Skip to content

BVerfG: Übermittlung mit nachrichtendienstlichen Mitteln erhobener personenbezogener Daten auf Grundlage von § 20 Abs. 1 BVerfSchG grundrechtswidrig

BVerfG
Beschluss vom 28.09.2022
1 BvR 2354/13


Das Bundesverfassungsgericht hat entschieden, dass die Übermittlung mit nachrichtendienstlichen Mitteln erhobener personenbezogener Daten auf Grundlage von § 20 Abs. 1 BVerfSchG grundrechtswidrig ist.

Die Pressemitteilung des Bundesverfassungsgerichts:
Erfolgreiche Verfassungsbeschwerde gegen die Übermittlung mit nachrichtendienstlichen Mitteln erhobener personenbezogener Daten

Mit heute veröffentlichtem Beschluss hat der Erste Senat des Bundesverfassungsgerichts entschieden, dass die Übermittlungsbefugnisse der Verfassungsschutzbehörden in Angelegenheiten des Staats- und Verfassungsschutzes nach dem Bundesverfassungsschutzgesetz (BVerfSchG) mit dem Grundrecht auf informationelle Selbstbestimmung aus Art. 2 Abs. 1 in Verbindung mit Art. 1 Abs. 1 des Grundgesetzes (GG) nicht vereinbar sind. Dies gilt, soweit sie zur Übermittlung personenbezogener Daten verpflichten, die mit nachrichtendienstlichen Mitteln erhoben wurden. Die betreffenden Vorschriften verstoßen gegen die Normenklarheit und den Grundsatz der Verhältnismäßigkeit. Zudem fehlt es an einer spezifisch normierten Protokollierungspflicht. Die angegriffenen Normen gelten - mit Blick auf die betroffenen Grundrechte jedoch nach einschränkenden Maßgaben - bis zum 31. Dezember 2023 vorübergehend fort.

Sachverhalt:

Nach § 20 Abs. 1 Satz 1 BVerfSchG übermittelt das Bundesamt für Verfassungsschutz personenbezogene Daten und Informationen an Polizeien und Staatsanwaltschaften, wenn tatsächliche Anhaltspunkte dafür bestehen, dass die Übermittlung zur Verhinderung oder Verfolgung von Staatsschutzdelikten erforderlich ist. § 20 Abs. 1 Satz 2 BVerfSchG definiert die Staatsschutzdelikte unter anderem als die in §§ 74a und 120 des Gerichtsverfassungsgesetzes (GVG) genannten Straftaten sowie sonstige Straftaten, die gegen die in Art. 73 Abs. 1 Nr. 10 Buchstabe b oder c GG genannten Schutzgüter gerichtet sind. § 21 Abs. 1 Satz 1 BVerfSchG erstreckt die Übermittlungspflichten des § 20 Abs. 1 Satz 1 und 2 BVerfSchG entsprechend auf die Verfassungsschutzbehörden der Länder. Auf diese Übermittlungsregelungen verweist das Rechtsextremismus-Datei-Gesetz (RED-G). Die Rechtsextremismus-Datei ist eine der Bekämpfung des gewaltbezogenen Rechtsextremismus dienende Verbunddatei von Polizeibehörden und Nachrichtendiensten des Bundes und der Länder, die in ihrem Kern der Informationsanbahnung dient. Dazu werden in ihr spezifische personenbezogene Daten gespeichert, wenn ihre Kenntnis für die Aufklärung oder Bekämpfung des gewaltbezogenen Rechtsextremismus erforderlich ist. Der Beschwerdeführer, der im Prozess um den Nationalsozialistischen Untergrund rechtskräftig verurteilt wurde, wendet sich gegen die Übermittlungsbefugnisse der Verfassungsschutzbehörden und rügt eine Verletzung des Grundrechts auf informationelle Selbstbestimmung.

Wesentliche Erwägungen des Senats:

A. Die Verfassungsbeschwerde ist zulässig, soweit sie sich gegen die Übermittlungsvorschriften in § 20 Abs. 1 Satz 1 und 2 und § 21 Abs. 1 Satz 1 in Verbindung mit § 20 Abs. 1 Satz 1 und 2 BVerfSchG richtet. Der Beschwerdeführer beanstandet die Übermittlungstatbestände allerdings nur hinsichtlich der Übermittlung mit nachrichtendienstlichen Mitteln heimlich erhobener personenbezogener Daten.

Soweit der Beschwerdeführer zusätzlich die allgemeine Übermittlungsbefugnis des Bundesamtes für Verfassungsschutz nach § 19 Abs. 1 Satz 1 BVerfSchG in der Fassung vom 5. Januar 2007 angegriffen hat, ist die Verfassungsbeschwerde unzulässig. Nachdem in Folge einer Gesetzesänderung im Jahr 2015 die Altfassung außer Kraft getreten ist, fehlt es insoweit an einem fortdauernden Rechtsschutzbedürfnis. Der Beschwerdeführer hat seine Verfassungsbeschwerde auch nicht fristgerecht auf die Neufassung der Vorschrift umgestellt.

B. Soweit die Verfassungsbeschwerde zulässig ist, ist sie auch begründet.

I. Durch Übermittlungen personenbezogener Daten und Informationen nach den angegriffenen Regelungen ist das Grundrecht auf informationelle Selbstbestimmung als Ausprägung des allgemeinen Persönlichkeitsrechts aus Art. 2 Abs. 1 in Verbindung mit Art. 1 Abs. 1 GG betroffen. Die Übermittlung personenbezogener Daten, mit der eine Behörde die von ihr erhobenen Daten einer anderen Stelle zugänglich macht, begründet einen erneuten Grundrechtseingriff im Verhältnis zur ursprünglichen Datenerhebung.

II. Die angegriffenen Vorschriften sind zwar in formeller Hinsicht mit der Verfassung vereinbar. Insbesondere steht dem Bund hier die Gesetzgebungskompetenz zu. Denn die Gesetzgebungskompetenz des Bundes aus Art. 73 Abs. 1 Nr. 10 GG erstreckt sich nicht nur auf die Zusammenarbeit des Bundes und der Länder, sondern auch auf die der Länder untereinander. Sie umfasst hingegen nicht die Regelung der Zusammenarbeit zwischen Behörden desselben Landes.

III. Die angegriffenen Übermittlungsbefugnisse genügen jedoch nicht den verfassungsrechtlichen Anforderungen an die Normenklarheit und die Verhältnismäßigkeit und enthalten keine ausreichenden Vorgaben für eine Protokollierung der Datenübermittlung.

1. a) Ein Verstoß gegen das Gebot der Normenklarheit folgt hier allerdings nicht ohne weiteres bereits daraus, dass sich der Gesetzgeber mitunter mehrgliedriger Verweisungsketten bedient hat. Die Normenklarheit setzt der Verwendung gesetzlicher Verweisungsketten Grenzen, steht dieser aber nicht grundsätzlich entgegen. Maßgeblich bleibt die inhaltliche Verständlichkeit der Regelung für den Normbetroffenen. Bei der Normierung sicherheitsrechtlicher Datenverarbeitungen kann es zweckdienlich sein, auf Fachgesetze zu verweisen, in deren Kontext Auslegungsfragen – anders als bei heimlichen Maßnahmen – im Wechselspiel von Anwendungspraxis und gerichtlicher Kontrolle verbindlich geklärt werden können. Ob eine Verweisung mit dem Gebot der Normenklarheit vereinbar ist, hängt von einer wertenden Gesamtbetrachtung unter Berücksichtigung möglicher Regelungsalternativen ab. Das Erfassen des Normgehaltes wird insbesondere durch Verweisungsketten erleichtert, die die in Bezug genommenen Vorschriften vollständig aufführen.

Danach sind jedenfalls einige der selbst vielgliedrigen Verweisungsketten des § 20 Abs. 1 Satz 2 BVerfSchG unter dem Aspekt der Normenklarheit nicht zu beanstanden.

b) Jedoch regelt § 20 Abs. 1 Satz 2 BVerfSchG die Voraussetzungen der Übermittlungspflicht nicht durchgehend normenklar. Verweisungen dürfen nicht durch die Inbezugnahme von Normen, die andersartige Spannungslagen bewältigen, ihre Klarheit verlieren und in der Praxis nicht zu übermäßigen Schwierigkeiten bei der Anwendung führen. Dies droht vorliegend dadurch, dass zur Bestimmung der Straftaten, die eine Übermittlungspflicht auslösen, ohne weitere Einschränkung auf § 120 Abs. 2 GVG verwiesen wird. Nach dieser Vorschrift wird die Zuständigkeit der Oberlandesgerichte für bestimmte Straftaten nur begründet, wenn der Generalbundesanwalt wegen der besonderen Bedeutung des Falles die Verfolgung übernimmt. Ob und inwieweit dieses Tatbestandmerkmal auch im Rahmen der – insbesondere gefahrenabwehrrechtlichen – Übermittlungspflicht zu berücksichtigen ist, lässt § 20 Abs. 1 Satz 2 BVerfSchG in Verbindung mit § 120 Abs. 2 GVG nicht mit hinreichender Klarheit erkennen.

2. Die in § 20 Abs. 1 Satz 1 und 2 BVerfSchG geregelten Übermittlungsbefugnisse verstoßen zudem gegen den Grundsatz der Verhältnismäßigkeit.

a) Zwar dienen sie dem legitimen Zweck, Staatsschutzdelikte effektiv zu bekämpfen und damit einhergehend den Bestand und die Sicherheit des Staates sowie Leib, Leben und Freiheit der Bevölkerung zu schützen. Dass die angegriffenen Übermittlungsbefugnisse zur Erreichung dieser Zwecke grundsätzlich im verfassungsrechtlichen Sinne geeignet und erforderlich sind, steht nicht in Zweifel.

b) Sie sind jedoch nicht durchweg mit den Anforderungen des Grundsatzes der Verhältnismäßigkeit im engeren Sinne vereinbar.

aa) Nach diesem gilt für die Übermittlung personenbezogener Daten und Informationen von Verfassungsschutzbehörden an Sicherheitsbehörden mit operativen Anschlussbefugnissen grundsätzlich ein informationelles Trennungsprinzip. Aufgrund der weitreichenden Überwachungsbefugnisse der Verfassungsschutzbehörden unterliegen derartige Übermittlungen gesteigerten Rechtfertigungsvoraussetzungen. Jedenfalls wenn personenbezogene Daten und Informationen mit nachrichtendienstlichen Mitteln erhoben wurden, beurteilen sich diese nach dem Kriterium der hypothetischen Neuerhebung. Danach kommt es darauf an, ob der empfangenden Behörde zu dem jeweiligen Übermittlungszweck eine eigene Datenerhebung und Informationsgewinnung mit vergleichbar schwerwiegenden Mitteln wie der vorangegangenen Überwachung durch die Verfassungsschutzbehörde erlaubt werden dürfte.

(1) Die Übermittlung an eine Gefahrenabwehrbehörde setzt daher voraus, dass sie dem Schutz eines besonders gewichtigen Rechtsguts dient, für das wenigstens eine hinreichend konkretisierte Gefahr besteht. Im Grundsatz steht es dem Gesetzgeber bei der Normierung der Übermittlungsvoraussetzungen frei, das erforderliche Rechtsgut nicht unmittelbar zu benennen, sondern an entsprechende Straftaten anzuknüpfen. Die Übermittlung kann dabei als Übermittlungsschwelle grundsätzlich auch an die Gefahr der Begehung solcher Straftaten anknüpfen, bei denen die Strafbarkeitsschwelle durch die Pönalisierung von Vorbereitungshandlungen oder bloßen Rechtsgutgefährdungen in das Vorfeld von Gefahren verlagert wird. Der Gesetzgeber muss dann aber sicherstellen, dass in jedem Einzelfall eine konkrete oder konkretisierte Gefahr für das durch den Straftatbestand geschützte Rechtsgut vorliegt. Diese ergibt sich nicht notwendiger Weise bereits aus der Gefahr der Tatbestandsverwirklichung selbst.

(2) Die Übermittlung an eine Strafverfolgungsbehörde kommt nur zur Verfolgung besonders schwerer Straftaten in Betracht und setzt voraus, dass ein durch bestimmte Tatsachen begründeter Verdacht vorliegt, für den konkrete und verdichtete Umstände als Tatsachenbasis vorhanden sind.

bb) Diesen Anforderungen genügen die angegriffenen Vorschriften nicht. § 20 Abs. 1 Satz 1 BVerfSchG benennt bei der Regelung der Übermittlung nachrichtendienstlich erhobener Daten zur Gefahrenabwehr nicht unmittelbar das zu schützende Rechtsgut, sondern knüpft – grundsätzlich zulässig – ebenso wie bei der Übermittlung zur Strafverfolgung an die in § 20 Abs. 1 Satz 2 BVerfSchG aufgeführten Straftaten an. Allerdings können nicht alle in den §§ 74a, 120 GVG genannten und durch die Vorschrift pauschal in Bezug genommenen Straftaten als besonders schwere Straftaten qualifiziert werden. Gleiches gilt für den offenen Übermittlungstatbestand, der beliebige sonstige Straftaten alleine aufgrund ihrer Zielsetzung oder des Motivs des Täters mit einbezieht.

Insoweit hilft es auch nicht, dass § 23 Nr. 1 BVerfSchG ein allgemeines Verbot unverhältnismäßiger Übermittlungen enthält. Dieser Pauschalvorbehalt strukturiert den Abwägungsprozess trotz der inzwischen erfolgten verfassungsgerichtlichen Konkretisierung der Anforderungen jedenfalls wegen der in § 20 Abs. 1 Satz 1 BVerfSchG normierten Pflicht zur Übermittlung nicht in einer Weise, dass eine Beschränkung der Übermittlung auf Fälle gesichert wäre, in denen die notwendigen Voraussetzungen vorliegen.

Darüber hinaus fehlt es an der verfassungsrechtlich gebotenen Übermittlungsschwelle. Die angegriffenen Vorschriften erlauben eine Übermittlung bereits dann, wenn tatsächliche Anhaltspunkte dafür bestehen, dass diese zur Verhinderung oder Verfolgung von Staatsschutzdelikten erforderlich ist. Sie ermöglichen damit die Übermittlung von Informationen, die unabhängig von einer konkretisierten Gefahrenlage oder von bestimmten, den Verdacht begründenden Tatsachen als erforderlich angesehen werden können.

3. Schließlich genügen die Übermittlungsvorschriften den verfassungsrechtlichen Anforderungen an eine spezifisch normierte Pflicht zur Protokollierung der Übermittlung sowie zur Nennung der für die Übermittlung in Anspruch genommenen Rechtsgrundlage nicht.


Neuer Versuch des BMJ zur Vorratsdatenspeicherung: Entwurf eines Gesetzes zur Einführung einer Sicherungsanordnung für Verkehrsdaten in der Strafprozessordnung

Das Bundesministeriums der Justiz (BMJ) versucht sich abermals an einer unionsrechtskonformen Regelung zur Vorratsdatenspeicherung und hat den Referentenentwurf eines Gesetzes zur Einführung einer Sicherungsanordnung für Verkehrsdaten in der Strafprozessordnung vorgelegt.

Aus dem Entwurf:
A. Problem und Ziel
Mit Urteil vom 20. September 2022 – C-793/19 und C-794/19 – hat der Gerichtshof der Europäischen Union (EuGH) entschieden, dass die Vorschriften des deutschen Rechts zur sogenannten Vorratsdatenspeicherung nicht mit dem Unionsrecht vereinbar sind. Diese Entscheidung fügt sich in die bisherige Rechtsprechung des Gerichtshofs seit dem Jahr 2014 ein, wonach eine generelle und unterschiedslose Vorratsspeicherung sämtlicher Verkehrs- und Standortdaten aller Nutzer auch zur Bekämpfung schwerer Kriminalität nicht mit dem Unionsrecht vereinbar ist.

Schon zuvor liefen die im Jahr 2015 eingeführten Regelungen zur „Vorratsdatenspeicherung“ in den §§ 175 bis 181 des Telekommunikationsgesetzes (TKG) und in § 100g Absatz 2 der Strafprozessordnung (StPO) weitgehend leer. Nachdem das Oberverwaltungsgericht Nordrhein-Westfalen im Juni 2017 im Eilverfahren die Speicherpflicht gegenüber den klagenden Telekommunikationsdienste-Anbietern einstweilig ausgesetzt hatte, verzichtete die Bundesnetzagentur nämlich bis zur endgültigen Klärung, ob diese Vorschriften europarechtskonform sind, auf jegliche Maßnahmen zur Durchsetzung der gesetzlich nach wie vor bestehenden Speicherpflicht.

Diese Klärung hat der EuGH nunmehr vorgenommen. Aus seinem Urteil folgt, dass der Versuch einer unionsrechtskonformen Ausgestaltung einer anlasslosen „Vorratsdatenspeicherung“ zu Strafverfolgungszwecken im nationalen Recht gescheitert ist; eine Neuauflage der allgemeinen und unterschiedslosen „Vorratsdatenspeicherung“ aller Verkehrsdaten ist aufgrund der höchstrichterlichen Vorgaben nicht möglich.

Zur effektiven Erlangung von digitalen Beweismitteln steht aber eine Alternative zur Verfügung. Der EuGH hat in seinem Urteil vom 20. September 2022 ausdrücklich ausgeführt, dass mit einer anlassbezogenen Sicherung von Verkehrsdaten für einen festgelegten Zeitraum, die einer wirksamen richterlichen Kontrolle unterliegt, ein grundrechtsschonenderes und effektives Ermittlungsinstrument vorhanden ist, welches einer unionsrechtskonformen Regelung im Strafverfahrensrecht zugänglich ist. Diese Vorgaben des Gerichtshofs zu einer unionsrechtskonformen, anlassbezogenen Verkehrsdatenspeicherung sollen mit diesem Gesetz umgesetzt werden.

B. Lösung
Mit diesem Gesetz werden zum einen als zwingende Folge des Urteils des EuGH vom 20. September 2022 – C-793/19 und C-794/19 – die gegen das Unionsrecht verstoßenden Regelungen der „Vorratsdatenspeicherung“ in § 100g Absatz 2 StPO und in den §§ 175 bis 181 TKG aufgehoben.

Zugleich wird in einem neu gefassten § 100g Absatz 5 StPO das Ermittlungsinstrument einer Sicherungsanordnung bereits vorhandener und künftig anfallender Verkehrsdaten eingeführt. Deren Sicherung soll anlassbezogen zur Verfolgung von erheblichen Straftaten zulässig sein, soweit die Verkehrsdaten für die Erforschung des Sachverhalts oder zur Ermittlung des Aufenthaltsorts eines Beschuldigten von Bedeutung sein können. Die Maßnahme soll im Grundsatz nur auf Anordnung eines Richters zulässig sein. Damit wird die Menge der zu speichernden Daten auf das notwendige Maß begrenzt, da nur die bei den Anbietern von Telekommunikationsdiensten aus geschäftlichen Gründen ohnehin bereits vorhandenen und künftig anfallenden Verkehrsdaten gesichert werden dürfen („Einfrieren“). Diese Daten stehen den Strafverfolgungsbehörden für eine begrenzte Zeit für eine spätere Erhebung und Auswertung zur Verfügung, die freilich einer erneuten richterlichen Anordnung bedarf („Auftauen“).

Die vorgeschlagene Regelung – auch „Quick-Freeze-Regelung“ genannt – steht im Einklang mit den Anforderungen, die der EuGH in seiner Rechtsprechung zur „Vorratsdatenspeicherung“ seit 2014 formuliert hat. Auch das von der Bundesrepublik Deutschland unterzeichnete und ratifizierte Übereinkommen des Europarats über Computerkriminalität, die sogenannte Budapest-Konvention, enthält in Artikel 16 eine Verpflichtung der Vertragsstaaten, die zuständigen Behörden zu ermächtigen, die umgehende Sicherung von Verkehrsdaten anzuordnen.

Es handelt sich also um eine neue Ausgestaltung der verpflichtenden Verkehrsdatenspeicherung, die einerseits den Grundrechtsschutz der Nutzer von Telekommunikationsdiensten gewährleistet. Andererseits wird den Strafverfolgungsbehörden ein rechtssicheres und effektives Ermittlungsinstrument zur Bekämpfung schwerer Kriminalität im digitalen Raum an die Hand gegeben. Damit trägt der Entwurf zur Erreichung von Ziel 16 „Frieden, Gerechtigkeit und starke Institutionen“ der Agenda 2030 für nachhaltige Entwicklung bei. Die Folgeänderungen im TKG und in der Telekommunikations-Überwachungsverordnung (TKÜV) dienen dazu, auch die dortigen Vorschriften zur „Vorratsdatenspeicherung“ aufzuheben und die aus der neuen Sicherungsanordnung folgenden Speicherungs-, Abfragungs- , Übermittlungs- und Löschungspflichten für die Telekommunikationsdienste-Anbieter zu regeln. Neben weiteren Folgeänderungen im Bundespolizeigesetz (BPolG), BSI-Gesetz, Bundeskriminalamtgesetz (BKAG), Zollfahndungsdienstgesetz (ZFdG) und im Einführungsgesetz zur Strafprozessordnung (EGStPO) soll durch Änderungen im Justizvergütungsund -entschädigungsgesetz (JVEG) sichergestellt werden, dass die verpflichteten Unternehmen auch für ihren im Einzelfall im Rahmen der Sicherungsanordnung nach § 100g Absatz 5 StPO-E anfallenden Aufwand angemessen entschädigt werden.


Sie finden den Entwurf hier:

EuGH: Französische Regelung zur anlasslosen Vorratsdatenspeicherung zur Bekämpfung von Straftaten des Marktmissbrauchs und Insidergeschäften unionsrechtswidrig

EuGH
Urteil vom 21.09.2022
in den verbundenen Rechtssachen C-339/20 | VD und C-397/20 | SR


Der EuGH hat entschieden, dass die französische Regelung zur anlasslosen Vorratsdatenspeicherung zur Bekämpfung von Straftaten des Marktmissbrauchs und von Insidergeschäften unionsrechtswidrig ist.

Die Pressemitteilung des EuGH:
Es ist nicht zulässig, dass die Anbieter von Diensten der elektronischen Kommunikation die Verkehrsdaten ab dem Zeitpunkt der Speicherung zur Bekämpfung von Straftaten des Marktmissbrauchs, u. a. von Insidergeschäften, präventiv ein Jahr lang allgemein und unterschiedslos auf Vorrat speichern

Ein nationales Gericht kann die Feststellung, dass innerstaatliche Rechtsvorschriften, die eine solche Vorratsspeicherung der Verkehrsdaten vorsehen, ungültig sind, nicht in ihren zeitlichen Wirkungen beschränken.

Gegen VD und SR laufen in Frankreich Strafverfahren wegen Insiderhandels, Hehlerei im Zusammenhang mit Insiderhandel, Beihilfe, Bestechung und Geldwäsche. Ausgangspunkt der Ermittlungen waren im Rahmen der Bereitstellung von Diensten der elektronischen Kommunikation generierte personenbezogene Daten betreffend Telefongespräche von VD und SR, die dem Ermittlungsrichter von der Finanzaufsichtsbehörde (Autorité des marchés financiers, AMF) nach entsprechenden Ermittlungen zur Verfügung gestellt worden waren. VD und SR haben bei der Cour de cassation (Kassationsgerichtshof, Frankreich) gegen zwei Urteile der Cour d’appel de Paris (Berufungsgericht Paris) Kassationsbeschwerden eingelegt. Sie wenden sich dagegen, dass sich die AMF bei der Erhebung der Daten auf innerstaatliche Rechtsvorschriften gestützt habe, die, soweit sie eine allgemeine und unterschiedslose Vorratsspeicherung der Verbindungsdaten vorsähen, unionsrechtswidrig seien und in denen die Befugnis der Ermittler der AMF zur Anforderung gespeicherter Daten nicht begrenzt werde. Sie berufen sich insoweit auf die Rechtsprechung des Gerichtshofs.

Die Vorlagefragen der Cour de cassation betreffen innerstaatliche Rechtsvorschriften, nach denen die Anbieter von Diensten der elektronischen Kommunikation die Verkehrsdaten ab dem Zeitpunkt der Speicherung zur Bekämpfung von Straftaten des Marktmissbrauchs, u. a. von Insidergeschäften, präventiv ein Jahr lang allgemein und unterschiedslos auf Vorrat speichern. Es geht im Wesentlichen um das Zusammenspiel der einschlägigen Vorschriften der Datenschutzrichtlinie für elektronische Kommunikation im Lichte der Charta der Grundrechte der Europäischen Union (im Folgenden Charta) und der einschlägigen Vorschriften der Marktmissbrauchsrichtlinie und der Marktmissbrauchsverordnung. Für den Fall, dass die betreffenden innerstaatlichen Rechtsvorschriften unionsrechtswidrig sein sollten, möchte das vorlegende Gericht wissen, ob ihre Wirkungen vorläufig aufrechterhalten werden können, um Rechtsunsicherheit zu vermeiden und es zu ermöglichen, dass die auf ihrer Grundlage auf Vorrat gespeicherten Daten zur Aufdeckung und Verfolgung von Insidergeschäften verwendet werden.

Mit seinem heutigen Urteil stellt der Gerichtshof als Erstes fest, dass weder die Marktmissbrauchsrichtlinie noch die Marktmissbrauchsverordnung im Hinblick auf die Ausübung der den zuständigen Finanzaufsichtsbehörden durch sie übertragenen Befugnisse eine Rechtsgrundlage für eine allgemeine Verpflichtung zur Aufbewahrung der Datenverkehrsaufzeichnungen im Besitz der Anbieter von Diensten der elektronischen Kommunikation bilden können.

Als Zweites weist der Gerichtshof darauf hin, dass es sich bei der Datenschutzrichtlinie für elektronische Kommunikation um den Referenzrechtsakt im Bereich der Speicherung und allgemein der Verarbeitung personenbezogener Daten in der elektronischen Kommunikation handelt. Die Datenschutzrichtlinie ist daher auch für die Datenverkehrsaufzeichnungen im Besitz der Anbieter von Diensten der elektronischen Kommunikation maßgeblich, die die zuständigen Finanzaufsichtsbehörden im Sinne der Marktmissbrauchsrichtlinie und der Marktmissbrauchsverordnung bei Letzteren anfordern können. Für die Beurteilung der Frage, ob die Verarbeitung der Aufzeichnungen im Besitz der Anbieter von Diensten der elektronischen Kommunikation zulässig ist, sind mithin die Voraussetzungen gemäß der Datenschutzrichtlinie für elektronische Kommunikation in der Auslegung durch den Gerichtshof maßgeblich.

Der Gerichtshof gelangt deshalb zu dem Schluss, dass es nach der Marktmissbrauchsrichtlinie und der Marktmissbrauchsverordnung in Verbindung mit der Datenschutzrichtlinie für elektronische Kommunikation und im Lichte der Charta nicht zulässig ist, dass die Anbieter von Diensten der elektronischen Kommunikation die Verkehrsdaten ab dem Zeitpunkt der Speicherung zur Bekämpfung von Straftaten des Marktmissbrauchs, u. a. von Insidergeschäften, ein Jahr lang allgemein und unterschiedslos auf Vorrat speichern.

Als Drittes hält der Gerichtshof an seiner Rechtsprechung fest, wonach das Unionsrecht dem entgegensteht, dass ein nationales Gericht die nach nationalem Recht zu treffende Feststellung, dass innerstaatliche Rechtsvorschriften, mit denen die Anbieter von Diensten der elektronischen Kommunikation zur allgemeinen und unterschiedslosen Vorratsspeicherung der Verkehrs- und Standortdaten verpflichtet werden, wegen ihrer Unvereinbarkeit mit der Datenschutzrichtlinie für elektronische Kommunikation ungültig sind, in ihren zeitlichen Wirkungen beschränkt. Der Gerichtshof stellt jedoch klar, dass die Verwertbarkeit von Beweismitteln, die aufgrund einer solchen Vorratsspeicherung von Daten erlangt wurden, nach dem Grundsatz der Verfahrensautonomie der Mitgliedstaaten dem nationalen Recht unterliegt – vorbehaltlich der Beachtung u. a. der Grundsätze der Äquivalenz und der Effektivität. Letzterer verpflichtet ein nationales Strafgericht dazu, Informationen und Beweise, die durch eine mit dem Unionsrecht unvereinbare allgemeine und unterschiedslose Vorratsspeicherung erlangt wurden, auszuschließen, sofern die betreffenden Personen nicht in der Lage sind, sachgerecht zu den Informationen und Beweisen Stellung zu nehmen, die einem Bereich entstammen, in dem das Gericht nicht über Sachkenntnis verfügt, und geeignet sind, die Würdigung der Tatsachen maßgeblich zu beeinflussen.

Den Volltext der Entscheidung finden Sie hier:


EuGH-Generalanwalt: Bundeskartellamt darf DSGVO-Verstöße durch Geschäftspraktiken im Rahmen ihres Zuständigkeitsbereichs verfolgen und ahnden - hier: Facebook / Meta

EuGH-Generalanwalt
Schlussanträge vom 20.09.2022
Facebook Inc., Facebook Ireland Ltd, Facebook Deutschland GmbH ./. Bundeskartellamt
C-252/21


Der EuGH-Generalanwalt kommt in seinen Schlussanträgen zu dem Ergebnis, dass das Bundeskartellamt DSGVO-Verstöße durch Geschäftspraktiken im Rahmen ihres Zuständigkeitsbereichs verfolgen und ahnden darf (hier: Facebook / Meta). Dabei müssen allerdings Entscheidungen der datenschutzrechtlichen Aufsichtsbehörden beachtet werden.

Die Pressemitteilung des EuGH:

Generalanwalt Rantos ist der Auffassung, dass eine Wettbewerbsbehörde in Ausübung ihrer Zuständigkeiten die Vereinbarkeit einer Geschäftspraxis mit der Datenschutzgrundverordnung prüfen kann

Sie muss jedoch jede Entscheidung oder Untersuchung der nach dieser Verordnung zuständigen Aufsichtsbehörde berücksichtigen.

Meta Platforms ist der Eigentümer des sozialen Online-Netzwerks „Facebook“. Die Nutzer dieses sozialen Netzwerks müssen die Nutzungsbedingungen von Facebook akzeptieren, die auf die Praxis der Nutzung dieser Daten und von Cookies durch Meta Platforms verweisen. Mit den Cookies erfasst Meta Platforms Daten, die aus anderen Diensten des Konzerns Meta Platforms wie Instagram oder WhatsApp stammen sowie aus Websites und Apps Dritter über in diese eingebundene Schnittstellen oder über auf dem Computer oder mobilen Endgerät des Nutzers gespeicherte Cookies. Diese Daten verknüpft Meta Platforms mit dem Facebook-Konto des betreffenden Nutzers und verwertet sie u. a. zu Werbezwecken.

Das deutsche Bundeskartellamt untersagte Meta Platforms die in den Nutzungsbedingungen von Facebook vorgesehene Datenverarbeitung sowie die Durchführung dieser Nutzungsbedingungen und erlegte dem Unternehmen Maßnahmen zur Abstellung dieses Verhaltens auf. Das Bundeskartellamt war der Auffassung, dass die in Rede stehende Verarbeitung eine missbräuchliche Ausnutzung der beherrschenden Stellung von Meta Platforms auf dem Markt für soziale Netzwerke für private Nutzer in Deutschland darstelle. Meta Platforms legte gegen den Beschluss des Bundeskartellamts Beschwerde beim Oberlandesgericht Düsseldorf ein. Dieses fragt den Gerichtshof, ob die nationalen Wettbewerbsbehörden befugt sind, die Vereinbarkeit einer Datenverarbeitung mit der DSGVO zu prüfen. Außerdem stellt das Oberlandesgericht dem Gerichtshof Fragen zur Auslegung und Anwendung bestimmter Vorschriften der DSGVO.

In seinen Schlussanträgen vom heutigen Tag vertritt Generalanwalt Athanasios Rantos erstens die Auffassung, dass eine Wettbewerbsbehörde zwar nicht befugt ist, einen Verstoß gegen die DSGVO festzustellen, sie jedoch in Ausübung ihrer eigenen Zuständigkeiten berücksichtigen kann, ob eine Geschäftspraxis mit der DSGVO vereinbar ist. Insoweit unterstreicht der Generalanwalt, dass die Vereinbarkeit oder Unvereinbarkeit einer Praxis mit der DSGVO unter Berücksichtigung aller Umstände des Einzelfalls ein wichtiges Indiz für die Feststellung sein kann, ob diese Praxis einen Verstoß gegen die Wettbewerbsvorschriften darstellt.

Der Generalanwalt stellt jedoch klar, dass eine Wettbewerbsbehörde die Einhaltung der DSGVO nur inzident prüfen kann und dies die Anwendung dieser Verordnung durch die nach der Verordnung zuständige Aufsichtsbehörde nicht präjudiziert. Folglich muss die Wettbewerbsbehörde alle Entscheidungen oder Untersuchungen der zuständigen Aufsichtsbehörde berücksichtigen, diese über jedes sachdienliche Detail informieren und sich gegebenenfalls mit ihr abstimmen.

Zweitens ist der Generalanwalt der Ansicht, dass der bloße Umstand, dass ein Unternehmen, das ein soziales Netzwerk betreibt, auf dem nationalen Markt für soziale Netzwerke für private Nutzer eine beherrschende Stellung innehat, der Einwilligung des Nutzers dieses Netzwerks in die Verarbeitung seiner personenbezogenen Daten nicht ihre Wirksamkeit nehmen kann. Ein solcher Umstand spielt jedoch eine Rolle bei der Beurteilung der Freiwilligkeit der Einwilligung, die der für die Verarbeitung Verantwortliche nachzuweisen hat.

Drittens ist der Generalanwalt der Ansicht, dass die streitige Praxis von Meta Platforms oder bestimmte Tätigkeiten, aus denen sie sich zusammensetzt, unter in der DSGVO vorgesehene Ausnahmen fallen können, sofern die betreffenden Tätigkeiten dieser Praxis für die Erbringung der Dienstleistungen in Bezug auf das Facebook-Konto objektiv erforderlich sind. Auch wenn die Personalisierung der Inhalte sowie die durchgängige und nahtlose Nutzung der Dienste des Konzerns Meta Platforms, die Netzwerksicherheit und die Produktverbesserung im Interesse des Nutzers oder des für die Datenverarbeitung Verantwortlichen erfolgen können, erscheinen diese Tätigkeiten allerdings nach Auffassung des Generalanwalts nicht für die Erbringung der genannten Dienstleistungen erforderlich.

Viertens stellt der Generalanwalt fest, dass das Verbot der Verarbeitung sensibler personenbezogener Daten, die beispielsweise die rassische oder ethnische Herkunft, die Gesundheit oder die sexuelle Orientierung der betroffenen Person betreffen, auch die Verarbeitung der streitigen Daten umfassen kann. Dies ist dann der Fall, wenn die verarbeiteten Informationen, einzeln oder aggregiert betrachtet, die Erstellung eines Profils des Nutzers im Hinblick auf die in der DSGVO genannten sensiblen Merkmale ermöglichen.

In diesem Zusammenhang weist der Generalanwalt darauf hin, dass der Nutzer sich voll bewusst sein muss, dass er durch eine ausdrückliche Handlung personenbezogene Daten öffentlich macht, damit die Ausnahme von diesem Verbot, die beinhaltet, dass die betroffene Person die Daten offensichtlich öffentlich gemacht hat, greifen kann. Nach Ansicht des Generalanwalts kann ein Verhalten, das im Aufruf von Websites und Apps, der Eingabe von Daten in diese Websites und Apps sowie in der Betätigung von in diese eingebundenen Schaltflächen besteht, grundsätzlich nicht einem Verhalten gleichgestellt werden, das die sensiblen personenbezogenen Daten des Nutzers offensichtlich öffentlich macht.

Die vollständigen Schlussanträge finden Sie hier:


EuGH: Allgemeine und unterschiedslose Vorratsdatenspeicherung von Verkehrs- und Standortdaten unionsrechtswidrig - nur bei ernster Bedrohung für nationale Sicherheit zulässig

EuGH
Urteil vom 20.09.2022
in den verbundenen Rechtssachen
C-793/19 SpaceNet und C-794/19 Telekom Deutschland


Der EuGH hat wie erwartet entschieden, dass die allgemeine und unterschiedslose Vorratsdatenspeicherung von Verkehrs- und Standortdaten unionsrechtswidrig und nur bei ernster Bedrohung für nationale Sicherheit zulässig ist.

Tenor der Entscheidung:
Art. 15 Abs. 1 der Richtlinie 2002/58/EG des Europäischen Parlaments und des Rates vom 12. Juli 2002 über die Verarbeitung personenbezogener Daten und den Schutz der Privatsphäre in der elektronischen Kommunikation (Datenschutzrichtlinie für elektronische Kommunikation) in der durch die Richtlinie 2009/136/EG des Europäischen Parlaments und des Rates vom 25. November 2009 geänderten Fassung ist im Licht der Art. 7, 8 und 11 sowie von Art. 52 Abs. 1 der Charta der Grundrechte der Europäischen Union

dahin auszulegen, dass

er nationalen Rechtsvorschriften entgegensteht, die präventiv zur Bekämpfung schwerer Kriminalität und zur Verhütung schwerer Bedrohungen der öffentlichen Sicherheit eine allgemeine und unterschiedslose Vorratsspeicherung von Verkehrs- und Standortdaten vorsehen;

er nationalen Rechtsvorschriften nicht entgegensteht, die

– es zum Schutz der nationalen Sicherheit gestatten, den Betreibern elektronischer Kommunikationsdienste aufzugeben, Verkehrs- und Standortdaten allgemein und unterschiedslos auf Vorrat zu speichern, wenn sich der betreffende Mitgliedstaat einer als real und aktuell oder vorhersehbar einzustufenden ernsten Bedrohung für die nationale Sicherheit gegenübersieht, sofern diese Anordnung Gegenstand einer wirksamen, zur Prüfung des Vorliegens einer solchen Situation sowie der Beachtung der vorzusehenden Bedingungen und Garantien dienenden Kontrolle durch ein Gericht oder eine unabhängige Verwaltungsstelle sein kann, deren Entscheidung bindend ist, und sofern die Anordnung nur für einen auf das absolut Notwendige begrenzten, aber im Fall des Fortbestands der Bedrohung verlängerbaren Zeitraum ergeht;

– zum Schutz der nationalen Sicherheit, zur Bekämpfung schwerer Kriminalität und zur Verhütung schwerer Bedrohungen der öffentlichen Sicherheit auf der Grundlage objektiver und nicht diskriminierender Kriterien anhand von Kategorien betroffener Personen oder mittels eines geografischen Kriteriums für einen auf das absolut Notwendige begrenzten, aber verlängerbaren Zeitraum eine gezielte Vorratsspeicherung von Verkehrs- und Standortdaten vorsehen;

– zum Schutz der nationalen Sicherheit, zur Bekämpfung schwerer Kriminalität und zur Verhütung schwerer Bedrohungen der öffentlichen Sicherheit für einen auf das absolut Notwendige begrenzten Zeitraum eine allgemeine und unterschiedslose Vorratsspeicherung der IP‑Adressen, die der Quelle einer Verbindung zugewiesen sind, vorsehen;

– zum Schutz der nationalen Sicherheit, zur Bekämpfung der Kriminalität und zum Schutz der öffentlichen Sicherheit eine allgemeine und unterschiedslose Vorratsspeicherung der die Identität der Nutzer elektronischer Kommunikationsmittel betreffenden Daten vorsehen;

– es zur Bekämpfung schwerer Kriminalität und, a fortiori, zum Schutz der nationalen Sicherheit gestatten, den Betreibern elektronischer Kommunikationsdienste mittels einer Entscheidung der zuständigen Behörde, die einer wirksamen gerichtlichen Kontrolle unterliegt, aufzugeben, während eines festgelegten Zeitraums die ihnen zur Verfügung stehenden Verkehrs- und Standortdaten umgehend zu sichern.

Diese Rechtsvorschriften müssen durch klare und präzise Regeln sicherstellen, dass bei der Speicherung der fraglichen Daten die für sie geltenden materiellen und prozeduralen Voraussetzungen eingehalten werden und dass die Betroffenen über wirksame Garantien zum Schutz vor Missbrauchsrisiken verfügen.

Die Pressemitteilung des EuGH:
Der Gerichtshof bestätigt, dass das Unionsrecht einer allgemeinen und unterschiedslosen Vorratsspeicherung von Verkehrs- und Standortdaten entgegensteht, es sei denn, es liegt eine ernste Bedrohung für die nationale Sicherheit vor

Zur Bekämpfung schwerer Kriminalität können die Mitgliedstaaten jedoch unter strikter Beachtung des Grundsatzes der Verhältnismäßigkeit insbesondere eine gezielte Vorratsspeicherung und/oder umgehende Sicherung solcher Daten sowie eine allgemeine und unterschiedslose Speicherung von IP-Adressen vorsehen SpaceNet und Telekom Deutschland erbringen in Deutschland öffentlich zugängliche Internetzugangsdienste; Telekom Deutschland erbringt darüber hinaus öffentlich zugängliche Telefondienste. Beide fochten vor den deutschen Gerichten die ihnen durch das deutsche Telekommunikationsgesetz (TKG) auferlegte Pflicht an, ab dem 1. Juli 2017 Verkehrs- und Standortdaten betreffend die Telekommunikation ihrer Kunden auf Vorrat zu speichern.

Abgesehen von bestimmten Ausnahmen verpflichtet das TKG die Betreiber öffentlich zugänglicher elektronischer Kommunikationsdienste – insbesondere zur Verfolgung schwerer Straftaten oder zur Abwehr einer konkreten Gefahr für die nationale Sicherheit – zu einer allgemeinen und unterschiedslosen Vorratsspeicherung eines Großteils der Verkehrs- und Standortdaten der Endnutzer dieser Dienste für eine Dauer von mehreren Wochen. Das Bundesverwaltungsgericht (Deutschland) möchte wissen, ob das Unionsrecht in seiner Auslegung durch den Gerichtshof1 solchen nationalen Rechtsvorschriften entgegensteht.

Seine Zweifel beruhen insbesondere darauf, dass die nach dem TKG vorgesehene Speicherpflicht weniger Daten und eine kürzere Speicherungsfrist (vier bzw. zehn Wochen) betrifft, als sie die nationalen Regelungen vorsahen, um die es in den Rechtssachen ging, in denen die vorangegangenen Urteile ergangen sind. Diese Besonderheiten verringern nach Ansicht des Bundesverwaltungsgerichts die Möglichkeit, dass aus den gespeicherten Daten sehr genaue Schlüsse auf das Privatleben der Personen, deren Daten auf Vorrat gespeichert worden seien, gezogen würden. Außerdem gewährleiste das TKG, dass die auf Vorrat gespeicherten Daten wirksam vor den Risiken eines Missbrauchs und eines unberechtigten Zugangs geschützt seien.
Mit seinem Urteil von heute bestätigt der Gerichtshof seine bisherige Rechtsprechung.

Er antwortet dem Bundesverwaltungsgericht, dass das Unionsrecht nationalen Rechtsvorschriften entgegensteht, die präventiv zur Bekämpfung schwerer Kriminalität und zur Verhütung schwerer Bedrohungen der öffentlichen Sicherheit eine allgemeine und unterschiedslose Vorratsspeicherung von Verkehrs- und Standortdaten vorsehen.

Dagegen steht das Unionsrecht nationalen Rechtsvorschriften nicht entgegen, die

– es zum Schutz der nationalen Sicherheit gestatten, den Betreibern elektronischer Kommunikationsdienste aufzugeben, Verkehrs- und Standortdaten allgemein und unterschiedslos auf Vorrat zu speichern, wenn sich der betreffende Mitgliedstaat einer als real und aktuell oder vorhersehbar einzustufenden ernsten Bedrohung für die nationale Sicherheit gegenübersieht. Eine solche Anordnung kann durch ein Gericht oder eine unabhängige Verwaltungsstelle kontrolliert werden und darf nur für einen auf das absolut Notwendige begrenzten, aber im Fall des Fortbestands der Bedrohung verlängerbaren Zeitraum
ergehen;
– zum Schutz der nationalen Sicherheit, zur Bekämpfung schwerer Kriminalität und zur Verhütung schwerer Bedrohungen der öffentlichen Sicherheit auf der Grundlage objektiver und nicht diskriminierender Kriterien anhand von Kategorien betroffener Personen oder mittels eines geografischen Kriteriums für einen auf das absolut Notwendige begrenzten, aber verlängerbaren Zeitraum eine gezielte Vorratsspeicherung von Verkehrs- und Standortdaten vorsehen;
– für dieselben Zwecke einen auf das absolut Notwendige begrenzten Zeitraum eine allgemeine und unterschiedslose Vorratsspeicherung der IP-Adressen, die der Quelle einer Verbindung zugewiesen sind, vorsehen;
– zum Schutz der nationalen Sicherheit, zur Bekämpfung der Kriminalität und zum Schutz der öffentlichen Sicherheit eine allgemeine und unterschiedslose Vorratsspeicherung der die Identität der Nutzer elektronischer Kommunikationsmittel betreffenden Daten vorsehen;
– es zur Bekämpfung schwerer Kriminalität und, a fortiori, zum Schutz der nationalen Sicherheit gestatten, den Betreibern elektronischer Kommunikationsdienste aufzugeben, während eines festgelegten Zeitraums die ihnen zur Verfügung stehenden Verkehrs- und Standortdaten umgehend zu sichern.

Solche nationalen Rechtsvorschriften müssen außerdem durch klare und präzise Regeln sicherstellen, dass bei der Speicherung der fraglichen Daten die für sie geltenden materiellen und prozeduralen Voraussetzungen eingehalten werden und dass die Betroffenen über wirksame Garantien zum Schutz vor Missbrauchsrisiken verfügen. In Bezug auf das TKG stellt der Gerichtshof fest, dass aus der Vorlageentscheidung hervorgeht, dass die durch dieses Gesetz begründete Pflicht zur Vorratsspeicherung insbesondere die Daten betrifft, die erforderlich sind, um die Quelle und den Adressaten einer Nachricht, Datum und Uhrzeit von Beginn und Ende der Verbindung oder, im Fall der Übermittlung von Kurz-, Multimedia- oder ähnlichen Nachrichten, die Zeitpunkte der Versendung und des Empfangs der Nachricht sowie, im Fall der mobilen Nutzung, die Bezeichnung der Funkzellen, die vom Anrufer und vom Angerufenen bei Beginn der Verbindung genutzt wurden, zu identifizieren.

Im Rahmen der Bereitstellung von Internetzugangsdiensten bezieht sich die Pflicht zur Vorratsspeicherung u. a. auf die dem Teilnehmer zugewiesene IP-Adresse, Datum und Uhrzeit von Beginn und Ende der Internetnutzung unter der zugewiesenen IP-Adresse und, im Fall der mobilen Nutzung, die Bezeichnung der bei Beginn der Internetverbindung genutzten Funkzelle. Die Daten, aus denen sich die geografische Lage und die Hauptstrahlrichtungen der die jeweilige Funkzelle versorgenden Funkantennen ergeben, werden ebenfalls gespeichert.

Zwar werden die Daten betreffend E-Mail-Dienste nicht von der in der im TKG vorgesehenen Pflicht zur Vorratsspeicherung erfasst, jedoch stellen sie auch nur einen Bruchteil der in Rede stehenden Daten dar. Außerdem werden u. a. Daten von Nutzern gespeichert, die dem Berufsgeheimnis unterliegen, wie beispielsweise Die im TKG vorgesehene Pflicht zur Vorratsspeicherung erstreckt sich somit auf einen umfangreichen Satz von Verkehrs- und Standortdaten, der im Wesentlichen den Datensätzen entspricht, die zu den vorgenannten früheren Urteilen geführt haben.

Ein solcher Satz von Verkehrs- und Standortdaten, die zehn bzw. vier Wochen lang gespeichert werden, kann aber sehr genaue Schlüsse auf das Privatleben der Personen, deren Daten gespeichert wurden – etwa auf Gewohnheiten des täglichen Lebens, ständige oder vorübergehende Aufenthaltsorte, tägliche oder in anderem Rhythmus erfolgende Ortsveränderungen, ausgeübte Tätigkeiten, soziale Beziehungen dieser Personen und das soziale Umfeld, in dem sie verkehren –, und insbesondere die Erstellung eines Profils dieser Personen ermöglichen.

In Bezug auf die im TKG vorgesehenen Garantien, die die gespeicherten Daten gegen Missbrauchsrisiken und vor jedem unberechtigten Zugang schützen sollen, weist der Gerichtshof darauf hin, dass die Vorratsspeicherung dieser Daten und der Zugang zu ihnen unterschiedliche Eingriffe in Grundrechte der Betroffenen darstellen, die eine gesonderte Rechtfertigung erfordern. Daraus folgt, dass nationale Rechtsvorschriften, die die vollständige Einhaltung der Voraussetzungen gewährleisten, die sich im Bereich des Zugangs zu auf Vorrat gespeicherten Daten aus der Rechtsprechung ergeben, naturgemäß den schwerwiegenden Eingriff in die Rechte der Betroffenen, der sich aus der allgemeinen Vorratsspeicherung dieser Daten ergeben würde, weder beschränken noch beseitigen können.


Den Volltext der Entscheidung finden Sie hier:


EuGH: Anwendungsbereich von Art. 9 Abs. 1 DSGVO ist weit auszulegen - Verarbeitung besonderer Kategorien personenbezogener Daten

EuGH
Urteil vom 01.08.2022
C‑184/20
OT gegen Vyriausioji tarnybinės etikos komisija


Der EuGH hat entschieden, dass der Anwendungsbereich von Art. 9 Abs. 1 DSGVO (Verarbeitung besonderer Kategorien personenbezogener Daten) weit auszulegen ist.

Tenor der Entscheidung:
1. Art. 7 Buchst. c der Richtlinie 95/46/EG des Europäischen Parlaments und des Rates vom 24. Oktober 1995 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten und zum freien Datenverkehr sowie Art. 6 Abs. 1 Unterabs. 1 Buchst. c und Abs. 3 der Verordnung (EU) 2016/679 des Europäischen Parlaments und des Rates vom 27. April 2016 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten, zum freien Datenverkehr und zur Aufhebung der Richtlinie 95/46/EG (Datenschutz-Grundverordnung) sind im Licht der Art. 7, 8 und 52 Abs. 1 der Charta der Grundrechte der Europäischen Union dahin auszulegen, dass sie nationalen Rechtsvorschriften, nach denen die Erklärung über private Interessen, die jeder Leiter einer öffentliche Mittel erhaltenden Einrichtung abgeben muss, im Internet zu veröffentlichen ist, insbesondere insoweit entgegenstehen, als diese Veröffentlichung namensbezogene Daten über den Ehegatten, Lebensgefährten oder Partner der erklärungspflichtigen Person oder über ihr nahestehende oder bekannte Personen, die einen Interessenkonflikt begründen können, oder Daten über jede in den letzten zwölf Kalendermonaten abgeschlossene Transaktion mit einem Wert von über 3 000 Euro betrifft.

2. Art. 8 Abs. 1 der Richtlinie 95/46 und Art. 9 Abs. 1 der Verordnung 2016/679 sind dahin auszulegen, dass die Veröffentlichung personenbezogener Daten, die geeignet sind, die sexuelle Orientierung einer natürlichen Person indirekt zu offenbaren, auf der Website der Behörde, die für die Entgegennahme und die inhaltliche Kontrolle von Erklärungen über private Interessen zuständig ist, eine Verarbeitung besonderer Kategorien personenbezogener Daten im Sinne dieser Bestimmungen darstellt.

Den Volltext der Entscheidung finden Sie hier:


BGH: Verfahren über Reichweite des Auskunftsanspruchs aus Art. 15 DSGVO wird bis zur Entscheidung des EuGH in den Verfahren C-487/21 bzw. C-307/22 nach § 148 ZPO analog ausgesetzt

BGH
Beschluss vom 31.05.2022
VI ZR 223/21


Der BGH hat ein Verfahren über die Reichweite des Auskunftsanspruchs aus Art. 15 DSGVO bis zur Entscheidung des EuGH in den Verfahren C-487/21 bzw. C-307/22 nach § 148 ZPO analog ausgesetzt.

Aus den Entscheidungsgründen:
Die Parteien streiten, soweit im Revisionsverfahren noch relevant, über den Regelungsgehalt von Art. 15 Abs. 3 Satz 1 DS-GVO. Die Klägerin hatte im Jahr 2004 bei der Beklagten eine fondsgebundene Rentenversicherung abgeschlossen, die im Jahr 2016 gekündigt und im Jahr 2017 abgerechnet worden war. Im April 2019 machte die Klägerin auf der Grundlage von Art. 15 Abs. 1 DS-GVO Auskunftsrechte geltend. Die Beklagte erteilte diverse Auskünfte und übersandte eine Kopie des Versicherungsantrags. Die Klägerin verlangte daraufhin die Erteilung weiterer Auskünfte sowie die Herausgabe von Abschriften bzw. Kopien der jeweiligen Dokumente, die personenbezogene Daten von ihr enthielten. Das Landgericht hat die Klage abgewiesen. Das Berufungsgericht hat die Beklagte zur Erteilung weiterer Auskünfte verurteilt, den Antrag auf Übermittlung von Kopien der jeweiligen, die personenbezogenen Daten der Klägerin enthaltenden Dokumente jedoch abgewiesen. Der Anspruch auf Erteilung einer Kopie aus Art. 15 Abs. 3 Satz 1 DS-GVO gehe nicht weiter als der Auskunftsanspruch aus Art. 15 Abs. 1 DS-GVO. Es sei daher ausreichend, die in Art. 15 Abs. 1
DS-GVO genannten Angaben in Kopie zu übermitteln. Mit ihrer vom Berufungsgericht hinsichtlich des Anspruchs auf Erteilung von Abschriften und Kopien zugelassenen Revision verfolgt die Klägerin ihren Herausgabeanspruch aus Art. 15 Abs. 3 Satz 1 DS-GVO weiter.

II. Das vorliegende Verfahren ist gemäß § 148 ZPO analog bis zu der Entscheidung des Gerichtshofs der Europäischen Union (im Folgenden: Gerichtshof) in den dort anhängigen Verfahren C-487/21 bzw. C-307/22 auszusetzen.

1. Das Österreichische Bundesverwaltungsgericht hat durch Beschluss vom 9. August 2021 (W211 2222613-2; ECLI:AT:BVWG:2021: W211.2222613.2.00; Rs. C-487/21; ABl. EU C 431 vom 25. Oktober 2021 S. 8 f.) dem Gerichtshof u.a. folgende Fragen zur Vorabentscheidung gemäß Art. 267 AEUV vorgelegt:

1. Ist der Begriff der "Kopie" in Art. 15 Abs. 3 der Verordnung (EU) 2016/679 des Europäischen Parlaments und des Rates vom 27. April 2016 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten, zum freien Datenverkehr und zur Aufhebung der Richtlinie 95/46/EG (Datenschutz-Grundverordnung, ABl L 119/1 vom 4. Mai 2016, S. 1; im Folgenden: "DS-GVO") dahingehend auszulegen, dass damit eine Fotokopie bzw. ein Faksimile oder eine elektronische Kopie eines (elektronischen) Datums gemeint ist, oder fällt dem Begriffsverständnis deutscher, französischer und englischer Wörterbücher folgend unter den Begriff auch eine "Abschrift", un "double" ("duplicata") oder ein "transcript"?

2. Ist Art. 15 Abs. 3 Satz 1 DS-GVO, wonach "der Verantwortliche eine Kopie der personenbezogenen Daten, die Gegenstand der Verarbeitung sind", zur Verfügung stellt, dahingehend auszulegen, dass darin ein allgemeiner Rechtsanspruch einer betroffenen Person auf Ausfolgung einer Kopie - auch - gesamter Dokumente enthalten ist, in denen personenbezogene Daten der betroffenen Person verarbeitet werden, bzw. auf Ausfolgung einer Kopie eines Datenbankauszuges bei Verarbeitung der personenbezogenen Daten in einer solchen, oder besteht damit - nur - ein Rechtsanspruch für die betroffene Person auf originalgetreue Reproduktion der nach Art. 15 Abs. 1 DS-GVO zu beauskunftenden personenbezogenen Daten?

3. Für den Fall, dass die Frage 2. dahingehend beantwortet wird, dass nur ein Rechtsanspruch für die betroffene Person auf originalgetreue Reproduktion der nach Art. 15 Abs. 1 DS-GVO zu beauskunftenden personenbezogenen Daten besteht, ist Art. 15 Abs. 3 Satz 1 DS-GVO dahingehend auszulegen, dass es bedingt durch die Art der verarbeiteten Daten (zum Beispiel in Bezug auf die im Erwägungsgrund 63 angeführten Diagnosen, Untersuchungsergebnisse, Befunde oder auch Unterlagen im Zusammenhang mit einer Prüfung im Sinne des Urteils des Gerichtshofs der Europäischen Union vom 20. Dezember 2017, C-434/16, ECLI:EU:C:2017:994) und das Transparenzgebot in Art. 12 Abs. 1 DS-GVO im Einzelfall dennoch erforderlich sein kann, auch Textpassagen oder ganze Dokumente der betroffenen Person zur Verfügung zu stellen?

2. Der erkennende Senat hat dem Gerichtshof durch Beschluss vom 29. März 2022 - VI ZR 1352/20 (DB 2022, 1249; Rs. C-307/22) unter Ziff. 3 folgende Frage zur Vorabentscheidung vorgelegt:

Umfasst der Anspruch aus Art. 15 Abs. 3 Satz 1 DS-GVO im Arzt-Patienten-Verhältnis einen Anspruch auf Überlassung von Kopien aller die personenbezogenen Daten des Patienten enthaltenden Teile der Patientenakte oder ist er nur auf Herausgabe einer Kopie der personenbezogenen Daten des Patienten als solche gerichtet, wobei es dem datenverarbeitenden Arzt überlassen bleibt, in welcher Weise er dem betroffenen Patienten
die Daten zusammenstellt?

3. Diese Fragen sind auch im vorliegenden Fall entscheidungserheblich.
Die Parteien streiten darüber, ob sich aus Art. 15 Abs. 3 Satz 1 DS-GVO (lediglich) ein Anspruch auf eine Kopie der nach Art. 15 Abs. 1 DS-GVO zu beauskunftenden Daten oder ein Anspruch auf Herausgabe von Kopien der diese Daten enthaltenden Dokumente ergibt.

4. Aufgrund der Entscheidungserheblichkeit der oben unter II. 1 und 2 genannten Fragen kann der Senat in dieser Sache unter Beachtung seiner in Art. 267 Abs. 3 AEUV enthaltenen Vorlageverpflichtung keine abschließende Sachentscheidung treffen. Eine Vorlage auch dieses Verfahrens an den Gerichtshof würde jedoch dort nicht zu einer schnelleren Beantwortung der maßgeblichen Rechtsfrage führen. Im Gegenteil würde die Funktion des Gerichtshofs im Vorabentscheidungsverfahren beeinträchtigt, wenn die gleiche Rechtsfrage
mehrfach vorgelegt würde. Das Vorabentscheidungsverfahren nach Art. 267 AEUV stellt ein grundlegendes Instrument dar, um den Grundsatz des Vorrangs des Unionsrechts vor nationalem Recht zu verwirklichen und die einheitliche Anwendung des Unionsrechts in allen Mitgliedstaaten zu gewährleisten. Die verbindliche Auslegung des Unionsrechts ist dem Gerichtshof vorbehalten. Da der Gerichtshof aber kein Rechtsmittelgericht für sämtliche mitgliedschaftlichen Verfahren darstellt, genügt es, wenn dort über die klärungsbedürftige Rechtsfrage in den bereits anhängigen Verfahren verhandelt und entschieden wird (vgl. BGH, Beschluss vom 24. Januar 2012 - VIII ZR 236/10, RIW 2012, 405, juris Rn. 8 mwN).

5. Der Senat hält es daher für angemessen, das vorliegende Verfahren gemäß § 148 ZPO analog wegen Vorgreiflichkeit der beim Gerichtshof anhängigen Vorlageverfahren auszusetzen (zur Zulässigkeit dieser Vorgehensweise vgl. BGH, aaO Rn. 9 mwN).



Den Volltext der Entscheidung finden Sie hier:


LG Hamburg: Kein Anspruch Dritter gegen Hamburger Datenschutzbeauftragten auf Herausgabe des teilweise anonymisierten datenschutzrechtlichen Bußgeldbescheids gegen H&M

LG Hamburg
Beschluss vom vom 28.10.2021
625 Qs 21/21 OWi


Das LG Hamburg hat entschieden, dass Dritte keinen Anspruch gegen den Hamburger Datenschutzbeauftragten (HmbBfDI ) auf Herausgabe des teilweise anonymisierten datenschutzrechtlichen Bußgeldbescheids gegen H&M haben.

Aus den Entscheidungsgründen:
Der Antrag auf gerichtliche Entscheidung ist zulässig und hat auch in der Sache überwiegend Erfolg. Auf die mit Bescheid des HmbBfDI vom 28. Januar 2021 beabsichtigte umfassende Herausgabe des teilweise anonymisierten Bußgeldbescheids vom 30. September 2020 haben die vier Antragssteller keinen Anspruch. Ihnen ist lediglich hinsichtlich der Passage „Zumessung der Geldbuße“, Seite 9 des Bußgeldbescheids bis Seite 10, 3. Absatz, 1. Halbsatz „Anknüpfungspunkt ist daher der gesamte Umsatz im Onlinehandel“ Auskunft zuzubilligen.
[...]
Der Antrag auf gerichtliche Entscheidung hat in der Sache überwiegend Erfolg. Den vier auskunftssuchenden Antragsstellern steht kein Anspruch auf die Übermittlung des Bußgeldbescheids vom 30. September 2020 in der vom HmbBfDI teilanonymisierten Form, die dem angegriffenen Bescheid vom 28. Januar 2021 als Anlage 1 beigefügt war, und des Dokuments „ 2./2020 – Bußgeldzumessung unter Anwendung des DSK-Konzepts“ gemäß Anlage 2 des Bescheids vom 28. Januar 2021nach § 475 Abs. 1 und 4 StPO zu.

Gemäß § 475 Absatz 1 und 4 StPO können Privatpersonen Auskünfte aus Akten erteilt werden, soweit diese hierfür ein berechtigtes Interesse darlegen. Sie sind zu versagen, wenn der hiervon Betroffene ein schutzwürdiges Interesse an der Versagung hat. Im Übrigen soll Akteneinsicht grundsätzlich nur in dem Umfang erfolgen, als dies zur Wahrnehmung des berechtigten Interesses der Privatperson erkennbar erforderlich ist (vgl. LG Bochum, Beschluss vom 10.11.2004 – 1 AR 16/04).

Zwar haben alle auskunftssuchenden Antragssteller ein berechtigtes Interesse darlegt; deren Auskunftsinteresse der Antragsteller stehen aber die schutzwürdigen Interessen der Betroffenen an der Versagung der Auskünfte jedenfalls in Form der Übersendung des vom HmbBfDI lediglich geringfügig geschwärzten Bußgeldbescheids gemäß Anlage 1 und des Dokuments „ 2./2020 – Bußgeldzumessung unter Anwendung des DSK-Konzepts“ gemäß Anlage 2 zum Bescheid vom 28. Januar 2021 entgegen.

a. Berechtigtes Interesse der Antragssteller

Das „berechtigte Interesse“ i. S. d. § 475 StPO wird weit ausgelegt. Darunter fällt grundsätzlich jedes verständige, durch die Sachlage gerechtfertigte Interesse tatsächlicher, wirtschaftlicher oder ideeller Art, sofern es von dem jeweiligen Antragssteller schlüssig dargelegt wird; eine Glaubhaftmachung oder gar ein Beweis sind nicht erforderlich (BeckOK StPO/Wittig, 40. Ed. 1. Juli 2021, § 475 Rn. StPO, Rn. 9 f.).

Bei Anwendung dieser Maßstäbe habe alle vier Antragssteller ihr berechtigtes Interesse hinreichend dargelegt. Die Antragsteller 2 bis 4 haben angegeben, dass sie als (Syndikus-) Anwälte im Bereich Datenschutzrecht tätig sind. Antragssteller 2 und 3 haben ausgeführt, dass sie die Entscheidung für ihre berufliche Tätigkeit, d. h. in der Beratung ihrer Mandanten im Datenschutzrecht, nutzen wollen. Der Antragsteller zu 2 hat ferner ein Interesse daran dargelegt, zu erfahren, anhand welcher Kriterien die Adressatenauswahl und die Bußgeldberechnung erfolgt sei. Die Antragssteller 1, 3 und 4 haben weiter erklärt, dass sie beabsichtigten, einen wissenschaftlichen Aufsatz zu schreiben, der unter anderem den Bußgeldbescheid zum Gegenstand hat.

Diese Interessen sind grundsätzlich als ein berechtigtes Interesse anzuerkennen, denn dabei handelt es sich um verständige und durch die Sachlage gerechtfertigte Interessen.

b. Schutzwürdigen Interessen der Betroffenen

Dem Auskunftsinteresse der Antragssteller an der Übersendung des Bußgeldbescheids in der vom HmbBfDI teilgeschwärzten Fassung gemäß Anlage 1 zum Bescheid vom 28. Januar 2021 stehen jedoch die schutzwürdigen Interessen der Betroffenen an der Versagung der Auskunft entgegen (§ 475 Abs. 1 S. 2 StPO).

Im Unterschied zur ähnlich gelagerten Regelung des § 406e Abs. 2 StPO kommt es im Rahmen des § 475 StPO nicht auf ein „Überwiegen” der einer Auskunft entgegenstehenden schutzwürdigen Interessen an. Es genügt, dass ein schutzwürdiges Interesse an der Versagung besteht (LG Bochum, Beschluss vom 10.11.2004 – 1 AR 16/04, NJW 2005, 999). Ob die Interessen der Betroffenen i.S.d. § 475 Abs. 1 Satz 2 StPO schutzwürdig sind, ist dabei im Wege einer umfassenden Abwägung zwischen dem Informationsinteresse der Antragsteller und den entgegenstehenden Interessen der Betroffenen zu ermitteln. Entscheidend ist dabei, wie hoch das Informationsinteresse der Antragsteller an der begehrten Auskunft zu bewerten und wie stark der Eingriff in die Rechte der Betroffenen durch die Offenlegung der begehrten Informationen im Einzelfall zu gewichten ist. Je geringer der Eingriff in das Recht des Betroffenen, desto geringere Anforderungen sind an das Informationsinteresse der Antragsteller zu stellen; je intensiver und weitergehend die begehrte Auskunft reicht, desto gewichtiger muss das Informationsinteresse sein (vgl. VGH Baden-Württemberg DVBl 2014, 101 m.w.Nw, LG München, Beschluss vom 24.03.2015 – 7 Qs 5/15, ZD 2015, 483).

Ob eine Verletzung schutzwürdiger Interessen vorliegt, ist daher anhand des zu beurteilenden Einzelfalls festzustellen. Diese Abwägung geht hier zugunsten der Betroffenen aus:

Wie der HmbBfDI in dem angefochtenen Bescheid vom 28. Januar 2021 zutreffend ausführt, unterliegen die einzelnen Bestandteile des Bußgeldbescheids vom 30. September 2020 für sich bereits dem Schutz von Betriebs- und Geschäftsgeheimnissen der Betroffenen. Dies betrifft sämtliche in dem Bescheid vom 30. September 2020 enthaltenen Unternehmenskennzahlen (insb. Kennzahlen zur Mitarbeiterstruktur, Umsatzzahlen und sonstigen finanziellen Kennziffern) sowie Inhalte zu Arbeitsabläufen- und –organisation, die überwiegend bereits in der dem angegriffenen Bescheid vom 28. Januar 2021 als Anlage 1 beigefügten Fassung des Bußgeldbescheides geschwärzt worden waren. Insoweit wird ergänzend auf die diesbezüglichen Ausführungen des Bescheids vom 28. Januar 2021 Bezug genommen, denen sich die Kammer anschließt.

bb. Darüber hinaus steht dem Auskunftsinteresse der Antragsteller auch die durch Art. 12 Abs. 1 GG geschützte Berufsfreiheit der Betroffenen entgegen.

Art. 12 Abs. 1 GG gewährt das Recht der freien Berufswahl und -ausübung und ist gemäß Art. 19 Abs. 3 GG auch auf juristische Personen anwendbar, soweit sie - wie hier die Betroffenen - eine Erwerbszwecken dienende Tätigkeit ausüben, die ihrem Wesen und ihrer Art nach in gleicher Weise einer juristischen wie einer natürlichen Person offensteht. In der bestehenden Wirtschaftsordnung umschließt das Freiheitsrecht des Art. 12 Abs. GG das berufsbezogene Verhalten der Unternehmen am Markt nach den Grundsätzen des Wettbewerbs (Vgl. BVerfG, Beschlüsse vom 21. März 2018 - 1BVF113 1 BvF 1/13 - BVerfGE 148, Seite 40 = juris, Rn. 26 und vom 26. Juni 2002 - 1 BvR 558/91 -, BVerfGE 105, Seite 252 = juris, Rn. 41; OVG Münster Beschl. v. 17.5.2021 – 13 B 331/21, BeckRS 2021, 11654 Rn. 11).

Die in dem Bußgeldbescheid vom 30. September 2020 enthaltenen Informationen sind inhaltlich überwiegend geeignet, die Markt- und Wettbewerbssituation mittelbar-faktisch zum wirtschaftlichen Nachteil der Betroffenen zu verändern. Aus dem Bußgeldbescheid geht das konkret der Betroffenen zu 1 vorgeworfene Fehlverhalten der Führungskräfte aus dem C. S. C. in N. hervor. Dabei handelt es – auch aus Laiensphäre – um schwerwiegende Verstöße gegen die BSDG, deren Veröffentlichung geeignet ist, den Ruf von H. als Unternehmen zu schädigen und eine Prangerwirkung zu entfalten. Die Gefahr einer Prangerwirkung für das gesamte Unternehmen besteht dabei insbesondere, weil sich aus dem Bußgeldbescheid erstmals eine vollständige Offenlegung der Firma der Betroffenen zu 2 als weitere Beteiligte des Bußgeldverfahrens ergibt, obwohl sie selbst – wie sich aus dem Inhalt des Bußgeldbescheides ergibt und auch vom HmbBfDI selbst vorgetragen wird – die Verstöße nicht begangen hat. Eine solche Nennung der Betroffenen zu 2 im Zusammenhang mit den vorgeworfenen Datenschutzverstößen birgt erstmals die Gefahr einer erheblichen Rufschädigung für den gesamten Konzern der Betroffenen zu 2 und nicht nur für die in N. ansässige Betroffene zu 1. Dies ist auch geeignet, sich auf den Unternehmenswert insgesamt auszuwirken. Soweit der Inhalt des Bußgeldbescheides veröffentlicht wird, können bisherige Geschäftspartner der Betroffenen die mitgeteilten Informationen zum Anlass nehmen, aus Sorge vor einer eigenen Rufschädigung von einer weiteren Zusammenarbeit mit den Betroffenen Abstand zu nehmen. Potentielle neue Geschäftspartner können durch die mitgeteilten Informationen verschreckt werden und sich vorsorglich für die Inanspruchnahme anderer „unbelasteter“ Geschäftspartner entscheiden. Zudem können den Betroffenen die eigene Tätigkeit dadurch erschwert werden, dass zum einen ihr Ruf im Kreis der Verbraucher in Mitleidenschaft gezogen wird und sich dies auf deren Kaufverhalten auswirken kann, obwohl der Bußgeldbescheid nicht unmittelbar das Verhalten gegenüber den Kunden selbst betrifft. Dafür spricht, dass viele Konsumenten Wert darauf legen, dass Unternehmen bestimmte Wertestandards einhalten, und zwar auch betreffend den Umgang mit ihren eigenen Mitarbeitern. Zum anderen könnte die Veröffentlichung des Bußgeldbescheids auch potentielle Arbeitnehmer von einer Bewerbung bei H. abhalten.

Diese Erwägungen gelten auch unter Berücksichtigung der Art des geltend gemachten Interesses der Antragssteller und der grundsätzlichen Beschränkung der Verwendung der durch Akteneinsicht erlangten personenbezogenen Daten lediglich für die Zwecke, für die Akteneinsicht gewährt wurde, §§ 46, 49b OWIG i.V.m. § 479 Abs. 6 StPO i.V.m. § 32f Abs. 5 S. 2 StPO. Zwar haben die Antragssteller 2 und 3 geltend gemacht, den Bußgeldbescheid vorrangig für die Mandantenberatung nutzen zu wollen. Dies beinhaltet jedoch nicht ausschließbar auch, wesentliche Inhalte des Bescheids, insbesondere im Zusammenhang mit der Herleitung der Haftung der Betroffenen zu 2 für Verstöße der Betroffenen zu 1, im Rahmen eines Kanzlei-Newsletters über die Internetseite einer unbestimmten Anzahl an Personen zugänglich zu machen. Soweit die Antragsteller 1, 3 und 4 den Bußgelbescheid zudem in Publikationen bzw. Fachaufsätzen verarbeiten zu wollen, begehren die Antragssteller die Übermittlung des Bußgeldbescheids – entgegen der anderweitigen Auffassung des HmbBfDI – sehr wohl zum Zweck der (wissenschaftlichen) Veröffentlichung. Diese Veröffentlichungsform ist auch geeignet, die oben beschriebenen Verletzungen der Rechte der Betroffenen zu intensivieren. Auch hier erlangt eine unbekannte Anzahl Dritter Kenntnis über den Inhalt des Bußgeldbescheids. Zudem ist zu erwarten, dass die Publikationen in anderen Printmedien zitiert werden oder sonst wie weiterverbreitet werden. Hierbei ist auch zu berücksichtigen, dass die Übermittlungen zu wissenschaftlichen oder beruflichen Zwecken auch keine konkreten Vorgaben beinhalten, wie mit dem Bußgeldbescheid umzugehen ist. Auch eine Veröffentlichung zu wissenschaftlichen Zwecken könnte demnach freizugänglich im Internet erfolgen. Daneben ist zu erwarten, dass der Bußgeldbescheid oder dessen Inhalt auf anderen Medien – und wahrscheinlich auch unabhängig von einer etwaigen Publikation – öffentlich verbreitet werden. Dafür spricht auch, dass – so von den Betroffenen vorgetragen und anhand eines Screenshots belegt – der Antragssteller 1, S. H. auf seinem Twitter-Account bereits seine bisherige Kommunikation mit dem HmbBfDI betreffend den Bußgeldbescheid gegen die Betroffenen im Internet veröffentlicht hat (vgl. Tweet des Twitter Accounts @ s. h. vom 24. Februar 2021; https:// t..com/ s._ h./status/ ). In der Gesamtschau ist daher bei der Herausgabe des Bußgeldbescheids von einem Eingriff bzw. einer Intensivierung des Eingriffs (siehe nachfolgend, cc) in die Rechte der Betroffenen auszugehen.

cc. Das schutzwürdige Interesse der Betroffenen entfällt auch nicht dadurch, dass bereits Informationen über den Bußgeldbescheid in der Pressemitteilung vom 01. Oktober 2020 veröffentlicht wurden und die Vorgänge sowohl vor als auch nach Veröffentlichung der Pressemitteilung mehrfach Gegenstand von Presseberichterstattungen in Deutschland waren.
[...]
Insgesamt ist daher von einem Überwiegen der schutzwürdigen Interessen der Betroffenen aus Art. 12 GG auszugehen.

3. Daraus folgt, dass weite Teile des Bußgeldbescheids von der Akteneinsicht auszunehmen wären. Durch die Herausgabe eines geschwärzten Bußgeldbescheids in der bislang vom HmbBfDI vorgesehenen Form würde den schutzwürdigen Interessen der Betroffenen nicht hinreichend Rechnung getragen werden. Eine die Interessen der betroffenen wahrende Schwärzung des Bußgeldbescheides vom 30. September 2020 würde dazu führen, dass der Rest des Bußgeldbescheides überwiegend aus abstrakten Rechtssätzen, Normenketten und allgemeinen Ausführungen bestünde, die einer Nichtübermittlung des Bußgeldbescheides gleichkommen würden.


Den Volltext der Entscheidung finden Sie hier:


OLG Schleswig-Holstein: Verstoß gegen DSGVO wenn Schufa Daten eines Insolvenzschuldners länger verwertet als sie im Insolvenzbekanntmachungsportal veröffentlicht werden

OLG Schleswig-Holstein
Urteil vom 03.06.2022
17 U 5/22


Das OLG Schleswig-Holstein hat abermals entschieden, dass ein Verstoß gegen die Vorgaben der DSGVO vorliegt, wenn die Schufa Daten eines Insolvenzschuldners länger verwertet als sie im Insolvenzbekanntmachungsportal veröffentlicht werden. Die Revision zum BGH wurde zugelassen.

Die Pressemitteilung des Gerichts:

Der 17. Zivilsenat hält daran fest, dass dem Insolvenzschuldner regelmäßig ein Löschungsanspruch gegen die Schufa Holding AG zusteht, wenn diese Daten aus dem Insolvenzbekanntmachungsportal ohne gesetzliche Grundlage länger speichert und verarbeitet als in der Verordnung zu öffentlichen Bekanntmachungen in Insolvenzverfahren im Internet (InsoBekVO) vorgesehen. Auch bei der Berechnung eines Score-Wertes darf die Schufa die Daten zum Insolvenzverfahren danach nicht mehr berücksichtigen. Das hat der 17. Zivilsenat des Schleswig-Holsteinischen Oberlandesgerichts am vergangenen Freitag entschieden.

Zum Sachverhalt: Über das Vermögen des Klägers wurde das Insolvenzverfahren eröffnet und am 25. März 2020 wurde das Verfahren durch Beschluss des Amtsgerichts aufgehoben. Diese Information wurde im amtlichen Internetportal veröffentlicht. Die Schufa pflegte diese Daten von dort in ihren Datenbestand ein, um diese ihren Vertragspartnern bei laufenden Vertragsbeziehungen und Auskunftsanfragen zum Kläger mitzuteilen. Der Kläger begehrte Ende 2020 die Löschung der Daten von der Schufa, da die Verarbeitung zu erheblichen wirtschaftlichen und finanziellen Nachteilen bei ihm führe. Eine uneingeschränkte Teilhabe am Wirtschaftsleben sei ihm nicht möglich. Er könne u.a. nur noch gegen Vorkasse bestellen und keine neue Wohnung anmieten.

Die Schufa wies die Ansprüche des Klägers zurück und verwies darauf, dass sie die Daten entsprechend der Verhaltensregeln des Verbandes "Die Wirtschaftsauskunfteien e.V." erst drei Jahre nach Speicherung lösche. Die Daten seien bonitätsrelevante Informationen und daher für die Schufa und ihre Vertragspartner von berechtigtem Interesse. Das Landgericht Kiel hat die Klage abgewiesen. Die hiergegen gerichtete Berufung des Klägers vor dem 17. Zivilsenat des Oberlandesgerichts hatte Erfolg.

Aus den Gründen: Der Kläger kann von der Schufa die Unterlassung der Verarbeitung der Informationen zu seinem Insolvenzverfahren sechs Monate nach Aufhebung des Insolvenzverfahrens verlangen. Nach Ablauf dieser Frist überwiegen die Interessen und Grundrechte des Klägers gegenüber den berechtigten Interessen der Schufa und ihrer Vertragspartner an einer Verarbeitung, so dass sich die Verarbeitung nicht mehr als rechtmäßig im Sinne von Art. 6 Abs. 1 lit. f) Datenschutz-Grundverordnung darstellt.

Es ist eine konkrete Abwägung zwischen den Interessen der Schufa und ihrer Vertragspartner an der Verarbeitung der Daten und den durch die Verarbeitung berührten Grundrechten und Interessen des Klägers anzustellen. Der Kläger hat ein Interesse daran, möglichst ungehindert am wirtschaftlichen Leben teilnehmen zu können, nachdem die Informationen über sein Insolvenzverfahren aus dem Insolvenzbekanntmachungsportal gelöscht worden sind. Dieses Interesse geht dem eigenen wirtschaftlichen Interesse der Schufa als Anbieterin von bonitätsrelevanten Informationen vor. Auch gegenüber typisierend zu betrachtenden Interessen der Vertragspartner sind die Interessen des Klägers vorrangig, da keine besonderen Umstände in der Person des Klägers oder seines Insolvenzverfahrens erkennbar sind, die eine Vorratsdatenspeicherung bei der Schufa über den Zeitraum der Veröffentlichung im Insolvenzbekanntmachungsportal hinaus rechtfertigen könnten.

Die Schufa kann sich nicht auf die in den Verhaltensregeln des Verbandes der Wirtschaftsauskunfteien genannte Speicherfrist von drei Jahren berufen. Diese Verhaltensregeln entfalten keine Rechtswirkung zulasten des Klägers. Sie vermögen auch keine Abwägung der Interessen vorzuzeichnen oder zu ersetzen. (Schleswig-Holsteinisches Oberlandesgericht, Urteil vom 3. Juni 2022, Az. 17 U 5/22, Revision ist zugelassen)



BGH legt EuGH vor: Anspruch gegen Arzt auf kostenfreie Zurverfügungstellung der Patientenakte nach Art. 15 Abs. 3 DSGVO und Möglichkeit der Beschränkung nach § 630g Abs. 2 Satz 2 BGB

BGH
Beschluss vom 29.03.2022
VI ZR 1352/20
Verordnung (EU) 2016/679 Art. 12 Abs. 5, Art. 15 Abs. 3 Satz 1, Art. 23 Abs. 1; BGB § 630g Abs. 2 Satz 2


Der BGH hat dem EuGH zur Vorabentscheidung vorgelegt, ob bzw. in welchem Umfang der Anspruch des Patienten gegen seinen Arzt auf kostenfreie Zurverfügungstellung der in der Patientenakte gespeicherten personenbezogenen Daten nach Art. 15 Abs. 3 DSGVO durch § 630g Abs. 2 Satz 2 BGB beschränkt ist.

Leitsatz des BGH:
Vorlagefragen an den Gerichtshof der Europäischen Union zur Auslegung von Art. 15 Abs. 3 Satz 1 i.V.m. Art. 12 Abs. 5 und Art. 23 Abs. 1 der Verordnung (EU) 2016/679 des Europäischen Parlaments und des Rates vom 27. April 2016 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten, zum freien Datenverkehr und zur Aufhebung der Richtlinie 95/46/EG (Datenschutz-Grundverordnung, DS-GVO, ABl. EU L 119 vom 4. Mai 2016 S. 1) bezüglich der Reichweite des unionsrechtlichen Anspruchs des Patienten gegen den behandelnden Arzt auf kostenfreie Zurverfügungstellung einer ersten Kopie seiner in der Patientenakte verarbeiteten personenbezogenen Daten und der Möglichkeit einer Beschränkung dieses Anspruchs durch § 630g Abs. 2 Satz 2 BGB.

BGH, Beschluss vom 29. März 2022 - VI ZR 1352/20 - LG Dessau-Roßlau - AG Köthen

Den Volltext der Entscheidung finden Sie hier:


BGH: Auskunftsanspruch aus Art. 15 DSGVO kann durch datenschutzrechtlich geschützte Interessen Dritter eingeschränkt sein - Abwägung des Einzelfalls

BGH
Urteil vom 22.02.2022
VI ZR 14/21
DS-GVO Art. 15 Abs. 1 Halbsatz 2 lit. g


Der BGH hat entschieden, dass der Auskunftsanspruch aus Art. 15 DSGVO durch datenschutzrechtlich geschützte Interessen Dritter eingeschränkt sein kann. Insofern ist eine Abwägung des Einzelfalls erforderlich.

Leitsatz des BGH:
Zur Beschränkung des Auskunftsrechts über die Herkunft von Daten gemäß Art. 15 Abs. 1 Halbsatz 2 lit. g DS-GVO durch datenschutzrechtlich geschützte Interessen Dritter.

BGH, Urteil vom 22. Februar 2022 - VI ZR 14/21 - OLG Stuttgart - LG Ravensburg

Den Volltext der Entscheidung finden Sie hier:


EU-Kommission und USA haben sich auf Trans-Atlantic Data Privacy Framework verständigt - Privacy-Shield-Nachfolger

EU-Kommission und USA haben sich auf ein neues Trans-Atlantic Data Privacy Framework verständigt, welches die Nachfolge des des EU-US-Privacy-Shield antreten soll (dazu: EuGH: EU-US Privacy Shield genügt nicht den Vorgaben der DSGVO und ist ungültig).

Die Pressemitteilung der EU-Kommission:

The European Commission and the United States announce that they have agreed in principle on a new Trans-Atlantic Data Privacy Framework, which will foster trans-Atlantic data flows and address the concerns raised by the Court of Justice of the European Union in the Schrems II decision of July 2020.

The new Framework marks an unprecedented commitment on the U.S. side to implement reforms that will strengthen the privacy and civil liberties protections applicable to U.S. signals intelligence activities. Under the Trans-Atlantic Data Privacy Framework, the United States is to put in place new safeguards to ensure that signals surveillance activities are necessary and proportionate in the pursuit of defined national security objectives, establish a two-level independent redress mechanism with binding authority to direct remedial measures, and enhance rigorous and layered oversight of signals intelligence activities to ensure compliance with limitations on surveillance activities.

The Trans-Atlantic Data Privacy Framework reflects more than a year of detailed negotiations between the U.S. and E.U. led by Secretary of Commerce Gina Raimondo and Commissioner for Justice Didier Reynders. It will provide a durable basis for trans-Atlantic data flows, which are critical to protecting citizens' rights and enabling trans-Atlantic commerce in all sectors of the economy, including for small and medium enterprises. By advancing cross-border data flows, the new framework will promote an inclusive digital economy in which all people can participate and in which companies of all sizes from all of our countries can thrive.

The announcement is another demonstration of the strength of the U.S.-EU relationship, in that we continue to deepen our partnership as a community of democracies to ensure both security and respect for privacy and to enable economic opportunities for our companies and citizens. The new Framework will facilitate further U.S.-EU cooperation, including through the Trade and Technology Council and through multilateral fora, such as the Organisation for Economic Cooperation and Development, on digital policies.

The teams of the U.S. Government and the European Commission will now continue their cooperation with a view to translate this arrangement into legal documents that will need to be adopted on both sides to put in place this new Trans-Atlantic Data Privacy Framework. For that purpose, these U.S. commitments will be included in an Executive Order that will form the basis of the Commission's assessment in its future adequacy decision.


Fact Sheet:

The European Commission and the United States reached an agreement in principle for a Trans-Atlantic Data Privacy Framework.

Key principles
• Based on the new framework, data will be able to flow freely and safely between the EU and participating U.S. companies

• A new set of rules and binding safeguards to limit access to data by U.S. intelligence authorities to what is necessary and proportionate to protect national security; U.S. intelligence agencies will adopt procedures to ensure effective oversight of new privacy and civil liberties standards

• A new two-tier redress system to investigate and resolve complaints of Europeans on access of data by U.S. Intelligence authorities, which includes a Data Protection Review Court

• Strong obligations for companies processing data transferred from the EU, which will continue to include the requirement to self-certify their adherence to the Principles through the U.S. Department of Commerce

• Specific monitoring and review mechanisms

Benefits of the deal

• Adequate protection of Europeans’ data transferred to the US, addressing the ruling of the European Court of Justice (Schrems II)

• Safe and secure data flows

• Durable and reliable legal basis

• Competitive digital economy and economic cooperation

• Continued data flows underpinning €900 billion in cross-border commerce every year

Next steps: The agreement in principle will now be translated into legal documents. The U.S.
commitments will be included in an Executive Order that will form the basis of a draft adequacy
decision by the Commission to put in place the new Trans-Atlantic Data Privacy Framework.



LfDI Bremen: Bußgeld von rund 1,9 Millionen Euro nach Art. 83 DSGVO gegen Wohnungsbaugesellschaft wegen diskriminierender Datenerhebung und Datenverarbeitung

Die Landesbeauftragte für Datenschutz und Informationsfreiheit (LfDI) Bremen hat ein Bußgeld von rund 1,9 Millionen Euro nach Art. 83 DSGVO gegen eine Wohnungsbaugesellschaft wegen diskriminierender Datenerhebung und Datenverarbeitung verhängt.

Die Pressemitteilung der LfDI Bremen:
LfDI verhängt gegen die BREBAU GmbH Geldbuße nach DSGVO

Am heutigen Tage hat die Landesbeauftragte für Datenschutz und Informationsfreiheit (LfDI) als datenschutzrechtliche Aufsichtsbehörde die BREBAU GmbH mit einer Geldbuße nach Artikel 83 Datenschutzgrundverordnung (DSGVO) belegt.

Die BREBAU GmbH hat mehr als 9.500 Daten über Mietinteressent:innen verarbeitet, ohne dass es hierfür eine Rechtsgrundlage gab. Beispielsweise Informationen über Haarfrisuren, den Körpergeruch und das persönliche Auftreten sind für den Abschluss von Mietverhältnissen nicht erforderlich.

Bei mehr als der Hälfte der Fälle handelte es sich darüber hinaus um Daten, die nach der DSGVO besonders geschützt sind. Rechtswidrig verarbeitet wurden auch Informationen über die Hautfarbe, die ethnische Herkunft, die Religionszugehörigkeit, die sexuelle Orientierung und über den Gesundheitszustand. Auch hat die BREBAU GmbH Anträge Betroffener auf Transparenz über die Verarbeitung ihrer Daten bewusst konterkariert.

Die nach Artikel 83 DSGVO verhängte Geldbuße beläuft sich auf rund 1,9 Millionen Euro. Der außerordentlichen Tiefe der Verletzung des Grundrechts auf Datenschutz wäre eine deutlich höhere Geldbuße angemessen gewesen. Weil die BREBAU GmbH im datenschutzrechtlichen Aufsichtsverfahren umfassend kooperierte, sich um Schadensminderung, eigene Aufklärung des Sachverhalts und darum bemühte, dass entsprechende Verstöße sich nicht wiederholen, konnte die Höhe der Geldbuße erheblich reduziert werden.

Anlässlich dieses Aufsichtsverfahrens äußerte die Landesbeauftragte für Datenschutz und Informationsfreiheit, Dr. Imke Sommer: "Im Zusammenhang mit der öffentlichen Diskussion über den Fall, der diesem datenschutzrechtlichen Aufsichtsverfahren zugrunde liegt, bin ich häufig gefragt worden, ob die DSGVO Diskriminierungen verbietet. Die Antwort auf diese Frage ist kompliziert, weil die DSGVO in spezifischer Weise auf Sachverhalte schaut. Nach der DSGVO ist es nur in wenigen Ausnahmefällen überhaupt erlaubt, Daten über Hautfarbe, ethnische Herkunft, Religionszugehörigkeit, sexuelle Orientierung und über den Gesundheitszustand zu verarbeiten. Damit sorgt die DSGVO dafür, dass diese besonders geschützten Daten in den allermeisten Fällen gar nicht erst erhoben und gespeichert werden dürfen. Nicht erhobene Daten können nicht missbraucht werden. In diesem Sinne schützt die DSGVO auch vor Diskriminierungen.



OVG Schleswig-Holstein: Datenschutzbehörde durfte 2011 anordnen dass Unternehmen seine Facebook-Fanpage schließt - Entscheidung nach 10 Jahren nach dem Weg durch die Instanzen bis zum EuGH

OLG Schleswig-Holstein
Urteil vom 25.11.2021
4 LB 20/13


Das OVG Schleswig-Holstein hat entschieden, dass die zuständige Datenschutzbehörde 2011 anordnen durfte, dass ein Unternehmen seine Facebook-Fanpage schließt. Somit liegt nach 10 Jahren eine Entscheidung nach dem Weg durch die Instanzen bis zum EuGH (siehe dazu EuGH: Betreiber einer Facebook-Seite / Facebook-Fanpage gemeinsam mit Facebook für Verarbeitung der personenbezogenen Daten der Besucher verantwortlich) vor.

Den Volltext der Entscheidung finden Sie hier:1

Aus den Entscheidungsgründen:

B. Die streitgegenständlichen Verfügungen im Bescheid vom 3. November 2011 in Gestalt des Widerspruchsbescheids vom 16. Dezember 2011 sind rechtmäßig und verletzen die Klägerin nicht in ihren Rechten, § 113 Abs. 1 Satz 1 VwGO.

I. Dies gilt zunächst für die Anordnung der Deaktivierung der Fanpage der Klägerin.

Maßgeblich für die Beurteilung der Rechtmäßigkeit der Anordnung der Deaktivierung der Fanpage der Klägerin ist die Sach- und Rechtslage im Zeitpunkt der letzten Verwaltungsentscheidung, hier des Widerspruchsbescheids vom 16. Dezember 2011. Nachträgliche Änderungen sind nicht zu berücksichtigen (vgl. BVerwG, Urteil vom 11. September 2019 – 6 C 15.18 –, Rn. 16, juris). Dies ergibt sich für den Senat bindend aus der vorliegenden Revisionsentscheidung des Bundesverwaltungsgerichts (vgl. § 144 Abs. 6 VwGO).

Lediglich ergänzend wird darauf hingewiesen, dass dem auch die von der Klägerin angeführte Rechtsprechung des Bundesverwaltungsgerichts zu Dauerverwaltungsakten, nach der für den Erfolg einer gegen einen Dauerverwaltungsakt gerichteten Anfechtungsklage regelmäßig die Sach- und Rechtslage zum Zeitpunkt der letzten tatsachengerichtlichen Verhandlung maßgeblich ist (stRspr BVerwG, vgl. Urteil vom 19. September 2013 – 3 C 15.12 – Rn. 9, juris; Beschluss vom 5. Januar 2012 – 8 B 62.11 – Rn. 13, juris), nicht entgegensteht. Die streitgegenständliche Anordnung der Deaktivierung der Fanpage ist bei einer an §§ 133, 157 BGB entsprechend orientierten Auslegung des Regelungsinhalts nicht als Dauerverwaltungsakt zu bewerten. Es muss auch davon ausgegangen werden, dass dies der Auffassung des Bundesverwaltungsgerichts entspricht, da es vorliegend den Zeitpunkt der letzten Behördenentscheidung für maßgeblich erachtet hat, ohne sich zu seiner eigenen Rechtsprechung zu Dauerverwaltungsakten zu verhalten.

1. Rechtsgrundlage der streitgegenständlichen Anordnung des Beklagten ist § 38 Abs. 5 Satz 2 BDSG i. d. F. der Bekanntmachung vom 14. Januar 2003 (BGBl. I S. 66), zuletzt geändert durch Art. 1 des Gesetzes zur Änderung datenschutzrechtlicher Vorschriften vom 14. August 2009 (BGBl. I S. 2814; im Folgenden BDSG a. F.). Gemäß § 38 Abs. 5 Satz 2 BDSG a. F. kann die Aufsichtsbehörde zur Gewährleistung der Einhaltung des Bundesdatenschutzgesetzes und anderer Vorschriften über den Datenschutz bei schwerwiegenden Verstößen bei der Erhebung, Verarbeitung oder Nutzung personenbezogener Daten oder schwerwiegenden technischen oder organisatorischen Mängeln, insbesondere solchen, die mit einer besonderen Gefährdung des Persönlichkeitsrechts verbunden sind, die Erhebung, Verarbeitung oder Nutzung oder den Einsatz einzelner Verfahren untersagen, wenn die Verstöße oder Mängel entgegen der Anordnung nach § 38 Abs. 5 Satz 1 BDSG a. F. und trotz der Verhängung eines Zwangsgeldes nicht in angemessener Zeit beseitigt werden.

Die an die Klägerin gerichtete Anordnung, ihre Fanpage zu deaktivieren, ist gemäß der den Senat bindenden Revisionsentscheidung des Bundesverwaltungsgerichts nach dem Eingriffsgewicht als Untersagung des Einsatzes eines Verfahrens gemäß § 38 Abs. 5 Satz 2 BDSG a. F. zu werten. Dass der Beklagte in der Überschrift des Bescheids vom 3. November 2011 in Gestalt des Widerspruchsbescheids vom 16. Dezember 2011 auf § 38 Abs. 5 Satz 1 BDSG a. F. abhebt, ist – wie das Bundesverwaltungsgericht ebenfalls mit Bindungswirkung für den Senat festgestellt hat – unschädlich (BVerwG, Urteil vom 11. September 2019 – 6 C 15.18 –, Rn. 17, juris).

§ 38 Abs. 5 Satz 2 BDSG a. F. ist mit Blick auf eine Inanspruchnahme der Klägerin auch sonst anwendbar (vgl. zur Anwendbarkeit des Dritten Abschnitts des Bundesdatenschutzgesetzes a. F. § 27 Abs. 1 Nr. 1 BDSG a. F.). Die Klägerin ist als nichtöffentliche Stelle im Sinne des § 1 Abs. 2 Nr. 3, § 2 Abs. 4 BDSG a. F., die keine Aufgaben der öffentlichen Verwaltung wahrnimmt (vgl. § 2 Abs. 1 bis 3 BDSG a. F.), zu qualifizieren. Es handelt sich um eine privatrechtlich organisierte gemeinnützige Gesellschaft.

[...]

3. Die Anordnung zur Deaktivierung der Fanpage der Klägerin ist materiell-rechtlich nicht zu beanstanden. Im Gebrauch der Registrierungsdaten und der übrigen vorhandenen personenbezogenen Daten von im Facebook-Netzwerk registrierten und angemeldeten Personen sowie in der unzureichenden Bereitstellung von Informationen über die Erhebung und Verwendung personenbezogener Daten für diese Personengruppe sind im hier maßgeblichen Zeitpunkt im Dezember 2011 Verstöße bei der Erhebung, Verarbeitung oder Nutzung personenbezogener Daten zu erkennen (dazu unter a). Die Klägerin kann auch als Adressatin einer auf § 38 Abs. 5 Satz 2 BDSG a. F. beruhenden Verfügung herangezogen werden, da sie für den Gebrauch der genannten Daten zur Erstellung der auf ihre Fanpage bezogenen Insights-Statistiken durch Facebook sowie für die unzureichende Bereitstellung von Informationen (mit)verantwortlich ist (dazu unter b). Ferner wiegen die Verstöße schwer (dazu unter c). Vor diesem Hintergrund kann die rechtliche Bewertung einzelner technischer Abläufe dahinstehen (dazu unter d). Der materiell-rechtlichen Rechtmäßigkeit der hier streitgegenständlichen Verfügung steht auch nicht die in § 38 Abs. 5 Satz 1 und Satz 2 BDSG a. F. vorgegebenen "Stufenfolge" entgegen (dazu unter e).

a) Verstöße bei der Erhebung, Verarbeitung oder Nutzung personenbezogener Daten im Sinne des § 38 Abs. 5 Satz 2 TMG a. F. ergeben sich hier aus einem Widerspruch verschiedener durch den Besuch der Fanpage der Klägerin angestoßener und durch die Beigeladene gesteuerter Vorgänge zu den Vorgaben der § 12 und § 13 TMG in der Fassung des Art. 1 des Gesetzes zur Vereinheitlichung von Vorschriften über bestimmte elektronische Informations- und Kommunikationsdienste vom 26. Februar 2007 (BGBl. I S. 179), für den hier maßgeblichen Zeitraum zuletzt geändert durch das Erste Gesetz zur Änderung des Telemediengesetzes vom 31. Mai 2010 (BGBl. I S. 692; im Folgenden TMG a. F.). Gemäß § 12 Abs. 1 und Abs. 2 TMG a. F. darf ein Diensteanbieter personenbezogene Daten zur Bereitstellung von Telemedien nur erheben und verwenden, soweit das Telemediengesetz oder eine andere Rechtsvorschrift, die sich ausdrücklich auf Telemedien bezieht, es erlaubt oder der Nutzer eingewilligt hat. Der Diensteanbieter darf für die Bereitstellung von Telemedien erhobene personenbezogene Daten für andere Zwecke nur verwenden, soweit dieses Gesetz oder eine andere Rechtsvorschrift, die sich ausdrücklich auf Telemedien bezieht, es erlaubt oder der Nutzer eingewilligt hat. Nach § 13 Abs. 1 Satz 1 TMG a. F. hat der Diensteanbieter den Nutzer zu Beginn des Nutzungsvorgangs über Art, Umfang und Zwecke der Erhebung und Verwendung personenbezogener Daten sowie über die Verarbeitung seiner Daten in allgemein verständlicher Form zu unterrichten, sofern eine solche Unterrichtung nicht bereits erfolgt ist.

aa) Die durch den Besuch der Fanpage der Klägerin im Facebook-Netzwerk angestoßenen Vorgänge unterfallen dem Anwendungsbereich des gegenüber dem Bundesdatenschutzgesetz a. F. spezielleren Telemediengesetz a. F. Das soziale Netzwerk Facebook ist Telemedium im Sinne des § 1 Abs. 1 Satz 1 TMG a. F. (vgl. i. E. Ricke, in: Spindler/Schuster, Recht der elektronischen Medien, 4. Aufl. 2019, § 1 TMG, Rn. 12; Altenhain, in: MüKo zum StGB, 3. Auflage 2019, § 1 TMG, Rn. 26). Gemäß § 1 Abs. 1 Satz 1 TMG a. F. sind unter Telemedien alle elektronischen Informations- und Kommunikationsdienste ("IuK-Dienst"), die nicht Telekommunikation im engeren Sinne oder Rundfunk sind, zu verstehen. Dazu gehören beispielsweise Online-Angebote von Waren oder Internet-Suchmaschinen (vgl. BT-Drucks. 16/3078, S. 13). Das soziale Netzwerk Facebook ermöglicht durch seine Strukturen die Bereitstellung von Informationen sowie Diskussion über Sachthemen, d. h. das Verbreiten derartiger Themen und den anschließenden Dialog hierüber. Es ist damit selbst als sogenannter elektronischer "IuK-Dienst" anzusehen. Gleiches gilt für die Fanpage der Klägerin innerhalb des Facebook-Netzwerkes.

Die Beigeladene und die damalige Facebook Inc. sind auch Diensteanbieter im Sinne des § 12 Abs. 1 und Abs. 2 TMG a. F. Diensteanbieter ist gemäß § 2 Satz 1 Nr. 1 HS 1 TMG a. F. jede natürliche oder juristische Person, die eigene oder fremde Telemedien zur Nutzung bereithält oder den Zugang zur Nutzung vermittelt. Da sowohl die Beigeladene als auch ihr Mutterkonzern das Telemedium, d. h. das soziale Netzwerk bzw. die Fanpage zur Verfügung stellen und allen Interessierten Zugang hierzu vermitteln, liegen die Voraussetzungen des § 2 Satz 1 Nr. 1 HS 1 TMG a. F. vor. Die Klägerin ist ebenfalls Diensteanbieter in diesem Sinne, da sie über die Errichtung der Fanpage einen (eigenen oder fremden) elektronischen Informations- und Kommunikationsdienst, d. h. ein Telemedium im Sinne des § 1 Abs. 1 Satz 1 TMG a. F., bereitstellt bzw. jedenfalls Zugang zur Nutzung vermittelt.

Die Vorgänge des Erhebens, Verarbeitens und Nutzens personenbezogener Daten im Sinne des § 38 Abs. 5 i.V.m. § 3 Abs. 3 bis 5 BDSG a.F. entsprechen denen des Erhebens und Verwendens im Sinne des Abschnitt 4 im Telemediengesetz a.F.; der Begriff der Verwendung ist als Sammelbezeichnung für das Verarbeiten und Nutzen personenbezogener Daten i.S.d. § 3 Abs. 4 und 5 BDSG auszulegen (Bizer/Hornung, in: Roßnagel, Beck´scher Kommentar zum Recht der Telemediendienste, 1. Auflage 2013, § 12 TMG, Rn. 53 m.w.N.).

Der Anwendbarkeit des Telemediengesetzes steht im vorliegenden Fall nicht entgegen, dass die Beigeladene mit Sitz in Irland nach eigenem Bekunden die tatsächliche Verantwortung für die hier maßgeblichen Datenerhebungs- und -verwendungsvorgänge trägt. Die §§ 12 ff. TMG a. F. werden nicht durch eine vorrangige Anwendbarkeit irisches Datenschutzrecht – ggf. in Kombination mit einer vorrangigen Prüfungskompetenz der irischen Datenschutzbehörde – verdrängt. Insoweit wird zur Begründung auf die Revisionsentscheidung des Bundesverwaltungsgerichts und die Entscheidung des Gerichtshofs der Europäischen Union im vorliegenden Verfahren verwiesen (BVerwG, Urteil vom 11. September 2019 – 6 C 15.18 –, Rn. 24 ff., EuGH, Urteil vom 5. Juni 2018 – C-210/16 –, Rn. 50 ff., juris).

bb) Für die Feststellung der maßgeblichen Datenerhebungs- und -verwendungsvorgänge bis Ende 2011 geht der Senat von folgenden, zu seiner Überzeugung (§ 108 Abs. 1 VwGO) feststehenden Sachverhalten aus:

(1) Bei jedem Aufruf der Fanpage der Klägerin wird die Internetadresse der aufgerufenen Seite sowie die IP-Adresse des jeweiligen Internetnutzers an Facebook übertragen. IP-Adressen sind Ziffernfolgen, die dem mit dem Internet verbundenen Computern zugewiesen werden, um deren Kommunikation im Internet zu ermöglichen. Beim Abruf einer Website wird die IP-Adresse des abrufenden Computers an den Server übermittelt, auf dem die abgerufene Website gespeichert ist. Dies ist erforderlich, um die abgerufenen Daten an den richtigen Empfänger übertragen zu können (vgl. Ergebnisbericht der Arbeitsgruppe des AK I "Staatsrecht und Verwaltung" zum Datenschutz in sozialen Netzwerken vom 4. April 2012, S. 7, Bl. 223 GA; Datenschutzrechtliche Bewertung der Reichweitenanalyse durch Facebook, 11. August 2011, S. 15, Bl. 128 GA). Nach Angaben der Beigeladenen werden die empfangenen IP-Adressen nicht einzeln – insbesondere nicht in Profilen zu den Internetnutzern – gespeichert.

(2) Ferner ist der Senat davon überzeugt, dass Facebook bei Besuch der Fanpage den Inhalt der c_user-Cookies ausliest, die zuvor im Browser von im Netzwerk angemeldeten Facebook-Mitgliedern gesetzt worden sind. Cookies sind eindeutig zuzuordnende alphanumerische Kennungen, die im Internetbrowser auf dem Endgerät des Nutzers gespeichert werden. Facebook-Mitglieder haben sich im Facebook-Netzwerk registriert und im Zuge der Registrierung ihren Vor- und Nachnamen, ihr Geburtsdatum, ihr Geschlecht und ihre E-Mail-Adresse angegeben. Der c_user-Cookie enthält eine User-ID des Facebook-Mitglieds. Er wird von Facebook gesetzt, wenn sich das Facebook-Mitglied erstmals registriert oder wenn ein registriertes Facebook-Mitglied sich erneut im Netzwerk anmeldet (bzw. "einloggt"). Die Gültigkeit dieses Cookies hängt davon ab, ob das Facebook-Mitglied in den Kontoeinstellungen die Option gewählt hat, im Netzwerk (auch bei Verlassen) angemeldet zu bleiben. Ist dies der Fall, verliert der c_user-Cookie seine Gültigkeit erst, wenn das Facebook-Mitglied den Facebook-Webserver 30 Tage nicht mehr aufruft. Ansonsten wird der c_user-Cookie mit dem Schließen des Browsers gelöscht (vgl. Ergebnisbericht der Arbeitsgruppe des AK I "Staatsrecht und Verwaltung" zum Datenschutz in sozialen Netzwerken vom 4. April 2012, S. 8, Bl. 224 GA).

Der Inhalt des c_user-Cookie wird innerhalb seines Gültigkeitszeitraums bei jeder Kommunikation mit Facebook an Facebook übermittelt und gibt Facebook die Möglichkeit einer Verknüpfung des Seitenaufrufs mit dem registrierten Mitglied. Diese Verknüpfung ermöglicht unter anderem die personalisierte Darstellung von Fanpage-Inhalten. Über die Personalisierung erfährt das Facebook-Mitglied beispielsweise, welche seiner Facebook-Freunde die Fanpage empfohlen oder kommentiert haben (vgl. Ergebnisbericht der Arbeitsgruppe des AK I "Staatsrecht und Verwaltung" zum Datenschutz in sozialen Netzwerken vom 4. April 2012, S. 3, 15, Bl. 219, 231 GA).

Die über den c_user-Cookie ermöglichte Verknüpfung von Fanpage-Aufruf und Facebook-Mitglied speichert Facebook in den über das Mitglied angelegten Profilen, die wiederum zu Werbezwecken genutzt werden. Diese Überzeugung hat der Senat aufgrund der durchgeführten mündlichen Verhandlung gewonnen. In dieser hat die Beigeladene auf entsprechende Frage des Gerichts eingeräumt, es "ist anzunehmen", dass der Fanpage-Aufruf in den Profilen der Mitglieder gespeichert wird. Bereits zu Beginn dieses Verfahrens war zwischen der Beigeladenen und dem Beklagten unstreitig, dass Facebook "bis zu einem bestimmten Grad" Profile seiner Mitglieder anlegt und diese zu Werbezwecken nutzt. Ferner deuten die Datenverwendungsrichtlinien 2011 von Facebook die Durchführung entsprechender Vorgänge an, indem sie darauf hinweisen, dass Facebook jedes Mal, wenn das Mitglied mit Facebook interagiert, beispielsweise eine bestimmte Seite aufruft, Daten erhält (vgl. Datenverwendungsrichtlinien 2011, Abschnitt I, Überschrift Informationen, die wir über dich erhalten, S. 1) und dass Werbeanzeigen bei den Personen eingeblendet werden, welche die vom Werbetreibenden ausgewählten Kriterien (beispielsweise "Kinobesucher") erfüllen (vgl. Datenverwendungsrichtlinien 2011, Abschnitt IV, Überschrift: Personalisierte Werbeanzeigen, S. 4). Letzteres ist nur dann möglich, wenn Facebook über die Registrierungsdaten hinaus Informationen zu den Personen, beispielsweise zu bestimmten Interessen und Vorlieben, speichert.

(3) Facebook unterhält außerdem den Dienst "Insights". Dieser beinhaltet die Erstellung von Statistiken über die Nutzung von Fanpages (auch als Seitenstatistik bezeichnet). Die Seitenstatistik umfasst unter anderem Angaben zur Anzahl der Seitenaufrufe, zur Verweildauer der Besucher, sowie zu deren Alter, Geschlecht, geographischer Herkunft und Sprache und zur Nutzung der einzelnen Funktionalitäten der Fanpage (vgl. Ergebnisbericht der Arbeitsgruppe des AK I "Staatsrecht und Verwaltung" zum Datenschutz in sozialen Netzwerken vom 4. April 2012, S. 9, Bl. 225 GA; Datenschutzrechtliche Bewertung der Reichweitenanalyse durch Facebook, 11. August 2011, S. 12, Bl. 126 GA). Die Erstellung dieser Statistiken ist Facebook insbesondere aufgrund des c_user-Cookies möglich, da mit diesem der Aufruf einer Fanpage mit den Facebook-Mitgliedern und den zu diesen bereits gewonnenen Informationen verknüpft werden kann. Nach Angaben der Beigeladenen fließt der Aufruf einer Fanpage durch ein Nicht-Facebook-Mitglied ausschließlich in die Gesamtzahl der Aufrufe der Fanpage im Rahmen der Insights-Statistik ein. Weitere Erkenntnisse über Nicht-Mitglieder werden nach Angabe der Beigeladenen nicht in Insights verarbeitet.

Fanpage-Betreiber erhalten über Insights die Seitenstatistiken in aggregierter und anonymisierter Form, ohne dass es dazu der Erteilung eines entsprechenden Auftrags an Facebook bedürfte. Die Klägerin kann ebenso wie andere Fanpage-Betreiber den Dienst Insights auch nicht an- oder abwählen. Sie kann nicht steuern, welche Angaben in der Statistik enthalten sind. Ferner haben Fanpagebetreiber auf die technische Konfiguration der Fanpage keinen Einfluss, sie können die Fanpages "lediglich" mit Inhalt füllen.

Die Erstellung von Seitenstatistiken dient dem Zweck, den Betrieb einer Fanpage auf die Nutzer anzupassen, d. h. die Fanpage attraktiver gestalten zu können. Gleichzeitig sollen diese Facebook ermöglichen, den Werbewert des Netzwerkes zu erhöhen.




OLG Dresden: Löschungsanspruch aus Art. 17 DSGVO schließt Anspruch auf Unterlassung der Verarbeitung personenbezogener Daten gemäß §§ 823, 1004 BGB nicht aus

OLG Dresden
Urteil vom 14.12.2021
4 U 1278/21


Das OLG Dresden hat entschieden, dass der Löschungsanspruch aus Art. 17 DSGVO einen Anspruch auf Unterlassung der Verarbeitung personenbezogener Daten gemäß §§ 823, 1004 BGB nicht ausschließt.

Aus den Entscheidungsgründen:
"Es handelt sich hierbei um personenbezogene Daten im Sinne des Art. 4 Nr. 1 DSGVO, mit denen der Kläger als natürliche Person identifiziert werden kann. Dem steht hier nicht entgegen, dass es neben dem Kläger mit dem tatsächlichen Schuldner eine Person gibt, die denselben Namen trägt. Zu Unrecht meinen die Beklagten, ein Löschungsanspruch sei bereits deswegen ausgeschlossen, weil der Name nicht dem Kläger allein „gehöre“, sondern mehrere Personen des gleichen Namens existierten. Der Name gehört unbeschadet dessen nach Art. 4 DSGVO zu den personenbezogenen Daten, sofern eine Person hierüber sicher identifiziert werden kann. Bei Namensgleichheit mehrerer Personen wird der Personenbezug ggf. über weitere Zusatzinformationen hergestellt, die eine konkrete Verbindung zu einer der von einer Namensgleichheit betroffenen Personen begründen (vgl. Karg in: Simitis/Hornung/Spiecker (Hrsg.), Datenschutzrecht, 2019, Art. 4 Nr.1, a.a.O. Rn 51). Eine solche Verbindung liegt vor, wenn die Person entweder direkt über die Information identifiziert wird oder durch Hinzuziehung weiterer Informationen oder Zwischenschritte jedenfalls identifizierbar ist (vgl. Karg in Simitis/Hornung/Spiecker (Hrsg.), Datenschutzrecht, 2019, Art. 4 Nr. 1, Rn. 46). So liegen die Dinge hier. Unstreitig ist bei beiden Beklagten nämlich nicht lediglich der Name des Klägers hinterlegt, sondern zusätzlich dessen Geburtsdatum und Wohnanschrift, mag auch letztere bei der Beklagten zu 2) mit einem Sperrvermerk versehen sein. Es kann dahinstehen, ob diese Daten in der IT der Beklagten konkret miteinander schon so verbunden sind, dass der Kläger hierüber eindeutig identifizierbar ist, weil eine solche Zusammenstellung jedenfalls im Bedarfsfall unschwer bewerkstelligt werden könnte. Dass hiergegen aufgrund der Ausgestaltung ihrer jeweiligen Datenbanksoftware Vorkehrungen getroffen worden wären, die eine solche Zuordnung und damit die konkrete Identifizierung des Klägers ausschließen, haben die Beklagten nicht behauptet und unter Beweis gestellt. Sind damit die über den Kläger gespeicherten Daten trotz der Namensidentität mit dem tatsächlichen Schuldner infolge dieser Verknüpfungsmöglichkeit personenbezogene Daten des Klägers, obliegt es den Beklagten entweder, diese Daten für sich genommen zu löschen oder durch Schutzvorkehrungen sicherzustellen, dass eine Verknüpfung, die eindeutig auf den Kläger hinweist, zukünftig ausgeschlossen ist. Dabei hat der Kläger nur einen Anspruch darauf, dass dies geschieht, nicht jedoch in welcher Weise die Beklagten hierbei vorgehen müssen. Ebenso wie im Bereich der negatorischen und quasinegatorischen Ansprüche aus § 1004 BGB, bei denen die Entscheidung, mit welchen Mitteln die Beeinträchtigung zu beseitigen ist, dem Störer überlassen bleibt und bei denen das Gericht regelmäßig davon absieht, bestimmte Maßnahmen anzuordnen (vgl. statt aller BGH, Urteil vom 14. Dezember 2017 – I ZR 184/15 –, juris; Ebbing in: Erman, BGB, 16. Aufl. 2020, § 1004 BGB, Rn. 6), hat nämlich auch der Schuldner eines Löschungsanspruchs nach Art. 17 DSGVO die Wahl, wie er eine aus der Zusammenstellung von Einzelinformationen resultierende Verletzung der Schutzrechte des Betroffenen abstellt.

b) Entgegen der Auffassung der Beklagten erfolgt die Verarbeitung der Daten des Klägers auch nicht rechtmäßig gemäß Art. 17 Abs. 1d i.V.m. Art. 6 DSGVO.

aa) Der Kläger hat seine Einwilligung zur Verarbeitung seiner personenbezogenen Daten nicht erteilt, Art. 7, 6 Abs. 1a) DSGVO.

bb) Die Voraussetzungen von Art. 6 Abs. 1b) DSGVO sind nicht erfüllt. Danach liegt Rechtmäßigkeit vor, wenn die Verarbeitung für die Erfüllung eines Vertrages, dessen 8 Vertragspartei die betroffene Person ist, oder zur Durchführung vorvertraglicher Maßnahmen erforderlich ist, die auf Anfrage der betroffenen Person erfolgte. Der Kläger ist jedoch weder Vertragspartner der K...... Bank noch der Beklagten. Ob den Beklagten im Rahmen ihres Auftragsverhältnisses mit der K...... Bank oder untereinander die Daten zur Erfüllung der jeweiligen Verträge übermittelt wurden, ist unerheblich. Denn nach dem Wortlaut der Vorschrift kommt es auf die vertraglichen Beziehungen mit der betroffenen Person - dem Kläger - an.

cc) Die Beklagten können sich auch nicht mit Erfolg auf Art. 6 1c) DSGVO i.V.m. § 147 AO berufen, denn die Löschung steht den Aufbewahrungspflichten nicht entgegen.

Nach dieser Regelung ist die Verarbeitung rechtmäßig, wenn sie zur Erfüllung einer rechtlichen Verpflichtung erforderlich ist, der der Verantwortliche unterliegt. Dabei muss es sich um eine gesetzliche Pflicht handeln (vgl. Roßnagel in Simitis/Hornung/Spiecker [Herausgeber] in Datenschutzrecht, 2019, Art. 6 Abs. 1 Rn. 51). Die Datenverarbeitung kann erforderlich sein, um Dokumentationspflichten z. B. nach § 147 AO zu erfüllen (vgl. Roßnagel a.a.O., Rn 54). Die Erlaubnis zur Datenverarbeitung ist auf die Erfüllung der jeweiligen gesetzlichen Pflicht beschränkt (vgl. Roßnagel a.a.O.). Von der Aufbewahrungspflicht erfasst sind die gesamte, den betrieblichen Bereich des Kaufmanns betreffende Korrespondenz, soweit sie sich auf die Vorbereitung, Durchführung oder Rückgängigmachung eines Handelsgeschäftes bezieht, also z. B. Aufträge, Auftragsbestätigungen, Lieferscheine, Frachtbriefe oder Rechnungen (vgl. Mues in Gosch, Kommentar zur Abgabenordnung, Stand 01.04.2021, § 147 B Rn. 13 - juris). Auf die Form der Korrespondenz kommt es nicht an, so dass Briefe im Sinne der Vorschrift auch Telefaxe, Telegramme, E-Mails und auch andere durch Datenübertragung übersendete Nachrichten sind (vgl. Mues a.a.O.). Die gesetzlichen Aufbewahrungspflichten gemäß § 147 AO werden von der Löschungspflicht aber nicht berührt. Die Beklagten sind nicht verpflichtet die geschäftliche Korrespondenz zu löschen. Ihre Löschungspflicht beschränkt sich auf den Namen, die Anschrift und das Geburtsdatum des Klägers, und damit auf die Daten, mit denen er eindeutig identifiziert werden kann. Enthalten elektronisch gespeicherte Datenbestände nicht aufzeichnungs- und aufbewahrungspflichtige, personenbezogene oder dem Berufsgeheimnis unterliegende Daten, so obliegt es dem Steuerpflichtigen, die Datenbestände so zu organisieren, dass der Prüfer nur auf die aufzeichnungspflichtige - und aufbewahrungspflichtige Daten zugreifen kann. Dies kann z. B. durch geeignete Zugriffsbeschränkungen oder „digitales Schwärzen“ der zu schützenden Information erfolgen (vgl. Bundesministerium der Finanzen: Grundsätze zur ordnungsgemäßen Führung und Aufbewahrung von Büchern, Aufzeichnungen und Unterlagen in elektronischer Form sowie zum Datenzugriff vom 28.11.2019, Rn 172 - juris). Auf der geschäftlichen Korrespondenz können die Daten, die eine Identifizierung seiner Person erlauben, geschwärzt werden.

dd) Die Rechtmäßigkeit der Verarbeitung ergibt sich auch nicht aus Art. 6 Abs. 1f) DSGVO, denn im Rahmen der Abwägung überwiegen die Interessen des Klägers.

Nach dieser Regelung ist die Verarbeitung zur Wahrung der berechtigten Interessen des Verantwortlichen oder eines Dritten erforderlich, sofern nicht die Interessen oder Grundrechte und Grundfreiheiten der betroffenen Person, die den Schutz personenbezogener Daten erfordern, überwiegen. Der Begriff der berechtigten Interessen ist weit zu verstehen. Er umfasst sowohl rechtliche als auch wirtschaftliche und ideelle Interessen (vgl. Schantz in Simitis/Hornung/Spiecker [Herausgeber] in Datenschutzrecht, 2019, Art. 6 Abs. 1 Rn. 98). Zu den berechtigten Interessen der Beklagten zu 2) gehört das Interesse an einer möglichst hohen Effektivität der Inkassodienstleistung, also an einem möglichst effizienten Forderungsmanagement (vgl. AG Hamburg - St. Georg, Urteil vom 25.08.2020 - 912 C 145/20, Rn. 37 - juris). Die Forderungsausfälle der Gläubiger sollen so gering wie möglich gehalten werden, die notwendige Liquidität der Wirtschaftsunternehmen gewahrt und der erstattungspflichtige Schuldner so wenig wie möglich mit weiteren Kosten belastet werden (so AG Hamburg - St. Georg, a.a.O.). Im Hinblick darauf hat die Beklagte zu 2) ein Interesse daran, bei der Ermittlung des Wohnortes des Schuldners nicht erneut den Kläger zu ermitteln und diesen anzuschreiben, um erst nach Inanspruchnahme des Klägers erneut festzustellen, dass dieser nicht der richtige Schuldner ist. Dies entspricht auch dem Interesse der Beklagten zu 1), die von der Beklagten zu 2) mit einer Einwohnermeldeanfrage betraut worden ist. Auch bei ihr besteht die Gefahr, dass ihr mit den von der Auftraggeberin - der K...... Bank - mitgeteilten Kontaktdaten, die Adresse des Klägers ermittelt wird. Die Speicherung der Daten des Klägers verhindert seine erneute Inanspruchnahme. Zwingend für die Forderungseintreibung ist dies jedoch nicht. Auch ohne eine solche Speicherung bleibt die Forderungseintreibung möglich (ebenso AG Hamburg - St. Georg a.a.O.). Zwar wird der Kläger damit dem Risiko unterworfen, in der Zukunft erneut unberechtigterweise in Anspruch genommen zu werden. Diesem Risiko hat er sich aber selbst ausgesetzt, indem er die Löschung der Daten verlangt hat. Dies ist von ihm hinzunehmen (ebenso AG Hamburg - St. Georg a.a.O.).

Die Interessen des Klägers an seinem Recht zur informationellen Selbstbestimmung überwiegen im vorliegenden Fall. Bereits durch die Verarbeitung seiner Daten ohne seine Einwilligung werden seine Grundrechte aus Art. 7, 8 GRCh betroffen. Seine Daten werden bei einem Inkassounternehmen, wie der Beklagten zu 2), und einem Unternehmen, das sich mit Einwohnermeldeanfragen befasst, wie der Beklagten zu 1) gespeichert, ohne dass dies durch eine Forderungseintreibung veranlasst wäre. Die Speicherung der Daten des Klägers beruht auf der Namensidentität mit seinem Sohn und der damit verbundenen Verwechselung mit dem Schuldner. Zwar ist entgegen der Darlegung des Klägers ein Schufa-Eintrag nicht erfolgt, denn ausweislich des vorgelegten Schreibens der Schufa vom 17.04.2020 (Anlage K9) liegen dort nur positive Vertragsinformationen zu ihm vor. Gleichwohl ist es in Zukunft nicht auszuschließen, dass auf Anfrage bei den Beklagten die Daten des Klägers weiterverbreitet werden und den unzutreffenden Eindruck erwecken, ein Inkassounternehmen sei mit der Eintreibung einer Forderung gegen ihn oder mit der Ermittlung seiner Wohnanschrift beauftragt worden, was gegen seine Bonität spricht. Im Hinblick auf den hohen Wert, den die Charta der Grundrechte der Europäischen Union dem Schutz der personenbezogenen Daten in Art. 8 GRCh und damit dem Recht auf informationelle Selbstbestimmung beimisst, hat das Interesse der Beklagten an einer einfachen Beitreibung von Schulden ohne Fehlermittlungen von Anschriften zurückzustehen.

c) Der Anspruch auf Löschung entfällt auch nicht gemäß Art. 17 Abs. 3 b) DSGVO. Wie bereits unter Ziffer cc) ausgeführt steht die rechtliche Verpflichtung zur Aufbewahrung von Geschäftsunterlagen nach § 147 AO dem Löschungsanspruch nicht entgegen.

2. Dem Kläger steht ein Anspruch gegen die Beklagten auf Unterlassung der Verarbeitung seiner personenbezogenen Daten insoweit zu, als er als Schuldner der Forderung aus dem Vollstreckungsbescheid des Amtsgerichtes Hagen vom 21.12.2015 geführt wird, §§ 823, 1004 BGB.

Die Geltendmachung eines Anspruchs auf Unterlassung aus §§ 823 Abs. 1 i.V.m. 1004 BGB ist neben den Rechten aus der Datenschutzgrundverordnung möglich, da nur so ein lückenloser Schutz hinsichtlich der Verarbeitung personenbezogener Daten von natürlichen Personen gewährleistet werden kann, die wiederum in das Persönlichkeitsrecht des Betroffenen gemäß Art. 1, 2 GG rechtswidrig eingreift, auch wenn ein solcher Anspruch in der Datenschutzgrundverordnung weder explizit geregelt ist noch etwa gemäß Art. 17 DSGVO über eine Auslegung ein solcher Unterlassungsanspruch anzunehmen sein könnte (Senat, Urteil vom 31.8.2021 - 4 U 324/21 - juris; Beschluss vom 19.04.2021 - 4 W 243/21 - juris; ebenso Landgericht Darmstadt, Urteil vom. 26.05.2020 - 13 O 244/19, Rn. 38 - juris; a.A. allerdings VG Regensburg, Gerichtsbescheid vom 06.08.2020 - Rn 9 K 19.1061 - juris; vgl. zum Streitstand Halder, jurisPR-ITR 4/2021 Anm. 5). Würde man einen solchen Unterlassungsanspruch verneinen, wäre kein ausreichender Individualrechtsschutz gegeben. Es ist daher nicht davon auszugehen, dass die Datenschutzgrundverordnung, weil sie keinen ausdrücklichen Unterlassungsanspruch enthält, eine Sperrwirkung entfaltet (so auch Landgericht Darmstadt, a.a.O.). Die Voraussetzungen für einen solchen Unterlassungsanspruch liegen vor. Wie bereits ausgeführt war die Verarbeitung der personenbezogenen Daten nicht rechtmäßig, auch eine Wiederholungsgefahr liegt vor. Ein rechtswidriger Eingriff in das allgemeine Persönlichkeitsrecht des Betroffenen begründet eine tatsächliche Vermutung für das Vorliegen der Wiederholungsgefahr. Diese Vermutung kann entkräftet werden, wobei daran strenge Anforderungen zu stellen sind; im Grundsatz ist eine strafbewehrte Unterlassungserklärung erforderlich (vgl. Senat, Beschluss vom 18.10.2021 - 4 U 1407/21 - juris). Vorliegend haben die Beklagten die Vermutung für eine Wiederholungsgefahr nicht widerlegt. Sie bestehen vielmehr darauf, dass die Datenverarbeitung rechtmäßig war und ihnen auch zukünftig gestattet ist. Allerdings kann die Unterlassung der Verarbeitung der personenbezogenen Daten nur insoweit verlangt werden, als der Kläger als Schuldner der Forderung aus dem Vollstreckungsbescheid des Amtsgerichtes Hagen geführt wird. Denn es kann für die Zukunft nicht ausgeschlossen werden, dass ein anderer Gläubiger Forderungen gegen den Kläger haben wird, mit deren Eintreibung die Beklagten beauftragt werden. In diesem Rahmen kann die Berechtigung zur Datenverarbeitung nicht verneint werden. Dies gilt auch insoweit, als die Beklagten berechtigt sind, die personenbezogenen Daten des Klägers im Zusammenhang mit der vorliegenden rechtlichen Auseinandersetzung zu speichern und zu verarbeiten.

3. Dem Kläger steht kein Anspruch auf Schadensersatz gemäß § 82 Abs. 1 DSGVO gegen die Beklagten zu. Der Kläger hat den Eintritt eines kausal auf die Pflichtverletzung der Beklagten zurückzuführenden Schadens nicht schlüssig dargelegt. Der geltend gemachte Schadensersatzanspruch in Höhe von 10.000,00 € findet im Vortrag überhaupt keine Stütze. Zu seinem materiellen Schaden hat der Kläger ausgeführt, dass ihm durch die Beantragung von Meldebescheinigungen, Geburtsurkunden, Aufforderungsschreiben durch den Prozessbevollmächtigten ein Schaden von mehreren hundert Euro entstanden sei. Der Kläger hat seinen Schaden nicht beziffert, was ihm aber unschwer möglich gewesen wäre. Denn die Kosten für die Einholung von behördlichen Bestätigungen lassen sich beziffern. Soweit er vorgerichtliche Kosten seines Rechtsanwaltes behauptet, so ist dies bereits Gegenstand seines Klageantrages. Es fehlt jegliche konkrete Darlegung der Höhe des bei ihm eingetretenen Schadens.

Der Kläger hat auch einen immateriellen Schaden nicht dargelegt. Sein Vortrag ist insoweit schon widersprüchlich und nicht nachvollziehbar. Er behauptet, er sei ernsthaft in Misskredit gebracht worden, weil er unberechtigter Weise der Schufa gemeldet worden sei. Dies ist aber nicht zutreffend. Die Beklagten haben in Abrede gestellt, eine Schufa-Meldung erstattet zu haben. Aus der von vom Kläger vom 17.04.2020 (Anlage K9) vorgelegten Schufa-Auskunft ergibt sich ebenfalls keine Meldung über seine Person. Dort heißt es vielmehr ausdrücklich, dass bis zum 17.04.2020 dort ausschließlich positive Vertragsinformationen über den Kläger vorgelegen haben. Er hat in allen Bereichen die beste Ratingstufe: A und der Orientierungswert zur Bonität beträgt für ihn 113 bei einem Bereich von 100 (sehr gute Bonität) bis 600 (Insolvenzverfahren). Eine Beeinträchtigung seines Ansehens durch die Datenverarbeitung der Beklagten ist nicht ersichtlich und von ihm auch nicht nachvollziehbar dargelegt worden. Es kommt daher nicht auf die in der Rechtsprechung streitig diskutierte Frage an, ob auch wegen immaterieller Bagatellschäden ein Ausgleich erfolgen muss (vgl. Senat, Urteil vom 31.08.2021 - 4 U 324/21 - juris). Denn der Wortlaut von § 82 Abs. 1 DSGVO setzt den Eintritt eines Schadens voraus (vgl. Hanseatisches Oberlandesgericht Bremen, Beschluss vom 16.07.2021 - 1 W 18/21 - juris). Die Frage, ob bei einem immateriellen Bagatellschaden - anders an in anderen Fällen der Persönlichkeitsrechtsverletzung - eine Entschädigung zu zahlen ist, stellt sich nicht. Erst wenn der Eintritt des Schadens feststeht, ist in einem zweiten Schritt zu entscheiden, ob ein erheblicher Schaden oder ein Bagatellschaden vorliegt. Auch aus den Ausführungen im Erwägungsgrund 75 lässt sich entnehmen, dass von dem Erfordernis des Eintritts eines Schadens nicht abgesehen wird. Dort heißt es: „Die Risiken für die Rechte und Freiheiten natürlicher Personen - mit unterschiedlicher Eintrittswahrscheinlichkeit und Schwere - können aus einer Verarbeitung personenbezogener Daten hervorgehen, die zu einer physischen, materiellen oder immateriellen Schaden führen könnte, insbesondere wenn ...“

4. Die Beklagten sind gemäß Art. 19 Satz 2 DSGVO verpflichtet, die Löschung der personenbezogen Daten des Klägers allen Empfängern, denen diese Daten offengelegt wurden, mitzuteilen und den Kläger davon zu unterrichten."


Den Volltext der Entscheidung finden Sie hier: