BECKMANN UND NORDA - Rechtsanwälte Bielefeld

EuGH-Generalanwältin
Schlussanträge vom
C-61/22

Die EuGH-Generaltanwältin kommt in ihren Schlussanträgen zu dem Ergebnis, dass die obligatorische Erfassung und Speicherung des Fingerabdrucks auf dem Personalausweis mit der DSGVO und anderen unionsrechtlichen Vorgaben vereinbar ist.

Die Pressemitteilung des EuGH:
Nach Ansicht von Generalanwältin Medina ist die obligatorische Erfassung und Speicherung von Fingerabdrücken in Personalausweisen gültig

Die Verordnung 2019/11571 enthält ab dem 2. August 2021 die Verpflichtung, in jeden von den Mitgliedstaaten neu ausgestellten Personalausweis Fingerabdrücke des Inhabers auf einem hochsicheren Speichermedium aufzunehmen.

Im November 2021 stellte ein deutscher Staatsbürger bei der Landeshauptstadt Wiesbaden (Deutschland) einen Antrag auf Ausstellung eines neuen Personalausweises. In seinem Antrag ersuchte er ausdrücklich darum, diesen Ausweis ohne die Aufnahme von Fingerabdrücken im Chip des Ausweises auszustellen.

Die Landeshauptstadt Wiesbaden lehnte diesen Antrag u. a. mit der Begründung ab, dass der Personalausweis nicht ohne ein Abbild von Fingerabdrücken des Inhabers ausgestellt werden könne, da seit dem 2. August 2021 die Verpflichtung bestehe, ein Fingerabdruckbild im Chip neuer Personalausweise zu speichern.

Das in diesem Zusammenhang angerufene Verwaltungsgericht Wiesbaden hegt Zweifel an der Gültigkeit der Verordnung 2019/1157 und demzufolge an dem verpflichtenden Charakter der Erfassung und Speicherung von Fingerabdrücken in deutschen Personalausweisen. Das Verwaltungsgericht Wiesbaden möchte insbesondere wissen, erstens, ob die richtige Rechtsgrundlage für den Erlass der Verordnung 2019/1157 Art. 21 Abs. 2 AEUV oder nicht vielmehr Art. 77 Abs. 3 AEUV gewesen sei, zweitens, ob die Verordnung 2019/1157 mit den Art. 7 und 8 der Charta in Verbindung mit deren Art. 52 Abs. 1 vereinbar sei und, drittens, ob diese Verordnung mit der Verpflichtung zur Durchführung einer Datenschutz-Folgenabschätzung gemäß Art. 35 Abs. 10 der Datenschutz-Grundverordnung im Einklang stehe.

In ihren Schlussanträgen vom heutigen Tag kommt Generalanwältin Laila Medina zunächst zu dem Ergebnis, dass die Verordnung 2019/1157 zu Recht auf der Grundlage von Art. 21 Abs. 2 AEUV erlassen worden sei, um die Ausübung des Rechts der Unionbürger, sich in den Mitgliedstaaten frei zu bewegen und aufzuhalten, zu erleichtern.

In diesem Zusammenhang stellt sie fest, dass dieses Recht es den Unionsbürgern ermögliche, am Alltagsleben der anderen Einwohner des Aufnahmemitgliedstaats teilzuhaben. Die nationalen Personalausweise hätten somit die gleichen Funktionen wie die Personalausweise der Gebietsansässigen, was bedeute, dass nur ein zuverlässiger und authentischer Identitätsnachweis die uneingeschränkte Inanspruchnahme der Freizügigkeit erleichtere.

Die Vereinheitlichung des Formats der Personalausweise und die Verbesserung ihrer Zuverlässigkeit durch Sicherheitsstandards, einschließlich digitaler Fingerabdrücke, wirkten sich unmittelbar auf die Ausübung dieses Rechts aus, indem sie diese Ausweise vertrauenswürdiger machten und damit die Akzeptanz bei den Behörden der Mitgliedstaaten und den Dienstleistern stärkten. Letztendlich bedeute dies eine Verringerung der Unannehmlichkeiten, Kosten und administrativen Hindernisse für mobile Unionsbürger.

Schließlich ist sie der Auffassung, dass die dem Rat durch Art. 77 Abs. 3 AEUV verliehene Zuständigkeit dahin zu verstehen sei, dass sie sich ausschließlich auf den Kontext der Grenzkontrollpolitik beziehe. Eine Unionsmaßnahme, die über diesen spezifischen Zusammenhang hinausgehe, wie dies bei der Verordnung 2019/1157 der Fall sei, falle nicht in den Anwendungsbereich dieser Bestimmung.

Die Generalanwältin wendet sich dann der Prüfung zu, ob die Verpflichtung, ein Abbild von zwei Fingerabdrücken zu erfassen und in Personalausweisen zu speichern, eine nicht gerechtfertigte Einschränkung des Grundrechts auf Achtung des Privatlebens im Hinblick auf die Verarbeitung personenbezogener Daten darstelle.

Die Verordnung 2019/1157, die Maßnahmen einführe, die den vom Gerichtshof im Urteil Schwarz in Bezug auf Reisepässe geprüften vergleichbar seien, stelle eine Einschränkung der von den Art. 7 und 8 gewährleisteten Rechte dar. Daher sei zu prüfen, ob diese Verarbeitung auf der Grundlage von Art. 52 Abs. 1 der Charta gerechtfertigt werden könne.

Zur Frage, ob die sich aus der Verordnung 2019/1157 ergebenden Einschränkungen einer dem Gemeinwohl dienenden Zielsetzung entsprechen, vertritt die Generalanwältin die Auffassung, dass, da die fehlende Einheitlichkeit der Formate und Sicherheitsmerkmale der nationalen Personalausweise die Gefahr von Fälschungen und Dokumentenbetrug erhöhe, die von der Verordnung 2019/1157 eingeführten Einschränkungen, die diese Gefahr bekämpfen und damit die Akzeptanz solcher Ausweise fördern sollten, eine solche Zielsetzung verfolgten.

Sie ist außerdem der Ansicht, dass diese Einschränkungen geeignet und erforderlich seien und nicht über das hinausgingen, was zur Erreichung des Hauptziels dieser Verordnung absolut notwendig sei. Insbesondere scheine es keine im Vergleich zur Abnahme und Speicherung von Fingerabdrücken gleichermaßen geeignete, aber weniger in die Privatsphäre eingreifende Methode zu geben, um das Ziel der Verordnung 2019/1157 auf ähnlich wirksame Weise zu erreichen. Darüber hinaus biete die Verordnung 2019/1157 hinreichende und geeignete Maßnahmen, die sicherstellten, dass die Erfassung, Speicherung und Verwendung biometrischer Identifikatoren wirksam vor Missbrauch oder Fehlgebrauch geschützt sei. Diese Maßnahmen garantierten, dass in einem neu ausgestellten Ausweis gespeicherte biometrische Identifikatoren nach Ausstellung dieses Ausweises ausschließlich dem Ausweisinhaber zur Verfügung stünden und dass sie nicht öffentlich zugänglich seien. Ferner enthalte die Verordnung 2019/1157 keine Rechtsgrundlage für die Einrichtung oder Aufrechterhaltung nationaler Datenbanken oder einer zentralen Datenbank auf der Ebene der Europäischen Union.

Was schließlich die Frage angeht, ob die Verordnung 2019/1157 mit der Verpflichtung zur Durchführung einer Datenschutz-Folgenabschätzung nach Art. 35 Abs. 10 DSGVO im Einklang stehe, weist die Generalanwältin darauf hin, dass die DSGVO und die Verordnung 2019/117 Rechtsakte des Sekundärrechts seien, die in der Hierarchie der Quellen des Unionsrechts gleichrangig seien. Außerdem ergebe sich aus der DSGVO an keiner Stelle, dass die Verpflichtung zur Durchführung einer Folgenabschätzung, wie sie in Art. 35 Abs. 1 DSGVO vorgesehen ist, für den Unionsgesetzgeber verbindlich sei, noch lege diese Bestimmung irgendein Kriterium fest, anhand dessen die Gültigkeit einer anderen sekundärrechtlichen Rechtsvorschrift der Europäischen Union zu beurteilen wäre. Die Generalanwältin ist daher der Ansicht, dass das Europäische Parlament und der Rat in dem Gesetzgebungsverfahren, das zum Erlass der Verordnung 2019/1157 geführt habe, nicht zur Durchführung einer Folgenabschätzung verpflichtet gewesen seien.

Die vollständigen Schlussanträge finden Sie hier:

Das BMDV hat am 01.06.2023 die Beteiligung von Ländern, kommunalen Spitzenverbänden, Fachkreisen und Verbänden zum Entwurf der Einwilligungsverwaltungs-Verordnung (EinwVO) nach § 26 Abs. 2 TTDSG - Einwilligung zum Speichern von Informationen nach § 25 Abs.1 TTDSG eingeleitet.

Aus dem Entwurf:
A. Problem und Ziel § 26 Absatz 1 des Telekommunikation-Telemedien-Datenschutz-Gesetzes (TTDSG) bestimmt, dass eine zuständige unabhängige Stelle Dienste anerkennen kann, die nutzerfreundliche und wettbewerbskonforme Verfahren bereitstellen, um die nach § 25 Absatz 1 TTDSG erforderliche Einwilligung von Endnutzern zu verwalten.

Viele Anbieter von Telemedien greifen auf die Endeinrichtungen der Endnutzer zu, um hier Informationen zu speichern oder bereits gespeicherte Informationen abzurufen. Dies geschieht häufig durch den Einsatz von Cookies. Anhand der im Cookie gespeicherten Informationen kann der Webserver u. a. den Endnutzer wiedererkennen, benutzerspezifische Einstellungen wiederherstellen, Reichweitenmessungen vornehmen, Aktivitäten nachverfolgen (sog. Tracking) oder individuelle Werbung einblenden. Nach § 25 Absatz 1 TTDSG dürfen Anbieter von Telemedien nur dann Informationen in der Endeinrichtung des Endnutzers speichern oder auf dort bereits gespeicherte Informationen zugreifen, wenn der Endnutzer nach Maßgabe der Verordnung (EU) 216/679 eingewilligt hat. Eine Ausnahme vom Einwilligungserfordernis in Cookies besteht nach § 25 Absatz 2 TTDSG nur, wenn der alleinige Zweck hierfür die Durchführung der Übertragung einer Nachricht über ein öffentliches Telekommunikationsnetz ist oder ein Cookie unbedingt erforderlich ist, damit der Anbieter eines Telemediendienstes einen vom Nutzer ausdrücklich gewünschten Telemediendienst zur Verfügung stellen kann. Für das Erfordernis einer Einwilligung nach § 25 Absatz 1 TTDSG kommt es nicht darauf an, ob personenbezogene Daten verarbeitet werden. Die Möglichkeiten der Verordnung (EU) 216/679, Daten ohne Einwilligung zu verarbeiten, finden hier keine Anwendung. Deshalb müssen Anbieter von Telemedien die Endnutzer bei jeder Inanspruchnahme ihres Dienstes nach den Einwilligungen der Endnutzer in die unterschiedlichen Arten von Cookies fragen. In der Praxis erfolgt dies häufig mittels sogenannter Cookie-Einwilligungs-Banner.

Anerkannte Dienste zur Einwilligungsverwaltung sollen eine anwenderfreundliche Alternative zu der Vielzahl zu treffender Einzelentscheidungen für Endnutzer schaffen. Sie verwalten die vom Endnutzer getroffenen Entscheidungen, ob sie eine Einwilligung nach § 25 Absatz 1 TTDSG gegenüber einem Anbieter von Telemedien erteilen oder nicht, und übermitteln die Entscheidung an den Anbieter von Telemedien, wenn dieser sie nachfragt. Bekommen die Anbieter von Telemedien die Einstellungen des Endnutzers zur Einwilligung auf diese Weise übermittelt, sind sie nicht mehr auf eine eigene Abfrage der Einwilligung nach § 25 Absatz 1 TTDSG angewiesen.

§ 26 Absatz 2 TTDSG ermächtigt die Bundesregierung, durch Rechtsverordnung zu regeln:

- die Anforderungen an die Nutzerfreundlichkeit und Wettbewerbskonformität, die ein Dienst zu Einwilligungsverwaltung erfüllen muss, um anerkannt werden zu können,
- das Anerkennungsverfahren und
- die technischen und organisatorischen Maßnahmen, die Software zum Abrufen und Darstellen von Informationen aus dem Internet und Anbietern von Telemedien ergreifen können, damit diese die Einstellungen, die ein Endnutzer über einen anerkannten Dienst zur Einwilligungsverwaltung vornimmt, befolgen und sie die Einbindung des anerkannten Dienstes bei der Abfrage der Einwilligung nach § 25 TTDSG berücksichtigen.

Mit dieser Verordnung soll diese Ermächtigung umgesetzt werden.

B. Lösung
Die EinwV regelt die erforderlichen Anforderungen für nutzerfreundliche und wettbewerbskonforme Verfahren zur Verwaltung der von den Endnutzern erteilten Einwilligungen nach § 25 Absatz 1 TTDSG. Durch die Einbindung eines anerkannten Dienstes zur Einwilligungsverwaltung wird den Endnutzern ein transparentes Werkzeug zur Verfügung gestellt, durch das sie Einstellungen zur Einwilligung vornehmen, jederzeit nachvollziehen und überprüfen können. Die Anerkennung durch eine zuständige Stelle soll für die Endnutzer und Anbieter von Telemedien einen Anreiz bieten, solche Dienste zur Einwilligungsverwaltung zu nutzen und das Vertrauen in ein rechtssicheres Verfahren stärken. Für Anbieter von Telemedien bietet dieses Verfahren eine Möglichkeit, die Einwilligungen nach § 25 Absatz 1 TTDSG nutzerfreundlich zu erfragen, ohne die Inanspruchnahme ihres Dienstes durch die Einblendung eines Cookie-Einwilligungs-Banner stören zu müssen.

EuGH-Generalanwalt
Schlussanträge vom
C-807/21

Der EuGH-Generalanwalt kommt in seinen Schlussanträge zu dem Ergebnis, dass die unmittelbare Verhängung einer Geldbuße gegen juristische Person nach Art. 83 Abs. 4-6 DSGVO möglich ist. § 30 OWiG greift insoweit nicht.

Das Ergebnis der Schlussanträge:
Nach alledem schlage ich dem Gerichtshof vor, dem Kammergericht Berlin (Deutschland) wie folgt zu antworten:

Art. 58 Abs. 2 Buchst. i der Verordnung (EU) 2016/679 des Europäischen Parlaments und des Rates vom 27. April 2016 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten, zum freien Datenverkehr und zur Aufhebung der Richtlinie 95/46/EG (Datenschutz-Grundverordnung) in Verbindung mit Art. 4 Nr. 7 und Art. 83 dieser Verordnung

ist dahin auszulegen, dass

die Verhängung einer Geldbuße gegen eine juristische Person, die für die Verarbeitung personenbezogener Daten verantwortlich ist, nicht von der vorherigen Feststellung eines Verstoßes durch eine oder mehrere individualisierte natürliche Person(en), die im Dienst dieser juristischen Person stehen, abhängt.

Die Verwaltungsgeldbußen, die gemäß der Verordnung 2016/679 verhängt werden können, setzen voraus, dass festgestellt wird, dass das den geahndeten Verstoß begründende Verhalten vorsätzlich oder fahrlässig war.

Die vollständigen Schlussanträge finden Sie hier:

BGH
Beschluss vom 27.03.2023
VI ZR 225/21

Der BGH hat das Verfahren hinsichtlich der Frist zur Löschung der Restschuldbefreiung aus der Schufa-Datenbank ausgesetzt, bis der EuGH in einem anderen Verfahren die streitrelaventen Vorgaben der DSGVO geklärt hat.

Die Pressemitteilung des BGH:
Aussetzung des Verfahrens in Sachen VI ZR 225/21 (Löschung der Eintragung über die Erteilung der Restschuldbefreiung im Insolvenzverfahren in einer Datenbank der Schufa)

Der unter anderem für Ansprüche nach der EU-Datenschutzgrundverordnung und dem Bundesdatenschutzgesetz zuständige VI. Zivilsenat des Bundesgerichtshofes hat darüber zu entscheiden, ob ein Schuldner, dem vom Insolvenzgericht Restschuldbefreiung erteilt worden ist, von der Schufa die Löschung dieser Information in ihrer Datenbank grundsätzlich oder jedenfalls dann verlangen kann, wenn die Frist für die Speicherung dieser Information im öffentlichen bundesweiten Insolvenzportal abgelaufen ist (vgl. im Einzelnen Pressemitteilung Nr. 26/2023 vom 9.2.2023).

Mit Beschluss vom heutigen Tag hat der VI. Zivilsenat das Verfahren bis zu der Entscheidung des Gerichtshofs der Europäischen Union in den dort anhängigen (verbundenen) Verfahren C-26/22 und C-64/22 ausgesetzt.

Vorinstanzen:

LG Kiel - 2 O 10/21 – Urteil vom 12. Februar 2021

OLG Schleswig - 17 U 15/21 – Urteil vom 2. Juli 2021

Das BMDV hat den Referentenentwurf der Einwilligungsverwaltungs-Verordnung (EinwVO) nach § 26 Abs. 2 TTDSG vorgelegt.

Aus dem Entwurf:
A. Problem und Ziel
In § 26 Telekommunikation-Telemedien-Datenschutzgesetz (TTDSG) wurde ein Rechtsrahmen für die Anerkennung von Diensten geschaffen, die nutzerfreundliche und wettbewerbskonforme Verfahren zur Einholung und Verwaltung der nach § 25 Absatz 1 TTDSG erforderlichen Einwilligung in das Speichern von Informationen auf Endeinrichtungen der Endnutzer oder in den Abruf von Informationen, die bereits auf Endeinrichtungen gespeichert sind, ermöglichen. Unabhängige Dienste zur Einwilligungsverwaltung sollen es den Endnutzern unter Mitwirkung von Software zum Abrufen und Darstellen von Informationen aus dem Internet (in der Regel Browser) und der verantwortlichen Telemedienanbieter ermöglichen, über die erforderliche Einwilligung in den Zugriff auf ihre Endeinrichtungen durch Dritte in informierter Weise zu entscheiden. Vor allem geht es dabei um die Einwilligung in Cookies oder ähnliche Technologien, die von Telemedienanbietern zum Zwecke der Ausspielung von Werbung eingesetzt werden. Ziel ist die Überwindung der derzeitigen Praxis der Telemedienanbieter, die einzelnen Einwilligungen bei jedem Besuch der Webseite mittels sog. Einwilligungs-Cookie-Banner einzuholen. Diese Praxis überfordert die meisten Endnutzer. Durch die Einbindung anerkannter Dienste zur Einwilligungsverwaltung soll für die Endnutzer eine anwenderfreundliche Alternative zur bisherigen Praxis geschaffen und die Endnutzer von vielen Einzelentscheidungen entlastet werden. § 26 Absatz 2 TTDSG ermächtigt die Bundesregierung, durch Rechtsverordnung Anforderungen an das nutzerfreundliche und wettbewerbskonforme Verfahren der Einwilligungsverwaltung und technische Anwendungen, an das Verfahren der Anerkennung von Diensten der Einwilligungsverwaltung und die technischen und organisatorischen Anforderungen an Browser-Software und Telemedienanbieter zur Befolgung von Endnutzer-Einstellungen und Berücksichtigung von anerkannten Diensten zu regeln. Mit dieser Verordnung soll diese Ermächtigung umgesetzt werden.

B. Lösung
Die Einw-VO enthält die Anforderungen, bei deren Einhaltung die Erteilung einer wirksamen Einwilligung in das Speichern von Informationen auf Endeinrichtungen sowie in den Abruf von Informationen, die auf Endeinrichtungen gespeichert sind, in nutzerfreundlicher und wettbewerbskonformer Weise möglich ist. Damit können wiederholende Aufforderungen zur Erteilung von Einwilligungen insbesondere beim Besuch von Webseiten und die damit verbundene Belastung der Endnutzer vermieden werden. Zugleich wird sichergestellt, dass Telemedienanbieter, die im Rahmen ihrer Geschäftsmodelle Einwilligungen benötigen,diese durch Dienste zur Einwilligungsverwaltung auch wirksam und nachweisbar erhalten können und nicht diskriminiert werden.

Sie finden den vollständigen Entwurf hier:
Referentenentwurf - Verordnung zur Regelung eines nutzerfreundlichen und wettbewerbskonformen Verfahrens zur Einwilligungsverwaltung, zur Anerkennung von Diensten und zu technischen und organisatorischen Maßnahmen nach § 26 Absatz 2 Telekommunikation-Telemedien-Datenschutzgesetz (Einwilligungsverwaltungs-Verordnung – EinwVO)

VG Wiesbaden
Beschluss vom 13.01.2022
6 K 1563/21.WI

Das VG Wiesbaden hat dem EuGH zur Entscheidung vorgelegt, ob die Speicherung des Fingerabdrucks auf dem Personalausweis mit der DSGVO und anderen unionsrechtlichen Vorgaben vereinbar ist.

Aus den Entscheidungsgründen:
1. Zur Überzeugung des Gerichts hätte für den Erlass der das besondere Gesetzgebungsverfahren des Art. 77 AEUV durchgeführt werden müssen.

Der AEUV unterscheidet in dessen Art. 289 zwischen dem ordentlichen Gesetzgebungsverfahren und den besonderen Gesetzgebungsverfahren. Die wurde auf Art. 21 Abs. 2 AEUV gestützt und auf Vorschlag der Europäischen Kommission nach Zuleitung des Entwurfs des Gesetzgebungsakts an die nationalen Parlamente, nach Stellungnahme des Europäischen Wirtschafts- und Sozialausschusses und nach Anhörung des Ausschusses der Regionen gemäß dem ordentlichen Gesetzgebungsverfahren erlassen.

Laut Art. 21 Abs. 2 AEUV können das Europäische Parlament und der Rat gemäß dem ordentlichen Gesetzgebungsverfahren Vorschriften erlassen, mit denen die Ausübung des Freizügigkeitsrechts erleichtert wird, wenn zur Erreichung dieses Ziels ein Tätigwerden der Union erforderlich erscheint und die Verträge hierfür keine Befugnisse vorsehen.

Art. 77 Abs. 3 S. 1 AEUV enthält eine weitere Kompetenznorm, die sich unter anderem auf Regelungen zu Personalausweisen bezieht. Gemäß dieser Norm kann der Rat gemäß einem besonderen Gesetzgebungsverfahren Bestimmungen betreffend Pässe, Personalausweise, Aufenthaltstitel oder diesen gleichgestellte Dokumente erlassen, sofern die Verträge hierfür anderweitig keine Befugnisse vorsehen, falls zur Erleichterung der Freizügigkeit ein Tätigwerden der Union erforderlich ist. Der Rat beschließt einstimmig nach Anhörung des Europäischen Parlaments. Durch dieses Erfordernis der Einstimmigkeit wird den Mitgliedstaaten auf diesem Gebiet ein Höchstmaß an Souveränität belassen (von der Groeben/Schwarze/Sarah Progin-Theuerkauf, 7. Aufl. 2015, AEUV Art. 77, Rn 22).

Art. 77 AEUV entspricht dem damaligen Art. 62 EGV (EG-Vertrag). Die , in deren Art. 1 Abs. 2 bestimmt ist, dass Fingerabdrücke in Reisepässen gespeichert werden, wurde damals vom Verordnungsgeber auf Art. 62 EGV gestützt. Mit Urteil vom 17.10.2013 entschied der Europäische Gerichthof, dass Art. 62 Nr. 2 Buchst. a EGV eine geeignete Rechtsgrundlage für den Erlass der , insbesondere deren Art. 1 Abs. 2, darstellte (EuGH, Urteil vom 17.10.2013 – C-291/12 –, Rn. 20; CELEX 62012CJ0291).

Die Kompetenz nach Art. 77 Abs. 3 AEUV geht Art. 21 Abs. 2 AEUV vor, da Art. 77 Abs. 3 AEUV als dem Inhalt nach speziellere Vorschrift höhere Anforderungen an das Gesetzgebungsverfahren stellt (Schwarze/Becker/Hatje/Schoo, EU-Kommentar, AEUV Art. 77 Rn. 20, beck-online) und Art. 21 Abs. 2 AEUV nur dann einschlägig ist, wenn die Verträge für das Erreichen des Ziels der Förderung der Freizügigkeit keine anderen Befugnisse vorsehen. Die bezieht sich zwar nicht auf die Weiterentwicklung des Schengen-Besitzstandes, intendiert aber wie die die Angleichung der Sicherheitsmerkmale und die Aufnahme biometrischer Identifikatoren als wichtigen Schritt zur Verwendung neuer Elemente im Hinblick auf künftige Entwicklungen auf europäischer Ebene. Hierdurch soll wie bei der die Sicherheit von Dokumenten (hier: Personalausweisen statt Reisepässen) erhöht werden.

Nach alledem ist das Gericht der Auffassung, dass es für den wirksamen Erlass der – und damit auch des Art. 3 Abs. 5 dieser Verordnung – des besonderen Gesetzgebungsverfahrens nach Art. 77 Abs. 3 AEUV bedurft hätte.

2. Zudem bestehen inhaltliche Zweifel an der Vereinbarkeit der Erfassung und Speicherung von Fingerabdrücken bei Personalausweisen mit Art. 7 und 8 GrCh.

Nach Art. 7 GrCh hat jede Person das Recht auf Achtung ihres Privat- und Familienlebens, ihrer Wohnung sowie ihrer Kommunikation. Aus Art. 8 GrCh folgt das Recht jeder Person auf Schutz der sie betreffenden personenbezogenen Daten.

Bereits im Urteil vom 17.10.2013 hat der Europäische Gerichtshof festgestellt, dass die Erfassung und die Speicherung von Fingerabdrücken durch die nationalen Behörden in Reisepässen, die in Art. 1 Abs. 2 der geregelt sind, einen Eingriff in die Rechte auf Achtung des Privatlebens und auf Schutz personenbezogener Daten darstellen (EuGH, Urteil vom 17.10.2013 – C-291/12 –, Rn. 30, CELEX 62012CJ0291). Fingerabdrücke sind personenbezogene Daten, da sie objektiv unverwechselbare Informationen über natürliche Personen enthalten und deren genaue Identifizierung ermöglichen (EuGH, Urteil vom 17.10.2013 – C-291/12 –, Rn. 27, CELEX 62012CJ0291, unter Verweis auf EGMR, Urteil vom 04.12.2008, S. und Marper/Vereinigtes Königreich, Reports of judgments and decisions 2008-V, S. 213, §§ 68 und 84). Dieselben Grundrechte sind auch bei der Erfassung und Speicherung von Fingerabdrücken bei Personalausweisen betroffen.

Das Gericht hat Zweifel daran, ob die Erfassung der Fingerabdrücke und damit ein Eingriff in Art. 7 und 8 GrCh auch bei Personalausweisen gerechtfertigt ist.

Nach Art. 52 GrCh muss jede Einschränkung der Ausübung der in dieser Charta anerkannten Rechte und Freiheiten gesetzlich vorgesehen sein und den Wesensgehalt dieser Rechte und Freiheiten achten. Unter Wahrung des Grundsatzes der Verhältnismäßigkeit dürfen Einschränkungen nur vorgenommen werden, wenn sie erforderlich sind und den von der Union anerkannten dem Gemeinwohl dienenden Zielsetzungen oder den Erfordernissen des Schutzes der Rechte und Freiheiten anderer tatsächlich entsprechen.

Zudem ist in Art. 8 Abs. 2 GrCh bestimmt, dass personenbezogene Daten nur mit Einwilligung der betroffenen Person oder auf einer sonstigen gesetzlich geregelten legitimen Grundlage verarbeitet werden dürfen.

Im vorliegenden Fall liegt zur Überzeugung des Gerichts – ebenso wie der Europäische Gerichtshof zu Reisepässen entschieden hat – keine Einwilligung der einen Personalausweis beantragenden Personen in die Erfassung ihrer Fingerabdrücke vor. Jedoch bestimmt dies Art. 3 Abs. 5 als gesetzliche Regelung für alle Personalausweise.

Gemäß sind alle Deutschen verpflichtet, einen gültigen Ausweis zu besitzen, sobald sie 16 Jahre alt sind und der allgemeinen Meldepflicht unterliegen oder, ohne ihr zu unterliegen, sich überwiegend in Deutschland aufhalten. Zur Ausstellung dieses Dokuments ist die Abnahme von Fingerabdrücken damit zwingend vorgeschrieben. Da eine Personalausweispflicht besteht, kann nicht davon ausgegangen werden, dass diejenigen, die einen Personalausweis beantragen, in eine solche Datenverarbeitung eingewilligt haben (so auch EuGH, Urteil vom 17.10.2013 – C-291/12 – Rn. 31, CELEX 62012CJ0291).

Mithin bedarf es nach Art. 52 Abs. 1 GrCh einer legitimen gesetzlichen Grundlage.

Zwar ist die Aufnahme von Fingerabdrücken in Personalausweisen in Art. 3 Abs. 5 gesetzlich vorgesehen. Auch entspricht dies zumindest in Teilen den von der Union anerkannten dem Gemeinwohl dienenden Zielsetzungen.

Ausweislich der Erwägungsgründe (1), (4) und (46) dient die dazu, die Freizügigkeit zu stärken und der Fälschung von Dokumenten und der Vorspiegelung falscher Tatsachen in Bezug auf die an das Aufenthaltsrecht geknüpften Bedingungen vorzubeugen. Die Freizügigkeit schließt das Recht ein, mit einem gültigen Personalausweis oder Reisepass Mitgliedstaaten zu verlassen und in Mitgliedstaaten einzureisen, Erwägungsgrund (2). Nach Erwägungsgrund (18) dient die Aufnahme von Fingerabdrücken dazu, dass in Kombination mit dem Gesichtsbild eine zuverlässige Identifizierung des Inhabers und eine Verringerung des Betrugsrisikos erreicht werden kann.

Innerhalb der Europäischen Union kann der Personalausweis im Rahmen der Grenzüberschreitung genutzt werden. Außerdem erlauben auch Staaten, die nicht der EU angehören, die Einreise mit dem Personalausweis, so etwa insbesondere die Schweiz, Island, Norwegen, Albanien und Montenegro. Der Personalausweis wird vor diesem Hintergrund zumindest auch als Reisedokument genutzt, sodass hierdurch die Regelung auch dem Zweck dient, die illegale Einreise aus diesen Ländern zu verhindern. Dies würde eine von der Union anerkannte dem Gemeinwohl dienende Zielsetzung darstellen (EuGH, Urteil vom 17.10.2013 – C-291/12 –, Rn. 38, CELEX 62012CJ0291). Allerdings liegt der Hauptzweck des Personalausweises gerade nicht primär darin, ein Reisedokument im Schengen-Raum wie der Reisepass zu sein. Insoweit verweisen die Erwägungsgründe der zu Recht, entgegen denen in der , gerade nicht auf den Schengen-Raum als Raum der Freiheit.

Auch regelt die die Nutzung der gespeicherten biometrischen Daten nicht in diesem Sinne, wenn in Art. 11 Abs. 6 festlegt ist, dass die gespeicherten biometrischen Daten nur verwendet werden dürfen, um die Echtheit oder Identität des Inhabers zu überprüfen. Mithin lässt die offen, wie die Freizügigkeit erleichtert werden soll. Das Ziel der Verhinderung illegaler Einreise kann insoweit nicht mit der Erleichterung der Freizügigkeit gleichgesetzt werden.

Selbst wenn die Regelung eine dem Gemeinwohl dienende Zielsetzung verfolgen sollte, bestehen jedoch Zweifel daran, ob Art. 3 Abs. 5 verhältnismäßig ist. Dies wäre nur dann der Fall, wenn die Einschränkungen dieser Rechte aus der GrCh gemessen an den mit der verfolgten Zielen und damit gemessen am Zweck, die illegale Einreise von Personen in das Unionsgebiet zu verhindern und eine zuverlässige Identifizierung des Ausweisinhabers zu ermöglichen, verhältnismäßig sind. Hierfür müssen die mit dieser Verordnung eingesetzten Mittel zur Erreichung dieser Ziele geeignet sein und nicht über das dazu Erforderliche hinausgehen (EuGH, Urteil vom 17.10.2013 – C-291/12 –, Rn. 40, Rn. 38, CELEX 62012CJ0291).

Hierbei muss der Ansicht des Gerichts nach berücksichtigt werden, dass der Personalausweis in tatsächlicher und rechtlicher Hinsicht nicht mit dem Reisepass gleichgesetzt werden kann, sondern dass hinsichtlich der Verwendung dieser Dokumente deutliche Unterschiede bestehen. Dennoch werden durch Art. 3 Abs. 5 die beiden Dokumente hinsichtlich der Fingerabdrücke gleich behandelt.

Zwar kann der Personalausweis – wie oben bereits dargestellt – auch als Reisedokument verwendet werden. Dennoch unterscheiden sich Personalausweise und Reisepässe sowohl in rechtlicher, als auch praktischer Hinsicht. Selbst wenn Personalausweise auch als Reisedokumente im Freizügigkeitskontext genutzt werden, erfolgt keine routinemäßige Kontrolle zumindest bei Reisen zwischen EU-Mitgliedsstaaten. Zudem dürfte für die meisten Unionsbürger die primäre Funktion der nationalen Identitätskarte nicht mit der Freizügigkeit verknüpft sein. Personalausweise weisen nämlich über diese hinausgehende Nutzungsarten auf. So werden Personalausweise im Alltag unter anderem für Interaktionen mit den nationalen Verwaltungsbehörden oder mit privaten Dritten, wie etwa Banken oder Fluggesellschaften genutzt. Unionsbürger, die ihre Freizügigkeit ausüben wollen würden, können dies bereits mit ihrem Reisepass tun (in diesem Sinne auch: Stellungnahme des Europäischen Datenschutzbeauftragten zur geplanten Einführung der Speicherung von Fingerabdrücken in Personalausweisen vom 10.08.2018, abrufbar unter https://edps.europa.eu/sites/edp/files/publication/18-08-10_opinion_eid_en.pdf S. 10).

Zudem besteht in Deutschland eine Pflicht, einen Personalausweis zu besitzen, . Der Bürger kann im Gegensatz zum Reisepass nicht selbst entscheiden, ob er einen Personalausweis beantragt oder nicht. Auch der Europäische Datenschutzbeauftragte ist der Ansicht, dass die Aufnahme und Speicherung von Fingerabdrücken weitreichende Auswirkungen auf bis zu 370 Mio. EU-Bürger hätte, da er bei 85 % der EU-Bevölkerung die obligatorische Abnahme von Fingerabdrücken verlangen würde. Dieser breit angelegte Anwendungsbereich sowie die höchst sensiblen Daten, die verarbeitet werden (Gesichtsbilder in Kombination mit Fingerabdrücken), verlangen eine gründliche Prüfung auf der Grundlage einer strengen Prüfung der Notwendigkeit (Stellungnahme des Europäischen Datenschutzbeauftragten zur geplanten Einführung der Speicherung von Fingerabdrücken in Personalausweisen vom 10.08.2018, abrufbar unter https://edps.europa.eu/sites/edp/files/publication/18-08-10_opinion_eid_en.pdf S. 9, 10 m.w.N). Das Gericht folgt der Überlegung des Europäische Datenschutzbeauftragte, dass in Anbetracht der Unterschiede zwischen Personalausweisen und Reisepässen die Einführung von Sicherheitsmerkmalen, die für Reisepässe möglicherweise als angemessen gelten, für Personalausweise nicht automatisch gelten darf, sondern dies der Überlegung und einer gründlichen Analyse bedarf (ABl. C 338 vom 21.09.2018, S. 22). Diese fehlt vorliegend.

Das Gericht ist der Ansicht, dass sich in Kombination mit den oben geschilderten weit gefassten Verwendungsmöglichkeiten und der Vielzahl der betroffenen Unionsbürger nach eine viel höhere Eingriffsintensität im Vergleich zu Reisepässen ergibt, die im Gegenzug auch eine stärkere Rechtfertigung erfordert.

Im Rahmen der Auslegung der Art. 7 und 8 GrCh sind auch die Wertungen der DS-GVO zu berücksichtigen. Ausweislich der Erwägungsgründe (1) und (2) der DS-GVO ist der Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten ein Grundrecht. Die Grundsätze und Vorschriften zum Schutz natürlicher Personen bei der Verarbeitung ihrer personenbezogenen Daten sollten gewährleisten, dass ihre Grundrechte und Grundfreiheiten und insbesondere ihr Recht auf Schutz personenbezogener Daten ungeachtet ihrer Staatsangehörigkeit oder ihres Aufenthaltsorts gewahrt bleiben. Die DS-GVO soll zur Vollendung eines Raums der Freiheit, der Sicherheit und des Rechts und einer Wirtschaftsunion, zum wirtschaftlichen und sozialen Fortschritt, zur Stärkung und zum Zusammenwachsen der Volkswirtschaften innerhalb des Binnenmarkts sowie zum Wohlergehen natürlicher Personen beitragen.

Daktyloskopische Daten sind besondere Arten personenbezogener Daten nach Art. 9 Abs. 1 DS-GVO, nämlich biometrische Daten. Diese werden in Art. 4 Nr. 14 DS-GVO definiert als mit speziellen technischen Verfahren gewonnene personenbezogene Daten zu den physischen, physiologischen oder verhaltenstypischen Merkmalen einer natürlichen Person, die die eindeutige Identifizierung dieser natürlichen Person ermöglichen oder bestätigen, wie Gesichtsbilder oder daktyloskopische Daten. Gemäß Art. 9 Abs. 1 DS-GVO ist die Verarbeitung solcher biometrischen Daten im Grundsatz untersagt und nur in eng gefassten Ausnahmefällen zulässig.

Soweit die Fingerabdrücke in Personalausweisen aufgenommen werden sollen, um die Fälschungssicherheit zu fördern, ist festzuhalten, dass in den Jahren 2013-2017 lediglich 38.870 gefälschte Identitätskarten festgestellt worden sein sollen und seit Jahren die Nutzung gefälschter Identitätskarten abnimmt (Stellungnahme des Europäischen Datenschutzbeauftragten zur geplanten Einführung der Speicherung von Fingerabdrücken in Personalausweisen vom 10.08.2018, abrufbar unter https://edps.europa.eu/sites/edp/files/publication/18-08-10_opinion_eid_en.pdf,S.11).

Es ist bereits nicht hinreichend deutlich, ob die Aufnahme von Fingerabdrücken die Sicherheit vor Fälschungen tatsächlich zu fördern vermag. Eine Übereinstimmung der biometrischen Daten, die auf dem Chip des Personalausweises gespeichert sind mit den Fingerabdrücken des Besitzers des Ausweises bestätigt lediglich, dass das Dokument zum Besitzer gehört. Aus der Übereinstimmung an sich folgt noch kein Nachweis der Identität, solange nicht der Personalausweis selbst als echt festgestellt wurde. Zwar ist anerkannt, dass die Nutzung biometrischer Daten die Wahrscheinlichkeit der erfolgreichen Fälschung eines Dokumentes reduziert, so dass die Aufnahme von Fingerabdrücken zumindest teilweise den Zweck fördern kann (Stellungnahme des Europäischen Datenschutzbeauftragten zur geplanten Einführung der Speicherung von Fingerabdrücken in Personalausweisen vom 10.08.2018, abrufbar unter https://edps.europa.eu/sites/edp/files/publication/18-08-10_opinion_eid_en.pdf S. 13).

Ob jedoch diese Möglichkeit den weitreichenden Eingriff zu rechtfertigen vermag, erscheint höchst fraglich, zumal auch ein Personalausweis mit defektem Chip entgegen der nach nationalem Recht weiterhin gültig ist. Hierzu führt das Bundesamt für Sicherheit in der Informationstechnik aus, dass "ein Ausweis mit funktionsunfähigem Chip seine Gültigkeit [behält], auch wenn der integrierte Chip erkennbar defekt ist. Die Sicherheit als Ausweisdokument ist durch die physischen Sicherheitsmerkmale gegeben" (https://www.bsi.bund.de/DE/Themen/ Verbraucherinnen-und-Verbraucher/Informationen-und-Empfehlungen/Digitale-Verwaltung/Online-Ausweisfunktion/FAQ-Online-Ausweisfunktion/faq-online-ausweisfunktion_node.html). Wenn jedoch die Sicherheit allein durch die physischen Sicherheitsmerkmale (insbesondere Mikroschriften, UV-Aufdrucke etc.) gegeben ist, stellt sich die Frage nach der Erforderlichkeit der Aufnahme von Fingerabdrücken umso deutlicher.

Auch der Europäische Datenschutzbeauftragte betonte, dass Sicherheitsmaßnahmen bezogen auf den Druck des Dokuments, wie etwa die Verwendung von Hologrammen oder Wassermarken, eine deutlich geringere Eingriffsintensität hätten. Diese Methoden würden keine Verarbeitung von personenbezogenen Daten beinhalten, wären jedoch auch dazu in der Lage, die Fälschung von Ausweisdokumenten zu verhindern und die Authentizität eines Dokuments zu verifizieren (Stellungnahme des Europäischen Datenschutzbeauftragten zur geplanten Einführung der Speicherung von Fingerabdrücken in Personalausweisen vom 10.08.2018, abrufbar unter https://edps.europa.eu/sites/edp/files/publication/18-08-10_opinion_eid_en.pdf S. 16).

In diesem Rahmen ist auch eines der wichtigsten Prinzipien des europäischen Datenschutzrechts zu beachten: Das Prinzip der Datenminimierung bzw. Datensparsamkeit. Hiernach muss die Erhebung und Nutzung von persönlichen Daten verhältnismäßig und erforderlich, sowie auf das für die Zwecke der Verarbeitung notwendige Maß beschränkt sein.

Sollte es nötig sein, Fingerabdrücke zu erfassen, stellt sich auch die Frage, warum es der Ablichtung des gesamten Abdrucks bedarf. Hierdurch wird zwar die Interoperabilität der verschiedenen Arten der Systeme, die Fingerabdrücke erkennen können, gefördert. Diese Systeme können in drei Unterkategorien eingeteilt werden. Zum einen gibt es die Systeme, die komplette Ablichtungen der Fingerabdrücke speichern und vergleichen. Andere Systeme verwenden so genannte Minuzien. Diese Minuzien beschreiben eine Teilmenge von Charakteristiken, die aus den Ablichtungen der Fingerabdrücke gewonnen werden. Die dritte Kategorie sind Systeme, die mit einzelnen Mustern, die aus Ablichtungen der Fingerabdrücke extrahiert werden, arbeiten. Falls lediglich eine Minuzie gespeichert würde, könnte ein Mitgliedstaat, der mit einem System arbeitet, das eine Ablichtung des gesamten Fingerabdrucks verwendet, diese nicht nutzen. Die Speicherung des gesamten Fingerabdrucks fördert die Interoperabilität, jedoch erhöht sie die Anzahl der gespeicherten persönlichen Daten und damit das Risiko des Identitätsdiebstahles, falls es zu einem Datenleck kommt (Stellungnahme des Europäischen Datenschutzbeauftragten zur geplanten Einführung der Speicherung von Fingerabdrücken in Personalausweisen vom 10.08.2018, abrufbar unter https://edps.europa.eu/sites/edp/files/publication/18-08-10_opinion_eid_en.pdf S. 14).

Die in den Personalausweisen verwendeten RFID-Chips lassen sich unter Umständen auch von nicht autorisierten Scannern auslesen. Dies liegt daran, dass sie über ein Funkfeld aktiviert werden und im Anschluss die Daten in verschlüsselter Form übertragen. Damit hängt die Sicherheit des Verfahrens letztlich an der Qualität der Übertragungs- und Verschlüsselungstechnologie. Gerade die Verwendung des gesamten Fingerabdrucks wirkt sich in diesem Zusammenhang risikoerhöhend aus (in diesem Zusammenhang zu elektronischen Aufenthaltstiteln: NK-AuslR/Schild, 2. Aufl. 2016, AufenthG § 78 Rn. 37).

Bei alledem ist auch zu beachten, dass es sich bei Fingerabdrücken um biometrische Daten handelt. Der Verordnungsgeber hat unter anderem durch die Einführung von Art. 9 DS-GVO gezeigt, dass diese einem besonderen Schutz unterliegen.

Selbst die verzichtet auf das "Sicherheitsmerkmal" des Fingerabdrucks bei Kindern unter 12 Jahren und befreit Kinder unter 6 Jahren vollständig von der Pflicht zur Abgabe, Art. 3 Abs. 7 . Viel wichtiger ist aber, dass bei Personen, denen eine Abnahme von Fingerabdrücken physisch nicht möglich ist (z.B. bei Adermatoglyphie), diese von der Pflicht zur Abgabe befreit sind. Wozu dann dieses Sicherheitsmerkmal noch dienen soll, bleibt in der ungeregelt und schlicht offen.

3. Der Europäische Datenschutzbeauftragte unterstreicht in seiner Stellungnahme vom 10.08.2018 ferner, dass Artikel 35 Abs. 10 DS-GVO auf die Erfassung und Verarbeitung der Fingerabdrücke Anwendung findet. Nach Artikel 35 Abs. 1 DS-GVO ist eine Datenschutz-Folgenabschätzung durchzuführen, bevor eine Verarbeitung erfolgt, die voraussichtlich ein hohes Risiko für die Rechte und Freiheiten natürlicher Personen zur Folge hat. Diese Datenschutz-Folgeabschätzung sollte sich insbesondere mit einer Beurteilung der Risiken für die Rechte und Freiheiten der betroffenen Personen sowie mit den Maßnahmen beschäftigen, mit denen gegen diese Risiken vorgegangen werden soll, wie Garantien und Sicherheitsvorkehrungen (Stellungnahme des Europäischen Datenschutzbeauftragten zur geplanten Einführung der Speicherung von Fingerabdrücken in Personalausweisen vom 10.08.2018, abrufbar unter https://edps.europa.eu/sites/edp/files/publication/18-08-10_opinion_eid_en.pdf, S. 12).

Da die Rechtsgrundlage auf Unionsrecht, dem der Verantwortliche unterliegt, beruht und da diese Rechtsvorschriften den konkreten Verarbeitungsvorgang regeln, hat die allgemeinen Folgenabschätzung im Zusammenhang mit dem Erlass dieser Rechtsgrundlage zu erfolgen (Art. 35 Abs. 10 DS-GVO). Eine solche Folgenabschätzung wäre daher bei Erlass der durchzuführen gewesen. Sie ist ausweislich der Erwägungsgründe nicht erfolgt.

Das Gericht ist, wie der Europäische Datenschutzbeauftragte in seiner Stellungnahme vom 10.08.2018, der Auffassung, dass die Folgenabschätzung die obligatorische Aufnahme sowohl von Gesichtsbildern als auch von (zwei) Fingerabdrücken in Personalausweise nicht tragen würde. Bereits in Gesetzgebungsverfahren hat der Europäische Datenschutzbeauftragte empfohlen, vor diesem Hintergrund die Notwendigkeit und Verhältnismäßigkeit der Verarbeitung biometrischer Daten (Gesichtsbild in Kombination mit Fingerabdrücken) erneut zu prüfen (ABl. C 338 vom 21.09.2018, S. 22).

Der Verordnungsgeber geht in Erwägungsgrund (40) auf diese Problematik in Bezug auf die DS-GVO nur sehr allgemein ein. Es verbleibt bei unbestimmten Aussagen, wie etwa, dass die Unionsbürger über das Speichermedium informiert werden solle und weiter präzisiert werden müsste, welche Garantien für die verarbeiteten personenbezogenen Daten sowie insbesondere für sensible Daten wie beispielsweise biometrische Identifikatoren gelten. Das Speichermedium sollte hochsicher sein, und die auf ihm gespeicherten personenbezogenen Daten sollten wirksam vor unbefugtem Zugriff geschützt sein. Es bleibt vage, was mit "hochsicher" gemeint ist und wie die Garantien und Schutzvorkehrungen ausgestaltet sein sollen. Insbesondere ist keine Abwägung mit den Risiken bei einem Datenleck des Chips und dem Eingriff in Art. 7 und 8 GrCh ersichtlich.

Es stellt sich daher die Frage, ob das Unterlassen einer verpflichtenden Risikofolgeabschätzung die Wirksamkeit einer Norm unberührt lassen kann oder nicht vielmehr bei zwingender Verpflichtung des Normgebers zur Durchführung einer Risikofolgeabschätzung sein Unterlassen zu einer Ungültigkeit der Norm führen muss. Andernfalls würde der Normgeber für sein Fehlverhalten belohnt werden.

Den Volltext der Entscheidung finden Sie hier:

KG Berlin
Beschluss vom 06.12.2021
3 Ws 250/21

Das KG Berlin hat dem EuGH Fragen zu Art. 83 Abs. 4-6 DSGVO und dem Verhältnis zu § 30 OWiG zur Entscheidung vorgelegt. Insbesondere geht es um die Streitfrage, ob Bußgeldverfahren unmittelbar gegen Unternehmen geführt werden können.

Die Vorlagefragen:

Dem Gerichtshof der Europäischen Union werden zur Auslegung von Art. 83 der Verord­nung (EU) 2016/679 des Europäischen Parlaments und des Rates vom 27. April 2016 zum Schutz natürlicher Personen beider Verarbeitung personenbezogener Daten, zum freien Datenverkehr und zur Aufhebung der RL 95/46/EG (Datenschutz-Grundverordnung) folgende Fragen zur Vorabentscheidung vorgelegt:

1. Ist Art. 83 Abs. 4-6 DS-GVO dahin auszulegen, dass es den Art. 101 und 102 AEUV zugeordneten funktionalen Unternehmensbegriff und das Funktionsträgerprinzip in das innerstaatliche Recht mit der Folge inkorporiert, dass unter Erweiterung des § 30 OWiG zugrundeliegenden Rechtsträgerprinzips ein Bußgeldverfahren unmittelbar gegen ein Unternehmen geführt werden kann und die Bebußung nicht der Feststellung einer durch eine natürliche und identifizierte Person, gegebenenfalls volldeliktisch, begangenen Ordnungswidrigkeit bedarf ?

2. Wenn die Frage zu 1. bejaht werden sollte ist Art. 83 Abs.4 - 6 DS-GVO dahin auszul­egen, dass das Unternehmen den durch einen Mitarbeiter vermittelten Verstoß schuldhaft begangen haben muss (vgl. Art. 23 der Verordnung (EG) Nr. 1/2003 des Rates vom 16. Dezember 2002 zur Durchführung der in den Art. 81 und 82 des Vertrags niedergelegten Wettb­werbsregeln), oder reicht für eine Bebußung des Unternehmens im Grundsatz bereits ein ihm zuzuordnender objektiver Pflichtenverstoß aus („strict liability") ?

VG Wiesbaden
Beschluss vom 30.07.2021
6 K 421/21.WI

Das VG Wiesbaden hat dem EuGH zur Entscheidung vorgelegt, ob eine Behörde die Auskunft über die verantwortliche Stelle der Datenverarbeitung ohne Begründung verweigern darf und ob dies mit Grundrechtecharta der EU vereinbar ist.

Die Vorlagefragen:

II. Das Verfahren wird gemäß Art. 267 AEUV zur Vorabentscheidung dem Gerichtshof der Europäischen Union hinsichtlich der folgenden Frage vorgelegt:

1) Sind Art. 15 Abs. 3 und Abs. 1 i.V.m. Art. 14 der Richtlinie (EU) 2016/680 des europäischen Parlaments und des Rates vom 27. April 2016 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten durch die zuständigen Behörden zum Zwecke der Verhütung, Ermittlung, Aufdeckung oder Verfolgung von Straftaten oder der Strafvollstreckung sowie zum freien Datenverkehr und zur Aufhebung des Rahmenbeschlusses 2008/977/JI des Rates (ABl.EU L vom 4.5.2016 S. 119; zukünfig: Richtlinie (EU) 2016/680) im Lichte von Art. 54 Richtlinie (EU) 2016/680 so auszulegen, dass er eine nationale Regelung zulässt,

a) nach der bei gemeinsamer Verantwortlichkeit für eine Datenverarbeitung die eigentlich für die gespeicherten Daten verantwortliche Stelle nicht benannt werden muss und

b) die es zudem zulässt, dass einem Gericht keine inhaltliche Begründung für die Auskunftsverweigerung gegeben wird?

2) Falls die Fragen 1a und 1b zu bejahen sind, ist Art. 15 Abs. 3 und Abs. 1 der Richtlinie (EU) 2016/680 mit dem Recht auf einen wirksamen gerichtlichen Rechtsbehelf aus Art 47 GRCh vereinbar, obwohl es dem Gericht so verunmöglicht wird

a) den nationalen Verfahrensvorschriften entsprechend in einem mehrstufigen Verwaltungsverfahren die weitere beteiligte und tatsächlich verantwortliche Behörde, die ihr Einvernehmen zur Auskunftserteilung erteilen muss, zum Verfahren beizuladen und

b) inhaltlich zu überprüfen, ob die Voraussetzungen für die Auskunftsverweigerung vorliegen und durch die die Auskunft verweigernde Behörde korrekt angewandt wurden?

3) Wird durch die Verweigerung der Auskunft und somit eines wirksamen Rechtsbehelfs nach Art. 47 GRCh rechtswidrig in die Berufsfreiheit nach Art. 15 GRCh eingegriffen, wenn die gespeicherten Informationen dazu genutzt werden, eine betroffene Person von der angestrebten Tätigkeit wegen eines vermeintlichen Sicherheitsrisikos auszuschließen.

Aus den Entscheidungsgründen:

Nach Art. 54 Richtlinie (EU) 2016/680 hat die betroffene Person einen Anspruch auf einen wirksamen Rechtsbehelf, so wie dies in Art. 47 Abs. 1 GRCh geregelt ist. Ein wirksamer Rechtsbehelf erfordert, dass es dem Gericht möglich ist, die behördliche Entscheidung zu überprüfen. Dies setzt voraus, dass eine Begründung der Verweigerung der Auskunft und bei einem gemeinsamen Verfahren, wie es vorliegend bei dem INPOL-System der Fall ist, eine Benennung der verantwortlichen Stelle, die für die streitgegenständlichen Daten verantwortlich ist und einer Beauskunftung widersprochen hat, erfolgt. Sie hat ihr Einvernehmen für die Auskunft zu erteilen oder gerade – wie hier zu verweigern. Die verantwortliche Stelle ist an dem „mehrstufigen“ Verwaltungsakt zwingende Mitwirkende und auch im verwaltungsgerichtlichen Verfahren notwendig beizuladen (§ 65 Abs. 2 VwGO), da das Gericht bei rechtwidriger Verweigerung des Einvernehmens dieses durch Urteil zu ersetzen hätte. Denn ohne das notwendige Einvernehmen dürfte das BKA keine Auskunft erteilen (§ 84 Abs. 1 S. 1 BKAG). Wenn dem Gericht im Verfahren über die Auskunft die verantwortliche Stelle jedoch schon nicht benannt wird, kann es diese nicht beiladen und über die Verweigerung des Einvernehmens ihr gegenüber nicht bindend entscheiden.

Ist eine Kontrolle des Verwaltungshandelns durch die Verwaltungsgerichte wegen der Verweigerung einer Begründung nicht möglich, muss die Rechtsschutzgarantie dadurch gewahrt werden, dass der Klage stattgegeben wird (ständige Rechtsprechung des VG Wiesbaden, vgl. Urteil vom 15. Februar 2016 – 6 K 1328/14.WI –, juris, Rn. 27; Urteil vom 04. September 2015 – 6 K 687/15.WI –, juris, Rn. 36 und ferner Urteil vom 26. März 2021 – 6 K 59/20.WI; so auch VG Köln, Urteil vom 18.4.2019 – 13 K 10236/16, juris, Rn. 54). Dies ist vorliegend aber nicht möglich, da das Einvernehmen der eigentlich verantwortlichen Stelle (Behörde) mangels notwendiger Beiladung nicht rechtwirksam ersetzt werden kann. Insoweit unterscheidet sich der Fall von den bisher entschiedenen Fällen, bei denen „nur“ die Auskunft über die Daten als solche verweigert wurde, die verantwortliche Behörde aber benannt worden war. Eine Verfahrensregelung für den vorliegenden Fall enthält die VwGO nicht. Sie enthält in § 99 Abs. 2 VwGO nur das sog. In-Camera-Verfahren bei der Verweigerung der Vorlage von Behördenakten. Hier wäre nach einer Sperrerklärung, welche aber auch zu begründen wäre, eine Vorlage und Prüfung durch das Bundesverwaltungsgericht möglich.

Vorliegend geht es aber schon vor der inhaltlichen Auskunft bzw. Überprüfungsmöglichkeit der Verweigerung derselben um die Benennung der verantwortlichen Stelle, um deren Daten es im INPOL-System geht. Sie ist unbekannt und das Bundeskriminalamt verweigert auch dem Gericht gegenüber die Angabe, um wen es sich handelt. Zwar hat der nationale Gesetzgeber Art. 21 Abs. 1 Richtlinie (EU) 2016/680 insoweit umgesetzt, dass sich der Verantwortliche nach § 57 BDSG zur Auskunft der Daten bzw. Verweigerung derselben bezogen auf die betroffene Person verantwortlich zeigt und über § 84 Abs. 1 Satz 1 BKAG das Bundeskriminalamt als „Sprachrohr“ für die übrigen verantwortlichen Stellen über die Auskunft bestimmt. Die Auskunft bedarf aber des Einvernehmens der jeweils verantwortlichen Stelle.

Die Verweigerung der Angaben über die eigentliche verantwortliche Stelle, welche einer Auskunft über ihre Daten widerspricht und das Einvernehmen verweigert, geht jedoch weiter als die Einschränkung der eigentlichen Auskunft nach Art. 15 Richtlinie (EU) 2016/680. Denn damit wird dem Gericht die Möglichkeit einer effektiven wirksamen Rechtskontrolle vollständig genommen. Dies insbesondere, wenn auch keinerlei Begründung für diese Verweigerungshandlung erfolgt bzw. die Begründung sich auf allgemeine Aussagen einer Gefährdung der Aufgaben der Behörden und der Gefahrenabwehr bezieht. Mithin wird der nationale Gesetztext wiedergegeben, dem Gericht wird aber eine Subsumtion unter diese Norm und eine Kontrolle der Richtigkeit der Subsumtion der Behörde vollständig mangels Informationen genommen.

Zieht man die Parallele zu einer Verweigerung der Aktenvorlage im verwaltungsgerichtlichen Verfahren, so würde die rein den gesetzlichen Verweigerungstatbestand wiedergebende Begründung nicht die Anforderungen erfüllen, wie sie für eine Sperrerklärung nach § 99 Abs. 2 VwGO notwendig ist. Hinzu kommt vorliegend, dass die eigentlich die Begründung liefernde Behörde anonym bleibt, mithin die Sperrerklärung nach § 99 Abs. 1 S. 2 VwGO von dieser gar nicht abgegeben oder begründet werden könnte. Mindestens einer aussagekräftigen Begründung einer Sperrerklärung bedarf es aber bei der Verweigerung von Behördenakten, damit ein wirksamer Rechtsschutz gewährt werden kann (BVerwG Urt. v. 14.12.2020 – 6 C 11.18 Rn. 27 m.w.N.).

Zur Ermöglichung effektiven Rechtsschutzes hat eine Behörde, die die Auskunft verweigert, das Vorliegen der Verweigerungsgründe nach § 56 Abs. 2 i.V.m. § 57 Abs. 4 BDSG plausibel und substantiiert darzulegen. Eine diesen Anforderungen genügende Begründung wäre ausreichend, um die Berechtigung zur Auskunftsverweigerung darzutun (HessVGH 20.10.2019 – 10 A 2678/18.Z; zum alten Recht HessVGH 17.4.2018 – 10 A 1991/17). Die Wiedergabe oder nur Umschreibung der gesetzlichen Grundlage reicht dafür nicht aus (BVerwG Beschl. v. 29.10.1982 – 4 B 172/82, BVerwGE 66, 233 ff. Rn. 6; VG Wiesbaden Urt. v. 26.3.2021 – 6 K 59/20.WI).

Das Bundeskriminalamt und die unbekannte Behörde – bei der es sich nur um eine Polizeibehörde handeln kann – legen das nationale Recht so weit aus, dass die umzusetzenden nationalen Rechtsnormen, die aus der Richtlinie (EU) 2016/680 folgen, mit dem Wesensgehalt der Rechte und Freiheiten des Betroffenen in Konflikt gerät.

Dabei ist zu beachten, dass die Eintragung in INPOL ganz offensichtlich zu einer Art Berufsverbot durch die sog. Sicherheitsüberprüfung geführt hat, bei der u.a. auf die Daten von INPOL zurückgegriffen wurde. Damit wurde in Art. 15 GRCh eingegriffen, wonach jede Person das Recht hat, zu arbeiten und einen frei gewählten oder angenommenen Beruf auszuüben. Gegen dieses „Berufsverbot“ kann sich der Kläger auch nicht wehren, da ihm nicht bekannt gegeben wird, welche verantwortliche Stelle eine „negative“ Eintragung vorgenommen hat, geschweige denn welche Eintragung hier die Aufnahme des gewünschten Berufes hindert. Auch ist eine Überprüfung, ob die Eintragung überhaupt rechtmäßig ist, nicht möglich.

Eine wirksame gerichtliche Überprüfung der behördlichen Entscheidung ist dem vorlegenden Gericht nicht möglich, da unter Berufung auf eine nationale Rechtsnorm die verantwortliche Stelle die Auskunft auch gegenüber dem Gericht verweigert wird und das Gericht sich zur Gewährung effektiven Rechtsschutzes im Sinne einer inhaltlichen Prüfung nicht in der Lage sieht. Hinzu kommt, dass auch die im verwaltungsgerichtlichen Verfahren vorgesehenen Mechanismen, wie vorliegend die notwendige Beiladung, durch Verweigerung der Benennung der verantwortlichen Stelle ausgehebelt werden. Eine nationale Rechtsnorm, die es dem Gericht ermöglicht, im Falle einer notwendigen Beiladung von einer solchen aus Geheimhaltungsgründen abzusehen, existiert nicht.

Damit ist wirksamer Rechtsschutz in zweifacher Hinsicht ausgeschlossen und es liegt auch ein Verstoß gegen das Recht auf ein faires Verfahren nach Art. 6 EMRK vor.

Das erkennende Gericht ist insoweit der Auffassung, die Verweigerung der Benennung der letztendlich verantwortlichen Stelle, insbesondere ohne jegliche nachvollziehbare Begründung, eine Überinterpretation des Art. 15 Richtlinie (EU) 2016/680 darstellt, welche allerdings durch den nationalen Gesetzgeber durch die sehr offene Regelung in § 57 Abs. 6 i.V.m. § 56 BDSG zugelassen worden ist, mit der Folge, dass die nationale Regelung in der sehr weiten Interpretation des Beklagten gegen Art. 8, Art. 15 und Art. 47, 52 und 54 GRCh sowie gegen Art. 14, 15 und 54 Richtlinie (EU) 2016/680 verstößt.

Den Volltext der Entscheidung finden Sie hier:

LG Dortmund
Beschluss vom 12.10.2021
10 O 63/21

Das LG Dortmund hat wenig überraschend entschieden, dass gewerbliche Anbieter auf dem Shopping-Portal ManoMano neben einer Widerrufsbelehrung auch die weiteren Pflichtinformationen für Fernabsatzgeschäfte nach § 312d BGB in Verbindung mit Art. 246a § 1 Abs. 1 EGBGB vorhalten müssen. Es handelt sich um einen Fall der Wettbewerbszentrale.

VG Wiesbaden
Beschluss vom 31.08.2021
6 K 226/21.WI

Das VG Wiesbdaden hat dem EuGH zur Entscheidung vorgelegt, ob die Speicherung der Restschuldbefreiung durch die Schufa länger als 6 Monate gegen die DSGVO verstößt.

Die Pressemitteilung des VG Wiesbaden:

Vorlage zum Europäischen Gerichtshof bezüglich der Eintragung einer Restschuldbefreiung bei der SCHUFA Holding AG

Gegenstand des Verfahrens vor dem VG Wiesbaden ist das Begehren des Klägers, die Eintragung einer Restschuldbefreiung aus dem Verzeichnis der SCHUFA Holding AG, einer privaten Wirtschaftsauskunftei, zu löschen. Die Information hinsichtlich der Restschuldbefreiung stammt aus den Veröffentlichungen der Insolvenzgerichte, bei denen sie nach 6 Monaten gelöscht wird. Bei der SCHUFA erfolgt eine Löschung gemäß der „Verhaltensregeln für die Prüf- und Löschfristen von personenbezogenen Daten durch die deutschen Wirtschaftsauskunfteien“ vom 25.05.2018 des Verbandes „Die Wirtschaftsauskunfteien e.V.“ erst 3 Jahre nach der Eintragung. In Bezug auf die Löschung wandte sich der Kläger mit einer Beschwerde an den Hessischen Beauftragten für Datenschutz und Informationsfreiheit als Aufsichtsbehörde, der auf die Löschung der Eintragung bei der SCHUFA Holding AG hinwirken solle. Dieser lehnte das Begehren des Klägers jedoch ab.

Die 6. Kammer des VG Wiesbaden hat mit Beschluss vom 31.08.2021 entschieden, dem Gerichtshof der Europäischen Union (EuGH) mehrere Fragen zur Klärung vorzulegen.

Zum einen sei zu klären, ob es genüge, wenn sich der Datenschutzbeauftragte wie im Falle einer Petition mit der Beschwerde der betroffenen Person überhaupt befasse und sie innerhalb eines bestimmten Zeitraums über den Stand und das Ergebnis der Beschwerde unterrichte. Es bestünden Zweifel, ob diese Auffassung mit der Datenschutzgrundverordnung (DS-GVO) vereinbar sei, da hierdurch das Recht auf einen wirksamen gerichtlichen Rechtsbehelf gegen die Aufsichtsbehörde eingeschränkt werde. Es bedürfe einer Klärung, ob die Entscheidung der Aufsichtsbehörde der vollen inhaltlichen Kontrolle der Gerichte unterliege.

Zudem legte die 6. Kammer die Frage vor, ob die Eintragungen aus den öffentlichen Verzeichnissen, beispielsweise aus den Veröffentlichungen der Insolvenzgerichte, eins zu eins in privat geführte Verzeichnisse übertragen werden könnten, ohne dass ein konkreter Anlass zur Datenspeicherung bei der privaten Wirtschaftsauskunftei bestehe. Zweck der Speicherung sei vielmehr, die Daten im Fall einer eventuellen Auskunftsanfrage durch ein Wirtschaftsunternehmen, z.B. eine Bank, verwenden zu können. Ob eine solche Auskunft jemals nachgefragt werde, sei dabei vollkommen offen.

Dies führe letztendlich zu einer Vorratsdatenspeicherung, vor allem dann, wenn in dem nationalen Register die Daten schon wegen Ablaufs der Speicherfrist gelöscht worden seien. Die streitgegenständliche Restschuldenbefreiung sei in dem öffentlichen Register der Insolvenzbekanntmachungen nach 6 Monaten zu löschen, während sie bei den privaten Wirtschaftsauskunfteien jedoch viel länger, ggf. noch weitere 3 Jahre gespeichert und bei Auskünften verarbeitet werden könne.

Es bestünden bereits Zweifel daran, ob eine „Parallelhaltung“ dieser Daten neben den staatlichen Registern bei einer Vielzahl privater Firmen überhaupt zulässig sei. Dabei sei zu beachten, dass die SCHUFA Holding AG nur eine von mehreren Auskunfteien sei und damit die Daten vielfach in Deutschland auf diesem Wege vorgehalten würden. Eine solche „Datenhaltung“ sei gesetzlich nicht geregelt und könne massiv in die wirtschaftliche Betätigung eines Betroffenen eingreifen.

Sollte diese Speicherung jedoch zulässig sein, so müssten jedenfalls dieselben Speicher- und Löschfristen gelten, wie in den öffentlichen Registern. Dies mit der Folge, dass Daten, die im öffentlichen Register zu löschen seien, auch bei allen privaten Wirtschaftsauskunfteien, die diese Daten zusätzlich gespeichert hätten, zeitgleich gelöscht werden müssten.

Der Vorlagebeschluss (Az.: 6 K 226/21.WI) ist unanfechtbar.

Anhang:
Artikel 6 DS-GVO
Verordnung (EU) 2016/679 des Europäische Parlaments und des Rates vom 27. April 2016 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten, zum freien Datenverkehr und zur Aufhebung der Richtlinie 95/46/EG – Datenschutz-Grundverordnung)

Rechtmäßigkeit der Verarbeitung
(1) Die Verarbeitung ist nur rechtmäßig, wenn mindestens eine der nachstehenden Bedingungen erfüllt ist:

a) Die betroffene Person hat ihre Einwilligung zu der Verarbeitung der sie betreffenden personenbezogenen Daten für einen oder mehrere bestimmte Zwecke gegeben;

b) die Verarbeitung ist für die Erfüllung eines Vertrags, dessen Vertragspartei die betroffene Person ist, oder zur Durchführung vorvertraglicher Maßnahmen erforderlich, die auf Anfrage der betroffenen Person erfolgen;

c) die Verarbeitung ist zur Erfüllung einer rechtlichen Verpflichtung erforderlich, der der Verantwortliche unterliegt;

d) die Verarbeitung ist erforderlich, um lebenswichtige Interessen der betroffenen Person oder einer anderen natürlichen Person zu schützen;

e) die Verarbeitung ist für die Wahrnehmung einer Aufgabe erforderlich, die im öffentlichen Interesse liegt oder in Ausübung öffentlicher Gewalt erfolgt, die dem Verantwortlichen übertragen wurde;

f) die Verarbeitung ist zur Wahrung der berechtigten Interessen des Verantwortlichen oder eines Dritten erforderlich, sofern nicht die Interessen oder Grundrechte und Grundfreiheiten der betroffenen Person, die den Schutz personenbezogener Daten erfordern, überwiegen, insbesondere dann, wenn es sich bei der betroffenen Person um ein Kind handelt.

Unterabsatz 1 Buchstabe f gilt nicht für die von Behörden in Erfüllung ihrer Aufgaben vorgenommene Verarbeitung.

Artikel 77 DS-GVO
Recht auf Beschwerde bei einer Aufsichtsbehörde
(1) Jede betroffene Person hat unbeschadet eines anderweitigen verwaltungsrechtlichen oder gerichtlichen Rechtsbehelfs das Recht auf Beschwerde bei einer Aufsichtsbehörde, insbesondere in dem Mitgliedstaat ihres Aufenthaltsorts, ihres Arbeitsplatzes oder des Orts des mutmaßlichen Verstoßes, wenn die betroffene Person der Ansicht ist, dass die Verarbeitung der sie betreffenden personenbezogenen Daten gegen diese Verordnung verstößt.

§ 9 InsO (Insolvenzordnung)
Öffentliche Bekanntmachung
(1) Die öffentliche Bekanntmachung erfolgt durch eine zentrale und länderübergreifende Veröffentlichung im Internet; diese kann auszugsweise geschehen. Dabei ist der Schuldner genau zu bezeichnen, insbesondere sind seine Anschrift und sein Geschäftszweig anzugeben. Die Bekanntmachung gilt als bewirkt, sobald nach dem Tag der Veröffentlichung zwei weitere Tage verstrichen sind.

(2) Das Insolvenzgericht kann weitere Veröffentlichungen veranlassen, soweit dies landesrechtlich bestimmt ist. Das Bundesministerium der Justiz und für Verbraucherschutz wird ermächtigt, durch Rechtsverordnung mit Zustimmung des Bundesrates die Einzelheiten der zentralen und länderübergreifenden Veröffentlichung im Internet zu regeln. Dabei sind insbesondere Löschungsfristen vorzusehen sowie Vorschriften, die sicherstellen, dass die Veröffentlichungen

1.unversehrt, vollständig und aktuell bleiben,

2.jederzeit ihrem Ursprung nach zugeordnet werden können.

(3) Die öffentliche Bekanntmachung genügt zum Nachweis der Zustellung an alle Beteiligten, auch wenn dieses Gesetz neben ihr eine besondere Zustellung vorschreibt.

§ 3 Verordnung zu öffentlichen Bekanntmachungen in Insolvenzverfahren im Internet vom 12. Februar 2002
Löschungsfristen
(1) Die in einem elektronischen Informations- und Kommunikationssystem erfolgte Veröffentlichung von Daten aus einem Insolvenzverfahren einschließlich des Eröffnungsverfahrens wird spätestens sechs Monate nach der Aufhebung oder der Rechtskraft der Einstellung des Insolvenzverfahrens gelöscht. Wird das Verfahren nicht eröffnet, beginnt die Frist mit der Aufhebung der veröffentlichten Sicherungsmaßnahmen.

(2) Für die Veröffentlichungen im Restschuldbefreiungsverfahren einschließlich des Beschlusses nach § 289 der Insolvenzordnung gilt Absatz 1 Satz 1 mit der Maßgabe, dass die Frist mit Rechtskraft der Entscheidung über die Restschuldbefreiung zu laufen beginnt.

(3) Sonstige Veröffentlichungen nach der Insolvenzordnung werden einen Monat nach dem ersten Tag der Veröffentlichung gelöscht

Der Hamburgische Beauftragte für Datenschutz und Informationsfreiheit der Freien und Hansestadt Hamburg (HmbBfDI) hat ein Bußgeld in Höhe von 901.388,84 Euro gegen Vattenfall wegen Verstößen gegen die datenschutzrechtlichen Transparenzpflichten aus Art. 12 und Art. 13 DSGVO verhängt.

Die Pressemitteilung des HmbBfDI:

Bußgeld gegen Vattenfall Europe Sales GmbH verhängt

Die Vattenfall Europe Sales GmbH (Vattenfall) hat zwischen August 2018 und Dezember 2019 bei Vertragsanfragen für Sonderverträge, die mit besonderen Bonuszahlungen verbunden waren, routinemäßig überprüft, ob die Kundinnen und Kunden ein „wechselauffälliges Verhalten“ zeigten. Diese Überprüfung sollte verhindern, dass die Kundinnen und Kunden solche Bonus-Verträge nicht so regelmäßig abschließen, dass sich dieses Angebot zur Neukundenwerbung für das Unternehmen nicht mehr rentiert. Um dies zu überprüfen, nutzte Vattenfall Rechnungen aus früheren Vertragsbeziehungen mit diesen Kundinnen und Kunden, die nach steuer- und handelsrechtlichen Vorgaben ohnehin für bis zu zehn Jahre aufbewahrt werden müssen. Für die Kundinnen und Kunden war nicht erkennbar, dass ein solcher Datenabgleich stattfand.

Der Hamburgische Beauftragte für Datenschutz und Informationsfreiheit (HmbBfDI) kam nach einer Prüfung des Vorgangs zu dem Ergebnis, dass Vattenfall durch dieses Vorgehen gegen die datenschutzrechtlichen Transparenzpflichten (Artt. 12, 13 DSGVO) verstieß, da die Kundinnen und Kunden über den Datenabgleich nicht ausreichend informiert wurden. Betroffen waren insgesamt rund 500.000 Personen. Der HmbBfDI hat daraufhin gegen Vattenfall ein Bußgeld von 901.388,84 Euro verhängt. Die festgestellte Rechtswidrigkeit bezieht sich nicht auf den Datenabgleich an sich, sondern ist auf die nicht ausreichend erfüllten Transparenzpflichten beschränkt. Der Bescheid ist rechtskräftig.

Das verhängte Bußgeld berührt nicht die weitergehende Frage, ob ein solcher Abgleich überhaupt zulässig ist. Dies ist in der DSGVO nicht ausdrücklich geregelt, es existieren insoweit keine eindeutigen rechtlichen Vorgaben. Der HmbBfDI hat mit Vattenfall ein Verfahren abgestimmt, das nach seiner Auffassung sowohl die Datenschutzrechte von Kundinnen und Kunden als auch die wirtschaftlichen Belange des Unternehmens berücksichtigt. Sowohl erstmalig an einem Vertragsschluss mit Vattenfall Interessierte als auch Bestandskundinnen und -kunden werden transparent und verständlich über den Datenabgleich und dessen Zweck informiert. Verbraucherinnen und Verbraucher können künftig informiert entscheiden, ob sie einen rabattierten Bonusvertrag abschließen möchten, der die interne Überprüfung ihres Status als Neukunde beinhaltet oder einen nicht rabattierten Vertrag ohne einen solchen Abgleich.

Dazu Ulrich Kühn, der amtierende HmbBfDI: „Wir halten das nun praktizierte Verfahren für einen angemessenen Ausgleich aller betroffenen Interessen. Die in der Vergangenheit erfolgten Abgleiche wurden sanktioniert, weil Transparenzpflichten verletzt wurden, indem die Kundinnen und Kunden unter Missachtung der Vorgaben von Artt. 12, 13 DSGVO über den praktizierten Datenabgleich im Unklaren gelassen wurden. Da dies rund 500.000 Fälle betraf, war die Verhängung eines Bußgelds angezeigt. Vattenfall hat in dem Verfahren umfassend mit dem HmbBfDI kooperiert und den intransparenten Datenabgleich unmittelbar nach dem ersten Tätigwerden des HmbBfDI gestoppt. Deswegen war das Bußgeld deutlich zu reduzieren. Die dennoch verhängte Höhe sollte allen Unternehmen eine Warnung sein, die gesetzlichen Transparenzpflichten nicht zu vernachlässigen. Insbesondere bei einer Vielzahl von Betroffenen sind wie in dem vorliegenden Fall hohe Bußgelder klar angezeigt.“

EuGH
Urteil vom 17.06.2021
C-597/19
Mircom International Content Management & Consulting (M.I.C.M.) Limited gegen Telenet BVBA,
Beteiligte: Proximus NV, Scarlet Belgium NV

Der EuGH hat entschieden, dass die systematische Speicherung und Weiterleitung von IP-Daten, Namen und Anschriften von Filesharing-Nutzern an Rechteinhaber zur Verfolgung von Urheberrechtsverletzungen zulässig ist.

Die Pressemitteilung des EuGH:

Die systematische Speicherung von IP-Adressen von Nutzern und die Übermittlung ihrer Namen und Anschriften an den Inhaber geistiger Rechte oder an einen Dritten, um die Erhebung einer Schadensersatzklage zu ermöglichen, ist unter bestimmten Voraussetzungen zulässig

Der Auskunftsantrag eines Inhabers von Rechten des geistigen Eigentums darf nicht missbräuchlich sein und er muss gerechtfertigt und verhältnismäßig sein Das Unternehmen Mircom International Content Management & Consulting (M.I.C.M.) Limited (im Folgenden: Mircom) stellte bei der Ondernemingsrechtbank Antwerpen (Unternehmensgericht Antwerpen, Belgien) einen Auskunftsantrag gegen die Telenet BVBA, einen Internetzugangsanbieter. Dieser Antrag ist auf eine Entscheidung gerichtet, mit der Telenet verpflichtet wird, die Daten zur Identifizierung ihrer Kunden auf der Grundlage der von einem spezialisierten Unternehmen im Auftrag von Mircom erhobenen IP-Adressen vorzulegen. Die Internetanschlüsse von Kunden von Telenet wurden dazu genutzt, in einem Peer-to-Peer-Netz über das BitTorrent-Protokoll Filme aus dem Repertoire von Mircom zu teilen. Telenet tritt dem Antrag von Mircom entgegen.

Vor diesem Hintergrund hat das vorlegende Gericht den Gerichtshof als Erstes gefragt, ob das Teilen von Segmenten einer Mediendatei, die ein geschütztes Werk enthält, in einem Peer-toPeer-Netz eine öffentliche Wiedergabe nach dem Unionsrecht darstellt. Als Zweites wollte es wissen, ob einem Inhaber von Rechten des geistigen Eigentums wie Mircom, der sie nicht nutzt, sondern von mutmaßlichen Verletzern Schadensersatz verlangt, die im Unionsrecht vorgesehenen Maßnahmen, Verfahren und Rechtsbehelfe offenstehen, um die Durchsetzung dieser Rechte zu gewährleisten, z. B. durch die Einholung von Informationen. Als Drittes hat das vorlegende Gericht den Gerichtshof um Klärung ersucht, ob die Art und Weise, in der die IP-Adressen der Kunden durch Mircom gesammelt werden, und die Übermittlung der von Mircom bei Telenet angefragten Daten zulässig sind.

In seinem Urteil entscheidet der Gerichtshof erstens, dass ein Hochladen von Segmenten einer Mediendatei in einem Peer-to-Peer-Netz wie das in Rede stehende eine öffentliche Zugänglichmachung im Sinne des Unionsrechts darstellt. Zweitens kann ein Inhaber von Rechten des geistigen Eigentums wie Mircom das System zum Schutz dieser Rechte in Anspruch nehmen,
aber sein Auskunftsantrag muss insbesondere nicht missbräuchlich, gerechtfertigt und verhältnismäßig sein. Drittens sind die systematische Speicherung von IP-Adressen von Nutzern eines Peer-to-peer-Netzes und die Übermittlung ihrer Namen und Anschriften an den Rechtsinhaber oder an einen Dritten, um die Erhebung einer Schadensersatzklage zu ermöglichen, unter bestimmten Voraussetzungen zulässig.

Würdigung durch den Gerichtshof
Der Gerichtshof, der sich bereits zum Begriff „öffentliche Wiedergabe“ im Kontext des Urheberrechtsschutzes geäußert hat, stellt erstens klar, dass es sich um eine „öffentliche Zugänglichmachung eines Werks“ handelt, wenn die zuvor heruntergeladenen Segmente einer Mediendatei, die ein geschütztes Werk enthält, unter Nutzung eines Peer-to-Peer-to-Peer-Netzes hochgeladen werden, auch wenn diese Segmente als solche nicht nutzbar sind und das Hochladen automatisch erfolgt, sofern der Nutzer sein Einverständnis mit der Filesharing-Software BitTorrent-Client erklärt hat, indem er deren Anwendung zugestimmt hat, nachdem er ordnungsgemäß über ihre Eigenschaften informiert wurde.

Jeder Nutzer des Peer-to-Peer-Netzes kann die Originaldatei aus den auf den Computern der anderen Nutzer verfügbaren Segmenten leicht wieder zusammensetzen. Durch das Herunterladen der Segmente einer Datei macht er sie zugleich für das Hochladen durch andere Nutzer zugänglich. Er muss auch keine Mindestmenge an Segmenten herunterladen. Jede Handlung, mit der er in voller Kenntnis der Folgen seines Verhaltens Zugang zu geschützten Werken verschafft, kann eine Zugänglichmachung darstellen. Im vorliegenden Fall handelt es sich um eine solche Handlung, weil sie auf eine unbestimmte Zahl potenzieller Adressaten abzielt, eine recht große Zahl von Personen betrifft und gegenüber einem neuen Publikum erfolgt. Mit dieser Auslegung soll der angemessene Ausgleich zwischen den Interessen und Grundrechten der Inhaber von Rechten
des geistigen Eigentums einerseits und den Interessen und Grundrechten der Nutzer von Schutzgegenständen andererseits gesichert werden.

Der Gerichtshof stellt zweitens fest, dass dem Inhaber von Rechten des geistigen Eigentums wie Mircom, der diese Rechte im Wege einer Forderungsabtretung erworben hat und sie nicht nutzt, sondern von mutmaßlichen Verletzern Schadensersatz verlangen möchte, grundsätzlich die im Unionsrecht vorgesehenen Maßnahmen, Verfahren und Rechtsbehelfe zustehen können, es sei denn, sein Antrag ist missbräuchlich. Die etwaige Feststellung eines solchen Missbrauchs unterliegt der Würdigung durch das vorlegende Gericht, das zu diesem Zweck z. B. prüfen könnte, ob tatsächlich Klagen erhoben worden sind, wenn eine gütliche Lösung abgelehnt wurde. Insbesondere kann ein Auskunftsantrag wie der von Mircom nicht deshalb als unzulässig angesehen werden, weil er in einem vorgerichtlichen Verfahren gestellt wurde. Der Antrag ist jedoch abzulehnen, wenn er unbegründet ist oder nicht die Verhältnismäßigkeit wahrt, was das nationale Gericht zu prüfen hat. Mit dieser Auslegung möchte der Gerichtshof ein hohes Schutzniveau für das geistige Eigentum im Binnenmarkt gewährleisten.

Der Gerichtshof entscheidet drittens, dass das Unionsrecht grundsätzlich weder den Inhaber von Rechten des geistigen Eigentums oder einen in dessen Auftrag handelnden Dritten daran hindert, IP-Adressen von Nutzern von Peer-to-Peer-Netzen, deren Internetanschlüsse für rechtsverletzende Tätigkeiten genutzt worden sein sollen, systematisch zu speichern (vorgelagerte Datenverarbeitung), noch dem entgegensteht, dass die Namen und Anschriften der Nutzer an den Rechtsinhaber oder an einen Dritten im Hinblick auf eine Schadensersatzklage übermittelt werden (nachgelagerte Datenverarbeitung). Die dahin gehenden Maßnahmen und Anträge müssen jedoch gerechtfertigt, verhältnismäßig, nicht missbräuchlich und in einer nationalen Rechtsvorschrift vorgesehen sein, die die Rechte und Pflichten aus dem Unionsrecht beschränkt. Der Gerichtshof stellt klar, dass das Unionsrecht keine Verpflichtung für eine Gesellschaft wie Telenet begründet, personenbezogene Daten an Privatpersonen zu übermitteln, damit diese vor den Zivilgerichten Urheberrechtsverstöße verfolgen können. Das Unionsrecht erlaubt es den Mitgliedstaaten jedoch, eine solche Verpflichtung vorzusehen.

Den Volltext der Entscheidung finden Sie hier:

Tenor der Entscheidung:
1. Art. 3 Abs. 1 und 2 der Richtlinie 2001/29/EG des Europäischen Parlaments und des Rates vom 22. Mai 2001 zur Harmonisierung bestimmter Aspekte des Urheberrechts und der verwandten Schutzrechte in der Informationsgesellschaft ist dahin auszulegen, dass es sich um eine öffentliche Zugänglichmachung im Sinne dieser Bestimmung handelt, wenn die von einem Nutzer eines Peer-to-Peer-Netzes zuvor heruntergeladenen Segmente einer Mediendatei, die ein geschütztes Werk enthält, von dem Endgerät dieses Nutzers aus auf die Endgeräte anderer Nutzer dieses Netzes hochgeladen werden, obwohl diese Segmente als solche erst nach dem Herunterladen eines bestimmten Prozentsatzes aller Segmente nutzbar sind. Unerheblich ist, dass dieses Hochladen aufgrund der Konfiguration der Filesharing-Software BitTorrent-Client durch die Software automatisch erfolgt, wenn der Nutzer, von dessen Endgerät aus das Hochladen erfolgt, sein Einverständnis mit dieser Software erklärt hat, indem er deren Anwendung zugestimmt hat, nachdem er ordnungsgemäß über ihre Eigenschaften informiert wurde.

2. Die Richtlinie 2004/48/EG des Europäischen Parlaments und des Rates vom 29. April 2004 zur Durchsetzung der Rechte des geistigen Eigentums ist dahin auszulegen, dass eine Person, die vertragliche Inhaberin bestimmter Rechte des geistigen Eigentums ist, diese Rechte aber nicht selbst nutzt, sondern lediglich Schadensersatzansprüche gegen mutmaßliche Verletzer geltend macht, die in Kapitel II dieser Richtlinie vorgesehenen Maßnahmen, Verfahren und Rechtsbehelfe grundsätzlich in Anspruch nehmen kann, es sei denn, es wird aufgrund der allgemeinen Verpflichtung aus Art. 3 Abs. 2 der Richtlinie und auf der Grundlage einer umfassenden und eingehenden Prüfung festgestellt, dass ihr Antrag missbräuchlich ist. Ein auf Art. 8 der Richtlinie gestützter Auskunftsantrag ist insbesondere auch dann abzulehnen, wenn er unbegründet ist oder nicht die Verhältnismäßigkeit wahrt, was das nationale Gericht zu prüfen hat.

3. Art. 6 Abs. 1 Unterabs. 1 Buchst. f der Verordnung (EU) 2016/679 des Europäischen Parlaments und des Rates vom 27. April 2016 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten, zum freien Datenverkehr und zur Aufhebung der Richtlinie 95/46/EG (Datenschutz-Grundverordnung) in Verbindung mit Art. 15 Abs. 1 der Richtlinie 2002/58/EG des Europäischen Parlaments und des Rates vom 12. Juli 2002 über die Verarbeitung personenbezogener Daten und den Schutz der Privatsphäre in der elektronischen Kommunikation (Datenschutzrichtlinie für elektronische Kommunikation) in der durch die Richtlinie 2009/136/EG des Europäischen Parlaments und des Rates vom 25. November 2009 geänderten Fassung ist dahin auszulegen, dass er grundsätzlich weder den Inhaber von Rechten des geistigen Eigentums oder einen in dessen Auftrag handelnden Dritten daran hindert, IP‑Adressen von Nutzern von Peer-to-Peer-Netzen, deren Internetanschlüsse für rechtsverletzende Tätigkeiten genutzt worden sein sollen, systematisch zu speichern, noch dem entgegensteht, dass die Namen und Anschriften dieser Nutzer an den Rechtsinhaber oder an einen Dritten übermittelt werden, um ihm die Möglichkeit zu geben, bei einem Zivilgericht eine Schadensersatzklage wegen eines Schadens zu erheben, der von diesen Nutzern verursacht worden sein soll, jedoch nur unter der Voraussetzung, dass die dahin gehenden Maßnahmen und Anträge des Rechtsinhabers oder des Dritten gerechtfertigt, verhältnismäßig und nicht missbräuchlich sind und ihre Rechtsgrundlage in einer Rechtsvorschrift im Sinne von Art. 15 Abs. 1 der Richtlinie 2002/58 in der durch die Richtlinie 2009/136 geänderten Fassung haben, die die Tragweite der Bestimmungen der Art. 5 und 6 dieser Richtlinie in geänderter Fassung beschränkt.

LG Berlin
Beschluss vom 18.02.2021
(526 OWi LG) 212 Js-OWi 1/20 (1/20), 526 OWiG LG 1/20

Das LG Berlin hat das 14,5 Millionen EURO DSGVO-Bußgeld gegen die Deutsche Wohnen SE (siehe dazu Berliner Datenschutzbeauftragter: Bußgeld von 14,5 Millionen EURO gegen Deutsche Wohnen SE wegen DSGVO-Verstößen) aufgehoben. Das Gericht führt u.a. aus, dass § 30 OWiG über § 41 Absatz 1 BDSG auch für DSGVO-Verstöße gilt.

Die Entscheidungsgründe:
I. Die Betroffene ist ein börsennotiertes Immobilienunternehmen mit Sitz in Berlin. Sie hält über gesellschaftsrechtliche Beteiligungen mittelbar 162.700 Wohneinheiten und 3.000 Gewerbeeinheiten. Eigentümer dieser Einheiten sind Tochtergesellschaften der Betroffenen, sogenannte Besitzgesellschaften, die das operative Geschäft führen und die mit der Betroffenen einen Konzern bilden. Die Geschäftstätigkeit der Betroffenen konzentriert sich auf die übergeordnete Leitung, wie die Geschäftsführung, das Personalwesen oder das Finanz- und Rechnungswesen. Die Besitzgesellschaften vermieten die Wohn- und Gewerbeeinheiten, die Verwaltung der Einheiten erfolgt ebenfalls durch Konzerngesellschaften, die sogenannten Servicegesellschaften.

Im Rahmen ihrer Geschäftstätigkeit verarbeiten die Betroffene und die genannten Konzerngesellschaften unter anderem auch personenbezogene Daten von Mieterinnen und Mietern der Wohn- und Gewerbeeinheiten. Dies geschieht im Rahmen der Neuvermietung eines Objektes, der laufenden Verwaltung eines bestehenden Mietverhältnisses oder auch beim Erwerb von bereits vermieteten Immobilien und der Übernahme der mit diesen verbundenen Mietverhältnissen. Bei diesen Daten handelt es sich unter anderem um Identitätsnachweise (etwa Personalausweiskopien), Bonitätsnachweise (etwa Kontoauszüge), Gehaltsbescheinigungen, Arbeitsnachweise, Steuer-, Sozial- und Krankenversicherungsdaten sowie Angaben zu Vormietverhältnissen

Am 23. Juni 2017 wies die Berliner Beauftragte für den Datenschutz („BlnBDI“ oder „Behörde“) im Rahmen einer sogenannten Vor-Ort-Kontrolle nach § 38 Absatz 4 Bundesdatenschutzgesetz a.F. die Betroffene darauf hin, dass ihrer Auffassung nach Konzerngesellschaften der Betroffenen personenbezogene Daten von Mieterinnen und Mietern in einem elektronischen Archivsystem speicherten, bei dem nicht überprüft werden könne, ob eine erfolgte Speicherung zulässig oder erforderlich ist und bei dem nicht mehr erforderliche Daten nicht gelöscht werden könnten, obgleich dies nach den geltenden datenschutzrechtlichen Bestimmungen zu erfolgen habe. Im Hinblick auf diesen Umstand forderte die Behörde die Betroffene mit Schreiben vom 8. September 2017 auf, eine Vielzahl beanstandeter Dokumente aus dem elektronischen Archivsystem bis Jahresende 2017 zu löschen. Die Betroffene teilte daraufhin mit Schreiben vom 22. September 2017 mit, dass ihr die verlangte Löschung der beanstandeten Dokumente aus technischen und rechtlichen Gründen nicht möglich sei. Eine Löschung der Dokumente erfordere insbesondere zunächst die Überführung der alten Archivdaten in ein neues Archivsystem, welches wiederum Konformität mit den gesetzlichen handels- und steuerrechtlichen Aufbewahrungspflichten aufweisen müsse. Zu diesen Einwänden fand auf Wunsch der Betroffenen sodann am 1. November 2017 ein Gespräch zwischen Vertretern der Behörde und der Betroffenen statt, indem die Behörde insbesondere die Auffassung vertrat, dass es am Markt technische Lösungen gebe, die eine Umsetzung der begehrten Löschungen erlaube. Nachdem die Betroffene unter dem 30. November 2017 noch einmal schriftlich dargelegt hatte, dass die Löschungen innerhalb der gesetzten Frist nicht erfolgen könnten, forderte die Behörde die Betroffene mit Schreiben vom 20. Dezember 2017 dazu auf, die der Löschung entgegenstehenden Gründe, insbesondere einen etwaigen unverhältnismäßigen Aufwand schriftlich darzulegen. Die Betroffene beantwortete diese Aufforderung mit einer E-Mail vom 3. Januar 2018 und einem Schreiben vom 26. Januar 2018 und berichtete über den vorgesehenen Aufbau eines neuen Speichersystems, mit dem das bisherige beanstandete System ersetzt werden sollte.

Am 5. März 2020 nahm die BlnBDI sodann eine Prüfung in der Konzernzentrale der Betroffenen vor, bei der insgesamt 16 Stichproben im Datenbestand der Betroffenen entnommen wurden und die Betroffene die Behörde unterrichtete, dass das beanstandete Archivsystem zum 13. Februar 2020 außer Betrieb gesetzt worden sei und die Migration der Daten auf das neue System unmittelbar bevorstehe. An diesen Termin schloss sich weiterer Briefwechsel zwischen der Betroffenen und der Behörde an, insbesondere hat die Behörde die Betroffene um zahlreiche Auskünfte ersucht, die die Betroffene in mehreren Schreiben bedient hat.

Mit Schreiben vom 30. August 2020, zugestellt am 2. September 2020, hörte die Behörde die ... als Betroffene wegen einer Ordnungswidrigkeit an und teilte ihr mit, gegen sie ein Ordnungswidrigkeitsverfahren eingeleitet zu haben. Mit der Anhörung verlangte die Behörde Auskunft über die vertretungsberechtigten Leitungspersonen der Betroffenen, die die Betroffene mit Schreiben vom 12. September 2020 beantwortet hat. Nach Stellungnahme der Betroffenen mit Schreiben vom 30. September 2020 erließ die BlnBDI am 30. Oktober 2020 sodann den verfahrensgegenständlichen Bußgeldbescheid gegen die Betroffene, der dieser am 31. Oktober 2020 zugestellt worden ist. Die Behörde verhängte mit dem Bußgeldbescheid vom 30. Oktober 2020 gegen die Betroffene wegen „vorsätzlicher“ Verstöße gegen Artikel 25 Absatz 1, Artikel 5 Absatz 1 lit. a), c) und e) sowie gegen Artikel 6 Absatz 1 DS-GVO ein Bußgeld in Höhe von EUR 14.549.503,50. Die ... als Betroffene habe es danach zumindest im Tatzeitraum zwischen dem 25. Mai 2018 und dem 5. März 2019 unterlassen, die notwendigen Maßnahmen zur Ermöglichung der regelmäßigen Löschung nicht mehr benötigter oder in sonstiger Weise zu Unrecht gespeicherter Daten von Mietern zu treffen. Die ... habe ferner personenbezogene Daten von mindestens fünfzehn näher bezeichneten Mietern fortgesetzt gespeichert, obgleich ihr bekannt gewesen sei, dass die Speicherung nicht oder nicht mehr erforderlich war und sie habe damit bewusst in Kauf genommen, Datenschutzgrundsätze zu verletzen. Hinsichtlich der Tatvorwürfe habe die ... vorsätzlich gehandelt.

Mit Schreiben ihrer Prozessbevollmächtigten vom 7. November 2020 legte die Betroffene gegen den Bußgeldbescheid Einspruch ein, der der Behörde noch am selben Tage durch Faxschreiben zuging und den die Betroffene mit Schriftsatz ihrer Prozessbevollmächtigten vom 14. August 2020 begründete. Sie führt neben Einwänden zu den tatbestandlichen Voraussetzungen und Rechtsfolgen der vermeintlich verletzten Bußgeldvorschriften insbesondere aus, dass bereits ein Verfahrenshindernis bestehe, da der Bußgeldbescheid die ... als Betroffene führe, was im Ordnungswidrigkeitenrecht nicht vorgesehen sei.

Wegen des weiteren Sachstandes wird auf den Akteninhalt verwiesen.

II. Das Verfahren war nach § 206a StPO in Verbindung mit §§ 46, 71 OWiG durch Beschluss einzustellen, da ein Verfahrenshindernis besteht.

1. Der Bußgeldbescheid der Berliner Beauftragten für Datenschutz und Informationsfreiheit vom 30. Oktober 2019 leidet unter derart gravierenden Mängeln, dass er nicht Grundlage des Verfahrens sein kann.

a) Der Bußgeldbescheid wurde gegen die ... erlassen, mithin gegen eine Europäische Gesellschaft, eine juristische Person des Privatrechts mit eigener Rechtspersönlichkeit i.S.v. § 1 Absatz 1 AktG in Verbindung mit §§ 1 ff. SEAG in Verbindung mit Artikel 1 Absatz 3 der Verordnung (EG) Nr. 2157/2001 des Rates vom 8. Oktober 2001 über das Statut der Europäischen Gesellschaft. Die ... wurde von der BlnBDI als Betroffene im Sinne des Gesetzes über Ordnungswidrigkeiten behandelt. Ihr wurde im Bußgeldbescheid an zahlreichen Stellen die vorsätzliche Verwirklichung von Ordnungswidrigkeitstatbeständen vorgeworfen. In der Stellungnahme der Berliner Beauftragten für Datenschutz und Informationsfreiheit vom 28. Oktober 2020 zur Einspruchsbegründung der Betroffenen hat die Behörde bekräftigt, der Bescheid richte sich allein gegen die ..., vertreten durch ihre Geschäftsführung.

Eine juristische Person kann indes nicht Betroffene in einem Bußgeldverfahren, auch nicht in einem solchen nach Artikel 83 der Verordnung (EU) 2016/679 des Europäischen Parlaments und des Rates vom 27. April 2016 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten, zum freien Datenverkehr und zur Aufhebung der Richtlinie 95/46/EG (Datenschutz-Grundverordnung oder DS-GVO), sein. Denn eine Ordnungswidrigkeit kann nur eine natürliche Person vorwerfbar begehen. Der juristischen Person kann lediglich ein Handeln ihrer Organmitglieder oder Repräsentanten (der natürlichen Personen) zugerechnet werden. Sie kann deshalb im Bußgeldverfahren nur Nebenbeteiligte sein. Die Verhängung einer Geldbuße gegen sie ist in § 30 OWiG geregelt, der über § 41 Absatz 1 BDSG auch für Verstöße nach Artikel 83 Absatz 4 bis 6 DS-GVO Anwendung findet. Danach kann entweder in einem einheitlichen Verfahren gegen die juristische Person eine Geldbuße festgesetzt werden, wenn wegen der Tat des Organmitgliedes oder Repräsentanten, also der natürlichen Person, gegen diese ein Bußgeldverfahren durchgeführt wird, oder aber nach § 30 Absatz 4 OWiG in einem selbständigen Verfahren. Voraussetzung ist dann freilich, dass wegen der Tat des Organmitgliedes oder Repräsentanten der juristischen Person ein Verfahren nicht eingeleitet oder ein solches Verfahren eingestellt wird. Allerdings muss, da die juristische Person selbst eine Ordnungswidrigkeit nicht begehen kann, auch in diesem sogenannten selbständigen Verfahren eine vorwerfbare Ordnungswidrigkeit eines Organmitgliedes der juristischen Person festgestellt werden.

Der verfahrensgegenständliche Bußgeldbescheid vom 30. Oktober 2019 wurde offensichtlich nicht als selbständiger Bescheid gemäß § 30 Absatz 4 OWiG erlassen. Die BlnBDI war sich der dargestellten Rechtslage nicht bewusst und vertritt die Auffassung, eine juristische Person könne im Ordnungswidrigkeitenrecht wie eine natürliche Person behandelt werden. Der Bußgeldbescheid erging daher in einem Verfahren, das im Gesetz über Ordnungswidrigkeiten nicht vorgesehen und daher nicht zulässig ist. Der Bescheid ist deshalb unwirksam (vgl. OLG Stuttgart, Beschluss vom 1. Februar 1993 – 4 Ss 573/92, MDR 1993, 572).

aa) Dabei übersieht die Kammer nicht, dass in der rechtswissenschaftlichen Literatur und vom Landgericht Bonn (Urteil vom 11. November 2020 – 29 OWi 1/20, BeckRS 2020, 35663) vertreten wird, Artikel 83 DS-GVO allein sei hinreichende Rechtsgrundlage für eine sogenannte unmittelbare Verbandshaftung juristischer Personen (vgl. etwa: BeckOK DatenschutzR/Holländer DS-GVO Art. 83 Rn. 9; Kühling/Buchner/Bergt, DS-GVO BDSG, DSGVO Art. 83 Rn. 20; BeckOK DatenschutzR/Brodowski/Nowak, § 41 BDSG Rn. 11). Nach dieser Auffassung besteht für die Datenschutz-Grundverordnung ein Anwendungsvorrang vor nationalen Vorschriften, da es andernfalls zu ungewünschten Wettbewerbsverzerrungen in den Mitgliedsstaaten der Europäischen Union im Hinblick auf die Durchsetzungen der europarechtlichen Datenschutzregeln kommen könne. Nationale Vorschriften wie § 41 Absatz 1 BDSG in Verbindung mit §§ 30, 130 OWiG, seien wegen des Grundsatzes der praktischen Wirksamkeit (effet utile) so auszulegen, dass ihre Anwendung nicht zu Vollzugsdefiziten führen könne – und wo dies nicht gelänge, seien sie gar nicht anzuwenden. Schließlich gäben die Erwägungsgründe der Datenschutz-Grundverordnung Hinweis darauf, dass der europäische Verordnungsgesetzgeber das Sanktionsregime des europäischen Kartellrechtes habe nachbilden wollen, dem eine unmittelbare Verbandshaftung zugrunde liege. Danach bedarf es gerade nicht der Feststellung einer Tathandlung durch eine natürliche Person, die dem Verband zugerechnet werden müsste (sogenannte Anknüpfungstat). Vielmehr sei die juristische Person selbst Täter und nach dem insoweit unmittelbar anwendbaren Unionsrecht auch schuldfähig.

bb) Dieser Auffassung vermag sich die Kammer indes nicht anzuschließen.

Nach Artikel 83 DS-GVO in Verbindung mit Artikel 4 Nr. 7 und 8 DS-GVO sind Geldbußen für Verstöße gegen die DS-GVO gemäß Artikel 83 Absätze 4 bis 6 DS-GVO nicht nur gegen natürliche Personen, sondern auch gegen juristische Personen als „Verantwortlicher“ im Sinne des Artikel 4 Nr. 7 DS-GVO oder „Auftragsverarbeiter“ im Sinne des Artikel 4 Nr. 8 DS-GVO zu verhängen. Nähere Bestimmungen zur strafrechtlichen Verantwortlichkeit juristischer Personen für von ihnen zurechenbaren natürlichen Personen begangene Verstöße gegen die Datenschutz-Grundverordnung enthält die Verordnung indes nicht.

Auf das von der BlnBDI geführte Ordnungswidrigkeitsverfahren für die Verhängung einer Geldbuße nach Artikel 83 Absatz 4-6 DS-GVO findet nach § 41 BDSG aber das Gesetz über Ordnungswidrigkeiten Anwendung. Die Norm dient – neben der allgemeinen Umsetzungsverpflichtung europäischen Rechts aus Artikel 197 Absatz 3 Satz 1, 291 Absatz 1 des Vertrags über die Europäische Union und des Vertrags über die Arbeitsweise der Europäischen Union (AEUV) – der Umsetzung des spezifischen Regelungsauftrages aus Artikel 83 Absatz 8 DS-GVO. Danach haben die Mitgliedstaaten für die Ausübung der Befugnisse gemäß Artikel 83 DS-GVO durch die zuständige Aufsichtsbehörde angemessene Verfahrensgarantien einschließlich wirksamer gerichtlicher Rechtsbehelfe und ordnungsgemäßer Verfahren vorzusehen. § 41 Absatz 1 BDSG erklärt daher die Anwendung des Gesetzes über Ordnungswidrigkeiten für die Verstöße nach Artikel 83 Absatz 4 bis 6 DS-GVO und damit für das „ob“ einer Tatbestandsverwirklichung unter Ausnahme der §§ 17, 35, 36 OWiG, für anwendbar. § 41 Absatz 2 BDSG regelt sinngleiches für das Verfahren wegen eines Verstoßes gegen Artikel 83 Absatz 4 bis 6 DS-GVO. Die Regelung ist erforderlich, da das Gesetz über Ordnungswidrigkeiten nach dessen § 2 Absatz 2 Satz 2 nur für Bundes- und Landesrecht gilt. Der Nichtanwendungsbefehl für die §§ 17, 35, 36 OWiG folgt dabei daraus, dass in der diesen Normen zugrundeliegenden Regelungsmaterie, namentlich der Bußgeldhöhe und der Zuständigkeit der Aufsichtsbehörde, die Datenschutz-Grundverordnung abschließende Regelungen getroffen hat (vgl. BT-Drs. 18/11325, S. 108 zu § 41). Für den Bereich der Zurechnung schuldhaften Verhaltens ist dies freilich nicht der Fall, weshalb die §§ 30, 130 OWiG auch im Rahmen von Verstößen nach Artikel 83 Absatz 4 bis 6 DS-GVO anwendbar bleiben (vgl. Gola, Datenschutzgrundverordnung, Art. 83, Rn. 11; Sydow/Popp DS-GVO Art. 83 Rn. 5, Art. 84 Rn. 3; Piltz, BDSG Praxiskommentar für die Wirtschaft, § 41 Rn. 7 ff.; Schantz/Wolff, Das neue Datenschutzrecht, Rn. 1128, 1132-1135; zur vergleichbaren Rechtslage in Österreich: ÖVwGH, Erkenntnis vom 12.5.2020 – Ro 2019/04/0229, ZD 2020, 463; BVwG, Spruch vom 19. August 2019 – W211 2217629-1/10E Rn. 29 ff.; Spruch vom 23. Oktober 2019 – W258 2227269-1/114E, sub. 3.11).

Die Regelung der Zurechnung der durch natürliche Personen begangenen Verstöße ist erforderlich, da die juristische Person selbst nicht handelt, ihre Organe und Vertreter tun dies für sie. Eine Ordnungswidrigkeit aber ist eine rechtswidrige und vorwerfbare Handlung, die den Tatbestand eines Gesetzes verwirklicht, welches die Ahndung mit einer Geldbuße zulässt (vgl. § 1 Absatz 1 OWiG). Insoweit ist die Feststellung eines vorwerfbaren Verhaltens einer natürlichen Person die notwendige Grundvoraussetzung für die Begründung einer Verantwortlichkeit des möglicherweise pflichtigen Rechtsträgers.

Der Wortlaut des § 41 Absatz 1 Satz 1 BDSG, der für Verstöße nach Artikel 83 Absatz 4 bis 6 der DS-GVO die „sinngemäße“ Anwendung der Vorschriften des Gesetzes über Ordnungswidrigkeiten vorsieht, liefert – entgegen der Auffassung der Behörde – keinen Hinweis darauf, dass die Normen des Gesetzes über Ordnungswidrigkeiten „eingeschränkt“ oder gar selektiv überhaupt nicht anzuwenden wären. Es handelt sich bei diesem Verweis vielmehr um eine gängige Inbezugnahme außerhalb des Ausgangstextes liegender Vorschriften. Hierzu stehen dem Gesetzgeber verschiedene Formen des Verweises zur Verfügung. Einer von ihnen ist die sogenannte Analogieverweisung, die rechtsförmlich zutreffend mit dem Wort „sinngemäß“ oder „entsprechend“ verbunden wird. Damit soll bestimmt werden, dass der Bezugstext – hier das Gesetz über Ordnungswidrigkeiten – nicht wörtlich, sondern nur sinngemäß angewandt wird, was immer dann angezeigt ist, wenn der Bezugstext nicht wörtlich passt. Eine inhaltliche Einschränkung dahingehend, dass bestimmte Normen des Bezugstextes gar nicht gelten, ist davon indes nicht erfasst. Grundsätzlich wird vielmehr der Bezugstext Bestandteil der verweisenden Regelung (zum Ganzen: Handbuch der Rechtsförmlichkeit, BAnz. Nr. 160a vom 22. September 2008, Rn. 218 ff., 232 ff.). Dementsprechend lässt sich aus dem Analogieverweis auf die Normen des Gesetzes über Ordnungswidrigkeiten auch keinesfalls ableiten, dass die §§ 30, 130 OWiG nicht oder einschränkt auf den hiesigen Sachverhalt anwendbar wäre.

Zu keinem anderen Ergebnis führt es, dass § 41 Absatz 1 Satz 1 BDSG die einschränkende Wendung „soweit dieses Gesetz nichts anderes bestimmt“ enthält. Anders als die Behörde meint, ist mit der Bezeichnung „dieses Gesetz“ nicht etwa die DS-GVO gemeint. Nicht nur wäre die DS-GVO als „Gesetz“ rechtsförmlich unzutreffend bezeichnet worden. Das verweisende Gesetz – hier das Bundesdatenschutzgesetz – wird stets als „dieses Gesetz“ bezeichnet (vgl. Handbuch der Rechtsförmlichkeit, BAnz. Nr. 160a vom 22. September 2008, Rn. 275 f., 310).

Der historische Gesetzgeber des Bundesdatenschutzgesetzes ist denn auch augenscheinlich von der Anwendbarkeit der §§ 30, 130 OWiG im Falle eines Verstoßes gegen die DS-GVO ausgegangen. Denn während der erste Referentenentwurf eines Gesetzes zur Anpassung des Datenschutzrechts an die Verordnung (EU) 2016/679 und zur Umsetzung der Richtlinie (EU) 2016/680 (Datenschutz-Anpassungs- und –Umsetzungsgesetz EU) in § 39 Absatz 1 Satz 2 BDSG-RefE noch die ausdrückliche Nichtanwendung der §§ 30, 130 OWiG vorsah, ist dieser Normbefehl in der Gesetz gewordenen bedeutungs- und im Übrigen wortlautgleichen Vorschrift des § 41 Absatz 1 Satz 2 BDSG gestrichen worden und auch nicht durch die letzte Novelle des Bundesdatenschutzgesetzes, durch das zweite Gesetz zur Anpassung des Datenschutzrechts vom 20. November 2019, geändert worden. Dabei war sich der Gesetzgeber mindestens durch die Entschließung der 97. Konferenz der unabhängigen Datenschutzbehörden des Bundes und der Länder vom 3. April 2019, mit dem für eine „klarstellende“ Ergänzung des § 41 Absatz 1 Satz 2 BDSG und die Nichtanwendung der §§ 30, 130 OWiG geworben wird, der Folgen seiner Entscheidung bewusst.

Die insoweit unzweideutige Entscheidung des Gesetzgebers findet einen guten Grund in den Grenzen der verfassungsmäßigen Ordnung. Denn Hintergrund des Erfordernisses der Anknüpfung an die Handlung einer natürlichen Person ist das aus dem Rechtsstaatsprinzip des Artikel 20 Absatz 3 Grundgesetz (GG), aus Artikel 103 Absatz 2 GG, der allgemeinen Handlungsfreiheit des Artikel 2 Absatz 1 GG sowie der Menschenwürde in Artikel 1 Absatz 1 GG folgende Schuldprinzip. Ohne eine Anknüpfung an eine schuldhafte Handlung ist ein staatlicher Strafausspruch nicht möglich. Wobei jede Strafe, nicht nur die Strafe für kriminelles, sondern auch die strafähnliche Sanktion für sonstiges Unrecht, die Elemente von Repression und Vergeltung beinhaltet, die ein Übel wegen eines rechtswidrigen Verhaltens verhängt, dem Schuldprinzip unterliegt (BVerfG, Beschluss vom 25. Oktober 1966 – 2 BvR 506/63, NJW 1967, 195; Urteil vom 30. Juni 1976 - 2 BvR 435/76, NJW 1976, 1883; Beschluss vom 14. Juli 1981 – 1 BvR 575/80). Dieses gilt daher auch im Ordnungswidrigkeitenrecht. Die schuldhafte Handlung des Einzelnen setzt aber dessen eigene Verantwortung und die Willensfreiheit voraus, sich für Recht oder Unrecht entscheiden zu können. Diese Entscheidung vermag die juristische Person nicht zu treffen, weshalb es insoweit immer der Anknüpfung an die Handlung einer natürlichen Person bedarf. Auf dieser Linie liegt es, wenn auch das aktuelle Gesetzgebungsverfahren zu einem Verbandssanktionengesetz in der Entwurfsfassung des § 3 VerSanG-E (vgl. BT-Drcks. Drucksache 19/23568, S. 11) auf die Begehung einer Straftat durch eine Leitungsperson oder die Verletzung einer Aufsichtspflicht abstellt und insoweit am bestehenden Konzept der Notwendigkeit der Verantwortlichkeit einer natürlichen Person festhält.

Der Hinweis darauf, der europäische Verordnungsgesetzgeber habe mit der Datenschutzgrundverordnung das Sanktionsregime des europäischen Kartellrechts nachbilden wollen, weshalb – wie dort – eine unmittelbare Verbandsverantwortlichkeit in Betracht komme, überzeugt ebenfalls nicht.

Zunächst ist das europäische Kartellrecht davon geprägt, dass es nach Artikel 4 der Verordnung (EG) Nr. 1/2003 des Rates vom 16. Dezember 2002 zur Durchführung der in den Artikeln 81 und 82 des Vertrags niedergelegten Wettbewerbsregeln (KartellVO) grundsätzlich von der europäischen Kommission kraft eigener Kompetenz umgesetzt wird, wohingegen die DS-GVO durch nationale Aufsichtsbehörden exekutiert werden soll. Mag auch Artikel 5 KartellVO eine Zuständigkeit der nationalen Wettbewerbsbehörden zur Anwendung des EU-Wettbewerbsrechts begründen, so ist doch für die Reichweite dieser behördlichen Befugnisse weiterhin das innerstaatliche Recht maßgeblich. Die nationalen Behörden können dementsprechend Verstöße gegen europäisches Recht nur verfolgen, soweit es nationale Bestimmungen zulassen. Dies gilt im Besonderen auch für die bußgeldrechtliche Haftung eines Unternehmens im Sinne des weiten Unternehmensbegriffs nach europäischer Rechtsprechung (zu diesem: EuGH, Urteil vom 10. September 2009 – C-97/08 – EuZW 2009, 816, 821 [Akzo Nobel u. a./Kommission], Rn. 54 ff.; EuG, Urteil vom 14. Dezember 2006 – T-259/02, BeckRS 2006, 140069, Rn. 21). Denn für das deutsche Recht hat der nationale Gesetzgeber sich für das Rechtsträgerprinzip entschieden, wie es etwa in § 30 OWiG zum Ausdruck kommt. Die Verhängung einer allgemeine Unternehmensgeldbuße durch deutsche Kartellbehörden ohne Anknüpfung an die Tat eines Repräsentanten kommt danach nicht in Betracht (vgl. BGH, Beschluss vom 16. Dezember 2014 − KRB 47/13, NZKart 2015, 272, 275 f. [Silostellgebühren III]; Beschluss vom 10. August 2011 – KRB 55/10, NJW 2012,164, 165 [Versicherungsfusion]; OLG Düsseldorf, Urteil vom 17. Dezember 2012 − V-1 Kart 7/12 (OWi)- NZKart 2013, 166, 167 ff. [Silostellgebühren II]). Das nationale Kartellbußgeldrecht enthält auch nach der jüngsten Novelle des Gesetzes gegen Wettbewerbsbeschränkungen (GWB) keine Ausnahme von diesem Rechtsgrundsatz. Nach den §§ 81 ff. GWB setzt die Bebußung eines Unternehmens voraus, dass die Tat durch eine Leitungsperson selbst oder zwar durch eine andere Person begangen wurde, aber die Leitungsperson sich einer vorsätzlichen oder fahrlässigen Aufsichtspflichtverletzung (§ 130 OWiG) schuldig gemacht hat. Dies gilt insbesondere auch mit Blick auf die Vorschriften der §§ 81a bis 81c GWB. Soweit danach eine gegen ein Unternehmen oder eine Unternehmensvereinigung zu verhängende Geldbuße in Rede steht, geht es dabei – wie bereits in der Vorgängernorm des § 81 Absatz 4 Satz 2 GWB – insbesondere um die Bußgeldbemessung, ohne dass damit die in § 30 OWiG vorgesehene Begrenzung der Ahndung einer Organtat gegenüber derjenigen juristischen Person, deren Organ die Tat begangen hat, aufgehoben wäre (vgl. BGH, Beschluss vom 10. August 2011 – KRB 55/10, NJW 2012, 164, 166 [Versicherungsfusion]).

Insoweit vermag auch der Hinweis auf Erwägungsgrund 150 zur DS-GVO nicht die Annahme rechtfertigen, der europäische Verordnungsgesetzgeber der DS-GVO habe die Übernahme des gesamten supranationalen kartellrechtlichen Sanktionsregimes gewollt. Denn Erwägungsgrund 150 (Satz 3) zur DS-GVO betrifft die Bemessung einer möglichen Bußgeldhöhe allein. Er verhält sich damit zur Rechtsfolge eines Verstoßes und keinesfalls – wie etwa der die europäische Kommission ermächtigende Artikel 23 KartellVO – auch zu dessen Voraussetzungen. Satz 3 des Erwägungsgrundes lautet: „Werden Geldbußen Unternehmen auferlegt, sollte zu diesem Zweck der Begriff „Unternehmen“ im Sinne der Artikel 101 und 102 AEUV verstanden werden.“ Die Formulierung setzt zunächst voraus, dass überhaupt eine Buße gegen ein „Unternehmen“ verhängt wird. Zur Frage der Bemessung der Höhe dieser Buße nimmt Erwägungsgrund 150 erkennbar Bezug auf Artikel 83 Absatz 4 bis 6 DS-GVO und möchte damit erreichen, dass im Falle der Verhängung einer Buße gegen ein „Unternehmen“ eben nicht allein der erzielte Jahresumsatz des (unmittelbar) betroffenen Rechtsträgers zur Bemessungsgrundlage gemacht wird, sondern vielmehr – i.S.v. Artikel 101 f. AEUV und des kartellrechtlichen, weiten Unternehmensbegriffs – der Umsatz der handelnden wirtschaftlichen Einheit (vgl. Immenga/Mestmäcker/Zimmer, Wettbewerbsrecht, Art. 101 Abs. 1 AEUV, Rn. 9 ff.). Diese Ausdeutung wird in systematischer Hinsicht durch Satz 4 des Erwägungsgrundes gestützt, der sich mit der Bemessung der Bußgeldhöhe – und dieser allein – bei natürlichen Personen befasst.

Nach Auffassung der Kammer erlaubt es zudem das Gesetzlichkeitsprinzip des Artikel 103 Absatz 2 GG nicht, die Frage der Verantwortlichkeit einer juristischen Person im Rahmen einer staatlichen Sanktionsanordnung durch die eine europäische Verordnung begleitenden Erwägungsgründe zu manifestieren, die zudem erkennbar nicht Bestandteil der Verordnung selbst sind.

Schließlich ist für die Kammer auch nicht erkennbar, dass sich aus dem unionsrechtlichen Effektivitätsgebot (Art. 197 AEUV) eine Pflicht zur Übernahme des unionsrechtlichen Modells der Verbandsverantwortlichkeit ergeben sollte. Denn dieses belässt den Mitgliedstaaten bei der Ausgestaltung des Sanktionsregimes einen Ermessensspielraum, der verfassungskonform, hier insbesondere unter Beachtung des Schuldgrundsatzes auszufüllen ist (vgl. zum Kartellrecht: Böse, ZStW 126 (2014), 132, 155).

Zwar wird wohl zutreffend darauf hingewiesen, dass es zur effektiven Durchsetzung der Regelungsziele der Datenschutzgrundverordnung erforderlich ist, dass das nationale Recht wirksame und hinreichend abschreckende Sanktionen zulässt, womit die Pflicht der nationalen Gerichte einhergehen dürfte, das einzelstaatliche Recht möglichst so auszulegen, dass bei einer Zuwiderhandlung gegen die DS-GVO effektive Sanktionen verhängt werden können. Die Pflicht zur unionsrechtskonformen Auslegung findet aber in den allgemeinen Rechtsgrundsätzen, insbesondere im Grundsatz der Rechtssicherheit, insofern ihre Schranken, als sie nicht als Grundlage für eine Auslegung des nationalen Rechts contra legem, also entgegen den nach nationalem Recht zulässigen Methoden richterlicher Rechtsfindung, dienen darf (vgl. EuGH, Urteil vom 16.Juli 2009 - C 12/08, BeckRS 2009, 70805, Rn. 61 [Mono Car Styling]; BGH, Urteil vom 26. November 2008 - VIII ZR 200/0, BGHZ 179, 27 Rn. 19 ff. mwN). Besondere Geltung beanspruchen diese Grundsätze für Vorschriften auf dem Gebiet des Straf- oder Ordnungswidrigkeitenrechts (EuGH, Urteil vom 16. Juni 2005 - C-105/03, NJW 2005, 2839 Rn. 47 [M. Pupino]; KK-OWiG/Rogall, § 3 Rn. 83 m.w.N.), bei deren Auslegung dem im deutschen und auch europäischen Verfassungsrecht verankerten Gesetzlichkeitsprinzip (Artikel 103 Absatz 2 GG, Artikel 49 der Charta der Grundrechte der Europäischen Union [2007/C 303/01]; Artikel 7 der Konvention zum Schutz der Menschenrechte und Grundfreiheiten) und somit auch der Wortsinngrenze besondere Bedeutung zukommt. Eine gesetzlich nicht vorgesehene strafrechtliche Verantwortlichkeit kann danach auf eine unionsrechtskonforme Auslegung selbst dann nicht gestützt werden, wenn die in Rede stehende nationale Regelung sich andernfalls als unionsrechtswidrig erweisen könnte (EuGH, Urteil vom 28. Juni 2012 – C-7/11, BeckRS 2012, 81321 [Caronna]; BGH, Beschluss vom 16. Dezember 2014 − KRB 47/13 – Silostellgebühren III, NZKart 2015, 272, 274).

Die hier anzuwendenden Bestimmungen in §§ 30, 130 OWiG i.V.m. § 41 BDSG schließen die bußgeldrechtliche Inanspruchnahme der Betroffenen auf der Grundlage des verfahrensgegenständlichen Bescheides aus. Denn nach ihrem Wortlaut ist für die Verantwortlichkeit der juristischen Person eine schuldhafte Handlung eines ihrer Repräsentanten erforderlich. Dieses Erfordernis kann nicht im Wege der Auslegung der Norm oder durch die Annahme einer Verbandsverantwortlichkeit „sui generis“ entfallen, ohne die Wortlautgrenze zu überschreiten und damit einen Verstoß gegen das Analogieverbot des Artikel 103 Absatz 2 GG zu begründen (vgl. dazu BVerfG, Urteil vom 11. November 1986 – 1 BvR 713/83, BeckRS 1986, 50, Rn. 65).

Es ist überdies lediglich pauschal dargetan worden, dass der Nachweis der Begehung einer Ordnungswidrigkeit durch das Erfordernis des Nachweises einer pflichtwidrigen Organhandlung i.S.v. §§ 30, 130 OWiG erschwert sei. Nicht dargetan ist indessen, dass sie den handelnden Aufsichtsbehörden dadurch nicht möglich wäre. Es ist im hiesigen Falle im Besonderen verwunderlich, dass die verfahrensgegenständlichen Verstöße gegen Datenschutzgesetze durch die Behörde bereits im Jahre 2017 – und damit vor Inkrafttreten der DS-GVO – festgestellt worden sind, verschiedene Vor-Ort Termine stattgefunden haben, Auskünfte, etwa über technische Details der Datenverarbeitung verlangt worden sind, und die Betroffene auch entsprechende Auskünfte erteilt hat, dass jedoch von der Behörde keine hinreichenden Ermittlungen zu den unternehmensinternen Verantwortlichkeiten für die beanstandeten Verstöße erfolgt sind. In diesem Falle dürfte es naheliegen, dass bereits eine Offenlegung der Organisationsstruktur im Unternehmen der Betroffenen zu einer Ermittlung von für die Datenverarbeitungsvorgänge verantwortlichen Personen geführt hätte und so möglicherweise etwa eine Aufsichtspflichtverletzung hätte dargelegt werden können. Vor diesem Hintergrund ist nicht ersichtlich, dass unter Beachtung der §§ 30, 130 OWiG keine wirksamen und abschreckenden Sanktionen verhängt werden können.

b) Auch bei einer Umdeutung des Bescheids in einen selbständigen Bußgeldbescheid gemäß § 30 Absatz 4 OWiG genügte dieser nicht den Anforderungen, die an einen solchen als Verfahrensgrundlage zu stellen wären.

Der Bußgeldbescheid, der im gerichtlichen Verfahren anstelle des Anklagesatzes tritt, begrenzt nach Person und Sache den Prozessgegenstand. Aus ihm muss sich die tatsächlich und rechtlich näher bezeichnete Beschuldigung ergeben (vgl. § 66 OWiG). Voraussetzung für die Festsetzung einer Geldbuße gegen eine juristische Person im selbständigen Verfahren gemäß § 30 Absatz 4 OWiG ist, wie bereits dargelegt, zudem, dass eines ihrer Organe eine Ordnungswidrigkeit begangen hat, die der juristischen Person zuzurechnen ist.

Der Bußgeldbescheid vom 30. Oktober 2019 erfüllt diese Abgrenzungsfunktion nicht. Der Tatvorwurf ist nicht bestimmt. Es fehlt etwa die Angabe von Tatzeit und -ort sowie des Organmitgliedes, das schuldhaft und der Betroffenen zurechenbar die Einrichtung eines den datenschutzrechtlichen Anforderungen genügenden EDV-Systems unterlassen oder aber eine rechtzeitige Löschung relevanter Daten nicht veranlasst haben soll. Der Bescheid enthält – mit Blick auf die Rechtsauffassung der Behörde konsequent – auch sonst keine Angaben zur konkreten Tathandlung selbst oder ihrer Unterlassung. Ihm lässt sich nicht entnehmen, worauf ein Vorwurf, die datenschutzrechtlichen Anforderungen seien nicht eingehalten worden, gestützt wird. Dies wäre aber umso mehr erforderlich, als, wie aus der Akte ersichtlich ist, die Behörde zu den Vorwürfen bei der Betroffenen Ermittlungen geführt hat und über einen längeren Zeitraum mit dieser über die gegenständlichen Vorwürfe in Kontakt stand, sich etwa schriftlich und in persönlichen Gesprächen Fragen von Mitarbeitern des Unternehmens beantworten ließ. Insoweit wären Ausführungen dazu möglich und notwendig gewesen, aus welchen Umständen die Behörde eine Verantwortlichkeit der Betroffenen herleiten möchte. Der Bußgeldbescheid enthält gleichwohl keinen konkreten Tatvorwurf gegen ein Organ der juristischen Person. Dieser Mangel kann auch nicht mehr gemäß §§ 71 Absatz 1 OWiG, 265 StPO durch einen Hinweis des Gerichts behoben werden. Auch bei Umdeutung des Bußgeldbescheides in einen selbständigen Bescheid nach § 30 Absatz 4 OWiG müsste deshalb das Verfahren wegen eines Verfahrenshindernisses eingestellt werden.

2. Die Kostenentscheidung beruht auf §§ 71 OWiG, 467 Absatz 1, Absatz 3 StPO. Es erscheint nicht unbillig, der Staatskasse die notwendigen Auslagen der ... aufzuerlegen, da das Verfahrenshindernis von Anfang an bestand.

Den Volltext der Entscheidung finden Sie hier:

OVG Lüneburg
Beschluss vom 19.01.2021
11 LA 16/20

Das OVG Lüneburg hat entschieden, dass

Leitsätze des Gerichts:

1. Die Veröffentlichung eines Fotos auf einer Fanpage bei Facebook, auf dem Personen identifizierbar sind, stellt eine Verarbeitung personenbezogener Daten dar, die einer Legitimation nach datenschutzrechtlichen Vorschriften bedarf.

2. Kann das Ziel einer Datenverarbeitung auch durch die Veröffentlichung anonymisierter Daten erreicht werden, ist eine unanonymisierte Veröffentlichung nicht erforderlich.

3. Bei einem auf einer Fanpage bei Facebook veröffentlichten Foto, auf dem Personen identifizierbar sind, die in die Veröffentlichung nicht eingewilligt haben, ist im Rahmen der Interessenabwägung nach Art. 6 Abs. 1 lit. f DS-GVO zugunsten der betroffenen Personen u.a. zu berücksichtigen, dass eine solche Veröffentlichung aufgrund bestehender Missbrauchsmöglichkeiten sowie aufgrund der großen Reichweite derartiger Netzwerke mit erheblichen Risiken verbunden ist.

4. Art. 21 GG, § 1 ParteienG stellen keine spezifischen Rechtsgrundlagen zur Verarbeitung personenbezogener Daten i.S.v. Art. 6 Abs. 1 lit. e, Abs. 2 und Abs. 3 DS-GVO dar.

5. Zur Frage, wann eine Datenverarbeitung zur journalistischen Zwecken i.S.d. Art. 85 Abs. 2 DS-GVO vorliegt.

Aus den Entscheidungsgründen:

"Rechtsgrundlage der Verwarnung der Beklagten vom 9. Januar 2019 ist Art. 58 Abs. 2 lit. b der Verordnung (EU) 2016/679 des Europäischen Parlaments und des Rates vom 27. April 2016 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten, zum freien Datenverkehr und zur Aufhebung der Richtlinie 95/46/EG (Datenschutz-Grundverordnung, Abl. Nr. L 119, S. 1, im Folgenden: DS-GVO). Nach dieser Vorschrift hat die Aufsichtsbehörde gemäß Art. 51 DS-GVO die Befugnis, einen Verantwortlichen zu verwarnen, wenn er mit Verarbeitungsvorgängen gegen die Datenschutz-Grundverordnung verstoßen hat. Vorliegend stellt die vom Kläger vorgenommene Veröffentlichung des streitgegenständlichen Fotos auf seiner Fanpage bei Facebook am 17. September 2018 eine Verarbeitung personenbezogener Daten dar, die nicht nach Art. 5 Abs. 1 i.V.m. Art. 6 Abs. 1 DS-GVO gerechtfertigt war und damit gegen die Datenschutz-Grundverordnung verstoßen hat.

Bei der Veröffentlichung des streitgegenständlichen Fotos durch den Kläger auf seiner Fanpage bei Facebook handelt es sich um eine Verarbeitung personenbezogener Daten der abgebildeten Personen i.S.d. Art. 2 Abs. 1, Art. 4 Nrn. 1 und 2 DS-GVO. Als Betreiber der Fanpage bei Facebook ist der Kläger für die streitgegenständliche Datenverarbeitung gemeinsam mit Facebook Verantwortlicher i.S.d. Art. 4 Nr. 7 DS-GVO (vgl. EuGH, Urt. v. 5.6.2018 - C 210/16 -, juris, Leits. 1 bei juris und Rn. 30 ff.; BVerwG, Urt. v. 11.9.2019 - 6 C 15/18 -, juris, Rn. 21). Nach Art. 6 Abs. 1 DS-GVO ist die Verarbeitung personenbezogener Daten nur rechtmäßig, wenn mindestens eine der insgesamt sechs im Einzelnen in lit. a bis lit. f dieser Vorschrift aufgeführten Voraussetzungen erfüllt ist. Das Verwaltungsgericht ist zutreffend davon ausgegangen, dass die Veröffentlichung des streitgegenständlichen Fotos auf der Fanpage des Klägers bei Facebook nicht nach Art. 6 Abs. 1 lit. f DS-GVO gerechtfertigt war (dazu unter a)). Entgegen dem Zulassungsvorbringen des Klägers kann er sich auch nicht mit Erfolg darauf berufen, dass die streitgegenständliche Veröffentlichung nach Art. 6 Abs. 1 lit. e DS-GVO i.V.m. Art. 21 GG, § 1 ParteienG (dazu unter b)) oder nach §§ 22, 23 des Gesetzes betreffend das Urheberrecht an Werken der bildenden Künste und der Photographie (Kunsturhebergesetz - KUG -, dazu unter c)) zulässig war.

a) Gemäß Art. 6 Abs. 1 lit. f DS-GVO ist eine Verarbeitung rechtmäßig, wenn sie zur Wahrung der berechtigten Interessen des Verantwortlichen oder eines Dritten erforderlich ist, sofern nicht die Interessen oder Grundrechte und Grundfreiheiten der betroffenen Person, die den Schutz personenbezogener Daten erfordern, überwiegen. Bei dieser Vorschrift handelt es sich um eine zentrale Abwägungsnorm in der Datenschutz-Grundverordnung (vgl. Albers/Veit, in: Wolff/Brink, BeckOK Datenschutzrecht, Stand: 1.5.2020, Art. 6 DS-GVO, Rn. 45 f.; Schulz, in: Gola, DS-GVO, 2. Aufl. 2018, Art. 6, Rn. 56; Buchner/Petri, in: Kühling/Buchner, DS-GVO/BDSG, 3. Aufl. 2020, Art. 6 DS-GVO, Rn. 141).

aa) Unter dem Begriff der berechtigten Interessen i.S.d. Art. 6 Abs. 1 lit. f DS-GVO sind „die vernünftigen Erwartungen der betroffenen Person“ (siehe Erwägungsgrund 47 DS-GVO), also sämtliche rechtlichen, wirtschaftlichen oder ideellen Interessen zu verstehen (vgl. Albers/Veit, in: Wolff/Brink, a.a.O., Art. 6 DS-GVO, Rn. 48 f.; Schulz, in: Gola, a.a.O., Art. 6, Rn. 57; Frenzel, in: Paal/Pauly, DS-GVO/BDSG, 3. Aufl. 2021, Art. 6 DS-GVO, Rn. 28). Vorliegend diente die Veröffentlichung des streitgegenständlichen Fotos auf der Fanpage bei Facebook dazu, über die parteipolitischen Aktivitäten des Klägers und ihre Erfolge zu informieren und damit - jedenfalls mittelbar - auch an der politischen Willensbildung des Volkes mitzuwirken. Dieses Anliegen stellt ein berechtigtes Interesse i.S.d. Art. 6 Abs. 1 lit. f DS-GVO dar.

bb) Die Veröffentlichung des streitgegenständlichen Fotos war jedoch nicht erforderlich i.S.d. Art. 6 Abs. 1 lit. f DS-GVO. Der in der Datenschutz-Grundverordnung nicht gesondert definierte Begriff der Erforderlichkeit ist unter Berücksichtigung von Erwägungsgrund 39 Satz 9 DS-GVO dahingehend auszulegen, dass die Erforderlichkeit zu bejahen ist, wenn der Zweck der Verarbeitung nicht in zumutbarer Weise durch andere Mittel erreicht werden kann (vgl. Frenzel, in: Paal/Pauly, a.a.O., Art. 6 DS-GVO, Rn. 29; Buchner/Petri, in: Kühling/Buchner, a.a.O., Art. 6 DS-GVO, Rn. 147 a). Im Gegensatz zu den weit auszulegenden „berechtigten Interessen“ ist der Begriff der Erforderlichkeit eng auszulegen (Buchner/Petri, in: Kühling/Buchner, a.a.O., Art. 6 DS-GVO, Rn. 147 a; Schantz, in: Simitis/Hornung/Spiecker, Datenschutzrecht, 1. Aufl. 2019, Art. 6 Abs. 1 DS-GVO, Rn. 100, jeweils m.w.N.). Zur Bejahung der Erforderlichkeit reicht somit weder eine bloße Zweckdienlichkeit oder eine bestmögliche Effizienz der Datenverarbeitung, noch kann die Erforderlichkeit allein damit begründet werden, dass es sich bei der beabsichtigten Datenverarbeitung um die aus Sicht des Verantwortlichen wirtschaftlich sinnvollste Alternative handelt (vgl. Buchner/Petri, in: Kühling/Buchner, a.a.O., Art. 6 DS-GVO, Rn. 147 a, m.w.N.). Kann das Ziel einer Datenverarbeitung auch durch die Verarbeitung anonymisierter Daten erreicht werden, ist eine unanonymisierte Verarbeitung nicht erforderlich (vgl. EuGH, Urt. v. 16.12.2008 - C-524/06 -, juris, Rn. 65; Schantz, in: Simitis/Hornung/Spiecker, a.a.O., Art. 6 Abs. 1 DS-GVO, Rn. 100). Die Datenverarbeitung ist somit auf das „absolut Notwendige“ zu begrenzen (vgl. EuGH, Urt. v. 4.5.2017 - C-13/16 -, juris, Rn. 30; Schantz, in: Simitis/Hornung/Spiecker, a.a.O., Art. 6 Abs. 1 DS-GVO, Rn. 100).

Ausgehend von diesen Maßstäben hat das Verwaltungsgericht zu Recht angenommen, dass die Veröffentlichung des streitgegenständlichen Fotos durch den Kläger bei Facebook nicht erforderlich i.S.d. Art. 6 Abs. 1 lit. f DS-GVO war. Zur Begründung hat das Verwaltungsgericht ausgeführt, dass es vorliegend zur Wahrung der berechtigten Interessen des Klägers nicht darauf ankomme, dass gerade die Eheleute F. als solche in einen spezifischen Kontext zur politischen Tätigkeit des Klägers gesetzt würden, sondern es dem Kläger nur darum gegangen sei, zu dokumentieren, dass das Thema, für das er sich politisch eingesetzt habe, eine größere Anzahl von Personen interessiere. In diesem Fall reiche es aus, das streitgegenständliche Foto unter Unkenntlichmachung der abgebildeten Personen, z.B. durch Verpixelung der Gesichter, zu verwenden.

Die vom Kläger diesbezüglich im Zulassungsverfahren vorgebrachten Einwände begründen keine ernstlichen Richtigkeitszweifel an der angefochtenen Entscheidung. Soweit er in diesem Zusammenhang anführt, dass das Verwaltungsgericht für das Kriterium der Erforderlichkeit zu Unrecht den deutschen Grundsatz der Verhältnismäßigkeit herangezogen habe, ist dieser Einwand als unzutreffend zurückzuweisen. Denn das Verwaltungsgericht hat gerade nicht den deutschen Grundsatz der Verhältnismäßigkeit herangezogen, sondern - wie vom Kläger im Zulassungsverfahren gefordert - unter expliziter Berücksichtigung von Erwägungsgrund 39 Satz 9 DS-GVO darauf abgestellt, dass kein milderes, wirtschaftlich gleich effektives Mittel zur Verfügung stehen darf, um den entsprechenden Zweck mit gleicher Sicherheit zu verwirklichen. Unabhängig davon hat der Kläger im Zulassungsverfahren auch nicht dargelegt, dass bzw. unter welchem Gesichtspunkt aufgrund der vermeintlich fehlerhaften Anwendung des deutschen Verhältnismäßigkeitsgrundsatzes anzunehmen ist, dass die Durchführung eines Berufungsverfahrens zu einer Änderung des Ergebnisses der angefochtenen Entscheidung führen wird.

Entgegen der Ansicht des Klägers ist ihm eine Unkenntlichmachung derjenigen Personen, die auf dem Foto identifizierbar sind und die in die Veröffentlichung nicht eingewilligt haben, auch zumutbar. Seine Einwände, die Veröffentlichung eines teilweise verpixelten Fotos sei nicht glaubwürdig, nicht authentisch und unseriös, zudem käme die Verpixelung von Personen bzw. ihrer Gesichter einer „unglaublichen Puzzelarbeit gleich“, rechtfertigen keine andere Beurteilung. Wie bereits das Verwaltungsgericht in der angefochtenen Entscheidung ausgeführt hat, kann eine Verpixelung mit Hilfe gängiger Bildbearbeitungssoftware ohne erheblichen Kosten- und Zeitaufwand umgesetzt werden. Dieser Annahme ist der Kläger im Zulassungsverfahren nicht substantiiert entgegengetreten. Seine - weder belegte noch näher begründete - Behauptung, dass Gericht habe nicht geprüft, ob entsprechende Software dies tatsächlich leicht ermögliche, vermag die im Zulassungsverfahren erforderliche konkrete Auseinandersetzung mit den Gründen der angefochtenen Entscheidung nicht zu ersetzen. Entgegen der Ansicht des Klägers würde eine Unkenntlichmachung der Gesichter der Eheleute F. (und ggf. weiterer auf dem Foto identifizierbarer Personen, die in die Veröffentlichung nicht eingewilligt haben) auch nicht dazu führen, dass der Kläger das von ihm mit der Veröffentlichung verfolgte Ziel nicht mehr erreichen kann. Insofern teilt der Senat die von der Beklagten im Zulassungsverfahren vorgetragenen Erwägungen, dass eine Unkenntlichmachung von Personen u.a. durch Verpixelung in veröffentlichten Fotos weit verbreitet und allgemein anerkannt ist, um die häufig widerstreitenden Interessen der Öffentlichkeit an Information einerseits und dem Persönlichkeits- und Datenschutzrecht der abgebildeten Personen andererseits in einen angemessenen Ausgleich zu bringen. Vor diesem Hintergrund ist weder davon auszugehen, dass eine Unkenntlichmachung der Gesichter der Eheleute F. auf dem streitgegenständlichen Foto zu einem Wegfall der Glaubwürdigkeit bzw. Seriosität des Facebook-Posts und des vom Kläger mit der Veröffentlichung verfolgten Ziels geführt hätte, noch, dass durch eine Unkenntlichmachung die Mitwirkung an der politischen Willensbildung maßgeblich beeinträchtigt worden wäre. Dem Kläger ging es mit der Veröffentlichung des Facebook-Posts am 17. September 2018 darum aufzuzeigen, dass er sich erfolgreich für die Interessen einer größeren Anzahl von Anwohnern eingesetzt hat und die von den Anwohnern gewünschte Ampelanlage nunmehr „endlich“ gebaut wird. Um diese für den Kläger maßgeblichen Gesichtspunkte zu vermitteln, war es jedoch nicht erforderlich, dass die Eheleute F. auf dem streitgegenständlichen Foto aufgrund ihrer (Gesichts)Merkmale identifizierbar sind. Insofern hätte der vom Kläger veröffentlichte Post seine maßgebliche Aussagekraft auch nicht verloren, wenn die Eheleute F. auf dem Foto nicht mehr identifizierbar gewesen wären.

Entgegen dem Zulassungsvorbringen des Klägers bedeutet die vom Verwaltungsgericht und dem Senat vertretene Auffassung auch nicht, dass die Gesichter aller Teilnehmer an der Veranstaltung hätten unkenntlich gemacht werden müssen. Sämtliche Personen, die in die Veröffentlichung eingewilligt haben, durften auch ohne Unkenntlichmachung abgebildet werden (vgl. allgemein zur Einwilligung i.S.d. DS-GVO die Begriffsbestimmung in Art. 4 Nr. 11 DS-GVO sowie speziell zu den an eine Einwilligungserklärung nach Art. 6 Abs. 1 lit. a DS-GVO zu stellenden Anforderungen: Albers/Veit, in: Wolff/Brink, a.a.O., Art. 6 DS-GVO, Rn. 19 f., m.w.N.). So durfte insbesondere der Vorsitzende des Klägers, dessen besondere Rolle auf dem Foto auch durch die halbkreisförmige Anordnung der um ihn versammelten Personengruppe erkennbar ist und dessen entsprechendes Auftreten überhaupt erst den unmittelbaren Zusammenhang zu den parteipolitischen Aktivitäten des Klägers begründet, aufgrund seiner (konkludenten) Einwilligung gemäß Art. 6 Abs. 1 lit. a DS-GVO auch ohne Unkenntlichmachung abgebildet werden.

"OVG Lüneburg: Veröffentlichung von Fotos einer Person auf Facebook-Fanpage des Ortsvereins einer Partei ohne Einwilligung nach KUG und DSGVO regelmäßig unzulässig" vollständig lesen

VG Berlin
Beschluss vom 28.02.2020
VG 3 L 1028.19

Das VG Berlin hat entschieden, dass die DSGVO kein Recht auf "Bereinigung" einer Schülerakte bei einem Schulwechsel gewährt. Insbesondere liegt kein Zweckwegfall vor, da die Daten für die Aufgabenerfüllung der Schule erforderlich sind.

Die Pressemitteilung des Gerichts:

Kein Recht auf „Bereinigung“ einer Schülerakte bei Schulwechsel

Ein Schüler, dessen Schülerakte zahlreiche Eintragungen aufweist, kann bei einem Schulwechsel nicht deren „Bereinigung“ unter Berufung auf die Datenschutz-Grundverordnung (DSGVO) verlangen. Das hat das Verwaltungsgericht Berlin in einem Eilverfahren entschieden.

Die Antragsteller sind ein dreizehnjähriger Schüler und seine Eltern. Der Schüler besuchte ab dem Schuljahr 2018/2019 ein Gymnasium in Berlin, welches er nach einem Gewaltvorfall verließ; das Probejahr bestand er nicht. Sodann besuchte er die achte Jahrgangsstufe einer anderen Berliner Schule, wobei es zu zahlreichen, in seiner Schülerakte dokumentierten Vorfällen kam. Diese Schülerakte halten die Antragsteller aus verschiedenen Gründen für fehlerhaft und diskriminierend. Deren Übersendung in dieser Form an die Privatschule, die der Schüler nunmehr besuchen wolle, gefährde seine Aufnahme. Die Antragsteller begehren deshalb im Wege des vorläufigen Rechtsschutzes im Wesentlichen die Entfernung bestimmter Seiten der Schülerakte.

Die 3. Kammer hat den Antrag zurückgewiesen. Der geltend gemachte Anspruch auf Bereinigung bestehe nicht. Zwar gebe es nach der DSGVO unter bestimmten Voraussetzungen einen Anspruch auf Löschung von Daten, insbesondere, wenn diese für die Zwecke, für die sie erhoben oder auf sonstige Weise verarbeitet wurden, nicht mehr notwendig sind oder die personenbezogenen Daten unrechtmäßig verarbeitet wurden. Dies sei hier aber nicht der Fall. Die Daten seien weiter notwendig. Die Schuldatenverordnung des Landes Berlin sehe ausdrücklich vor, dass ein Schulwechsel gerade keinen Zweckwegfall begründe. Denn nur so könne die Schülerakte ihren Zweck erfüllen, die Entwicklung der Persönlichkeit und des Verhaltens des Schülers über seine Schullaufbahn hinweg sowie die Zusammenarbeit mit den Erziehungsberechtigten über einen längeren Zeitraum nachvollziehbar zu machen. Die personenbezogenen Daten seien aber auch nicht unrechtmäßig verarbeitet worden. Nach dem Berliner Schulgesetz dürften Schulen nämlich personenbezogene Daten von Schülerinnen und Schülern und ihren Erziehungsberechtigten verarbeiten, soweit dies zur Erfüllung der ihnen durch Rechtsvorschriften zugewiesenen, schulbezogenen Aufgaben erforderlich ist. Soweit es etwa um die Speicherung von personenbezogenen Daten von Schülern über Pflichtverletzungen und deren pädagogische und rechtliche Folgen gehe, sei die Speicherung für die Aufgabenerfüllung der Schule erforderlich, da die Auswahl einer zukünftigen pädagogischen Maßnahme stets auch von der Beurteilung des Verhaltens des Schülers in vergleichbaren zurückliegenden Situationen abhängig sei.

Gegen die Entscheidung kann Beschwerde beim Oberverwaltungsgericht Berlin-Brandenburg eingelegt werden.

Beschluss der 3. Kammer vom 28. Februar 2020 (VG 3 L 1028.19)