Das OLG Dresden hat entschieden, dass juristische Personen keine Ansprüche nach der DSGVO haben und verweist auf den Wortlaut von Art. 4 Nr. 1 DSGVO und Erwägungsgrund 14 S. 2 DSGVO.
Aus den Entscheidungsgründen: Ansprüche nach der Europäischen Datenschutzgrundverordnung (DSGVO) hat das Landgericht im Ergebnis zutreffend verneint. Nach dem eindeutigen Wortlaut von Art. 4 Nr. 1 DSGVO können sich juristische Personen wie die Klägerin nicht auf die in der DSGVO enthaltenen Ansprüche berufen. Vielmehr betrifft der Schutz der dort genannten „personenbezogenen Daten“ nur Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person (“betroffene Person“) beziehen. Dass der Schutz der DSGVO sich nicht auf juristische Personen bezieht, ergibt sich in gleicher Weise aus Erwägungsgrund 14 S. 2 DSGVO, der klarstellt, dass der „durch diese Verordnung gewährte Schutz [...] für die Verarbeitung der personenbezogenen Daten natürlicher Personen ungeachtet ihrer Staatsangehörigkeit oder ihres Aufenthaltsorts gelten [soll]. Diese Verordnung gilt nicht für die Verarbeitung personenbezogener Daten juristischer Personen und insbesondere als juristische Person gegründeter Unternehmen, einschließlich Name, Rechtsform oder Kontaktdaten der juristischen Person.“. Ob etwas anderes gilt, wenn ein unmittelbar auf eine juristische Person bezogenes Datum zugleich eine natürliche Person betrifft, wie es zB bei der Ein-Personen-GmbH der Fall ist (so etwa Sydow/Marsch DS-GVO/BDSG/Ziebarth, 3. Aufl. 2022, DS GVO Art. 4 Rn. 13), kann dahinstehen. Vorliegend enthaltenen die streitgegenständlichen E-Mails zwar auch Daten, die den Geschäftsführer der Klägerin betreffen. Ansprüche macht die Klägerin jedoch allein im eigenen Namen geltend. Ob, wie die Klägerin meint, Artikel 6, 17 und 83 DSGVO Schutzgesetze im Sinne von § 823 Abs. 2 BGB bedarf hier daher schon deswegen keiner Entscheidung, weil eine mögliche Schutzwirkung sich allein auf natürliche Personen beziehen könnte.
2. Die Klägerin kann ihre Ansprüche auch nicht auf das Bundesdatenschutzgesetz stützen. Zwar stellt sie als juristische Person des privaten Rechts eine nichtöffentliche Stelle im Sinne von § 1 Abs. 1 Satz 2, § 2 Abs. 4 BDSG dar und ist damit Verpflichtete im Sinne des BDSG. Für nicht öffentliche Stellen gilt das Gesetz für die ganz oder teilweise automatisierte Verarbeitung personenbezogener Daten sowie die nicht automatisierte Verarbeitung personenbezogener Daten, die in einem Dateisystem gespeichert sind oder gespeichert werden sollen, es sei denn, die Verarbeitung durch natürliche Personen erfolgt zur Ausübung ausschließlich persönlicher oder familiärer Tätigkeiten, § 1 Abs. 1 Satz 2 BDSG. Der Umstand, dass die Klägerin als nicht-öffentliche Stelle verpflichtet ist, die von ihr erhobenen Daten ihrer Arbeitnehmer zu schützen, führt aber nicht zu einem eigenen - im BDSG nicht geregelten - Anspruch der Klägerin als juristische Person gegen einen Dritten. Unabhängig davon, dass die Vorschriften des BDSG gem. § 46 Nr. 1 BDSG ebenfalls nur den Schutz„personenbezogener Daten“, d.h. aller Informationen normieren, die sich auf eine identifizierte oder identifizierbare natürliche Person (betroffene Person) beziehen, enthält das BDSG keine Grundlage, aus der sich Ansprüche privater Arbeitgeber gegen private Dritte herleiten ließen. Die von der Klägerin für sich in Anspruch genommenen §§ 26, 42, 43 und 53 BDSG sind bereits tatbestandlich nicht einschlägig. § 26 BDSG schützt nicht die Klägerin als juristische Person, sondern die personenbezogenen Daten ihrer Beschäftigten und regelt,für welche Zwecke des Beschäftigungsverhältnisses personenbezogene Daten verarbeitetwerden dürfen. §§ 42 und 43 BDSG enthalten Straf- und Bußgeldvorschriften und stellen ebenfalls kein Schutzgesetz zu Gunsten der Klägerin dar. § 53 BDSG regelt, dass die mit der
Datenverarbeitung befassten Personen die personenbezogenen Daten nicht unbefugt verarbeiten dürfen.
3. Eine Anspruchsgrundlage folgt insofern auch nicht aus §§ 823 Abs. 2, 1004 Abs. 1 S. 2 BGB i.V.m. den Vorschriften des BDSG. Diese können zwar grundsätzlich Schutzgesetze im Sinne von § 823 Abs. 2 BGB darstellen, jedoch nur zugunsten des betroffenen Einzelnen (Grüneberg-Sprau, BGB, 82. Aufl. § 823 Rn 65). Das BDSG gilt in seinem Anwendungsbereich seit Inkrafttreten der DSGVO überdies nur ergänzend zu deren Vorschriften. Aufgrund der unmittelbaren Rechtsverbindlichkeit der DSGVO (Art. 288 Abs. 2 AEUV) und ihres Anwendungsvorrangs verbleibt dem nationalen Recht nunmehr nur dann ein Anwendungsbereich, wenn der sachliche Anwendungsbereich der DSGVO eingeschränkt ist oder wenn der europäische Gesetzgeber den Mitgliedstaaten durch eine Öffnungsklausel die Befugnis zur Konkretisierung der DSGVO oder Abweichung von ihren Regelungen eingeräumt hat.). Die Betroffenenrechte bei der Verletzung personenenbezogener Daten hat der Europäische Gesetzgeber aber in den Art. 12-22 DSGVO abschließend geregelt und hierbei juristische Personen ausdrücklich ausgenommen. Dieser Anwendungsvorrang würde indes unterlaufen, wenn man aus der Verpflichtung einer nichtöffentlichen Stelle in Verbindung mit §§ 823, 1004 BGB eine Anspruchsgrundlage zugunsten juristischer Personen ableiten würde, mit deren die Verarbeitung unternehmensbezogener Daten in datenschutzrechtlicher Hinsicht untersagt werden könnte.
4. Aufgrund dieser Sperrwirkung kann sich die Klägerin für die von ihr geltend gemachten Ansprüche auch nicht auf §§ 823 Abs. 1, 1004 Abs. 1 S. 2 BGB analog i.V.m. ihrem allgemeinen Persönlichkeitsrecht berufen. Grundsätzlich genießen allerdings auch juristische Personen des Privatrechtes zivilrechtlichen Persönlichkeitsschutz. Sie nehmen an diesem Recht insoweit teil, als sie aufgrund ihres Wesens und ihrer individuellen Funktion dieses Rechtsschutzes bedürfen; insbesondere ist dies der Fall, wenn sie in ihrem sozialen Geltungsanspruch als Arbeitgeber oder als Wirtschaftsunternehmen betroffen werden (vgl. Senat, Beschluss vom 16.01.2018 - 4 W 1066/17, Rn. 9 - juris; vgl. Sprau, in: Grüneberg, 82. Aufl., § 823 Rn. 91). Die Schutzdimensionen des allgemeinen Persönlichkeitsrechts sind indes einzelfallbezogen im Abgleich mit den Grundrechten Dritter zu bestimmen (BVerfG, Beschluss vom 6. November 2019 – 1 BvR 16/13 –, BVerfGE 152, 152-215, Rn. 81). Vom Schutzgehalt der Gewährleistung des Rechts auf informationelle Selbstbestimmung ist die Klägerin aber als juristische Person nicht umfasst; da dieser Schutzgehalt sich auch verfassungsrechtlich allein auf natürliche Personen (“den Schutz des Einzelnen“) bezieht, deren freie Entfaltung es sicherstellen will, indes keinen gesamthaften Schutzanspruch hinsichtlich jederlei Umgangs mit Informationen enthält (BVerfG, Beschluss vom 6. November 2019 - 1 BvR 16/13 Rn 84, 89 - Recht auf Vergessen 1). Ein darüber hinausgehender äußerungsrechtlicher Schutzgehalt, auf den sich auch juristische Personen berufen können, ist hier nicht ersichtlich. Bei den Mitteilungen in den E-Mails handelt es sich um Tatsachenbehauptungen, deren Wahrheitsgehalt nicht im Streit steht. Sie sind auch nicht ehrenrührig und geeignet, das unternehmerische Ansehen der Klägerin in der Öffentlichkeit zu beeinträchtigen.
Das OLG Celle hat entschieden, dass kein Anspruch auf Löschung von Wohnort und Geburtsdatum eines GmbH-Geschäftsführers aus dem Handelsregister nach der DSGVO besteht. § 10a Abs. 3 HGB ist mit der DSGVO vereinbar
Aus den Entscheidungsgründen:
1. Für das Begehren des Antragstellers fehlt es an einer Rechtsgrundlage.
a) Soweit der Antragsteller sich auf Art. 17, 18 und 21 der Verordnung (EU) 2016/679 des Europäischen Parlaments und des Rates vom 27. April 2016 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten, zum freien Datenverkehr und zur Aufhebung der Richtlinie 95/46/EG (Datenschutz-Grundverordnung, im Folgenden: DSGVO) zu stützen sucht (vgl. Beschwerdebegründung vom 7. Februar 2023, dort S. 2, Bl. 59R d.A.), vermag er damit nicht durchzudringen.
aa) Ein Widerspruchsrecht nach Art. 21 Abs. 1 DSGVO steht dem Antragsteller gemäß § 10a Abs. 3 HGB nicht zu.
Dementsprechend ist auch Art. 18 Abs. 1 lit. d DSGVO nicht einschlägig, weil diese Bestimmung das Bestehen eines Widerspruchsrechts nach Art. 21 Abs. 1 DSGVO voraussetzt.
bb) Des Weiteren ergibt sich auch aus Art. 17 Abs. 1, Abs. 2 DSGVO kein Löschungsanspruch zugunsten des Antragstellers, weil diese Bestimmungen gemäß Art. 17 Abs. 3 lit. b DSGVO nicht gelten, soweit die Datenverarbeitung zur Erfüllung einer rechtlichen Verpflichtung, die die Verarbeitung nach dem Recht der Union oder der Mitgliedstaaten, dem der Verantwortliche unterliegt, erfordert, notwendig ist. Eben eine solche rechtliche Verpflichtung ist hier mit Blick auf § 387 Abs. 2 FamFG i.V.m. § 43 Nr. 4b HRV gegeben.
b) Auch auf § 395 FamFG vermag sich der Antragsteller nicht zu stützen. Denn die Aufnahme seines Geburtsdatums und seines Wohnorts in das Handelsregister war mit Blick auf § 387 Abs. 2 FamFG i.V.m. § 43 Nr. 4b HRV nicht unzulässig im Sinne dieser Bestimmung.
2. Zweifel an der Vereinbarkeit der dem Begehren des Antragstellers entgegenstehenden Bestimmung des § 10a Abs. 3 HGB mit Verfassungs- bzw. Europarecht hat der Senat weder generell noch bezogen auf den Streitfall.
a) Die in § 10a Abs. 3 HGB vorgenommene Einschränkung der Rechte aus § 21 DSGVO ist von Art. 23 Abs. 1 lit. e DSGVO gedeckt, wonach die Pflichten und Rechte gemäß den Art. 12 - 22 DSGVO zum Schutz sonstiger wichtiger Ziele des allgemeinen öffentlichen Interesses der Union oder eines Mitgliedstaates beschränkt werden können (vgl. Röhricht/Graf von Westphalen/Haas/Ries, HGB, 5. Aufl. 2019, § 10a Rn. 2; Staub/Koch/Harnos, HGB, 6. Aufl. 2023, § 10a Rn. 5 f.). Dazu zählen funktionsfähige und verlässliche öffentliche Register, die für die Sicherheit und Leichtigkeit des Rechtsverkehrs unerlässlich sind (vgl. BT-Drs. 18/12611, S. 67).
Vor diesem Hintergrund ist die Regelung des § 10a Abs. 3 HGB nach einhelliger Auffassung im Schrifttum, der sich der Senat anschließt, nicht zu beanstanden. Sie dient der Gewährleistung der Sicherheit und Leichtigkeit des Registerverkehrs (vgl. Krafka, Registerrecht, 11. Aufl. 2019, Rn. 74a); ein Widerspruch gegen die Datenverarbeitung wäre mit den Publizitätsanforderungen des öffentlichen Registers nicht in Einklang zu bringen (vgl. MünchKomm/Krafka, HGB, 5. Aufl. 2021, § 10a Rn. 12; BeckOK/Müther, HGB, 39. Edition, Stand: 15. Januar 2023, § 10a Rn. 4; Oetker/Preuß, HGB, 7. Aufl. 2021, § 10a Rn. 7).
b) Dass das öffentliche Interesse an der Führung des Handelsregisters im Streitfall durch das Interesse des Antragstellers an einer Geheimhaltung seines Geburtsdatums und seines Wohnorts überwogen würde, ist weder hinreichend vorgetragen noch sonst ersichtlich.
aa) Ein derart überwiegendes Interesse folgt insbesondere nicht aus den vom Antragsteller in Bezug genommenen, ihn betreffenden verwaltungsgerichtlichen Entscheidungen. Denn bei Auskünften aus dem Fahrzeugregister, die diese Entscheidungen zum Gegenstand haben, sind andere, deutlich weitergehende persönliche Daten als nur die - hier allein in Rede stehenden - Angaben zum Geburtsdatum und Wohnort betroffen (vgl. § 33 StVG).
bb) Des Weiteren ist, eine tatsächliche Gefährdung des Antragstellers - die er über allgemeine Angaben hinaus nicht konkretisiert hat - zu dessen Gunsten unterstellt, auch weder vorgetragen noch ersichtlich, in welcher Weise eine solche Gefährdung durch die Einsehbarkeit von Geburtsdatum und Wohnort im Handelsregister verursacht oder erhöht werden soll. Soweit es die Nennung des Wohnorts betrifft, ist insbesondere zu berücksichtigen, dass eine genaue Adressangabe nicht erfolgt und ein Ansatzpunkt zum Auffinden des Antragstellers auch bereits mit der Nennung der Geschäftsanschrift der betroffenen Gesellschaft gegeben ist, deren Löschung der Antragsteller indes nicht begehrt.
3. Vermag der Antragsteller sein Begehren nach alldem schon mangels einer dies tragenden Rechtsgrundlage im Registerverfahren nicht durchzusetzen, hat der Senat mit Blick auf den Verweis des Antragstellers auf die mit dem Gesetz zur Umsetzung der Digitalisierungsrichtlinie vom 5. Juli 2021 (DiRUG) jedermann eröffnete Möglichkeit zur kostenfreien Einsichtnahme in das Handelsregister erwogen, inwieweit ein aus Rechtsnormen außerhalb des Registerverfahrens und datenschutzrechtlicher Bestimmungen, beispielsweise §§ 823, 839 BGB oder § 1004 BGB (analog), folgender Anspruch wegen Verfehlung datenschutzrechtlicher Vorgaben durch das DiRUG bestehen könnte.
a) Insoweit ist der Senat jedoch der Auffassung, dass die Prüfung eines etwaigen solchen Anspruchs nicht im Registerverfahren zu erfolgen hat. Das formalisierte Registerverfahren dient der korrekten Führung des Handelsregisters, zielt aber weder auf die inzidente Prüfung der dafür bestehenden Vorgaben noch gar auf die Behebung von dem Gesetzgeber etwa unterlaufenen Auslassungen beispielsweise im Hinblick auf datenschutzrechtliche Belange. Dies hat umso mehr zu gelten, als die Registergerichte nicht ihrerseits durch (Teil-) Löschungen von Einträgen in Einzelfällen womögliche, aus gesetzlichen Vorgaben resultierende generelle Probleme zu lösen in der Lage wären.
b) Im Übrigen bleibt der die Einschränkung datenschutzrechtlicher Ansprüche rechtfertigende Zweck des § 10a Abs. 3 HGB, der als solcher nicht zu beanstanden ist (s.o.), durch das DiRUG unangetastet. Dass allein die Möglichkeit zur kostenfreien Einsichtnahme in das Handelsregister eine Höherbewertung des Interesses am Schutz persönlicher Daten gebieten und einer Beschränkung der Rechte aus § 21 DSGVO durch § 10a Abs. 3 HGB entgegenstehen würde, vermag der Senat nicht zu erkennen.
EuGH
Urteil vom 30.03.2023 C-34/21
Hauptpersonalrat der Lehrerinnen und Lehrer beim Hessischen Kultusministerium
gegen
Minister des Hessischen Kultusministeriums
Der EuGH hat entschieden, dass der Videokonferenz-Livestream des öffentlichen Schulunterrichts in den sachlichen Anwendungsbereich der DSGVO fällt.
Der Tenor der Entscheidung:
1. Art. 88 der Verordnung (EU) 2016/679 des Europäischen Parlaments und des Rates vom 27. April 2016 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten, zum freien Datenverkehr und zur Aufhebung der Richtlinie 95/46/EG (Datenschutz-Grundverordnung) ist dahin auszulegen, dass eine nationale Rechtsvorschrift keine „spezifischere Vorschrift“ im Sinne von Abs. 1 dieses Artikels sein kann, wenn sie nicht die Vorgaben von Abs. 2 dieses Artikels erfüllt.
2. Art. 88 Abs. 1 und 2 der Verordnung 2016/679 ist dahin auszulegen, dass nationale Rechtsvorschriften zur Gewährleistung des Schutzes der Rechte und Freiheiten von Beschäftigten hinsichtlich der Verarbeitung ihrer personenbezogenen Daten im Beschäftigungskontext unangewendet bleiben müssen, wenn sie nicht die in ebendiesem Art. 88 Abs. 1 und 2 vorgegebenen Voraussetzungen und Grenzen beachten, es sei denn, sie stellen eine Rechtsgrundlage im Sinne von Art. 6 Abs. 3 DSGVO dar, die den Anforderungen dieser Verordnung genügt.
Die Pressemitteilung des EuGH: Der Videokonferenz-Livestream des öffentlichen Schulunterrichts fällt unter die DSGVO
Der Minister des Hessischen Kultusministeriums legte im Jahr 2020 mit zwei Erlassen den rechtlichen und organisatorischen Rahmen des Schulunterrichts während der COVID-19-Pandemie fest. Mit diesem Rahmen wurde insbesondere für Schüler, die nicht am Präsenzunterricht teilnehmen konnten, die Möglichkeit eingerichtet, am Unterricht per Videokonferenz-Livestream teilzunehmen. Zur Wahrung der Rechte der Schüler im Bereich des Schutzes personenbezogener Daten wurde festgelegt, dass die Zuschaltung zum Videokonferenzdienst nur mit der Einwilligung der Schüler selbst oder – bei Minderjährigen – ihrer Eltern zulässig ist. Dagegen war die Einwilligung der betroffenen Lehrkräfte zu ihrer Teilnahme an dem Videokonferenzdienst nicht vorgesehen.
Der Hauptpersonalrat der Lehrerinnen und Lehrer beim Hessischen Kultusministerium hat Klage gegen den für diese Fragen zuständigen Minister erhoben und gerügt, dass es für den Livestreamunterricht per Videokonferenz, wie er in der nationalen Regelung vorgesehen sei, nicht der Einwilligung der betroffenen Lehrkräfte bedurfte. Der Minister hat geltend gemacht, dass die Verarbeitung personenbezogener Daten beim Livestreamunterricht per Videokonferenz von der nationalen Regelung gedeckt sei, so dass sie ohne Einholung der Einwilligung der betroffenen Lehrkräfte erfolgen könne.
Das zuständige Verwaltungsgericht hat dazu ausgeführt, dass nach dem Willen des hessischen Landesgesetzgebers die nationale Regelung, auf deren Grundlage die Verarbeitung personenbezogener Daten von Lehrkräften erfolge, in die Kategorie der „spezifischeren Vorschriften“ falle, die die Mitgliedstaaten gemäß Art. 88 Abs. 1 der Datenschutz-Grundverordnung1 zur Gewährleistung des Schutzes der Rechte und Freiheiten von Beschäftigten hinsichtlich der Verarbeitung ihrer personenbezogenen Daten im Beschäftigungskontext vorsehen könnten2. Dieses Gericht hatte jedoch Zweifel an der Vereinbarkeit dieser Regelung mit den Voraussetzungen des Art. 88 Abs. 2 DSGVO3. Es hat den Gerichtshof daher um eine Vorabentscheidung ersucht.
Mit seinem Urteil entscheidet der Gerichtshof, dass eine nationale Rechtsvorschrift keine „spezifischere Vorschrift“ im Sinne von Art. 88 Abs. 1 DSGVO sein kann, wenn sie nicht die Vorgaben von Abs. 2 dieses Artikels erfüllt. Der Gerichtshof stellt überdies klar, dass nationale Rechtsvorschriften zur Gewährleistung des Schutzes der Rechte und Freiheiten von Beschäftigten hinsichtlich der Verarbeitung ihrer personenbezogenen Daten im Beschäftigungskontext unangewendet bleiben müssen, wenn sie nicht die in Art. 88 Abs. 1 und 2 DSGVO vorgegebenen Voraussetzungen und Grenzen beachten, es sei denn, die in Rede stehenden Rechtsvorschriften stellen eine Rechtsgrundlage für die Verarbeitung im Sinne eines anderen Artikels der DSGVO dar, die den Anforderungen dieser Verordnung genügt.
Würdigung durch den Gerichtshof
Zunächst stellt der Gerichtshof fest, dass die Verarbeitung personenbezogener Daten von Lehrkräften beim Videokonferenz-Livestream des von ihnen erteilten öffentlichen Schulunterrichts in den sachlichen Anwendungsbereich der DSGVO fällt. Er stellt sodann klar, dass diese Verarbeitung der personenbezogenen Daten von Lehrkräften, die als Angestellte oder Beamte im öffentlichen Dienst des Landes Hessen stehen, in den persönlichen Anwendungsbereich des Art. 88 DSGVO fällt, der auf die Verarbeitung personenbezogener Beschäftigtendaten im Beschäftigungskontext abstellt.
In einem ersten Schritt befasst sich der Gerichtshof mit der Frage, ob eine „spezifischere Vorschrift“ im Sinne von Art. 88 Abs. 1 DSGVO die Vorgaben des Art. 88 Abs. 2 DSGVO erfüllen muss. Aus der Verwendung des Ausdrucks „spezifischere“ im Wortlaut von Art. 88 Abs. 1 DSGVO ergibt sich, dass die Vorschriften im Sinne dieser Bestimmung einen zu dem geregelten Bereich passenden Regelungsgehalt haben müssen, der sich von den allgemeinen Regeln der DSGVO unterscheidet. Ferner ergibt sich aus dem Wortlaut von Art. 88 DSGVO, dass dessen Abs. 2 dem Ermessen der Mitgliedstaaten, die den Erlass „spezifischerer Vorschriften“ nach Abs. 1 dieses Artikels beabsichtigen, einen Rahmen setzt. So dürfen sich diese Vorschriften zum einen nicht auf eine Wiederholung der Bestimmungen der DSGVO beschränken, die die Bedingungen für die Rechtmäßigkeit der Verarbeitung personenbezogener Daten und die Grundsätze für diese Verarbeitung vorsehen5 oder auf diese Bedingungen und Grundsätze verweisen. Sie müssen auf den Schutz der Rechte und Freiheiten der Beschäftigten hinsichtlich der Verarbeitung ihrer personenbezogenen Daten abzielen und geeignete und besondere Maßnahmen zur Wahrung der menschlichen Würde, der berechtigten Interessen und der Grundrechte der betroffenen Person umfassen. Zum anderen ist dabei insbesondere im Hinblick auf die Transparenz der Verarbeitung, die Übermittlung personenbezogener Daten innerhalb einer Unternehmensgruppe oder einer Gruppe von Unternehmen, die eine gemeinsame Wirtschaftstätigkeit ausüben, und die Überwachungssysteme am Arbeitsplatz vorzugehen. Um als „spezifischere Vorschrift“ im Sinne von Art. 88 Abs. 1 DSGVO eingestuft werden zu können, muss eine Rechtsvorschrift folglich die Vorgaben des Art. 88 Abs. 2 DSGVO erfüllen.
In einem zweiten Schritt erläutert der Gerichtshof die Folgen der Feststellung, dass die in Rede stehenden nationalen Bestimmungen nicht mit den in Art. 88 Abs. 1 und 2 DSGVO vorgesehenen Voraussetzungen und Grenzen vereinbar sind.
Der Gerichtshof weist darauf hin, dass es Sache des für die Auslegung des nationalen Rechts allein zuständigen vorlegenden Gerichts ist, zu beurteilen, ob die in Rede stehenden nationalen Bestimmungen die in Art. 88 DSGVO vorgegebenen Voraussetzungen und Grenzen beachten. Die nationalen Bestimmungen, die die Verarbeitung personenbezogener Beschäftigtendaten davon abhängig machen, dass diese zu bestimmten Zwecken im Zusammenhang mit der Durchführung eines Beschäftigungs- bzw. Dienstverhältnisses erforderlich sein muss, scheinen jedoch die bereits in der DSGVO aufgestellte Bedingung für die allgemeine Rechtmäßigkeit zu wiederholen, ohne eine spezifischere Vorschrift im Sinne von Art 88 Abs. 1 DSGVO hinzuzufügen. Sollte das vorlegende Gericht zu der Feststellung gelangen, dass bei den nationalen Bestimmungen die in Art. 88 DSGVO vorgegebenen Voraussetzungen und Grenzen nicht beachtet sind, hätte es diese Bestimmungen grundsätzlich unangewendet zu lassen. Nach dem Grundsatz des Vorrangs des Unionsrechts wird nämlich in Ermangelung spezifischerer Vorschriften, die die in Art. 88 DSGVO vorgegebenen Voraussetzungen und Grenzen beachten, die Verarbeitung personenbezogener Daten im Beschäftigungskontext sowohl im privaten als auch im öffentlichen Sektor unmittelbar durch die Bestimmungen der DSGVO geregelt.
nsoweit weist der Gerichtshof darauf hin, dass auf eine Verarbeitung personenbezogener Daten wie der hier vorliegenden andere Bestimmungen der DSGVO Anwendung finden können, wonach die Verarbeitung personenbezogener Daten rechtmäßig ist, wenn sie zur Erfüllung einer rechtlichen Verpflichtung erforderlich ist, der der Verantwortliche unterliegt, oder für die Wahrnehmung einer Aufgabe erforderlich ist, die im öffentlichen Interesse liegt oder in Ausübung öffentlicher Gewalt erfolgt, die dem Verantwortlichen übertragen wurde. In Bezug auf diese beiden Annahmen der Rechtmäßigkeit sieht die DSGVO zum einen vor, dass die Verarbeitung auf dem Unionsrecht oder dem Recht des Mitgliedstaats, dem der Verantwortliche unterliegt, gründen muss und zum anderen der Zweck der Verarbeitung in dieser Rechtsgrundlage festgelegt oder für die Erfüllung einer Aufgabe erforderlich ist, die im öffentlichen Interesse liegt oder in Ausübung öffentlicher Gewalt erfolgt, die dem Verantwortlichen übertragen wurde.
Gelangt das vorlegende Gericht zu der Feststellung, dass bei den nationalen Bestimmungen über die Verarbeitung personenbezogener Daten im Beschäftigungskontext die in Art. 88 Abs. 1 und 2 DSGVO vorgegebenen Voraussetzungen und Grenzen nicht beachtet sind, muss es folglich noch prüfen, ob diese Bestimmungen eine Rechtsgrundlage für die Verarbeitung nach einem anderen Artikel der DSGVO darstellen, die den Anforderungen dieser Verordnung genügt. Ist dies der Fall, darf die Anwendung dieser nationalen Vorschriften nicht ausgeschlossen werden.
Der BGH hat das Verfahren hinsichtlich der Frist zur Löschung der Restschuldbefreiung aus der Schufa-Datenbank ausgesetzt, bis der EuGH in einem anderen Verfahren die streitrelaventen Vorgaben der DSGVO geklärt hat.
Die Pressemitteilung des BGH: Aussetzung des Verfahrens in Sachen VI ZR 225/21 (Löschung der Eintragung über die Erteilung der Restschuldbefreiung im Insolvenzverfahren in einer Datenbank der Schufa)
Der unter anderem für Ansprüche nach der EU-Datenschutzgrundverordnung und dem Bundesdatenschutzgesetz zuständige VI. Zivilsenat des Bundesgerichtshofes hat darüber zu entscheiden, ob ein Schuldner, dem vom Insolvenzgericht Restschuldbefreiung erteilt worden ist, von der Schufa die Löschung dieser Information in ihrer Datenbank grundsätzlich oder jedenfalls dann verlangen kann, wenn die Frist für die Speicherung dieser Information im öffentlichen bundesweiten Insolvenzportal abgelaufen ist (vgl. im Einzelnen Pressemitteilung Nr. 26/2023 vom 9.2.2023).
Mit Beschluss vom heutigen Tag hat der VI. Zivilsenat das Verfahren bis zu der Entscheidung des Gerichtshofs der Europäischen Union in den dort anhängigen (verbundenen) Verfahren C-26/22 und C-64/22 ausgesetzt.
EuGH-Generalanwalt
Schlussanträge vom 16.03.2023 C-634/21 SCHUFA Holding u. a. (Scoring)
und den verbundenen Rechtssachen C-26/22 und C-64/22 SCHUFA Holding u. a. (Restschuldbefreiung)
Der EuGH-Generalanwalt kommt in seinen Schlussanträgen zu dem Ergebnis, dass das SCHUFA-Scoring Profiling im Sinne der DSGVO ist. Zudem äußert sich der EuGH-Generalanwalt zur Speicherung der Restschuldbefreiung über 6 Monate hinaus durch Wirtschaftsauskunfteien.
Die Pressemitteilung des EuGH: Generalanwalt Pikamäe: Die automatisierte Erstellung eines Wahrscheinlichkeitswerts über die Fähigkeit einer Person, einen Kredit zu bedienen, ist ein Profiling im Sinne der DSGVO
Rechtsverbindliche Beschlüsse einer datenschutzrechtlichen Aufsichtsbehörde müssten gerichtlich umfassend überprüfbar sein
Die Rechtssache C-634/21 betrifft einen Rechtsstreit zwischen einem Bürger und dem Land Hessen, vertreten durch den Hessischen Beauftragten für Datenschutz und Informationsfreiheit (im Folgenden: HBDI), hinsichtlich des Schutzes personenbezogener Daten. Im Rahmen ihrer wirtschaftlichen Tätigkeit, die darin besteht, ihre Kunden mit Auskünften über die Kreditwürdigkeit Dritter zu versorgen, lieferte die SCHUFA Holding AG einem Kreditinstitut einen Score-Wert in Bezug auf diesen Bürger. Dieser Score-Wert diente als Grundlage für die Verweigerung des von diesem Bürger beantragten Kredits. Der Bürger forderte daraufhin die SCHUFA auf, die darauf bezogene Eintragung zu löschen und ihm Zugang zu den entsprechenden Daten zu gewähren. Die SCHUFA teilte ihm jedoch nur den entsprechenden Score-Wert und in allgemeiner Form die der Methode zur Berechnung des Score-Wertes zugrunde liegenden Grundsätze mit. Sie erteilte ihm aber keine Auskunft darüber, welche konkreten Informationen in diese Berechnung eingeflossen waren und welche Bedeutung ihnen in diesem Zusammenhang beigemessen wurde und begründete dies damit, dass die Berechnungsmethode dem Geschäftsgeheimnis unterliege.
Soweit der betroffene Bürger geltend macht, dass die Ablehnung seines Ersuchens durch die SCHUFA gegen Datenschutzrecht verstoße, wird der Gerichtshof vom Verwaltungsgericht Wiesbaden ersucht, über die Beschränkungen zu entscheiden, die die Datenschutz-Grundverordnung (DSGVO) der wirtschaftlichen Tätigkeit von Auskunfteien im Finanzsektor, insbesondere bei der Datenverwaltung, auferlegt, sowie über die Bedeutung, die dem Geschäftsgeheimnis zuzuerkennen ist. Der Gerichtshof wird auch den Umfang der Regelungsbefugnisse zu präzisieren haben, die dem nationalen Gesetzgeber durch einige Bestimmungen der DSGVO abweichend von dem mit diesem Rechtsakt verfolgten allgemeinen Harmonisierungszweck übertragen werden.
In seinen Schlussanträgen führt Generalanwalt Priit Pikamäe zunächst aus, dass die DSGVO ein „Recht“ der betroffenen Person verankere, nicht einer ausschließlich auf einer automatisierten Verarbeitung – einschließlich Profiling – beruhenden Entscheidung unterworfen zu werden.
Der Generalanwalt stellt sodann fest, dass die Voraussetzungen, denen dieses Recht unterliege, erfüllt seien, da:
1. das fragliche Verfahren ein „Profiling“ darstelle,
2. die Entscheidung rechtliche Wirkungen gegenüber der betroffenen Person entfalte oder sie in ähnlicher Weise erheblich beeinträchtige und
3. davon auszugehen sei, dass die Entscheidung ausschließlich auf einer automatisierten Verarbeitung beruhe.
Die Bestimmung der DSGVO, in der dieses Recht vorgesehen sei, sei somit unter Umständen wie denen des Ausgangsverfahrens anwendbar.
Der Generalanwalt unterstreicht, dass die betroffene Person nach einer anderen Bestimmung der DSGVO das Recht habe, von dem für die Verarbeitung Verantwortlichen nicht nur die Bestätigung zu verlangen, ob sie betreffende personenbezogene Daten verarbeitet werden oder nicht, sondern auch andere Informationen wie das Bestehen einer automatisierten Entscheidungsfindung einschließlich Profiling, aussagekräftige Informationen über die involvierte Logik sowie die Tragweite und die angestrebten Auswirkungen einer derartigen Verarbeitung für die betroffene Person. Der Generalanwalt ist der Ansicht, dass die Verpflichtung, „aussagekräftige Informationen über die involvierte Logik“ bereitzustellen, dahin zu verstehen sei, dass sie hinreichend detaillierte Erläuterungen zur Methode für die Berechnung des Score-Wertes und zu den Gründen umfasst, die zu einem bestimmten Ergebnis geführt haben. Generell sollte der Verantwortliche der betroffenen Person allgemeine Informationen übermitteln, vor allem zu bei der Entscheidungsfindung berücksichtigten Faktoren und deren Gewichtung auf aggregierter Ebene, die der betroffenen Person auch für die Anfechtung von „Entscheidungen“ im Sinne der Bestimmung der DSGVO, in der das Recht verankert sei, nicht einer ausschließlich auf einer automatisierten Verarbeitung, einschließlich Profiling, beruhenden Entscheidung unterworfen zu werden, nützlich seien.
Der Generalanwalt kommt zu dem Schluss, dass diese Bestimmung dahin auszulegen sei, dass bereits die automatisierte Erstellung eines Wahrscheinlichkeitswerts über die Fähigkeit einer betroffenen Person, künftig einen Kredit zu bedienen, eine ausschließlich auf einer automatisierten Verarbeitung – einschließlich Profiling – beruhende Entscheidung darstelle, die der betroffenen Person gegenüber rechtliche Wirkung entfalte oder sie in ähnlicher Weise erheblich beeinträchtige, wenn dieser mittels personenbezogener Daten der betroffenen Person ermittelte Wert von dem Verantwortlichen an einen dritten Verantwortlichen übermittelt werde und jener Dritte nach ständiger Praxis diesen Wert seiner Entscheidung über die Begründung, Durchführung oder Beendigung eines Vertragsverhältnisses mit der betroffenen Person maßgeblich zugrunde lege.
Das Verwaltungsgericht Wiesbaden hat zwei weitere Vorabentscheidungsersuchen zur DSGVO vorgelegt (Rechtssachen C-26/22 und C-64/22). Diese Ersuchen ergehen im Rahmen von zwei Rechtsstreitigkeiten zwischen zwei Bürgern und dem Land Hessen, vertreten durch den HBDI, über Anträge dieser Bürger beim HBDI auf Löschung einer Eintragung betreffend eine Restschuldbefreiung bei der SCHUFA. Im Rahmen der diese Bürger betreffenden Insolvenzverfahren wurde ihnen mit gerichtlichen Beschlüssen eine vorzeitige Restschuldbefreiung erteilt. Dieser Umstand wurde im Internet amtlich veröffentlicht, und der Eintrag nach sechs Monaten gelöscht. Die SCHUFA speichert solche veröffentlichten Informationen über vorzeitige Restschuldbefreiungen in ihrem Datenbestand, löscht sie aber erst drei Jahre nach der Eintragung. Die vom nationalen Gericht gestellten Fragen betreffen unter anderem die Rechtsnatur der Entscheidung der mit einer Beschwerde befassten Aufsichtsbehörde sowie den Umfang der gerichtlichen Kontrolle, die das Gericht im Rahmen eines Rechtsbehelfs gegen eine solche Entscheidung ausüben kann. Die Rechtssachen betreffen auch die Frage der Rechtmäßigkeit der Speicherung personenbezogener Daten aus öffentlichen Registern bei Wirtschaftsauskunfteien.
In seinen Schlussanträgen weist Generalanwalt Pikamäe als Erstes darauf hin, dass sich die Rechtmäßigkeit der Verarbeitung aus einer Abwägung der verschiedenen betroffenen Interessen ergeben müsse, wobei die berechtigten Interessen des Verantwortlichen oder eines Dritten überwiegen müssten. Die Aufsichtsbehörde, die nach der DSGVO jede etwaige Beschwerde der betroffenen Person wegen Verletzung ihrer Grundrechte zu behandeln habe, habe zu prüfen, ob die Voraussetzungen für die Verarbeitung erfüllt seien. Sollte diese Person schließlich gemäß der DSGVO einen Rechtsbehelf gegen einen Beschluss der Aufsichtsbehörde einlegen, obliege es den nationalen Gerichten, eine wirksame gerichtliche Kontrolle sicherzustellen. Nach Ansicht des Generalanwalts unterliegt ein rechtsverbindlicher Beschluss einer Aufsichtsbehörde einer umfassenden gerichtlichen Kontrolle in der Sache, wodurch die Wirksamkeit des Rechtsbehelfs gewährleistet werde.
Als Zweites führt der Generalanwalt aus, dass die Verarbeitung personenbezogener Daten nach der DSGVO unter drei kumulativen Voraussetzungen zulässig sei:
- erstens müsse von dem für die Verarbeitung Verantwortlichen oder von dem oder den Dritten, denen die Daten übermittelt werden, ein berechtigtes Interesse wahrgenommen werden,
- zweitens müsse die Verarbeitung der personenbezogenen Daten zur Verwirklichung des berechtigten Interesses erforderlich sein und
- drittens dürften die Grundrechte und Grundfreiheiten der Person, deren Daten geschützt werden sollen, nicht überwiegen.
Herr Pikamäe merkt an, dass die erheblichen negativen Folgen, die die Speicherung der Daten für die betroffene Person nach Ablauf des fraglichen Zeitraums von sechs Monaten haben werde, gegenüber dem geschäftlichen Interesse des privaten Unternehmens und seiner Kunden an der Speicherung der Daten nach diesem Zeitraum zu überwiegen scheinen. In diesem Kontext sei hervorzuheben, dass die gewährte Restschuldbefreiung dem Begünstigten ermöglichen solle, sich erneut am Wirtschaftsleben zu beteiligen. Dieses Ziel würde jedoch vereitelt, wenn private Wirtschaftsauskunfteien berechtigt wären, personenbezogene Daten in ihren Datenbanken zu speichern, nachdem diese Daten aus dem öffentlichen Register gelöscht worden seien.
Der Generalanwalt kommt zu dem Schluss, dass die Speicherung der Daten durch eine private Wirtschaftsauskunftei nicht auf der Grundlage der Bestimmung der DSGVO, in der die oben genannten Voraussetzungen aufgeführt sind, rechtmäßig sein könne, wenn die personenbezogenen Daten über eine Insolvenz aus den öffentlichen Registern gelöscht worden seien. Was den Zeitraum von sechs Monaten betrifft, in dem die personenbezogenen Daten auch in öffentlichen Registern verfügbar seien, sei es Sache des vorlegenden Gerichts, die angeführten Interessen und Auswirkungen auf die betroffene Person gegeneinander abzuwägen, um festzustellen, ob die parallele Speicherung dieser Daten durch private Wirtschaftsauskunfteien auf dieser Grundlage rechtmäßig sei.
Als Drittes unterstreicht der Generalanwalt, dass die DSGVO vorsehe, dass die betroffene Person das Recht habe, zu verlangen, dass sie betreffende personenbezogene Daten gelöscht werden, wenn sie Widerspruch gegen die Verarbeitung einlege und wenn diese Daten unrechtmäßig verarbeitet worden seien. Nach Ansicht des Generalanwalts hat die betroffene Person in einem solchen Fall daher das Recht, von dem Verantwortlichen zu verlangen, dass sie betreffende personenbezogene Daten unverzüglich gelöscht werden. Es sei Sache des vorlegenden Gerichts, zu prüfen, ob es ausnahmsweise vorrangige berechtigte Gründe für die Verarbeitung gebe.
Der BGH hat ein Verfahren, in dem es um Auslegung von Art. 15 DSGVO geht, gemäß § 148 ZPO analog ausgesetzt, bis der EuGH die entscheidungserheblichen Fragen zur DSGVO geklärt hat.
Aus den Entscheidungsgründen: Das vorliegende Verfahren wird gemäß § 148 ZPO analog bis zu der Entscheidung des Gerichtshofs der Europäischen Union (im Folgenden: Gerichtshof) in den dort anhängigen Verfahren C-487/21 bzw. C-307/22 ausgesetzt.
1. Das Österreichische Bundesverwaltungsgericht hat durch Beschluss vom 9. August 2021 (W211 2222613 - 2; ECLI:AT:BVWG:2021: W211.2222613.2.00; Rs. C-487/21; ABl. EU C 431 vom 25. Oktober 2021 S. 8 f.) dem Gerichtshof u.a. folgende Fragen zur Vorabentscheidung gemäß Art. 267 AEUV vorgelegt:
1. Ist der Begriff der "Kopie" in Art. 15 Abs. 3 der Verordnung (EU) 2016/679 des Europäischen Parlaments und des Rates vom 27. April 2016 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten, zum freien Datenverkehr und zur Aufhebung der Richtlinie 95/46/EG (Datenschutz-Grundverordnung, ABl L 119/1 vom 4. Mai 2016, S. 1; im Folgenden: "DS-GVO") dahingehend auszulegen, dass damit eine Fotokopie bzw. ein Faksimile oder eine elektronische Kopie eines (elektronischen) Datums gemeint ist, oder fällt dem Begriffsverständnis deutscher, französischer und englischer Wörterbücher folgend unter
den Begriff auch eine "Abschrift", un "double" ("duplicata") oder ein "transcript"?
2. Ist Art. 15 Abs. 3 Satz 1 DS-GVO, wonach "der Verantwortliche eine Kopie der personenbezogenen Daten, die Gegenstand der Verarbeitung sind", zur Verfügung stellt, dahingehend auszulegen, dass darin ein allgemeiner Rechtsanspruch einer betroffenen Person auf Ausfolgung einer Kopie - auch - gesamter Dokumente enthalten ist, in denen personenbezogene Daten der betroffenen Person verarbeitet werden, bzw. auf Ausfolgung einer Kopie eines Datenbankauszuges bei Verarbeitung der personenbezogenen Daten in einer solchen, oder besteht damit - nur - ein Rechtsanspruch für die betroffene Person auf originalgetreue Reproduktion der nach Art. 15 Abs. 1 DS-GVO zu beauskunftenden personenbezogenen Daten?
3. Für den Fall, dass die Frage 2. dahingehend beantwortet wird, dass nur ein Rechtsanspruch für die betroffene Person auf originalgetreue Reproduktion der nach Art. 15 Abs. 1 DS-GVO zu beauskunftenden personenbezogenen Daten besteht, ist Art. 15 Abs. 3 Satz 1 DS-GVO dahingehend auszulegen, dass es, bedingt durch die Art der verarbeiteten Daten (zum Beispiel in Bezug auf die im Erwägungsgrund 63 angeführten Diagnosen, Untersuchungsergebnisse, Befunde oder auch Unterlagen im Zusammenhang mit einer Prüfung im Sinne des Urteils des Gerichtshofs der Europäischen Union vom 20. Dezember 2017, C-434/16; ECLI:EU:C:2017:994) und das Transparenzgebot in Art. 12 Abs. 1 DSGVO im Einzelfall dennoch erforderlich sein kann, auch Textpassagen oder ganze Dokumente der betroffenen Person zur Verfügung zu stellen?
2. Der erkennende Senat hat dem Gerichtshof durch Beschluss vom 29. März 2022 - VI ZR 1352/20 (DB 2022, 1249; Rs. C-307/22) unter Ziff. 3 folgende Frage zur Vorabentscheidung vorgelegt:
Umfasst der Anspruch aus Art. 15 Abs. 3 Satz 1 DS-GVO im Arzt-Patienten-Verhältnis einen Anspruch auf Überlassung von Kopien aller die personenbezogenen Daten des Patienten enthaltenden Teile der Patientenakte oder ist er nur auf Herausgabe einer Kopie der personenbezogenen Daten des Patienten als solche gerichtet, wobei es dem datenverarbeitenden Arzt überlassen bleibt, in welcher Weise er dem betroffenen Patienten die Daten zusammenstellt ?
3. Diese Fragen sind auch im vorliegenden Fall entscheidungserheblich. Die Parteien streiten unter anderem darüber, ob sich aus Art. 15 Abs. 3 Satz 1 DS-GVO (lediglich) ein Anspruch auf eine Kopie der nach Art. 15 Abs. 1 DS-GVO zu beauskunftenden Daten oder ein Anspruch auf Herausgabe von Kopien der diese Daten enthaltenden Dokumente ergibt.
4. Aufgrund der Entscheidungserheblichkeit der oben unter II. 1 und 2 genannten Fragen kann der Senat in dieser Sache unter Beachtung seiner in Art. 267 Abs. 3 AEUV enthaltenen Vorlageverpflichtung keine abschließende Sachentscheidung treffen. Eine Vorlage auch dieses Verfahrens an den Gerichtshof würde jedoch dort nicht zu einer schnelleren Beantwortung der maßgeblichen Rechtsfrage führen. Im Gegenteil würde die Funktion des Gerichtshofs im Vorabentscheidungsverfahren beeinträchtigt, wenn die gleiche Rechtsfrage mehrfach vorgelegt würde. Das Vorabentscheidungsverfahren nach Art. 267 AEUV stellt ein grundlegendes Instrument dar, um den Grundsatz des Vorrangs des Gemeinschaftsrechts vor nationalem Recht zu verwirklichen und die einheitliche Anwendung des Gemeinschaftsrechts in allen Mitgliedstaaten zu gewährleisten. Die verbindliche Auslegung des Gemeinschaftsrechts ist dem Gerichtshof vorbehalten. Da der Gerichtshof aber kein Rechtsmittelgericht für sämtliche mitgliedschaftlichen Verfahren darstellt, genügt es, wenn dort über die klärungsbedürftige Rechtsfrage in den bereits anhängigen Verfahren verhandelt und entschieden wird (vgl. Senatsbeschluss vom 31. Mai 2022 - VI ZR 223/21, juris Rn. 9; BGH, Beschluss vom 24. Januar 2012 - VIII ZR 236/10, RIW 2012, 405 Rn. 8 mwN).
5. Der Senat hält es daher für angemessen, wie auch von der Revision angeregt, das vorliegende Verfahren gemäß § 148 ZPO analog wegen Vorgreiflichkeit der beim Gerichtshof anhängigen Vorlageverfahren auszusetzen (zur Zulässigkeit dieser Vorgehensweise vgl. BGH, Beschluss vom 24. Januar 2012 - VIII ZR 236/10, RIW 2012, 405 Rn. 9 mwN).
Der Bundesbeauftragter für Datenschutz (BfDI) hat dem Bundespresseamt den Betrieb der Facebook Fanpage der Bundesregierung untersagt.
Die Pressemitteilung des BfDI: BfDI untersagt Betrieb der Fanpage der Bundesregierung
Der BfDI, Professor Ulrich Kelber, hat das Bundespresseamt (BPA) angewiesen, den Betrieb der Facebook Fanpage der Bundesregierung einzustellen. Ein entsprechendes Schreiben hat der BfDI zu Beginn der Woche versendet. Das BPA hat ab Erhalt des Bescheids vier Wochen Zeit diesen umzusetzen.
Der BfDI sagte dazu: „Ich habe lange darauf hingewiesen, dass der Betrieb einer Facebook Fanpage nicht datenschutzkonform möglich ist. Das zeigen unsere eigenen Untersuchungen und das Kurzgutachten der Datenschutzkonferenz. Alle Behörden stehen in der Verantwortung, sich vorbildlich an Recht und Gesetz zu halten. Dies ist nach dem Ergebnis meiner Prüfungen beim Betrieb einer Fanpage wegen der umfassenden Verarbeitung personenbezogener Daten der Nutzenden aktuell unmöglich. Ich finde es wichtig, dass der Staat über soziale Medien erreichbar ist und Informationen teilen kann. Das darf er aber nur, wenn die Grundrechte der Bürgerinnen und Bürger gewahrt bleiben.“
Da sich insbesondere die Interessen von Betreibenden von Fanpages und von Meta ergänzen, besteht nach Einschätzung des BfDI eine gemeinsame Verantwortlichkeit für die Verarbeitung der bei Nutzung der Fanpage erhobenen personenbezogenen Daten. Das BPA muss als Verantwortlicher nachweisen können, dass die Grundsätze des Datenschutzrechts eingehalten werden. Einen solchen Nachweis konnte das BPA im Verfahren nicht zur aufsichtsbehördlichen Überzeugung erbringen. Der BfDI kritisiert insbesondere, dass es nach seiner Begutachtung hier bislang an einer wirksamen Rechtsgrundlage für die Datenverarbeitung fehlt. Außerdem muss nach dem Telekommunikation-Telemedien-Datenschutz-Gesetz für die Verwendung nicht unbedingt erforderlicher Cookies und ähnlicher Trackingtechnologien eine Einwilligung eingeholt werden. Im Falle der Facebook Fanpages wird eine solche Einwilligung jedoch nach Ergebnis der aufsichtsbehördlichen Prüfungen derzeit nicht wirksam eingeholt.
Das BPA hat die Möglichkeit innerhalb eines Monats gegen den Bescheid des BfDI zu klagen.
EuGH
Urteil vom 27.01.2023
c-205/21
Ministerstvo na vatreshnite raboti (Registrierung biometrischer und genetischer Daten durch die Polizei)
Der EuGH hat entschieden, dass die systematische Erhebung biometrischer und genetischer Daten aller beschuldigten Personen für Zwecke polizeilicher Registrierung unzulässig ist.
Die Pressemitteilung des EuGH: Die systematische Erhebung biometrischer und genetischer Daten aller beschuldigten Personen für die Zwecke ihrer polizeilichen Registrierung verstößt gegen die Anforderung, einen erhöhten Schutz gegen die Verarbeitung sensibler personenbezogener Daten zu gewährleisten
V. S. wurde im Rahmen eines von den bulgarischen Behörden eingeleiteten Strafverfahrens wegen Steuerhinterziehung beschuldigt, an einer kriminellen Vereinigung beteiligt zu sein, die zu Bereicherungszwecken gebildet worden sei, um in abgestimmter Weise im bulgarischen Hoheitsgebiet Straftaten zu begehen. Auf diese Beschuldigung hin forderte die bulgarische Polizei V. S. auf, sich der Erhebung daktyloskopischer und fotografischer Daten für die Zwecke ihrer Registrierung sowie der Entnahme von Proben zum Zweck der Erstellung ihres DNAProfils zu unterziehen. V. S. verweigerte diese Erhebung.
Gestützt auf das nationale Recht, das die „polizeiliche Registrierung“ von Personen vorsieht, die einer vorsätzlichen, von Amts wegen verfolgten Straftat (im Folgenden: vorsätzliche Offizialstraftat) beschuldigt werden, beantragten die Polizeibehörden beim Spetsializiran nakazatelen sad (Spezialisiertes Strafgericht, Bulgarien), die zwangsweise Durchführung der Erhebung genetischer und biometrischer Daten von V. S. zu bewilligen. Dem Antrag der Polizeibehörden waren lediglich Kopien des Beschlusses über die Beschuldigung von V. S. und von deren Erklärung, dass sie die Erhebung ihrer Daten verweigere, beigefügt.
Das genannte Gericht hegte Zweifel an der Vereinbarkeit der für diese „polizeiliche Registrierung“ geltenden bulgarischen Rechtsvorschriften mit der Richtlinie 2016/6801 in Verbindung mit der Charta der Grundrechte der Europäischen Union (im Folgenden: Charta) und hat den Gerichtshof daher um Vorabentscheidung ersucht.
In seinem Urteil präzisiert der Gerichtshof zunächst die Voraussetzungen, unter denen die Verarbeitung biometrischer und genetischer Daten durch die Polizeibehörden als nach nationalem Recht im Sinne der Richtlinie 2016/680 zulässig angesehen werden kann. Sodann äußert er sich zur Umsetzung der in dieser Richtlinie aufgestellten Anforderung betreffend die Verarbeitung von Daten einer Kategorie von Personen, bezüglich deren der begründete Verdacht der Beteiligung an einer Straftat besteht, sowie zur Achtung des Rechts auf effektiven gerichtlichen Rechtsschutz und des Grundsatzes der Unschuldsvermutung in Fällen, in denen das nationale Recht dem zuständigen nationalen Gericht gestattet, die zwangsweise Erhebung dieser Daten, die vom Unionsgesetzgeber als „sensibel“ angesehen werden, zu bewilligen. Schließlich befasst er sich mit der Frage, ob die nationalen Rechtsvorschriften, die die systematische Erhebung dieser Daten vorsehen, mit den die Verarbeitung dieser Daten betreffenden Bestimmungen der Richtlinie 2016/680 unter Berücksichtigung der dort verankerten Grundsätze vereinbar sind.
Würdigung durch den Gerichtshof
Der Gerichtshof stellt zunächst fest, dass die Richtlinie 2016/680 im Licht der Charta2 dahin auszulegen ist, dass die Verarbeitung biometrischer und genetischer Daten durch die Polizeibehörden für ihre Untersuchungstätigkeiten zu Zwecken der Kriminalitätsbekämpfung und der Aufrechterhaltung der öffentlichen Ordnung nach nationalem Recht zulässig ist, wenn Letzteres eine hinreichend klare und präzise Rechtsgrundlage für die Zulässigkeit dieser Verarbeitung enthält. Der Umstand, dass der nationale Gesetzgebungsakt, der eine solche Rechtsgrundlage enthält, im Übrigen auf die Datenschutz- Grundverordnung und nicht auf die Richtlinie 2016/680 Bezug nimmt, ist für sich genommen nicht geeignet, diese Zulässigkeit in Frage zu stellen, sofern die Auslegung aller anwendbaren Bestimmungen des nationalen Rechts hinreichend klar, präzise und unmissverständlich ergibt, dass die fragliche Verarbeitung biometrischer und genetischer Daten in den Anwendungsbereich dieser Richtlinie und nicht in den der DSGVO fällt.
In diesem Zusammenhang stellt der Gerichtshof in Anbetracht dessen, dass sich die einschlägigen nationalen Rechtsvorschriften auf die Bestimmungen der DSGVO zur Regelung der Verarbeitung sensibler Daten beziehen und dabei den Inhalt der Bestimmungen der Richtlinie 2016/680 wiedergeben, die die Verarbeitung eben dieser Daten betreffen, fest, dass diese Bestimmungen nicht gleichwertig sind. Während nämlich eine Verarbeitung sensibler Daten durch die zuständigen Behörden u. a. für die unter die Richtlinie 2016/680 fallenden Zwecke der Verhütung und Aufdeckung von Straftaten nur erlaubt sein kann, wenn sie unbedingt erforderlich ist, und mit geeigneten Garantien einhergehen und im Unionsrecht oder im nationalen Recht vorgesehen sein muss, sieht die DSGVO ein grundsätzliches Verbot der Verarbeitung solcher Daten, versehen mit einer Liste von Ausnahmen, vor. Der nationale Gesetzgeber kann zwar im Rahmen ein und desselben legislativen Instruments die
Verarbeitung personenbezogener Daten zu Zwecken, die unter die Richtlinie 2016/680 fallen, und zu anderen Zwecken, die unter die DSGVO fallen, vorsehen, jedoch ist er verpflichtet, sich zu vergewissern, dass keine Unklarheiten hinsichtlich der Anwendbarkeit des einen oder des anderen Unionsrechtsakts auf die Erhebung sensibler Daten bestehen.
Des Weiteren weist der Gerichtshof in Bezug auf eine etwaige nicht ordnungsgemäße Umsetzung der Richtlinie 2016/680, die das vorlegende Gericht vorgebracht hat, darauf hin, dass diese Richtlinie nicht verlangt, dass die nationalen Vorschriften, die die in ihren Anwendungsbereich fallende Verarbeitung von Daten erlauben, eine Bezugnahme auf diese Richtlinie enthalten müssten. Er stellt klar, dass der nationale Gesetzgeber, wenn er die Verarbeitung biometrischer und genetischer Daten durch die zuständigen Behörden vorsieht, die entweder in den Anwendungsbereich dieser Richtlinie oder in den der DSGVO fallen können, aus Gründen der Klarheit und Genauigkeit zum einen ausdrücklich auf die Vorschriften des nationalen Rechts, die die Umsetzung dieser Richtlinie gewährleisten, und zum anderen auf die DSGVO Bezug nehmen kann, ohne verpflichtet zu sein, die genannte Richtlinie zu erwähnen. Bei einem offensichtlichen Widerspruch zwischen den nationalen Bestimmungen, die die
in Rede stehende Datenverarbeitung erlauben, und jenen, die sie auszuschließen scheinen, muss das nationale Gericht diese Bestimmungen jedoch so auslegen, dass die praktische Wirksamkeit der Richtlinie 2016/680 gewahrt bleibt.
Sodann entscheidet der Gerichtshof, dass die Richtlinie 2016/6805 und die Charta6 nationalen Rechtsvorschriften nicht entgegenstehen, die vorsehen, dass das zuständige Strafgericht im Fall der Weigerung einer Person, die einer vorsätzlichen Offizialstraftat beschuldigt wird, freiwillig an der Erhebung der sie betreffenden biometrischen und genetischen Daten für die Zwecke ihrer Registrierung mitzuwirken, verpflichtet ist, eine Maßnahme der zwangsweisen Durchführung dieser Erhebung zu bewilligen, ohne befugt zu sein, zu beurteilen, ob ein begründeter Verdacht besteht, dass die betreffende Person die Straftat, derer sie beschuldigt wird, begangen hat, sofern das nationale Recht später eine wirksame gerichtliche Kontrolle der Voraussetzungen dieser Beschuldigung, aus denen sich die Bewilligung dieser Erhebung ergibt, gewährleistet.
Insoweit weist der Gerichtshof darauf hin, dass die Mitgliedstaaten nach der Richtlinie 2016/6807 sicherstellen müssen, dass eine klare Unterscheidung zwischen den Daten der verschiedenen Kategorien betroffener Personen getroffen wird, damit auf diese nicht unterschiedslos das gleiche Maß an Eingriffen in ihr Grundrecht auf Schutz ihrer personenbezogenen Daten, unabhängig davon, welcher Kategorie sie zugehören, angewandt wird. Diese Verpflichtung gilt jedoch nicht absolut. Soweit diese Richtlinie die Kategorie von Personen betrifft, gegen die ein begründeter Verdacht besteht, dass sie eine Straftat begangen haben, stellt der Gerichtshof im Übrigen klar, dass das Vorliegen einer hinreichenden Zahl von Beweisen für die Schuld einer Person grundsätzlich zu einem begründeten Verdacht führt, dass diese Person die betreffende Straftat begangen hat. Somit steht die Richtlinie 2016/680 nationalen Rechtsvorschriften nicht entgegen, die die zwangsweise Erhebung von Daten von Personen für die Zwecke ihrer Registrierung vorsehen, bezüglich deren hinreichende Beweise dafür vorliegen, dass sie sich der Begehung einer vorsätzlichen Offizialstraftat schuldig gemacht haben, und die aus diesem Grund beschuldigt worden sind.
Was die Achtung des Rechts auf effektiven gerichtlichen Rechtsschutz, wenn das zuständige nationale Gericht im Hinblick auf die Bewilligung einer Maßnahme der zwangsweisen Durchführung der Erhebung sensibler Daten einer beschuldigter Person die Voraussetzungen für die Beschuldigung nicht in der Sache überprüfen kann, anbelangt, weist der Gerichtshof insbesondere darauf hin, dass sich der Umstand, dass die Würdigung der Beweise, auf die sich die Beschuldigung der betroffenen Person stützt, vorübergehend der gerichtlichen Kontrolle entzogen ist, während des strafrechtlichen Ermittlungsverfahrens als gerechtfertigt erweisen kann. Eine solche Kontrolle in diesem Verfahren könnte nämlich den Ablauf der strafrechtlichen Ermittlungen, in deren Verlauf diese Daten erhoben werden, behindern und die Fähigkeit der Ermittler, weitere Straftaten auf der Grundlage eines Abgleichs dieser Daten mit Daten, die bei anderen Ermittlungen gesammelt wurden, aufzuklären, übermäßig einschränken. Diese Einschränkung des effektiven gerichtlichen Rechtsschutzes ist daher nicht unverhältnismäßig, wenn das
nationale Recht später eine effektive gerichtliche Kontrolle gewährleistet.
Was die Achtung des Rechts auf die Unschuldsvermutung durch eine gerichtliche Entscheidung, mit der die Erhebung der in Rede stehenden Daten bewilligt wird, anbelangt, weist der Gerichtshof zum einen darauf hin, dass, da das nationale Recht im vorliegenden Fall vorsieht, dass diese Erhebung auf die Kategorie der Personen beschränkt ist, deren strafrechtliche Verantwortlichkeit noch nicht festgestellt worden ist, diese Erhebung nicht als geeignet angesehen werden kann, den Eindruck der Behörden widerzuspiegeln, dass diese Personen schuldig seien. Zum anderen stellt der Umstand, dass das Gericht, das über die Schuld der betroffenen Person zu entscheiden hat, in diesem Stadium des Strafverfahrens nicht beurteilen kann, ob die Beweise, auf denen die Beschuldigung dieser Person beruht, ausreichend sind, eine Garantie für die Achtung ihres Rechts auf die Unschuldsvermutung dar.
Schließlich gelangt der Gerichtshof zu dem Ergebnis, dass die Richtlinie 2016/6808 nationalen Rechtsvorschriften entgegensteht, die die systematische Erhebung biometrischer und genetischer Daten aller Personen, die einer vorsätzlichen Offizialstraftat beschuldigt werden, für die Zwecke ihrer Registrierung vorsehen, ohne die Verpflichtung der zuständigen Behörde vorzusehen, zum einen zu überprüfen und nachzuweisen, ob bzw. dass diese Erhebung für die Erreichung der konkret verfolgten Ziele unbedingt erforderlich ist, und zum anderen, ob bzw. dass diese Ziele nicht durch Maßnahmen erreicht werden können, die einen weniger schwerwiegenden Eingriff in die Rechte und Freiheiten der betroffenen Person darstellen.
Insoweit weist der Gerichtshof darauf hin, dass die Richtlinie 2016/680 u. a. einen erhöhten Schutz gegen eine Verarbeitung sensibler Daten, zu denen biometrische und genetische Daten gehören, gewährleisten soll, da eine solche erhebliche Risiken für die Grundrechte und Grundfreiheiten mit sich bringen kann. Die dort genannte Anforderung, dass diese Verarbeitung „nur dann erlaubt [ist], wenn sie unbedingt erforderlich ist“, ist dahin auszulegen, dass sie verschärfte Voraussetzungen für die Rechtmäßigkeit der Verarbeitung dieser sensiblen Daten festlegt.
Außerdem ist die Tragweite dieser Anforderung auch anhand der Grundsätze in Bezug auf die Datenverarbeitung zu bestimmen, wie etwa der Zweckbindung und der Datenminimierung. In diesem Zusammenhang verstoßen nationale Rechtsvorschriften, die die systematische Erhebung biometrischer und genetischer Daten aller Personen, die einer vorsätzlichen Offizialstraftat beschuldigt werden, für die Zwecke ihrer Registrierung vorsehen, grundsätzlich gegen diese Anforderung. Sie können nämlich unterschiedslos und allgemein zur Erhebung von Daten der meisten beschuldigten Personen führen, da der Begriff „vorsätzliche Offizialstraftat“ besonders allgemein gehalten ist und auf eine große Zahl von Straftaten unabhängig von ihrer Art, ihrer Schwere, den besonderen Umstände dieser Straftaten, ihres etwaigen Zusammenhangs mit
anderen laufenden Verfahren, den Vorstrafen der betroffenen Person oder von deren individuellem Profil angewendet werden kann.
Tenor der Entscheidung:
1. Art. 10 Buchst. a der Richtlinie (EU) 2016/680 des Europäischen Parlaments und des Rates vom 27. April 2016 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten durch die zuständigen Behörden zum Zwecke der Verhütung, Ermittlung, Aufdeckung oder Verfolgung von Straftaten oder der Strafvollstreckung sowie zum freien Datenverkehr und zur Aufhebung des Rahmenbeschlusses 2008/977/JI des Rates ist im Licht von Art. 52 der Charta der Grundrechte der Europäischen Union
dahin auszulegen, dass
die Verarbeitung biometrischer und genetischer Daten durch die Polizeibehörden für ihre Untersuchungstätigkeiten zu Zwecken der Kriminalitätsbekämpfung und der Aufrechterhaltung der öffentlichen Ordnung nach dem Recht eines Mitgliedstaats im Sinne von Art. 10 Buchst. a dieser Richtlinie zulässig ist, wenn das Recht dieses Mitgliedstaats eine hinreichend klare und präzise Rechtsgrundlage für die Zulässigkeit dieser Verarbeitung enthält. Der Umstand, dass der nationale Gesetzgebungsakt, der eine solche Rechtsgrundlage enthält, im Übrigen auf die Verordnung (EU) 2016/679 des Europäischen Parlaments und des Rates vom 27. April 2016 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten, zum freien Datenverkehr und zur Aufhebung der Richtlinie 95/46/EG (Datenschutz-Grundverordnung) und nicht auf die Richtlinie 2016/680 Bezug nimmt, ist für sich genommen nicht geeignet, diese Zulässigkeit in Frage zu stellen, sofern die Auslegung aller anwendbaren Bestimmungen des nationalen Rechts hinreichend klar, präzise und unmissverständlich ergibt, dass die fragliche Verarbeitung biometrischer und genetischer Daten in den Anwendungsbereich dieser Richtlinie und nicht in den dieser Verordnung fällt.
2. Art. 6 Buchst. a der Richtlinie 2016/680 sowie Art. 47 und 48 der Charta der Grundrechte der Europäischen Union
sind dahin auszulegen, dass
sie nationalen Rechtsvorschriften nicht entgegenstehen, die vorsehen, dass das zuständige Strafgericht im Fall der Weigerung einer Person, die einer vorsätzlichen Offizialstraftat beschuldigt wird, freiwillig an der Erhebung der sie betreffenden biometrischen und genetischen Daten für die Zwecke ihrer Registrierung mitzuwirken, verpflichtet ist, eine Maßnahme der zwangsweisen Durchführung dieser Erhebung zu bewilligen, ohne befugt zu sein, zu beurteilen, ob ein begründeter Verdacht besteht, dass die betreffende Person die Straftat, derer sie beschuldigt wird, begangen hat, sofern das nationale Recht später eine wirksame gerichtliche Kontrolle der Voraussetzungen dieser Beschuldigung, aus denen sich die Bewilligung zur Erhebung dieser Daten ergibt, gewährleistet.
3. Art. 10 der Richtlinie 2016/680 in Verbindung mit Art. 4 Abs. 1 Buchst. a bis c sowie mit Art. 8 Abs. 1 und 2 dieser Richtlinie
ist dahin auszulegen, dass
er nationalen Rechtsvorschriften entgegensteht, die die systematische Erhebung biometrischer und genetischer Daten aller Personen, die einer vorsätzlichen Offizialstraftat beschuldigt werden, für die Zwecke ihrer Registrierung vorsehen, ohne die Verpflichtung der zuständigen Behörde vorzusehen, zum einen zu überprüfen und nachzuweisen, ob bzw. dass diese Erhebung für die Erreichung der konkret verfolgten Ziele unbedingt erforderlich ist, und zum anderen, ob bzw. dass diese Ziele nicht durch Maßnahmen erreicht werden können, die einen weniger schwerwiegenden Eingriff in die Rechte und Freiheiten der betroffenen Person darstellen.
EuGH
Urteil vom 12.01.2023 C-154/21
Österreichische Post (Informationen über die Empfänger personenbezogener Daten)
Der EuGH hat entschieden, dass der Auskunftsanspruch aus Art. 15 Abs. 1 lit. c DSGVO regelmäßig auch die Identität der Empfänger personenbezogener Daten umfasst.
Tenor der Entscheidung:
Art. 15 Abs. 1 Buchst. c der Verordnung (EU) 2016/679 des Europäischen Parlaments und des Rates vom 27. April 2016 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten, zum freien Datenverkehr und zur Aufhebung der Richtlinie 95/46/EG (Datenschutz‑Grundverordnung) ist dahin auszulegen, dass das in dieser Bestimmung vorgesehene Recht der betroffenen Person auf Auskunft über die sie betreffenden personenbezogenen Daten bedingt, dass der Verantwortliche, wenn diese Daten gegenüber Empfängern offengelegt worden sind oder noch offengelegt werden, verpflichtet ist, der betroffenen Person die Identität der Empfänger mitzuteilen, es sei denn, dass es nicht möglich ist, die Empfänger zu identifizieren, oder dass der Verantwortliche nachweist, dass die Anträge auf Auskunft der betroffenen Person offenkundig unbegründet oder exzessiv im Sinne von Art. 12 Abs. 5 der Verordnung 2016/679 sind; in diesem Fall kann der Verantwortliche der betroffenen Person lediglich die Kategorien der betreffenden Empfänger mitteilen.
Die Pressemitteilung des EuGH: Jeder hat das Recht zu erfahren, an wen seine personenbezogenen Daten weitergegeben wurden
Der für die Datenverarbeitung Verantwortliche kann sich jedoch darauf beschränken, nur die Empfängerkategorien mitzuteilen, wenn es nicht möglich ist, die Empfänger zu identifizieren, oder wenn der Antrag offenkundig unbegründet oder exzessiv ist
Ein Bürger beantragte bei der Österreichischen Post, der größten Anbieterin von Post- und Logistikdiensten in Österreich, ihm mitzuteilen, gegenüber welchen Empfängern sie seine personenbezogenen Daten offengelegt habe.
Er stützte sich auf die Datenschutz-Grundverordnung (DSGVO). Diese sieht vor, dass eine betroffene Person das Recht hat, von dem Verantwortlichen Informationen über die Empfänger oder Kategorien von Empfängern zu erhalten, gegenüber denen ihre personenbezogenen Daten offengelegt worden sind oder noch offengelegt werden.
Bei der Beantwortung der Anfrage des Bürgers beschränkte sich die Österreichische Post auf die Mitteilung, sie verwende personenbezogene Daten, soweit das rechtlich zulässig sei, im Rahmen ihrer Tätigkeit als Herausgeberin von Telefonbüchern und biete diese Daten Geschäftskunden für Marketingzwecke an. Der Bürger erhob daraufhin gegen die Österreichische Post Klage vor den österreichischen Gerichten.
Im Lauf des gerichtlichen Verfahrens teilte die Österreichische Post dem Bürger weiter mit, seine Daten seien an Kunden weitergegeben worden, zu denen werbetreibende Unternehmen im Versandhandel und stationären Handel, IT-Unternehmen, Adressverlage und Vereine wie Spendenorganisationen, Nichtregierungsorganisationen (NGOs) oder politische Parteien gehört hätten.
Der Oberste Gerichtshof (Österreich), bei dem der Rechtsstreit in letzter Instanz anhängig ist, möchte wissen, ob die DSGVO es dem für die Datenverarbeitung Verantwortlichen freistellt, ob er der betroffenen Person die konkrete Identität der Empfänger oder nur die Kategorien von Empfängern mitteilt, oder ob die betroffene Person gemäß der DSGVO das Recht hat, die konkrete Identität dieser Empfänger zu erfahren.
Mit seinem heutigen Urteil antwortet der Gerichtshof, dass der Verantwortliche, wenn personenbezogene Daten gegenüber Empfängern offengelegt worden sind oder noch offengelegt werden, verpflichtet ist, der betroffenen Person auf Anfrage die Identität der Empfänger mitzuteilen. Nur wenn es (noch) nicht möglich ist, diese Empfänger zu identifizieren, kann sich der Verantwortliche darauf beschränken, lediglich die Kategorien der betreffenden Empfänger mitzuteilen. Dies ist ebenfalls der Fall, wenn der Verantwortliche nachweist, dass der Antrag offenkundig unbegründet oder exzessiv ist.
Der Gerichtshof weist darauf hin, dass dieses Auskunftsrecht der betroffenen Person erforderlich ist, um es ihr zu ermöglichen, die anderen Rechte auszuüben, die ihr gemäß der DSGVO zukommen, nämlich das Recht auf Berichtigung, das Recht auf Löschung („Recht auf Vergessenwerden“), das Recht auf Einschränkung der Verarbeitung, das Recht auf Widerspruch gegen die Verarbeitung oder auch das Recht auf einen Rechtsbehelf im Schadensfall.
Das LG München hat entschieden, dass der Cookie-Banner nach TCF-Standard von FOCUS-Online datenschutzwidrig ist. Insbesondere rügt das Gericht, dass der Cookie-Banner angesichts der Vielzahl technisch nicht notwendiger Cookies unübersichtlich ist und der Aufwand zum Ablehnen aller Cookies zu aufwändig ist, da kein "Alle-Ablehnen"-Button vorgehalten wird.
BGH
Beschluss vom 10.11.2022 - I ZR 186/17
App-Zentrum II
Verordnung (EU) 2016/679 Art. 80 Abs. 2; UWG § 8 Abs. 3 Nr. 3; UKlaG §§ 1, 2 Abs. 2 Satz 1
Nr. 11, § 3 Abs. 1 Satz 1 Nr. 1
Der BGH hat dem EuGH zur Entscheidung vorgelegt, wann das Tatbestandsmerkmal "infolge einer Verarbeitung" im Sinne von Art. 80 Abs. 2 DSGVO vorliegt.
Leitsatz des BGH:
Dem Gerichtshof der Europäischen Union wird zur Auslegung von Art. 80 Abs. 2 der Verordnung (EU) 2016/679 des Europäischen Parlaments und des Rates vom 27. April 2016 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten, zum freien Datenverkehr und zur Aufhebung der Richtlinie 95/46/EG (Datenschutz-Grundverordnung, DSGVO, ABl. L 119 vom 4. Mai 2016, S. 1) folgende Frage zur Vorabentscheidung vorgelegt:
Wird eine Rechtsverletzung "infolge einer Verarbeitung" im Sinne von Art. 80 Abs. 2 DSGVO geltend gemacht, wenn ein Verband zur Wahrung von Verbraucherinteressen seine Klage darauf stützt, die Rechte einer betroffenen Person seien verletzt, weil die Informationspflichten gemäß Art. 12 Abs. 1 Satz 1 DSGVO in Verbindung mit Art. 13 Abs. 1 Buchst. c und e DSGVO über den Zweck der Datenverarbeitung und den Empfänger der personenbezogenen Daten nicht erfüllt worden seien ?
BGH, Beschluss vom 10. November 2022 - I ZR 186/17 - Kammergericht - LG Berlin
Das Bundesverfassungsgericht hat entschieden, dass die Übermittlung mit nachrichtendienstlichen Mitteln erhobener personenbezogener Daten auf Grundlage von § 20 Abs. 1 BVerfSchG grundrechtswidrig ist.
Die Pressemitteilung des Bundesverfassungsgerichts: Erfolgreiche Verfassungsbeschwerde gegen die Übermittlung mit nachrichtendienstlichen Mitteln erhobener personenbezogener Daten
Mit heute veröffentlichtem Beschluss hat der Erste Senat des Bundesverfassungsgerichts entschieden, dass die Übermittlungsbefugnisse der Verfassungsschutzbehörden in Angelegenheiten des Staats- und Verfassungsschutzes nach dem Bundesverfassungsschutzgesetz (BVerfSchG) mit dem Grundrecht auf informationelle Selbstbestimmung aus Art. 2 Abs. 1 in Verbindung mit Art. 1 Abs. 1 des Grundgesetzes (GG) nicht vereinbar sind. Dies gilt, soweit sie zur Übermittlung personenbezogener Daten verpflichten, die mit nachrichtendienstlichen Mitteln erhoben wurden. Die betreffenden Vorschriften verstoßen gegen die Normenklarheit und den Grundsatz der Verhältnismäßigkeit. Zudem fehlt es an einer spezifisch normierten Protokollierungspflicht. Die angegriffenen Normen gelten - mit Blick auf die betroffenen Grundrechte jedoch nach einschränkenden Maßgaben - bis zum 31. Dezember 2023 vorübergehend fort.
Sachverhalt:
Nach § 20 Abs. 1 Satz 1 BVerfSchG übermittelt das Bundesamt für Verfassungsschutz personenbezogene Daten und Informationen an Polizeien und Staatsanwaltschaften, wenn tatsächliche Anhaltspunkte dafür bestehen, dass die Übermittlung zur Verhinderung oder Verfolgung von Staatsschutzdelikten erforderlich ist. § 20 Abs. 1 Satz 2 BVerfSchG definiert die Staatsschutzdelikte unter anderem als die in §§ 74a und 120 des Gerichtsverfassungsgesetzes (GVG) genannten Straftaten sowie sonstige Straftaten, die gegen die in Art. 73 Abs. 1 Nr. 10 Buchstabe b oder c GG genannten Schutzgüter gerichtet sind. § 21 Abs. 1 Satz 1 BVerfSchG erstreckt die Übermittlungspflichten des § 20 Abs. 1 Satz 1 und 2 BVerfSchG entsprechend auf die Verfassungsschutzbehörden der Länder. Auf diese Übermittlungsregelungen verweist das Rechtsextremismus-Datei-Gesetz (RED-G). Die Rechtsextremismus-Datei ist eine der Bekämpfung des gewaltbezogenen Rechtsextremismus dienende Verbunddatei von Polizeibehörden und Nachrichtendiensten des Bundes und der Länder, die in ihrem Kern der Informationsanbahnung dient. Dazu werden in ihr spezifische personenbezogene Daten gespeichert, wenn ihre Kenntnis für die Aufklärung oder Bekämpfung des gewaltbezogenen Rechtsextremismus erforderlich ist. Der Beschwerdeführer, der im Prozess um den Nationalsozialistischen Untergrund rechtskräftig verurteilt wurde, wendet sich gegen die Übermittlungsbefugnisse der Verfassungsschutzbehörden und rügt eine Verletzung des Grundrechts auf informationelle Selbstbestimmung.
Wesentliche Erwägungen des Senats:
A. Die Verfassungsbeschwerde ist zulässig, soweit sie sich gegen die Übermittlungsvorschriften in § 20 Abs. 1 Satz 1 und 2 und § 21 Abs. 1 Satz 1 in Verbindung mit § 20 Abs. 1 Satz 1 und 2 BVerfSchG richtet. Der Beschwerdeführer beanstandet die Übermittlungstatbestände allerdings nur hinsichtlich der Übermittlung mit nachrichtendienstlichen Mitteln heimlich erhobener personenbezogener Daten.
Soweit der Beschwerdeführer zusätzlich die allgemeine Übermittlungsbefugnis des Bundesamtes für Verfassungsschutz nach § 19 Abs. 1 Satz 1 BVerfSchG in der Fassung vom 5. Januar 2007 angegriffen hat, ist die Verfassungsbeschwerde unzulässig. Nachdem in Folge einer Gesetzesänderung im Jahr 2015 die Altfassung außer Kraft getreten ist, fehlt es insoweit an einem fortdauernden Rechtsschutzbedürfnis. Der Beschwerdeführer hat seine Verfassungsbeschwerde auch nicht fristgerecht auf die Neufassung der Vorschrift umgestellt.
B. Soweit die Verfassungsbeschwerde zulässig ist, ist sie auch begründet.
I. Durch Übermittlungen personenbezogener Daten und Informationen nach den angegriffenen Regelungen ist das Grundrecht auf informationelle Selbstbestimmung als Ausprägung des allgemeinen Persönlichkeitsrechts aus Art. 2 Abs. 1 in Verbindung mit Art. 1 Abs. 1 GG betroffen. Die Übermittlung personenbezogener Daten, mit der eine Behörde die von ihr erhobenen Daten einer anderen Stelle zugänglich macht, begründet einen erneuten Grundrechtseingriff im Verhältnis zur ursprünglichen Datenerhebung.
II. Die angegriffenen Vorschriften sind zwar in formeller Hinsicht mit der Verfassung vereinbar. Insbesondere steht dem Bund hier die Gesetzgebungskompetenz zu. Denn die Gesetzgebungskompetenz des Bundes aus Art. 73 Abs. 1 Nr. 10 GG erstreckt sich nicht nur auf die Zusammenarbeit des Bundes und der Länder, sondern auch auf die der Länder untereinander. Sie umfasst hingegen nicht die Regelung der Zusammenarbeit zwischen Behörden desselben Landes.
III. Die angegriffenen Übermittlungsbefugnisse genügen jedoch nicht den verfassungsrechtlichen Anforderungen an die Normenklarheit und die Verhältnismäßigkeit und enthalten keine ausreichenden Vorgaben für eine Protokollierung der Datenübermittlung.
1. a) Ein Verstoß gegen das Gebot der Normenklarheit folgt hier allerdings nicht ohne weiteres bereits daraus, dass sich der Gesetzgeber mitunter mehrgliedriger Verweisungsketten bedient hat. Die Normenklarheit setzt der Verwendung gesetzlicher Verweisungsketten Grenzen, steht dieser aber nicht grundsätzlich entgegen. Maßgeblich bleibt die inhaltliche Verständlichkeit der Regelung für den Normbetroffenen. Bei der Normierung sicherheitsrechtlicher Datenverarbeitungen kann es zweckdienlich sein, auf Fachgesetze zu verweisen, in deren Kontext Auslegungsfragen – anders als bei heimlichen Maßnahmen – im Wechselspiel von Anwendungspraxis und gerichtlicher Kontrolle verbindlich geklärt werden können. Ob eine Verweisung mit dem Gebot der Normenklarheit vereinbar ist, hängt von einer wertenden Gesamtbetrachtung unter Berücksichtigung möglicher Regelungsalternativen ab. Das Erfassen des Normgehaltes wird insbesondere durch Verweisungsketten erleichtert, die die in Bezug genommenen Vorschriften vollständig aufführen.
Danach sind jedenfalls einige der selbst vielgliedrigen Verweisungsketten des § 20 Abs. 1 Satz 2 BVerfSchG unter dem Aspekt der Normenklarheit nicht zu beanstanden.
b) Jedoch regelt § 20 Abs. 1 Satz 2 BVerfSchG die Voraussetzungen der Übermittlungspflicht nicht durchgehend normenklar. Verweisungen dürfen nicht durch die Inbezugnahme von Normen, die andersartige Spannungslagen bewältigen, ihre Klarheit verlieren und in der Praxis nicht zu übermäßigen Schwierigkeiten bei der Anwendung führen. Dies droht vorliegend dadurch, dass zur Bestimmung der Straftaten, die eine Übermittlungspflicht auslösen, ohne weitere Einschränkung auf § 120 Abs. 2 GVG verwiesen wird. Nach dieser Vorschrift wird die Zuständigkeit der Oberlandesgerichte für bestimmte Straftaten nur begründet, wenn der Generalbundesanwalt wegen der besonderen Bedeutung des Falles die Verfolgung übernimmt. Ob und inwieweit dieses Tatbestandmerkmal auch im Rahmen der – insbesondere gefahrenabwehrrechtlichen – Übermittlungspflicht zu berücksichtigen ist, lässt § 20 Abs. 1 Satz 2 BVerfSchG in Verbindung mit § 120 Abs. 2 GVG nicht mit hinreichender Klarheit erkennen.
2. Die in § 20 Abs. 1 Satz 1 und 2 BVerfSchG geregelten Übermittlungsbefugnisse verstoßen zudem gegen den Grundsatz der Verhältnismäßigkeit.
a) Zwar dienen sie dem legitimen Zweck, Staatsschutzdelikte effektiv zu bekämpfen und damit einhergehend den Bestand und die Sicherheit des Staates sowie Leib, Leben und Freiheit der Bevölkerung zu schützen. Dass die angegriffenen Übermittlungsbefugnisse zur Erreichung dieser Zwecke grundsätzlich im verfassungsrechtlichen Sinne geeignet und erforderlich sind, steht nicht in Zweifel.
b) Sie sind jedoch nicht durchweg mit den Anforderungen des Grundsatzes der Verhältnismäßigkeit im engeren Sinne vereinbar.
aa) Nach diesem gilt für die Übermittlung personenbezogener Daten und Informationen von Verfassungsschutzbehörden an Sicherheitsbehörden mit operativen Anschlussbefugnissen grundsätzlich ein informationelles Trennungsprinzip. Aufgrund der weitreichenden Überwachungsbefugnisse der Verfassungsschutzbehörden unterliegen derartige Übermittlungen gesteigerten Rechtfertigungsvoraussetzungen. Jedenfalls wenn personenbezogene Daten und Informationen mit nachrichtendienstlichen Mitteln erhoben wurden, beurteilen sich diese nach dem Kriterium der hypothetischen Neuerhebung. Danach kommt es darauf an, ob der empfangenden Behörde zu dem jeweiligen Übermittlungszweck eine eigene Datenerhebung und Informationsgewinnung mit vergleichbar schwerwiegenden Mitteln wie der vorangegangenen Überwachung durch die Verfassungsschutzbehörde erlaubt werden dürfte.
(1) Die Übermittlung an eine Gefahrenabwehrbehörde setzt daher voraus, dass sie dem Schutz eines besonders gewichtigen Rechtsguts dient, für das wenigstens eine hinreichend konkretisierte Gefahr besteht. Im Grundsatz steht es dem Gesetzgeber bei der Normierung der Übermittlungsvoraussetzungen frei, das erforderliche Rechtsgut nicht unmittelbar zu benennen, sondern an entsprechende Straftaten anzuknüpfen. Die Übermittlung kann dabei als Übermittlungsschwelle grundsätzlich auch an die Gefahr der Begehung solcher Straftaten anknüpfen, bei denen die Strafbarkeitsschwelle durch die Pönalisierung von Vorbereitungshandlungen oder bloßen Rechtsgutgefährdungen in das Vorfeld von Gefahren verlagert wird. Der Gesetzgeber muss dann aber sicherstellen, dass in jedem Einzelfall eine konkrete oder konkretisierte Gefahr für das durch den Straftatbestand geschützte Rechtsgut vorliegt. Diese ergibt sich nicht notwendiger Weise bereits aus der Gefahr der Tatbestandsverwirklichung selbst.
(2) Die Übermittlung an eine Strafverfolgungsbehörde kommt nur zur Verfolgung besonders schwerer Straftaten in Betracht und setzt voraus, dass ein durch bestimmte Tatsachen begründeter Verdacht vorliegt, für den konkrete und verdichtete Umstände als Tatsachenbasis vorhanden sind.
bb) Diesen Anforderungen genügen die angegriffenen Vorschriften nicht. § 20 Abs. 1 Satz 1 BVerfSchG benennt bei der Regelung der Übermittlung nachrichtendienstlich erhobener Daten zur Gefahrenabwehr nicht unmittelbar das zu schützende Rechtsgut, sondern knüpft – grundsätzlich zulässig – ebenso wie bei der Übermittlung zur Strafverfolgung an die in § 20 Abs. 1 Satz 2 BVerfSchG aufgeführten Straftaten an. Allerdings können nicht alle in den §§ 74a, 120 GVG genannten und durch die Vorschrift pauschal in Bezug genommenen Straftaten als besonders schwere Straftaten qualifiziert werden. Gleiches gilt für den offenen Übermittlungstatbestand, der beliebige sonstige Straftaten alleine aufgrund ihrer Zielsetzung oder des Motivs des Täters mit einbezieht.
Insoweit hilft es auch nicht, dass § 23 Nr. 1 BVerfSchG ein allgemeines Verbot unverhältnismäßiger Übermittlungen enthält. Dieser Pauschalvorbehalt strukturiert den Abwägungsprozess trotz der inzwischen erfolgten verfassungsgerichtlichen Konkretisierung der Anforderungen jedenfalls wegen der in § 20 Abs. 1 Satz 1 BVerfSchG normierten Pflicht zur Übermittlung nicht in einer Weise, dass eine Beschränkung der Übermittlung auf Fälle gesichert wäre, in denen die notwendigen Voraussetzungen vorliegen.
Darüber hinaus fehlt es an der verfassungsrechtlich gebotenen Übermittlungsschwelle. Die angegriffenen Vorschriften erlauben eine Übermittlung bereits dann, wenn tatsächliche Anhaltspunkte dafür bestehen, dass diese zur Verhinderung oder Verfolgung von Staatsschutzdelikten erforderlich ist. Sie ermöglichen damit die Übermittlung von Informationen, die unabhängig von einer konkretisierten Gefahrenlage oder von bestimmten, den Verdacht begründenden Tatsachen als erforderlich angesehen werden können.
3. Schließlich genügen die Übermittlungsvorschriften den verfassungsrechtlichen Anforderungen an eine spezifisch normierte Pflicht zur Protokollierung der Übermittlung sowie zur Nennung der für die Übermittlung in Anspruch genommenen Rechtsgrundlage nicht.
Aus dem Entwurf: A. Problem und Ziel
Mit Urteil vom 20. September 2022 – C-793/19 und C-794/19 – hat der Gerichtshof der Europäischen Union (EuGH) entschieden, dass die Vorschriften des deutschen Rechts zur sogenannten Vorratsdatenspeicherung nicht mit dem Unionsrecht vereinbar sind. Diese Entscheidung fügt sich in die bisherige Rechtsprechung des Gerichtshofs seit dem Jahr 2014 ein, wonach eine generelle und unterschiedslose Vorratsspeicherung sämtlicher Verkehrs- und Standortdaten aller Nutzer auch zur Bekämpfung schwerer Kriminalität nicht mit dem Unionsrecht vereinbar ist.
Schon zuvor liefen die im Jahr 2015 eingeführten Regelungen zur „Vorratsdatenspeicherung“ in den §§ 175 bis 181 des Telekommunikationsgesetzes (TKG) und in § 100g Absatz 2 der Strafprozessordnung (StPO) weitgehend leer. Nachdem das Oberverwaltungsgericht Nordrhein-Westfalen im Juni 2017 im Eilverfahren die Speicherpflicht gegenüber den klagenden Telekommunikationsdienste-Anbietern einstweilig ausgesetzt hatte, verzichtete die Bundesnetzagentur nämlich bis zur endgültigen Klärung, ob diese Vorschriften europarechtskonform sind, auf jegliche Maßnahmen zur Durchsetzung der gesetzlich nach wie vor bestehenden Speicherpflicht.
Diese Klärung hat der EuGH nunmehr vorgenommen. Aus seinem Urteil folgt, dass der Versuch einer unionsrechtskonformen Ausgestaltung einer anlasslosen „Vorratsdatenspeicherung“ zu Strafverfolgungszwecken im nationalen Recht gescheitert ist; eine Neuauflage der allgemeinen und unterschiedslosen „Vorratsdatenspeicherung“ aller Verkehrsdaten ist aufgrund der höchstrichterlichen Vorgaben nicht möglich.
Zur effektiven Erlangung von digitalen Beweismitteln steht aber eine Alternative zur Verfügung. Der EuGH hat in seinem Urteil vom 20. September 2022 ausdrücklich ausgeführt, dass mit einer anlassbezogenen Sicherung von Verkehrsdaten für einen festgelegten Zeitraum, die einer wirksamen richterlichen Kontrolle unterliegt, ein grundrechtsschonenderes und effektives Ermittlungsinstrument vorhanden ist, welches einer unionsrechtskonformen Regelung im Strafverfahrensrecht zugänglich ist. Diese Vorgaben des Gerichtshofs zu einer unionsrechtskonformen, anlassbezogenen Verkehrsdatenspeicherung sollen mit diesem Gesetz umgesetzt werden.
B. Lösung
Mit diesem Gesetz werden zum einen als zwingende Folge des Urteils des EuGH vom 20. September 2022 – C-793/19 und C-794/19 – die gegen das Unionsrecht verstoßenden Regelungen der „Vorratsdatenspeicherung“ in § 100g Absatz 2 StPO und in den §§ 175 bis 181 TKG aufgehoben.
Zugleich wird in einem neu gefassten § 100g Absatz 5 StPO das Ermittlungsinstrument einer Sicherungsanordnung bereits vorhandener und künftig anfallender Verkehrsdaten eingeführt. Deren Sicherung soll anlassbezogen zur Verfolgung von erheblichen Straftaten zulässig sein, soweit die Verkehrsdaten für die Erforschung des Sachverhalts oder zur Ermittlung des Aufenthaltsorts eines Beschuldigten von Bedeutung sein können. Die Maßnahme soll im Grundsatz nur auf Anordnung eines Richters zulässig sein. Damit wird die Menge der zu speichernden Daten auf das notwendige Maß begrenzt, da nur die bei den Anbietern von Telekommunikationsdiensten aus geschäftlichen Gründen ohnehin bereits vorhandenen und künftig anfallenden Verkehrsdaten gesichert werden dürfen („Einfrieren“). Diese Daten stehen den Strafverfolgungsbehörden für eine begrenzte Zeit für eine spätere Erhebung und Auswertung zur Verfügung, die freilich einer erneuten richterlichen Anordnung bedarf („Auftauen“).
Die vorgeschlagene Regelung – auch „Quick-Freeze-Regelung“ genannt – steht im Einklang mit den Anforderungen, die der EuGH in seiner Rechtsprechung zur „Vorratsdatenspeicherung“ seit 2014 formuliert hat. Auch das von der Bundesrepublik Deutschland unterzeichnete und ratifizierte Übereinkommen des Europarats über Computerkriminalität, die sogenannte Budapest-Konvention, enthält in Artikel 16 eine Verpflichtung der Vertragsstaaten, die zuständigen Behörden zu ermächtigen, die umgehende Sicherung von Verkehrsdaten anzuordnen.
Es handelt sich also um eine neue Ausgestaltung der verpflichtenden Verkehrsdatenspeicherung, die einerseits den Grundrechtsschutz der Nutzer von Telekommunikationsdiensten gewährleistet. Andererseits wird den Strafverfolgungsbehörden ein rechtssicheres und effektives Ermittlungsinstrument zur Bekämpfung schwerer Kriminalität im digitalen Raum an die Hand gegeben. Damit trägt der Entwurf zur Erreichung von Ziel 16 „Frieden, Gerechtigkeit und starke Institutionen“ der Agenda 2030 für nachhaltige Entwicklung bei. Die Folgeänderungen im TKG und in der Telekommunikations-Überwachungsverordnung (TKÜV) dienen dazu, auch die dortigen Vorschriften zur „Vorratsdatenspeicherung“ aufzuheben und die aus der neuen Sicherungsanordnung folgenden Speicherungs-, Abfragungs- , Übermittlungs- und Löschungspflichten für die Telekommunikationsdienste-Anbieter zu regeln. Neben weiteren Folgeänderungen im Bundespolizeigesetz (BPolG), BSI-Gesetz, Bundeskriminalamtgesetz (BKAG), Zollfahndungsdienstgesetz (ZFdG) und im Einführungsgesetz zur Strafprozessordnung (EGStPO) soll durch Änderungen im Justizvergütungsund -entschädigungsgesetz (JVEG) sichergestellt werden, dass die verpflichteten Unternehmen auch für ihren im Einzelfall im Rahmen der Sicherungsanordnung nach § 100g Absatz 5 StPO-E anfallenden Aufwand angemessen entschädigt werden.
EuGH
Urteil vom 21.09.2022
in den verbundenen Rechtssachen C-339/20 | VD und C-397/20 | SR
Der EuGH hat entschieden, dass die französische Regelung zur anlasslosen Vorratsdatenspeicherung zur Bekämpfung von Straftaten des Marktmissbrauchs und von Insidergeschäften unionsrechtswidrig ist.
Die Pressemitteilung des EuGH: Es ist nicht zulässig, dass die Anbieter von Diensten der elektronischen Kommunikation die Verkehrsdaten ab dem Zeitpunkt der Speicherung zur Bekämpfung von Straftaten des Marktmissbrauchs, u. a. von Insidergeschäften, präventiv ein Jahr lang allgemein und unterschiedslos auf Vorrat speichern
Ein nationales Gericht kann die Feststellung, dass innerstaatliche Rechtsvorschriften, die eine solche Vorratsspeicherung der Verkehrsdaten vorsehen, ungültig sind, nicht in ihren zeitlichen Wirkungen beschränken.
Gegen VD und SR laufen in Frankreich Strafverfahren wegen Insiderhandels, Hehlerei im Zusammenhang mit Insiderhandel, Beihilfe, Bestechung und Geldwäsche. Ausgangspunkt der Ermittlungen waren im Rahmen der Bereitstellung von Diensten der elektronischen Kommunikation generierte personenbezogene Daten betreffend Telefongespräche von VD und SR, die dem Ermittlungsrichter von der Finanzaufsichtsbehörde (Autorité des marchés financiers, AMF) nach entsprechenden Ermittlungen zur Verfügung gestellt worden waren. VD und SR haben bei der Cour de cassation (Kassationsgerichtshof, Frankreich) gegen zwei Urteile der Cour d’appel de Paris (Berufungsgericht Paris) Kassationsbeschwerden eingelegt. Sie wenden sich dagegen, dass sich die AMF bei der Erhebung der Daten auf innerstaatliche Rechtsvorschriften gestützt habe, die, soweit sie eine allgemeine und unterschiedslose Vorratsspeicherung der Verbindungsdaten vorsähen, unionsrechtswidrig seien und in denen die Befugnis der Ermittler der AMF zur Anforderung gespeicherter Daten nicht begrenzt werde. Sie berufen sich insoweit auf die Rechtsprechung des Gerichtshofs.
Die Vorlagefragen der Cour de cassation betreffen innerstaatliche Rechtsvorschriften, nach denen die Anbieter von Diensten der elektronischen Kommunikation die Verkehrsdaten ab dem Zeitpunkt der Speicherung zur Bekämpfung von Straftaten des Marktmissbrauchs, u. a. von Insidergeschäften, präventiv ein Jahr lang allgemein und unterschiedslos auf Vorrat speichern. Es geht im Wesentlichen um das Zusammenspiel der einschlägigen Vorschriften der Datenschutzrichtlinie für elektronische Kommunikation im Lichte der Charta der Grundrechte der Europäischen Union (im Folgenden Charta) und der einschlägigen Vorschriften der Marktmissbrauchsrichtlinie und der Marktmissbrauchsverordnung. Für den Fall, dass die betreffenden innerstaatlichen Rechtsvorschriften unionsrechtswidrig sein sollten, möchte das vorlegende Gericht wissen, ob ihre Wirkungen vorläufig aufrechterhalten werden können, um Rechtsunsicherheit zu vermeiden und es zu ermöglichen, dass die auf ihrer Grundlage auf Vorrat gespeicherten Daten zur Aufdeckung und Verfolgung von Insidergeschäften verwendet werden.
Mit seinem heutigen Urteil stellt der Gerichtshof als Erstes fest, dass weder die Marktmissbrauchsrichtlinie noch die Marktmissbrauchsverordnung im Hinblick auf die Ausübung der den zuständigen Finanzaufsichtsbehörden durch sie übertragenen Befugnisse eine Rechtsgrundlage für eine allgemeine Verpflichtung zur Aufbewahrung der Datenverkehrsaufzeichnungen im Besitz der Anbieter von Diensten der elektronischen Kommunikation bilden können.
Als Zweites weist der Gerichtshof darauf hin, dass es sich bei der Datenschutzrichtlinie für elektronische Kommunikation um den Referenzrechtsakt im Bereich der Speicherung und allgemein der Verarbeitung personenbezogener Daten in der elektronischen Kommunikation handelt. Die Datenschutzrichtlinie ist daher auch für die Datenverkehrsaufzeichnungen im Besitz der Anbieter von Diensten der elektronischen Kommunikation maßgeblich, die die zuständigen Finanzaufsichtsbehörden im Sinne der Marktmissbrauchsrichtlinie und der Marktmissbrauchsverordnung bei Letzteren anfordern können. Für die Beurteilung der Frage, ob die Verarbeitung der Aufzeichnungen im Besitz der Anbieter von Diensten der elektronischen Kommunikation zulässig ist, sind mithin die Voraussetzungen gemäß der Datenschutzrichtlinie für elektronische Kommunikation in der Auslegung durch den Gerichtshof maßgeblich.
Der Gerichtshof gelangt deshalb zu dem Schluss, dass es nach der Marktmissbrauchsrichtlinie und der Marktmissbrauchsverordnung in Verbindung mit der Datenschutzrichtlinie für elektronische Kommunikation und im Lichte der Charta nicht zulässig ist, dass die Anbieter von Diensten der elektronischen Kommunikation die Verkehrsdaten ab dem Zeitpunkt der Speicherung zur Bekämpfung von Straftaten des Marktmissbrauchs, u. a. von Insidergeschäften, ein Jahr lang allgemein und unterschiedslos auf Vorrat speichern.
Als Drittes hält der Gerichtshof an seiner Rechtsprechung fest, wonach das Unionsrecht dem entgegensteht, dass ein nationales Gericht die nach nationalem Recht zu treffende Feststellung, dass innerstaatliche Rechtsvorschriften, mit denen die Anbieter von Diensten der elektronischen Kommunikation zur allgemeinen und unterschiedslosen Vorratsspeicherung der Verkehrs- und Standortdaten verpflichtet werden, wegen ihrer Unvereinbarkeit mit der Datenschutzrichtlinie für elektronische Kommunikation ungültig sind, in ihren zeitlichen Wirkungen beschränkt. Der Gerichtshof stellt jedoch klar, dass die Verwertbarkeit von Beweismitteln, die aufgrund einer solchen Vorratsspeicherung von Daten erlangt wurden, nach dem Grundsatz der Verfahrensautonomie der Mitgliedstaaten dem nationalen Recht unterliegt – vorbehaltlich der Beachtung u. a. der Grundsätze der Äquivalenz und der Effektivität. Letzterer verpflichtet ein nationales Strafgericht dazu, Informationen und Beweise, die durch eine mit dem Unionsrecht unvereinbare allgemeine und unterschiedslose Vorratsspeicherung erlangt wurden, auszuschließen, sofern die betreffenden Personen nicht in der Lage sind, sachgerecht zu den Informationen und Beweisen Stellung zu nehmen, die einem Bereich entstammen, in dem das Gericht nicht über Sachkenntnis verfügt, und geeignet sind, die Würdigung der Tatsachen maßgeblich zu beeinflussen.
