Skip to content

BVerfG: Regelungen zur Datenerhebung in § 45 Abs. 1 Satz 1 Nr. 4 BKAG und Datenspeicherung in § 18 Abs. 1 Nr. 2 BKAG teilweise verfassungswidrig

BverfG
Urteil vom 01.10.2024
1 BvR 1160/19
Bundeskriminalamtgesetz II


Das Bundesverfassungsgericht hat entschieden, dass die Regelungen zur Datenerhebung in § 45 Abs. 1 Satz 1 Nr. 4 BKAG und Datenspeicherung in § 18 Abs. 1 Nr. 2 BKAG teilweise verfassungswidrig sind.

Leitsätze des Bundesverfassungsgerichts:
1. Voraussetzung einer heimlichen Überwachung von Kontaktpersonen mit eingriffsintensiven Maßnahmen zum Zweck der Datenerhebung ist jedenfalls, dass eine Überwachung der polizeirechtlich verantwortlichen Person mit entsprechenden Mitteln zulässig wäre.

2. Im Rahmen einer zweckwahrenden Verarbeitung zuvor erhobener personenbezogener Daten sind diese grundsätzlich zu löschen, nachdem der unmittelbare Anlassfall abgeschlossen und damit der der Erhebungsmaßnahme zugrundeliegende konkrete Zweck erfüllt ist. Ein Absehen von einer Löschung über den unmittelbaren Anlassfall hinaus kommt in Betracht, soweit sich aus den Daten – sei es aus ihnen selbst, sei es in Verbindung mit weiteren Kenntnissen der Behörde – zwischenzeitlich ein konkreter Ermittlungsansatz ergeben hat und damit die Voraussetzungen einer zweckändernden Nutzung vorliegen.

3. Eine vorsorgende Speicherung personenbezogener Grunddaten zur Identifizierung und zu einem bestimmten strafrechtlich relevanten Verhalten von Beschuldigten durch das Bundeskriminalamt auf einer föderalen polizeilichen Datenplattform erfordert jedenfalls die Festlegung angemessener Speicherschwellen sowie die Bestimmung einer angemessenen Speicherdauer:

a. Die vorsorgende Speicherung muss auf einer Speicherschwelle beruhen, die den Zusammenhang zwischen den vorsorgend gespeicherten personenbezogenen Daten und der Erfüllung des Speicherzwecks in verhältnismäßiger Weise absichert und den spezifischen Gefahren der vorsorgenden Speicherung angemessen begegnet. Dies ist bei der Speicherung von Daten für die Verhütung und Verfolgung von Straftaten nur gegeben, wenn eine hinreichende Wahrscheinlichkeit dafür besteht, dass die Betroffenen eine strafrechtlich relevante Verbindung zu möglichen Straftaten aufweisen werden und gerade die gespeicherten Daten zu deren Verhütung und Verfolgung angemessen beitragen können. Diese Prognose muss sich auf zureichende tatsächliche Anhaltspunkte stützen.

b. Es bedarf der gesetzlichen Regelung einer angemessenen Speicherdauer. Diese wird insbesondere geprägt durch das Eingriffsgewicht, die Belastbarkeit der Prognose in der Zeit sowie durch andere sich aus dem Grundsatz der Verhältnismäßigkeit ergebende Gesichtspunkte. Die Prognose verliert ohne Hinzutreten neuer relevanter Umstände grundsätzlich an Überzeugungskraft über die Zeit.

Den Volltext der Entscheidung finden Sie hier:

LG Traunstein: Nutzer eines weltweit agierenden sozialen Netzwerks hat nach der DSGVO keinen Anspruch auf Unterlassung der Weitergabe und Übermittlung personenbezogener Daten in die USA

LG Traunstein
Urteil vom 08.07.2024
9 O 173/24


Das LG Traunstein hat entschieden, dass der Nutzer eines weltweit agierenden sozialen Netzwerks nach der DSGVO keinen Anspruch auf Unterlassung der Weitergabe und Übermittlung personenbezogener Daten in die USA hat.

Aus den Entscheidungsgründen:
Die Klage ist nur teilweise zulässig.

I. Das Landgericht Traunstein ist sachlich nach §§ 1 ZPO, 71 Abs. 1, 23 GVG, international nach Art. 79 Abs. 2 S. 2, 82 Abs. 6 DSGVO und örtlich nach § 44 Abs. 1 S. 2 BDSG zuständig.

II.Der auf die Feststellung der Ersatzpflicht der Beklagten gegenüber der Klagepartei für künftige Schäden gerichtete Antrag ist nicht hinreichend bestimmt gern. § 253 Abs. 2 Nr. 2 ZPO. Der auf die Feststellung der Ersatzpflicht der Beklagten gegenüber der Klagepartei für künftige Schäden gerichtete Antrag ist nicht hinreichend bestimmt gern. § 253 Abs. 2 Nr. 2 ZPO. Der Antrag bezieht sich auf „künftige Schäden“, „die der Klägerseite (…) entstanden sind und/oder noch entstehen werden.„Auch unter Berücksichtigung des gesamten klägerischen Vorbringens ist für das Gericht nicht zu erkennen, ob sich der Antrag nur auf künftige Schäden oder auch bereits entstandene, aber ggfs. noch nicht bekannte Schäden erstrecken soll.

III. Hinsichtlich des Feststellungsantrags besteht auch kein ausreichendes Feststellungsinteresse (§ 256 Abs. 1 ZPO). Ein Feststellungsinteresse ist zu verneinen, wenn aus der Sicht des Geschädigten bei verständiger Würdigung kein Grund besteht, mit dem Eintritt eines Schadens wenigstens zu rechnen (BGH NJW-RR 2007, 601). Welcher Schaden der Klagepartei dadurch entstehen soll, dass die Beklagte rechtswidrig ihre MessengerNachrichten überwacht, OffF Daten verarbeitet und Daten in die USA übermitteln sollte, ist für das Gericht nicht ersichtlich und wird auch nicht plausibel dargelegt.

IV. Der Unterlassungsantrag zu Ziff. 4 a) der Klageanträge ist nicht hinlänglich bestimmt, § 253 Abs. 2 Nr. 2 ZPO. Das Wort „anlasslos“ schränkt das Unterlassungsbegehren in objektiv nicht abgrenzbarer Weise ein. Ein entsprechender Ausspruch wäre nicht vollstreckungsfähig.

V. Hinsichtlich des Unterlassungsantrags zu Ziff. 4b) fehlt der Klagepartei das Rechtsschutzbedürfnis. Die Klagepartei hat die Möglichkeit, über die Einstellungen die Behandlung der „Off-...- Daten“ bzw. „Aktivitäten außerhalb der ...-Technologien“ selbst zu steuern. Dies muss der Klagepartei spätestens aufgrund des Beklagtenvortrags im Rechtsstreit auch bekannt sein. Da ihr ein einfacherer Weg zur Erreichung ihres Rechtsschutzziels zur Verfügung steht, fehlt ihr für eine Unterlassungsklage das Rechtsschutzbedürfnis.

VI. Der Antrag auf Löschung „anlasslos gespeicherter“ Daten (Ziff. 5a und b der Klageanträge) ist aus den oben unter Ziff. IV genannten Erwägungen wegen Unbestimmtheit unzulässig.

VII. Im Übrigen ist die Klage zulässig.
B.

Die Klage ist – soweit sie unzulässig ist, jedenfalls auch – unbegründet.
23
I. Der Klagepartei stehen keine Ansprüche gegen die Beklagte im Zusammenhang mit den behaupteten Vorwürfen hinsichtlich des ...-Messenger-Dienstes zu. Es fehlt bereits an einem relevanten Verstoß gegen die Bestimmungen der DSGVO.

Die Klagepartei hat nicht schlüssig dargelegt, woraus sich ergeben soll, dass die Beklagte die über den ...-Messenger-Dienst ausgetauschten Inhalte systematisch automatisiert überwacht im Sinne eines „crawlings“ der Inhalte. Aus der Datenschutzrichtlinie der Beklagten ergibt sich solches jedenfalls nicht. Die Beklagte hat vielmehr plausibel dargelegt, dass sie die übertragenen Nachrichten entsprechend der gesetzlichen Vorgaben, insbesondere der ePrivacy-Richtlinie, behandelt und ein zulässiges CSAM (child sexual abuse material)-Scanning zur Identifikation kinderpornographischer Inhalte durchführt. Soweit die Klagepartei die Länge und Unübersichtlichkeit der Datenschutzrichtlinie der Beklagten rügt, lässt sich kein Verstoß gegen Art. 13, 14 DSGVO erkennen. Die umfangreichen datenschutzrechtlichen Anforderungen, die von Rechts wegen an die Beklagte gestellt werden, in Verbindung mit der Komplexität der von der Beklagten zur Verfügung gestellten Dienstleistungen lassen keine knappere oder einfachere Darstellung der datenschutzrechtlichen Rahmenbedingungen zu. Dass die Beklagte die über den MessengerDienst ausgetauschten Inhalte als solche speichert und an den Adressaten übermittelt, ist zur Bereitstellung dieser Dienstleistung unumgänglich, Art. 6 Abs. 1 Buchst. B DSGVO. Für einen Verstoß gegen das Gebot der Datenminimierung (Art. 5 Abs. 1 Buchst. c DSGVO) sieht das Gericht deswegen ebenfalls keine Anhaltspunkte. Das CSAM-Scanning ist von Art. 6 Abs. 1 Buchst. f DSGVO gedeckt. Im Übrigen ist es der Klagepartei – wie jedem „f-Nutzer selbst überlassen, ob sie den MessengerDienst überhaupt verwenden will oder nicht.

II. Der Klagepartei stehen auch keine Ansprüche gegen die Beklagte im Zusammenhang mit den behaupteten Vorwürfen hinsichtlich der “Off-...-Daten“ zu.

1. Auch insoweit ist kein datenschutzrechtlicher Verstoß ersichtlich. Die Verarbeitung von Daten im Zusammenhang mit „Aktivitäten außerhalb der ...-Technologien“ („Off-...-Daten“) ist durch die Einwilligung des Nutzers gedeckt, Art. 6 Abs. 1 Buchst. a und Art. 9 Abs. 2 Buchst. a DSGVO. Nach dem Vortrag der Beklagten, an dessen Richtigkeit das Gericht keine Zweifel hat, holt sie die Einwilligung der Nutzer mittels eines im Schriftsatz vom 04.03.2024 auf S. 11 abgebildeten CookieBanners ein. Die entsprechenden Einstellungen werden durch Hinweise nachvollziehbar beschrieben und können vom Benutzer nachträglich abgeändert werden. Die Klagepartei ist bei „...“ angemeldet, so dass sie selbst die entsprechenden Einstellungen vornehmen kann. Wie es sich bei Personen verhält, die nicht bei „...“ angemeldet sind, kann dahinstehen, weil die Klagepartei nicht zu diesem Personenkreis gehört. Dass die Schaltfläche „Alle Cookies erlauben“ blau eingefärbt ist, stellt keinen Verstoß gegen Art. 25 Abs. 2 DSGVO (datenschutzfreundliche Voreinstellung) dar. Denn es handelt sich um keine „Voreinstellung“, sondern um eine übliche und erlaubte optische Hervorhebung, die die aktive Entscheidungsmöglichkeit des Nutzers unberührt lässt. Soweit die Beklagte Informationen von Cookies und ähnlichen Technologien von Dritten erhält, verarbeitet sie diese nach eigenen Angaben ohne Zustimmung des Nutzers nur zu Sicherheits- und Integritätszwecken, was durch Art. 6 Abs. 1 Buchst. b ff. DSGVO bzw. Art. 9 Abs. 2 Buchst. B ff. DSGVO gedeckt ist. Substanziell Entgegenstehendes wurde durch die Klagepartei nicht in den Rechtsstreit getragen.

2. Soweit die Beklagte bis zum Beschluss des Bundeskartellamts vom 06.02.2019 (s. Pressemitteilung vom 07.02.2019, Anlage KE-4) die „Off-...-Daten“ ohne eine erforderliche Einwilligung verarbeitet haben sollte, wird schon nicht vorgetragen, dass die Beklagte „Off ... Daten“ aus diesem Zeitraum bezogen auf die Klagepartei überhaupt noch vorhält. Im Übrigen wären daraus resultierende Ansprüche der Klagepartei jedenfalls verjährt, §§ 195, 199 Abs. 1, 214 Abs. 1 BGB. Die Klagepartei musste jedenfalls infolge der vorgenannten Pressemitteilung die tatsächlichen Anspruchsvoraussetzungen kennen oder sich dem Vorwurf grob fahrlässiger Unkenntnis aussetzen. Verjährung wäre somit zum Ende des Jahres 2022 eingetreten.

III. Der Klagepartei stehen schließlich keine Ansprüche gegen die Beklagte im Zusammenhang mit den behaupteten Vorwürfen im Zusammenhang mit der Datenübermittlung in die USA zu.

1. Eine rechtswidrige Datenübermittlung kann das Gericht nicht erkennen. Die Plattform „...“ und der MKonzern stammen aus den USA. „...“ ist als globale Plattform konzipiert. Um dieses weltweite Netzwerk unterhalten zu können, müssen zwangsläufig Daten international ausgetauscht werden. Dass in diesem Zusammenhang auch Daten durch die Beklagte in die USA übermittelt werden, liegt folglich nahe. Dieses Erfordernis ist auch unabhängig davon, ob die Klagepartei mit USamerikanischen „...“-Nutzern „befreundet“ ist oder nicht. Denn allein die Suche nach Nutzern in anderen Rechtsgebieten kann nur funktionieren, wenn ein grenzüberschreitender Datenaustausch stattfindet. All dies muss jedem „..."-Nutzer, auch der Klagepartei, hinlänglich bekannt sein. Die Klagepartei hat keinen Anspruch darauf, dass „...“ dergestalt betrieben wird, dass sämtliche Daten in Europa gespeichert und verarbeitet werden im Sinne eines rein europäischen „...“. Die unternehmerische Entscheidung des Betreibers der Plattform „...“, Daten in den Vereinigten Staaten von Amerika zu verarbeiten, ist von den Nutzern hinzunehmen, zumal niemand dazu gezwungen wird, die Plattform „...“ zu nutzen.

2. Die Datenübermittlung ist daher grundsätzlich zur Vertragserfüllung erforderlich, Art. 6 Abs. 1 Buchst. b DSGVO. Dafür dass die Beklagte, was die Klagepartei letztlich behauptet, darüber hinaus ihren gesamten Datenbestand dem amerikanischen Auslandsgeheimdienst voraussetzungslos zur freien Verfügung stellt, gibt es keine hinreichenden tatsächlichen Anhaltspunkte. Was die USamerikanische Regierung insoweit „zugegeben“ haben soll, wird klägerseits nicht konkret dargelegt. Die Beklagte jedenfalls hat solches bestritten und Beweis wurde klägerseits nicht geführt.

3. Die Voraussetzungen für die Datenübermittlung in Drittländer nach Kapitel V DSGVO werden von der Beklagten eingehalten.

a) Aktuell erfolgt die Datenübermittlung aufgrund des Angemessenheitsbeschlusses der Kommission vom 10.07.2023. Dieser stellt eine taugliche Grundlage für die Datenübermittlung dar, Art. 45 Abs. 3 DSGVO. Eine weitergehende Überprüfung der Angemessenheit des Schutzniveaus erübrigt sich dadurch.

b) Für den vorangegangenen Zeitraum stellen die von der Kommission erlassenen Standardvertragsklauseln 2010 und 2021 in Verbindung mit Art. 46 Abs. 1, Abs. 2 Buchst. c) DSGVO eine ausreichende Rechtsgrundlage dar. Nach Art. 46 Abs. 1 DSGVO müssen den Betroffenen durchsetzbare Rechte und wirksame Rechtsbehelfe zur Verfügung stehen, um ein dem EURecht gleichwertiges Schutzniveau zu gewährleisten. Die Klagepartei rügt insoweit, dass der USamerikanische Rechtsbehelfsmechanismus auf einer Verordnung der Regierung und nicht auf formellem Gesetz beruhe. Auch bei einer Verordnung handelt es sich aber um ein Gesetz im materiellen Sinne. Wieso hierdurch kein gleichwertiger Rechtsschutz zur Verfügung gestellt werden könne, ist nicht zu erkennen.

c) Schließlich ist die Datenübermittlung, wie bereits oben ausgeführt, zur Vertragserfüllung erforderlich und damit auf Grundlage von Art. 49 Abs. 1 S. 1 b DSGVO zulässig.

d) Soweit Datenschutzbehörden abweichende Auffassungen vertreten, sind diese für das Gericht nicht bindend.

4. Für eine Verletzung von Art. 5 Abs. 1 Buchst. f bzw. Art. 32 DSGVO ist schlüssig nichts vorgetragen. Wieso Anlass zur Annahme bestehen sollte, dass die Beklagte die Daten der Klagepartei in technischer oder organisatorischer Hinsicht nicht hinlänglich schützt, ergibt sich aus dem Klagevortrag nicht.

5. Eine Verletzung von Art. 13 DSGVO kann das Gericht ebenfalls nicht erkennen. Die Beklagte hat die Fundstellen genannt, unter denen sich der Nutzer über die Notwendigkeit der Datenübermittlung an ausländische Unternehmen, namentlich die .., Inc., wie auch über die Beauskunftung von Regierungsanfragen informieren kann. Dass die Beklagte ihrer Informationspflicht nicht nachgekommen wäre, ist nicht ersichtlich.

6. Soweit US-Regierungsbehörden einschließlich der Geheimdienste von .., Inc., nach USamerikanischem Recht Auskünfte verlangen können, ist dies Folge der rechtmäßigen Datenübermittlung in den Herrschaftsbereich der Vereinigten Staaten von Amerika. Diese Möglichkeit steht der Gewährleistung eines im Wesentlichen gleichen Schutzniveaus nicht entgegen, da sie auch unter europäischem Datenschutzregime nach Art. 6 Abs. 1 Buchst. c DSGVO (Erfüllung einer rechtlichen Verpflichtung) zulässig wäre.

IV. Für einen Schadensersatzanspruch aus Art. 82 DSGVO fehlt es zudem an einem kausalen Schaden der Klagepartei. Diese gab im Rahmen ihrer informatorischen Anhörung lediglich an, dass sie erst durch die Klägervertreter auf etwaige Datenschutzverstöße im Zusammenhang mit der Übermittlung von Daten bzw. dem Messenger gebracht worden sei. Erst auf Hinweis des Gerichtes wurde ihr offenbar, dass die hiesige Klage sich nicht auf die Scraping-Fälle bezieht. Schließlich wird Bezug genommen auf die Entscheidung des OLG München, Az. 14 U 3359/23 e, Verfügung vom 19.12.23, in welcher folgendes ausgeführt wird:
„Die Befürchtung (noch deutlicher: englisch „fear“ und französisch „crainte“), in der der EuGH einen materiellen Schaden erblickt, kann nur etwas sein, was der Geschädigte (a) persönlich erlebt und was ihn (b) seelisch belastet, mithin psychisch beeinträchtigt. Vermag das Tatgericht nichts dergleichen zu erkennen, so ist der Eintritt des immateriellen Schadens nicht überwiegend wahrscheinlich im Sinne von § 287 Abs. 1 ZPO.“

So liegt der Fall hier: allein die im Rahmen der informatorischen Anhörung (erst) auf Vorhalt ihres Prozessbevollmächtigten angegebene „große Sorge“ (nachdem zunächst angegeben wurde, dass man es „auch schlimm findet“) stellt keinen immateriellen Schaden dar.

V. Auskunftsansprüche nach Art. 15 DSGVO stehen der Klagepartei gegen die Beklagte nicht zu.

1. Soweit begehrt wird Auskunft bezüglich der Daten „aus der Überwachung des FMessengers“ zu erteilen, „ChatProtokolle vorzulegen und deren interne Bewertung offenzulegen“, können die Chat-Verläufe durch die Klagepartei selbst heruntergeladen werden. Der Auskunftsanspruch ist dadurch erfüllt, § 362 Abs. 1 BGB. Was unter einer „internen Bewertung“ zu verstehen sein soll, erschließt sich dem Gericht nicht; eine Subsumtion unter eine der Kategorien des Art. 15 Abs. 1 DSGVO ist insoweit nicht möglich.

2. Soweit Auskunft begehrt wird, welche „Off-...-Daten“ durch die Beklagte an der IP-Adresse der Klägerseite gesammelt und zu welchem Zweck sie gespeichert und verwendet wurden, verweist die Beklagte zu Recht auf die von ihr zur Verfügung gestellte Selbstauskunftsmöglichkeit und hinsichtlich der Verarbeitungszwecke auf eine bestimmte Seite im Hilfebereich. Die Auskunft ist damit erteilt, § 362 Abs. 1 BGB.

3. Hinsichtlich etwaiger an die NSA übermittelter Daten kann die Beklagte die Auskunft verweigern, weil zum einen eine Geheimhaltungspflicht nach USamerikanischem Rechts besteht und es sich zum anderen um ihrem Wesen nach geheimhaltungsbedürftige Informationen handelt, Art. 23 DSGVO i.V.m. § 29 Abs. 1 S. 2 BDSG, wobei sich letztgenannte Vorschrift entgegen der Auffassung der Klagepartei schon dem Wortlaut nach nicht auf Berufsgeheimnisträger beschränkt. Es versteht sich von selbst, dass die Information, ob und welche Auskünfte an Geheimdienste erteilt werden, ihrem Wesen nach geheimhaltungsbedürftig ist. Im Übrigen erfolgt die Beauskunftung an die NSA nicht durch die Beklagte, sondern durch die .., Inc., so dass die Beklagte hinsichtlich eines Auskunftsanspruchs auch nicht passivlegitimiert wäre.

VI. Die Löschungsanträge nach Art. 17 DSGVO (Ziff. 5 b und c der Klageanträge) gehen ins Leere, weil sie unter der Voraussetzung gestellt sind, dass die Datenverarbeitung „anlasslos“ erfolgt. Selbst wenn man diesem Begriff die Bedeutung „nicht notwendig“ (Art. 17 Abs. 1 Buchst. a DSGVO), „ohne Rechtsgrundlage“ (Art. 17 Abs. 1 Buchst. b DSGVO), oder „unrechtmäßig“ (Art. 17 Abs. 1 Buchst. d DSGVO) beimessen wollte, liegen diese Voraussetzungen, wie unter Ziffer I. bis II. ausgeführt, nicht vor.

VII. Sämtliche Unterlassungsansprüche scheitern am Fehlen eines Verstoßes gegen die DSGVO, s.o. Ziff. I bis III. Bezüglich der „Off-...-Daten“ tritt hinzu, dass es der Nutzer selbst in der Hand hat, die diesbezüglichen Einstellungen zu verwalten. Die Klagepartei handelt widersprüchlich, wenn sie die Einstellungen so belässt, wie sie sind, und andererseits von der Beklagten verlangt, die Daten nicht auf Grundlage dieser Einstellungen zu verarbeiten.


Den Volltext der Entscheidung finden Sie hier:

BMDV: Entwurf der Einwilligungsverwaltungs-Verordnung (EinwVO) nach § 26 Abs. 2 TTDSG - Stand 07.03.2024

Der Regierungsentwurf der Einwilligungsverwaltungs-Verordnung (EinwVO) nach § 26 Abs. 2 TTDSG (Einwilligung zum Speichern von Informationen nach § 25 Abs.1 TTDSG) liegt nunmehr mit Stand vom 07.03.2024 vor.

Aus dem Entwurf:
A. Problem und Ziel
§ 26 Absatz 1 des Telekommunikation-Telemedien-Datenschutz-Gesetzes vom 23. Juni 2021 (BGBl. I S. 1982; 2022 I S. 1045) (TTDSG) bestimmt, dass eine unabhängige Stelle Dienste anerkennen kann, die unter anderem nutzerfreundliche und wettbewerbskonforme Verfahren bereitstellen, um die nach § 25 Absatz 1 TTDSG erforderliche Einwilligung von Endnutzern zu verwalten. Viele Anbieter von Telemedien greifen auf die Endeinrichtungen der Endnutzer (§ 2 Absatz 2 Nummer 6 TTDSG) zu, um hier Informationen zu speichern oder bereits gespeicherte Informationen abzurufen. Dies geschieht häufig durch den Einsatz von Cookies oder ähnlich funktionierenden Trackingtechnologien. Anhand der im Cookie oder durch ähnliche Trackingtechnologien gespeicherten Informationen kann der Webserver unter anderem den Endnutzer wiedererkennen, benutzerspezifische Einstellungen wiederherstellen, Reichweitenmessungen vornehmen, Aktivitäten nachverfolgen (sog. Tracking) oder individuelle Werbung einblenden. Nach § 25 Absatz 1 TTDSG dürfen Anbieter von Telemedien nur dann Informationen in der Endeinrichtung des Endnutzers speichern oder auf dort bereits gespeicherte Informationen zugreifen, wenn der Endnutzer nach Maßgabe der Verordnung (EU) 2016/679 des Europäischen Parlaments und des Rates vom 27. April 2016 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten, zum freien Datenverkehr und zur Aufhebung der Richtlinie 95/46/EG (Datenschutz-Grundverordnung) (ABl. L 119 vom 4.5.2016, S. 1, L 314 vom 22.11.2016, S. 72, L 127 vom 23.5.2018, S. 2, L 74 vom 4.3.2021, S. 35) eingewilligt hat. Eine Ausnahme vom Erfordernis einer Einwilligung in den Einsatz von Cookies oder ähnlichen Trackingtechnologien besteht nach § 25 Absatz 2 TTDSG nur, wenn der alleinige Zweck hierfür die Übertragung einer Nachricht über ein öffentliches Telekommunikationsnetz ist oder wenn der Einsatz unbedingt erforderlich ist, damit der Anbieter eines Telemediendienstes einen vom Endnutzer ausdrücklich gewünschten Telemediendienst zur Verfügung stellen kann. Für das Erfordernis einer Einwilligung nach § 25 Absatz 1 TTDSG kommt es nicht darauf an, dass personenbezogene Daten verarbeitet werden. Die in Artikel 6 Absatz 1 Buchstabe b bis f der Verordnung (EU) 2016/679 vorgesehenen Möglichkeiten, Daten ohne Einwilligung zu verarbeiten, finden hier keine Anwendung. Deshalb müssen Anbieter von Telemedien die Endnutzer bei jeder Inanspruchnahme ihres Dienstes nach einer Einwilligung in den Einsatz der unterschiedlichen Arten von Cookies oder ähnlicher Trackingtechnologien fragen. In der Praxis erfolgt dies mittels sogenannter Einwilligungsbanner. Einwilligungsbanner dienen den Anbietern von Telemedien auch dazu, Einwilligungen in die weitere Verarbeitung personenbezogener Daten nach Artikel 6 Absatz 1 Buchstabe a der Verordnung (EU) 2016/679 einzuholen, sodass Endnutzer häufig mit einer Vielzahl von Einwilligungsbannern im Internet Anerkannte Dienste zur Einwilligungsverwaltung sollen eine anwenderfreundliche Alternative zu der Vielzahl zu treffender Einzelentscheidungen für Endnutzer schaffen. Sie verwalten die vom Endnutzer getroffene Entscheidung darüber, ob er eine Einwilligung gegenüber einem Anbieter von Telemedien erteilt oder nicht erteilt, und sie übermitteln diese Entscheidung dem Anbieter von Telemedien, wenn dieser sie nachfragt. Bekommen die Anbieter von Telemedien die Einwilligung oder die Nichterteilung der Einwilligung auf diese Weise übermittelt, sind sie nicht mehr auf eine eigene Nachfrage beim Endnutzer nach § 25 Absatz 1 Satz 1 TTDSG angewiesen. Die Endnutzer werden durch die Reduzierung von Einwilligungsanfragen entlastet.

§ 26 Absatz 2 TTDSG ermächtigt die Bundesregierung, durch eine Rechtsverordnung mit Zustimmung des Bundestages und des Bundesrates Folgendes zu regeln:

- die Anforderungen an nutzerfreundliche und wettbewerbskonforme Verfahren, die ein Dienst zur Einwilligungsverwaltung anbieten muss, um anerkannt zu werden,

- das Verfahren der Anerkennung und

- die technischen und organisatorischen Maßnahmen, damit Software zum Abrufen und Darstellen von Informationen aus dem Internet und Anbieter von Telemedien die über einen eingebundenen anerkannten Dienst zur Einwilligungsverwaltung verwalteten Einstellungen der Endnutzer hinsichtlich der Einwilligung nach § 25 Absatz 1 TTDSG berücksichtigen können.

Mit dieser Rechtsverordnung soll diese Ermächtigung umgesetzt werden.

B. Lösung
Durch die Einbindung eines anerkannten Dienstes zur Einwilligungsverwaltung soll den Endnutzern ein transparentes Werkzeug zur Verfügung stehen, mittels dessen sie ihre Einwilligungen erteilen oder nicht erteilen und ihre Entscheidungen jederzeit nachvollziehen und überprüfen können. Die Anerkennung durch eine unabhängige Stelle soll für die Endnutzer und die Anbieter von Telemedien einen Anreiz bieten, solche Dienste zur Einwilligungsverwaltung zu nutzen, und das Vertrauen in ein rechtssicheres Verfahren stärken. Für Anbieter von Telemedien bietet dieses Verfahren eine Möglichkeit, die Einwilligungen der Endnutzer nach § 25 Absatz 1 TTDSG nutzerfreundlich zu erfragen, ohne den Endnutzer bei der Inanspruchnahme ihres Dienstes durch die Einblendung ihres Einwilligungsbanners stören zu müssen. Neben der Verwaltung von erteilten und nicht erteilten Einwilligungen nach § 25 Absatz 1 TTDSG, die sich auf das Speichern und das Auslesen von Informationen auf Endeinrichtungen des Endnutzers beziehen, können die anerkannten Dienste zur Einwilligungsverwaltung auch, soweit es mit den Vorgaben von § 26 TTDSG und dieser Rechtsverordnung vereinbar ist, weitere Dienste für die Endnutzer übernehmen. Hierzu zählen beispielsweise die Geltendmachung von Datenschutz-Betroffenenrechten oder die Verwaltung von Einwilligungen in die Verarbeitung personenbezogener Daten. Letzteres kann insbesondere dann für Endnutzer und Anbieter von Telemedien vorteilhaft sein, wenn der Einsatz eines Cookies oder einer ähnlichen Trackingtechnologie die einwilligungsbedürftige Verarbeitung personenbezogener Daten zur Folge hat.


Den vollständigen Entwurf finden Sie hier:

BVerwG: Speicherung der Postanschrift durch die Behörde bei einer Anfrage nach dem Informationsfreiheitsgesetz datenschutzkonform - keine anonymen IFG-Anfragen

BVerwG
Urteil vom 20.03.2024
6 C 8.22


Das BVerwG hat entschieden, dass die Speicherung der Postanschrift durch die Behörde bei einer Anfrage nach dem Informationsfreiheitsgesetz datenschutzkonform ist. Anonyme IFG-Anfragen sind nicht zulässig.

Die Pressemitteilung des Gerichts:
Verarbeitung der Postanschrift eines Antragstellers nach dem Informationsfreiheitsgesetz

Bei einer auf das Informationsfreiheitsgesetz (IFG) gestützten Anfrage ist die Verarbeitung der Postanschrift eines Antragstellers nach den Regelungen dieses Gesetzes in Verbindung mit § 3 Bundesdatenschutzgesetz (BDSG) zulässig. Dies hat das Bundesverwaltungsgericht in Leipzig entschieden.

Die Bundesrepublik Deutschland, vertreten durch das Bundesministerium des Innern, für Bau und Heimat (BMI), wandte sich gegen eine auf Art. 58 Abs. 2 Buchst. b Datenschutz-Grundverordnung (DSGVO) gestützte Verwarnung des beklagten Bundesbeauftragten für den Datenschutz und die Informationsfreiheit. Der Beanstandung lag ein Auskunftsersuchen eines Antragstellers zugrunde, welches dieser über eine Internetplattform per E-Mail an das BMI gerichtet hatte. Jene Plattform generiert E-Mail-Adressen, unter denen ein Antrag nach dem Informationsfreiheitsgesetz gestellt und die Kommunikation mit der Behörde abgewickelt werden kann. Das BMI hatte auf der Übermittlung der Anschrift des Antragstellers bestanden und ihm in einem per Post übermittelten Schreiben geantwortet. Daraufhin erließ der Beklagte eine Verwarnung mit der Begründung, die Postanschrift sei ohne rechtliche Grundlage abgefragt und unberechtigt verarbeitet worden.

Das Verwaltungsgericht Köln hat der Klage stattgegeben und die Verwarnung aufgehoben. Auf die Berufung des Beklagten hat das Oberverwaltungsgericht Münster das erstinstanzliche Urteil geändert und die Klage abgewiesen. Die Verwarnung sei rechtmäßig. Bei der Erhebung der Postanschrift habe es sich um einen Verarbeitungsvorgang gehandelt, für den § 3 BDSG eine Rechtsgrundlage biete. Allerdings seien die Voraussetzungen der Norm nicht erfüllt gewesen, weil es an der Erforderlichkeit der Datenerhebung gefehlt habe.

Auf die Revision der Klägerin hat das Bundesverwaltungsgericht das Urteil des Oberverwaltungsgerichts geändert und die Berufung zurückgewiesen. Die von der angegriffenen Verwarnung erfassten Datenverarbeitungen - die Erhebung der Anschrift, ihre Speicherung sowie die Verwendung - lassen sich auf § 3 BDSG in Verbindung mit den Regelungen des Informationsfreiheitsgesetzes stützen. § 3 BDSG stellt für Datenverarbeitungen von geringer Eingriffsintensität im Zusammenhang mit einem Auskunftsbegehren nach dem Informationsfreiheitsgesetz eine unionsrechtskonforme Rechtsgrundlage nach der Datenschutz-Grundverordnung dar. Nach Art. 6 Abs. 1 Unterabs. 1 Buchst. e DSGVO ist die Verarbeitung personenbezogener Daten durch eine öffentliche Stelle unter anderem dann zulässig, wenn sie zur Erfüllung der in der Zuständigkeit des Verantwortlichen liegenden Aufgabe erforderlich ist. Diese Vorschrift wird durch die Brückennorm des § 3 BDSG in Verbindung mit den Regelungen des Informationsfreiheitsgesetzes ausgefüllt. Die Erforderlichkeit verlangt die Prüfung, ob das von der öffentlichen Stelle verfolgte Ziel in zumutbarer Weise ebenso wirksam mit anderen Mitteln erreicht werden kann, die weniger stark in die Grundrechte des Betroffenen eingreifen. Zudem sind die Grundsätze der Zweckbindung und der Datenminimierung einzuhalten (Art. 5 Abs. 1 DSGVO).

Gemessen hieran war die Abfrage der Anschrift zur ordnungsgemäßen Bearbeitung des Auskunftsersuchens erforderlich. Nach dem Informationsfreiheitsgesetz sind anonyme Anträge unzulässig. Deshalb muss die Behörde den Namen und regelmäßig auch die Anschrift des Antragstellers kennen. Die Speicherung der Adresse war erforderlich, um sie für die Dauer der Bearbeitung des Antrags zu sichern. Auch die Verwendung der Anschrift für die Übersendung des ablehnenden Bescheides per Post war erforderlich. Das BMI durfte sich ermessensfehlerfrei für die Schriftform und die Bekanntgabe per Post entscheiden, obwohl der Antragsteller einen elektronischen Zugang gemäß § 3a Abs. 1 VwVfG eröffnet hatte. Bislang muss es ein Antragsteller in der Regel hinnehmen, dass die Behörde trotz eines eröffneten elektronischen Zugangs mit ihm auf dem Postweg kommuniziert.

BVerwG 6 C 8.22 - Urteil vom 20. März 2024

Vorinstanzen:
OVG Münster, OVG 16 A 857/21 - Urteil vom 15. Juni 2022 -
VG Köln, VG 13 K 1190/20 - Urteil vom 18. März 2021 -


EuGH: Erfassung und Speicherung des Fingerabdrucks auf dem Personalausweis ist mit der DSGVO sowie Art. 7 und 8 der EU-Grundrechte-Charta vereinbar

EuGH
Urteil vom 21.03.2024
C-61/22


Der EuGH hat entschieden, dass die Erfassung und Speicherung des Fingerabdrucks auf dem Personalausweis mit der DSGVO sowie Art. 7 und 8 der EU-Grundrechte-Charta vereinbar ist.

Aus den Entscheidungsgründen:
B. Zum zweiten Ungültigkeitsgrund: Nichtbeachtung von Art. 35 Abs. 10 DSGVO
Der zweite vom vorlegenden Gericht angeführte Ungültigkeitsgrund stützt sich darauf, dass die Verordnung 2019/1157 unter Verstoß gegen Art. 35 Abs. 10 DSGVO ohne Durchführung einer Datenschutz-Folgenabschätzung erlassen worden sei.

Hierzu ist darauf hinzuweisen, dass nach Art. 35 Abs. 1 DSGVO der Verantwortliche, wenn eine Form der Verarbeitung, insbesondere bei Verwendung neuer Technologien, aufgrund der Art, des Umfangs, der Umstände und der Zwecke der Verarbeitung voraussichtlich ein hohes Risiko für die Rechte und Freiheiten natürlicher Personen zur Folge hat, vorab eine Abschätzung der Folgen der vorgesehenen Verarbeitungsvorgänge für den Schutz personenbezogener Daten durchführen muss. Art. 35 Abs. 3 DSGVO stellt klar, dass eine solche Folgenabschätzung im Fall umfangreicher Verarbeitung besonderer Kategorien personenbezogener Daten gemäß Art. 9 Abs. 1 DSGVO (wie biometrischer Daten zur eindeutigen Identifizierung einer natürlichen Person) erforderlich ist.

Da im vorliegenden Fall die Verordnung 2019/1157 selbst keinen Vorgang im Zusammenhang mit personenbezogenen Daten oder Sätzen von personenbezogenen Daten durchführt, sondern lediglich vorsieht, dass die Mitgliedstaaten im Fall der Beantragung eines Personalausweises bestimmte Verarbeitungen vornehmen, ist festzustellen, dass der Erlass dieser Verordnung nicht von der vorherigen Durchführung einer Abschätzung der Folgen der vorgesehenen Verarbeitungsvorgänge im Sinne von Art. 35 Abs. 1 DSGVO abhängig war. Art. 35 Abs. 10 DSGVO enthält insoweit eine Ausnahme von Art. 35 Abs. 1 DSGVO.

Da nach den vorstehenden Ausführungen Art. 35 Abs. 1 DSGVO beim Erlass der Verordnung 2019/1157 nicht anzuwenden war, konnte dieser Erlass folglich nicht gegen Art. 35 Abs. 10 der Verordnung 2016/679 verstoßen.

Nach alledem vermag der zweite Grund, der auf einen Verstoß gegen Art. 35 Abs. 10 DSGVO gestützt wird, nicht zur Ungültigkeit der Verordnung 2019/1157 zu führen.

C. Zum dritten Ungültigkeitsgrund: Unvereinbarkeit von Art. 3 Abs. 5 der Verordnung 2019/1157 mit den Art. 7 und 8 der Charta

Der dritte vom vorlegenden Gericht angeführte Grund für die Ungültigkeit der Verordnung 2019/1157 betrifft die Frage, ob die in Art. 3 Abs. 5 der Verordnung vorgesehene Verpflichtung, zwei vollständige Fingerabdrücke in das Speichermedium der von den Mitgliedstaaten ausgestellten Personalausweise aufzunehmen, eine nicht gerechtfertigte Einschränkung der in den Art. 7 und 8 der Charta garantierten Rechte mit sich bringt.

[...]

In die Beurteilung der Schwere des Eingriffs, den eine Einschränkung der in den Art. 7 und 8 der Charta garantierten Rechte bewirkt, sind die Art der betroffenen personenbezogenen Daten, insbesondere der möglicherweise sensible Charakter dieser Daten, sowie die Art und die konkreten Modalitäten der Datenverarbeitung, u. a. die Zahl der Personen, die Zugang zu diesen Daten haben, und die Modalitäten des Zugangs zu diesen Daten, einzubeziehen. Gegebenenfalls ist auch zu berücksichtigen, ob diese Daten nicht Gegenstand missbräuchlicher Verarbeitungen sind.

Im vorliegenden Fall kann die sich aus der Verordnung 2019/1157 ergebende Einschränkung der Ausübung der in den Art. 7 und 8 der Charta garantierten Rechte zwar eine große Zahl von Personen betreffen, wobei diese Zahl von der Kommission in ihrer Folgenabschätzung auf 370 Millionen der damals 440 Millionen Einwohner der Union geschätzt wurde. Fingerabdrücke sind als biometrische Daten naturgemäß besonders sensibel und genießen, wie u. a. aus dem 51. Erwägungsgrund der DSGVO hervorgeht, im Unionsrecht einen besonderen Schutz.

Die Erfassung und Speicherung von zwei vollständigen Fingerabdrücken ist nach der Verordnung 2019/1157 jedoch nur im Hinblick auf die Aufnahme dieser Fingerabdrücke in das Speichermedium von Personalausweisen gestattet.

Des Weiteren ergibt sich aus Art. 3 Abs. 5 in Verbindung mit Art. 10 Abs. 3 der Verordnung, dass, sobald diese Aufnahme erfolgt und der Personalausweis der betroffenen Person ausgehändigt worden ist, die erfassten Fingerabdrücke ausschließlich auf dem Speichermedium dieses Ausweises gespeichert werden, der sich grundsätzlich im physischen Besitz der betroffenen Person befindet.

Schließlich sieht die Verordnung 2019/1157 eine Reihe von Garantien vor, die die Risiken begrenzen sollen, dass bei ihrer Durchführung personenbezogene Daten zu anderen Zwecken als zur Erreichung der mit ihr verfolgten Ziele erhoben oder verwendet werden, und zwar nicht nur in Bezug auf die Vorgänge der Verarbeitung personenbezogener Daten, die diese Verordnung zwingend vorschreibt, sondern auch im Hinblick auf die hauptsächlichen Verarbeitungen, denen die in das Speichermedium der Personalausweise aufgenommenen Fingerabdrücke unterzogen werden können.

Was erstens die Datenerfassung betrifft, sieht Art. 10 Abs. 1 und 2 der Verordnung 2019/1157 vor, dass biometrische Identifikatoren „ausschließlich durch qualifiziertes und ordnungsgemäß befugtes Personal erfasst“ werden und dass dieses Personal „angemessene und wirksame Verfahren für die Erfassung biometrischer Identifikatoren“ einhalten muss, wobei diese Verfahren den in der Charta, in der EMRK und im Übereinkommen der Vereinten Nationen über die Rechte des Kindes verankerten Rechten und Grundsätzen entsprechen müssen. Zudem enthält Art. 3 Abs. 7 der Verordnung, wie in Rn. 93 des vorliegenden Urteils ausgeführt, Sonderregelungen für Kinder unter zwölf Jahren (Unterabs. 1 und 2) sowie für Personen, bei denen eine Abnahme von Fingerabdrücken physisch nicht möglich ist (Unterabs. 3), wobei die letztgenannten Personen „von der Pflicht zur Abgabe von Fingerabdrücken befreit“ sind.

Was zweitens die Speicherung der Daten betrifft, verpflichtet die Verordnung 2019/1157 zum einen die Mitgliedstaaten, ein Gesichtsbild und zwei Fingerabdrücke als biometrische Daten zu speichern. Insoweit stellt der 21. Erwägungsgrund der Verordnung ausdrücklich klar, dass diese „keine Rechtsgrundlage für die Einrichtung oder Aufrechterhaltung von Datenbanken auf nationaler Ebene zur Speicherung biometrischer Daten in den Mitgliedstaaten [darstellt], zumal es sich dabei um eine Frage des nationalen Rechts handelt, welches dem Unionsrecht im Bereich Datenschutz entsprechen muss“ und sie auch „keine Rechtsgrundlage für die Einrichtung oder Aufrechterhaltung einer zentralen Datenbank auf der Ebene der Union“ darstellt. Zum anderen sieht Art. 10 Abs. 3 der Verordnung vor, dass diese „biometrischen Identifikatoren … ausschließlich bis zu dem Tag der Abholung des Dokuments und keinesfalls länger als 90 Tage ab dem Tag der Ausstellung des Dokuments gespeichert“ werden, und stellt klar, dass „die biometrischen Identifikatoren [nach diesem Zeitraum] umgehend gelöscht oder vernichtet“ werden.

Daraus ergibt sich insbesondere, dass Art. 10 Abs. 3 der Verordnung 2019/1157 es den Mitgliedstaaten nicht gestattet, biometrische Daten zu anderen als den in dieser Verordnung vorgesehenen Zwecken zu verarbeiten. Außerdem steht diese Bestimmung einer zentralen Speicherung von Fingerabdrücken entgegen, die über die vorläufige Speicherung dieser Abdrücke zum Zweck der Personalisierung von Personalausweisen hinausgeht.

Schließlich weist Art. 11 Abs. 6 der Verordnung 2019/1157 auf die Möglichkeit hin, dass die im sicheren Speichermedium enthaltenen biometrischen Daten gemäß dem Unionsrecht und dem nationalen Recht von ordnungsgemäß befugten Mitarbeitern der zuständigen nationalen Behörden und Agenturen der Union verwendet werden dürfen.

Was Art. 11 Abs. 6 Buchst. a der Verordnung betrifft, erlaubt diese Bestimmung die Verwendung von auf dem Speichermedium von Personalausweisen und Aufenthaltsdokumenten gespeicherten biometrischen Daten nur, um den Personalausweis oder das Aufenthaltsdokument auf seine Echtheit zu überprüfen.

Art. 11 Abs. 6 Buchst. b der Verordnung 2019/1157 sieht vor, dass die auf dem Speichermedium von Personalausweisen und Aufenthaltsdokumenten gespeicherten biometrischen Daten zur Überprüfung der Identität des Inhabers „anhand direkt verfügbarer abgleichbarer Merkmale …, wenn die Vorlage des Personalausweises oder Aufenthaltsdokuments gesetzlich vorgeschrieben ist“, verwendet werden können. Da eine solche Verarbeitung jedoch geeignet ist, zusätzliche Informationen über das Privatleben der betroffenen Personen zu liefern, kann sie nur zu Zwecken, die strikt auf die Identifizierung der betroffenen Person beschränkt sind, und unter durch gesetzliche Bestimmungen über die Vorlage des Personalausweises oder des Aufenthaltsdokuments genau abgegrenzten Voraussetzungen erfolgen.

Was drittens die Abfrage der auf dem Speichermedium von Personalausweisen gespeicherten biometrischen Daten anbelangt, ist darauf hinzuweisen, dass der 19. Erwägungsgrund der Verordnung 2019/1157 eine Rangfolge bei der Verwendung der Mittel zur Überprüfung der Echtheit des Dokuments und der Identität des Inhabers aufstellt, indem er vorsieht, dass die Mitgliedstaaten „vorrangig das Gesichtsbild überprüfen“ müssen und, falls zur zweifelsfreien Bestätigung der Echtheit des Dokuments und der Identität des Inhabers notwendig, „auch die Fingerabdrücke“.

Was viertens das Risiko des unbefugten Zugriffs auf die gespeicherten Daten betrifft, sieht Art. 3 Abs. 5 und 6 der Verordnung 2019/1157 zur Reduzierung dieses Risikos auf ein Minimum vor, dass die Fingerabdrücke auf einem „hochsicheren Speichermedium“ gespeichert werden, das „eine ausreichende Kapazität [aufweist] und geeignet [ist], die Integrität, die Authentizität und die Vertraulichkeit der Daten sicherzustellen“. Zudem geht aus Art. 3 Abs. 10 dieser Verordnung hervor, dass dann, wenn „die Mitgliedstaaten im Personalausweis Daten für elektronische Dienste wie elektronische Behördendienste und den elektronischen Geschäftsverkehr [speichern], … diese nationalen Daten physisch oder logisch getrennt sein [müssen]“, insbesondere von Fingerabdrücken, die auf der Grundlage der Verordnung erhoben und gespeichert wurden. Schließlich ergibt sich aus den Erwägungsgründen 41 und 42 sowie aus Art. 11 Abs. 4 dieser Verordnung, dass die Mitgliedstaaten für die ordnungsgemäße Verarbeitung biometrischer Daten verantwortlich bleiben, auch wenn sie mit externen Dienstleistungsanbietern zusammenarbeiten.

ii) Zur Bedeutung der verfolgten Zielsetzungen

Wie in Rn. 86 des vorliegenden Urteils ausgeführt, zielt die Aufnahme von zwei Fingerabdrücken in das Speichermedium von Personalausweisen darauf ab, die Herstellung gefälschter Personalausweise und den Identitätsdiebstahl zu bekämpfen sowie die Interoperabilität der Systeme zur Überprüfung von Identitätsdokumenten zu gewährleisten. Insoweit ist sie geeignet, zum Schutz des Privatlebens der betroffenen Personen sowie im weiteren Sinne zur Bekämpfung von Kriminalität und Terrorismus beizutragen.

Des Weiteren ermöglicht es eine solche Maßnahme, sowohl dem Bedürfnis jedes Unionsbürgers nachzukommen, über ein Mittel zu verfügen, um sich zuverlässig zu identifizieren, als auch dem der Mitgliedstaaten, sich zu vergewissern, dass den Personen, die sich auf durch das Unionsrecht anerkannte Rechte berufen, diese Rechte auch tatsächlich zustehen. Sie trägt somit insbesondere dazu bei, den Unionsbürgern die Ausübung ihres Freizügigkeits- und Aufenthaltsrecht zu erleichtern, das ebenfalls ein in Art. 45 der Charta verbürgtes Grundrecht ist. Somit haben die mit der Verordnung 2019/1157, insbesondere durch die Aufnahme von zwei Fingerabdrücken in das Speichermedium von Personalausweisen, verfolgten Zielsetzungen nicht nur für die Union und die Mitgliedstaaten, sondern auch für die Unionsbürger besondere Bedeutung.

Im Übrigen werden die Legitimität und Bedeutung dieser Zielsetzungen nicht durch den vom vorlegenden Gericht angeführten Umstand in Frage gestellt, dass in den Rn. 24 bis 26 der Stellungnahme 7/2018 darauf hingewiesen wurde, dass zwischen 2013 und 2017 nur 38 870 gefälschte Personalausweise festgestellt worden seien und dass diese Zahl seit mehreren Jahren abnehme.

Selbst wenn man nämlich von einer geringen Zahl der gefälschten Personalausweise ausginge, war der Unionsgesetzgeber nicht verpflichtet, bis zum Anstieg dieser Zahl zu warten, um Maßnahmen zur Vermeidung des Risikos der Verwendung solcher Ausweise zu erlassen, sondern konnte, insbesondere im Interesse der Risikokontrolle, eine solche Entwicklung vorwegnehmen, sofern die übrigen Voraussetzungen in Bezug auf die Achtung des Grundsatzes der Verhältnismäßigkeit gewahrt wurden.

iii) Abwägung

Nach alledem ist festzustellen, dass die Einschränkung der Ausübung der in den Art. 7 und 8 der Charta garantierten Rechte, die sich aus der Aufnahme von zwei Fingerabdrücken in das Speichermedium von Personalausweisen ergibt, angesichts der Art der in Rede stehenden Daten, der Art und der Modalitäten der Verarbeitungsvorgänge sowie der vorgesehenen Schutzmechanismen nicht so schwer erscheint, dass sie außer Verhältnis zur Bedeutung der verschiedenen mit dieser Maßnahme verfolgten Zielsetzungen stünde. Somit ist davon auszugehen, dass eine solche Maßnahme auf einer ausgewogenen Gewichtung zwischen diesen Zielsetzungen und den betroffenen Grundrechten beruht.

Folglich verstößt die Einschränkung der Ausübung der in den Art. 7 und 8 der Charta garantierten Rechte nicht gegen den Grundsatz der Verhältnismäßigkeit, so dass der dritte Ungültigkeitsgrund nicht zur Ungültigkeit der Verordnung 2019/1157 zu führen vermag.


Den Volltext der Entscheidung finden Sie hier:

KG Berlin: Auch gegen juristische Person kann unmittelbar DSGVO-Bußgeld verhängt werden - Deutsche Wohnen

KG Berlin
Beschluss vom 22.01.2024
3 Ws 250/21, 161 AR 84/21, 3 Ws 250/21 - 161 AR 84/21


Das KG Berlin hat entschieden, dass auch unittelbar gegen juristische Person ein DSGVO-Bußgeld verhängt werden kann.

Aus den Entscheidungsgründen:
Mit Bußgeldbescheid vom 30. Oktober 2019 hat die Berliner Beauftragte für den Datenschutz (im Folgenden: BlnBDI) gegen das betroffene Unternehmen (im Folgenden: Betroffene) Geldbußen festgesetzt. Mit dem Bußgeldbescheid ist der Betroffenen vorgeworfen worden, es zwischen dem 25. Mai 2018 und dem 5. März 2019 vorsätzlich unterlassen zu haben, die notwendigen Maßnahmen zur Ermöglichung der regelmäßigen Löschung nicht mehr benötigter oder in sonstiger Weise zu Unrecht gespeicherter Daten von Mietern zu treffen. Weiter hat der Bußgeldbescheid den Vorwurf enthalten, personenbezogene Daten von mindestens 15 näher bezeichneten Mietern fortgesetzt gespeichert zu haben, obwohl bekannt gewesen sei, dass dies nicht oder nicht mehr erforderlich war. Wegen des vorsätzlichen Verstoßes gegen Art. 25 Abs. 1, Art. 5 Abs. 1 a), c) und e) DS-GVO hat die Geldbuße 14.385.000 Euro betragen. Wegen Verstößen gegen Art. 6 Abs. 1 DS-GVO sind 15 weitere Geldbußen mit Beträge zwischen 3.000 und 17.000 Euro festgesetzt worden.

Auf den Einspruch der Betroffenen hat das Landgericht Berlin das Verfahren nach § 46 Abs. 1 OWiG i. V. m. § 206a StPO durch den angefochtenen Beschluss eingestellt. Das Landgericht hat die Auffassung vertreten, der Bußgeldbescheid habe unter so gravierenden Mängeln gelitten, dass er nicht Grundlage des Verfahrens sein könne. Namentlich ist das Landgericht der Auffassung gewesen, eine juristische Person könne nicht Betroffene eines Bußgeldverfahrens sein, auch nicht in einem solchen nach Art. 83 DS-GVO. Da einer juristischen Person lediglich ein Handeln ihrer Organmitglieder oder Repräsentanten zugerechnet werden könne, könne diese in einem Bußgeldverfahren nur als Nebenbeteiligte fungieren. Die Verhängung einer Geldbuße gegen eine juristische Person sei in § 30 OWiG abschließend geregelt, der über § 41 Abs. 1 BDSG auch für Verstöße nach Art. 83 Abs. 4 bis 6 DS-GVO Anwendung finde. Die in § 83 DS-GVO kodifizierte unmittelbare Unternehmenshaftung verstoße gegen das im deutschen Recht verankerte Schuldprinzip und könne daher nicht angewendet werden.

Hiergegen hat die Staatsanwaltschaft Berlin sofortige Beschwerde eingelegt. Der Senat hat das Verfahren durch Beschluss vom 6. Dezember 2021 ausgesetzt und nach Art. 267 Abs. 3 AEUV eine Vorabentscheidung des Gerichtshofs der Europäischen Union u.a. zu der Frage eingeholt, ob Art. 83 Abs. 4-6 DS-GVO dahin auszulegen sei, „dass es den Art. 101 und 102 AEUV zugeordneten funktionalen Unternehmensbegriff und das Funktionsträgerprinzip in das innerstaatliche Recht mit der Folge inkorporiert, dass unter Erweiterung des § 30 OWiG zugrundeliegenden Rechtsträgerprinzips ein Bußgeldverfahren unmittelbar gegen ein Unternehmen geführt werden kann und die Bebußung nicht der Feststellung einer durch eine natürliche und identifizierte Person, gegebenenfalls volldeliktisch, begangenen Ordnungswidrigkeit bedarf“. Der EuGH hat durch Urteil vom 5. Dezember 2023 (C-807/21 – [juris]) wie folgt entschieden: „Art. 58 Abs. 2 Buchst. i und Art. 83 Abs. 1 bis 6 der Verordnung (EU) 2016/679 des Europäischen Parlaments und des Rates vom 27. April 2016 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten, zum freien Datenverkehr und zur Aufhebung der Richtlinie 95/46/EG (Datenschutz-Grundverordnung) sind dahin auszulegen, dass sie einer nationalen Regelung entgegenstehen, wonach eine Geldbuße wegen eines in Art. 83 Abs. 4 bis 6 DSG-VO genannten Verstoßes gegen eine juristische Person in ihrer Eigenschaft als Verantwortliche nur dann verhängt werden kann, wenn dieser Verstoß zuvor einer identifizierten natürlichen Person zugerechnet wurde“. In einem weiteren Ausspruch desselben Urteils heißt es, dass „eine Geldbuße nur dann verhängt werden darf, wenn nachgewiesen ist, dass der Verantwortliche, der eine juristische Person und zugleich ein Unternehmen ist, einen in Art. 83 Abs. 4 bis 6 DSGVO genannten Verstoß vorsätzlich oder fahrlässig begangen hat“.

Mit Beschluss vom Folgetag hat der Senat angeordnet, dass das Verfahren fortgesetzt wird.

Die sofortige Beschwerde der Staatsanwaltschaft hat Erfolg. Nach Maßgabe des in dieser Sache ergangenen Urteils des Europäischen Gerichtshofs ist die Betroffene unbeschadet ihrer Eigenschaft als juristische Person taugliche Adressatin eines Bußgeldbescheids (1.). Das durch das Landgericht angenommene Verfahrenshindernis eines unwirksamen Bußgeldbescheids besteht nicht (2.).

1. Dass die Betroffene als juristische Person taugliche Adressatin eines Bußgeldbescheids sein kann und als solche zudem unmittelbar und nicht nur als Verfahrens- oder Nebenbeteiligte bebußt werden kann, ergibt sich aus dem in diesem Verfahren ergangenen Urteil des EuGH (Urteil vom 5. Dezember 2023 – C-807/21 – [juris]). Der Gerichtshof führt aus, es sei möglich, „die in Art. 83 DSG-VO für solche Verstöße vorgesehenen Geldbußen unmittelbar gegen juristische Personen zu verhängen, wenn diese als für die betreffende Verarbeitung Verantwortliche eingestuft werden können“ (Rn. 44). Dies folgt, so der EuGH weiter, daraus, dass Unternehmen „nicht nur für Verstöße haften, die von ihren Vertretern, Leitern oder Geschäftsführern begangen wurden, sondern auch für Verstöße, die von jeder anderen Person begangen wurden, die im Rahmen der unternehmerischen Tätigkeit und im Namen dieser juristischen Personen handelt“ (Rn. 44). Die hierdurch – und zwar unabhängig von einem individualisierbaren Organisationsdefizit oder einer Aufsichtspflichtverletzung – möglich gewordene unmittelbare Bebußung von juristischen Personen wird auch durch die Verteidigung, soweit aus ihrem Schriftsatz vom 15. Januar 2024 ersichtlich, nicht mehr in Frage gestellt.

2. Der Bußgeldbescheid der BlnBDI erfüllt die Wirksamkeitsvoraussetzungen des § 66 Abs. 1 OWiG und stellt eine ausreichende Verfahrensgrundlage dar. Ein Verfahrenshindernis besteht insoweit nicht.

a) Nach § 66 OWiG muss der Bußgeldbescheid „die Bezeichnung der Tat, die dem Betroffenen zur Last gelegt wird, Zeit und Ort ihrer Begehung, die gesetzlichen Merkmale der Ordnungswidrigkeit und die angewendeten Bußgeldvorschriften“ enthalten. Der Bußgeldbescheid muss den Tatvorwurf nach gefestigtem Verständnis formal und sachlich umgrenzen (Umgrenzungsfunktion) und den Betroffenen ausreichend über den Tatvorwurf unterrichten (Informationsfunktion) (vgl. BGHSt 23, 336; Senat Verkehrsrecht aktuell 2019, 123 [Volltext bei juris]; OLG Celle ZfSch 2015, 649).

b) Hier ist rechtstechnisch zusätzlich zu beachten, dass die in § 66 OWiG niedergelegten verfahrensbezogenen Anforderungen an die Gestaltung des Bußgeldbescheids den durch den EuGH formulierten Grundsätzen des materiellen Rechts folgen. Die vom EuGH entwickelten sachlich-rechtlichen Grundzüge der Verbandsgeldbuße überformen, prägen und gestalten das diesbezügliche nationale Verfahrensrecht. Formuliert der EuGH etwa, die Bebußung erfordere nicht, dass ein „Verstoß von einer identifizierten natürlichen Person begangen wurde“ (Rn. 46), so folgt daraus zwingend, dass sich die Bezeichnung einer solchen natürlichen Person auch nicht aus dem nationalen Verfahrensrecht, hier § 66 OWiG, ergeben muss.

Der Auffassung der Verteidigung, die Wirksamkeit des Bußgeldbescheids als Verfahrensvoraussetzung bemesse sich nach § 66 OWiG, trifft damit allgemein zu, denn eine Suspendierung der gesamten Vorschrift steht auch angesichts des nun anzuwendenden europarechtskonformen Verantwortungs- und Haftungsregimes nicht in Rede. Vielmehr sieht Art. 83 Abs. 8 DSG-VO vor, dass die „Ausübung der eigenen Befugnisse durch eine Aufsichtsbehörde“ unionsrechtskompatiblen Verfahrensgarantien „einschließlich wirksamer gerichtlicher Rechtsbehelfe und ordnungsgemäßer Verfahren“ unterliegt. Daher verweist § 41 BDSG auf Verfahrensvorschriften des OWiG und der StPO, und auch § 66 OWiG ist als grundlegendes nationales Verfahrensrecht anwendbar. Seine Auslegung allerdings richtet sich hier nach den sachlich-rechtlichen Vorgaben des übergeordneten Europarechts in der durch den EuGH nun gegebenen Ausprägung.

c) Unter Zugrundelegung der Maßgaben aus der Vorabentscheidung des EuGH und ihrer Weiterungen auf das nationale Verfahrensrecht erfüllt der Bußgeldbescheid der BlnBDI die Voraussetzungen des § 66 OWiG. Ohne Weiteres grenzt der Bußgeldbescheid den Gegenstand des Verfahrens in persönlicher, sachlicher und rechtlicher Hinsicht ab, und die Betroffene kann mühelos erkennen, welcher konkrete Vorwurf gegen sie erhoben wird. Namentlich die durch § 66 Abs. 1 Nr. 3 OWiG erforderten Essentialia, nämlich die „Bezeichnung der Tat, die dem Betroffenen zur Last gelegt wird“ sowie „Zeit und Ort ihrer Begehung“, sind bei der gebotenen funktional-normativen Betrachtung eingehalten.

Der Bußgeldbescheid wirft der Betroffenen vor, es zwischen dem 25. Mai 2018 und dem 5. März 2019 vorsätzlich unterlassen zu haben, die notwendigen Maßnahmen zur Ermöglichung der regelmäßigen Löschung nicht mehr benötigter oder in sonstiger Weise zu Unrecht gespeicherter Daten von Mietern zu treffen. Weiter wird ihr vorgeworfen, personenbezogene Daten von mindestens 15 näher bezeichneten Mietern fortgesetzt gespeichert zu haben, obgleich bekannt gewesen sei, dass dies nicht oder nicht mehr erforderlich war.

Diese – hier nur kursorisch zusammengefassten – Vorwürfe sind im Bußgeldbescheid ausgesprochen konkret und ausführlich dargestellt. Der Bußgeldbescheid bezeichnet die insgesamt 16 Tathandlungen auf mehr als 17 Seiten in einer ausdifferenzierten und nachgerade ziselierten Weise. Die Ausführungen vermitteln der Betroffenen präzise, was ihr vorgeworfen wird, und sie ermöglichen es ihr, sich hiergegen zu verteidigen. Dabei ist auch zu beachten, dass es sich bei den vorgeworfenen Handlungen (oder Unterlassungen) ersichtlich um keine Individualexzesse in einem Dunkelbereich des Unternehmens handelt. Gegenstand des Bußgeldverfahrens bildet die Speicherung bzw. Archivierung (oder Nichtlöschung) von Kundendaten. Es geht um einfach gelagerte und verständliche Sachverhalte und im Letzten um gewöhnliche Vorgänge in einem operativen Unternehmensbereich.

d) Nicht folgen kann der Senat der Überlegung der Betroffenen, der Bußgeldbescheid müsse konkretisieren, „welches Organ durch welche Handlung die Voraussetzungen des § 30 OWiG erfüllt hat“. Abgesehen davon, dass der Bußgeldbescheid die Rechtsverstöße auch in ihrer Entstehung („Handlung“) durchaus nachvollziehbar darstellt und umreißt, deduziert sich ein solches Erfordernis aus der überkommenen Vorstellung, eine Verbandshaftung erfordere das Verschulden eines Repräsentanten (§ 30 OWiG) oder eine Aufsichtspflichtverletzung (§ 130 OWiG). Sie lässt die europarechtlichen Einflüsse auf das Verbandsanktionenrecht außen vor und missachtet die Rechtsprechung des EuGH im hiesigen Vorabentscheidungsverfahren. Wenn der EuGH ausdrücklich formuliert, die Bebußung erfordere nicht, dass ein „Verstoß von einer identifizierten natürlichen Person begangen wurde“ (Rn. 46), so stellt er klar, dass juristische Personen dafür verantwortlich sind, dass Daten im Rahmen ihrer unternehmerischen Tätigkeit rechtmäßig verarbeitet werden (Rn. 44). Sanktioniert wird hiernach nicht (nur) eine fehlerhafte Organisation, sondern gerade die Pflichtverletzung des Verbands bzw. im Verband, als „genuine Verbandstat“ (vgl. als Kritik an der überkommenen nationalen Rechtslage: HK-OWiG/Schmitt-Leonardy, 2. Aufl., § 30 Rn. 13). Nach der Vorabentscheidung des EuGH ist auch eine juristische Person schuldfähig, so dass es zu einem Gleichlauf von Verantwortlichkeit und Haftbarkeit kommt (vgl. Grages/Strassemeyer, CR 2024, 10). Damit fallen alle Personen, die im Rahmen der unternehmerischen Tätigkeit handeln, in den abstrakten Verantwortungskreis der juristischen Person, und selbst eine normentsprechende Organisation führt – jedenfalls in aller Regel – nicht zur Exkulpation. Dies entspricht dem Effektivitätsgrundsatz des europäischen Rechts.

Dass der Verband (materiell-rechtlich) allein datenschutzrechtlich Verantwortlicher ist (vgl. Wünschelbaum, DSB 2024, 15), wirkt sich damit unmittelbar auf die verfahrensrechtlich gebotene Darstellungsdichte im Bußgeldbescheid aus. Insbesondere muss dieser gerade nicht bezeichnen, welchem Repräsentanten oder welchem „Organ“ welche konkrete Handlung oder welches konkrete Unterlassen zur Last fällt. Im Übrigen bleibt es aber auch insoweit dabei, dass der hier zu beurteilende Bußgeldbescheid die Tathandlungen bemerkenswert und – gemessen an den vom EuGH formulierten materiell-rechtlichen Haftungsvoraussetzungen ersichtlich – überobligatorisch konkret darstellt.

e) Auch kann sich der Senat der noch weitergehenden Überlegung der Verteidigung nicht anschließen, es sei sogar „unverzichtbar, dass ein Bußgeldbescheid die verfahrensmaßgeblichen Handlungen der natürlichen Person beschreibt“, um einen Vorwurf gegen den Verband „erkennen, abgrenzen, bewerten und sich gegen ihn verteidigen zu können“. Auch diese Auffassung verstößt eklatant gegen das im hiesigen Verfahren ergangene Urteil des EuGH. Das durch die Verteidigung erkannte Erfordernis geht darüber hinweg, dass eine Sanktionierung gerade nicht erfordert, dass ein „Verstoß von einer identifizierten natürlichen Person begangen wurde“ (Rn. 46). Dieses klare EuGH-Diktum ist mit der Forderung der Verteidigung, der Bußgeldbescheid müsse die „Handlung der natürlichen Person beschreiben“, ersichtlich unvereinbar. Allerdings gilt auch insoweit: Der Bußgeldbescheid beschreibt die vorgeworfenen Handlungen – zum großen Teil in der Form des Unterlassens der Löschung, teilweise als unterlassene Kennzeichnung von Daten – nachvollziehbar und deutlich. Der Betroffenen ist es möglich und unbenommen, im Bußgeldverfahren darzustellen, dass die Daten nicht gespeichert oder rechtmäßig gespeichert und ggf. rechtzeitig gelöscht wurden. Jedenfalls unter Zugrundelegung der vom EuGH umrissenen Grundzüge einer umfassenden Unternehmensverantwortung ist nicht ersichtlich, dass eine noch ausführlichere und noch „konkretere“ Darstellung der Tatvorwürfe im Bußgeldbescheid die Verteidigungsmöglichkeiten der Betroffenen substantiell erweitern könnte. Durch das EuGH-Judikat verringerte Exkulpationsmöglichkeiten sind nicht Folge eines unkonkret bleibenden Bußgeldbescheids, sondern einer dem Effektivitätsgrundsatz geschuldeten europarechtskonform erweiterten Verbandsverantwortung.

f) Folgerichtig ist der Verteidigung schließlich auch darin zu widersprechen, die Bezeichnung der dem Organ vorwerfbaren Tat sei unerlässliche Voraussetzung des Bußgeldbescheids. Dieses ehedem bestehende Erfordernis, das dem limitierten Haftungsregime des nationalen Rechts folgte, ist durch die im hiesigen Verfahren ergangene Vorabentscheidung des EuGH zu einer umfassenden Verbandsverantwortung nach kartellrechtlichem Vorbild obsolet. In dieser heißt es, „dass die Anwendung von Art. 83 DSG-VO keine Handlung und nicht einmal eine Kenntnis seitens des Leitungsorgans“ voraussetzt (Rn. 77).

3. Da kein Verfahrenshindernis besteht, war der angefochtene Beschluss aufzuheben, und die Sache ist an das Landgericht zurückzuverweisen. Funktional zuständig ist nicht die große Strafkammer (Wirtschaftskammer), sondern die Kammer für Bußgeldsachen (§ 47 Abs. 7 OWiG). Der Senat kann nachvollziehen, dass die Kammer entgegen einer analogen Anwendung des § 68 Abs. 1 Satz 2 OWiG nicht durch Einzelrichter entschieden hat, sondern – wohl entsprechend §§ 46 Abs. 1 OWiG, 76 Abs. 1 GVG – zuletzt eine Besetzung gewählt hat, die der einer großen Strafkammer entspricht (vgl. zur funktionalen Zuständigkeit und zur Besetzungsfrage Brodowski/Nowak in BeckOK Datenschutzrecht, 46. Edition, § 41 BDSG Rn. 16). Hierfür spricht, dass sich die sachliche Zuständigkeit des Landgerichts (§ 41 Abs. 1 Satz 3 BDSG) aus dem Streben nach einer verbesserten Kontrolle ableiten dürfte, die sich jedenfalls im Leitbild aus der Beteiligung mehrerer (Berufs-) Richter ergibt.

4. Eine Kostenentscheidung ist in Bezug auf das Rechtsmittel nicht veranlasst (ex arg. BGH WuW 2020, 615). Über die Kosten des Vorabentscheidungsverfahrens hat an sich das vorlegende Gericht zu entscheiden (Art. 102 EuGHVerfO). Das Vorabentscheidungsverfahren erweist sich aber lediglich als Zwischenverfahren des gleichfalls unselbständigen Beschwerdeverfahrens, durch dessen Entscheidung das Bußgeldverfahren nicht abgeschlossen wird. Da das Bußgeldverfahren beim Landgericht Berlin fortgesetzt und durch dieses entschieden wird, ist es angemessen, dass die Kammer für Bußgeldsachen in der abschließenden Kostengrundentscheidung über die Kosten des Vorabentscheidungsverfahrens mitentscheidet (vgl. bei ähnlicher Konstellation BGH WM 1996, 1889 unter Bezug auf EuGH GRUR Int. 1996, 147).


Den Volltext der Entscheidung finden Sie hier:


EuGH: Lebenslange Speicherung biometrischer und genetischer Daten von Straftätern ohne regelmäßige Notwendigkeitsprüfung verstößt gegen DSGVO

EuGH
Urteil vom 30.01.2024
C-118/22

Der EuGH hat entschieden, dass die lebenslange Speicherung biometrischer und genetischer Daten von Straftätern ohne regelmäßige Notwendigkeitsprüfung gegen die Vorgaben der DSGVO verstößt.

Tenor der Entscheidung:
Art. 4 Abs. 1 Buchst. c und e der Richtlinie (EU) 2016/680 des Europäischen Parlaments und des Rates vom 27. April 2016 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten durch die zuständigen Behörden zum Zwecke der Verhütung, Ermittlung, Aufdeckung oder Verfolgung von Straftaten oder der Strafvollstreckung sowie zum freien Datenverkehr und zur Aufhebung des Rahmenbeschlusses 2008/977/JI des Rates in Verbindung mit ihren Art. 5 und 10, ihrem Art. 13 Abs. 2 Buchst. b und ihrem Art. 16 Abs. 2 und 3 sowie im Licht der Art. 7 und 8 der Charta der Grundrechte der Europäischen Union

ist dahin auszulegen, dass

er nationalen Rechtsvorschriften entgegensteht, die vorsehen, dass die Polizeibehörden zum Zweck der Verhütung, Ermittlung, Aufdeckung oder Verfolgung von Straftaten oder der Strafvollstreckung personenbezogene und insbesondere biometrische und genetische Daten, die wegen einer vorsätzlichen Offizialstraftat rechtskräftig verurteilte Personen betreffen, speichern, und zwar bis zum Tod der betroffenen Person und auch im Fall ihrer Rehabilitierung, ohne den Verantwortlichen zu verpflichten, regelmäßig zu überprüfen, ob diese Speicherung noch notwendig ist, und ohne dieser Person das Recht auf Löschung dieser Daten, sobald deren Speicherung für die Zwecke, für die sie verarbeitet worden sind, nicht mehr erforderlich ist, oder gegebenenfalls das Recht auf Beschränkung der Verarbeitung dieser Daten zuzuerkennen.

Den Volltext der Entscheidung finden Sie hier:

EuGH: DSGVO-Geldbuße gegen Unternehmen durch Datenschutzbehörde setzt schuldhaften Verstoß voraus - Höhe richtet sich nach dem Jahresumsatz des Konzerns

EuGH
Urteil vom 05.12.2023, C-683/21 (Nacionalinis visuomenės sveikatos centras)
Urteil vom 05.12.2023, C-807/21 (Deutsche Wohnen)


Der EuGH hat entschieden, dass eine Geldbuße gegen ein Unternehmen durch die Datenschutzbehörde wegen eines DSGVO-Verstoßes einen schuldhaften Verstoß voraussetzt. Die Höhe richtet sich bei Unternehmen, die einem Konzern angehören, nach dem Jahresumsatz des Konzerns.

Die Pressemitteilung des Gerichts:
Nur ein schuldhafter Verstoß gegen die Datenschutz-Grundverordnung kann zur Verhängung einer Geldbuße führen

Gehört der Adressat der Geldbuße zu einem Konzern, bemisst sich die Geldbuße nach dem Jahresumsatz des Konzerns

Der Gerichtshof präzisiert die Voraussetzungen, unter denen die nationalen Aufsichtsbehörden eine Geldbuße gegen einen oder mehrere für die Datenverarbeitung Verantwortliche wegen Verstoßes gegen die DatenschutzGrundverordnung (DSGVO) verhängen können. Insbesondere stellt er fest, dass die Verhängung einer solchen Geldbuße ein schuldhaftes Verhalten voraussetzt, der Verstoß also vorsätzlich oder fahrlässig begangen worden sein muss. Gehört der Adressat der Geldbuße zu einem Konzern, ist bei der Berechnung der Geldbuße auf den Umsatz des Konzerns abzustellen

Ein litauisches und ein deutsches Gericht haben den Gerichtshof ersucht, die Datenschutz- Grundverordnung (DSGVO)1 auszulegen, und zwar im Hinblick auf die Möglichkeit nationaler Aufsichtsbehörden, Verstöße gegen diese Verordnung durch Verhängung einer Geldbuße gegen den für die Datenverarbeitung Verantwortlichen zu ahnden.

Im litauischen Fall wendet sich das Nationale Zentrum für öffentliche Gesundheit beim Gesundheitsministerium gegen eine Geldbuße in Höhe von 12 000 Euro, die ihm im Zusammenhang mit der Entwicklung (mit Unterstützung durch ein privates Unternehmen) einer mobilen Anwendung auferlegt wurde, die der Erfassung und Überwachung der Daten der dem Covid-19-Virus ausgesetzten Personen dienen sollte.

Im deutschen Fall wendet sich das Immobilienunternehmen Deutsche Wohnen, das mittelbar rund 163 000 Wohneinheiten und 3 000 Gewerbeeinheiten hält, u. a. gegen eine Geldbuße von über 14 Mio. Euro, die ihm auferlegt wurde, weil es personenbezogene Daten von Mietern länger als erforderlich speicherte.

Der Gerichtshof entscheidet, dass gegen einen für die Datenverarbeitung Verantwortlichen nur dann eine Geldbuße wegen Verstoßes gegen die DSGVO verhängt werden kann, wenn dieser Verstoß schuldhaft – also vorsätzlich oder fahrlässig – begangen wurde. Dies ist dann der Fall, wenn sich der Verantwortliche über die Rechtswidrigkeit seines Verhaltens nicht im Unklaren sein konnte, gleichviel, ob ihm dabei bewusst war, dass es gegen die Bestimmungen der DSGVO verstößt.

Handelt es sich bei dem Verantwortlichen um eine juristische Person, ist es nicht erforderlich, dass der Verstoß von ihrem Leitungsorgan begangen wurde oder dieses Organ Kenntnis davon hatte. Vielmehr haftet eine juristische Person sowohl für Verstöße, die von ihren Vertretern, Leitungspersonen oder Geschäftsführern begangen werden, als auch für Verstöße, die von jeder sonstigen Person begangen werden, die im Rahmen ihrer unternehmerischen Tätigkeit in ihrem Namen handelt. Die Verhängung einer Geldbuße gegen eine juristische Person als Verantwortliche darf nicht der Voraussetzung unterliegen, dass zuvor festgestellt wurde, dass der Verstoß von einer identifizierten natürlichen Person begangen wurde.

Außerdem kann gegen einen Verantwortlichen eine Geldbuße auch für Verarbeitungsvorgänge verhängt werden, die von einem Auftragsverarbeiter durchgeführt wurden, sofern diese Vorgänge dem Verantwortlichen zugerechnet werden können.

Zur gemeinsamen Verantwortlichkeit von zwei oder mehr Einrichtungen führt der Gerichtshof aus, dass diese sich allein daraus ergibt, dass die Einrichtungen an der Entscheidung über die Zwecke und Mittel der Verarbeitung mitgewirkt haben. Die Einstufung als „gemeinsam Verantwortliche“ setzt keine förmliche Vereinbarung zwischen den betreffenden Einrichtungen voraus. Eine gemeinsame Entscheidung oder übereinstimmende Entscheidungen reichen aus. Handelt es sich jedoch tatsächlich um gemeinsam Verantwortliche, müssen diese in einer Vereinbarung ihre jeweiligen Pflichten festlegen.

Schließlich muss sich die Aufsichtsbehörde bei der Bemessung der Geldbuße, wenn der Adressat ein Unternehmen ist oder zu einem Unternehmen gehört, auf den wettbewerbsrechtlichen Begriff „Unternehmen“ stützen. Der Höchstbetrag der Geldbuße ist daher auf der Grundlage eines Prozentsatzes des gesamten Jahresumsatzes zu berechnen, den das betreffende Unternehmen als Ganzes im vorangegangenen Geschäftsjahr weltweit erzielt hat.


Den Volltext der Entscheidung finden Sie hier:
EuGH, Urteil vom 05.12.2023, C-683/12 (Nacionalinis visuomenės sveikatos centras)
EuGH, Urteil vom 05.12.2023, C-807/21 (Deutsche Wohnen)


EuGH-Generalanwältin: Erfassung und Speicherung des Fingerabdrucks auf Personalausweis mit DSGVO und anderen unionsrechtlichen Vorgaben vereinbar

EuGH-Generalanwältin
Schlussanträge vom
C-61/22


Die EuGH-Generaltanwältin kommt in ihren Schlussanträgen zu dem Ergebnis, dass die obligatorische Erfassung und Speicherung des Fingerabdrucks auf dem Personalausweis mit der DSGVO und anderen unionsrechtlichen Vorgaben vereinbar ist.

Die Pressemitteilung des EuGH:
Nach Ansicht von Generalanwältin Medina ist die obligatorische Erfassung und Speicherung von Fingerabdrücken in Personalausweisen gültig

Die Verordnung 2019/11571 enthält ab dem 2. August 2021 die Verpflichtung, in jeden von den Mitgliedstaaten neu ausgestellten Personalausweis Fingerabdrücke des Inhabers auf einem hochsicheren Speichermedium aufzunehmen.

Im November 2021 stellte ein deutscher Staatsbürger bei der Landeshauptstadt Wiesbaden (Deutschland) einen Antrag auf Ausstellung eines neuen Personalausweises. In seinem Antrag ersuchte er ausdrücklich darum, diesen Ausweis ohne die Aufnahme von Fingerabdrücken im Chip des Ausweises auszustellen.

Die Landeshauptstadt Wiesbaden lehnte diesen Antrag u. a. mit der Begründung ab, dass der Personalausweis nicht ohne ein Abbild von Fingerabdrücken des Inhabers ausgestellt werden könne, da seit dem 2. August 2021 die Verpflichtung bestehe, ein Fingerabdruckbild im Chip neuer Personalausweise zu speichern.

Das in diesem Zusammenhang angerufene Verwaltungsgericht Wiesbaden hegt Zweifel an der Gültigkeit der Verordnung 2019/1157 und demzufolge an dem verpflichtenden Charakter der Erfassung und Speicherung von Fingerabdrücken in deutschen Personalausweisen. Das Verwaltungsgericht Wiesbaden möchte insbesondere wissen, erstens, ob die richtige Rechtsgrundlage für den Erlass der Verordnung 2019/1157 Art. 21 Abs. 2 AEUV oder nicht vielmehr Art. 77 Abs. 3 AEUV gewesen sei, zweitens, ob die Verordnung 2019/1157 mit den Art. 7 und 8 der Charta in Verbindung mit deren Art. 52 Abs. 1 vereinbar sei und, drittens, ob diese Verordnung mit der Verpflichtung zur Durchführung einer Datenschutz-Folgenabschätzung gemäß Art. 35 Abs. 10 der Datenschutz-Grundverordnung im Einklang stehe.

In ihren Schlussanträgen vom heutigen Tag kommt Generalanwältin Laila Medina zunächst zu dem Ergebnis, dass die Verordnung 2019/1157 zu Recht auf der Grundlage von Art. 21 Abs. 2 AEUV erlassen worden sei, um die Ausübung des Rechts der Unionbürger, sich in den Mitgliedstaaten frei zu bewegen und aufzuhalten, zu erleichtern.

In diesem Zusammenhang stellt sie fest, dass dieses Recht es den Unionsbürgern ermögliche, am Alltagsleben der anderen Einwohner des Aufnahmemitgliedstaats teilzuhaben. Die nationalen Personalausweise hätten somit die gleichen Funktionen wie die Personalausweise der Gebietsansässigen, was bedeute, dass nur ein zuverlässiger und authentischer Identitätsnachweis die uneingeschränkte Inanspruchnahme der Freizügigkeit erleichtere.

Die Vereinheitlichung des Formats der Personalausweise und die Verbesserung ihrer Zuverlässigkeit durch Sicherheitsstandards, einschließlich digitaler Fingerabdrücke, wirkten sich unmittelbar auf die Ausübung dieses Rechts aus, indem sie diese Ausweise vertrauenswürdiger machten und damit die Akzeptanz bei den Behörden der Mitgliedstaaten und den Dienstleistern stärkten. Letztendlich bedeute dies eine Verringerung der Unannehmlichkeiten, Kosten und administrativen Hindernisse für mobile Unionsbürger.

Schließlich ist sie der Auffassung, dass die dem Rat durch Art. 77 Abs. 3 AEUV verliehene Zuständigkeit dahin zu verstehen sei, dass sie sich ausschließlich auf den Kontext der Grenzkontrollpolitik beziehe. Eine Unionsmaßnahme, die über diesen spezifischen Zusammenhang hinausgehe, wie dies bei der Verordnung 2019/1157 der Fall sei, falle nicht in den Anwendungsbereich dieser Bestimmung.

Die Generalanwältin wendet sich dann der Prüfung zu, ob die Verpflichtung, ein Abbild von zwei Fingerabdrücken zu erfassen und in Personalausweisen zu speichern, eine nicht gerechtfertigte Einschränkung des Grundrechts auf Achtung des Privatlebens im Hinblick auf die Verarbeitung personenbezogener Daten darstelle.

Die Verordnung 2019/1157, die Maßnahmen einführe, die den vom Gerichtshof im Urteil Schwarz in Bezug auf Reisepässe geprüften vergleichbar seien, stelle eine Einschränkung der von den Art. 7 und 8 gewährleisteten Rechte dar. Daher sei zu prüfen, ob diese Verarbeitung auf der Grundlage von Art. 52 Abs. 1 der Charta gerechtfertigt werden könne.

Zur Frage, ob die sich aus der Verordnung 2019/1157 ergebenden Einschränkungen einer dem Gemeinwohl dienenden Zielsetzung entsprechen, vertritt die Generalanwältin die Auffassung, dass, da die fehlende Einheitlichkeit der Formate und Sicherheitsmerkmale der nationalen Personalausweise die Gefahr von Fälschungen und Dokumentenbetrug erhöhe, die von der Verordnung 2019/1157 eingeführten Einschränkungen, die diese Gefahr bekämpfen und damit die Akzeptanz solcher Ausweise fördern sollten, eine solche Zielsetzung verfolgten.

Sie ist außerdem der Ansicht, dass diese Einschränkungen geeignet und erforderlich seien und nicht über das hinausgingen, was zur Erreichung des Hauptziels dieser Verordnung absolut notwendig sei. Insbesondere scheine es keine im Vergleich zur Abnahme und Speicherung von Fingerabdrücken gleichermaßen geeignete, aber weniger in die Privatsphäre eingreifende Methode zu geben, um das Ziel der Verordnung 2019/1157 auf ähnlich wirksame Weise zu erreichen. Darüber hinaus biete die Verordnung 2019/1157 hinreichende und geeignete Maßnahmen, die sicherstellten, dass die Erfassung, Speicherung und Verwendung biometrischer Identifikatoren wirksam vor Missbrauch oder Fehlgebrauch geschützt sei. Diese Maßnahmen garantierten, dass in einem neu ausgestellten Ausweis gespeicherte biometrische Identifikatoren nach Ausstellung dieses Ausweises ausschließlich dem Ausweisinhaber zur Verfügung stünden und dass sie nicht öffentlich zugänglich seien. Ferner enthalte die Verordnung 2019/1157 keine Rechtsgrundlage für die Einrichtung oder Aufrechterhaltung nationaler Datenbanken oder einer zentralen Datenbank auf der Ebene der Europäischen Union.

Was schließlich die Frage angeht, ob die Verordnung 2019/1157 mit der Verpflichtung zur Durchführung einer Datenschutz-Folgenabschätzung nach Art. 35 Abs. 10 DSGVO im Einklang stehe, weist die Generalanwältin darauf hin, dass die DSGVO und die Verordnung 2019/117 Rechtsakte des Sekundärrechts seien, die in der Hierarchie der Quellen des Unionsrechts gleichrangig seien. Außerdem ergebe sich aus der DSGVO an keiner Stelle, dass die Verpflichtung zur Durchführung einer Folgenabschätzung, wie sie in Art. 35 Abs. 1 DSGVO vorgesehen ist, für den Unionsgesetzgeber verbindlich sei, noch lege diese Bestimmung irgendein Kriterium fest, anhand dessen die Gültigkeit einer anderen sekundärrechtlichen Rechtsvorschrift der Europäischen Union zu beurteilen wäre. Die Generalanwältin ist daher der Ansicht, dass das Europäische Parlament und der Rat in dem Gesetzgebungsverfahren, das zum Erlass der Verordnung 2019/1157 geführt habe, nicht zur Durchführung einer Folgenabschätzung verpflichtet gewesen seien.


Die vollständigen Schlussanträge finden Sie hier:

BMDV: Entwurf der Einwilligungsverwaltungs-Verordnung (EinwVO) nach § 26 Abs. 2 TTDSG - Einwilligung zum Speichern von Informationen nach § 25 Abs.1 TTDSG

Das BMDV hat am 01.06.2023 die Beteiligung von Ländern, kommunalen Spitzenverbänden, Fachkreisen und Verbänden zum Entwurf der Einwilligungsverwaltungs-Verordnung (EinwVO) nach § 26 Abs. 2 TTDSG - Einwilligung zum Speichern von Informationen nach § 25 Abs.1 TTDSG eingeleitet.

Aus dem Entwurf:
A. Problem und Ziel § 26 Absatz 1 des Telekommunikation-Telemedien-Datenschutz-Gesetzes (TTDSG) bestimmt, dass eine zuständige unabhängige Stelle Dienste anerkennen kann, die nutzerfreundliche und wettbewerbskonforme Verfahren bereitstellen, um die nach § 25 Absatz 1 TTDSG erforderliche Einwilligung von Endnutzern zu verwalten.

Viele Anbieter von Telemedien greifen auf die Endeinrichtungen der Endnutzer zu, um hier Informationen zu speichern oder bereits gespeicherte Informationen abzurufen. Dies geschieht häufig durch den Einsatz von Cookies. Anhand der im Cookie gespeicherten Informationen kann der Webserver u. a. den Endnutzer wiedererkennen, benutzerspezifische Einstellungen wiederherstellen, Reichweitenmessungen vornehmen, Aktivitäten nachverfolgen (sog. Tracking) oder individuelle Werbung einblenden. Nach § 25 Absatz 1 TTDSG dürfen Anbieter von Telemedien nur dann Informationen in der Endeinrichtung des Endnutzers speichern oder auf dort bereits gespeicherte Informationen zugreifen, wenn der Endnutzer nach Maßgabe der Verordnung (EU) 216/679 eingewilligt hat. Eine Ausnahme vom Einwilligungserfordernis in Cookies besteht nach § 25 Absatz 2 TTDSG nur, wenn der alleinige Zweck hierfür die Durchführung der Übertragung einer Nachricht über ein öffentliches Telekommunikationsnetz ist oder ein Cookie unbedingt erforderlich ist, damit der Anbieter eines Telemediendienstes einen vom Nutzer ausdrücklich gewünschten Telemediendienst zur Verfügung stellen kann. Für das Erfordernis einer Einwilligung nach § 25 Absatz 1 TTDSG kommt es nicht darauf an, ob personenbezogene Daten verarbeitet werden. Die Möglichkeiten der Verordnung (EU) 216/679, Daten ohne Einwilligung zu verarbeiten, finden hier keine Anwendung. Deshalb müssen Anbieter von Telemedien die Endnutzer bei jeder Inanspruchnahme ihres Dienstes nach den Einwilligungen der Endnutzer in die unterschiedlichen Arten von Cookies fragen. In der Praxis erfolgt dies häufig mittels sogenannter Cookie-Einwilligungs-Banner.

Anerkannte Dienste zur Einwilligungsverwaltung sollen eine anwenderfreundliche Alternative zu der Vielzahl zu treffender Einzelentscheidungen für Endnutzer schaffen. Sie verwalten die vom Endnutzer getroffenen Entscheidungen, ob sie eine Einwilligung nach § 25 Absatz 1 TTDSG gegenüber einem Anbieter von Telemedien erteilen oder nicht, und übermitteln die Entscheidung an den Anbieter von Telemedien, wenn dieser sie nachfragt. Bekommen die Anbieter von Telemedien die Einstellungen des Endnutzers zur Einwilligung auf diese Weise übermittelt, sind sie nicht mehr auf eine eigene Abfrage der Einwilligung nach § 25 Absatz 1 TTDSG angewiesen.

§ 26 Absatz 2 TTDSG ermächtigt die Bundesregierung, durch Rechtsverordnung zu regeln:

- die Anforderungen an die Nutzerfreundlichkeit und Wettbewerbskonformität, die ein Dienst zu Einwilligungsverwaltung erfüllen muss, um anerkannt werden zu können,
- das Anerkennungsverfahren und
- die technischen und organisatorischen Maßnahmen, die Software zum Abrufen und Darstellen von Informationen aus dem Internet und Anbietern von Telemedien ergreifen können, damit diese die Einstellungen, die ein Endnutzer über einen anerkannten Dienst zur Einwilligungsverwaltung vornimmt, befolgen und sie die Einbindung des anerkannten Dienstes bei der Abfrage der Einwilligung nach § 25 TTDSG berücksichtigen.

Mit dieser Verordnung soll diese Ermächtigung umgesetzt werden.

B. Lösung
Die EinwV regelt die erforderlichen Anforderungen für nutzerfreundliche und wettbewerbskonforme Verfahren zur Verwaltung der von den Endnutzern erteilten Einwilligungen nach § 25 Absatz 1 TTDSG. Durch die Einbindung eines anerkannten Dienstes zur Einwilligungsverwaltung wird den Endnutzern ein transparentes Werkzeug zur Verfügung gestellt, durch das sie Einstellungen zur Einwilligung vornehmen, jederzeit nachvollziehen und überprüfen können. Die Anerkennung durch eine zuständige Stelle soll für die Endnutzer und Anbieter von Telemedien einen Anreiz bieten, solche Dienste zur Einwilligungsverwaltung zu nutzen und das Vertrauen in ein rechtssicheres Verfahren stärken. Für Anbieter von Telemedien bietet dieses Verfahren eine Möglichkeit, die Einwilligungen nach § 25 Absatz 1 TTDSG nutzerfreundlich zu erfragen, ohne die Inanspruchnahme ihres Dienstes durch die Einblendung eines Cookie-Einwilligungs-Banner stören zu müssen.



EuGH-Generalanwalt: Unmittelbare Verhängung einer Geldbuße gegen juristische Person nach Art. 83 Abs. 4-6 DSGVO möglich - § 30 OWiG gilt nicht

EuGH-Generalanwalt
Schlussanträge vom
C-807/21


Der EuGH-Generalanwalt kommt in seinen Schlussanträge zu dem Ergebnis, dass die unmittelbare Verhängung einer Geldbuße gegen juristische Person nach Art. 83 Abs. 4-6 DSGVO möglich ist. § 30 OWiG greift insoweit nicht.

Das Ergebnis der Schlussanträge:
Nach alledem schlage ich dem Gerichtshof vor, dem Kammergericht Berlin (Deutschland) wie folgt zu antworten:

Art. 58 Abs. 2 Buchst. i der Verordnung (EU) 2016/679 des Europäischen Parlaments und des Rates vom 27. April 2016 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten, zum freien Datenverkehr und zur Aufhebung der Richtlinie 95/46/EG (Datenschutz-Grundverordnung) in Verbindung mit Art. 4 Nr. 7 und Art. 83 dieser Verordnung

ist dahin auszulegen, dass

die Verhängung einer Geldbuße gegen eine juristische Person, die für die Verarbeitung personenbezogener Daten verantwortlich ist, nicht von der vorherigen Feststellung eines Verstoßes durch eine oder mehrere individualisierte natürliche Person(en), die im Dienst dieser juristischen Person stehen, abhängt.

Die Verwaltungsgeldbußen, die gemäß der Verordnung 2016/679 verhängt werden können, setzen voraus, dass festgestellt wird, dass das den geahndeten Verstoß begründende Verhalten vorsätzlich oder fahrlässig war.


Die vollständigen Schlussanträge finden Sie hier:

BGH: Aussetzung des Verfahrens hinsichtlich Löschung der Restschuldbefreiung aus Schufa-Datenbank bis EuGH Vorgaben der DSGVO geklärt hat

BGH
Beschluss vom 27.03.2023
VI ZR 225/21


Der BGH hat das Verfahren hinsichtlich der Frist zur Löschung der Restschuldbefreiung aus der Schufa-Datenbank ausgesetzt, bis der EuGH in einem anderen Verfahren die streitrelaventen Vorgaben der DSGVO geklärt hat.

Die Pressemitteilung des BGH:
Aussetzung des Verfahrens in Sachen VI ZR 225/21 (Löschung der Eintragung über die Erteilung der Restschuldbefreiung im Insolvenzverfahren in einer Datenbank der Schufa)

Der unter anderem für Ansprüche nach der EU-Datenschutzgrundverordnung und dem Bundesdatenschutzgesetz zuständige VI. Zivilsenat des Bundesgerichtshofes hat darüber zu entscheiden, ob ein Schuldner, dem vom Insolvenzgericht Restschuldbefreiung erteilt worden ist, von der Schufa die Löschung dieser Information in ihrer Datenbank grundsätzlich oder jedenfalls dann verlangen kann, wenn die Frist für die Speicherung dieser Information im öffentlichen bundesweiten Insolvenzportal abgelaufen ist (vgl. im Einzelnen Pressemitteilung Nr. 26/2023 vom 9.2.2023).

Mit Beschluss vom heutigen Tag hat der VI. Zivilsenat das Verfahren bis zu der Entscheidung des Gerichtshofs der Europäischen Union in den dort anhängigen (verbundenen) Verfahren C-26/22 und C-64/22 ausgesetzt.

Vorinstanzen:

LG Kiel - 2 O 10/21 – Urteil vom 12. Februar 2021

OLG Schleswig - 17 U 15/21 – Urteil vom 2. Juli 2021


BMDV: Referentenentwurf der Einwilligungsverwaltungs-Verordnung (EinwVO) nach § 26 Abs. 2 TTDSG - Einwilligung für Speichern von Informationen nach § 25 Abs.1 TTDSG

Das BMDV hat den Referentenentwurf der Einwilligungsverwaltungs-Verordnung (EinwVO) nach § 26 Abs. 2 TTDSG vorgelegt.

Aus dem Entwurf:
A. Problem und Ziel
In § 26 Telekommunikation-Telemedien-Datenschutzgesetz (TTDSG) wurde ein Rechtsrahmen für die Anerkennung von Diensten geschaffen, die nutzerfreundliche und wettbewerbskonforme Verfahren zur Einholung und Verwaltung der nach § 25 Absatz 1 TTDSG erforderlichen Einwilligung in das Speichern von Informationen auf Endeinrichtungen der Endnutzer oder in den Abruf von Informationen, die bereits auf Endeinrichtungen gespeichert sind, ermöglichen. Unabhängige Dienste zur Einwilligungsverwaltung sollen es den Endnutzern unter Mitwirkung von Software zum Abrufen und Darstellen von Informationen aus dem Internet (in der Regel Browser) und der verantwortlichen Telemedienanbieter ermöglichen, über die erforderliche Einwilligung in den Zugriff auf ihre Endeinrichtungen durch Dritte in informierter Weise zu entscheiden. Vor allem geht es dabei um die Einwilligung in Cookies oder ähnliche Technologien, die von Telemedienanbietern zum Zwecke der Ausspielung von Werbung eingesetzt werden. Ziel ist die Überwindung der derzeitigen Praxis der Telemedienanbieter, die einzelnen Einwilligungen bei jedem Besuch der Webseite mittels sog. Einwilligungs-Cookie-Banner einzuholen. Diese Praxis überfordert die meisten Endnutzer. Durch die Einbindung anerkannter Dienste zur Einwilligungsverwaltung soll für die Endnutzer eine anwenderfreundliche Alternative zur bisherigen Praxis geschaffen und die Endnutzer von vielen Einzelentscheidungen entlastet werden. § 26 Absatz 2 TTDSG ermächtigt die Bundesregierung, durch Rechtsverordnung Anforderungen an das nutzerfreundliche und wettbewerbskonforme Verfahren der Einwilligungsverwaltung und technische Anwendungen, an das Verfahren der Anerkennung von Diensten der Einwilligungsverwaltung und die technischen und organisatorischen Anforderungen an Browser-Software und Telemedienanbieter zur Befolgung von Endnutzer-Einstellungen und Berücksichtigung von anerkannten Diensten zu regeln. Mit dieser Verordnung soll diese Ermächtigung umgesetzt werden.

B. Lösung
Die Einw-VO enthält die Anforderungen, bei deren Einhaltung die Erteilung einer wirksamen Einwilligung in das Speichern von Informationen auf Endeinrichtungen sowie in den Abruf von Informationen, die auf Endeinrichtungen gespeichert sind, in nutzerfreundlicher und wettbewerbskonformer Weise möglich ist. Damit können wiederholende Aufforderungen zur Erteilung von Einwilligungen insbesondere beim Besuch von Webseiten und die damit verbundene Belastung der Endnutzer vermieden werden. Zugleich wird sichergestellt, dass Telemedienanbieter, die im Rahmen ihrer Geschäftsmodelle Einwilligungen benötigen,diese durch Dienste zur Einwilligungsverwaltung auch wirksam und nachweisbar erhalten können und nicht diskriminiert werden.


Sie finden den vollständigen Entwurf hier:
Referentenentwurf - Verordnung zur Regelung eines nutzerfreundlichen und wettbewerbskonformen Verfahrens zur Einwilligungsverwaltung, zur Anerkennung von Diensten und zu technischen und organisatorischen Maßnahmen nach § 26 Absatz 2 Telekommunikation-Telemedien-Datenschutzgesetz (Einwilligungsverwaltungs-Verordnung – EinwVO)


VG Wiesbaden legt EuGH vor: Vereinbarkeit der Speicherung des Fingerabdrucks auf Personalausweis mit DSGVO und anderen unionsrechtlichen Vorgaben

VG Wiesbaden
Beschluss vom 13.01.2022
6 K 1563/21.WI


Das VG Wiesbaden hat dem EuGH zur Entscheidung vorgelegt, ob die Speicherung des Fingerabdrucks auf dem Personalausweis mit der DSGVO und anderen unionsrechtlichen Vorgaben vereinbar ist.

Aus den Entscheidungsgründen:
1. Zur Überzeugung des Gerichts hätte für den Erlass der das besondere Gesetzgebungsverfahren des Art. 77 AEUV durchgeführt werden müssen.

Der AEUV unterscheidet in dessen Art. 289 zwischen dem ordentlichen Gesetzgebungsverfahren und den besonderen Gesetzgebungsverfahren. Die wurde auf Art. 21 Abs. 2 AEUV gestützt und auf Vorschlag der Europäischen Kommission nach Zuleitung des Entwurfs des Gesetzgebungsakts an die nationalen Parlamente, nach Stellungnahme des Europäischen Wirtschafts- und Sozialausschusses und nach Anhörung des Ausschusses der Regionen gemäß dem ordentlichen Gesetzgebungsverfahren erlassen.

Laut Art. 21 Abs. 2 AEUV können das Europäische Parlament und der Rat gemäß dem ordentlichen Gesetzgebungsverfahren Vorschriften erlassen, mit denen die Ausübung des Freizügigkeitsrechts erleichtert wird, wenn zur Erreichung dieses Ziels ein Tätigwerden der Union erforderlich erscheint und die Verträge hierfür keine Befugnisse vorsehen.

Art. 77 Abs. 3 S. 1 AEUV enthält eine weitere Kompetenznorm, die sich unter anderem auf Regelungen zu Personalausweisen bezieht. Gemäß dieser Norm kann der Rat gemäß einem besonderen Gesetzgebungsverfahren Bestimmungen betreffend Pässe, Personalausweise, Aufenthaltstitel oder diesen gleichgestellte Dokumente erlassen, sofern die Verträge hierfür anderweitig keine Befugnisse vorsehen, falls zur Erleichterung der Freizügigkeit ein Tätigwerden der Union erforderlich ist. Der Rat beschließt einstimmig nach Anhörung des Europäischen Parlaments. Durch dieses Erfordernis der Einstimmigkeit wird den Mitgliedstaaten auf diesem Gebiet ein Höchstmaß an Souveränität belassen (von der Groeben/Schwarze/Sarah Progin-Theuerkauf, 7. Aufl. 2015, AEUV Art. 77, Rn 22).

Art. 77 AEUV entspricht dem damaligen Art. 62 EGV (EG-Vertrag). Die , in deren Art. 1 Abs. 2 bestimmt ist, dass Fingerabdrücke in Reisepässen gespeichert werden, wurde damals vom Verordnungsgeber auf Art. 62 EGV gestützt. Mit Urteil vom 17.10.2013 entschied der Europäische Gerichthof, dass Art. 62 Nr. 2 Buchst. a EGV eine geeignete Rechtsgrundlage für den Erlass der , insbesondere deren Art. 1 Abs. 2, darstellte (EuGH, Urteil vom 17.10.2013 – C-291/12 –, Rn. 20; CELEX 62012CJ0291).

Die Kompetenz nach Art. 77 Abs. 3 AEUV geht Art. 21 Abs. 2 AEUV vor, da Art. 77 Abs. 3 AEUV als dem Inhalt nach speziellere Vorschrift höhere Anforderungen an das Gesetzgebungsverfahren stellt (Schwarze/Becker/Hatje/Schoo, EU-Kommentar, AEUV Art. 77 Rn. 20, beck-online) und Art. 21 Abs. 2 AEUV nur dann einschlägig ist, wenn die Verträge für das Erreichen des Ziels der Förderung der Freizügigkeit keine anderen Befugnisse vorsehen. Die bezieht sich zwar nicht auf die Weiterentwicklung des Schengen-Besitzstandes, intendiert aber wie die die Angleichung der Sicherheitsmerkmale und die Aufnahme biometrischer Identifikatoren als wichtigen Schritt zur Verwendung neuer Elemente im Hinblick auf künftige Entwicklungen auf europäischer Ebene. Hierdurch soll wie bei der die Sicherheit von Dokumenten (hier: Personalausweisen statt Reisepässen) erhöht werden.

Nach alledem ist das Gericht der Auffassung, dass es für den wirksamen Erlass der – und damit auch des Art. 3 Abs. 5 dieser Verordnung – des besonderen Gesetzgebungsverfahrens nach Art. 77 Abs. 3 AEUV bedurft hätte.

2. Zudem bestehen inhaltliche Zweifel an der Vereinbarkeit der Erfassung und Speicherung von Fingerabdrücken bei Personalausweisen mit Art. 7 und 8 GrCh.

Nach Art. 7 GrCh hat jede Person das Recht auf Achtung ihres Privat- und Familienlebens, ihrer Wohnung sowie ihrer Kommunikation. Aus Art. 8 GrCh folgt das Recht jeder Person auf Schutz der sie betreffenden personenbezogenen Daten.

Bereits im Urteil vom 17.10.2013 hat der Europäische Gerichtshof festgestellt, dass die Erfassung und die Speicherung von Fingerabdrücken durch die nationalen Behörden in Reisepässen, die in Art. 1 Abs. 2 der geregelt sind, einen Eingriff in die Rechte auf Achtung des Privatlebens und auf Schutz personenbezogener Daten darstellen (EuGH, Urteil vom 17.10.2013 – C-291/12 –, Rn. 30, CELEX 62012CJ0291). Fingerabdrücke sind personenbezogene Daten, da sie objektiv unverwechselbare Informationen über natürliche Personen enthalten und deren genaue Identifizierung ermöglichen (EuGH, Urteil vom 17.10.2013 – C-291/12 –, Rn. 27, CELEX 62012CJ0291, unter Verweis auf EGMR, Urteil vom 04.12.2008, S. und Marper/Vereinigtes Königreich, Reports of judgments and decisions 2008-V, S. 213, §§ 68 und 84). Dieselben Grundrechte sind auch bei der Erfassung und Speicherung von Fingerabdrücken bei Personalausweisen betroffen.

Das Gericht hat Zweifel daran, ob die Erfassung der Fingerabdrücke und damit ein Eingriff in Art. 7 und 8 GrCh auch bei Personalausweisen gerechtfertigt ist.

Nach Art. 52 GrCh muss jede Einschränkung der Ausübung der in dieser Charta anerkannten Rechte und Freiheiten gesetzlich vorgesehen sein und den Wesensgehalt dieser Rechte und Freiheiten achten. Unter Wahrung des Grundsatzes der Verhältnismäßigkeit dürfen Einschränkungen nur vorgenommen werden, wenn sie erforderlich sind und den von der Union anerkannten dem Gemeinwohl dienenden Zielsetzungen oder den Erfordernissen des Schutzes der Rechte und Freiheiten anderer tatsächlich entsprechen.

Zudem ist in Art. 8 Abs. 2 GrCh bestimmt, dass personenbezogene Daten nur mit Einwilligung der betroffenen Person oder auf einer sonstigen gesetzlich geregelten legitimen Grundlage verarbeitet werden dürfen.

Im vorliegenden Fall liegt zur Überzeugung des Gerichts – ebenso wie der Europäische Gerichtshof zu Reisepässen entschieden hat – keine Einwilligung der einen Personalausweis beantragenden Personen in die Erfassung ihrer Fingerabdrücke vor. Jedoch bestimmt dies Art. 3 Abs. 5 als gesetzliche Regelung für alle Personalausweise.

Gemäß sind alle Deutschen verpflichtet, einen gültigen Ausweis zu besitzen, sobald sie 16 Jahre alt sind und der allgemeinen Meldepflicht unterliegen oder, ohne ihr zu unterliegen, sich überwiegend in Deutschland aufhalten. Zur Ausstellung dieses Dokuments ist die Abnahme von Fingerabdrücken damit zwingend vorgeschrieben. Da eine Personalausweispflicht besteht, kann nicht davon ausgegangen werden, dass diejenigen, die einen Personalausweis beantragen, in eine solche Datenverarbeitung eingewilligt haben (so auch EuGH, Urteil vom 17.10.2013 – C-291/12 – Rn. 31, CELEX 62012CJ0291).

Mithin bedarf es nach Art. 52 Abs. 1 GrCh einer legitimen gesetzlichen Grundlage.

Zwar ist die Aufnahme von Fingerabdrücken in Personalausweisen in Art. 3 Abs. 5 gesetzlich vorgesehen. Auch entspricht dies zumindest in Teilen den von der Union anerkannten dem Gemeinwohl dienenden Zielsetzungen.

Ausweislich der Erwägungsgründe (1), (4) und (46) dient die dazu, die Freizügigkeit zu stärken und der Fälschung von Dokumenten und der Vorspiegelung falscher Tatsachen in Bezug auf die an das Aufenthaltsrecht geknüpften Bedingungen vorzubeugen. Die Freizügigkeit schließt das Recht ein, mit einem gültigen Personalausweis oder Reisepass Mitgliedstaaten zu verlassen und in Mitgliedstaaten einzureisen, Erwägungsgrund (2). Nach Erwägungsgrund (18) dient die Aufnahme von Fingerabdrücken dazu, dass in Kombination mit dem Gesichtsbild eine zuverlässige Identifizierung des Inhabers und eine Verringerung des Betrugsrisikos erreicht werden kann.

Innerhalb der Europäischen Union kann der Personalausweis im Rahmen der Grenzüberschreitung genutzt werden. Außerdem erlauben auch Staaten, die nicht der EU angehören, die Einreise mit dem Personalausweis, so etwa insbesondere die Schweiz, Island, Norwegen, Albanien und Montenegro. Der Personalausweis wird vor diesem Hintergrund zumindest auch als Reisedokument genutzt, sodass hierdurch die Regelung auch dem Zweck dient, die illegale Einreise aus diesen Ländern zu verhindern. Dies würde eine von der Union anerkannte dem Gemeinwohl dienende Zielsetzung darstellen (EuGH, Urteil vom 17.10.2013 – C-291/12 –, Rn. 38, CELEX 62012CJ0291). Allerdings liegt der Hauptzweck des Personalausweises gerade nicht primär darin, ein Reisedokument im Schengen-Raum wie der Reisepass zu sein. Insoweit verweisen die Erwägungsgründe der zu Recht, entgegen denen in der , gerade nicht auf den Schengen-Raum als Raum der Freiheit.

Auch regelt die die Nutzung der gespeicherten biometrischen Daten nicht in diesem Sinne, wenn in Art. 11 Abs. 6 festlegt ist, dass die gespeicherten biometrischen Daten nur verwendet werden dürfen, um die Echtheit oder Identität des Inhabers zu überprüfen. Mithin lässt die offen, wie die Freizügigkeit erleichtert werden soll. Das Ziel der Verhinderung illegaler Einreise kann insoweit nicht mit der Erleichterung der Freizügigkeit gleichgesetzt werden.

Selbst wenn die Regelung eine dem Gemeinwohl dienende Zielsetzung verfolgen sollte, bestehen jedoch Zweifel daran, ob Art. 3 Abs. 5 verhältnismäßig ist. Dies wäre nur dann der Fall, wenn die Einschränkungen dieser Rechte aus der GrCh gemessen an den mit der verfolgten Zielen und damit gemessen am Zweck, die illegale Einreise von Personen in das Unionsgebiet zu verhindern und eine zuverlässige Identifizierung des Ausweisinhabers zu ermöglichen, verhältnismäßig sind. Hierfür müssen die mit dieser Verordnung eingesetzten Mittel zur Erreichung dieser Ziele geeignet sein und nicht über das dazu Erforderliche hinausgehen (EuGH, Urteil vom 17.10.2013 – C-291/12 –, Rn. 40, Rn. 38, CELEX 62012CJ0291).

Hierbei muss der Ansicht des Gerichts nach berücksichtigt werden, dass der Personalausweis in tatsächlicher und rechtlicher Hinsicht nicht mit dem Reisepass gleichgesetzt werden kann, sondern dass hinsichtlich der Verwendung dieser Dokumente deutliche Unterschiede bestehen. Dennoch werden durch Art. 3 Abs. 5 die beiden Dokumente hinsichtlich der Fingerabdrücke gleich behandelt.

Zwar kann der Personalausweis – wie oben bereits dargestellt – auch als Reisedokument verwendet werden. Dennoch unterscheiden sich Personalausweise und Reisepässe sowohl in rechtlicher, als auch praktischer Hinsicht. Selbst wenn Personalausweise auch als Reisedokumente im Freizügigkeitskontext genutzt werden, erfolgt keine routinemäßige Kontrolle zumindest bei Reisen zwischen EU-Mitgliedsstaaten. Zudem dürfte für die meisten Unionsbürger die primäre Funktion der nationalen Identitätskarte nicht mit der Freizügigkeit verknüpft sein. Personalausweise weisen nämlich über diese hinausgehende Nutzungsarten auf. So werden Personalausweise im Alltag unter anderem für Interaktionen mit den nationalen Verwaltungsbehörden oder mit privaten Dritten, wie etwa Banken oder Fluggesellschaften genutzt. Unionsbürger, die ihre Freizügigkeit ausüben wollen würden, können dies bereits mit ihrem Reisepass tun (in diesem Sinne auch: Stellungnahme des Europäischen Datenschutzbeauftragten zur geplanten Einführung der Speicherung von Fingerabdrücken in Personalausweisen vom 10.08.2018, abrufbar unter https://edps.europa.eu/sites/edp/files/publication/18-08-10_opinion_eid_en.pdf S. 10).

Zudem besteht in Deutschland eine Pflicht, einen Personalausweis zu besitzen, . Der Bürger kann im Gegensatz zum Reisepass nicht selbst entscheiden, ob er einen Personalausweis beantragt oder nicht. Auch der Europäische Datenschutzbeauftragte ist der Ansicht, dass die Aufnahme und Speicherung von Fingerabdrücken weitreichende Auswirkungen auf bis zu 370 Mio. EU-Bürger hätte, da er bei 85 % der EU-Bevölkerung die obligatorische Abnahme von Fingerabdrücken verlangen würde. Dieser breit angelegte Anwendungsbereich sowie die höchst sensiblen Daten, die verarbeitet werden (Gesichtsbilder in Kombination mit Fingerabdrücken), verlangen eine gründliche Prüfung auf der Grundlage einer strengen Prüfung der Notwendigkeit (Stellungnahme des Europäischen Datenschutzbeauftragten zur geplanten Einführung der Speicherung von Fingerabdrücken in Personalausweisen vom 10.08.2018, abrufbar unter https://edps.europa.eu/sites/edp/files/publication/18-08-10_opinion_eid_en.pdf S. 9, 10 m.w.N). Das Gericht folgt der Überlegung des Europäische Datenschutzbeauftragte, dass in Anbetracht der Unterschiede zwischen Personalausweisen und Reisepässen die Einführung von Sicherheitsmerkmalen, die für Reisepässe möglicherweise als angemessen gelten, für Personalausweise nicht automatisch gelten darf, sondern dies der Überlegung und einer gründlichen Analyse bedarf (ABl. C 338 vom 21.09.2018, S. 22). Diese fehlt vorliegend.

Das Gericht ist der Ansicht, dass sich in Kombination mit den oben geschilderten weit gefassten Verwendungsmöglichkeiten und der Vielzahl der betroffenen Unionsbürger nach eine viel höhere Eingriffsintensität im Vergleich zu Reisepässen ergibt, die im Gegenzug auch eine stärkere Rechtfertigung erfordert.

Im Rahmen der Auslegung der Art. 7 und 8 GrCh sind auch die Wertungen der DS-GVO zu berücksichtigen. Ausweislich der Erwägungsgründe (1) und (2) der DS-GVO ist der Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten ein Grundrecht. Die Grundsätze und Vorschriften zum Schutz natürlicher Personen bei der Verarbeitung ihrer personenbezogenen Daten sollten gewährleisten, dass ihre Grundrechte und Grundfreiheiten und insbesondere ihr Recht auf Schutz personenbezogener Daten ungeachtet ihrer Staatsangehörigkeit oder ihres Aufenthaltsorts gewahrt bleiben. Die DS-GVO soll zur Vollendung eines Raums der Freiheit, der Sicherheit und des Rechts und einer Wirtschaftsunion, zum wirtschaftlichen und sozialen Fortschritt, zur Stärkung und zum Zusammenwachsen der Volkswirtschaften innerhalb des Binnenmarkts sowie zum Wohlergehen natürlicher Personen beitragen.

Daktyloskopische Daten sind besondere Arten personenbezogener Daten nach Art. 9 Abs. 1 DS-GVO, nämlich biometrische Daten. Diese werden in Art. 4 Nr. 14 DS-GVO definiert als mit speziellen technischen Verfahren gewonnene personenbezogene Daten zu den physischen, physiologischen oder verhaltenstypischen Merkmalen einer natürlichen Person, die die eindeutige Identifizierung dieser natürlichen Person ermöglichen oder bestätigen, wie Gesichtsbilder oder daktyloskopische Daten. Gemäß Art. 9 Abs. 1 DS-GVO ist die Verarbeitung solcher biometrischen Daten im Grundsatz untersagt und nur in eng gefassten Ausnahmefällen zulässig.

Soweit die Fingerabdrücke in Personalausweisen aufgenommen werden sollen, um die Fälschungssicherheit zu fördern, ist festzuhalten, dass in den Jahren 2013-2017 lediglich 38.870 gefälschte Identitätskarten festgestellt worden sein sollen und seit Jahren die Nutzung gefälschter Identitätskarten abnimmt (Stellungnahme des Europäischen Datenschutzbeauftragten zur geplanten Einführung der Speicherung von Fingerabdrücken in Personalausweisen vom 10.08.2018, abrufbar unter https://edps.europa.eu/sites/edp/files/publication/18-08-10_opinion_eid_en.pdf,S.11).

Es ist bereits nicht hinreichend deutlich, ob die Aufnahme von Fingerabdrücken die Sicherheit vor Fälschungen tatsächlich zu fördern vermag. Eine Übereinstimmung der biometrischen Daten, die auf dem Chip des Personalausweises gespeichert sind mit den Fingerabdrücken des Besitzers des Ausweises bestätigt lediglich, dass das Dokument zum Besitzer gehört. Aus der Übereinstimmung an sich folgt noch kein Nachweis der Identität, solange nicht der Personalausweis selbst als echt festgestellt wurde. Zwar ist anerkannt, dass die Nutzung biometrischer Daten die Wahrscheinlichkeit der erfolgreichen Fälschung eines Dokumentes reduziert, so dass die Aufnahme von Fingerabdrücken zumindest teilweise den Zweck fördern kann (Stellungnahme des Europäischen Datenschutzbeauftragten zur geplanten Einführung der Speicherung von Fingerabdrücken in Personalausweisen vom 10.08.2018, abrufbar unter https://edps.europa.eu/sites/edp/files/publication/18-08-10_opinion_eid_en.pdf S. 13).

Ob jedoch diese Möglichkeit den weitreichenden Eingriff zu rechtfertigen vermag, erscheint höchst fraglich, zumal auch ein Personalausweis mit defektem Chip entgegen der nach nationalem Recht weiterhin gültig ist. Hierzu führt das Bundesamt für Sicherheit in der Informationstechnik aus, dass "ein Ausweis mit funktionsunfähigem Chip seine Gültigkeit [behält], auch wenn der integrierte Chip erkennbar defekt ist. Die Sicherheit als Ausweisdokument ist durch die physischen Sicherheitsmerkmale gegeben" (https://www.bsi.bund.de/DE/Themen/ Verbraucherinnen-und-Verbraucher/Informationen-und-Empfehlungen/Digitale-Verwaltung/Online-Ausweisfunktion/FAQ-Online-Ausweisfunktion/faq-online-ausweisfunktion_node.html). Wenn jedoch die Sicherheit allein durch die physischen Sicherheitsmerkmale (insbesondere Mikroschriften, UV-Aufdrucke etc.) gegeben ist, stellt sich die Frage nach der Erforderlichkeit der Aufnahme von Fingerabdrücken umso deutlicher.

Auch der Europäische Datenschutzbeauftragte betonte, dass Sicherheitsmaßnahmen bezogen auf den Druck des Dokuments, wie etwa die Verwendung von Hologrammen oder Wassermarken, eine deutlich geringere Eingriffsintensität hätten. Diese Methoden würden keine Verarbeitung von personenbezogenen Daten beinhalten, wären jedoch auch dazu in der Lage, die Fälschung von Ausweisdokumenten zu verhindern und die Authentizität eines Dokuments zu verifizieren (Stellungnahme des Europäischen Datenschutzbeauftragten zur geplanten Einführung der Speicherung von Fingerabdrücken in Personalausweisen vom 10.08.2018, abrufbar unter https://edps.europa.eu/sites/edp/files/publication/18-08-10_opinion_eid_en.pdf S. 16).

In diesem Rahmen ist auch eines der wichtigsten Prinzipien des europäischen Datenschutzrechts zu beachten: Das Prinzip der Datenminimierung bzw. Datensparsamkeit. Hiernach muss die Erhebung und Nutzung von persönlichen Daten verhältnismäßig und erforderlich, sowie auf das für die Zwecke der Verarbeitung notwendige Maß beschränkt sein.

Sollte es nötig sein, Fingerabdrücke zu erfassen, stellt sich auch die Frage, warum es der Ablichtung des gesamten Abdrucks bedarf. Hierdurch wird zwar die Interoperabilität der verschiedenen Arten der Systeme, die Fingerabdrücke erkennen können, gefördert. Diese Systeme können in drei Unterkategorien eingeteilt werden. Zum einen gibt es die Systeme, die komplette Ablichtungen der Fingerabdrücke speichern und vergleichen. Andere Systeme verwenden so genannte Minuzien. Diese Minuzien beschreiben eine Teilmenge von Charakteristiken, die aus den Ablichtungen der Fingerabdrücke gewonnen werden. Die dritte Kategorie sind Systeme, die mit einzelnen Mustern, die aus Ablichtungen der Fingerabdrücke extrahiert werden, arbeiten. Falls lediglich eine Minuzie gespeichert würde, könnte ein Mitgliedstaat, der mit einem System arbeitet, das eine Ablichtung des gesamten Fingerabdrucks verwendet, diese nicht nutzen. Die Speicherung des gesamten Fingerabdrucks fördert die Interoperabilität, jedoch erhöht sie die Anzahl der gespeicherten persönlichen Daten und damit das Risiko des Identitätsdiebstahles, falls es zu einem Datenleck kommt (Stellungnahme des Europäischen Datenschutzbeauftragten zur geplanten Einführung der Speicherung von Fingerabdrücken in Personalausweisen vom 10.08.2018, abrufbar unter https://edps.europa.eu/sites/edp/files/publication/18-08-10_opinion_eid_en.pdf S. 14).

Die in den Personalausweisen verwendeten RFID-Chips lassen sich unter Umständen auch von nicht autorisierten Scannern auslesen. Dies liegt daran, dass sie über ein Funkfeld aktiviert werden und im Anschluss die Daten in verschlüsselter Form übertragen. Damit hängt die Sicherheit des Verfahrens letztlich an der Qualität der Übertragungs- und Verschlüsselungstechnologie. Gerade die Verwendung des gesamten Fingerabdrucks wirkt sich in diesem Zusammenhang risikoerhöhend aus (in diesem Zusammenhang zu elektronischen Aufenthaltstiteln: NK-AuslR/Schild, 2. Aufl. 2016, AufenthG § 78 Rn. 37).

Bei alledem ist auch zu beachten, dass es sich bei Fingerabdrücken um biometrische Daten handelt. Der Verordnungsgeber hat unter anderem durch die Einführung von Art. 9 DS-GVO gezeigt, dass diese einem besonderen Schutz unterliegen.

Selbst die verzichtet auf das "Sicherheitsmerkmal" des Fingerabdrucks bei Kindern unter 12 Jahren und befreit Kinder unter 6 Jahren vollständig von der Pflicht zur Abgabe, Art. 3 Abs. 7 . Viel wichtiger ist aber, dass bei Personen, denen eine Abnahme von Fingerabdrücken physisch nicht möglich ist (z.B. bei Adermatoglyphie), diese von der Pflicht zur Abgabe befreit sind. Wozu dann dieses Sicherheitsmerkmal noch dienen soll, bleibt in der ungeregelt und schlicht offen.

3. Der Europäische Datenschutzbeauftragte unterstreicht in seiner Stellungnahme vom 10.08.2018 ferner, dass Artikel 35 Abs. 10 DS-GVO auf die Erfassung und Verarbeitung der Fingerabdrücke Anwendung findet. Nach Artikel 35 Abs. 1 DS-GVO ist eine Datenschutz-Folgenabschätzung durchzuführen, bevor eine Verarbeitung erfolgt, die voraussichtlich ein hohes Risiko für die Rechte und Freiheiten natürlicher Personen zur Folge hat. Diese Datenschutz-Folgeabschätzung sollte sich insbesondere mit einer Beurteilung der Risiken für die Rechte und Freiheiten der betroffenen Personen sowie mit den Maßnahmen beschäftigen, mit denen gegen diese Risiken vorgegangen werden soll, wie Garantien und Sicherheitsvorkehrungen (Stellungnahme des Europäischen Datenschutzbeauftragten zur geplanten Einführung der Speicherung von Fingerabdrücken in Personalausweisen vom 10.08.2018, abrufbar unter https://edps.europa.eu/sites/edp/files/publication/18-08-10_opinion_eid_en.pdf, S. 12).

Da die Rechtsgrundlage auf Unionsrecht, dem der Verantwortliche unterliegt, beruht und da diese Rechtsvorschriften den konkreten Verarbeitungsvorgang regeln, hat die allgemeinen Folgenabschätzung im Zusammenhang mit dem Erlass dieser Rechtsgrundlage zu erfolgen (Art. 35 Abs. 10 DS-GVO). Eine solche Folgenabschätzung wäre daher bei Erlass der durchzuführen gewesen. Sie ist ausweislich der Erwägungsgründe nicht erfolgt.

Das Gericht ist, wie der Europäische Datenschutzbeauftragte in seiner Stellungnahme vom 10.08.2018, der Auffassung, dass die Folgenabschätzung die obligatorische Aufnahme sowohl von Gesichtsbildern als auch von (zwei) Fingerabdrücken in Personalausweise nicht tragen würde. Bereits in Gesetzgebungsverfahren hat der Europäische Datenschutzbeauftragte empfohlen, vor diesem Hintergrund die Notwendigkeit und Verhältnismäßigkeit der Verarbeitung biometrischer Daten (Gesichtsbild in Kombination mit Fingerabdrücken) erneut zu prüfen (ABl. C 338 vom 21.09.2018, S. 22).

Der Verordnungsgeber geht in Erwägungsgrund (40) auf diese Problematik in Bezug auf die DS-GVO nur sehr allgemein ein. Es verbleibt bei unbestimmten Aussagen, wie etwa, dass die Unionsbürger über das Speichermedium informiert werden solle und weiter präzisiert werden müsste, welche Garantien für die verarbeiteten personenbezogenen Daten sowie insbesondere für sensible Daten wie beispielsweise biometrische Identifikatoren gelten. Das Speichermedium sollte hochsicher sein, und die auf ihm gespeicherten personenbezogenen Daten sollten wirksam vor unbefugtem Zugriff geschützt sein. Es bleibt vage, was mit "hochsicher" gemeint ist und wie die Garantien und Schutzvorkehrungen ausgestaltet sein sollen. Insbesondere ist keine Abwägung mit den Risiken bei einem Datenleck des Chips und dem Eingriff in Art. 7 und 8 GrCh ersichtlich.

Es stellt sich daher die Frage, ob das Unterlassen einer verpflichtenden Risikofolgeabschätzung die Wirksamkeit einer Norm unberührt lassen kann oder nicht vielmehr bei zwingender Verpflichtung des Normgebers zur Durchführung einer Risikofolgeabschätzung sein Unterlassen zu einer Ungültigkeit der Norm führen muss. Andernfalls würde der Normgeber für sein Fehlverhalten belohnt werden.


Den Volltext der Entscheidung finden Sie hier:


KG Berlin legt EuGH Fragen zu Art. 83 Abs. 4-6 DSGVO und dem Verhältnis zu § 30 OWiG zur Entscheidung vor - Bußgeldverfahren unmittelbar gegen Unternehmen

KG Berlin
Beschluss vom 06.12.2021
3 Ws 250/21


Das KG Berlin hat dem EuGH Fragen zu Art. 83 Abs. 4-6 DSGVO und dem Verhältnis zu § 30 OWiG zur Entscheidung vorgelegt. Insbesondere geht es um die Streitfrage, ob Bußgeldverfahren unmittelbar gegen Unternehmen geführt werden können.

Die Vorlagefragen:

Dem Gerichtshof der Europäischen Union werden zur Auslegung von Art. 83 der Verord­nung (EU) 2016/679 des Europäischen Parlaments und des Rates vom 27. April 2016 zum Schutz natürlicher Personen beider Verarbeitung personenbezogener Daten, zum freien Datenverkehr und zur Aufhebung der RL 95/46/EG (Datenschutz-Grundverordnung) folgende Fragen zur Vorabentscheidung vorgelegt:

1. Ist Art. 83 Abs. 4-6 DS-GVO dahin auszulegen, dass es den Art. 101 und 102 AEUV zugeordneten funktionalen Unternehmensbegriff und das Funktionsträgerprinzip in das innerstaatliche Recht mit der Folge inkorporiert, dass unter Erweiterung des § 30 OWiG zugrundeliegenden Rechtsträgerprinzips ein Bußgeldverfahren unmittelbar gegen ein Unternehmen geführt werden kann und die Bebußung nicht der Feststellung einer durch eine natürliche und identifizierte Person, gegebenenfalls volldeliktisch, begangenen Ordnungswidrigkeit bedarf ?

2. Wenn die Frage zu 1. bejaht werden sollte ist Art. 83 Abs.4 - 6 DS-GVO dahin auszul­egen, dass das Unternehmen den durch einen Mitarbeiter vermittelten Verstoß schuldhaft begangen haben muss (vgl. Art. 23 der Verordnung (EG) Nr. 1/2003 des Rates vom 16. Dezember 2002 zur Durchführung der in den Art. 81 und 82 des Vertrags niedergelegten Wettb­werbsregeln), oder reicht für eine Bebußung des Unternehmens im Grundsatz bereits ein ihm zuzuordnender objektiver Pflichtenverstoß aus („strict liability") ?