Skip to content

EuGH: Auskunftsanspruch aus Art. 15 DSGVO umfasst auch Verarbeitungsvorgänge die vor Inkrafttreten der DSGVO stattgefunden haben

EuGH
Urteil vom 22.06.2023
C‑579/21


Der EuGH hat entschieden, dass der Auskunftsanspruch aus Art. 15 DSGVO auch Verarbeitungsvorgänge umfasst, die vor Inkrafttreten der DSGVO stattgefunden haben

Die Pressemitteilung des EuGH:
Jedermann hat ein Recht darauf, zu erfahren, zu welchem Zeitpunkt und aus welchen Gründen seine personenbezogenen Daten abgefragt wurden

Dass der Verantwortliche im Bankgeschäft tätig ist, wirkt sich auf die Reichweite dieses Rechts nicht aus.

Im Jahr 2014 erlangte ein Arbeitnehmer, der zugleich Kunde der Bank Pankki S war, Kenntnis davon, dass seine personenbezogenen Daten von anderen Mitarbeitern der Bank im Zeitraum vom 1. November bis zum 31. Dezember 2013 mehrmals abgefragt worden waren. Da dieser Arbeitnehmer, dessen Beschäftigungsverhältnis bei Pankki S mittlerweile gekündigt worden war, Zweifel an der Rechtmäßigkeit dieser Abfragen hatte, forderte er Pankki S am 29. Mai 2018 auf, ihm die Identität der Personen, die seine Kundendaten abgefragt hatten, den genauen Zeitpunkt der Abfragen sowie die Zwecke der Verarbeitung dieser Daten offenzulegen.

In ihrer Antwort vom 30. August 2018 weigerte sich Pankki S, Auskünfte über die Identität der Arbeitnehmer zu erteilen, die die Abfragen vorgenommen hatten, und führte zur Begründung aus, dass es sich bei diesen Informationen um personenbezogene Daten dieser Arbeitnehmer handele. Pankki S machte hingegen nähere Angaben über die von ihrer internen Revision ausgeführten Abfragen, wobei sie erläuterte, ein Kunde der Bank, dessen Kundenberater der Auskunftssuchende gewesen sei, sei Gläubiger einer Person, die den gleichen Nachnamen wie der Auskunftssuchende trage. Die Bank habe daher klären wollen, ob Letzterer und der in Rede stehende Schuldner personenidentisch seien und ob möglicherweise ein ungehöriger Interessenkonflikt bestanden habe. Ergänzend erläuterte Pankki S, dass zur Klärung dieser Frage die Verarbeitung der in Rede stehenden Daten erforderlich gewesen sei, wobei sie klarstellte, dass jeder Mitarbeiter der Bank, der diese Daten verarbeitet habe, gegenüber der internen Revision eine Erklärung zu den Gründen dieser Datenverarbeitung abgegeben habe.

Außerdem gab die Bank an, dass diese Abfragen es ermöglicht hätten, den Verdacht eines Interessenkonflikts in Bezug auf den Auskunftssuchenden gänzlich auszuräumen.

Der Auskunftssuchende wandte sich an das Büro des Datenschutzbeauftragten von Finnland und beantragte, Pankki S anzuweisen, ihm die angeforderten Informationen zu erteilen. Nachdem dieser Antrag abgelehnt worden war, erhob der Auskunftssuchende Klage beim Verwaltungsgericht Ostfinnland, das den Gerichtshof um Auslegung von Art. 15 Datenschutzgrundverordnung (im Folgenden: DSGVO) ersucht.

In seinem heutigen Urteil stellt der Gerichtshof zunächst fest, dass die DSGVO, die seit dem 25. Mai 2018 gilt, auf ein nach diesem Datum vorgebrachtes Auskunftsersuchen anwendbar ist, wenn die dieses Ersuchen betreffenden Verarbeitungsvorgänge vor dem Anwendungsdatum der DSGVO ausgeführt wurden.

Sodann stellt der Gerichtshof fest, dass die DSGVO dahin auszulegen ist, dass es sich bei Informationen, die Abfragen personenbezogener Daten einer Person betreffen und die sich auf den Zeitpunkt und die Zwecke dieser Vorgänge beziehen, um Informationen handelt, die diese Person von dem Verantwortlichen verlangen darf. Dagegen sieht die DSGVO kein solches Recht in Bezug auf Informationen über Arbeitnehmer vor, die diese Vorgänge im Einklang mit den Weisungen des Verantwortlichen ausgeführt haben, außer wenn diese Informationen unerlässlich sind, um es der betroffenen Person zu ermöglichen, die ihr durch diese Verordnung verliehenen Rechte wirksam wahrzunehmen, und vorausgesetzt, dass die Rechte und Freiheiten dieser Arbeitnehmer berücksichtigt werden. Falls nämlich die Wahrnehmung eines Rechts auf Auskunft, das die praktische Wirksamkeit der der betroffenen Person durch die DSGVO eingeräumten Rechte sicherstellt, zum einen und die Rechte und Freiheiten anderer Personen zum anderen miteinander kollidieren, sind die in Rede stehenden Rechte und Freiheiten gegeneinander abzuwägen. Nach Möglichkeit sind Modalitäten zu wählen, die diese Rechte und Freiheiten nicht verletzen.

Schließlich entscheidet der Gerichtshof, dass der Umstand, dass der Verantwortliche das Bankgeschäft im Rahmen einer reglementierten Tätigkeit ausübt und dass die Person, deren personenbezogene Daten in ihrer Eigenschaft als Kunde des Verantwortlichen verarbeitet wurden, bei diesem Verantwortlichen auch beschäftigt war, sich grundsätzlich nicht auf die Reichweite des Rechts auswirkt, das dieser Person gewährt wird.

Tenor der Entscheidung:
1. Art. 15 der Verordnung (EU) 2016/679 des Europäischen Parlaments und des Rates vom 27. April 2016 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten, zum freien Datenverkehr und zur Aufhebung der Richtlinie 95/46/EG (Datenschutz-Grundverordnung) im Licht von Art. 99 Abs. 2 dieser Verordnung

ist dahin auszulegen, dass

er auf ein Auskunftsersuchen hinsichtlich der in Art. 15 DSGVO genannten Informationen anwendbar ist, wenn die Verarbeitungsvorgänge, auf die sich dieses Ersuchen bezieht, vor dem Anwendungsdatum der Verordnung ausgeführt wurden, das Ersuchen indessen nach diesem Datum vorgebracht wurde.

2. Art. 15 Abs. 1 der Verordnung 2016/679

ist dahin auszulegen, dass

Informationen, die Abfragen personenbezogener Daten einer Person betreffen und die sich auf den Zeitpunkt und die Zwecke dieser Vorgänge beziehen, Informationen darstellen, die die genannte Person nach dieser Bestimmung von dem Verantwortlichen verlangen darf. Dagegen sieht diese Bestimmung kein solches Recht in Bezug auf Informationen über die Identität der Arbeitnehmer dieses Verantwortlichen vor, die diese Vorgänge unter seiner Aufsicht und im Einklang mit seinen Weisungen ausgeführt haben, außer wenn diese Informationen unerlässlich sind, um der betroffenen Person es zu ermöglichen, die ihr durch diese Verordnung verliehenen Rechte wirksam wahrzunehmen, und vorausgesetzt, dass die Rechte und Freiheiten dieser Arbeitnehmer berücksichtigt werden.

3. Art. 15 Abs. 1 der Verordnung 2016/679

ist dahin auszulegen, dass

der Umstand, dass der Verantwortliche das Bankgeschäft im Rahmen einer reglementierten Tätigkeit ausübt und dass die Person, deren personenbezogene Daten in ihrer Eigenschaft als Kunde des Verantwortlichen verarbeitet wurden, bei diesem Verantwortlichen auch beschäftigt war, sich grundsätzlich nicht auf die Reichweite des Rechts auswirkt, das dieser Person nach dieser Bestimmung gewährt wird.

Den Volltext der Entscheidung finden Sie hier:

EuGH: Zur Bekämpfung schwerer Kriminalität auf Vorrat gesammelte Daten dürfen nicht für andere sachfremde Untersuchungen zur Korruptionsbekämpfung verwendet werden

EuGH
Urteil vom 07.09.2023
C-162/22
Lietuvos Respublikos generalinė prokuratūra


Der EuGH hat entschieden, dass zur Bekämpfung schwerer Kriminalität auf Vorrat gesammelte Daten nicht für andere sachfremde Untersuchungen zur Korruptionsbekämpfung verwendet werden dürfen.

Tenor der Entscheidung:
Art. 15 Abs. 1 der Richtlinie 2002/58/EG des Europäischen Parlaments und des Rates vom 12. Juli 2002 über die Verarbeitung personenbezogener Daten und den Schutz der Privatsphäre in der elektronischen Kommunikation (Datenschutzrichtlinie für elektronische Kommunikation) in der durch die Richtlinie 2009/136/EG des Europäischen Parlaments und des Rates vom 25. November 2009 geänderten Fassung ist im Licht der Art. 7, 8 und 11 sowie von Art. 52 Abs. 1 der Charta der Grundrechte der Europäischen Union dahin auszulegen, dass er dem entgegensteht, dass personenbezogene Daten elektronischer Kommunikationsvorgänge, die in Anwendung einer aufgrund dieser Bestimmung erlassenen Rechtsvorschrift von Betreibern elektronischer Kommunikationsdienste auf Vorrat gespeichert und in der Folge in Anwendung dieser Rechtsvorschrift den zuständigen Behörden zur Bekämpfung schwerer Kriminalität zur Verfügung gestellt wurden, im Rahmen von Untersuchungen wegen Dienstvergehen im Zusammenhang mit Korruption genutzt werden dürfen.

Die Pressemitteilung des Gerichts:
Die Datenschutzrichtlinie für elektronische Kommunikation lässt es nicht zu, dass Daten, die zur Bekämpfung schwerer Kriminalität gesammelt wurden, im Rahmen von Verwaltungsuntersuchungen wegen Korruption im öffentlichen Sektor genutzt werden

Die Datenschutzrichtlinie für elektronische Kommunikation betrifft nämlich nur die strafrechtliche Verfolgung.

Ein litauischer Staatsanwalt wurde von der litauischen Generalstaatsanwaltschaft seines Amtes enthoben. Diese Disziplinarstrafe wurde gegen ihn verhängt, weil er im Rahmen von Ermittlungen einem Verdächtigen und seinem Anwalt rechtswidrig Informationen gegeben haben soll. Er wendet sich vor den litauischen Gerichten gegen diese Entscheidung.

Das ihm zur Last gelegte Dienstvergehen wurde mittels Daten nachgewiesen, die von Betreibern elektronischer Kommunikationsdienste auf Vorrat gespeichert worden waren. Er macht geltend, die Nutzung von Daten, die es ermöglichten, die Quelle und den Adressaten eines Telefongesprächs zu identifizieren, das vom Festnetz- oder Mobiltelefon eines Verdächtigen aus geführt worden sei, in Verfahren wegen Dienstvergehen stelle einen ungerechtfertigten Eingriff in die im Unionsrecht verankerten Grundrechte dar.

Nach der Rechtsprechung des Gerichtshofs zu den in der Datenschutzrichtlinie für elektronische Kommunikation1 vorgesehenen Voraussetzungen für den Zugang zu Daten über elektronische Kommunikationen kann die Bekämpfung schwerer Kriminalität Eingriffe in die in den Art. 7 und 8 der Charta der Grundrechte der Europäischen Union verankerten Grundrechte rechtfertigen. In dieser Rechtssache möchte das als Rechtsmittelgericht tätige Oberste Verwaltungsgericht von Litauen im Wesentlichen wissen, ob die Nutzung personenbezogener Daten elektronischer Kommunikationsvorgänge, die von Betreibern elektronischer Kommunikationsdienste auf Vorrat gespeichert und in der Folge den zuständigen Behörden zur Bekämpfung schwerer Kriminalität zur Verfügung gestellt wurden, im Rahmen einer Untersuchung wegen Dienstvergehen im Zusammenhang mit Korruption mit dieser Richtlinie vereinbar ist.

In seinem heutigen Urteil entscheidet der Gerichtshof, dass die Richtlinie der Nutzung personenbezogener Daten elektronischer Kommunikationsvorgänge, die von Betreibern elektronischer Kommunikationsdienste auf Vorrat gespeichert und in der Folge den zuständigen Behörden zur Bekämpfung schwerer Kriminalität zur Verfügung gestellt wurden, im Rahmen von Untersuchungen wegen Dienstvergehen im Zusammenhang mit Korruption im öffentlichen Sektor entgegensteht.

Der Gerichtshof führt hierzu aus, dass Rechtsvorschriften zur Bekämpfung schwerer Kriminalität

- auf der Grundlage objektiver und nicht diskriminierender Kriterien anhand von Kategorien betroffener Personen oder mittels eines geografischen Kriteriums für einen auf das absolut Notwendige begrenzten Zeitraum eine gezielte Vorratsspeicherung von Verkehrs- und Standortdaten vorsehen dürfen
- für einen auf das absolut Notwendige begrenzten Zeitraum eine allgemeine und unterschiedslose Vorratsspeicherung der IP‑Adressen, die der Quelle einer Verbindung zugewiesen sind, vorsehen dürfen,
- eine allgemeine und unterschiedslose Vorratsspeicherung der die Identität der Nutzer elektronischer Kommunikationsmittel betreffenden Daten vorsehen dürfen und
- vorsehen dürfen, dass den Betreibern elektronischer Kommunikationsdienste mittels einer Entscheidung der zuständigen Behörde, die einer wirksamen gerichtlichen Kontrolle unterliegt, aufgegeben werden kann, während eines festgelegten Zeitraums die ihnen zur Verfügung stehenden Verkehrs- und Standortdaten umgehend zu sichern.

Der Gerichtshof weist ferner darauf hin, dass im Einklang mit dem Grundsatz der Verhältnismäßigkeit nur die Bekämpfung schwerer Kriminalität und die Verhütung schwerer Bedrohungen der öffentlichen Sicherheit geeignet sind, die mit der Speicherung von Verkehrs- und Standortdaten verbundenen schweren Eingriffe in die Grundrechte zu rechtfertigen. Gestützt auf seine Rechtsprechung zu den dem Gemeinwohl dienenden Zielen, die eine Beschränkung der Rechte rechtfertigen können, fügt er hinzu, dass die Bekämpfung schwerer Kriminalität und die Verhütung schwerer Bedrohungen der öffentlichen Sicherheit zwar von geringerer Bedeutung als der Schutz der nationalen Sicherheit sind, dass ihre Bedeutung aber die der Bekämpfung von Straftaten im Allgemeinen übersteigt.

Verkehrs- und Standortdaten, die von Betreibern elektronischer Kommunikationsdienste in Anwendung einer nach Art. 15 Abs. 1 der Datenschutzrichtlinie für elektronische Kommunikation zur Bekämpfung schwerer Kriminalität erlassenen Rechtsvorschrift auf Vorrat gespeichert und den zuständigen Behörden zu diesem Zweck zur Verfügung gestellt wurden, dürfen anschließend nicht an andere Behörden übermittelt und zur Bekämpfung von Dienstvergehen im Zusammenhang mit Korruption, die von geringerer Bedeutung ist als die Bekämpfung schwerer Kriminalität, genutzt werden.


Den Volltext der Entscheidung finden Sie hier:

BVerwG: Anlasslose Vorratsdatenspeicherung nach § 175 Abs. 1 Satz 1 i.V.m. § 176 TKG unionsrechtswidrig und nicht anzuwenden - Telekommunikationsanbieter sind nicht zur Speicherung verpflichtet

BVerwG
Urteil vom 14.08.2023 - 6 C 6.22
Urteil vom 14.08.2023 - 7 C 6.22


Das BVerwG hat in Umsetzung der EuGH-Rechtsprechung (siehe dazu EuGH: Allgemeine und unterschiedslose Vorratsdatenspeicherung von Verkehrs- und Standortdaten unionsrechtswidrig - nur bei ernster Bedrohung für nationale Sicherheit zulässig) entschieden, dass die anlasslose Vorratsdatenspeicherung nach § 175 Abs. 1 Satz 1 i.V.m. § 176 TKG unionsrechtswidrig ist und die Vorschriften nicht anzuwenden sind. Somit sind Telekommunikationsanbieter nicht zur Speicherung verpflichtet.

Die Pressemitteilung des Bundesverwaltungsgerichts:
Gesetzliche Verpflichtung der Telekommunikationsanbieter zur Vorratsspeicherung von Telekommunikations-Verkehrsdaten unionsrechtswidrig

Die in § 175 Abs. 1 Satz 1 i.V.m. § 176 TKG (§ 113a Abs. 1 Satz 1 i.V.m. § 113b TKG a.F.) geregelte Verpflichtung der Anbieter öffentlich zugänglicher Telekommunikationsdienste zur Speicherung der dort genannten Telekommunikations-Verkehrsdaten ist in vollem Umfang unvereinbar mit Art. 15 Abs. 1 der Datenschutzrichtlinie für elektronische Kommunikation (Richtlinie 2002/58/EG) und daher nicht anwendbar. Dies hat das Bundesverwaltungsgericht in Leipzig in zwei Verfahren entschieden.

Die Klägerinnen, zwei Telekommunikationsunternehmen, wenden sich gegen die ihnen zuerst durch § 113a Abs. 1 i.V.m. § 113b TKG in der Fassung des Gesetzes vom 10. Dezember 2015 auferlegte und nunmehr inhaltlich weitestgehend unverändert in § 175 Abs. 1 Satz 1 i.V.m. § 176 TKG geregelte Verpflichtung, Telekommunikationsverkehrsdaten ihrer Kunden auf Vorrat zu speichern. Die für eine Dauer von zehn Wochen zu speichernden Daten umfassen u.a. die Rufnummern der beteiligten Anschlüsse, Beginn und Ende der Verbindung oder der Internetnutzung bzw. die Zeitpunkte der Versendung und des Empfangs einer Kurznachricht, zugewiesene Internetprotokoll-Adressen und Benutzerkennungen sowie Kennungen der Anschlüsse und Endgeräte. Für eine Dauer von vier Wochen zu speichern sind zudem Standortdaten, d.h. im Wesentlichen die Bezeichnung der bei Beginn der Verbindung genutzten Funkzelle.

Das Verwaltungsgericht Köln hatte auf die Klagen festgestellt, dass die Klägerinnen nicht verpflichtet sind, die im Gesetz genannten Telekommunikations-Verkehrsdaten ihrer Kunden, denen sie den Internetzugang bzw. den Zugang zu öffentlichen Telefondiensten vermitteln, zu speichern. Die Speicherpflicht verstoße gegen Unionsrecht und sei daher in den Fällen der Klägerinnen unanwendbar. Die grundsätzlichen Rechtsfragen des im vorliegenden Zusammenhang maßgeblichen Unionsrechts seien durch die Rechtsprechung des Gerichtshofs der Europäischen Union (EuGH) geklärt. Auf die Sprungrevision der Beklagten, vertreten durch die Bundesnetzagentur, hatte das Bundesverwaltungsgericht die Verfahren ausgesetzt und eine Vorabentscheidung des EuGH gemäß Art. 267 AEUV eingeholt (BVerwG, Beschlüsse vom 25. September 2019 - 6 C 12.18 und 6 C 13.18, vgl. Pressemitteilung 66/2019 vom 25. September 2019).

Nachdem der EuGH die Vorlagefragen mit Urteil vom 20. September 2022 (verbundene Rechtssachen C-793/19 und C-794/19, Space Net u.a.), berichtigt durch Beschluss vom 27. Oktober 2022, beantwortet hatte, hat das Bundesverwaltungsgericht die Revisionen der Beklagten zurückgewiesen. Dabei hat es die auf § 113a Abs. 1 i.V.m. § 113b TKG a.F. bezogenen Feststellungsaussprüche des Verwaltungsgerichts an die nunmehr geltenden Vorschriften in § 175 Abs. 1 Satz 1 i.V.m. § 176 TKG angepasst.

Unter Berücksichtigung der Entscheidung des EuGH ist das Bundesverwaltungsgericht zu dem Ergebnis gelangt, dass die Regelung im Telekommunikationsgesetz eine anlasslose, flächendeckende und personell, zeitlich und geografisch undifferenzierte Vorratsspeicherung eines Großteils der Verkehrs- und Standortdaten vorschreibt. Diese genügt schon deshalb nicht den unionsrechtlichen Anforderungen, weil keine objektiven Kriterien bestimmt werden, die einen Zusammenhang zwischen den zu speichernden Daten und dem verfolgten Ziel herstellen. Da die Vorratsspeicherung der genannten Daten und der Zugang zu ihnen unterschiedliche Eingriffe in die betroffenen Grundrechte darstellen, die eine gesonderte Rechtfertigung erfordern, ist die Begrenzung der Verwendungszwecke in § 177 Abs. 1 TKG (§ 113 c Abs. 1 TKG a.F.) von vornherein nicht geeignet, die unionsrechtliche Anforderung klarer und präziser Regeln für die vorgelagerte Maßnahme der Speicherung der Daten zu erfüllen.

Soweit die gesetzliche Regelung die Erbringung von Telefondiensten und in diesem Zusammenhang insbesondere die Daten betrifft, die erforderlich sind, um die Quelle und den Adressaten einer Nachricht, Datum und Uhrzeit von Beginn und Ende der Verbindung oder - im Fall der Übermittlung von Kurz-, Multimedia- oder ähnlichen Nachrichten - die Zeitpunkte der Versendung und des Empfangs der Nachricht sowie, im Fall der mobilen Nutzung, die Bezeichnung der Funkzellen, die vom Anrufer und vom Angerufenen bei Beginn der Verbindung genutzt wurden, zu identifizieren, fehlt es außerdem an der vom EuGH geforderten strikten Begrenzung der allgemeinen und unterschiedslosen Vorratsspeicherung von Verkehrs- und Standortdaten auf den Zweck des Schutzes der nationalen Sicherheit.

Soweit sich die Pflicht zur allgemeinen und unterschiedslosen Vorratsspeicherung auf die Bereitstellung von Internetzugangsdiensten und in diesem Rahmen u.a. auf die dem Teilnehmer zugewiesene IP-Adresse bezieht, umfassen die unionsrechtlich zulässigen Zwecke nach der Entscheidung des EuGH zwar auch die Bekämpfung schwerer Kriminalität und die Verhütung schwerer Bedrohungen der öffentlichen Sicherheit. Eine entsprechende Beschränkung der Speicherungszwecke sieht die Regelung im Telekommunikationsgesetz jedoch nicht vor. Die für die Ermittlung der Speicherzwecke maßgebliche Regelung der Verwendungszwecke im Rahmen einer Bestandsdatenauskunft geht deutlich über den unionsrechtlichen Rahmen hinaus. Dies gilt nicht nur für die frühere Rechtslage nach § 113 c Abs. 1 Nr. 3 i.V.m. § 113 Abs. 1 Satz 3 TKG a.F., sondern auch für die nunmehr geltende Regelung in § 177 Abs. 1 Nr. 3 i.V.m. § 174 Abs. 1 Satz 3 TKG, die die Vorgaben aus der Rechtsprechung des Bundesverfassungsgerichts berücksichtigen soll.

Da eine unionsrechtskonforme Auslegung wegen des vom EuGH hervorgehobenen Grundsatzes der Bestimmtheit und Normenklarheit nicht in Betracht kommt, darf die Regelung im Telekommunikationsgesetz wegen des Anwendungsvorrangs des Unionsrechts nicht angewendet werden.

BVerwG 6 C 6.22 - Urteil vom 14. August 2023
Vorinstanz:
VG Köln, VG 9 K 3859/16 - Urteil vom 20. April 2018 -

BVerwG 6 C 7.22 - Urteil vom 14. August 2023
Vorinstanz:
VG Köln, VG 9 K 7417/17 - Urteil vom 20. April 2018 -

OVG Rheinland-Pfalz: DSGVO steht Übermittlung von personenbezogenen Daten an Polizei und Bußgeldbehörden zur Verfolgung von Ordnungswidrigkeiten nicht entgegen

OVG Rheinland-Pfalz
Beschluss vom 20.06.2023
7 B 10360/23


Das OVG Rheinland-Pfalz hat entschieden, dass die Vorgaben der DSGVO der Übermittlung von personenbezogenen Daten an Polizei und Bußgeldbehörden zur Verfolgung von Ordnungswidrigkeiten nicht entgegen stehen.

Aus den Entscheidungsgründen:
d) Entgegen der Annahme der Antragstellerin war sie an der Preisgabe des verantwortlichen Fahrzeugführers oder der verantwortlichen Fahrzeugführerin nicht gehindert durch die Bestimmungen der Verordnung des Europäischen Parlaments und des Rates vom 27. April 2016 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten, zum freien Datenverkehr und zur Aufhebung der Richtlinie 95/46/EG (Datenschutz-Grundverordnung – DSGVO –). Dabei bedarf es vorliegend keiner Entscheidung, ob die Verarbeitung personenbezogener Daten im Ordnungswidrigkeitenverfahren – in dessen Rahmen die vorliegenden Ermittlungen vorgenommen wurden – in den sachlichen Anwendungsbereich der DSGVO fällt (zweifelnd: VG Regensburg, Urteil vom 17. April 2019 – RN 3 K 19.267 –, juris Rn. 25 ff.) oder sie hiervon gemäß Art. 2 Abs. 2 lit. b) DSGVO ausgenommen ist (ebenfalls offenlassend: BayVGH, Beschlüsse vom 22. Juli 2022 – 11 ZB 22.895 –, juris Rn. 18 und vom 30. November 2022 – 11 CS 22.1813 –, juris Rn. 34). Selbst wenn der Anwendungsbereich der DSGVO eröffnet sein sollte, wäre die Preisgabe der persönlichen Daten der Fahrzeugführer durch die Antragstellerin an die Polizei- oder Bußgeldbehörden gemäß Art. 6 Abs. 1 lit. f) DSGVO zur Wahrung der berechtigten Interessen der Behörden, eines Dritten im Sinne von Art. 4 Nr. 10 DSGVO, zulässig. Behörden haben ein berechtigtes Interesse daran, die ihnen im öffentlichen Interesse obliegenden Aufgaben zu erfüllen, zu denen die Verfolgung von Ordnungswidrigkeiten gehört (vgl. BayVGH, Beschluss vom 22. Juli 2022 – 11 ZB 22.895 –, juris Rn. 18). Gleiches gilt für das Führen eines Fahrzeugbuchs durch und die damit verbundene Datenerhebung durch den Fahrzeughalter (vgl. BayVGH, Beschluss vom 30. November 2022 – 11 CS 22.1813 –, juris Rn. 34; ferner HambOVG, Beschluss vom 1. Dezember 2020 – 4 Bs 84/20 –, juris Rn. 19: Zulässigkeit nach Art. 6 Abs. 1 lit. e) DSGVO). Ferner ist auch die Verarbeitung personenbezogener Daten durch die zuständigen Behörden – die Eröffnung des Anwendungsbereichs der DSGVO vorausgesetzt – gemäß Art. 6 Abs. 1 lit. e) DSGVO gerechtfertigt (vgl. VG Regensburg, Urteil vom 17. April 2019 – RN 3 K 19.267 –, juris Rn. 30).

Den Volltext der Entscheidung finden Sie hier:


LG Berlin: Werbecookies nur mit vorheriger ausdrücklicher Einwilligung des Nutzers zulässig - Verwendung von Cookies auf welt.de rechtswidrig

LG Berlin
Urteil vom 27.04.2023
93 O 167/20


Das LG Berlin hat entschieden, dass das Setzen von Werbecookies nur mit vorheriger ausdrücklicher Einwilligung des Nutzers zulässig ist. Insbesondere dürfen die Cookies nicht automatisch mit Aufruf der Website gesetzt werden. Die hier streitgegenständliche Verwendung von Cookies auf welt.de war - so das Gericht - wettbewerbswidrig.

Den Volltext der Entscheidung finden Sie hier:

EU-Kommission: EU-US Data Privacy Framework - Angemessenheitsbeschluss für sicheren und vertrauenswürdigen Datenverkehr zwischen der EU und den USA

Die EU-Kommission hat einen neuen Angemessenheitsbeschluss für den sicheren und vertrauenswürdigen Datenverkehr zwischen der EU und den USA erlassen (EU-US Data Privacy Framework).

Die Pressemitteilung der EU-Kommission:
Datenschutz: Europäische Kommission erlässt neuen Angemessenheitsbeschluss für einen sicheren und vertrauenswürdigen Datenverkehr zwischen der EU und den USA

Die Europäische Kommission hat heute ihren Angemessenheitsbeschluss für den Datenschutzrahmen EU-USA angenommen. In dem Beschluss wird festgelegt, dass die Vereinigten Staaten ein angemessenes Schutzniveau – vergleichbar mit dem der Europäischen Union – für personenbezogene Daten gewährleisten, die innerhalb des neuen Rahmens aus der EU an US-Unternehmen übermittelt werden. Auf der Grundlage des neuen Angemessenheitsbeschlusses können personenbezogene Daten sicher aus der EU an US-Unternehmen übermittelt werden, die am Rahmen teilnehmen, ohne dass zusätzliche Datenschutzgarantien eingeführt werden müssen.

Mit dem Datenschutzrahmen EU-USA werden neue verbindliche Garantien eingeführt, um allen vom Europäischen Gerichtshof geäußerten Bedenken Rechnung zu tragen; so ist vorgesehen, dass der Zugang von US-Nachrichtendiensten zu EU-Daten auf ein notwendiges und verhältnismäßiges Maß beschränkt ist und ein Gericht zur Datenschutzüberprüfung (Data Protection Review Court, DPRC) geschaffen wird, zu dem Einzelpersonen in der EU Zugang haben. Der neue Rahmen bringt erhebliche Verbesserungen gegenüber dem im Rahmen des Datenschutzschilds bestehenden Mechanismus mit sich. Stellt das Gericht zur Datenschutzüberprüfung beispielsweise fest, dass bei der Datenerhebung gegen die neuen Garantien verstoßen wurde, kann es die Löschung der Daten anordnen. Die neuen Garantien im Bereich des staatlichen Zugriffs auf Daten werden die Pflichten ergänzen, denen US-Unternehmen, die Daten aus der EU einführen, nachkommen müssen.

Präsidentin Ursula von der Leyen erklärte: „Der neue Datenschutzrahmen EU-USA wird einen sicheren Datenverkehr für die Europäerinnen und Europäer gewährleisten und den Unternehmen auf beiden Seiten des Atlantiks Rechtssicherheit bieten. Nach der grundsätzlichen Einigung, die ich im vergangenen Jahr mit Präsident Biden erzielt habe, haben die USA beispiellose Zusagen zur Schaffung des neuen Rahmens gemacht. Heute kommen wir einen wichtigen Schritt dabei voran, den Bürgerinnen und Bürgern Vertrauen in die Sicherheit ihrer Daten zu geben, unsere wirtschaftlichen Beziehungen zwischen der EU und den USA zu vertiefen und gleichzeitig unsere gemeinsamen Werte zu stärken. Der Rahmen zeigt, dass wir durch Zusammenarbeit die komplexesten Fragen angehen können.“

US-Unternehmen können sich dem Datenschutzrahmen EU-USA anschließen, indem sie sich zur Einhaltung detaillierter Datenschutzpflichten verpflichten, darunter beispielsweise die Pflichten, personenbezogene Daten zu löschen, wenn sie für den Zweck, für den sie erhoben wurden, nicht mehr erforderlich sind, und den Fortbestand des Schutzes zu gewährleisten, wenn personenbezogene Daten an Dritte weitergegeben werden.

Den EU-Bürgerinnen und -Bürgern werden mehrere Rechtsbehelfe offen stehen, falls ihre Daten von US-Unternehmen nicht ordnungsgemäß behandelt werden. Dazu gehören kostenlose unabhängige Streitbeilegungsmechanismen und eine Schiedsstelle.

Darüber hinaus sieht der US-Rechtsrahmen bestimmte Garantien in Bezug auf den Zugang von US-Behörden zu innerhalb des Rahmens übermittelten Daten vor, insbesondere für Datenzugriffe zum Zwecke der Strafverfolgung und der nationalen Sicherheit. Der Zugang zu Daten ist auf das zum Schutz der nationalen Sicherheit notwendige und verhältnismäßige Maß beschränkt.

Einzelpersonen in der EU werden im Zusammenhang mit der Erhebung und Verwendung ihrer Daten durch US-Nachrichtendienste auf ein unabhängiges und unparteiisches Rechtsbehelfsverfahren zurückgreifen können, das auch die Befassung eines neu geschaffenen Gerichts zur Datenschutzüberprüfung einschließt. Dieses Gericht soll etwaige Beschwerden unabhängig untersuchen und beilegen, unter anderem durch die Anordnung verbindlicher Abhilfemaßnahmen.

Die von den Vereinigten Staaten eingeführten Garantien werden zudem den transatlantischen Datenverkehr generell erleichtern, da sie auch für die Übermittlung von Daten unter Verwendung anderer Instrumente wie Standardvertragsklauseln und verbindliche unternehmensinterne Vorschriften gelten.

Nächste Schritte

Die Funktionsweise des Datenschutzrahmens EU-USA soll regelmäßig gemeinsam von der Europäischen Kommission und Vertretern der europäischen Datenschutzbehörden sowie der zuständigen US-Behörden überprüft werden.

Die erste Überprüfung soll binnen eines Jahres nach dem Inkrafttreten des Angemessenheitsbeschlusses erfolgen, um zu ermitteln, ob alle einschlägigen Elemente vollständig im US-Rechtsrahmen umgesetzt wurden und in der Praxis wirksam funktionieren.

Hintergrund

Gemäß Artikel 45 Absatz 3 der Datenschutzgrundverordnung (DSGVO) kann die Kommission im Wege eines Durchführungsrechtsakts beschließen, dass ein Drittland ein „angemessenes Schutzniveau“ bietet, das heißt einen Schutz personenbezogener Daten, der dem in der EU gebotenen Schutz der Sache nach gleichwertig ist. Angemessenheitsbeschlüsse haben zur Folge, dass personenbezogene Daten aus der EU (sowie aus Norwegen, Liechtenstein und Island) in ein Drittland übermittelt werden können, ohne dass es weiterer Schutzmaßnahmen bedarf.

Nachdem der Gerichtshof der Europäischen Union den vorherigen Angemessenheitsbeschluss zum Datenschutzschild EU-USA für ungültig erklärt hatte, nahmen die Europäische Kommission und die US-Regierung Gespräche über einen neuen Rahmen auf, in dem die vom Gerichtshof erhobenen Bedenken angegangen wurden.

Im März 2022 gaben Präsidentin von der Leyen und Präsident Biden bekannt, dass sie im Anschluss an die Verhandlungen zwischen Kommissionsmitglied Reynders und US-Handelsministerin Raimondo eine grundsätzliche Einigung über einen neuen transatlantischen Rahmen für den Datenverkehr erzielt haben. Im Oktober 2022 unterzeichnete Präsident Biden ein einschlägiges Dekret („Executive Order on Enhancing Safeguards for United States Signals Intelligence Activities“), das durch Verordnungen des US-Generalstaatsanwalts Garland ergänzt wurde. Mit diesen beiden Instrumenten wurden die von den Vereinigten Staaten im Rahmen dieser grundsätzlichen Einigung eingegangenen Verpflichtungen in US-amerikanisches Recht umgesetzt und die Pflichten der US-amerikanischen Unternehmen innerhalb des Datenschutzrahmens EU‑USA ergänzt.

Ein wesentliches Element des US-Rechtsrahmens, in dem diese Garantien verankert sind, ist das US-Dekret zur Verbesserung der Sicherheitsvorkehrungen für nachrichtendienstliche Tätigkeiten der Vereinigten Staaten im Bereich Fernmelde- und elektronische Aufklärung („Enhancing Safeguards for United States Signals Intelligence Activities“), in dem die vom Gerichtshof der Europäischen Union im „Schrems II“-Urteil vom Juli 2020 angeführten Kritikpunkte aufgegriffen werden.

Der Rahmen wird vom US-Handelsministerium verwaltet und überwacht. Die US-amerikanische Federal Trade Commission wird die Einhaltung der Vorschriften durch US-Unternehmen durchsetzen.


Den Angemessenheitsbeschluss finden Sie hier:

VG Hannover: Speicherdauer von Videoaufzeichnungen einer Tankstelle darf 72 Stunden nicht überschreiten

VG Hannover
Urteil vom 13.03.2023
10 A 1443/19


Das VG Hannover hat entschieden, dass die Speicherdauer von Videoaufzeichnungen einer Tankstelle 72 Stunden nicht überschreiten darf.

Aus den Entscheidungsgründen:
1. Der Bescheid vom 18. Februar 2019 ist rechtmäßig. Die datenschutzrechtliche Beschränkung zur Speicherdauer (a), die Aufforderung zur Bestätigungsanzeige (b) und auch die Zwangsgeldandrohung (c) sind rechtlich nicht zu beanstanden.

a) Die Anordnung der Beklagten, die Aufzeichnungen der klägerischen Videoüberwachung in der Regel auf 72 Stunden zu beschränken, ist rechtmäßig.

aa) Rechtsgrundlage für die streitgegenständliche Beschränkung zur Speicherdauer der Videoaufzeichnungen ist Art. 58 Abs. 2 lit. f) der Verordnung (EU) 2016/679 des Europäischen Parlaments und des Rates vom 27. April 2016 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten, zum freien Datenverkehr und zur Aufhebung der Richtlinie 95/46/EG (Datenschutz-Grundverordnung; hiernach: DSGVO). Demnach kann die Aufsichtsbehörde eine vorübergehende oder endgültige Beschränkung der Verarbeitung, einschließlich eines Verbots, verhängen, was die Beklagte mit der Beschränkung der Speicherdauer der Videoaufzeichnung getan hat.

bb) Der Bescheid ist in formeller Hinsicht nicht zu beanstanden. Die Beklagte ist für den Erlass des Bescheides nach §§ 19 Abs. 1, 22 Abs. 1 Nr. 1 Niedersächsisches Datenschutzgesetz (NDSG) zuständig. Die Klägerin wurde vor dessen Erlass zureichend nach § 1 Abs. 1 Niedersächsisches Verwaltungsverfahrensgesetz (NVwVfG) i.V.m. § 28 Abs. 1 Verwaltungsverfahrensgesetz (VwVfG) angehört und der Bescheid ist auch hinreichend bestimmt nach § 1 Abs. 1 NVwVfG i.V.m. § 37 Abs. 1 VwVfG.

Nach § 37 Abs. 1 VwVfG muss ein Verwaltungsakt inhaltlich hinreichend bestimmt sein. Ein Verwaltungsakt ist inhaltlich hinreichend bestimmt, wenn der Inhalt der von der Behörde getroffenen Regelung für die Beteiligten, insbesondere für die Adressatinnen oder Adressaten des Verwaltungsakts, so vollständig, klar und unzweideutig erkennbar ist, dass sie ihr Verhalten danach richten können, und wenn der Bescheid darüber hinaus geeignet ist, Grundlage für Maßnahmen einer zwangsweisen Durchsetzung zu sein (Tegethoff, in: Kopp/Schenke, VwVfG, 23. Auflage, § 37 Rn. 5). Dies ist hier der Fall. Dem Bescheid lässt sich, ausgehend vom Wortlaut unter Berücksichtigung der weiteren Umstände des Einzelfalles und nach Treu und Glauben durch Auslegung entnehmen, dass der Klägerin grundsätzlich untersagt wird, Videoaufzeichnungen länger als 72 Stunden zu speichern.

Anders als die Klägerin meint, ist die Regelung nicht deshalb unbestimmt, da unklar bleibe, in welchen Fällen sie zu einer längeren Speicherung als 72 Stunden berechtigt sei. Dem streitgegenständlichen Bescheid lässt sich dahingehend unzweideutig entnehmen, dass für Fälle von Feiertagsabwesenheiten eine längere Speicherdauer zulässig ist. Auch hat die Beklagte dargelegt, dass eine längere Speicherung in Fällen möglich ist, in denen das Aufzeichnungsmaterial zur Aufklärung von Schadensfällen oder der Durchsetzung etwaiger Ansprüche, die die Klägerin selbst geltend machen möchte oder gegen die sie sich zu wehren hat, notwendig ist.

cc) Der Bescheid ist auch materiell rechtmäßig. Die von der Beklagten beanstandete Datenverarbeitung der Klägerin ist rechtswidrig. Es besteht daher ein Anlass für ein Einschreiten der Beklagten. Sie erfolgte zu dem Zweck, einen datenschutzrechtswidrigen Zustand zu beenden, da die Aufzeichnungen der Videoüberwachung bisher für sechs bis acht Wochen und damit - datenschutzrechtswidrig - zu lang gespeichert wurden.

Die von der Klägerin vorgenommene Videoüberwachung und die Speicherung der dabei gewonnenen Daten unterfällt dem Regelungsregime der DSGVO (1). Die Zwecke, zu denen die Klägerin danach die Videoüberwachung durchführen darf (2), rechtfertigen in der Regel keine längere Speicherdauer als 72 Stunden (3). Die Beklagte hat die datenschutzrechtliche Beschränkung zur Speicherdauer schließlich auch ermessensfehlerfrei angeordnet (4.).

(1) Die von der Klägerin vorgenommene Videoüberwachung und die Speicherung der dabei gewonnenen Daten unterfällt dem Regelungsregime der DSGVO. Anders als die Klägerin meint, kann sie die Videoüberwachung und die Speicherung nicht auf § 4 BDSG stützen. Diese Vorschrift ist unionsrechtswidrig, soweit sie neben öffentlichen auch nichtöffentliche Stellen betrifft. Art. 6 Abs. 1 lit. e) und Abs. 3 DSGVO eröffnet den Mitgliedsstaaten nur insoweit einen Regelungsspielraum, als es sich bei der Videoüberwachung um die Wahrnehmung einer Aufgabe handelt, die im öffentlichen Interesse liegt oder in Ausübung öffentlicher Gewalt erfolgt. Damit lässt sich zwar die erste Alternative des § 4 Abs. 1 BDSG (Aufgabenerfüllung öffentlicher Stellen) unter die Öffnungsklausel des Art. 6 Abs. 1 lit. e) und Abs. 3 DSGVO fassen. Darüber hinaus erlaubt aber § 4 Abs. 1 BDSG - unionsrechtswidrig - auch noch die Videoüberwachung zur Wahrnehmung des Hausrechts (Abs. 1 Nr. 2) oder zur Wahrnehmung berechtigter Interessen (Abs. 1 Nr. 3) und dies für öffentliche Stellen ebenso wie für nichtöffentliche Stellen. Damit ist aber der zulässige Grund der Öffnungsklausel verlassen, sodass aufgrund des Vorrangs des EU-Rechts § 4 BDSG hier außer Betracht bleiben muss (so etwa Buchner, in: Kühling/Buchner, DSGVO und BDSG, 3. Auflage, BDSG, § 4 Rn. 3).

Gegen eine Anwendung von § 4 BDSG für die Videoüberwachung durch nichtöffentliche Stellen hat sich auch das Bundesverwaltungsgericht in einem obiter dictum zu einem Urteil vom 27. März 2019 ausgesprochen und festgestellt, dass sich die Videoüberwachung durch private Verantwortliche nach Art. 6 Abs. 1 S. 1 lit. f) DSGVO richtet (- 6 C 2.18 -, juris). Soweit die Klägerin meint, diese Entscheidung sei auf den vorliegenden Fall nicht anzuwenden, weil er sich auf eine veraltete Rechtslage bezieht, so ist dem entgegenzuhalten, dass das Bundesverwaltungsgericht in seiner Entscheidung ausdrücklich auf die für die Zukunft geltende Rechtslage nach Inkrafttreten der DSGVO abgestellt hat (Urt. v. 27.03.2019 - 6 C 2.18 -, juris Rn. 41 ff.). Dem folgend nimmt auch die Datenschutzkonferenz in ihrer Orientierungshilfe zur Videoüberwachung für nichtöffentliche Stellen an, dass § 4 BDSG für die Videoüberwachung durch nichtöffentliche Stellen keine Anwendung findet, sondern Art. 6 Abs. 1 Satz 1 lit. f) DSGVO zum Tragen kommt (abrufbar unter: 20200903_oh_vü_dsk.pdf (datenschutzkonferenz-online.de), S. 7 Fn. 8, zuletzt abgerufen am: 17.03.2023). Soweit die Klägerin meint, § 4 BDSG sei auf sie anzuwenden, weil sie Treibstoff veräußere und damit eine öffentliche Aufgabe im Rahmen der Daseinsvorsorge wahrnehme, so ist dem nicht zuzustimmen. Die Norm ist ausdrücklich nur auf öffentliche Stellen anzuwenden. Die Klägerin ist - selbst wenn sie öffentliche Aufgaben wahrnehmen würde - aber unstreitig ein Privatunternehmen.

Die Klägerin kann die Videoüberwachung und die Speicherung der dabei gewonnenen Daten auch nicht auf § 24 BDSG stützen. Diese Vorschrift erfasst diejenigen Fälle, bei denen zu einem anderen Zweck als zu demjenigen, zu dem die Daten erhoben wurden, Daten verarbeitet werden. Einen solch anderen Zweck hat die Klägerin nicht benannt und er ist auch ansonsten nicht erkennbar.

(2) Nach Art. 6 Abs. 1 lit. f) DSGVO ist die Klägerin zwar zur Videoüberwachung berechtigt, jedoch darf sie diese nicht für alle von ihr vorgetragenen Zwecke durchführen. Soweit sie vorgetragen hat, sie nehme die Videoüberwachung auch zur Durchsetzung bzw. zur Verteidigung gegen zivilrechtliche Ansprüche vor, so ist es ihr nicht gelungen, substantiiert darzulegen und zu belegen, dass sie ein berechtigtes Interesse zur Durchführung der Videoüberwachung zu eben diesem Zweck hat.

Nach Art. 6 Abs. 1 lit. f) DSGVO ist die Verarbeitung personenbezogener Daten nur rechtmäßig, wenn die Verarbeitung zur Wahrung berechtigter Interessen des Verantwortlichen oder eines Dritten erforderlich ist, sofern nicht die Interessen oder Grundrechte oder Grundfreiheiten der betroffenen Personen, die den Schutz personenbezogener Daten erfordern, überwiegen, insbesondere dann, wenn es sich bei der betroffenen Person um ein Kind handelt.

Als berechtigt darf jedes rechtliche, tatsächliche, wirtschaftliche oder ideelle Interesse des Verantwortlichen angesehen werden, soweit es von der Rechtsordnung nicht missbilligt wird. Das berechtigte Interesse muss auf einen konkreten Verarbeitungs- oder Nutzungszweck gerichtet sein. Berechtigt ist das Interesse also nur, wenn die Verarbeitung legitim und rechtmäßig ist (Taeger, in Taeger/Gabel, DSGVO - BDSG - TTDSG, 4. Aufl. 2022, Art. 6 Rn. 129). Das berechtigte Interesse des Verantwortlichen ist von diesem substantiiert vorzutragen und zu belegen (Taeger, in Taeger/Gabel, DSGVO - BDSG - TTDSG, 4. Aufl. 2022, Art. 6 Rn. 135; vgl. auch BVerwG, Urt. v. 02.03.2022 - 6 C 7/20 -, juris Rn. 50). Dieser speziellen Substantiierung bedarf es nur dann nicht, wenn eine Situation gegeben ist, die nach allgemeiner Lebenserfahrung typischerweise gefährlich ist und der Überwachung bedarf. Eine solch abstrakte Gefährdungslage wird beispielsweise bei Einkaufszentren und Kaufhäusern angenommen (vgl. zur alten Rechtslage Nds. OVG, Urt. v. 29.09.2014 - 11 LC 114/13 -, NJW 2015, 502, 505 Rn. 44; vgl. zur Anwendbarkeit dieser Grundsätze auch im Anwendungsbereich der DSGVO Taeger, in Taeger/Gabel, DSGVO - BDSG - TTDSG, 4. Aufl. 2022, Art. 6 Rn. 135).

Die Klägerin - dies hat auch die Beklagte anerkannt - ist nach Anwendung dieser Grundsätze berechtigt, die Videoüberwachung zur Unterbindung und Nachverfolgung von Straftaten, insbesondere von Vandalismus und Sachbeschädigungen, durchzuführen. Bei der von der Klägerin betriebenen SB-Tankstelle handelt es sich um eine nach der allgemeinen Lebenserfahrung potentiell stark gefährdete Einrichtung, die typischerweise Opfer von Vandalismus und Sachbeschädigungen wird, sodass die Klägerin ihr berechtigtes Interesse an der Videoaufzeichnung diesbezüglich nicht besonders belegen muss.

Soweit die Klägerin überdies vorgetragen hat, die Videoüberwachung diene auch dazu, sich gegen unberechtigte zivilrechtliche Ansprüche schützen und solche gegebenenfalls selbst durchsetzen zu können, so darf sie die Videoüberwachung zu diesem Zweck nicht durchführen. Sie hat ein berechtigtes Interesse zur Datenerhebung zu diesen Zwecken weder substantiiert dargelegt noch belegt.

Zunächst ist festzuhalten, dass die Durchsetzung des Kaufpreisanspruches und die Verteidigung gegen zivilrechtliche Ansprüche eines etwaigen Tankbetrügers an einer Selbstbedienungstankstelle keine Situation darstellt, bei der nach der allgemeinen Lebenserfahrung davon auszugehen ist, dass sie typischerweise regelmäßig vorkommt. Die Klägerin ist demnach nach den oben geschilderten Grundsätzen diesbezüglich dazu verpflichtet, ihr berechtigtes Interesse an der Datenerhebung und -verarbeitung darzulegen und zu belegen. Dies ist ihr vorliegend nicht gelungen.

Zur Durchsetzung von Kaufpreisansprüchen nach § 433 BGB bedarf es der Videoaufzeichnung schon deswegen nicht, weil bei der von der Klägerin betriebenen SB-Tankstelle Benzin grundsätzlich erst dann ausgegeben wird, wenn die Tanksäule freigeschaltet wurde. Die Freischaltung erfolgt durch die Einführung der akzeptierten Zahlkarten unter Nutzung einer PIN. Sobald die Zapfpistole wieder eingehängt wird, wird die Abbuchung vom Konto des Kunden direkt veranlasst. Kunden können die Tankstelle ohne Initiierung des Zahlvorgangs also grundsätzlich nicht verlassen.

Soweit die Klägerin dargelegt hat, dass an ihrer Tankstelle auch eigens ausgegebene Tankkarten akzeptiert werden, bei denen eine monatliche Abrechnung über ein SEPA-Lastschrift-Verfahren erfolgt, so berechtigt auch dies nicht zur Videoüberwachung. Die Klägerin hat diesbezüglich zwar ausgeführt, dass Kunden dem Einzug des Rechnungsbetrages ohne Angaben von Gründen gegenüber ihrer Bank widersprechen können und die Banken teilweise nach den vertraglichen Vereinbarungen sodann berechtigt seien, den an die Klägerin ausgezahlten Betrag wieder zurück zu buchen. Zur Durchsetzung des Kaufpreisanspruches ist die Klägerin dennoch nicht auf die Aufzeichnungen der Videoüberwachungsanlage angewiesen. Der Nachweis über den (den Kaufvertrag begründenden) Tankvorgang kann sie schließlich bereits dadurch erbringen, dass die personalisierte Tankkarte unter Nutzung einer PIN an ihrer Selbstbedienungstankstelle verwendet wurde. Dies ist über die Abrechnungsbelege nachweisbar. Schließlich hat die Klägerin keinen einzigen Beleg dafür erbracht, dass es in der Vergangenheit zu einem solchen Fall gekommen ist. Das Gericht hat die Klägerin bereits im Vorfeld zur mündlichen Verhandlung zur Vorlage entsprechender Belege aufgefordert. Dem ist die Klägerin - auch im Rahmen der mündlichen Verhandlung - nicht nachgekommen. Soweit der Geschäftsführer der Klägerin diesbezüglich ausgeführt hat, Belege und Nachweise könnten nicht vorgelegt werden, weil in der Vergangenheit entsprechende Fälle immer dadurch hätten aufgeklärt werden können, dass er allein sich die Videoaufzeichnungen angeschaut habe und seinem Gegenüber am Telefon habe versichern können, dass der Tankvorgang stattgefunden habe, so hält die Kammer dies für fernliegend und nicht überzeugend. Es entspricht nicht der allgemeinen Lebenserfahrung, dass etwaige Rechtsansprüche immer ausschließlich nur telefonisch dargelegt und sodann auch telefonisch abschließend geklärt werden können.

Die Klägerin darf die Videoüberwachung auch nicht zum Zweck der Verteidigung gegen zivilrechtliche Ansprüche nach §§ 812 ff. BGB durchführen. Sie hat diesbezüglich behauptet, in der Vergangenheit sei es zu Fällen gekommen, in denen nach einem Tankvorgang die Karte eines Kunden belastet worden sei und der Kunde sodann behauptet habe, sein Fahrzeug nicht bei der Klägerin betankt und deswegen den Kaufpreis zurückgefordert zu haben. Es stünde demnach im Raum, dass die Klägerin den Kaufpreis durch Leistung des Kunden ohne Rechtsgrund erlangt habe. Selbst wenn es in der Vergangenheit zu solchen Fällen gekommen ist, rechtfertigen sie die Videoüberwachung nach Ansicht der Kammer nicht. Nach den zivilrechtlichen Beweislastregeln wäre zunächst grundsätzlich der vermeintliche Kunde für das Fehlen des Rechtsgrundes, also für den Umstand beweisbelastet, dass zwischen ihm und der Klägerin kein Kaufvertrag zustande gekommen ist - sprich, dass kein Tankvorgang vorgenommen wurde (vgl. beispielsweise Wendehorst, in BeckOK BGB, 65. Ed., § 812, Rn. 281f.). Zudem kann die Klägerin auch in solchen Konstellationen grundsätzlich über die Abrechnungen einen Nachweis für den Tankvorgang und damit das Vorliegen eines Rechtsgrundes erbringen. Soweit die Klägerin diesbezüglich ohne Vorlage entsprechender Nachweise pauschal vorgetragen hat, dass auf den Abrechnungen nicht die volle IBAN des Kunden dargestellt werde, so ist die Kammer davon überzeugt, dass die IBAN und demnach die Identität des jeweiligen Kartennutzers sich anhand der auf der Abrechnung vorhandenen Angaben durch Erforschungsmaßnahmen bei der Bank ermitteln lässt. Die Klägerin hat zudem auch für diese vorgetragene Konstellation keinen einzigen Beleg erbracht, dass es in der Vergangenheit zu entsprechenden Fällen tatsächlich gekommen ist. Auch diesbezüglich hält die Kammer es für fernliegend, dass Kunden versuchen, ihre vermeintlichen Rechtsansprüche mündlich durchzusetzen und sodann wegen einer telefonischen Auskunft, die auf der für den Kunden nicht nachvollziehbaren Sichtung des Videomaterials beruht, von der Weiterverfolgung absehen.

Auch für die von der Klägerin vorgetragene Konstellation, Kunden hätten in der Vergangenheit behauptet, ihre Karte samt PIN sei entwendet und zum Tanken verwendet worden, ist die Klägerin zur Videoüberwachung nicht berechtigt. Die Beweislast für das treuwidrige Verhalten Dritter liegt in solchen Konstellationen nicht bei der Klägerin, sondern in der Regel nach §§ 675 v -675 w BGB bei den Kreditinstituten. Bei § 675 v BGB handelt es sich um die zentrale Haftungsnorm im Rechtsverhältnis von Zahlungsdienstleister und Zahlungsdienstnutzer. Sie regelt, welche Partei bei missbräuchlicher Verwendung von Zahlungsdiensten einen durch unberechtigt verfügende Dritte entstandenen Schaden zu tragen hat. Eine Haftung des Zahlungsempfängers ist hier nicht vorgesehen. § 675 w BGB regelt dahingehend die Beweislasten und bezieht sich ebenfalls nicht auf den Zahlungsempfänger. Zudem besteht bei Nutzung einer EC-Karte/Visa-Karte mit PIN - und nur solche sind bei der Klägerin nach ihrem eigenen Vortrag nutzbar - grundsätzlich eine Zahlungsgarantie des Kreditunternehmens. Schließlich ist es der Klägerin auch hinsichtlich dieser behaupteten Konstellation nicht gelungen, eine Gefährdungslage substantiiert darzulegen. Nachweise dafür, dass es zu solchen Fällen in der Vergangenheit gekommen ist, hat sie trotz gerichtlicher Aufforderung nicht erbracht.

Die Klägerin hat weiter vorgetragen, sie sei auf die Videoüberwachung angewiesen, um Fälle aufklären zu können, bei denen Kunden nach einer Fehlbedienung die doppelte Belastung ihrer Karte rügen würden. In der Vergangenheit sei es zu Fällen gekommen, in denen Kunden durch das zentrale Terminal zunächst eine falsche und sodann die richtige Zapfsäule freigeschaltet hätten. Ein anderer Kunde habe sodann an der versehentlich freigeschalteten Zapfsäule auf Kosten dieses Kunden getankt. Auch dieser Vortrag rechtfertigt eine Videoüberwachung nicht. Zunächst ist die Kammer davon überzeugt, dass solchen Fällen durch technische Vorrichtungen begegnet werden kann, sodass sie gar nicht vorkommen müssten. Zudem hat die Klägerin auch hinsichtlich dieser Fallkonstellation keinerlei belastbaren Nachweise dafür vorgebracht, dass sie in der Vergangenheit tatsächlich vorgekommen wären.

Soweit die Klägerin schließlich noch behauptet hat, sie sei auf die Videoüberwachung angewiesen, weil sie sich wegen der vermeintlich falschen Belastung von Zahlungskarten auch gegen strafrechtliche Vorwürfe verteidigen können müsse, so hat sie auch diesbezüglich nicht substantiiert darlegen können, dass in der Vergangenheit tatsächlich strafrechtlich gegen sie ermittelt oder gar ein Strafverfahren eingeleitet wurde. Dass es auch für solche Konstellationen keinerlei schriftliche Nachweise gibt, hält die Kammer für abwegig.

(3) Soweit die Klägerin zur Durchführung der Videoüberwachung berechtigt ist, dürfen die dabei gewonnenen Aufzeichnungen grundsätzlich nicht länger als 72 Stunden gespeichert werden.

Personenbezogene Daten dürfen nach Art. 5 Abs. 1 lit. c) und e) DSGVO nicht länger gespeichert werden, als es für die Zwecke, für die sie verarbeitet wurden, erforderlich ist (Grundsätze der Datenminimierung und der Speicherbegrenzung). Spiegelbildlich bestimmt Art. 17 Abs. 1 lit. a) DSGVO, dass personenbezogene Daten unverzüglich zu löschen sind, wenn sie für die Zwecke, für die sie erhoben wurden, nicht mehr notwendig sind. Dem kommt die Klägerin gegenwärtig nicht nach.

Zulässiger Zweck der Videoüberwachung ist die Unterbindung und Nachverfolgung von Straftaten, insbesondere von Vandalismus und Sachbeschädigungen. Zu diesem Zweck ist die Klägerin berechtigt, Bildaufnahmen zu erheben und auch zu speichern. Es ist aber nicht notwendig, diese Aufzeichnungen für die Zweckerreichung sechs bis acht Wochen vorzuhalten.

Wann Daten zur Zweckerfüllung nicht mehr notwendig sind, lässt sich nicht pauschal festlegen. Erforderlich ist eine Prüfung im Einzelfall (Herbst, in: Kühling/Buschner, DSGVO und BDSG, 3. Auflage, Art. 17 Rn. 17). Allerdings lassen sich einige allgemeingültige Grundsätze durchaus ausmachen. So sollten unter Berücksichtigung der Grundsätze nach Art. 5 Abs. 1 lit. c) und e) DSGVO die personenbezogenen Daten in den meisten Fällen nach einigen wenigen Tagen automatisch gelöscht werden. Je länger die Speicherfrist ist, desto höher ist der Argumentationsaufwand in Bezug auf die Rechtmäßigkeit des Zwecks und der Erforderlichkeit. Dies gilt insbesondere dann, wenn sie mehr als 72 Stunden beträgt (European Data Protection Board, Leitlinien 3/2019 zur Verarbeitung personenbezogener Daten durch Videogeräte, 29.01.2020, S. 30). An diesen Anforderungen gemessen, lässt sich feststellen, dass die sechs- bis achtwöchige Dauer der Speicherung hier nicht notwendig ist.

Es ist ohne weiteres möglich, binnen 72 Stunden festzustellen, ob Vandalismus oder Beschädigungen an der klägerischen Tankstelle aufgetreten sind und sollte dem so sein, das Videomaterial daraufhin zu sichten. Sollte sodann das Videomaterial weiteren Aufschluss zu einem Tatvorgang geben, so ist die Klägerin zur längeren Speicherung berechtigt (vgl. Art. 17 Abs. 3 lit e) DSGVO). Die Klägerin sieht sich demnach, entgegen ihres Vortrags, durch die streitgegenständliche Anordnung auch nicht dem Vorwurf der Strafvereitelung nach § 339 StGB ausgesetzt, abgesehen davon, dass sie schon nicht taugliche Täterin der Strafnorm ist. Dies sind nur Richter, andere Amtsträger (§ 11 Abs. 1 Nr. 2 StGB) oder Schiedsrichter (§ 1025 Zivilprozessordnung (ZPO), § 101 Arbeitsgerichtsgesetz (ArbGG), § 76 Zehntes Buch Sozialgesetzbuch (SGB IX), § 168 Abs. 1 Nr. 5 VwGO). Die Klägerin wird durch die Anordnung der Beklagten zur Speicherdauer auch nicht angehalten, Beweismittel zu vernichten. Im Regelfall sollten ihr Fälle von Sachbeschädigung/Vandalismus innerhalb von 72 Stunden auffallen; sollte sodann das Videomaterial weiteren Aufschluss zu einem Tatvorgang geben, so ist sie zur längeren Speicherung berechtigt. Sollte ausnahmsweise Beweismaterial gelöscht werden, so dürfte es zudem am notwendigen Vorsatz für die Strafvereitelung fehlen.

Die Berechtigung zu einer längeren Speicherdauer lässt sich auch unter Heranziehung der verschiedenen von der Klägerin zitierten Quellen, Guidelines, Orientierungshilfen und Auskünfte nicht begründen.


Den Volltext der Entscheidung finden Sie hier:

LG München: Weitergabe von Positivdaten an SCHUFA durch Telekommunikationsanbieter Telefonica / O2 verstößt gegen Art. 5 und Art. 6 DSGVO und ist rechtswidrig

LG München
Urteil vom 25.04.2023
33 O 5976/22


Das LG München hat entschieden, dass die Weitergabe von Positivdaten an die SCHUFA durch den Telekommunikationsanbieter Telefonica / O2 gegen Art. 5 und Art. 6 DSGVO verstößt und somit rechtswidrig ist.

Aus den Entscheidungsgründen:
Die streitgegenständliche Datenübertragung personenbezogener Daten (vgl. Anlage K 3) stellt eine Zuwiderhandlung gegen Art. 5, 6 DSGVO dar. Gem. Art. 6 Abs. 1 DSGVO ist die Verarbeitung nur rechtmäßig, wenn mindestens eine der in Art. 6 DSGVO normierten Bedingungen erfüllt ist. Dies ist vorliegend nicht der Fall. Die Übermittlung der sog. Positivdaten nach Vertragsschluss an Auskunfteien, wie im Streitfall an die SCHUFA (vgl. Anlage K3), erfolgt ohne Rechtsgrundlage.

a. Die Datenverarbeitung ist nicht von Art. 6 Abs. 1 Satz 1 lit. b) DSGVO gedeckt, weil die Beklagte mit den Kunden auch ohne Übermittlung von Positivdaten an Auskunfteien Verträge abschließen kann und diese Datenübermittlung zur Erfüllung des Vertrages bzw. zur Durchführung vorvertraglicher Maßnahmen nicht erforderlich ist.

Dies ergibt sich bereits daraus, dass auch nach Einstellung der beanstandeten Datenübertragung durch die Beklagte bis zur Klärung der Rechtslage weiterhin entsprechende Verträge geschlossen und abgewickelt werden. Das Vertragsverhältnis steht und fällt auch nicht mit der Übermittlung von Positivdaten an Auskunfteien.

Soweit ein solcher Vertragsschluss unter Weitergabe von Positivdaten schlicht weniger risikobehaftet ist, begründet dies nicht die Erforderlichkeit einer solchen Übermittlung im Rechtssinne.

b. Die Datenverarbeitung ist auch nicht von Art. 6 Abs. 1 Satz 1 lit. f) DSGVO gedeckt, da die Interessen der Betroffenen an dem Schutz ihrer Daten und deren Grundrechte die Interessen der Beklagten an der Übermittlung der Positivdaten an die Auskunftei überwiegen.

aa. Die Kammer legt bei ihrer gem. Art. 6 Abs. 1 Satz 1 lit. f) DSGVO zu treffenden Abwägung zugrunde, dass verschiedene Interessen grundsätzlich auch für die Übermittlung von sog. Positivdaten sprechen.

Allen voran ist insoweit die auch aus Sicht der Beklagten als Verantwortliche im Sinne des Art. 6 Abs. 1 Satz 1 lit. f) DSGVO hervorgehobene Betrugsprävention und die damit verbundene Schadensvermeidung im zweistelligen Millionenbereich zu nennen, welche u. a. durch eine Identitätsprüfung auf der Basis der Positivdaten bzw. die Verhinderung eines Identitätsdiebstahls durch den Abgleich mit Positivdaten erreicht werden soll.

Es kann auch unterstellt werden, dass die Meldung entsprechender Daten bzw. deren Austausch über die Auskunftei der Reduzierung des Kredit- und des Ausfallrisikos der Beklagten und einer frühzeitigen Kundenbindung sowie einer höheren Abschlussquote (wegen gesteigerter Annahmequoten) dient.

Auch kann ein gesamtwirtschaftliches general- und spezialpräventives Interesse an der Betrugsbekämpfung und -prävention, ein Interesse an einer besseren finanziellen Inklusion von finanziell schwächeren Verbrauchern und auch an verbesserten Chancen zum Vertragsabschluss unterstellt werden.

Gleiches gilt für das wirtschaftliche Interesse von Dritten, hier der Auskunftei, deren Geschäftsmodell auf der Einmeldung von Daten im Gegenseitigkeitsprinzip basiert, an der Funktionsfähigkeit von Auskunfteien und der Genauigkeit von Scores.

Auch die von der Beklagten für die Betroffenen angeführten Interessen, etwa günstigere Vertragskonditionen durch eine Verbesserung des Scorewerts der Betroffenen, der Möglichkeit der besseren Gewichtung von Negativeinträgen, einem Schutz vor Überschuldung und einer (erweiterten) Möglichkeit zum Abschluss von Erstverträgen, können für die vorzunehmende Abwägung als gegeben unterstellt werden.

bb. Inwieweit die Meldung von Positivdaten als Mittel zur Wahrung der genannten Interessen tatsächlich geeignet ist, kann im Streitfall dahinstehen, denn zur Wahrung dieser Interessen wählt die Beklagte mit der Übermittlung der Positivdaten jedenfalls nicht das erforderliche und verhältnismäßige Mittel aus, sondern die aus ihrer Sicht effektivste Methode. Dies ist unzulässig.

Den Volltext der Entscheidung finden Sie hier:

EuGH: Recht auf Kopie nach Art. 15 Abs. 3 DSGVO umfasst originalgetreue und verständliche Reproduktion der personenbezogenen Daten des Betroffenen

EuGH
Urteil vom 04.05.2023
C-487/21
Österreichische Datenschutzbehörde und CRIF


Der EuGH hat entschieden, dass das Recht auf Kopie nach Art. 15 Abs. 3 DSGVO die originalgetreue und verständliche Reproduktion der personenbezogenen Daten des Betroffenen umfasst.

Tenor der Entscheidung:
1. Art. 15 Abs. 3 Satz 1 der Verordnung (EU) 2016/679 des Europäischen Parlaments und des Rates vom 27. April 2016 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten, zum freien Datenverkehr und zur Aufhebung der Richtlinie 95/46/EG (Datenschutz-Grundverordnung) ist dahin auszulegen, dass das Recht, vom für die Verarbeitung Verantwortlichen eine Kopie der personenbezogenen Daten, die Gegenstand der Verarbeitung sind, zu erhalten, bedeutet, dass der betroffenen Person eine originalgetreue und verständliche Reproduktion aller dieser Daten ausgefolgt wird. Dieses Recht setzt das Recht voraus, eine Kopie von Auszügen aus Dokumenten oder gar von ganzen Dokumenten oder auch von Auszügen aus Datenbanken, die u. a. diese Daten enthalten, zu erlangen, wenn die Zurverfügungstellung einer solchen Kopie unerlässlich ist, um der betroffenen Person die wirksame Ausübung der ihr durch diese Verordnung verliehenen Rechte zu ermöglichen, wobei insoweit die Rechte und Freiheiten anderer zu berücksichtigen sind.

2. Art. 15 Abs. 3 Satz 3 der Verordnung 2016/679 ist dahin auszulegen, dass sich der im Sinne dieser Bestimmung verwendete Begriff „Informationen“ ausschließlich auf personenbezogene Daten bezieht, von denen der für die Verarbeitung Verantwortliche gemäß Satz 1 dieses Absatzes eine Kopie zur Verfügung stellen muss.

Die Pressemitteilung des EuGH:
DSGVO: Das Recht, eine „Kopie“ der personenbezogenen Daten zu erhalten, bedeutet, dass der betroffenen Person eine originalgetreue und verständliche Reproduktion aller dieser Daten ausgefolgt wird

Dieses Recht impliziert das Recht, eine Kopie von Auszügen aus Dokumenten oder gar von ganzen Dokumenten oder auch von Auszügen aus Datenbanken, die diese Daten enthalten, zu erlangen, wenn dies unerlässlich ist, um der betroffenen Person die wirksame Ausübung der ihr durch die DSGVO verliehenen Rechte zu ermöglichen

CRIF ist eine Kreditauskunftei, die auf Verlangen ihrer Kunden Informationen über die Zahlungsfähigkeit Dritter liefert. Zu diesem Zweck verarbeitete sie die persönlichen Daten des Klägers des Ausgangsverfahrens, einer Privatperson. Letzterer beantragte bei CRIF auf der Grundlage der Datenschutz-Grundverordnung1 Auskunft über die ihn betreffenden personenbezogenen Daten. Außerdem bat er um Zurverfügungstellung einer Kopie der Dokumente, nämlich E-Mails und Auszüge aus Datenbanken, die u. a. seine Daten enthalten, „in einem üblichen technischen Format“.

Daraufhin übermittelte CRIF dem Kläger des Ausgangsverfahrens in aggregierter Form eine Liste seiner personenbezogenen Daten, die Gegenstand der Verarbeitung waren. Da der Kläger des Ausgangsverfahrens der Ansicht war, dass CRIF ihm eine Kopie sämtlicher seine Daten enthaltender Dokumente wie E-Mails und Auszüge aus Datenbanken hätte übermitteln müssen, brachte er bei der Österreichischen Datenschutzbehörde eine Beschwerde ein. Diese Behörde wies die Beschwerde mit der Begründung ab, dass CRIF das Recht des Klägers des Ausgangsverfahrens auf Auskunft über die personenbezogenen Daten nicht verletzt habe.

Das Bundesverwaltungsgericht (Österreich), das mit der Klage des Klägers des Ausgangsverfahrens gegen den ablehnenden Bescheid dieser Behörde befasst ist, stellt sich die Frage der Tragweite der in Art. 15 Abs. 3 Satz 1 DSGVO vorgesehenen Verpflichtung, der betroffenen Person eine „Kopie“ ihrer personenbezogenen Daten, die Gegenstand der Verarbeitung sind, zur Verfügung zu stellen. Es fragt sich insbesondere, ob diese Verpflichtung erfüllt ist, wenn der für die Verarbeitung Verantwortliche die personenbezogenen Daten als Tabelle in aggregierter Form übermittelt, oder ob sie auch die Übermittlung von Auszügen aus Dokumenten oder gar ganzen Dokumenten sowie von Auszügen aus Datenbanken umfasst, in denen diese Daten wiedergegeben werden. Das vorlegende Gericht bittet außerdem um Klarstellung, was der Begriff „Informationen“ in Art. 15 Abs. 3 Satz 3 DSGVO2 genau umfasst.

Mit seinem Urteil erläutert der Gerichtshof den Inhalt und den Umfang des Auskunftsrechts der betroffenen Person über ihre personenbezogenen Daten, die Gegenstand der Verarbeitung sind. Insoweit vertritt er die Auffassung, dass das Recht, vom für die Verarbeitung Verantwortlichen eine „Kopie“ der personenbezogenen Daten, die Gegenstand der Verarbeitung sind, zu erhalten, nach Art. 15 Abs. 3 Satz 3 DSGVO bedeutet, dass der betroffenen Person eine originalgetreue und verständliche Reproduktion aller dieser Daten ausgefolgt wird. Dieses Recht setzt das Recht voraus, eine Kopie von Auszügen aus Dokumenten oder gar von ganzen Dokumenten oder auch von Auszügen aus Datenbanken, die u. a. diese Daten enthalten, zu erlangen, wenn die Zurverfügungstellung einer solchen Kopie unerlässlich ist, um der betroffenen Person die wirksame Ausübung der ihr durch die DSGVO verliehenen Rechte zu ermöglichen, wobei insoweit die Rechte und Freiheiten anderer zu berücksichtigen sind. Im Übrigen stellt der Gerichtshof klar, dass sich der im Sinne des Art. 15 Abs. 3 Satz 3 DSGVO verwendete Begriff „Informationen“ ausschließlich auf personenbezogene Daten bezieht, von denen der für die Verarbeitung Verantwortliche gemäß Satz 1 dieses Absatzes eine Kopie zur Verfügung stellen muss.

Würdigung durch den Gerichtshof
In einem ersten Schritt nimmt der Gerichtshof eine grammatikalische, systematische und teleologische Auslegung von Art. 15 Abs. 3 Satz 1 DSGVO vor, der das Recht der betroffenen Person vorsieht, eine Kopie ihrer personenbezogenen Daten, die Gegenstand der Verarbeitung sind, zur Verfügung gestellt zu bekommen. Zum Wortlaut von Art. 15 Abs. 3 Satz 1 DSGVO stellt der Gerichtshof fest, dass diese Bestimmung zwar keine Definition des Begriffs „Kopie“ enthält, dass aber der gewöhnliche Sinn dieses Begriffs zu berücksichtigen ist, der die originalgetreue Reproduktion oder Abschrift bezeichnet, so dass eine rein allgemeine Beschreibung der Daten, die Gegenstand der Verarbeitung sind, oder ein Verweis auf Kategorien personenbezogener Daten nicht dieser Definition entspräche. Außerdem ergibt sich aus dem Wortlaut dieser Bestimmung, dass sich die Mitteilungspflicht auf die personenbezogenen Daten bezieht, die Gegenstand der in Rede stehenden Verarbeitung sind. Nach der grammatikalischen Auslegung dieser Bestimmung geht der Gerichtshof davon aus, dass diese Bestimmung der betroffenen Person das Recht verleiht, eine originalgetreue Reproduktion ihrer personenbezogenen Daten im Sinne einer weiten Bedeutung zu erhalten, die Gegenstand von Vorgängen sind, die als Verarbeitung durch den für diese Verarbeitung Verantwortlichen eingestuft werden müssen.

Zum Kontext, in den Art. 15 Abs. 3 Satz 1 DSGVO eingebettet ist, stellt der Gerichtshof fest, dass Art. 15 Abs. 1 DSGVO Gegenstand und Anwendungsbereich des der betroffenen Person zustehenden Auskunftsrechts festlegt. Art. 15 Abs. 3 DSGVO legt die praktischen Modalitäten für die Erfüllung der dem Verantwortlichen obliegenden Verpflichtung fest, indem er u. a. in Satz 1 die Form festlegt, in der dieser Verantwortliche die „personenbezogenen Daten, die Gegenstand der Verarbeitung sind“, zur Verfügung stellen muss, nämlich in Form einer „Kopie“. Daher kann Art. 15 DSGVO nicht so ausgelegt werden, dass er in seinem Abs. 3 Satz 1 ein anderes Recht als das in seinem Abs. 1 vorgesehene gewährt. Im Übrigen erläutert der Gerichtshof, dass sich der Begriff „Kopie“ nicht auf ein Dokument als solches, sondern auf die personenbezogenen Daten, die es enthält und die vollständig sein müssen, bezieht. Die Kopie muss daher alle personenbezogenen Daten enthalten, die Gegenstand der Verarbeitung sind.

Zu den mit Art. 15 DSGVO verfolgten Zielen weist der Gerichtshof darauf hin, dass es der betroffenen Person durch die Ausübung des in diesem Artikel vorgesehenen Auskunftsrechts nicht nur ermöglicht werden muss, zu überprüfen, ob sie betreffende personenbezogene Daten richtig sind, sondern auch, ob sie in zulässiger Weise verarbeitet werden.

Außerdem ergibt sich laut Gerichtshof aus der DSGVO3, dass der Verantwortliche geeignete Maßnahmen zu treffen hat, um der betroffenen Person alle Informationen in präziser, transparenter, verständlicher und leicht zugänglicher Form in einer klaren und einfachen Sprache zu übermitteln, und dass die Übermittlung der Informationen schriftlich oder in anderer Form, gegebenenfalls auch elektronisch zu erfolgen hat, es sei denn, die betroffene Person verlangt, dass diese mündlich erteilt werden. Daraus folgt, dass die vom Verantwortlichen zur Verfügung stellende Kopie der personenbezogenen Daten, die Gegenstand der Verarbeitung sind, alle Merkmale aufweisen muss, die es der betroffenen Person ermöglichen, ihre Rechte aus der DSGVO wirksam auszuüben, und diese Daten daher vollständig und originalgetreu wiedergeben muss.

Somit kann sich, um zu gewährleisten, dass die so bereitgestellten Informationen leicht verständlich sind, die Reproduktion von Auszügen aus Dokumenten oder gar von ganzen Dokumenten oder auch von Auszügen aus Datenbanken, die u. a. personenbezogene Daten enthalten, die Gegenstand der Verarbeitung sind, als unerlässlich erweisen. Insbesondere wenn personenbezogene Daten aus anderen Daten generiert werden oder wenn sie auf freien Feldern beruhen, d. h. einer fehlenden Angabe, aus der eine Information über die betroffene Person hervorgeht, ist der Kontext, in dem diese Daten Gegenstand der Verarbeitung sind, unerlässlich, damit die betroffene Person eine transparente Auskunft und eine verständliche Darstellung dieser Daten erhalten kann.

Im Fall eines Konflikts zwischen der Ausübung des Rechts auf vollständige und umfassende Auskunft über die personenbezogenen Daten zum einen und den Rechten oder Freiheiten anderer Personen zum anderen sind die fraglichen Rechte und Freiheiten nach Auffassung des Gerichtshofs gegeneinander abzuwägen. Nach Möglichkeit sind Modalitäten der Übermittlung der personenbezogenen Daten zu wählen, die die Rechte oder Freiheiten anderer Personen nicht verletzen, wobei diese Erwägungen nicht dazu führen dürfen, dass der betroffenen Person jegliche Auskunft verweigert wird.

In einem zweiten Schritt befasst sich der Gerichtshof mit der Frage, was unter den Begriff „Informationen“ im Sinne des Art. 15 Abs. 3 Satz 3 DSGVO fällt. Diese Bestimmung erläutert zwar nicht, was unter dem Begriff „Informationen“ zu verstehen ist, aber aus ihrem Kontext ergibt sich, dass die von dieser Bestimmung erfassten „Informationen“ zwangsläufig den personenbezogenen Daten entsprechen, von denen der für die Verarbeitung Verantwortliche gemäß Art. 15 Abs. 3 Satz 1 DSGVO eine Kopie zur Verfügung stellen muss.


Den Volltext der Entscheidung finden Sie hier:


EuGH-Generalanwalt: Unmittelbare Verhängung einer Geldbuße gegen juristische Person nach Art. 83 Abs. 4-6 DSGVO möglich - § 30 OWiG gilt nicht

EuGH-Generalanwalt
Schlussanträge vom
C-807/21


Der EuGH-Generalanwalt kommt in seinen Schlussanträge zu dem Ergebnis, dass die unmittelbare Verhängung einer Geldbuße gegen juristische Person nach Art. 83 Abs. 4-6 DSGVO möglich ist. § 30 OWiG greift insoweit nicht.

Das Ergebnis der Schlussanträge:
Nach alledem schlage ich dem Gerichtshof vor, dem Kammergericht Berlin (Deutschland) wie folgt zu antworten:

Art. 58 Abs. 2 Buchst. i der Verordnung (EU) 2016/679 des Europäischen Parlaments und des Rates vom 27. April 2016 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten, zum freien Datenverkehr und zur Aufhebung der Richtlinie 95/46/EG (Datenschutz-Grundverordnung) in Verbindung mit Art. 4 Nr. 7 und Art. 83 dieser Verordnung

ist dahin auszulegen, dass

die Verhängung einer Geldbuße gegen eine juristische Person, die für die Verarbeitung personenbezogener Daten verantwortlich ist, nicht von der vorherigen Feststellung eines Verstoßes durch eine oder mehrere individualisierte natürliche Person(en), die im Dienst dieser juristischen Person stehen, abhängt.

Die Verwaltungsgeldbußen, die gemäß der Verordnung 2016/679 verhängt werden können, setzen voraus, dass festgestellt wird, dass das den geahndeten Verstoß begründende Verhalten vorsätzlich oder fahrlässig war.


Die vollständigen Schlussanträge finden Sie hier:

EuGH-Generalanwalt: Bei einem Datenleck oder Hackerangriff kann ein Anspruch auf Ersatz des immateriellen Schadens aus Art. 82 DSGVO für Befürchtung eines künftigen Missbrauchs der Daten bestehen

EuGH-Generalanwalt
Schlussanträge vom 27.04.2023
C-340/21 | Natsionalna agentsia za prihodite


Der EuGH-Generalanwalt kommt in seinen Schlussanträgen zu dem Ergebnis, dass bei einem Datenleck oder Hackerangriff ein Anspruch auf Ersatz des immateriellen Schadens aus Art. 82 DSGVO gegen die verarbeitende Stelle für die Befürchtung eines künftigen Missbrauchs der Daten bestehen kann.

Die Pressemitteilung des EuGH:
Bei einem unbefugten Zugang zu personenbezogenen Daten durch Dritte haftet der Verantwortliche für mutmaßliches Verschulden und es kommt eventuell ein Ersatz des immateriellen Schadens in Betracht

Für eine Haftungsbefreiung muss der Verantwortliche nachweisen, dass er für den Umstand, durch den der Schaden eingetreten ist, in keinerlei Hinsicht verantwortlich ist. Die Befürchtung eines künftigen Missbrauchs personenbezogener Daten kann nur dann einen immateriellen Schaden darstellen, wenn es sich um einen realen und sicheren emotionalen Schaden und nicht nur um ein Ärgernis oder eine Unannehmlichkeit handelt.

Am 15. Juli 2019 verbreiteten die bulgarischen Medien die Nachricht, dass ein unbefugter Zugang zum Informationssystem der bulgarischen Nationalen Agentur für Einnahmen (NAP) erfolgt sei und dass verschiedene Steuer- und Sozialversicherungsdaten von Millionen von Menschen im Internet veröffentlicht worden seien. Mehrere Personen, darunter V.B., verklagten die NAP auf Ersatz des immateriellen Schadens, der sich in Sorgen und Befürchtungen des künftigen Missbrauchs ihrer personenbezogenen Daten äußere. Nach Ansicht von V.B. hatte die NAP gegen nationale Vorschriften und ihre Verpflichtung verstoßen, geeignete Maßnahmen zu ergreifen, um als Verantwortliche bei der Verarbeitung personenbezogener Daten angemessene Sicherheitsstandards zu gewährleisten. Das erstinstanzliche Gericht wies die Klage mit der Begründung ab, dass die Veröffentlichung der Daten nicht der NAP zuzurechnen sei, dass die Beweislast für die Geeignetheit der Maßnahmen bei V.B. liege und dass kein immaterieller Schaden geltend gemacht werden könne. Das mit der Kassationsbeschwerde befasste Oberste Verwaltungsgericht hat dem Gerichtshof einige Fragen zur Auslegung der DatenschutzGrundverordnung1 zur Vorabentscheidung vorgelegt, um zu klären, unter welchen Bedingungen eine Person, deren personenbezogene Daten, die sich im Besitz einer öffentlichen Agentur befinden, nach einem Hackerangriff im Internet veröffentlicht wurden, Ersatz des immateriellen Schadens verlangen kann.

In den heutigen Schlussanträgen weist Generalanwalt Giovanni Pitruzzella zunächst darauf hin, dass der Verantwortliche geeignete technische und organisatorische Maßnahmen umsetzen müsse, um sicherzustellen, dass die Verarbeitung personenbezogener Daten gemäß der Verordnung erfolge. Die Geeignetheit dieser Maßnahmen werde unter Berücksichtigung der Art, des Umfangs, der Umstände und der Zwecke der Verarbeitung sowie der unterschiedlichen Eintrittswahrscheinlichkeit und Schwere der Risiken für die Rechte und Freiheiten natürlicher Personen auf der Grundlage einer Einzelfallprüfung bestimmt.

Der Generalanwalt führt erstens aus, dass das Vorliegen einer „Verletzung des Schutzes personenbezogener Daten“ an sich nicht ausreiche, um anzunehmen, dass die vom Verantwortlichen ergriffenen technischen und organisatorischen Maßnahmen nicht „geeignet" gewesen seien, um den Schutz der Daten zu gewährleisten. Bei der Auswahl der Maßnahmen müsse der Verantwortliche eine Reihe von Faktoren berücksichtigen, darunter den „Stand der Technik“, der eine Begrenzung des technologischen Niveaus der Maßnahmen auf das, was zum Zeitpunkt des Ergreifens der Maßnahmen vernünftigerweise möglich sei, zulasse, wobei auch die Implementierungskosten zu berücksichtigen seien. Die Entscheidung des Verantwortlichen unterliege einer möglichen gerichtlichen Prüfung der Vereinbarkeit mit der Verordnung. Die Beurteilung der Geeignetheit der Maßnahmen müsse auf einer Abwägung zwischen den Interessen der betroffenen Person und den wirtschaftlichen Interessen und technischen Möglichkeiten des Verantwortlichen unter Wahrung des allgemeinen Verhältnismäßigkeitsgrundsatzes beruhen.

Zweitens müsse das nationale Gericht bei der Prüfung der Frage, ob die Maßnahmen geeignet gewesen seien, eine Überprüfung vornehmen, die sich auf eine konkrete Analyse sowohl des Inhalts der Maßnahmen als auch der Art und Weise ihrer Durchführung und ihrer praktischen Auswirkungen erstrecke. Bei der gerichtlichen Überprüfung müssten daher alle Faktoren berücksichtigt werden, die in der Verordnung enthalten seien. Unter diesen Faktoren könne die Einführung von Verhaltensregeln oder Zertifizierungssystemen ein nützliches Element der Bewertung zum Zweck der Erfüllung der Beweispflicht sein, wobei der Verantwortliche nachweisen müsse, dass er die in den Verhaltensregeln vorgesehenen Maßnahmen tatsächlich ergriffen habe, während die Zertifizierung als solche den Beweis für die Übereinstimmung der durchgeführten Verarbeitungen mit der Verordnung darstelle. Da diese Maßnahmen erforderlichenfalls überprüft und aktualisiert werden müssten, habe das Gericht auch diesen Umstand zu würdigen.

Drittens obliege dem Verantwortlichen der Nachweis, dass die Maßnahmen geeignet seien. Gemäß dem Grundsatz der Verfahrensautonomie sei es Sache der innerstaatlichen Rechtsordnung jedes Mitgliedstaats, die zulässigen Beweismittel und deren Beweiskraft, einschließlich der Ermittlungsmaßnahmen, zu bestimmen.

Viertens stelle der Umstand, dass der Verstoß gegen die Verordnung von einem Dritten begangen worden sei, für sich genommen keinen Grund dar, den Verantwortlichen von der Haftung zu befreien. Für eine Haftungsbefreiung müsse der Verantwortliche mit hohem Beweisniveau nachweisen, dass er für den Umstand, durch den der Schaden eingetreten sei, in keinerlei Hinsicht verantwortlich sei. Bei der Haftung für die unrechtmäßige Verarbeitung personenbezogener Daten handele es sich nämlich um eine verschärfte Haftung für mutmaßliches Verschulden. Der Verantwortliche habe daher die Möglichkeit, einen Entlastungsbeweis vorzulegen.

Schließlich ist der Generalanwalt der Ansicht, dass der Schaden, der in der Befürchtung eines möglichen künftigen Missbrauchs der personenbezogenen Daten bestehe und dessen Vorhandensein die betroffene Person nachgewiesen habe, einen immateriellen Schaden darstellen könne, der einen Schadensersatzanspruch begründe. Dies gelte aber nur, wenn es sich um einen realen und sicheren emotionalen Schaden und nicht nur um ein Ärgernis oder eine Unannehmlichkeit handele.


Die vollständigen Schlussanträge finden Sie hier:

OLG Dresden: Juristische Personen haben keine Ansprüche nach der DSGVO - Wortlaut von Art. 4 Nr. 1 DSGVO und Erwägungsgrund 14 S. 2 DSGVO

OLG Dresden
Urteil vom 14.03.2023
4 U 1377/22


Das OLG Dresden hat entschieden, dass juristische Personen keine Ansprüche nach der DSGVO haben und verweist auf den Wortlaut von Art. 4 Nr. 1 DSGVO und Erwägungsgrund 14 S. 2 DSGVO.

Aus den Entscheidungsgründen:
Ansprüche nach der Europäischen Datenschutzgrundverordnung (DSGVO) hat das Landgericht im Ergebnis zutreffend verneint. Nach dem eindeutigen Wortlaut von Art. 4 Nr. 1 DSGVO können sich juristische Personen wie die Klägerin nicht auf die in der DSGVO enthaltenen Ansprüche berufen. Vielmehr betrifft der Schutz der dort genannten „personenbezogenen Daten“ nur Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person (“betroffene Person“) beziehen. Dass der Schutz der DSGVO sich nicht auf juristische Personen bezieht, ergibt sich in gleicher Weise aus Erwägungsgrund 14 S. 2 DSGVO, der klarstellt, dass der „durch diese Verordnung gewährte Schutz [...] für die Verarbeitung der personenbezogenen Daten natürlicher Personen ungeachtet ihrer Staatsangehörigkeit oder ihres Aufenthaltsorts gelten [soll]. Diese Verordnung gilt nicht für die Verarbeitung personenbezogener Daten juristischer Personen und insbesondere als juristische Person gegründeter Unternehmen, einschließlich Name, Rechtsform oder Kontaktdaten der juristischen Person.“. Ob etwas anderes gilt, wenn ein unmittelbar auf eine juristische Person bezogenes Datum zugleich eine natürliche Person betrifft, wie es zB bei der Ein-Personen-GmbH der Fall ist (so etwa Sydow/Marsch DS-GVO/BDSG/Ziebarth, 3. Aufl. 2022, DS GVO Art. 4 Rn. 13), kann dahinstehen. Vorliegend enthaltenen die streitgegenständlichen E-Mails zwar auch Daten, die den Geschäftsführer der Klägerin betreffen. Ansprüche macht die Klägerin jedoch allein im eigenen Namen geltend. Ob, wie die Klägerin meint, Artikel 6, 17 und 83 DSGVO Schutzgesetze im Sinne von § 823 Abs. 2 BGB bedarf hier daher schon deswegen keiner Entscheidung, weil eine mögliche Schutzwirkung sich allein auf natürliche Personen beziehen könnte.

2. Die Klägerin kann ihre Ansprüche auch nicht auf das Bundesdatenschutzgesetz stützen. Zwar stellt sie als juristische Person des privaten Rechts eine nichtöffentliche Stelle im Sinne von § 1 Abs. 1 Satz 2, § 2 Abs. 4 BDSG dar und ist damit Verpflichtete im Sinne des BDSG. Für nicht öffentliche Stellen gilt das Gesetz für die ganz oder teilweise automatisierte Verarbeitung personenbezogener Daten sowie die nicht automatisierte Verarbeitung personenbezogener Daten, die in einem Dateisystem gespeichert sind oder gespeichert werden sollen, es sei denn, die Verarbeitung durch natürliche Personen erfolgt zur Ausübung ausschließlich persönlicher oder familiärer Tätigkeiten, § 1 Abs. 1 Satz 2 BDSG. Der Umstand, dass die Klägerin als nicht-öffentliche Stelle verpflichtet ist, die von ihr erhobenen Daten ihrer Arbeitnehmer zu schützen, führt aber nicht zu einem eigenen - im BDSG nicht geregelten - Anspruch der Klägerin als juristische Person gegen einen Dritten. Unabhängig davon, dass die Vorschriften des BDSG gem. § 46 Nr. 1 BDSG ebenfalls nur den Schutz„personenbezogener Daten“, d.h. aller Informationen normieren, die sich auf eine identifizierte oder identifizierbare natürliche Person (betroffene Person) beziehen, enthält das BDSG keine Grundlage, aus der sich Ansprüche privater Arbeitgeber gegen private Dritte herleiten ließen. Die von der Klägerin für sich in Anspruch genommenen §§ 26, 42, 43 und 53 BDSG sind bereits tatbestandlich nicht einschlägig. § 26 BDSG schützt nicht die Klägerin als juristische Person, sondern die personenbezogenen Daten ihrer Beschäftigten und regelt,für welche Zwecke des Beschäftigungsverhältnisses personenbezogene Daten verarbeitetwerden dürfen. §§ 42 und 43 BDSG enthalten Straf- und Bußgeldvorschriften und stellen ebenfalls kein Schutzgesetz zu Gunsten der Klägerin dar. § 53 BDSG regelt, dass die mit der
Datenverarbeitung befassten Personen die personenbezogenen Daten nicht unbefugt verarbeiten dürfen.

3. Eine Anspruchsgrundlage folgt insofern auch nicht aus §§ 823 Abs. 2, 1004 Abs. 1 S. 2 BGB i.V.m. den Vorschriften des BDSG. Diese können zwar grundsätzlich Schutzgesetze im Sinne von § 823 Abs. 2 BGB darstellen, jedoch nur zugunsten des betroffenen Einzelnen (Grüneberg-Sprau, BGB, 82. Aufl. § 823 Rn 65). Das BDSG gilt in seinem Anwendungsbereich seit Inkrafttreten der DSGVO überdies nur ergänzend zu deren Vorschriften. Aufgrund der unmittelbaren Rechtsverbindlichkeit der DSGVO (Art. 288 Abs. 2 AEUV) und ihres Anwendungsvorrangs verbleibt dem nationalen Recht nunmehr nur dann ein Anwendungsbereich, wenn der sachliche Anwendungsbereich der DSGVO eingeschränkt ist oder wenn der europäische Gesetzgeber den Mitgliedstaaten durch eine Öffnungsklausel die Befugnis zur Konkretisierung der DSGVO oder Abweichung von ihren Regelungen eingeräumt hat.). Die Betroffenenrechte bei der Verletzung personenenbezogener Daten hat der Europäische Gesetzgeber aber in den Art. 12-22 DSGVO abschließend geregelt und hierbei juristische Personen ausdrücklich ausgenommen. Dieser Anwendungsvorrang würde indes unterlaufen, wenn man aus der Verpflichtung einer nichtöffentlichen Stelle in Verbindung mit §§ 823, 1004 BGB eine Anspruchsgrundlage zugunsten juristischer Personen ableiten würde, mit deren die Verarbeitung unternehmensbezogener Daten in datenschutzrechtlicher Hinsicht untersagt werden könnte.

4. Aufgrund dieser Sperrwirkung kann sich die Klägerin für die von ihr geltend gemachten Ansprüche auch nicht auf §§ 823 Abs. 1, 1004 Abs. 1 S. 2 BGB analog i.V.m. ihrem allgemeinen Persönlichkeitsrecht berufen. Grundsätzlich genießen allerdings auch juristische Personen des Privatrechtes zivilrechtlichen Persönlichkeitsschutz. Sie nehmen an diesem Recht insoweit teil, als sie aufgrund ihres Wesens und ihrer individuellen Funktion dieses Rechtsschutzes bedürfen; insbesondere ist dies der Fall, wenn sie in ihrem sozialen Geltungsanspruch als Arbeitgeber oder als Wirtschaftsunternehmen betroffen werden (vgl. Senat, Beschluss vom 16.01.2018 - 4 W 1066/17, Rn. 9 - juris; vgl. Sprau, in: Grüneberg, 82. Aufl., § 823 Rn. 91). Die Schutzdimensionen des allgemeinen Persönlichkeitsrechts sind indes einzelfallbezogen im Abgleich mit den Grundrechten Dritter zu bestimmen (BVerfG, Beschluss vom 6. November 2019 – 1 BvR 16/13 –, BVerfGE 152, 152-215, Rn. 81). Vom Schutzgehalt der Gewährleistung des Rechts auf informationelle Selbstbestimmung ist die Klägerin aber als juristische Person nicht umfasst; da dieser Schutzgehalt sich auch verfassungsrechtlich allein auf natürliche Personen (“den Schutz des Einzelnen“) bezieht, deren freie Entfaltung es sicherstellen will, indes keinen gesamthaften Schutzanspruch hinsichtlich jederlei Umgangs mit Informationen enthält (BVerfG, Beschluss vom 6. November 2019 - 1 BvR 16/13 Rn 84, 89 - Recht auf Vergessen 1). Ein darüber hinausgehender äußerungsrechtlicher Schutzgehalt, auf den sich auch juristische Personen berufen können, ist hier nicht ersichtlich. Bei den Mitteilungen in den E-Mails handelt es sich um Tatsachenbehauptungen, deren Wahrheitsgehalt nicht im Streit steht. Sie sind auch nicht ehrenrührig und geeignet, das unternehmerische Ansehen der Klägerin in der Öffentlichkeit zu beeinträchtigen.



OLG Celle: Kein Anspruch auf Löschung von Wohnort und Geburtsdatum eines GmbH-Geschäftsführers aus dem Handelsregister nach der DSGVO - § 10a Abs. 3 HGB mit DSGVO vereinbar

OLG Celle
Beschluss vom 24.02.2023
9 W 16/23


Das OLG Celle hat entschieden, dass kein Anspruch auf Löschung von Wohnort und Geburtsdatum eines GmbH-Geschäftsführers aus dem Handelsregister nach der DSGVO besteht. § 10a Abs. 3 HGB ist mit der DSGVO vereinbar

Aus den Entscheidungsgründen:

1. Für das Begehren des Antragstellers fehlt es an einer Rechtsgrundlage.

a) Soweit der Antragsteller sich auf Art. 17, 18 und 21 der Verordnung (EU) 2016/679 des Europäischen Parlaments und des Rates vom 27. April 2016 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten, zum freien Datenverkehr und zur Aufhebung der Richtlinie 95/46/EG (Datenschutz-Grundverordnung, im Folgenden: DSGVO) zu stützen sucht (vgl. Beschwerdebegründung vom 7. Februar 2023, dort S. 2, Bl. 59R d.A.), vermag er damit nicht durchzudringen.

aa) Ein Widerspruchsrecht nach Art. 21 Abs. 1 DSGVO steht dem Antragsteller gemäß § 10a Abs. 3 HGB nicht zu.

Dementsprechend ist auch Art. 18 Abs. 1 lit. d DSGVO nicht einschlägig, weil diese Bestimmung das Bestehen eines Widerspruchsrechts nach Art. 21 Abs. 1 DSGVO voraussetzt.

bb) Des Weiteren ergibt sich auch aus Art. 17 Abs. 1, Abs. 2 DSGVO kein Löschungsanspruch zugunsten des Antragstellers, weil diese Bestimmungen gemäß Art. 17 Abs. 3 lit. b DSGVO nicht gelten, soweit die Datenverarbeitung zur Erfüllung einer rechtlichen Verpflichtung, die die Verarbeitung nach dem Recht der Union oder der Mitgliedstaaten, dem der Verantwortliche unterliegt, erfordert, notwendig ist. Eben eine solche rechtliche Verpflichtung ist hier mit Blick auf § 387 Abs. 2 FamFG i.V.m. § 43 Nr. 4b HRV gegeben.

b) Auch auf § 395 FamFG vermag sich der Antragsteller nicht zu stützen. Denn die Aufnahme seines Geburtsdatums und seines Wohnorts in das Handelsregister war mit Blick auf § 387 Abs. 2 FamFG i.V.m. § 43 Nr. 4b HRV nicht unzulässig im Sinne dieser Bestimmung.

2. Zweifel an der Vereinbarkeit der dem Begehren des Antragstellers entgegenstehenden Bestimmung des § 10a Abs. 3 HGB mit Verfassungs- bzw. Europarecht hat der Senat weder generell noch bezogen auf den Streitfall.

a) Die in § 10a Abs. 3 HGB vorgenommene Einschränkung der Rechte aus § 21 DSGVO ist von Art. 23 Abs. 1 lit. e DSGVO gedeckt, wonach die Pflichten und Rechte gemäß den Art. 12 - 22 DSGVO zum Schutz sonstiger wichtiger Ziele des allgemeinen öffentlichen Interesses der Union oder eines Mitgliedstaates beschränkt werden können (vgl. Röhricht/Graf von Westphalen/Haas/Ries, HGB, 5. Aufl. 2019, § 10a Rn. 2; Staub/Koch/Harnos, HGB, 6. Aufl. 2023, § 10a Rn. 5 f.). Dazu zählen funktionsfähige und verlässliche öffentliche Register, die für die Sicherheit und Leichtigkeit des Rechtsverkehrs unerlässlich sind (vgl. BT-Drs. 18/12611, S. 67).

Vor diesem Hintergrund ist die Regelung des § 10a Abs. 3 HGB nach einhelliger Auffassung im Schrifttum, der sich der Senat anschließt, nicht zu beanstanden. Sie dient der Gewährleistung der Sicherheit und Leichtigkeit des Registerverkehrs (vgl. Krafka, Registerrecht, 11. Aufl. 2019, Rn. 74a); ein Widerspruch gegen die Datenverarbeitung wäre mit den Publizitätsanforderungen des öffentlichen Registers nicht in Einklang zu bringen (vgl. MünchKomm/Krafka, HGB, 5. Aufl. 2021, § 10a Rn. 12; BeckOK/Müther, HGB, 39. Edition, Stand: 15. Januar 2023, § 10a Rn. 4; Oetker/Preuß, HGB, 7. Aufl. 2021, § 10a Rn. 7).

b) Dass das öffentliche Interesse an der Führung des Handelsregisters im Streitfall durch das Interesse des Antragstellers an einer Geheimhaltung seines Geburtsdatums und seines Wohnorts überwogen würde, ist weder hinreichend vorgetragen noch sonst ersichtlich.

aa) Ein derart überwiegendes Interesse folgt insbesondere nicht aus den vom Antragsteller in Bezug genommenen, ihn betreffenden verwaltungsgerichtlichen Entscheidungen. Denn bei Auskünften aus dem Fahrzeugregister, die diese Entscheidungen zum Gegenstand haben, sind andere, deutlich weitergehende persönliche Daten als nur die - hier allein in Rede stehenden - Angaben zum Geburtsdatum und Wohnort betroffen (vgl. § 33 StVG).

bb) Des Weiteren ist, eine tatsächliche Gefährdung des Antragstellers - die er über allgemeine Angaben hinaus nicht konkretisiert hat - zu dessen Gunsten unterstellt, auch weder vorgetragen noch ersichtlich, in welcher Weise eine solche Gefährdung durch die Einsehbarkeit von Geburtsdatum und Wohnort im Handelsregister verursacht oder erhöht werden soll. Soweit es die Nennung des Wohnorts betrifft, ist insbesondere zu berücksichtigen, dass eine genaue Adressangabe nicht erfolgt und ein Ansatzpunkt zum Auffinden des Antragstellers auch bereits mit der Nennung der Geschäftsanschrift der betroffenen Gesellschaft gegeben ist, deren Löschung der Antragsteller indes nicht begehrt.

3. Vermag der Antragsteller sein Begehren nach alldem schon mangels einer dies tragenden Rechtsgrundlage im Registerverfahren nicht durchzusetzen, hat der Senat mit Blick auf den Verweis des Antragstellers auf die mit dem Gesetz zur Umsetzung der Digitalisierungsrichtlinie vom 5. Juli 2021 (DiRUG) jedermann eröffnete Möglichkeit zur kostenfreien Einsichtnahme in das Handelsregister erwogen, inwieweit ein aus Rechtsnormen außerhalb des Registerverfahrens und datenschutzrechtlicher Bestimmungen, beispielsweise §§ 823, 839 BGB oder § 1004 BGB (analog), folgender Anspruch wegen Verfehlung datenschutzrechtlicher Vorgaben durch das DiRUG bestehen könnte.

a) Insoweit ist der Senat jedoch der Auffassung, dass die Prüfung eines etwaigen solchen Anspruchs nicht im Registerverfahren zu erfolgen hat. Das formalisierte Registerverfahren dient der korrekten Führung des Handelsregisters, zielt aber weder auf die inzidente Prüfung der dafür bestehenden Vorgaben noch gar auf die Behebung von dem Gesetzgeber etwa unterlaufenen Auslassungen beispielsweise im Hinblick auf datenschutzrechtliche Belange. Dies hat umso mehr zu gelten, als die Registergerichte nicht ihrerseits durch (Teil-) Löschungen von Einträgen in Einzelfällen womögliche, aus gesetzlichen Vorgaben resultierende generelle Probleme zu lösen in der Lage wären.

b) Im Übrigen bleibt der die Einschränkung datenschutzrechtlicher Ansprüche rechtfertigende Zweck des § 10a Abs. 3 HGB, der als solcher nicht zu beanstanden ist (s.o.), durch das DiRUG unangetastet. Dass allein die Möglichkeit zur kostenfreien Einsichtnahme in das Handelsregister eine Höherbewertung des Interesses am Schutz persönlicher Daten gebieten und einer Beschränkung der Rechte aus § 21 DSGVO durch § 10a Abs. 3 HGB entgegenstehen würde, vermag der Senat nicht zu erkennen.


Den Volltext der Entscheidung finden Sie hier:

EuGH: Videokonferenz-Livestream des öffentlichen Schulunterrichts fällt in den sachlichen Anwendungsbereich der DSGVO - Online-Unterricht

EuGH
Urteil vom 30.03.2023
C-34/21
Hauptpersonalrat der Lehrerinnen und Lehrer beim Hessischen Kultusministerium
gegen
Minister des Hessischen Kultusministeriums


Der EuGH hat entschieden, dass der Videokonferenz-Livestream des öffentlichen Schulunterrichts in den sachlichen Anwendungsbereich der DSGVO fällt.

Der Tenor der Entscheidung:
1. Art. 88 der Verordnung (EU) 2016/679 des Europäischen Parlaments und des Rates vom 27. April 2016 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten, zum freien Datenverkehr und zur Aufhebung der Richtlinie 95/46/EG (Datenschutz-Grundverordnung) ist dahin auszulegen, dass eine nationale Rechtsvorschrift keine „spezifischere Vorschrift“ im Sinne von Abs. 1 dieses Artikels sein kann, wenn sie nicht die Vorgaben von Abs. 2 dieses Artikels erfüllt.

2. Art. 88 Abs. 1 und 2 der Verordnung 2016/679 ist dahin auszulegen, dass nationale Rechtsvorschriften zur Gewährleistung des Schutzes der Rechte und Freiheiten von Beschäftigten hinsichtlich der Verarbeitung ihrer personenbezogenen Daten im Beschäftigungskontext unangewendet bleiben müssen, wenn sie nicht die in ebendiesem Art. 88 Abs. 1 und 2 vorgegebenen Voraussetzungen und Grenzen beachten, es sei denn, sie stellen eine Rechtsgrundlage im Sinne von Art. 6 Abs. 3 DSGVO dar, die den Anforderungen dieser Verordnung genügt.

Die Pressemitteilung des EuGH:
Der Videokonferenz-Livestream des öffentlichen Schulunterrichts fällt unter die DSGVO

Der Minister des Hessischen Kultusministeriums legte im Jahr 2020 mit zwei Erlassen den rechtlichen und organisatorischen Rahmen des Schulunterrichts während der COVID-19-Pandemie fest. Mit diesem Rahmen wurde insbesondere für Schüler, die nicht am Präsenzunterricht teilnehmen konnten, die Möglichkeit eingerichtet, am Unterricht per Videokonferenz-Livestream teilzunehmen. Zur Wahrung der Rechte der Schüler im Bereich des Schutzes personenbezogener Daten wurde festgelegt, dass die Zuschaltung zum Videokonferenzdienst nur mit der Einwilligung der Schüler selbst oder – bei Minderjährigen – ihrer Eltern zulässig ist. Dagegen war die Einwilligung der betroffenen Lehrkräfte zu ihrer Teilnahme an dem Videokonferenzdienst nicht vorgesehen.

Der Hauptpersonalrat der Lehrerinnen und Lehrer beim Hessischen Kultusministerium hat Klage gegen den für diese Fragen zuständigen Minister erhoben und gerügt, dass es für den Livestreamunterricht per Videokonferenz, wie er in der nationalen Regelung vorgesehen sei, nicht der Einwilligung der betroffenen Lehrkräfte bedurfte. Der Minister hat geltend gemacht, dass die Verarbeitung personenbezogener Daten beim Livestreamunterricht per Videokonferenz von der nationalen Regelung gedeckt sei, so dass sie ohne Einholung der Einwilligung der betroffenen Lehrkräfte erfolgen könne.

Das zuständige Verwaltungsgericht hat dazu ausgeführt, dass nach dem Willen des hessischen Landesgesetzgebers die nationale Regelung, auf deren Grundlage die Verarbeitung personenbezogener Daten von Lehrkräften erfolge, in die Kategorie der „spezifischeren Vorschriften“ falle, die die Mitgliedstaaten gemäß Art. 88 Abs. 1 der Datenschutz-Grundverordnung1 zur Gewährleistung des Schutzes der Rechte und Freiheiten von Beschäftigten hinsichtlich der Verarbeitung ihrer personenbezogenen Daten im Beschäftigungskontext vorsehen könnten2. Dieses Gericht hatte jedoch Zweifel an der Vereinbarkeit dieser Regelung mit den Voraussetzungen des Art. 88 Abs. 2 DSGVO3. Es hat den Gerichtshof daher um eine Vorabentscheidung ersucht.

Mit seinem Urteil entscheidet der Gerichtshof, dass eine nationale Rechtsvorschrift keine „spezifischere Vorschrift“ im Sinne von Art. 88 Abs. 1 DSGVO sein kann, wenn sie nicht die Vorgaben von Abs. 2 dieses Artikels erfüllt. Der Gerichtshof stellt überdies klar, dass nationale Rechtsvorschriften zur Gewährleistung des Schutzes der Rechte und Freiheiten von Beschäftigten hinsichtlich der Verarbeitung ihrer personenbezogenen Daten im Beschäftigungskontext unangewendet bleiben müssen, wenn sie nicht die in Art. 88 Abs. 1 und 2 DSGVO vorgegebenen Voraussetzungen und Grenzen beachten, es sei denn, die in Rede stehenden Rechtsvorschriften stellen eine Rechtsgrundlage für die Verarbeitung im Sinne eines anderen Artikels der DSGVO dar, die den Anforderungen dieser Verordnung genügt.

Würdigung durch den Gerichtshof

Zunächst stellt der Gerichtshof fest, dass die Verarbeitung personenbezogener Daten von Lehrkräften beim Videokonferenz-Livestream des von ihnen erteilten öffentlichen Schulunterrichts in den sachlichen Anwendungsbereich der DSGVO fällt. Er stellt sodann klar, dass diese Verarbeitung der personenbezogenen Daten von Lehrkräften, die als Angestellte oder Beamte im öffentlichen Dienst des Landes Hessen stehen, in den persönlichen Anwendungsbereich des Art. 88 DSGVO fällt, der auf die Verarbeitung personenbezogener Beschäftigtendaten im Beschäftigungskontext abstellt.

In einem ersten Schritt befasst sich der Gerichtshof mit der Frage, ob eine „spezifischere Vorschrift“ im Sinne von Art. 88 Abs. 1 DSGVO die Vorgaben des Art. 88 Abs. 2 DSGVO erfüllen muss. Aus der Verwendung des Ausdrucks „spezifischere“ im Wortlaut von Art. 88 Abs. 1 DSGVO ergibt sich, dass die Vorschriften im Sinne dieser Bestimmung einen zu dem geregelten Bereich passenden Regelungsgehalt haben müssen, der sich von den allgemeinen Regeln der DSGVO unterscheidet. Ferner ergibt sich aus dem Wortlaut von Art. 88 DSGVO, dass dessen Abs. 2 dem Ermessen der Mitgliedstaaten, die den Erlass „spezifischerer Vorschriften“ nach Abs. 1 dieses Artikels beabsichtigen, einen Rahmen setzt. So dürfen sich diese Vorschriften zum einen nicht auf eine Wiederholung der Bestimmungen der DSGVO beschränken, die die Bedingungen für die Rechtmäßigkeit der Verarbeitung personenbezogener Daten und die Grundsätze für diese Verarbeitung vorsehen5 oder auf diese Bedingungen und Grundsätze verweisen. Sie müssen auf den Schutz der Rechte und Freiheiten der Beschäftigten hinsichtlich der Verarbeitung ihrer personenbezogenen Daten abzielen und geeignete und besondere Maßnahmen zur Wahrung der menschlichen Würde, der berechtigten Interessen und der Grundrechte der betroffenen Person umfassen. Zum anderen ist dabei insbesondere im Hinblick auf die Transparenz der Verarbeitung, die Übermittlung personenbezogener Daten innerhalb einer Unternehmensgruppe oder einer Gruppe von Unternehmen, die eine gemeinsame Wirtschaftstätigkeit ausüben, und die Überwachungssysteme am Arbeitsplatz vorzugehen. Um als „spezifischere Vorschrift“ im Sinne von Art. 88 Abs. 1 DSGVO eingestuft werden zu können, muss eine Rechtsvorschrift folglich die Vorgaben des Art. 88 Abs. 2 DSGVO erfüllen.

In einem zweiten Schritt erläutert der Gerichtshof die Folgen der Feststellung, dass die in Rede stehenden nationalen Bestimmungen nicht mit den in Art. 88 Abs. 1 und 2 DSGVO vorgesehenen Voraussetzungen und Grenzen vereinbar sind.

Der Gerichtshof weist darauf hin, dass es Sache des für die Auslegung des nationalen Rechts allein zuständigen vorlegenden Gerichts ist, zu beurteilen, ob die in Rede stehenden nationalen Bestimmungen die in Art. 88 DSGVO vorgegebenen Voraussetzungen und Grenzen beachten. Die nationalen Bestimmungen, die die Verarbeitung personenbezogener Beschäftigtendaten davon abhängig machen, dass diese zu bestimmten Zwecken im Zusammenhang mit der Durchführung eines Beschäftigungs- bzw. Dienstverhältnisses erforderlich sein muss, scheinen jedoch die bereits in der DSGVO aufgestellte Bedingung für die allgemeine Rechtmäßigkeit zu wiederholen, ohne eine spezifischere Vorschrift im Sinne von Art 88 Abs. 1 DSGVO hinzuzufügen. Sollte das vorlegende Gericht zu der Feststellung gelangen, dass bei den nationalen Bestimmungen die in Art. 88 DSGVO vorgegebenen Voraussetzungen und Grenzen nicht beachtet sind, hätte es diese Bestimmungen grundsätzlich unangewendet zu lassen. Nach dem Grundsatz des Vorrangs des Unionsrechts wird nämlich in Ermangelung spezifischerer Vorschriften, die die in Art. 88 DSGVO vorgegebenen Voraussetzungen und Grenzen beachten, die Verarbeitung personenbezogener Daten im Beschäftigungskontext sowohl im privaten als auch im öffentlichen Sektor unmittelbar durch die Bestimmungen der DSGVO geregelt.

nsoweit weist der Gerichtshof darauf hin, dass auf eine Verarbeitung personenbezogener Daten wie der hier vorliegenden andere Bestimmungen der DSGVO Anwendung finden können, wonach die Verarbeitung personenbezogener Daten rechtmäßig ist, wenn sie zur Erfüllung einer rechtlichen Verpflichtung erforderlich ist, der der Verantwortliche unterliegt, oder für die Wahrnehmung einer Aufgabe erforderlich ist, die im öffentlichen Interesse liegt oder in Ausübung öffentlicher Gewalt erfolgt, die dem Verantwortlichen übertragen wurde. In Bezug auf diese beiden Annahmen der Rechtmäßigkeit sieht die DSGVO zum einen vor, dass die Verarbeitung auf dem Unionsrecht oder dem Recht des Mitgliedstaats, dem der Verantwortliche unterliegt, gründen muss und zum anderen der Zweck der Verarbeitung in dieser Rechtsgrundlage festgelegt oder für die Erfüllung einer Aufgabe erforderlich ist, die im öffentlichen Interesse liegt oder in Ausübung öffentlicher Gewalt erfolgt, die dem Verantwortlichen übertragen wurde.

Gelangt das vorlegende Gericht zu der Feststellung, dass bei den nationalen Bestimmungen über die Verarbeitung personenbezogener Daten im Beschäftigungskontext die in Art. 88 Abs. 1 und 2 DSGVO vorgegebenen Voraussetzungen und Grenzen nicht beachtet sind, muss es folglich noch prüfen, ob diese Bestimmungen eine Rechtsgrundlage für die Verarbeitung nach einem anderen Artikel der DSGVO darstellen, die den Anforderungen dieser Verordnung genügt. Ist dies der Fall, darf die Anwendung dieser nationalen Vorschriften nicht ausgeschlossen werden.


Den Volltext der Entscheidung finden Sie hier:


BGH: Aussetzung des Verfahrens hinsichtlich Löschung der Restschuldbefreiung aus Schufa-Datenbank bis EuGH Vorgaben der DSGVO geklärt hat

BGH
Beschluss vom 27.03.2023
VI ZR 225/21


Der BGH hat das Verfahren hinsichtlich der Frist zur Löschung der Restschuldbefreiung aus der Schufa-Datenbank ausgesetzt, bis der EuGH in einem anderen Verfahren die streitrelaventen Vorgaben der DSGVO geklärt hat.

Die Pressemitteilung des BGH:
Aussetzung des Verfahrens in Sachen VI ZR 225/21 (Löschung der Eintragung über die Erteilung der Restschuldbefreiung im Insolvenzverfahren in einer Datenbank der Schufa)

Der unter anderem für Ansprüche nach der EU-Datenschutzgrundverordnung und dem Bundesdatenschutzgesetz zuständige VI. Zivilsenat des Bundesgerichtshofes hat darüber zu entscheiden, ob ein Schuldner, dem vom Insolvenzgericht Restschuldbefreiung erteilt worden ist, von der Schufa die Löschung dieser Information in ihrer Datenbank grundsätzlich oder jedenfalls dann verlangen kann, wenn die Frist für die Speicherung dieser Information im öffentlichen bundesweiten Insolvenzportal abgelaufen ist (vgl. im Einzelnen Pressemitteilung Nr. 26/2023 vom 9.2.2023).

Mit Beschluss vom heutigen Tag hat der VI. Zivilsenat das Verfahren bis zu der Entscheidung des Gerichtshofs der Europäischen Union in den dort anhängigen (verbundenen) Verfahren C-26/22 und C-64/22 ausgesetzt.

Vorinstanzen:

LG Kiel - 2 O 10/21 – Urteil vom 12. Februar 2021

OLG Schleswig - 17 U 15/21 – Urteil vom 2. Juli 2021