum Zeitpunkt der Klageerhebung befand sich die Beklagte mit der Erteilung der von ihr nach dem Inhalt dieses Schuldverhältnisses an den Kläger zu erteilenden Auskunft auch gemäß § 286 Abs. 1 und 2 Nr. 2 BGB in Verzug. Nach § 286 Abs. 2 Nr. 2 BGB bedarf es für den Verzugseintritt keiner Mahnung, wenn der Leistung ein Ereignis vorauszugehen hat und eine angemessene Zeit für die Leistung in der Weise bestimmt ist, dass sie sich von dem Ereignis an nach dem Kalender berechnen lässt. So verhält es sich hier, weil § 286 Abs. 2 Nr. 2 BGB auch auf gesetzlich bestimmten Leistungsfristen anzuwenden ist (vgl. BGH, Urteil vom 12. November 2015 – I ZR 167/14, juris, Rn. 142).

Das der geschuldeten Auskunftserteilung nach Art. 15 Abs. 1 DS-GVO vorauszugehende Ereignis im Sinne von § 286 Abs. 2 Nr. 2 BGB ist der Auskunftsantrag der betroffenen Person. Dieser Antrag löst nach Art. 12 Abs. 3 Satz 1 DS-GVO eine gesetzliche Antwortfrist aus. Das Auskunftsverlangen ist danach unverzüglich, spätestens aber – im Einklang mit der Aufforderung des Klägers – innerhalb eines Monats nach Eingang des Antrags zu beantworten. Das reicht für die Berechenbarkeit nach dem Kalender im Sinne von § 286 Abs. 2 Nr. 2 BGB aus. Dabei kann dahinstehen, ob dies für den von Art. 12 Abs. 3 Satz 1 DS-GVO verwendeten Begriff „unverzüglich“ gilt. Es gilt jedenfalls für die in Art. 12 Abs. 3 Satz 1 DS-GVO genannte Höchstfrist „innerhalb eines Monats nach Eingang des Antrags“.

Hier hatte der Kläger die Beklagte mit außergerichtlichem Schreiben seiner Prozessbevollmächtigten vom 1. Februar 2023 unter Setzung einer Monatsfrist zur Auskunftserteilung aufgefordert. Dieses Auskunftsverlangen, das der Beklagten nach dem unstreitigen Klägervorbringen zugestellt worden ist, löste ungeachtet der in dem Schreiben enthaltenen Fristsetzung gemäß Art. 12 Abs. 3 Satz 1 DS-GVO eine gesetzliche Antwortfrist aus. Diese gesetzliche Frist hat die Beklagte nicht eingehalten. Sie hat bis zur Klageerhebung auf den Antrag weder unverzüglich noch binnen der einmonatigen Antworthöchstfrist des Art. 12 Abs. 3 Satz 1 DS-GVO reagiert, wie aus dem zeitlichen Abstand zwischen Antrag und Klageerhebung gefolgert werden kann. Zu den Voraussetzungen einer Fristverlängerung nach Art. 12 Abs. 3 Satz 2 DS-GVO hat die Beklagte nichts vorgetragen. Dazu ist auch sonst nichts ersichtlich. Die nach Verzugseintritt vom Kläger erhobene Stufenklage mit ihrem noch unbestimmten Leistungsantrag stellte sich dann als prozessual sachgerechte und damit adäquate Folge der nicht fristgerecht erteilten Auskunft dar.

bb) Einem Anspruch des Klägers gegen die Beklagte aus §§ 280 Abs. 1 und 2, 286 BGB auf Ersatz der auf den unbezifferten Zahlungsantrag entfallenden Prozesskosten stand auch kein anspruchsausschließendes oder anspruchsminderndes Mitverschulden des Klägers nach § 254 Abs. 1 BGB entgegen. An einen entsprechenden Mitverschuldenseinwand lässt sich denken, wenn Anhaltspunkte dafür bestehen, dass der Kläger eine Stufenklage erhebt, obgleich er aus eigenen Unterlagen ersehen kann, dass ihm ungeachtet der nach Art. 15 Abs. 1 DS-GVO noch zu erteilenden Auskunft kein Zahlungsanspruch zustehen kann, oder wenn er für den noch unbezifferten Zahlungsantrag eine Wertangabe macht, die willkürlich ist und jedes Maß vermissen lässt (vgl. OLG Düsseldorf, Beschluss vom 27. August 2012 – I-7 W 70/12, juris, Rn. 10).

Ausreichende Anhaltspunkte für einen dieser Sachverhalte lassen sich hier jedoch nicht feststellen. Zwar hatte der Kläger in der Klageschrift noch angegeben, nötigenfalls Zahlungsnachweise für seine Spieleinsätze vorlegen zu können. Danach schien es nicht ausgeschlossen zu sein, dass der Kläger zu einer Bezifferung seiner Spielverluste in der Lage sein würde. In der Anschlussbeschwerdeschrift hat der Kläger jedoch ausgeführt, dass es sich lediglich um eine missverständliche Formulierung seines Prozessbevollmächtigten gehandelt habe und er die Auskunft nicht verlangt hätte, wenn ihm alle relevanten Kontoauszüge vorgelegen hätten. Dem ist die für ein Mitverschulden des Klägers darlegungs- und beweisbelastete Beklagte nachfolgend nicht mehr entgegengetreten. Auch mit der Streitwertangabe des Klägers hat sie sich – ungeachtet ihrer Kenntnis von seinen Spieleinsätzen – nicht befasst. Soweit die Beklagte vorträgt, dass davon auszugehen sei, dass sich der Kläger erinnern könne, dass er keine Verluste gemacht, sondern nur gewonnen habe, handelt es sich – zumal angesichts der Hinweise auf die Spielsucht des Klägers in der Klageschrift – um eine nicht zwingende Schlussfolgerung, der sich der Senat auch mit Blick auf das prozessuale Vorgehen des Klägers nicht anzuschließen vermag.

Ein Mitverschulden lässt sich mit Blick auf den Auskunftsanspruch aus Art. 15 Abs. 1 DS-GVO schließlich auch nicht mit dem Hinweis darauf begründen, dass der Kläger nicht sämtliche Zahlungsbelege zu den von ihm getätigten Online-Glücksspielen aufbewahrt hat. Insoweit durfte er nach Inkrafttreten der Datenschutz-Grundverordnung darauf vertrauen, über seine personenbezogenen, bei der Beklagten gespeicherten Zahlungsdaten nötigenfalls gemäß Art. 15 Abs. 1 DS-GVO Auskunft von der Beklagten zu erhalten.


Den Volltext der Entscheidung finden Sie hier:

VG Düsseldorf: Kein Anspruch gegen Datenschutzbehörde auf Abhilfemaßnahmen nach Art 58 Abs. 2 DSGVO wenn Verantwortlicher für Datenschutzverstoß nicht ermittelt werden kann

VG Düsseldorf
Urteil vom 11.11.2024
29 K 4853/22


Das VG Düsseldorf hat entschieden, dass einen Betroffener keinen Anspruch gegen die datenschutzrechtliche Aufsichtsbehörde auf Abhilfemaßnahmen nach Art 58 Abs. 2 DSGVO hat, wenn der Verantwortliche für den Datenschutzverstoß nicht ermittelt werden kann.

Aus den Entscheidungsgründen:
Rechtsgrundlage der streitgegenständlichen Beschwerdeentscheidung ist Art. 57 Abs. 1 Buchst. f DSGVO i. V. m. Art. 77 Abs. 1 DSGVO, sofern das Landgericht U. und die Staatsanwaltschaft U. Verwaltungsaufgaben wahrnehmen (§ 5 Abs. 4 DSG NRW). Soweit durch das Landgericht U. an die Staatsanwaltschaft U. personenbezogene Daten zum Zwecke der Verhütung, Ermittlung, Aufdeckung oder Verfolgung von Straftaten oder der Strafvollstreckung, einschließlich des Schutzes vor und der Abwehr von Gefahren für die öffentliche Sicherheit verarbeitet werden, ist der Anwendungsbereich der Richtlinie (EU) 2016/680 des Europäischen Parlaments und des Rates zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten durch die zuständigen Behörde zum Zwecke der Verhütung, Ermittlung, Aufdeckung oder Verfolgung von Straftaten oder der Strafvollstreckung sowie zum freien Datenverkehr und zur Aufhebung des Rahmenbeschlusses 2008/977/JI des Rates vom 27. April 2016 (JI-RL) eröffnet. Über die Regelungen in §§ 60 Abs. 2, 61 DSG NRW richtet sich die Beschwerdeentscheidung ebenfalls nach Art. 57 Abs. 1 Buchst. f DSGVO i.V.m. Art. 77 Abs. 1 DSGVO.

Aus diesen Rechtsnormen ergibt sich nicht lediglich ein petitionsähnliches Recht in dem Sinne, dass die gerichtliche Kontrolle darauf beschränkt wäre, ob sich die Aufsichtsbehörde mit der Beschwerde befasst, den Beschwerdegegenstand in angemessenem Umfang untersucht und den Beschwerdeführer über das Ergebnis der Prüfung unterrichtet hat.

So noch: OVG Rheinland-Pfalz, Urteil vom 26. Oktober 2020 – 10 A 10613/20 –, juris Rn. 37 ff.; VGH Baden-Württemberg, Urteil vom 22. Januar 2020 – 1 S 3001/19 –, juris Rn. 51,

Stattdessen unterliegt die Entscheidung der Aufsichtsbehörde einer vollständigen inhaltlichen Überprüfung durch das Gericht. Insbesondere ist jede Aufsichtsbehörde nach Art. 57 Abs. 1 Buchst. f DSGVO verpflichtet, sich in ihrem Hoheitsgebiet mit Beschwerden zu befassen, die jede Person gem. Art. 77 Abs. 1 DSGVO einlegen kann, wenn sie der Ansicht ist, dass eine Verarbeitung sie betreffender personenbezogener Daten gegen diese Verordnung verstößt, und den Gegenstand der Beschwerde in angemessenem Umfang zu untersuchen. Die Aufsichtsbehörde muss eine solche Beschwerde mit aller gebotenen Sorgfalt bearbeiten. Hinsichtlich der Bearbeitung von Beschwerden verleiht Art. 58 Abs. 1 DSGVO jeder Aufsichtsbehörde weitreichende Untersuchungsbefugnisse. Stellt eine solche Behörde am Ende ihrer Untersuchung einen Verstoß gegen die Bestimmungen dieser Verordnung fest, ist sie verpflichtet, in geeigneter Weise zu reagieren, um der festgestellten Unzulänglichkeit abzuhelfen. Zu diesem Zweck werden in Art. 58 Abs. 2 DSGVO die verschiedenen der Aufsichtsbehörde zur Verfügung stehenden Abhilfebefugnisse aufgezählt. Hinsichtlich dieser in Art. 58 Abs. 2 DSGVO genannten Abhilfebefugnisse verfügt die Behörde indes über ein Ermessen in Bezug auf die geeigneten und erforderlichen Mittel, welches das Gericht nur dahingehend überprüft, ob die Aufsichtsbehörde die Grenzen ihres Ermessens eingehalten hat.

Vgl. EuGH, Urteil vom 7. Dezember 2023 – C-26/22 –, juris Rn. 47 ff. sowie bereits: BFH, Urteil vom 12. Dezember 2023 – IX R 33/21 –, juris Rn. 14 ff.; BSG, Urteil vom 20. Januar 2021 – B 1 KR 15/20 R –, juris Rn. 111; Hamburgisches OVG, Urteil vom 7. Oktober 2019 – 5 Bf 291/17 –, juris Rn. 69 ff.

Unter Berücksichtigung der vorstehenden Ausführungen handelt es sich bei dem Recht auf Beschwerde nach Art. 57 Abs. 1 Buchst. f DSGVO i. V. m. Art. 77 Abs. 1 DSGVO um ein subjektiv-öffentliches Recht, aus dem sich ein gerichtlich überprüfbarer, zweistufiger Anspruch ergibt. Zunächst ist zu prüfen, ob die Aufsichtsbehörde in angemessenem Umfang überprüft hat, ob ein Verstoß gegen die Datenschutzgrundverordnung vorliegt. Für den Fall, dass ein Verstoß festgestellt wird, besteht ein Anspruch des Klägers auf ermessensfehlerfreie Entscheidung über ein aufsichtsbehördliches Einschreiten der Beklagten.

Vgl. BFH, Urteil vom 12. Dezember 2023 – IX R 33/21 –, juris Rn. 32; VG Hamburg, Urteil vom 1. Juni 2021 – 17 K 2977/19 –, juris Rn. 53.

Soweit der Kläger mit seinem Hauptantrag einen Anspruch auf Verhängung eines Verbots der Datenverarbeitung in Form der Übermittlung seiner personenbezogenen Daten aus den ihn betreffenden Verfahrensakten an Medienvertreter und in Form der Vervielfältigung der Verfahrensakten gegenüber dem „Rechtsträger des Landgerichts U. sowie der Staatsanwaltschaft beim Landgericht U.“ begehrt, kann dahinstehen, ob die Beklagte einen Verstoß gegen datenschutzrechtliche Vorschriften in angemessenem Umfang überprüft hat. Denn ein Anspruch des Klägers gemäß Art. 58 Abs. 2 Buchst. f DSGVO oder gemäß § 60 Abs. 3 DSG NRW entsprechend Art. 58 Abs. 2 Buchst. f DSGVO auf ein aufsichtsrechtliches Tätigwerden der Beklagten gegenüber dem Rechtsträger des Landgerichts U. und der Staatsanwaltschaft U. – nach Auffassung des Klägers das Ministerium für Justiz des Landes Nordrhein-Westfalen – ist bereits deshalb nicht gegeben, weil dieser nicht Verantwortlicher im Sinne der datenschutzrechtlichen Vorschriften ist. Vielmehr sind das Landgericht U. und die Staatsanwaltschaft U. datenschutzrechtlich jeweils selbst verantwortliche Stellen.

Da der Beklagte als Aufsichtsbehörde allein die Einhaltung und Überwachung der datenschutzrechtlichen Bestimmungen obliegt (vgl. §§ 26, 60 DSG NRW), richtet sich die Verantwortlichkeit für einen Datenschutzverstoß nicht nach zivil- oder strafrechtlichen Vorschriften, sondern allein nach Datenschutzrecht.

Die Rechte und Pflichten aus der DSGVO knüpfen an den Verantwortlichen im datenschutzrechtlichen Sinne an.

Vgl. Schild, in: BeckOK Datenschutzrecht, Wolff/Brink/v.Ungern-Sternberg, 49. Edition, Stand 1. August 2024, Art. 4 Rn. 88.

Der Verantwortliche ist nach Art. 5 Abs. 2 DSGVO für die Einhaltung der in Art. 5 Abs. 1 DSGVO genannten Grundsätze für die Verarbeitung personenbezogener Daten verantwortlich und müssen deren Einhaltung nachweisen können. Nur ihnen gegenüber kann die Beklagte als Aufsichtsbehörde demzufolge Maßnahmen ergreifen. Nur der für die Datenverarbeitung Verantwortliche hat die Möglichkeit, auf die Datenverarbeitung einzuwirken und etwaige Verstöße abzustellen.

„Verantwortlicher“ ist nach der gesetzlichen Definition in Art. 4 Nr. 7 DSGVO die natürliche oder juristische Person, Behörde, Einrichtung oder andere Stelle, die allein oder gemeinsam mit anderen über die Zwecke und Mittel der Verarbeitung von personenbezogenen Daten entscheidet; sind die Zwecke und Mittel dieser Verarbeitung durch das Unionsrecht oder das Recht der Mitgliedstaaten vorgegeben, so kann der Verantwortliche bzw. können die bestimmten Kriterien seiner Benennung nach dem Unionsrecht oder dem Recht der Mitgliedstaaten vorgesehen werden.

Nichts Anderes gilt im Anwendungsbereich der JI-RL und des 3. Teils des DSG NRW, sodass offenbleiben kann, auf welcher Grundlage die (rechtswidrige) Datenverarbeitung durch Weitergabe an Medienvertreter erfolgte. Nach der bezogen auf Behörden gleichlautenden Vorschrift ist „Verantwortlicher“ gemäß Art. 3 Nr. 8 JI-RL, § 36 Nr. 9 DSG NRW die zuständige Behörde, die allein oder gemeinsam mit anderen über die Zwecke und Mittel der Verarbeitung von personenbezogenen Daten entscheidet. „Zuständige Behörde“ wiederum ist nach Art. 3 Nr. 7 JI-RL, § 36 Nr. 8 Buchst. a DSG NRW jede staatliche Stelle, die personenbezogene Daten zum Zwecke der Verhütung, Ermittlung, Aufdeckung oder Verfolgung von Straftaten oder die Strafvollstreckung, einschließlich des Schutzes vor und der Abwehr von Gefahren für die öffentliche Sicherheit oder Ordnung verarbeitet.

In Bezug auf Behörden oder öffentliche Stellen wird sowohl nach der DSGVO als auch nach der JI-RL hinsichtlich des „Verantwortlichen“ auf die Behörde oder staatliche Stelle als solche abgestellt.

Vgl. Schild, in: BeckOK Datenschutzrecht, Wolff/Brink/v.Ungern-Sternberg, 49. Edition, Stand 1. August 2024, Art. 4 Rn. 88.

Das Landgericht U. und die Staatsanwaltschaft U. sind Behörde bzw. staatliche Stelle in diesem Sinne. Als untere Justizbehörden nehmen das Landgericht U. und die Staatsanwaltschaft U. Verwaltungsaufgaben wahr (§ 3 Abs. 2 Gesetz über die Justiz im Land Nordrhein-Westfalen (Justizgesetz Nordrhein-Westfalen – JustG NRW)). Soweit die Gerichte und die Strafverfolgungsbehörden als Organe der Rechtspflege tätig werden, zählen sie zu den öffentlichen Stellen.

Vgl. Eßer, in: Schwartmann/Pabst, Landesdatenschutzgesetz Nordrhein-Westfalen, § 36 Rn. 127.

Die für die Datenverarbeitung beim Landgericht U. und bei der Staatsanwaltschaft U. verantwortliche Stelle ist hiernach das Landgericht U. bzw. die Staatsanwaltschaft U. selbst, entweder, soweit sie Verwaltungsaufgaben wahrnehmen, oder weil sie mit der Bearbeitung der betreffenden Rechtssache befasst sind.

Das schließt die Qualifizierung des „Rechtsträgers des Landgerichts U. bzw. der Staatsanwaltschaft beim Landgericht U.“ – sei es das Ministerium der Justiz des Landes Nordrhein-Westfalen, sei es eine andere übergeordnete staatliche Stelle – als „Verantwortlicher“ für die Datenverarbeitung beim Landgericht U. und bei der Staatsanwaltschaft U. und infolgedessen diesem gegenüber die Verhängung eines Verbots der Datenverarbeitung aus. Weder die DSGVO noch die JI-RL stellen bei der Bestimmung des Verantwortlichen auf eine übergeordnete Behörde ab. Vielmehr entscheiden sowohl das Landgericht U. als auch die Staatsanwaltschaft U. als Behörde bzw. staatliche Stelle eigenständig über die Zwecke und Mittel der Verarbeitung von personenbezogenen Daten in ihrem Geschäftsbereich. Sind sie allein für die Datenverarbeitung in ihrem Bereich verantwortlich, scheidet auch eine vom Kläger aufgeworfene gemeinsame datenschutzrechtliche Verantwortlichkeit mit dem Ministerium der Justiz aus.

Der Hilfsantrag ist ebenfalls unbegründet. Da ein Adressat aufsichtsrechtlicher Maßnahmen nicht genannt wird, legt das Gericht den Hilfsantrag des Klägers dahingehend aus, dass er die Verpflichtung der Beklagten begehrt, gegenüber dem Verantwortlichen geeignete Maßnahmen zu ergreifen, um die Weitergabe personenbezogener Daten des Klägers im Geschäftsbereich des Rechtsträgers des LG U. und/oder der Staatsanwaltschaft beim LG U. geführten Verfahrensakten an Dritte zu unterbinden.

Auch mit dem so verstandenen Antrag dringt der Kläger nicht durch.

Die Weitergabe personenbezogener Daten des Klägers aus diesen betreffenden Verfahrensakten vor Verlesung in der Hauptverhandlung an Medienvertreter dürfte zwar objektiv eine rechtswidrige Datenverarbeitung im Sinne von Art. 4 Nr. 2 DSGVO in Form der Offenlegung durch Übermittlung oder Verbreitung darstellen. Weder hat der Kläger in die Übermittlung oder Verbreitung seiner Daten eingewilligt (Art. 6 Abs. 1 Satz 1 Buchst. a DSGVO), noch ist die Übermittlung oder Verbreitung der Anklageschrift und Teilen der Verfahrensakte an die Presse zur Wahrnehmung der Aufgaben der Justiz erforderlich (Art. 6 Abs. 1 Satz 1 Buchst. c und e DSGVO). Dasselbe gilt, soweit in Umsetzung der JI-RL der Anwendungsbereich des DSG NRW eröffnet sein sollte, und es sich um die Verarbeitung personenbezogener Daten durch das Landgericht U. und die Staatsanwaltschaft U. im Rahmen ihrer Aufgabenwahrnehmung zur Verhütung, Ermittlung, Aufdeckung, Verfolgung und Ahndung von Straftaten oder Ordnungswidrigkeiten und der Strafvollstreckung handelt (§ 35 Abs. 1 Satz 1 Nr. 3 DSG NRW). Gemäß § 37 Nr. 2 DSG NRW müssen personenbezogene Daten für festgelegte, eindeutige und rechtmäßige Zwecke erhoben und nicht in einer mit diesen Zwecken nicht zu vereinbarenden Weise verarbeitet werden. Eine schriftliche Einwilligung (§ 38 DSG NRW) des Klägers in die Verbreitung seiner personenbezogenen Daten an die Presse liegt nicht vor.

Gleichwohl hat der Kläger auf den Erlass aufsichtsrechtlicher Maßnahmen keinen Anspruch, weil der Verantwortliche für die Verletzung des Schutzes seiner personenbezogenen Daten nicht bekannt ist. Es steht nicht fest, ob die rechtswidrige Verbreitung der Anklageschrift und von Teilen der Verfahrensakte im Geschäftsbereich des Landgerichts U. oder im Geschäftsbereich der Staatsanwaltschaft U. oder durch eine andere verantwortliche Stelle oder Person erfolgt ist. Der Präsident des Landgerichts U. gab auf das an ihn gerichtete Auskunftsersuchen der Beklagten nach Art. 58 Abs. 1 Buchst. e DSGVO hin an, dass die Prozessakte oder Teile hiervon Vertretern der Presse weder im Rahmen der Öffentlichkeitsarbeit noch durch die zuständige Kammer zugänglich gemacht worden seien. Die Leitende Oberstaatsanwältin im U. verwies in ihrer Auskunft auf den Bescheid der Generalstaatsanwältin in D. vom 14. Juli 2021, wonach es keine zureichenden tatsächlichen Anhaltspunkte für eine strafbare Informationsweitergabe durch die Staatsanwaltschaft U. gebe.

Eine Wahlfeststellung, wie sie der Kläger ins Spiel bringt, kommt von vorneherein nicht in Betracht. Das Rechtsinstitut der Wahlfeststellung setzt in verfahrensrechtlicher Hinsicht u.a. die Gewissheit der Verwirklichung eines von mehreren Strafgesetzen durch den Beschuldigten voraus.

Vgl. Jens Bülte/​Gerhard Dannecker/​Eric Hilgendorf/​Florian Jeßberger/​Bernd Schünemann/​Jan C. Schuhr/​Tonio Walter/​Thomas Weigend/​Gerhard Werle, in: Leipziger Kommentar zum StGB, 13. Auflage, Anhang zu § 1 Wahlfeststellung, IV Nr. 1.

An der Gewissheit, wer den Datenschutzverstoß begangen hat, fehlt es aber gerade.

Das schließt die Ergreifung von Abhilfemaßnahmen nach Art. 58 Abs. 2 DSGVO durch die Beklagte aus. Lässt sich ein Verantwortlicher für den Datenschutzverstoß nicht feststellen, kann die Beklagte als Aufsichtsbehörde weder auf Abhilfe hinwirken noch kann sie gemäß den in der Datenschutzgrundverordnung vorgesehenen Möglichkeiten eine Maßnahme oder Sanktion erlassen.

Die Beklagte konnte den Verantwortlichen auch nicht ermitteln. Das Absehen von weiteren Aufklärungsmaßnahmen ist nicht zu beanstanden.

Um bewerten zu können, ob eine Datenverarbeitung rechtswidrig ist und ob aufsichtsrechtliche Maßnahmen zu ergreifen sind, muss die Aufsichtsbehörde den Sachverhalt ermitteln und alle zur Ermittlung und Überprüfung des Verstoßes erforderlichen Umstände aufklären. Dazu gehört auch die Klärung, wer den möglichen Datenschutzverstoß begangen hat. Denn wenn der Verantwortliche für die Rechtsverletzung nicht feststeht, kommen Abhilfebefugnisse der Aufsichtsbehörde nach Art. 58 Abs. 2 DSGVO mit dem Ziel, den Verstoß abzustellen, von vornherein nicht in Betracht.

Welcher Untersuchungsumfang im Rahmen des Amtsermittlungsgrundsatzes bei der Bearbeitung einer Beschwerde als "in angemessenen Umfang" anzusehen ist, regelt Art. 57 DSGVO nicht. Aus Erwägungsgrund 141 Satz 2 der DSGVO folgt, dass die Untersuchung vorbehaltlich gerichtlicher Überprüfung so weit gehen soll, wie dies im Einzelfall angemessen ist. Maßstab für den Umfang der Ermittlungen sind danach insbesondere die individuelle Bedeutung der Sache und die Schwere des in Rede stehenden Verstoßes. Insoweit steht der Aufsichtsbehörde ein Ermessen zu.

Bundesfinanzhof (BFH), Urteil vom 12. Dezember 2023 – IX R 33/21 –, juris Rn. 30; BeckOK Datenschutzrecht, Wolff/Brink/v. Ungern-Sternberg, 49. Edition, Stand 01.05.2024, DSGVO Art. 57 Rz 17; Boehm in Kühling/Buchner, DSGVO BDSG, 4. Aufl. 2024, Art. 57 DSGVO Rz 11 f; Körffer in Paal/Pauly, DS-GVO BDSG, 3. Aufl. 2021, Art. 77 DSGVO Rz 5.

Die gerichtliche Prüfung richtet sich demnach nach § 114 Abs. 1 VwGO.

Bei Ermessensentscheidungen hat das Gericht nur zu prüfen, ob die Verwaltung den ihr eingeräumten Ermessensspielraum ausgeschöpft hat, ob sie die nach dem Zweck der Ermessensermächtigung für die Entscheidung relevanten Gesichtspunkte bei ihrer Entscheidung berücksichtigt hat und ob sie die gesetzlichen Grenzen der Ermessensbetätigung überschritten hat. Das Gericht darf die getroffene Entscheidung nur anhand derjenigen Erwägungen überprüfen, die die Behörde tatsächlich angestellt hat, wozu auch in Einklang mit § 114 Satz 2 VwGO nachgeschobene Erwägungen zählen.

Vgl. BVerwG, Urteil vom 11. Mai 2016 - 10 C 8/15 -, juris Rn. 13 m.w.N.

Nach diesem Maßstab sind Ermessensfehler bei der Entscheidung der Beklagten, von weiteren Aufklärungsmaßnahmen abzusehen, nicht erkennbar.


Den Volltext der Entscheidung finden Sie hier:

OLG Frankfurt: Auskunftsanspruch aus Art. 15 DSGVO gegen soziales Netzwerk (hier: X / Twitter) kann auch durch Self-Service-Tool vollständig erfüllt werden

OLG Frankfurt
Beschluss vom 02.07.2024
6 U 41/24


Das OLG Frankfurt hat im Rahmen eines Hinweisbeschlusses ausgeführt, dass der Auskunftsanspruch aus Art. 15 DSGVO gegen ein soziales Netzwerk (hier: X / Twitter) auch durch ein Self-Service-Tool vollständig erfüllt werden kann.

Aus den Entscheidungsgründen:
1. Das Landgericht ist zutreffend davon ausgegangen, dass die Beklagte durch die Bereitstellung eines Self-Service-Tool sowie das Schreiben vom 18.04.2023 (Anlage K 3) den Auskunftsanspruch des Klägers nach § 15 II DSGVO erfüllt hat.

Die Bereitstellung des Selbstbedienungstools führt dazu, dass der Kläger die Auskünfte an seinem Wohnsitz abrufen kann, wenn er dies will. Der Auskunftserfolg tritt damit auch dann am rechten Ort ein, wenn man - mit der Berufungsbegründung - zugrunde legt, dass Erfüllungsort der Sitz des Klägers ist.

Anderes ergibt sich (entgegen der Berufungsbegründung) auch nicht aus Erwägungsgrund 63 zur DSGVO. Dieser lautet:

„Eine betroffene Person sollte ein Auskunftsrecht hinsichtlich der sie betreffenden personenbezogenen Daten, die erhoben worden sind, besitzen und dieses Recht problemlos und in angemessenen Abständen wahrnehmen können, um sich der Verarbeitung bewusst zu sein und deren Rechtmäßigkeit überprüfen zu können. Dies schließt das Recht betroffener Personen auf Auskunft über ihre eigenen gesundheitsbezogenen Daten ein, etwa Daten in ihren Patientenakten, die Informationen wie beispielsweise Diagnosen, Untersuchungsergebnisse, Befunde der behandelnden Ärzte und Angaben zu Behandlungen oder Eingriffen enthalten. Jede betroffene Person sollte daher ein Anrecht darauf haben zu wissen und zu erfahren, insbesondere zu welchen Zwecken die personenbezogenen Daten verarbeitet werden und, wenn möglich, wie lange sie gespeichert werden, wer die Empfänger der personenbezogenen Daten sind, nach welcher Logik die automatische Verarbeitung personenbezogener Daten erfolgt und welche Folgen eine solche Verarbeitung haben kann, zumindest in Fällen, in denen die Verarbeitung auf Profiling beruht. Nach Möglichkeit sollte der Verantwortliche den Fernzugang zu einem sicheren System bereitstellen können, der der betroffenen Person direkten Zugang zu ihren personenbezogenen Daten ermöglichen würde. Dieses Recht sollte die Rechte und Freiheiten anderer Personen, etwa Geschäftsgeheimnisse oder Rechte des geistigen Eigentums und insbesondere das Urheberrecht an Software, nicht beeinträchtigen. Dies darf jedoch nicht dazu führen, dass der betroffenen Person jegliche Auskunft verweigert wird. Verarbeitet der Verantwortliche eine große Menge von Informationen über die betroffene Person, so sollte er verlangen können, dass die betroffene Person präzisiert, auf welche Information oder welche Verarbeitungsvorgänge sich ihr Auskunftsersuchen bezieht, bevor er ihr Auskunft erteilt.“

Der Erwägungsgrund 63 besagt somit nirgends, dass der Fernzugang (hier: Selbstbedienungstool) nur dann erfüllungstauglich wäre, wenn der Nutzer mit dieser Art der Erfüllung einverstanden ist. Auch gebietet er keine solche Folgerung. Die Bereitstellung eines angemessenen Fernzugangs über ein Self-Service-Tool wird daher als ausreichend angesehen, um den Anspruch auf Bereitstellung einer Kopie der personenbezogenen Daten gemäß Art. 15 Abs. 3 Satz 1 DSGVO zu erfüllen (OLG Dresden, Urteil vom 5. Dezember 2023, Az. 4 U 1094/23, Rn. 65, juris; OLG München, Vfg. vom 29.01.2024, 14 U 4826/23 - nicht veröffentlicht; LG Bonn, Urteil vom 8. März 2023, Az.: 17 O 165/22, GRUR-RS 2023, 3854 Rn. 59 ff.; LG Bonn, Urteil vom 3. Februar 2023, Az.: 2 O 170/22, GRUR-RS 2023, 4566, Rn. 54 ff.; LG Bonn, Urteil vom 3. Februar 2023, Az.: 18 O 127/22, GRUR-RS 2023, 4565, Rn. 56 f.; LG Paderborn, Urteil vom 19. Dezember 2022, Az.: 3 O 99/22, GRUR-RS 2022, 39349, Rn. 162 ff.; LG Paderborn, Urteil vom 13. Dezember 2022, Az.: 2 O 212/22, GRUR-RS 2022, 41028 Rn. 176 ff.; LG München I, Urteil vom 2. September 2021, Az.: 23 O 10931/20, juris Rn. 23 f.; Krämer/Burghoff, ZD 2022, 428, 432; Paal, in: Paal/Pauly DSGVO, 3. Aufl. 2021, Art. 15 Rn. 38 iVm Rn. 14; Franck, in: Gola/Heckmann DSGVO, 3. Aufl. 2022, Art. 15 Rn. 40.), sie ist sogar die gewünschte Form der Übermittlung

Soweit eine einzelne Stimme (Schmidt-Wudy, BeckOK Datenschutzrecht, Art. 15 DS- GVO Rn. 84) der Auffassung ist, ein Fernzugriffssystem ersetze nur dann die Übersendung der Auskunft bzw. Datenkopie im Wege der Schickschuld per Post oder auf elektronischem Wege, wenn sich der Anspruchsteller hiermit einverstanden erkläre, fehlt es hierfür ebenso an einer tragfähigen Begründung wie in der Entscheidung des LAG Niedersachsen (NZA-RR 2020, 571, Rnr. 46), die ohne Begründung diese Literaturstelle zitiert.

Die Verweisung auf den Fernzugang kann im Einzelfall zwar dazu führen, dass der betroffenen Person faktisch die Auskunft verweigert wird: Beispielsweise haben auch Menschen, die „analog leben“ oder/und keine nennenswerten Fähigkeiten im Umgang mit IT-gestützten Portalen haben, ein Recht auf Auskunft nach Art. 15 DSGVO, dieses könnte untergraben werden, wenn man sie auf das ihnen unzugängliche Selbstbedienungstool verwiese. Darüber muss vorliegend jedoch nicht entschieden werden, denn wer sich bei der Beklagten registriert, lebt denknotwendig nicht (mehr) analog und lässt auch nicht erwarten, im Umgang mit IT-gestützten Portalen unbeschlagen zu sein.

2. Es kann dahinstehen, ob der Anwendungsbereich von Art. 82 Abs. 1 DSGVO auf Schäden infolge der reinen Datenverarbeitung im Sinne von Art. 4 Nr. 2 DSGVO begrenzt ist und daher ein Verstoß gegen Art. 15 (oder Art. 34) DSGVO überhaupt einen Schadensersatzanspruch zur Folge hat. Der Kläger hat das Vorliegen eines Schadens nämlich nicht substantiiert vorgetragen.

a) Auch wenn - wie Erwägungsgrund 146 unterstreicht - der Schadensbegriff im Ansatz weit zu verstehen ist, ergibt schon die Zählung der Tatbestandsmerkmale des Art. 82 Abs. 1 DSGVO eine Anzahl von drei (so auch EuGH C-300/21), nämlich (1) Verstoß, (2) Schaden, (3) Kausalität.

Der Verstoß (Herbeiführung des Kontrollverlustes an den Daten) ist schon deshalb nicht bereits der Schaden und führt auch nicht „automatisch“ zu einem Schaden (EuGH, Urt. v. 04.05.2023, C-300/21 - Österreichische Post). Da die Erwägungsgründe besagen, dass der Schaden "erlitten" sein muss, kann der Kontrollverlust (als rein objektiver Befund) nicht für sich allein bereits der Schaden sein (OLG Hamm, 7 U 19/23 Rn 72 ff).

Dergleichen hat insbesondere der Gerichtshof der Europäischen Union nicht postuliert, sondern im Gegenteil (EuGH 5.12.2023, C-807/21 Rn 82) den „Verlust der Kontrolle“ in Erwägungsgrund 85 als Beispiel für Umstände gesehen, die „erhebliche wirtschaftliche oder gesellschaftliche Nachteile“ darstellen können. Daraus leitet der EuGH aber gerade nicht her, dass schon der Kontrollverlust ohne weiteres der Schaden „sei“, sondern lediglich: dass der Schaden nicht eine bereits eingetretene „missbräuchliche Verwendung der betreffenden Daten zum Nachteil“ der betroffenen Person voraussetzt, sondern die Befürchtung (Rn 81) zukünftiger missbräuchlicher Verwendung ausreichen kann (vgl. auch EuGH, U. v. 20.6.2024 - C.590/22, juris Rn. 32 f.). Ein Schadensersatzanspruch besteht auch bei einem Kontrollverlust über personenbezogenen Daten nur, sofern die betroffene Person darlegt und bei Bedarf nachweist, dass sie tatsächlich einen Schaden - so geringfügig er auch sein mag - erlitten hat (EuGH, U. v. 20.6.2024 - C.590/22, juris Rn. 33 mwN), Die Fokussierung des EuGH auf den Begriff der „Befürchtung“ (englisch: „fear“, französisch: „crainte“) wäre überflüssig, wenn in dem objektiven Vorgang des Kontrollverlustes bereits ein Schaden im Sinne von § 82 Abs. 1 DSGVO läge.

Vorliegend ist das Landgericht zutreffend zum Schluss gelangt, dass nach dem Klägervortrag ein (hier unterstellter) Verstoß der Beklagten in keiner Weise irgendeine persönlich erlebte belastende Folge kausal verursacht hat. Wie gezeigt, ist der bloße Kontrollverlust als solcher nicht „der“ Schaden des Art. 82 Abs. 1 DSGVO. Er führt auch nicht etwa gleichsam „automatisch“ zu „einem Zustand, in dem sich die Klägerseite berechtigt wie nachvollziehbar in Sorge um den Verbleib sowie einen möglichen Missbrauch ihrer Daten“ befinden würde: Die für Art. 82 Abs. 1 DSGVO erforderliche Befürchtung (deutlicher englisch „fear“ und französisch „crainte“, also blanke „Furcht“) besteht nicht allein in einer logischen Gedankenoperation des Betrachters oder der Klagepartei, sondern wäre ein (negatives) Gefühl der Klagepartei, das bestritten und von dieser zu beweisen war - und anhand objektiver Umstände nachvollziehbar sein muss.

Jedenfalls hat das Landgericht zu Recht den klägerischen Vortrag als pauschal und substanzlos angesehen (“Zustand des Unwohlseins und der Sorge des Datenmissbrauchs“). Das ist angesichts des formelhaften und erkennbar nicht individualisierten Zuschnitts dieses Vorbringens nicht zu beanstanden; hiergegen erinnert die Berufungsbegründung auch nichts. Hinzu kommt, dass nicht nachvollziehbar ist, wieso im Fall einer mutmaßlichen Verletzung der Auskunftspflicht - in der bisher überhaupt kein Indiz für einen Datenabfluss bestanden hat - der „Zustand des Unwohlseins und der Sorge des Datenmissbrauchs“ gegeben sein kann.

3. Da sich die Bemessung der Höhe des Schadensersatzes nach nationalem Recht richtet (vgl. z.B. EuGH, U. v.26.2024 - C-182/22, juris Rn. 33), ist ein Anspruch auf Schadensersatz insoweit auch wegen überwiegenden Mitverschuldens (§ 254 BGB) ausgeschlossen, da der Kläger von der naheliegenden Möglichkeit, sich über das Selbstbedienungstool zu informieren, keinen Gebrauch gemacht hat. Eine Rechtsgrundlage für den Ersatz der außergerichtlichen Kosten ist nicht ersichtlich. Insbesondere lag kein Verzug vor. Die Beauftragung des Prozessbevollmächtigten des Klägers erfolgt vor der erstmaligen Geltendmachung des Rechts aus Art. 15 DSGVO gegenüber der Beklagten.

Ein möglicher Verzug der Beklagten - der wegen Art. 12 III DSGVO vor Ablauf einer Monatsfrist wegen der von der Beklagten geschilderten Vielzahlt von Anfragen schwer zu begründen ist - wäre daher nicht kausal für den geltend gemachten Schaden in Form der Beauftragung des Prozessbevollmächtigten des Klägers.

4. Der Senat beabsichtigt, den Streitwert entgegen der Angabe des Klägers in der Klageschrift (8.000,-- €) auf 2.000 € festzusetzen.

Zwar sind die Angaben des Klägers in der Klageschrift bei der Ermessensausübung nach § 3 ZPO regelmäßig ein ganz erhebliches Indiz, da die Angabe unbeeinflusst vom Ausgang des Rechtsstreits erfolgt und damit eine erhöhte Richtigkeitsgewähr einhergeht. Anderes gilt jedoch dann, wenn der Wert offensichtlich über- oder untersetzt ist.

Dies ist hier der Fall. Der Senat hält die Schmerzensgeldangabe von 3.000 € als um ein Vielfaches übersetzt an; der Kläger selbst hat schriftsätzlich einen Betrag von 1.500 € als angemessen angegeben.

Den Wert des Klagantrags zu 1.) und 2.) hingegen setzt der Senat nicht mit zusammen 5.000 €, sondern mit 500 € fest. Auskunftsansprüche bewegen im Regel im Bereich eines Bruchteils des Hauptanspruchs, wenn sie diesen unterstützen. Der Anspruch nach § 15 DSGVO ist zwar ein selbständiger Anspruch, bewegt sich jedoch wertmäßig in einer vergleichbaren Höhe. Hinzu kommt, dass der Anspruch keinen wirtschaftlichen Interessen des Klägers dient. Weiterhin ist zu berücksichtigen, dass Anhaltspunkte für eine Rechtsverletzung nicht bestehen. Der Senat hält daher einen Wert von 500 € für angemessen (vgl. z.B. OLG Köln ZD 2018, 268; OLG Köln ZD 2019, 463)

5. Einer Entscheidung nach § 522 II ZPO steht auch nicht ein etwaiger Revisionszulassungsgrund der Divergenz oder der grundsätzlichen Bedeutung entgegen. Soweit das LAG Niedersachen (NZA-RR 2020, 571, Rnr. 46) eine Datenübersendung in elektronischer Form als zur Erfüllung ungeeignet ansieht, kann dies eine Revisionszulassung nicht begründen.

Eine Rechtssache hat grundsätzliche Bedeutung, wenn sie eine entscheidungserhebliche, klärungsbedürftige und klärungsfähige Rechtsfrage aufwirft, die sich in einer Vielzahl von Fällen stellen kann und deswegen das abstrakte Interesse der Allgemeinheit an der einheitlichen Entwicklung und Handhabung des Rechts berührt, d.h. allgemein von Bedeutung ist (st Rspr; BGH NJW 2002, 3029). Klärungsbedürftig in diesem Sinne ist eine Rechtsfrage, wenn sie vom BGH nicht entschieden und von Oberlandesgerichten oder in der Literatur unterschiedlich beantwortet wird (BGH NZG 2010, 625 Rn. 3; DStR 2014, 383 Rn. 2). Der Klärungsbedarf entfällt, wenn abweichende Ansichten im Schrifttum vereinzelt geblieben und nicht oder nicht nachvollziehbar begründet sind (NZG 2024, 249 Rn. 9; BGH NZG 2010, 625). So verhält es sich hier.


Den Volltext der Entscheidung finden Sie hier:

BKartA: Abschluss des Verfahrens gegen Facebook / Meta hinsichtlich der Zusammenführung von Nutzerdaten aus verschiedenen Angeboten und Diensten

Das Bundeskartellamt hat das Verfahrens gegen Facebook / Meta hinsichtlich der Zusammenführung von Nutzerdaten aus verschiedenen Angeboten und Diensten abgeschlossen.

Die Pressemitteilung des Bundeskartellamts:
Abschluss des Facebook-Verfahrens

Das Bundeskartellamt hat sein Facebook-Verfahren abgeschlossen. Ergebnis des Verfahrens ist ein Gesamtpaket von Maßnahmen, das den Nutzenden des sozialen Netzwerkes Facebook deutlich verbesserte Wahlmöglichkeiten hinsichtlich der Verknüpfung ihrer Daten einräumt.

Im Februar 2019 hatte das Bundeskartellamt Meta (vormals Facebook) untersagt, personenbezogene Daten der Nutzenden ohne Einwilligung aus verschiedenen Quellen zusammenzuführen. Gegen die Entscheidung hatte Meta Beschwerde eingelegt. Neben einer jahrelangen gerichtlichen Auseinandersetzung und der Bestätigung des Bundeskartellamtes in Grundsatzfragen durch den Bundesgerichtshof (2020) sowie den Europäischen Gerichtshof (2023) haben Meta und das Bundeskartellamt intensiv über konkrete Maßnahmen zur Umsetzung der Entscheidung verhandelt. Nun wurden die Einzelmaßnahmen Metas als hinreichend wirkungsvolles Gesamtpaket angesehen, um das Verfahren abzuschließen. Meta hat seinerseits die vor dem Oberlandesgericht Düsseldorf (OLG Düsseldorf) anhängige Beschwerde gegen die Entscheidung des Bundeskartellamtes zurückgenommen. Die Entscheidung ist damit bestandskräftig.

Andreas Mundt, Präsident des Bundeskartellamtes: „Die Facebook-Entscheidung aus dem Jahr 2019 kann bis heute als bahnbrechend gelten. Auf Grundlage unserer seinerzeitigen Entscheidung hat Meta ganz wesentliche Anpassungen beim Umgang mit Nutzerdaten vorgenommen. Zentral ist dabei, dass die Nutzung von Facebook nicht mehr voraussetzt, dass man in eine grenzenlose Sammlung und Zuordnung von Daten zum eigenen Nutzerkonto einwilligt, auch wenn die Daten gar nicht im Facebook-Dienst anfallen. Das betrifft etwa Konzerndienste wie Instagram oder Drittseiten und -Apps. Das bedeutet, dass Nutzende nun deutlich bessere Kontrollmöglichkeiten hinsichtlich der Zusammenführung ihrer Daten haben. Neben diesen ganz konkreten Verbesserungen hat die Entscheidung des Bundeskartellamtes darüber hinaus zu einer wichtigen Leitentscheidung des Europäischen Gerichtshofes geführt und auf der nationalen wie europäischen Ebene Gesetzgebungsinitiativen inspiriert. Dies bedeutet auch, dass wir im Hinblick auf die Rechtsklarheit und die Eingriffsinstrumente in diesem Bereich heute einen ganz anderen Stand haben als noch vor fünf Jahren.“

Vor der Entscheidung des Bundeskartellamtes konnte das soziale Netzwerk Facebook nur unter der Voraussetzung genutzt werden, dass Facebook die Möglichkeit eingeräumt wurde, Daten über die Nutzenden auch außerhalb des Facebook-Angebots zu erheben und dem jeweiligen Facebook-Nutzerkonto zuzuordnen. Dies betraf zum einen Daten aus anderen unternehmenseigenen Diensten (wie Instagram) und zum anderen Daten, die in Apps und auf Websites von Drittanbietern erhoben wurden. Nutzende hatten insoweit nur die Wahl, entweder einer nahezu unbegrenzten Datenzusammenführung zuzustimmen oder auf die Nutzung des sozialen Netzwerks zu verzichten. Das Bundeskartellamt hatte diese Geschäftsbedingungen untersagt und verlangt, dass eine Zusammenführung der Daten nur nach gesonderter Einwilligung erfolgt, die gerade nicht zur Voraussetzung für die Nutzung von Facebook gemacht werden darf (vgl. Pressemitteilung vom 7. Februar 2019).

Der Beendigung des Verfahrens war ein intensiver Diskussionsprozess zwischen Meta und dem Bundeskartellamt vorausgegangen, innerhalb dessen Meta schrittweise folgende Maßnahmen zur Umsetzung der Entscheidung ergriffen bzw. zugesagt hat:

Einführung einer Kontenübersicht (vgl. Pressemitteilung vom 7. Juni 2023) zur Datentrennung zwischen einzelnen Meta-Diensten: Die Kontenübersicht erlaubt es Nutzenden, selbst zu entscheiden, welche Meta-Dienste (z. B. Facebook und Instagram) sie miteinander verknüpfen und damit einen Datenaustausch auch zu Werbezwecken erlauben wollen. Eine getrennte Nutzung der Dienste bleibt ohne wesentliche Qualitätseinbußen möglich.
Einführung von „Cookie“-Einstellungen zur Trennung von Facebook-Daten und anderen Daten: Im Hinblick auf Daten, die Meta über seine sog. Business Tools von Webseiten oder Apps anderer Unternehmen erhält, können Nutzende jetzt im Rahmen der „Cookie“-Einstellungen von Facebook entscheiden, ob sie eine Verknüpfung mit ihren in dem Dienst gespeicherten Daten erlauben möchten. Gleiches gilt für Instagram.
Sonderstellung des Facebook-Logins: Wer sich dafür entscheidet, seine Facebook-Daten nicht mit seinen Nutzungsdaten von anderen Websites oder Apps zusammenzuführen, kann hiervon für das Facebook-Login eine Ausnahme machen, wenn er diese Anmeldemöglichkeit in Apps oder auf Websites von Dritten benutzen möchte. Zuvor mussten Nutzende Meta sämtliche Datenzusammenführungen mit Daten aus Drittapps bzw. von Drittwebsites erlauben, wenn sie auf das Facebook-Login nicht verzichten wollten.
Prägnante Kundeninformation: Damit Metas Kundinnen und Kunden schnell zu den einschlägigen Einstellungen gelangen, mit denen ungewollte Datenverknüpfungen unterbunden werden können, werden Nutzende, die einer Datenverknüpfung in der Vergangenheit zugestimmt haben, beim Aufruf von Facebook auffällig gestaltete Benachrichtigungen erhalten, die jeweils direkte Verlinkungen zu den neu gestalteten Auswahlinstrumenten enthalten.
Vorgeschalteter Wegweiser: Meta hat am Anfang seiner Datenrichtlinie einen deutlichen Hinweis auf die Wahlmöglichkeiten der Nutzenden eingeführt (https://de-de.facebook.com/privacy/policy/ „So verwaltest du die Informationen, die wir verwenden“). Dieser enthält einen kurzen Erläuterungstext und Links zur Kontenübersicht und den „Cookie“-Einstellungen.
Eingeschränkte Datenverknüpfung für Sicherheitszwecke: Unabhängig von den von den Nutzenden vorgenommenen Einstellungen in Facebook oder Instagram speichert und verknüpft Meta Nutzungsdaten zu Sicherheitszwecken. Dies geschieht indessen nur vorübergehend und – sofern sich kein Verdacht auf unzulässiges Verhalten ergibt – längstens für einen vorab einheitlich festgelegten Zeitraum.
Andreas Mundt: „In der Gesamtschau ermöglichen diese Instrumente den Nutzenden eine erheblich verbesserte Kontrolle über das Ausmaß der Zuordnung von persönlichen Daten aus anderen Meta-Diensten sowie von Webseiten oder Apps anderer Unternehmen zu ihrem jeweiligen Facebook-Konto.“

Die oben beschriebenen Maßnahmen sind bereits umgesetzt oder werden in den nächsten Wochen realisiert.

Der Abschluss des Verfahrens bedeutet nicht, dass alle kartellrechtlichen Bedenken restlos ausgeräumt worden wären. Vielmehr wurden die Maßnahmen Metas als hinreichend geeignetes Gesamtpaket angesehen, um auf Vollstreckungsmaßnahmen zu verzichten und das Verfahren im Ermessenswege abzuschließen. Dies gilt auch vor dem Hintergrund, dass andere Behörden über wirksame und gut geeignete Instrumentarien verfügen, um ggf. weiterreichende Verbesserungen für die Nutzenden von Meta-Diensten in der Europäischen Union zu erreichen. Der Abschluss des Verfahrens auf der Basis des oben beschriebenen Maßnahmenpakets enthält daher keine Wertung, ob Meta die sich aus diesen Instrumentarien ergebenden Pflichten erfüllt. So hat die Europäische Kommission inzwischen die Befugnis, auf der Grundlage von Art. 5 Abs. 2 des Digital Markets Act (DMA), welcher die Problematik der Facebook-Entscheidung des Bundeskartellamtes aufgreift und weiterentwickelt, gegen Datenzusammenführungen zwischen verschiedenen Diensten von sog. Torwächtern vorzugehen, sofern keine wirksame Einwilligung vorliegt. Die Datenschutzbehörden können in Anwendung der Datenschutzgrundverordnung prüfen, inwieweit Einwilligungen tatsächlich freiwillig erfolgt sind und ob Datenverarbeitungen – auch innerhalb einzelner Dienste – ggf. exzessiv sind. Auch könnten hinsichtlich Metas Gestaltung der Nutzerdialoge verbraucherschützende Vorschriften zum Zug kommen.

Aufgrund z. T. ähnlicher Fragestellungen in Kartell- und Datenschutzrecht hat sich das Bundeskartellamt während des Verfahrens regelmäßig mit Datenschutzbehörden ausgetauscht. Zudem wurde das Bundeskartellamt in technischen Fragen vom Bundesamt für Sicherheit in der Informationstechnik unterstützt. Ferner war der Verbraucherzentrale Bundesverband (vzbv) als Beigeladene an dem Verfahren beteiligt.

Hintergrund:

Am 6. Februar 2019 untersagte das Bundeskartellamt Meta (vormals Facebook) per Beschluss, Daten ohne Einwilligung der Nutzenden aus verschiedenen Quellen zusammenzuführen. Hiergegen legte Meta Beschwerde beim OLG Düsseldorf ein. Dieses ordnete auf Antrag Metas am 26. August 2019 die aufschiebende Wirkung der Beschwerde an. Diese Anordnung hob der Bundesgerichtshof auf Antrag des Bundeskartellamtes mit Beschluss vom 23. Juni 2020 auf und lehnte Metas Antrag auf Anordnung der aufschiebenden Wirkung der Beschwerde ab. Am 24. März 2021 legte das OLG Düsseldorf dem Europäischen Gerichtshof (EuGH) diverse Fragen vor und setzte das Verfahren bis zur Entscheidung des EuGH aus. Der EuGH sollte u. a. klären, ob das Bundeskartellamt im Rahmen von kartellrechtlichen Abwägungsentscheidungen auch DSGVO-Normen auslegen darf. Der Europäische Gerichtshof hat dies in seiner Entscheidung am 4. Juli 2023 (Rechtssache C-252/21) bejaht. Der Rechtsstreit vor dem OLG Düsseldorf wurde angesichts der Gespräche zwischen den Parteien zuletzt nicht aktiv betrieben und ist jetzt mit der Rücknahme der Beschwerde durch Meta beendet.

Aktuell wird die Rechtmäßigkeit von Metas „Pay or consent“-Modell diskutiert, welches eine werbefreie Nutzung von Facebook bzw. Instagram gegen Gebühr ermöglicht. Mehrere europäische Verbraucherverbände haben hiergegen Beschwerde bei ihren jeweiligen nationalen Datenschutzbehörden eingelegt (siehe https://www.beuc.eu/press-releases/consumer-groups-launch-complaints-against-metas-massive-illegal-data-processing). Auch der Europäische Datenschutzausschuss hat entsprechende Modelle in einer Stellungnahme vom 17. April 2024 kritisiert (siehe https://www.edpb.europa.eu/system/files/2024-04/edpb_opinion_202408_consentorpay_en.pdf). Die Europäische Kommission sieht im „Pay or consent“-Modell von Meta einen möglichen Verstoß gegen den seit 7. März 2024 durchsetzbaren Digital Markets Act (DMA) und hat Meta hierzu am 1. Juli 2024 ihre vorläufigen Feststellungen mitgeteilt (siehe https://ec.europa.eu/commission/presscorner/detail/de/ip_24_3582).


Den Fallbericht des Bundeskartellamts finden Sie hier:

EuGH: Eine Entschuldigung kann als angemessener Ersatz eines immateriellen Schadens nach Art. 82 DSGVO ausreichend sein

EuGH
Urteil vom 04.10.2024
C‑507/23


Der EuGH hat entschieden, dass eine Entschuldigung als angemessener Ersatz eines immateriellen Schadens nach Art. 82 DSGVO ausreichend sein kann.

Tenor der Entscheidung:
1. Art. 82 Abs. 1 der Verordnung (EU) 2016/679 des Europäischen Parlaments und des Rates vom 27. April 2016 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten, zum freien Datenverkehr und zur Aufhebung der Richtlinie 95/46/EG (Datenschutz-Grundverordnung) ist in Verbindung mit Art. 8 Abs. 1 der Charta der Grundrechte der Europäischen Union dahin auszulegen, dass ein Verstoß gegen Bestimmungen dieser Verordnung für sich genommen nicht ausreicht, um einen „Schaden“ im Sinne von Art. 82 Abs. 1 DSGVO darzustellen.

2. Art. 82 Abs. 1 der Verordnung 2016/679 ist dahin auszulegen, dass eine Entschuldigung einen angemessenen Ersatz eines immateriellen Schadens auf der Grundlage dieser Bestimmung darstellen kann, insbesondere, wenn es nicht möglich ist, die Lage vor dem Eintritt des Schadens wiederherzustellen, sofern diese Form des Schadenersatzes geeignet ist, den der betroffenen Person entstandenen Schaden in vollem Umfang auszugleichen.

3. Art. 82 Abs. 1 der Verordnung 2016/679 ist dahin auszulegen, dass er der Möglichkeit entgegensteht, die Haltung und die Beweggründe des Verantwortlichen zu berücksichtigen, um der betroffenen Person gegebenenfalls einen Schadenersatz zu gewähren, der geringer ist als der Schaden, der ihr konkret entstanden ist.

Den Volltext der Entscheidung finden Sie hier:

EuGH: Zugang der Polizei zu auf Mobiltelefonen gespeicherten personenbezogenen Daten nicht nur auf Bekämpfung schwerer Kriminalität beschränkt

EuGH
Urteil vom 04.10.2024
C-548/21
Bezirkshauptmannschaft Landeck
(Zugriffsversuch auf die auf einem Mobiltelefon gespeicherten personenbezogenen Daten)


Der EuGH hat entschieden, dass sich der Zugang der Polizei zu auf Mobiltelefonen gespeicherten personenbezogenen Daten nicht nur auf Bekämpfung schwerer Kriminalität beschränkt.

Tenor der Entscheidung:
1. Art. 4 Abs. 1 Buchst. c der Richtlinie (EU) 2016/680 des Europäischen Parlaments und des Rates vom 27. April 2016 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten durch die zuständigen Behörden zum Zwecke der Verhütung, Ermittlung, Aufdeckung oder Verfolgung von Straftaten oder der Strafvollstreckung sowie zum freien Datenverkehr und zur Aufhebung des Rahmenbeschlusses 2008/977/JI des Rates ist im Licht der Art. 7 und 8 sowie von Art. 52 Abs. 1 der Charta der Grundrechte der Europäischen Union dahin auszulegen, dass er einer nationalen Regelung, die den zuständigen Behörden die Möglichkeit gibt, zum Zweck der Verhütung, Ermittlung, Feststellung und Verfolgung von Straftaten im Allgemeinen auf die auf einem Mobiltelefon gespeicherten Daten zuzugreifen, nicht entgegensteht, wenn diese Regelung
– die Art oder die Kategorien der betreffenden Straftaten hinreichend präzise definiert,
– die Wahrung des Grundsatzes der Verhältnismäßigkeit gewährleistet und
– die Ausübung dieser Möglichkeit, außer in hinreichend begründeten Eilfällen, einer vorherigen Kontrolle durch ein Gericht oder eine unabhängige Verwaltungsstelle unterwirft.

2. Die Art. 13 und 54 der Richtlinie 2016/680 sind im Licht von Art. 47 und von Art. 52 Abs. 1 der Charta der Grundrechte
dahin auszulegen, dass sie einer nationalen Regelung entgegenstehen, die es den zuständigen Behörden gestattet, zu versuchen, auf Daten zuzugreifen, die auf einem Mobiltelefon gespeichert sind, ohne die betroffene Person im Rahmen der einschlägigen nationalen Verfahren über die Gründe, auf denen die von einem Gericht oder einer unabhängigen Verwaltungsstelle erteilte Gestattung des Zugriffs auf die Daten beruht, zu informieren, sobald die Übermittlung dieser Informationen die den Behörden nach der Richtlinie obliegenden Aufgaben nicht mehr beeinträchtigen kann.

Die Pressemitteilung des EuGH:
Der Zugang der Polizei zu den auf einem Mobiltelefon gespeicherten personenbezogenen Daten ist nicht zwingend auf die Bekämpfung schwerer Kriminalität beschränkt

Er bedarf jedoch der vorherigen Genehmigung durch ein Gericht oder eine unabhängige Behörde und muss verhältnismäßig sein.

Der Zugang der Polizei zu den auf einem Mobiltelefon gespeicherten personenbezogenen Daten im Rahmen strafrechtlicher Ermittlungen kann einen schwerwiegenden oder sogar besonders schwerwiegenden Eingriff in die Grundrechte der betroffenen Person darstellen. Gleichwohl ist er nicht zwingend auf die Bekämpfung schwerer Kriminalität beschränkt. Der nationale Gesetzgeber muss die bei einem solchen Zugang zu berücksichtigenden Gesichtspunkte, wie die Art oder die Kategorien der betreffenden Straftaten, definieren. Um sicherzustellen, dass der Grundsatz der Verhältnismäßigkeit in jedem Einzelfall durch eine Gewichtung aller relevanten Gesichtspunkte dieses Falles gewahrt wird, muss der Zugang zudem, außer in hinreichend begründeten Eilfällen, von einer vorherigen Genehmigung durch ein Gericht oder eine unabhängige Verwaltungsstelle abhängig gemacht werden. Die betroffene Person muss über die Gründe für die Genehmigung informiert werden, sobald die Übermittlung dieser Informationen die Ermittlungen nicht mehr beeinträchtigen kann.

Die österreichische Polizei stellte das Mobiltelefon des Adressaten eines Pakets sicher, nachdem im Zuge einer Suchtmittelkontrolle festgestellt wurde, dass sich in diesem Paket 85 g Cannabiskraut befanden. Sodann versuchte sie vergeblich, das Mobiltelefon zu entsperren, um Zugang zu den darauf gespeicherten Daten zu erlangen. Sie verfügte nicht über eine Genehmigung der Staatsanwaltschaft oder eines Richters, dokumentierte ihre Entsperrungsversuche nicht und informierte den Betroffenen nicht über sie.

Der Betroffene erhob bei einem österreichischen Gericht Beschwerde gegen die Sicherstellung seines Mobiltelefons. Erst im Rahmen dieses Verfahrens erlangte er Kenntnis von den Entsperrungsversuchen. Das österreichische Gericht möchte vom Gerichtshof wissen, ob die österreichische Regelung, die nach seinen Angaben1 der Polizei diese Vorgehensweise ermöglicht, mit dem Unionsrecht vereinbar ist. Es führt aus, dass die dem Betroffenen zur Last gelegte Straftat mit Freiheitsstrafe bis zu einem Jahr bedroht sei und daher nur ein Vergehen darstelle.

Der Gerichtshof stellt zunächst klar, dass die einschlägige Unionsregelung entgegen dem Vorbringen einiger Regierungen nicht nur für den Fall eines erfolgreichen Zugriffs auf die auf einem Mobiltelefon gespeicherten personenbezogenen Daten gilt, sondern auch für einen Versuch, Zugang zu ihnen zu erlangen.

Sodann stellt er fest, dass der Zugang zu allen auf einem Mobiltelefon gespeicherten Daten einen schwerwiegenden oder sogar besonders schwerwiegenden Eingriff in die Grundrechte der betroffenen Person darstellen kann. Solche Daten, die Nachrichten, Fotos und den Verlauf der Navigation im Internet umfassen können, lassen nämlich unter Umständen sehr genaue Schlüsse auf das Privatleben dieser Person zu. Außerdem können zu ihnen auch besonders sensible Daten gehören.

Die Schwere der Straftat, die Gegenstand der Ermittlungen ist, stellt einen der zentralen Parameter bei der Prüfung der Verhältnismäßigkeit eines solchen schwerwiegenden Eingriffs dar. Falls nur die Bekämpfung schwerer Kriminalität den Zugang zu auf einem Mobiltelefon gespeicherten Daten rechtfertigen könnte, würden jedoch die Ermittlungsbefugnisse der zuständigen Behörden unangemessen eingeschränkt. Daraus würde sich eine erhöhte Gefahr der Straflosigkeit von Straftaten im Allgemeinen und damit eine Gefahr für die Schaffung eines Raums der Freiheit, der Sicherheit und des Rechts in der Union ergeben. Ein solcher Eingriff in das Privatleben und den Datenschutz muss allerdings gesetzlich vorgesehen sein; dies impliziert, dass der nationale Gesetzgeber die zu berücksichtigenden Gesichtspunkte, insbesondere die Art oder die Kategorien der betreffenden Straftaten, hinreichend präzise definieren muss.

Ein solcher Zugang muss ferner von einer vorherigen Kontrolle durch ein Gericht oder eine unabhängige Verwaltungsstelle abhängig gemacht werden, außer in hinreichend begründeten Eilfällen3 . Diese Kontrolle muss für einen gerechten Ausgleich zwischen den berechtigten Interessen, die sich aus den Erfordernissen der Ermittlungen im Rahmen der Kriminalitätsbekämpfung ergeben, und den Grundrechten auf Achtung des Privatlebens und den Schutz personenbezogener Daten sorgen.

Schließlich muss die betroffene Person über die Gründe, auf denen die Genehmigung des Zugriffs auf ihre Daten beruht, informiert werden, sobald die Übermittlung dieser Informationen die Ermittlungen nicht mehr beeinträchtigen kann .


Den Volltext der Entscheidung finden Sie hier:

BVerfG: Regelungen zur Datenerhebung in § 45 Abs. 1 Satz 1 Nr. 4 BKAG und Datenspeicherung in § 18 Abs. 1 Nr. 2 BKAG teilweise verfassungswidrig

BverfG
Urteil vom 01.10.2024
1 BvR 1160/19
Bundeskriminalamtgesetz II


Das Bundesverfassungsgericht hat entschieden, dass die Regelungen zur Datenerhebung in § 45 Abs. 1 Satz 1 Nr. 4 BKAG und Datenspeicherung in § 18 Abs. 1 Nr. 2 BKAG teilweise verfassungswidrig sind.

Leitsätze des Bundesverfassungsgerichts:
1. Voraussetzung einer heimlichen Überwachung von Kontaktpersonen mit eingriffsintensiven Maßnahmen zum Zweck der Datenerhebung ist jedenfalls, dass eine Überwachung der polizeirechtlich verantwortlichen Person mit entsprechenden Mitteln zulässig wäre.

2. Im Rahmen einer zweckwahrenden Verarbeitung zuvor erhobener personenbezogener Daten sind diese grundsätzlich zu löschen, nachdem der unmittelbare Anlassfall abgeschlossen und damit der der Erhebungsmaßnahme zugrundeliegende konkrete Zweck erfüllt ist. Ein Absehen von einer Löschung über den unmittelbaren Anlassfall hinaus kommt in Betracht, soweit sich aus den Daten – sei es aus ihnen selbst, sei es in Verbindung mit weiteren Kenntnissen der Behörde – zwischenzeitlich ein konkreter Ermittlungsansatz ergeben hat und damit die Voraussetzungen einer zweckändernden Nutzung vorliegen.

3. Eine vorsorgende Speicherung personenbezogener Grunddaten zur Identifizierung und zu einem bestimmten strafrechtlich relevanten Verhalten von Beschuldigten durch das Bundeskriminalamt auf einer föderalen polizeilichen Datenplattform erfordert jedenfalls die Festlegung angemessener Speicherschwellen sowie die Bestimmung einer angemessenen Speicherdauer:

a. Die vorsorgende Speicherung muss auf einer Speicherschwelle beruhen, die den Zusammenhang zwischen den vorsorgend gespeicherten personenbezogenen Daten und der Erfüllung des Speicherzwecks in verhältnismäßiger Weise absichert und den spezifischen Gefahren der vorsorgenden Speicherung angemessen begegnet. Dies ist bei der Speicherung von Daten für die Verhütung und Verfolgung von Straftaten nur gegeben, wenn eine hinreichende Wahrscheinlichkeit dafür besteht, dass die Betroffenen eine strafrechtlich relevante Verbindung zu möglichen Straftaten aufweisen werden und gerade die gespeicherten Daten zu deren Verhütung und Verfolgung angemessen beitragen können. Diese Prognose muss sich auf zureichende tatsächliche Anhaltspunkte stützen.

b. Es bedarf der gesetzlichen Regelung einer angemessenen Speicherdauer. Diese wird insbesondere geprägt durch das Eingriffsgewicht, die Belastbarkeit der Prognose in der Zeit sowie durch andere sich aus dem Grundsatz der Verhältnismäßigkeit ergebende Gesichtspunkte. Die Prognose verliert ohne Hinzutreten neuer relevanter Umstände grundsätzlich an Überzeugungskraft über die Zeit.

Den Volltext der Entscheidung finden Sie hier:

EuGH: Betroffener einer Datenschutzverletzung hat keinen Anspruch gegen datenschutzrechtliche Aufsichtsbehörde auf Verhängung einer Geldbuße oder sonstiger Abhilfemaßnahmen

EuGH
Urteil vom 26.08.2024
C-768/21
Land Hessen (Handlungspflicht der Datenschutzbehörde)

Der EuGH hat entschieden, dass der Betroffene einer Datenschutzverletzung keinen Anspruch gegen die datenschutzrechtliche Aufsichtsbehörde auf Verhängung einer Geldbuße oder sonstiger Abhilfemaßnahmen hat.

Tenor der Entscheidung:
Art. 57 Abs. 1 Buchst. a und f, Art. 58 Abs. 2 sowie Art. 77 Abs. 1 der Verordnung (EU) 2016/679 des Europäischen Parlaments und des Rates vom 27. April 2016 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten, zum freien Datenverkehr und zur Aufhebung der Richtlinie 95/46/EG (Datenschutz-Grundverordnung)

sind dahin auszulegen, dass

die Aufsichtsbehörde im Fall der Feststellung einer Verletzung des Schutzes personenbezogener Daten nicht verpflichtet ist, nach diesem Art. 58 Abs. 2 eine Abhilfemaßnahme zu ergreifen, insbesondere eine Geldbuße zu verhängen, wenn ein solches Einschreiten nicht geeignet, erforderlich oder verhältnismäßig ist, um der festgestellten Unzulänglichkeit abzuhelfen und die umfassende Einhaltung dieser Verordnung zu gewährleisten.

Die Pressemitteilung des EuGH:
Schutz personenbezogener Daten: Die Aufsichtsbehörde ist nicht verpflichtet, in jedem Fall eines Verstoßes eine Abhilfemaßnahme zu ergreifen und insbesondere eine Geldbuße zu verhängen

Sie kann davon absehen, wenn der Verantwortliche bereits von sich aus die erforderlichen Maßnahmen ergriffen hat

In Deutschland stellte eine Sparkasse fest, dass eine Mitarbeiterin mehrmals unbefugt auf personenbezogene Daten eines Kunden zugegriffen hatte. Die Sparkasse setzte den Kunden hiervon nicht in Kenntnis, da ihr Datenschutzbeauftragter der Ansicht war, dass für diesen Kunden kein hohes Risiko bestehe. Denn die Mitarbeiterin hatte schriftlich bestätigt, dass sie die Daten weder kopiert oder gespeichert noch an Dritte übermittelt habe und dass sie dies auch zukünftig nicht tun werde. Außerdem hatte die Sparkasse gegen die Mitarbeiterin Disziplinarmaßnahmen ergriffen. Gleichwohl meldete die Sparkasse diesen Verstoß dem Landesdatenschutzbeauftragten.

Nachdem der Kunde nebenbei von diesem Vorfall Kenntnis erlangt hatte, reichte er bei dem Landesdatenschutzbeauftragten eine Beschwerde ein. Nach Anhörung der Sparkasse teilte der Landesdatenschutzbeauftragte dem Kunden mit, dass er es nicht für erforderlich halte, gegen die Sparkasse Abhilfemaßnahmen zu ergreifen.

Der Kunde erhob daraufhin Klage bei einem deutschen Gericht und beantragte, den Landesdatenschutzbeauftragten zum Einschreiten gegen die Sparkasse zu verpflichten und insbesondere dazu, gegen die Sparkasse eine Geldbuße zu verhängen.

Das deutsche Gericht hat den Gerichtshof ersucht, die Datenschutz-Grundverordnung (DSGVO) im Hinblick auf diese Fragestellung auszulegen.

In seinem Urteil antwortet der Gerichtshof, dass die Aufsichtsbehörde im Fall der Feststellung einer Verletzung des Schutzes personenbezogener Daten nicht verpflichtet ist, eine Abhilfemaßnahme zu ergreifen , insbesondere eine Geldbuße zu verhängen, wenn dies nicht erforderlich ist, um der festgestellten Unzulänglichkeit abzuhelfen und die umfassende Einhaltung der DSGVO zu gewährleisten. Ein solcher Fall könnte u. a. dann vorliegen, wenn der für die Verarbeitung Verantwortliche, sobald er von der Verletzung Kenntnis erlangt hat, die erforderlichen Maßnahmen ergriffen hat, damit die Verletzung abgestellt wird und sich nicht wiederholt.

Die DSGVO räumt der Aufsichtsbehörde ein Ermessen hinsichtlich der Art und Weise ein, wie sie der festgestellten Unzulänglichkeit abhilft.

Dieses Ermessen wird durch das Erfordernis begrenzt, durch den klar durchsetzbaren Rechtsrahmen der DSGVO ein gleichmäßiges und hohes Schutzniveau für personenbezogene Daten zu gewährleisten.

Es ist Sache des deutschen Gerichts, zu prüfen, ob der Landesdatenschutzbeauftragte diese Grenzen eingehalten hat


Den Volltext der Entscheidung finden Sie hier:

OLG München: Weiterleitung geschäftlicher E-Mails an privaten E-Mail-Account verstößt gegen DSGVO und kann außerordentliche Kündigung rechtfertigen

OLG München
Urteil vom 31.07.2024
7 U 351/23 e


Das OLG München hat entschieden, dass die Weiterleitung geschäftlicher E-Mails an einen privaten E-Mail-Account gegen die DSGVO verstößt und eine außerordentliche Kündigung rechtfertigen kann.

Aus den Entscheidungsgründen:
2. Die Weiterleitung der streitgegenständlichen Emails auf den privaten Account des Klägers ist auch ein wichtiger Grund iSd § 626 Abs. 1 BGB.

Gemäß § 626 Abs. 1 BGB kann das Dienstverhältnis aus wichtigem Grund ohne Einhaltung einer Kündigungsfrist gekündigt werden, wenn Tatsachen vorliegen, aufgrund derer dem Kündigenden unter Berücksichtigung aller Umstände des Einzelfalls und unter Abwägung der Interessen beider Vertragsteile die Fortsetzung des Dienstverhältnisses bis zum Ablauf der Kündigungsfrist oder bis zu der vereinbarten Beendigung des Dienstverhältnisses nicht zugemutet werden kann.

a. Dafür ist zunächst zu prüfen, ob der Sachverhalt ohne seine besonderen Umstände „an sich“, d. h. typischerweise als wichtiger Grund geeignet ist (vgl. BGH, Urteil vom 29.01.2001 – II ZR 360/99, Rdnr. 9 zum Vorstand einer Genossenschaft, BGH, Urteil vom 02.06.1997 – II ZR 101 /96, Rdnr. 6 zum Geschäftsführer einer GmbH, zu Arbeitnehmern vgl. auch BAG, Urteil vom 19.04.2012 – 2 AZR 186/11, Rdnr. 20, Weidenkaff in Grüneberg, BGB, 83. Auflage, München 2024, Rdnr. 38 zu § 626 BGB). Als wichtiger Grund ist nach der höchstrichterlichen Rechtsprechung dabei neben der Verletzung vertraglicher Hauptpflichten auch die schuldhafte Verletzung von Nebenpflichten „an sich“ geeignet (vgl. BAG, Urteil vom 08.05.2014 – 2 AZR 249/13, Rdnr. 19).

aa. Zur Begründung eines wichtigen Grundes „an sich“ kann im vorliegenden Fall jedoch nicht auf § 10 Abs. 1 DV abgestellt werden.

Nach § 10 Abs. 1 UA 1 DV ist der Vorstand verpflichtet, „alle betrieblichen Angelegenheiten und Geschäfts- und Betriebsgeheimnisse“, die ihm während seiner Tätigkeit bekannt wurden, vertraulich zu behandeln. Insbesondere ist er verpflichtet, „vertrauliche Informationen dieser Art“ streng geheim zu halten, sie nicht zu verbreiten oder zu kommunizieren und sie auch nicht zu verwerten. Bei der Auslegung des § 10 Abs. 1 DV ist zu beachten, dass mit dieser Regelung der Umfang der Verschwiegenheitsverpflichtung des Vorstands bestimmt werden soll.

Die Verschwiegenheitsverpflichtung des Vorstands wird in § 93 Abs. 1 S. 3 AktG geregelt, der stipuliert, dass Vorstandsmitglieder über vertrauliche Angaben und Geheimnisse der Gesellschaft, namentlich Betriebs- und Geschäftsgeheimnisse Stillschweigen zu bewahren haben. Da diese Vorschrift zwingendes Recht ist, kann sie nicht ausgeschlossen oder eingeschränkt werden. Die in § 93 Abs. 1 S. 3 AktG normierte Verschwiegenheitsverpflichtung kann aber auch nicht durch Satzung, Geschäftsordnung oder Anstellungsvertrag erweitert werden, wie sich aus § 23 Abs. 5 AktG ergibt (vgl. Fleischer in BeckOGK AktG, Stand 01.02.2024, Rdnr. 202 zu § 93 AktG; Spindler in Münchener Kommentar zum AktG, 6. Auflage, München 2023, Rdnr. 143 zu § 93 AktG; Schmidt in Heidel, Aktienrecht und Kapitalmarktrecht, 5. Auflage, München 2020, Rdnr. 62 zu § 93 AktG; vgl. auch BGH, Urteil vom 05.06.1975 – II ZR 156/73, Rdnrn 8 f. zur Verschwiegenheitspflicht eines Aufsichtsrats nach § 116 iVm. § 93 Abs. 1 S. 2 AktG a.F.). Stellt also die Weiterleitung der streitgegenständlichen Emails an den privaten Email-Account des Klägers keine Verletzung der Verschwiegenheitsverpflichtung des Vorstands nach § 93 Abs. 1 S. 3 AktG dar, so ist unbeachtlich, wenn der Kläger gegen etwaig weitergehende Verpflichtungen aus § 10 Abs. 1 DV verstoßen haben sollte.

Nach der Rechtsprechung des BGH handelt es sich bei „vertrauliche(n) Angaben und Geheimnisse(n) der Gesellschaft“ iSd. § 93 Abs. 1 S. 3 AktG um nicht allgemein bekannte (offenkundige) Tatsachen, an deren Geheimhaltung ein objektives Interesse des Unternehmens besteht (vgl. BGH, Urteil vom 26.04.2016 – IX ZR 108/15, Rdnr. 31).

Alle vom Kläger weitergeleiteten streitgegenständlichen Emails bezogen sich auf „betriebliche Angelegenheiten“ iSd. § 10 Abs. 1 UA 1 DV und beinhalteten keine offenkundigen Tatsachen. So betraf die Email vom 23.04.2021, 16:27 Uhr laut Anl. B 8 das Verhalten u.a. des Mitvorstands … bezüglich der Behandlung von Gehaltsabrechnungen nicht nur des Klägers, sondern auch des früheren Vorstandsvorsitzenden der Beklagten … . In der Email vom 10.05.2012 laut Anl. B 7 ging es um die Behandlung von Forderungen des Klägers gegen die Beklagte, um Schriftwechsel mit der Steuerberatungsgesellschaft der Beklagten sowie um Kompetenzstreitigkeiten mit dem Mitvorstand … Gegenstand der Email vom 31.05.2021, 12:10 Uhr (Anl. B 2) war eine Anfrage der … AG nach dem Geldwäschegesetz und eventuell drohende Maßnahmen der BAFIN gegen die Beklagte. Die Email vom 31.05.2021, 17:47 Uhr (Anl. B 9) bezog sich auf eine Zuständigkeitsstreitigkeit zwischen dem Kläger und Mitarbeitern der …-Gruppe sowie die Provisionsplanung für 2021. Letztere war auch Thema der am 16.06.2021 um 11:13 Uhr vom Kläger versandten Email (Anlage B 5), der u.a. eine als „confidentiel“ überschriebene Präsentation betreffend Fragen zur Provisionierung sowie das Protokoll eines internen Meetings vom 07.06.2021 zu dieser Problematik beigefügt war. Die Emails vom 18.06.2021, 17.17 Uhr (Anl. B 3) und vom 21.06.2021, 12:34 Uhr laut Anl. B 6 betrafen den von einem Mitarbeiter der Beklagten (…) gegen diese geltend gemachten Anspruch auf Provisionszahlungen. In der Email vom 24.06.2021, 11:51 Uhr (Anlage B 1) waren wiederum Umsatzerlöse und Bonifizierungsgrundlagen für diesen Mitarbeiter thematisiert. Dieser Email beigefügt waren Email-Verkehr des Klägers mit Mitarbeitern der Beklagten sowie die Kopie eines Lizenzvertrages mit dem Kundenunternehmen … GmbH. Gegenstand der am 28.06.2021 um 13:26 Uhr versandten Email laut Anl. B 4 an … und … von der Wirtschaftsprüfungs- und Steuerberatungsgesellschaft … GmbH waren Spesenzahlungen der Beklagten an den Kläger.

Ob auch ein objektives Geheimhaltungsinteresse der Beklagten an diesen Tatsachen bestand, kann dahinstehen, da es jedenfalls an einer Verletzung der Verschwiegenheitsverpflichtung des § 93 Abs. 1 S. 3 AktG durch den Kläger fehlt. Wann eine Verletzung der Verschwiegenheitsverpflichtung des § 93 Abs. 1 S. 3 AktG vorliegt, ergibt sich aus dem objektiven Tatbestand des § 404 AktG, der Verletzungen der Verschwiegenheitsverpflichtung des § 93 Abs. 1 S. 3 AktG sanktioniert. Demzufolge ist die Verschwiegenheitsverpflichtung verletzt, wenn ein Geheimnis der Gesellschaft unbefugt offenbart (§ 404 Abs. 1 AktG) oder verwertet (§ 404 Abs. 2 S. 2 AktG) wird. Offenbart wiederum wird ein Geheimnis, wenn es jemandem, der dieses Wissen noch nicht hat (Unbefugter), mitgeteilt oder sonst in einer Weise zugänglich gemacht wird und er somit die Möglichkeit der Kenntnisnahme erhält. Die Art und Weise der Preisgabe ist irrelevant. Es kommt allein darauf an, dass der Adressat die nicht mehr abschirmbare Möglichkeit der Kenntnisnahme hat (vgl. Hefendehl in BeckOGK AktG, Stand 01.06.2024, Rdnr. 54 zu § 404 AktG). Diese Voraussetzungen sind im streitgegenständlichen Fall durch die Weiterleitung der Emails an den privaten Email-Account des Klägers nicht erfüllt, da der Kläger den Inhalt der Emails unstreitig keinem Dritten mitgeteilt oder zugänglich gemacht hat. Die Speicherung auf einem Freemail-Server reicht hierfür nicht aus. Auch eine Verwertung der Geheimnisse durch den Kläger ist unstreitig nicht erfolgt.

In Ermangelung einer Verletzung der Verschwiegenheitsverpflichtung des § 93 Abs. 1 S. 3 AktG kommt es daher nicht mehr darauf an, ob der Kläger die in § 10 Abs. 1 UA 3 lit a DV stipulierte Pflicht zur strengen Geheimhaltung vertraulicher Informationen verletzt hat, da eine Erweiterung der Geheimhaltungsverpflichtung des § 93 Abs. 1 S. 3 AktG durch den Vorstandsdienstvertrag nicht möglich ist.

bb. Auch wenn der Kläger nach alledem nicht gegen die ihm als Vorstand obliegende aktienrechtliche Verschwiegenheitsverpflichtung aus § 93 Abs. 1 S. 3 AktG verstieß, so hat er doch durch die Weiterleitung der streitgegenständlichen Emails gegen seine sich aus § 91 Abs. 1 S. 1 AktG ergebende Sorgfaltspflicht, die in Gestalt der Legalitätspflicht vom Vorstand eigene Regeltreue fordert, verstoßen. Denn wie das Landgericht richtig annahm (LGU S. 14), stellt die Weiterleitung der Emails auf den privaten Account des Klägers und die dortige Speicherung eine Verarbeitung iSd. Art. 4 Nr. 2 DSGVO dar, die nicht durch eine Einwilligung der betroffenen Personen gedeckt war (Art. 6 Abs. 1 lit a DSGVO). Diese Weiterleitung war auch nicht zur Wahrung der berechtigten Interessen des Klägers erforderlich (Art. 6 Abs. 1 lit f DSGVO). Gegen diese zutreffende rechtliche Wertung des Landgerichts hat die Berufung nichts erinnert, vielmehr hat der Kläger in seiner Berufungserwiderung/Anschlussberufungsbegründung (dort S. 13, Bl. 32 d.A.) sogar selbst eingeräumt, dass ihm nunmehr bewusst sei, dass eine Weiterleitung von dienstlichen Emails auf seinen privaten Email-Account nicht zulässig sei.

(1) Zwar ist nicht jeder Regelverstoß und damit auch nicht jeder Verstoß gegen Vorschriften der Datenschutzgrundverordnung schon „an sich“ als wichtiger Grund iSd. § 626 Abs. 1 BGB geeignet. Dies ist jedoch zumindest dann der Fall, wenn – wie streitgegenständlich – die unter Missachtung der Regelungen der DSGVO erfolgte Weiterleitung der Emails an den privaten Email-Account des Klägers sensible Daten der Beklagten und anderer Dritter betrifft. Um solche sensiblen Daten handelte es sich vorliegend, da es in den Emails unter anderem um eine geldwäscherechtliche Bankanfrage, Provisisonsansprüche von Mitarbeitern (…), Gehaltsabrechnungen eines früheren Vorstandsvorsitzenden (…), Planungen der Beklagten zur Verprovisionierung ihrer Mitarbeiter und Zuständigkeitsstreitigkeiten im Vorstand der Beklagten ging. Zu berücksichtigen war darüber hinaus, dass die Weiterleitung nicht ein singulärer Vorfall war, sondern neun Emails weitergeleitet wurden.

(2) Die Weiterleitung der Emails wird auch nicht dadurch gerechtfertigt, dass der Kläger – jedenfalls seiner Vorstellung nach – „nur solche Emails weiterleitete, die aufgrund der besorgniserregenden Veränderungen im Betrieb der Beklagten (…) unentbehrlich waren, um später beweisen zu können, dass er selbst keine zur Haftung führenden Fehler begangen hat“ (vgl. Schriftsatz des Klägervertreters vom 02.05.2022, S. 7, Bl. 31 d.A.). Denn für eine solche prophylaktische Selbsthilfe bestand – wie das Landgericht richtig ausführte (LGU S. 14 f.) – keine Veranlassung. Solange der Kläger noch Vorstand war, hatte er qua Amt Zugriff auf die Unterlagen der Beklagten. Nach seiner Abberufung als Vorstand hat er dagegen einen Einsichtsanspruch aus § 810 BGB, soweit er Unterlagen der Beklagten für seine Verteidigung benötigen sollte, wobei der Kläger durch die die Beklagte treffenden handels- und steuerrechtlichen Aufbewahrungspflichten auch vor unzeitiger Vernichtung der Unterlagen hinreichend geschützt ist (zur fehlenden Rechtfertigung prophylaktischer Selbsthilfe in einem vergleichbaren Fall eines Arbeitnehmers vgl. auch BAG, Urteil vom 08.05.2014 – 2 AZR 249/13, Rdnr. 33 und LArbG Hamm, Urteil vom 28.05.2020 – 15 Sa 2008/19, Rdnr. 63).

Nach alledem kann in der streitgegenständlichen Weiterleitung der Emails ein wichtiger Grund iSd. § 626 Abs. 1 BGB „an sich“ liegen. Ein Vorstand ist demnach nicht anders zu beurteilen als ein Arbeitnehmer, dem es ohne Einverständnis des Arbeitgebers ebenso verwehrt ist, sich betriebliche Unterlagen oder Daten anzueignen oder diese für betriebsfremde Zwecke zu vervielfältigen (vgl. BAG Urteil vom 08.05.2014 – 2 AZR 249/13, Rdnr. 32).

b. Nach Feststellung, dass der streitgegenständliche Sachverhalt „an sich“, d.h. typischerweise als wichtiger Grund geeignet ist, bedarf es der Prüfung, ob der Gesellschaft die Fortsetzung des Anstellungsverhältnisses unter Berücksichtigung der konkreten Umstände des Falls und unter Abwägung der Interessen beider Vertragsteile – jedenfalls bis zum Ablauf der Kündigungsfrist – zumutbar ist oder nicht (vgl. BGH, Urteil vom 29.01.2001 – II ZR 360/99, Rdnr. 9 zum Vorstand einer Genossenschaft, BGH, Urteil vom 02.06.1997 – II ZR 101 /96, Rdnr. 6 zum Geschäftsführer einer GmbH, zu Arbeitnehmern BAG, Urteil vom 19.04.2012 – 2 AZR 186/11, Rdnr. 20, Weidenkaff in Grüneberg, BGB, 83. Auflage, München 2024, Rdnr. 38 zu § 626 BGB). Dabei ist in einer Gesamtwürdigung das Interesse der Gesellschaft an der sofortigen Beendigung des Vorstandsanstellungsvertrages gegen das Interesse des Vorstands an dessen Fortbestand abzuwägen. Es hat eine Bewertung des Einzelfalls unter Beachtung des Verhältnismäßigkeitsgrundsatzes zu erfolgen. Zu berücksichtigen sind dabei u.a. regelmäßig die Schwere der Pflichtverletzung, der Grad des Verschuldens des Vorstands, das Ausmaß des Schadens, eine mögliche Wiederholungsgefahr, die Dauer des Vorstandsverhältnisses und dessen störungsfreier Verlauf sowie die sozialen Folgen für das Vorstandsmitglied (vgl. Fleischer in BeckOGK AktG, Stand 01.02.2024, Rdnr. 187 zu § 84 AktG).


Den Volltext der Entscheidung finden Sie hier:

OLG Frankfurt: Microsoft haftet für Setzen von Cookies ohne Einwilligung über Websites Dritter

OLG Frankkfurt
Urteil vom 27.06.2024
6 U 192/23


Das OLG Frankfurt hat entschieden, dass Microsoft für das Setzen von Cookies ohne Einwilligung über Websites Dritter haftet.

Die Pressemitteilung des Gericht:
Cookie-Speicherung: Microsoft haftet für einwilligungsfreie Cookie-Speicherung über Webseiten Dritter

Willigen Endnutzer nicht in die Speicherung von Cookies auf ihren Endgeräten gegenüber den Webseiten-Betreibern ein, die Cookies verwenden, haftet die hier beklagte Microsoft-Tochter für die mit ihrer Unternehmenssoftware begangene Rechtsverletzung. Es entlastet sie nicht, dass nach ihren Allgemeinen Geschäftsbedingungen die Webseiten-Betreiber für die Einholung der Einwilligung verantwortlich sind. Das Oberlandesgericht Frankfurt am Main (OLG) hat mit heute veröffentlichter Entscheidung Microsoft verpflichtet, es zu unterlassen, ohne Einwilligung Cookies auf Endeinrichtungen der Klägerin einzusetzen.

Die Klägerin wendet sich gegen die Speicherung und das Auslesen sog. Cookies zu werblichen Zwecken auf ihren Endgeräten ohne ihre Einwilligung. Die Beklagte gehört zur Microsoft Corporation (i.F: „Microsoft“). Ihr Dienst „Microsoft Advertising“ ermöglicht es Webseiten-Betreibern, Anzeigen in den Suchergebnissen des „Microsoft Search Network“ zu schalten und den Erfolg ihrer Werbekampagnen zu messen. Über Microsoft Advertising können u.a. Informationen über die Besucher einer Webseite gesammelt und für die Besucher zielgerichtete Anzeigen geschaltet werden. Für die Erfassung der Onlineaktivitäten und Interessen der Nutzer verwendet die Beklagte sog. Cookies. Webseiten-Betreibern wird von der Beklagten ein Code zur Verfügung gestellt, den diese in ihre eigene Webseite bzw. dortige Anwendungen integrieren. Sobald die Seite aufgerufen wird, wird der Cookie gesetzt bzw. ein schon vorhandener ausgelesen. Das Setzen von Cookies wird ausschließlich von den Betreibern der Webseiten durch eine entsprechende Programmierung der Seite veranlasst. Microsoft verpflichtet die Betreiber der Webseiten vertraglich, für die erforderlichen Einwilligungen zu sorgen.

Die Klägerin besuchte Webseiten Dritter. Sie behauptet, dass ohne ihre Einwilligung Cookies auf ihrem Gerät gesetzt worden seien und begehrt von der Beklagten, es zu unterlasen, auf ihren Endgeräten ohne ihre Einwilligung Cookies einzusetzen.

Das Landgericht hat mit dem angefochtenen Urteil den Erlass der beantragten einstweiligen Verfügung abgelehnt. Hiergegen richtet sich die Berufung der Klägerin, die vor dem OLG Erfolg hatte. Der Klägerin stehe ein Unterlassungsanspruch zu. Durch das Setzen von Cookies habe die Beklagte gegen die gesetzlichen Vorgaben verstoßen. Die Klägerin habe substantiiert vorgetragen, dass auf ihren Geräten Cookies beim Besuch mehrerer Internetseiten ohne ihre Einwilligung gespeichert worden seien. Das Gesetz verpflichte auch die Beklagte. Es verbiete „jedermann den Zugriff auf vernetzte Endeinrichtungen ohne die Einwilligung des Endnutzers“, betont der Senat. Damit erfasse es jeden Akteur, der eine konkrete Speicher- oder Zugriffshandlung beabsichtige. Die Beklagte hafte auch als Täterin für diese Rechtsverletzung. Sie speichere die Informationen in Form von Cookies auf den Endeinrichtungen der Nutzer, sobald die entsprechende Anforderung durch den von ihr bereit gestellten Programmcode auf der vom Nutzer besuchten Internetseite ausgelöst werde. Zudem greife sie auf die hinterlegten Informationen zu, in dem sie sich diese von den Betreibern der Internetseiten zur Verfügung stellen lasse, nachdem diese die Informationen ausgelesen haben. Sie habe damit die Speicherung der Cookies ohne Einwilligung adäquat kausal verwirklicht.

Soweit die Beklagte sich darauf verlasse, dass die jeweiligen Webseiten-Betriebe die erforderliche Einwilligung einholten, entlaste sie dies nicht. Sie bleibe darlegungs- und beweisbelastet für den Umstand, dass die Endnutzer vor der Speicherung von Cookies auf ihren Endgeräten eingewilligt haben. Wie sie diesen Nachweis führe, obliege ihr. Sie müsste aber sicherstellen, dass diese Einwilligung vorliege. Das Gesetz gehe zu Recht davon aus, dass dieser Nachweis der Beklagten sowohl technisch - als auch rechtlich - möglich sei.

Die im Eilverfahren ergangene Entscheidung ist nicht anfechtbar.

Oberlandesgericht Frankfurt am Main, Urteil vom 27.6.2024, Az. 6 U 192/23
(vorausgehend Landgericht Frankfurt am Main, Urteil vom 3.11.2023, Az. 2-02 O 217/22)


Erläuterungen:
§ 2 TTDSG Begriffsbestimmungen
(1) Die Begriffsbestimmungen des Telekommunikationsgesetzes, des Digitale-Dienste-Gesetzes
und der Verordnung (EU) 2016/679 des Europäischen Parlaments und des Rates vom 27. April 2016 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten, zum freien Datenverkehr und zur Aufhebung der Richtlinie 95/46/EG (Datenschutz-Grundverordnung) gelten auch für dieses Gesetz, soweit in Absatz 2 keine abweichende Begriffsbestimmung getroffen wird.

(2) Im Sinne dieses Gesetzes ist oder sind

1.„Anbieter von digitalen Diensten“ jede natürliche oder juristische Person, die eigene oder fremde digitale Dienste erbringt, an der Erbringung mitwirkt oder den Zugang zur Nutzung von eigenen oder fremden digitalen Diensten vermittelt,
...

§ 25 TTDSG Schutz der Privatsphäre bei Endeinrichtungen
(1) 1Die Speicherung von Informationen in der Endeinrichtung des Endnutzers oder der Zugriff auf Informationen, die bereits in der Endeinrichtung gespeichert sind, sind nur zulässig, wenn der Endnutzer auf der Grundlage von klaren und umfassenden Informationen eingewilligt hat. 2Die Information des Endnutzers und die Einwilligung haben gemäß der Verordnung (EU) 2016/679 zu erfolgen.

(2) Die Einwilligung nach Absatz 1 ist nicht erforderlich,

1.wenn der alleinige Zweck der Speicherung von Informationen in der Endeinrichtung des Endnutzers oder der alleinige Zweck des Zugriffs auf bereits in der Endeinrichtung des Endnutzers gespeicherte Informationen die Durchführung der Übertragung einer Nachricht über ein öffentliches Telekommunikationsnetz ist oder
2.wenn die Speicherung von Informationen in der Endeinrichtung des Endnutzers oder der Zugriff auf bereits in der Endeinrichtung des Endnutzers gespeicherte Informationen unbedingt erforderlich ist, damit der Anbieter eines digitalen Dienstes einen vom Nutzer ausdrücklich gewünschten digitalen Dienst zur Verfügung stellen kann.


LAG Niedersachsen legt EuGH vor: Ist Verarbeitung und Berücksichtigung rechtswidrig erlangter Daten im Prozess mit den Vorgaben der DSGVO vereinbar

LAG Niedersachsen
Beschluss vom 18.07.2024
8 Sa 688/23


Das LAG Niedersachsen hat dem EuGH zur Vorabentscheidung vorgelegt, ob die Verarbeitung und Berücksichtigung rechtswidrig erlangter Daten im Prozess mit den Vorgaben der DSGVO vereinbar ist.

Die Pressemitteilung des Gerichts:
LAG Niedersachsen legt dem EuGH Fragen zur Auslegung der DSGVO bei deren Anwendung auf die Tätigkeit der Gerichte vor

In einem vor dem Landesarbeitsgericht Niedersachsen anhängigen Fall (Aktenzeichen: 8 Sa 688/23) verlangt die klagende Arbeitgeberin von einer ausgeschiedenen Arbeitnehmerin Schadenersatz in Höhe von rd. 46.000 Euro. Die Klägerin behauptet, die Beklagte habe unbefugt Gegenstände aus dem privaten Firmeneigentum an Dritte veräußert und sich am Erlös bereichert. Die Klägerin stützt ihre Erkenntnisse über die Veräußerungsvorgänge auf eine ohne Wissen und Willen der Beklagten erfolgte Einsichtnahme in deren privates ebay-Konto. Auf welche Weise die Klägerin die Kenntnis der ebay-Benutzerkennung der Beklagten und des zugehörigen Passwortes erlangt hat, ist zwischen den Parteien streitig.

Die 8. Kammer des Landesarbeitsgerichts Niedersachsen hat in dieser Rechtssache beim Gerichtshof der Europäischen Union (EuGH) ein Vorabentscheidungsverfahren anhängig gemacht. Der Gerichtshof hat in seinen Urteilen vom 24. März 2022 - C-245/20 - (Autoriteit Persoonsgegevens) in Rn. 25 und vom 2. März 2023 – C-268/21 – (Norra Stockholm Bygg AB) in Rn. 26 deutlich gemacht, dass auch justizielle Tätigkeit, soweit dabei Daten verarbeitet werden, in den Geltungsbereich der Datenschutzgrundverordnung (DSGVO) fällt. Mit der ersten Vorlagefrage soll Klarheit darüber geschaffen werden, ob die Regelungen des deutschen Zivilprozessrechts bestimmt genug sind - d.h., die erforderliche Regelungstiefe aufweisen -, um den Anforderungen der DSGVO zu genügen. Des Weiteren wird der Gerichtshof - kurz zusammengefasst - gefragt, welche der Normen der DSGVO auf gerichtliche Datenverarbeitungstätigkeit Anwendung finden und welche Rechtsgrundsätze hierbei von den Gerichten zu beachten sind. Die Beantwortung der Fragen durch den Gerichtshof kann über die konkrete Rechtssache hinaus in allen Fällen hilfreich sein, in denen die nationalen Gerichte zu beurteilen haben, ob und unter welchen Voraussetzungen möglicherweise rechtswidrig erlangte Kenntnisse und Beweismittel, die eine Partei in den Rechtsstreit einführt, von ihnen verwertet werden können.

Das Verfahren wird von dem Gerichtshof der Europäischen Union unter dem Aktenzeichen C-484/24 geführt.


EU-Kommission: “Pay or Consent" Werbemodell / Bezahlmodell von Meta für Facebook und Instagram verstößt gegen Art. 5 Abs. 2 Digital Markets Act (DMA)

Die EU-Kommission kommt zu dem vorläufigen Erghebnis, dass das “Pay or Consent" Werbemodell / Bezahlmodell von Meta für Facebook und Instagram gegen Art. 5 Abs. 2 Digital Markets Act (DMA) verstößt.

Die Pressemitteilung der EU-Kommission:
Commission sends preliminary findings to Meta over its “Pay or Consent” model for breach of the Digital Markets Act

Today, the Commission has informed Meta of its preliminary findings that its “pay or consent” advertising model fails to comply with the Digital Markets Act (DMA). In the Commission's preliminary view, this binary choice forces users to consent to the combination of their personal data and fails to provide them a less personalised but equivalent version of Meta's social networks

Preliminary findings on Meta's “pay or consent” model

Online platforms often collect personal data across their own and third party services to provide online advertising services. Due to their significant position in digital markets, gatekeepers have been able to impose terms of services on their large user base allowing them to collect vast amounts of personal data. This has given them potential advantages compared to competitors who do not have access to such a vast amount of data, thereby raising high barriers to providing online advertising services and social network services.

Under Article 5(2) of the DMA, gatekeepers must seek users' consent for combining their personal data between designated core platform services and other services, and if a user refuses such consent, they should have access to a less personalised but equivalent alternative. Gatekeepers cannot make use of the service or certain functionalities conditional on users' consent.

In response to regulatory changes in the EU, Meta introduced in November 2023 a binary “pay or consent” offer whereby EU users of Facebook and Instagram have to choose between: (i) the subscription for a monthly fee to an ads-free version of these social networks or (ii) the free-of-charge access to a version of these social networks with personalised ads.

he Commission takes the preliminary view that Meta's “pay or consent” advertising model is not compliant with the DMA as it does not meet the necessary requirements set out under Article 5(2). In particular, Meta's model:

- Does not allow users to opt for a service that uses less of their personal data but is otherwise equivalent to the “personalised ads” based service.

- Does not allow users to exercise their right to freely consent to the combination of their personal data.

To ensure compliance with the DMA, users who do not consent should still get access to an equivalent service which uses less of their personal data, in this case for the personalisation of advertising.

Throughout its investigation, the Commission has been coordinating with the relevant data protection authorities.

Next steps

By sending preliminary findings, the Commission informs Meta of its preliminary view that the company is in breach of the DMA. This is without prejudice to the outcome of the investigation. Meta now has the possibility to exercise its rights of defence by examining the documents in the Commission's investigation file and replying in writing to the Commission's preliminary findings. The Commission will conclude its investigation within 12 months from the opening of proceedings on 25 March 2024.

If the Commission's preliminary views were to be ultimately confirmed, the Commission would adopt a decision finding that Meta's model does not comply with Article 5(2) of the DMA.

In case of non-compliance, the Commission can impose fines up to 10% of the gatekeeper's total worldwide turnover. Such fines can go up to 20% in case of repeated infringement. Moreover, in case of systematic non-compliance, the Commission is also empowered to adopt additional remedies such as obliging a gatekeeper to sell a business or parts of it or banning the gatekeeper from acquisitions of additional services related to the systemic non-compliance.

The Commission continues its constructive engagement with Meta to identify a satisfactory path towards effective compliance.



VG Mannheim: Kein DSGVO-Verstoß durch Veröffentlichung von Parteiunterlagen einschließlich der Mitgliederlisten der Vorstände einer Partei auf der Internetseite der Bundeswahlleiterin

VG Mannheim
Beschluss vom 06.05.2024
6 L 318/24.WI


Das VG Mannheim hat entschieden, dass kein DSGVO-Verstoß durch Veröffentlichung von Parteiunterlagen einschließlich der Mitgliederlisten der Vorstände einer Partei auf der Internetseite der Bundeswahlleiterin vorliegt.

Aus den Entscheidungsgründen:
Grundlage der Datenverarbeitung ist Art. 6 Abs. 1 Satz 1 Buchst. c) DS-GVO i. V. m. § 6 Abs. 3 Satz 3 PartG. Gemäß Art. 6 Abs. 1 Satz 1 Buchst. c) DS-GVO ist die Verarbeitung personenbezogener Daten rechtmäßig, sofern sie zur Erfüllung einer rechtlichen Verpflichtung erforderlich ist. Die gesetzliche Verpflichtung der Antragsgegnerin zur Verarbeitung und Bereitstellung der Daten folgt aus § 6 Abs. 3 PartG.

Die Online-Zurverfügungstellung der Unterlagen einschließlich der Mitgliederlisten der Vorstände von Partei und Landesverbänden der Antragsgegnerin ist auch erforderlich. Sie verstößt insbesondere nicht gegen den Grundsatz der Datensparsamkeit. Der Grundsatz der Datensparsamkeit ist in Art. 5 Abs. 1 Buchst. c) DS-GVO bzw. § 47 Nr. 3 BDSG geregelt. Demnach muss die Datenverarbeitung dem Zweck angemessen bzw. erforderlich sowie auf das für die Zwecke der Verarbeitung notwendige Maß beschränkt sein bzw. darf hierzu nicht außer Verhältnis stehen. Dies ist hier der Fall.

Die Online-Zurverfügungstellung der vollständigen Unterlagen ist erforderlich, weil, wie oben dargelegt, interessierte Bürger sich, wie in § 6 Abs. 3 Satz 3 PartG vorgesehen, nur auf diese Weise gleichmäßig über alle politischen Parteien informieren können. Sie ist auch nicht außer Verhältnis zu diesem Zweck, da die Daten, die hinsichtlich der Bundes- bzw. Landesvorstände veröffentlicht werden, also die Namen der jeweiligen Parteimitglieder sowie deren Funktion in der Partei, weder geheimhaltungsbedürftig noch sensibel sind. Vorstandsmitglieder einer bundesweit tätigen politischen Partei stehen bereits aufgrund ihrer hervorgehobenen politischen Tätigkeit in der Öffentlichkeit. Darüber hinaus erfolgt die Aufnahme der betroffenen Personen in die Unterlagensammlung aufgrund ihres – freiwilligen – innerparteilichen Engagements. Die Nennung der Namen der Betroffenen erfolgt im parteispezifischen Umfeld und damit im Bereich ihrer Sozialsphäre. Zudem stellt die Antragsgegnerin die Unterlagen möglichst datensparsam, nämlich in einer PDF-Datei, abrufbar über einen Link, bereit, sodass die Internetsuche nach dem Namen einer betroffenen Person nicht ohne Weiteres zu der Unterlagensammlung der Antragsgegnerin führt. Schließlich ist insoweit festzuhalten, dass die Antragstellerin auf ihrer eigenen Homepage im Downloadbereich unter einer hervorgehobenen Überschrift „Unterlagen gemäß § 6 Abs. 3 Parteigesetz (ParteiG)“ ein Schreiben der Antragsgegnerin vom 07.10.2021 (unter Aufführung des Klarnamens des Sachbearbeiters) und eine Verlinkung zur streitgegenständlichen Unterlagensammlung der Antragsgegnerin zur Verfügung stellt und somit letztlich selbst die Reichweite der von ihr monierten Informationen erhöht.

Unerheblich für die Entscheidung ist, dass keine (gesetzliche) Verpflichtung besteht, sich in sozialen Medien mit Klarnamen zu registrieren. Die freiwillige Registrierung und Darstellung in sozialen Medien ist, anders als die Meldung und Vorhaltung der Unterlagen nach § 6 Abs. 3 PartG nämlich nicht gesetzlich angeordnet. Gleiches gilt, soweit die Antragstellerin darauf abstellt, dass die Antragsgegnerin nicht die Einwilligung der betroffenen Personen eingeholt hat. Dies ist aufgrund der gesetzlichen Anordnung der Aufnahme der Vorstandsmitglieder auf Bundes- bzw. Landesebene und der Verpflichtung zur Vorhaltung der diesbezüglichen Unterlagen gemäß § 6 Abs. 3 PartG nicht erforderlich.

Nach alledem ist der Antrag nach summarischer Prüfung der Sach- und Rechtslage unter allen in Betracht kommenden Gesichtspunkten abzulehnen.


Den Volltext der Entscheidung finden Sie hier: