Skip to content

VG Neustadt: Datenerhebung und Datenspeicherung durch das Statistische Landesamt Rheinland-Pfalz im Rahmen des Zensus 2022 rechtmäßig und datenschutzkonform

VG Neustadt
Beschluss vom 27.10.2022
3 L 763/22.NW


Das VG Neustadt hat entschieden, dass die Datenerhebung und Datenspeicherung durch das Statistische Landesamt Rheinland-Pfalz im Rahmen des Zensus 2022 rechtmäßig und datenschutzkonform war bzw. ist.

Die Pressemitteilung des Gerichts:
Datenerhebung im Rahmen des Zensus 2022 rechtmäßig

Das Statistische Landesamt Rheinland-Pfalz ist berechtigt, im Zuge der Gebäude- und Wohnungszählung (GWZ) im Rahmen des Zensus 2022 die im Gesetz zur Durchführung des Zensus im Jahr 2022 (ZensG 2022) näher bezeichneten, strukturellen Angaben einschließlich sog. statistischer Hilfsmerkmale zu erheben. Dies geht aus einem Beschluss des Verwaltungsgerichts Neustadt/Wstr. vom 27. Oktober 2022 hervor.

Die Antragsteller bewohnen ein Anwesen im Landkreis Kaiserslautern. Der Antragsgegner erinnerte die Antragsteller mit Schreiben vom 27. Juni 2022 an die Beantwortung und Rückleitung der Datenanforderung zur GWZ bis zum 10. Juli 2022, nachdem diese ihrer Erklärungspflicht bis zu diesem Zeitpunkt nicht nachgekommen waren. Mit der Erinnerung wurde den Antragstellern mitgeteilt, dass sie die Fragen Online beantworten oder in Papierform an einen näher bezeichneten privaten Dienstleister senden könnten, der den Papierbogen digitalisiere und zur Geheimhaltung verpflichtet sei.

Am 4. Juli 2022 legten die Antragsteller dagegen Widerspruch ein. Der Widerspruch wurde mit Widerspruchsbescheid vom 4. August 2022 zurückgewiesen. Nach Zustellung des Widerspruchsbescheids erhoben die Antragsteller am 12.9.2022 Klage und suchten um vorläufigen gerichtlichen Rechtsschutz nach, mit der Begründung, dass die einschlägigen Rechtsvorschriften des Zensusgesetzes 2022 und die dort geregelte Behandlung von Hilfsmerkmalen verfassungswidrig seien. Der wirksame Schutz digital gespeicherter Daten könne grundsätzlich nicht gewährleistet werden, eine Deanonymisierung sei nicht ausgeschlossen. Der US-amerikanische IT-Dienstleister, der in den Betrieb der Internetpräsenz „www.zensus2022.de“ eingebunden sei, könne auf technische Daten zugreifen und biete im öffentlichen Teil der Website ein Kontaktformular an, über das Nutzer Statistikämter anschreiben könnten. Hierzu seien persönliche Daten einzugeben, deren Weitergabe an unbefugte Dritte nicht ausgeschlossen werden könne. Das vertraglich zugesicherte Versprechen des Dienstleisters, Daten ausschließlich auf europäischen Servern zu verarbeiten, sei mit Blick auf den „CLOUD Act“ unzureichend. Die Einbindung des Dienstleisters sei damit zugleich unionsrechtswidrig.

Der Antrag wurde mit Beschluss der 3. Kammer vom 27. Oktober 2022 abgelehnt.

Durch die Heranziehung der Antragsteller zu den im Rahmen der GWZ im Zensus 2022 angeforderten Auskünften sei das Recht auf informationelle Selbstbestimmung nicht verletzt. Die Ausgestaltung des Zensus 2022 entspreche den Vorgaben, die das Bundesverfassungsgericht in seinem Urteil vom 19. September 2018 (Az.: 2 BvF 1/15 und 2/15) zum Zensus 2011 sowie in dem zur Volkszählung ergangenen Urteil vom 15. Dezember 1983 (Az.: 1 BvR 209/83 u.a.) gemacht habe. Die rechtlichen Schutzmechanismen des ZensG 2022 blieben dabei nicht hinter denjenigen des Zensusgesetzes 2011 zurück. Der Grundsatz der Verhältnismäßigkeit sei gewahrt. Auch unter Berücksichtigung der Fortentwicklung der statistischen Wissenschaft seien Möglichkeiten einer grundrechtsschonenderen Datenerhebung nicht ersichtlich. Verbleibende Restrisiken der Deanonymisierung und Reidentifizierung seien zwar nicht auszuschließen, als notwendige Folge einer im überwiegenden Allgemeininteresse angeordneten Statistik jedoch hinzunehmen. Die Heranziehung zur Auskunftserteilung verstoße auch nicht gegen datenschutzrechtliche Bestimmungen und sei insbesondere mit den Regelungen der Datenschutzgrundverordnung vereinbar. Das Hosting des öffentlichen Bereichs der Zensus 2022-Homepage durch einen US-amerikanischen Dienstleister stehe der Rechtmäßigkeit der Durchführung des Zensus 2022 nicht entgegen. Die Verarbeitung von Hosting-Daten durch den Dienstleister erfolge nur in europäischen Rechenzentren und unter ausschließlicher Nutzung europäisch registrierter IP-Adressen. Befragungsdaten der Auskunftspflichtigen zum Zensus seien von der Verarbeitung nicht umfasst, sondern lediglich allgemein zugängliche Metadaten, wie IP-Adresse des Abrufs, Internetbrowser, Betriebssystem oder Uhrzeit des Seitenaufrufs. Der Antragsgegner dürfe auf die vertraglichen Zusagen des Dienstleisters vertrauen. Die Einlassungen der Antragsteller zu einem denkbaren Zugriff US-amerikanischer Sicherheitsbehörden im Rahmen des sog. "CLOUD-Act" blieben spekulativ und stünden einer Datenerhebung durch den Antragsgegner auch deshalb nicht entgegen, weil das Bundesverfassungsgericht verbleibende Restrisiken trotz Anspannung aller zumutbaren Vorkehrungen als grundsätzlich notwendige Folge einer im überwiegenden Allgemeininteresse angeordneten Statistik akzeptiert habe. Überdies sei der US-amerikanische IT-Dienstleister nach Auskunft des Bundesbeauftragten für den Datenschutz aufgrund zwischenzeitlich vorgenommener Änderungen beim Aufruf des Online-Fragebogens nicht mehr eingebunden, sodass auch eine Übermittlung von Metadaten nicht mehr erfolge. Damit griffen auch die von dem EuGH (Rechtssache C-311/18 "Schrems II") geäußerten Bedenken gegen eine Übertragung personenbezogener Daten von EU-Bürgern in die Vereinigten Staaten nicht durch. Die Übermittlung der eigentlichen Befragungsdaten erfolge unter Einhaltung der Vorgaben des Zensusvorbereitungsgesetzes 2022 verschlüsselt, womit der Gefahr des Zugriffs unbefugter Dritter wirksam begegnet werde. Dabei stehe es den Antragstellern frei, den Fragebogen in Papierform einzureichen. Die hierfür zur technischen Umsetzung in Gestalt der Digitalisierung eingebundene Firma sei zur Geheimhaltung verpflichtet. Sie habe kein Datenzugriffsrecht und erbringe damit unter datenschutzrechtlichen Aspekten keine Dienstleistung, die einen intensiveren Zugriff auf Daten der Antragsteller erlaube, als beispielsweise die Beauftragung eines privaten Postunternehmens, das mit Übergabe eines Briefs jedenfalls potenziell gleichfalls Zugriff auf die darin enthaltenen Daten habe.

Gegen den Beschluss ist das Rechtsmittel der Beschwerde zum Oberverwaltungsgericht Rheinland-Pfalz zulässig.

Verwaltungsgericht Neustadt, Beschluss vom 27. Oktober 2022 – 3 L 763/22.NW



OLG Karlsruhe: US-Cloud-Anbieter bzw. deren europäische Tochterunternehmen sind nicht generell wegen fehlender DSGVO-Konformität von Vergabeverfahren auszuschließen

OLG Karlsruhe
Beschluss vom 07.09.2022
15 Verg 8/22


Das OLG Karlsruhe hat entschieden, dass US-Cloud-Anbieter bzw. deren europäische Tochterunternehmen nicht generell wegen fehlender DSGVO-Konformität von Vergabeverfahren auszuschließen sind.

Aus den Entscheidungsgründen:
b) Das Angebot der Beigeladenen ist auch nicht auszuschließen, weil ihr Angebot von den Anforderungen der Antragsgegnerinnen an Datenschutz und IT-Sicherheit abweicht.

aa) Der öffentliche Auftraggeber darf ohne Widerspruch zu § 127 Abs. 4 Satz 1 GWB grundsätzlich davon ausgehen, dass ein Bieter seine vertraglichen Zusagen erfüllen wird (OLG Düsseldorf, Beschluss vom 26.08.2018, Verg 23/18, juris Rn. 71; KG, Beschluss vom 21.11.2014, Verg 22/13, juris, Rn. 36). Erst wenn sich konkrete Anhaltspunkte dafür ergeben, dass dies zweifelhaft ist, ist der öffentliche Auftraggeber gehalten, durch Einholung ergänzender Informationen die Erfüllbarkeit des Leistungsversprechens beziehungsweise die hinreichende Leistungsfähigkeit des Bieters zu prüfen (OLG Düsseldorf, a.a.O.; KG, a.a.O.; OLG Frankfurt a.M., Beschluss vom 16.06.201, 11 Verg 3/15, juris, Rn. 82; OLG Brandenburg, Beschluss vom 20.11.2012, Verg W 10/12, juris Rn. 21).

bb) Die Vergabeunterlagen verlangten die softwaretechnische Einhaltung des beigefügten DS-GVO-Vertragsentwurfs (4.1.1. lit. c der Vergabeunterlagen). Weiter heißt es, „die Einzelheiten ergeben sich aus dem Leistungsverzeichnis und dem Lastenheft der Vergabeunterlagen.“ Im Lastenheft heißt es unter 2.8 „Erfüllung der Anforderungen aus der DS-GVO und dem BDSG, insbesondere

- Erfüllung der datenschutzrechtlichen Grundsätze, Art. 5, 25 DS-GVO (insbesondere Datenminimierung, Datenschutz durch Technikgestaltung, Datenschutz durch datenschutzfreundliche Voreinstellungen)

- Umsetzung ausreichender technischer und organisatorischer Maßnahmen (Art. 32 DS-GVO) oder anderer geeigneter Garantien (z.B. Zertifizierung nach Art. 42 DS-GVO); Möglichkeit zur Vorortprüfung des Auftragnehmers muss gegeben sein.“

Im Lastenheft weisen die Antragsgegnerinnen darauf hin, dass die Anforderungen an die Leistungen als zum Ausschluss führende A-Kriterien und bewertungsrelevante B-Kriterien ausgestaltet sind. Danach ist allein die softwaretechnische Einhaltung des DS-GVO-Vertragsentwurfs Ausschlusskriterium (Lastenheft lfd. Nr. 19), während die DS-GVO konformen softwaretechnischen Möglichkeiten zur Berechtigungssteuerung (Lastenheft lfd. Nr. 20) und die Vorgabe, wonach die Daten ausschließlich in einem EU-/EWR-Rechenzentrum verarbeitet werden, bei dem kein Subdienstleister / Konzernunternehmen in Drittstaaten ansässig ist (Lastenheft lfd. Nr. 21), als B-Kriterien ausgestaltet.

Durch die Unterzeichnung der von den Antragsgegnerinnen vorgegebenen DS-GVO-Verträgen hat die Beigeladene erklärt, die gemachten Vorgaben einzuhalten. Sie hat zudem ihre Leistungen beim Einsatz von Dienstleistern und im Bereich von Datenschutz und IT-Sicherheit im Angebot im Einzelnen näher beschrieben und hierbei ein klares und eindeutiges Leistungsversprechen abgegeben. Sie hat in diesem Zuge zugesichert, dass personenbezogene Gesundheitsdaten ausschließlich an die A. S.à.r.l., L., übermittelt werden und auch zu ihrer Verarbeitung die EU nicht verlassen, sondern nur in Deutschland verarbeitet werden. Zudem hat die Beigeladene erklärt, dass die A. S.à.r.l., L. ihr gegenüber zugesichert habe, dass alle Daten der Beigeladenen in Deutschland verarbeitet werden und in der mündlichen Verhandlung vor dem Senat zudem bestätigt, dass sie bis zur Angebotsverwirklichung sämtliche intern notwendigen Verträge mit A. schließen wird, die ihre Zusagen, wie sie im Angebot gemacht werden, umsetzen. Im Sinne einer solchen bindenden Zusicherung haben die Antragsgegnerinnen die Erklärungen der Beigeladenen in den Vergabeunterlagen auch verstanden. Auf dieses Leistungsversprechen dürfen die Antragsgegnerinnen vertrauen.

(1) Zweifel mussten die Antragsgegnerinnen nicht deshalb haben, weil A. Verträge im Allgemeinen unter Einbeziehung der A. DPA abschließt. Die A. DPA waren nicht Gegenstand des Angebots der Beigeladenen. Die Verträge mit A. waren nach den Vergabeunterlagen nicht vorzulegen und lagen dem Angebot auch nicht bei. Folglich bestand für die Antragsgegnerinnen keine Veranlassung, an den im Leistungsversprechen gemachten Zusicherungen zu zweifeln, weil die A. DPA möglicherweise datenschutzrechtliche Defizite aufweisen könnten, wie dies die Vergabekammer aufgezeigt hat oder weil deren Formulierung als dreiseitige Vereinbarung, in die auch die A. Inc., USA, einbezogen ist, Zweifel an der Einhaltung der DS-GVO begründen könnten. Aufgrund des im Angebot beschriebenen Leistungsversprechens und den abgegebenen Garantien in Bezug auf die konkrete Auftragsdurchführung können die Antragsgegnerinnen davon ausgehen, dass die Beigeladene sich hieran hält und ihre Verträge mit A. entsprechend gestaltet, ungeachtet etwaiger Bestimmungen in den als AGB ausgestalteten A. DPA. Die Beigeladene hat folglich dafür Sorge zu tragen, dass sie ihre Leistung entsprechend der abgegebenen Garantien umsetzt und durchführt.

(2) Anders als die Antragstellerin meint, musste nicht allein die Tatsache, dass die A. S.à.r.l ein Tochterunternehmen eines US-amerikanischen Konzerns ist, die Antragsgegnerinnen an der Erfüllbarkeit des Leistungsversprechens zweifeln lassen. Die Antragsgegnerinnen mussten nicht davon ausgehen, dass es aufgrund der Konzernbindung zu rechts- und vertragswidrigen Weisungen an das Tochterunternehmen kommen wird bzw. das europäische Tochterunternehmen durch seine Geschäftsführer gesetzeswidrigen Anweisungen der US-amerikanischen Muttergesellschaft Folge leisten wird.

(3) Die erstmals am Schluss der mündlichen Verhandlung vor dem Vergabesenat von der Antragstellerin erhobene Rüge, die Beigeladene setze C. ein, wobei von A. Daten in die USA übertragen würden, auch werde die IP-Adresse in die USA übertragen, was die Beigeladene bestritten hat, ist wegen des im Vergabenachprüfungsverfahren im Interesse der Auftraggeber und der Allgemeinheit an einer raschen Auftragsvergabe geltenden Beschleunigungsgrundsatzes unbeachtlich. Weshalb die Antragstellerin dies nicht hätte früher rügen können, hat sie nicht nachvollziehbar erklärt. Es ist nicht davon auszugehen, dass die Recherche besonders aufwendig war, denn es genügte eine Eingabe in die R.-APP, um diese Informationen zu erhalten, wie die Antragstellerin erklärt hat. Der behauptete Verstoß gegen die DS-GVO wegen einer Datenübermittlung in die USA war bereits Kernargument des Rügeschreibens der Antragstellerin vom 09.05.2022.

Selbst wenn man den Vortrag als zulässig erachten würde, wird das Leistungsversprechen der Beigeladenen damit nicht in Zweifel gezogen. Denn daraus lässt sich nicht schließen, dass die Verwendung von C. und die Übermittlung der IP-Adresse in die USA Teil der den Antragsgegnerinnen angebotenen Leistung ist.

(4) Da die Antragsgegnerinnen folglich nicht davon ausgehen mussten, dass die personenbezogenen Gesundheitsdaten von der Beigeladenen im Rahmen der Vertragserfüllung in ein Drittland übermittelt werden, bedurfte es der Durchführung eines Transfer Impact Assessments nicht. Dessen Fehlen stellt keine Abweichung von den Ausschreibungsbedingungen dar.

(5) Im Hinblick auf das Versprechen der Beigeladenen, dass die Daten ausschließlich in Deutschland verarbeitet werden, kommt es nicht darauf an, ob die Beigeladene begleitende organisatorische und technische Maßnahmen, insbesondere auch im Hinblick auf eine sichere Verschlüsselung, zusagte, die erforderlich sind, damit die Übermittlung von Daten in die USA im Einklang mit den Bestimmungen der DS-GVO steht.

Allerdings weist der Senat darauf hin, dass die Vergabekammer, die einen anderen rechtlichen Ansatz wählte und für die es daher für die Einhaltung der DS-GVO unter anderem auf eine effiziente Verschlüsselungstechnik ankam, die von der Beigeladenen als geheimhaltungsbedürftig gekennzeichneten Angaben nicht hätte unberücksichtigt lassen dürfen. In Fällen, in denen eine Weitergabe von Informationen zum Schutz von Geschäftsgeheimnissen eines der Beteiligten unterbleiben muss, ist dem vielmehr durch eine entsprechende Verfahrensgestaltung (wegen der Einzelheiten: BGH, Beschluss vom 31.01.2017, X ZB 10/16, juris) Rechnung zu tragen.

c) Die Antragsgegnerinnen haben nicht gegen ihre Aufklärungspflicht nach § 60 Abs. 1 VgV verstoßen. Sie haben, weil die Beigeladene im zurückversetzten Verfahren teilweise erheblich günstigere Preise anbot als im ursprünglichen Vergabeverfahren, die Preise aufgeklärt. Die Preisprüfung erstreckt sich darauf, ob der angebotene Gesamtpreis im Verhältnis zur Leistung ungewöhnlich oder unangemessen niedrig ist und zur Leistung in einem Missverhältnis steht (vgl. OLG Düsseldorf, Beschluss vom 08.06. 2016, VII-Verg 57/15, juris). Eine darauf gerichtete Preisprüfung haben die Antragsgegnerinnen vorgenommen. Die Erklärungen der Beigeladenen und die hierzu vorgelegten Unterlagen haben die Antragsgegnerinnen als zufriedenstellend bewertet und dies in den Vergabeunterlagen nachvollziehbar dargestellt und dokumentiert. Ergänzend wird zur Vermeidung von Wiederholungen auf die zutreffenden Ausführungen der Vergabekammer Bezug genommen. Folglich ist das Angebot der Beigeladenen nicht nach § 60 Abs. 3 VgV von der Wertung auszuschließen.


Den Volltext der Entscheidung finden Sie hier:


EU-Kommission und USA haben sich auf Trans-Atlantic Data Privacy Framework verständigt - Privacy-Shield-Nachfolger

EU-Kommission und USA haben sich auf ein neues Trans-Atlantic Data Privacy Framework verständigt, welches die Nachfolge des des EU-US-Privacy-Shield antreten soll (dazu: EuGH: EU-US Privacy Shield genügt nicht den Vorgaben der DSGVO und ist ungültig).

Die Pressemitteilung der EU-Kommission:

The European Commission and the United States announce that they have agreed in principle on a new Trans-Atlantic Data Privacy Framework, which will foster trans-Atlantic data flows and address the concerns raised by the Court of Justice of the European Union in the Schrems II decision of July 2020.

The new Framework marks an unprecedented commitment on the U.S. side to implement reforms that will strengthen the privacy and civil liberties protections applicable to U.S. signals intelligence activities. Under the Trans-Atlantic Data Privacy Framework, the United States is to put in place new safeguards to ensure that signals surveillance activities are necessary and proportionate in the pursuit of defined national security objectives, establish a two-level independent redress mechanism with binding authority to direct remedial measures, and enhance rigorous and layered oversight of signals intelligence activities to ensure compliance with limitations on surveillance activities.

The Trans-Atlantic Data Privacy Framework reflects more than a year of detailed negotiations between the U.S. and E.U. led by Secretary of Commerce Gina Raimondo and Commissioner for Justice Didier Reynders. It will provide a durable basis for trans-Atlantic data flows, which are critical to protecting citizens' rights and enabling trans-Atlantic commerce in all sectors of the economy, including for small and medium enterprises. By advancing cross-border data flows, the new framework will promote an inclusive digital economy in which all people can participate and in which companies of all sizes from all of our countries can thrive.

The announcement is another demonstration of the strength of the U.S.-EU relationship, in that we continue to deepen our partnership as a community of democracies to ensure both security and respect for privacy and to enable economic opportunities for our companies and citizens. The new Framework will facilitate further U.S.-EU cooperation, including through the Trade and Technology Council and through multilateral fora, such as the Organisation for Economic Cooperation and Development, on digital policies.

The teams of the U.S. Government and the European Commission will now continue their cooperation with a view to translate this arrangement into legal documents that will need to be adopted on both sides to put in place this new Trans-Atlantic Data Privacy Framework. For that purpose, these U.S. commitments will be included in an Executive Order that will form the basis of the Commission's assessment in its future adequacy decision.


Fact Sheet:

The European Commission and the United States reached an agreement in principle for a Trans-Atlantic Data Privacy Framework.

Key principles
• Based on the new framework, data will be able to flow freely and safely between the EU and participating U.S. companies

• A new set of rules and binding safeguards to limit access to data by U.S. intelligence authorities to what is necessary and proportionate to protect national security; U.S. intelligence agencies will adopt procedures to ensure effective oversight of new privacy and civil liberties standards

• A new two-tier redress system to investigate and resolve complaints of Europeans on access of data by U.S. Intelligence authorities, which includes a Data Protection Review Court

• Strong obligations for companies processing data transferred from the EU, which will continue to include the requirement to self-certify their adherence to the Principles through the U.S. Department of Commerce

• Specific monitoring and review mechanisms

Benefits of the deal

• Adequate protection of Europeans’ data transferred to the US, addressing the ruling of the European Court of Justice (Schrems II)

• Safe and secure data flows

• Durable and reliable legal basis

• Competitive digital economy and economic cooperation

• Continued data flows underpinning €900 billion in cross-border commerce every year

Next steps: The agreement in principle will now be translated into legal documents. The U.S.
commitments will be included in an Executive Order that will form the basis of a draft adequacy
decision by the Commission to put in place the new Trans-Atlantic Data Privacy Framework.



VGH Hessen: Entscheidung über Vereinbarkeit des Cookie-Consent-Tools Cookiebot mit DSGVO nicht für Eilverfahren geeignet

VGH Hessen
Beschluss vom 17.01.2022
10 B 2486/21


Der VGH Hessen hat entschieden, dass eine Entscheidung über die Vereinbarkeit des Cookie-Consent-Tools Cookiebot mit der DSGVO nicht für ein Eilverfahren geeignet ist. Das Gericht hat die Untersagungsverfügung des VG Wiesbaden aufgehoben (siehe dazu VG Wiesbaden: Verwendung des Cookie-Consent-Tools Cookiebot verstößt gegen DSGVO - Rechtswidrige Übermittlung personenbezogener Daten in die USA).

Die Entscheidungsgründen:

Die Beschwerde der Antragsgegnerin gegen den im Tenor genannten Beschluss des Verwaltungsgerichts Wiesbaden vom 1. Dezember 2021 ist zulässig. Sie ist insbesondere statthaft, soweit sich die Antragsgegnerin gegen die erlassene einstweilige Anordnung wendet. Erkennbar greift die Antragsgegnerin den Beschluss vom 1. Dezember 2021 nicht an, soweit damit das erstinstanzliche Eilverfahren teilweise eingestellt worden ist, zumal diese Entscheidung unanfechtbar ist (§ 92 Abs. 3 Satz 2 VwGO). Die so verstandene Beschwerde der Antragsgegnerin ist rechtzeitig gestellt und fristgerecht begründet worden. Der angefochtene Beschluss ist der Antragsgegnerin am Tag seines Erlasses am 1. Dezember 2021 zugestellt worden. Mit dem am 15. Dezember 2021 beim Verwaltungsgericht eingegangenen Beschwerdeschriftsatz vom selben Tag ist daher die Beschwerdefrist von zwei Wochen nach § 147 Abs. 1 Satz 1 VwGO gewahrt worden. Die Beschwerde ist mit am 3. Januar 2022, einem Montag, beim Hessischen Verwaltungsgerichtshof eingegangenem Schriftsatz vom selben Tag begründet worden, so dass auch die einmonatige Begründungsfrist des § 146 Abs. 4 Satz 4 VwGO eingehalten worden ist. Die vorgelegte Begründung genügt auch den hieran zu stellenden gesetzlichen Anforderungen.

Die Beschwerde der Beigeladenen ist ebenfalls zulässig.

Die vom Verwaltungsgericht mit Beschluss vom 14. Dezember 2021 vorgenommene Beiladung der Beigeladenen, die diese mit am 13. Dezember 2021 beim Verwaltungsgericht eingegangenem Schriftsatz vom selben Tag beantragt hatte, ist wirksam. Dies gilt ungeachtet des Umstandes, dass das Verwaltungsgericht zunächst den Schriftsatz der Beigeladenen mit dem Antrag auf Beiladung vom 13. Dezember 2021 am 14. Dezember 2021 den (bisherigen) Beteiligten übermittelt hatte mit Gelegenheit zur Stellungnahme hierzu innerhalb von zwei Tagen, jedoch noch am 14. Dezember 2021 den Beiladungsbeschluss erlassen hat, ohne die von ihm selbst gesetzte Frist abzuwarten. Auch wenn diese Vorgehensweise ungewöhnlich oder gar bedenklich erscheinen mag, ist die Beiladung nicht unwirksam. Der Beiladungsbeschluss ist mit der laut Empfangsbekenntnis (Bl. 764 der Gerichtsakte) am 14. Dezember 2021 erfolgten Zustellung wirksam geworden und zwar unabhängig davon, dass dieser Beschluss entgegen der ausdrücklichen Regelung in § 65 Abs. 4 Satz 1 VwGO den (bisherigen) Beteiligten nicht zugestellt, sondern nur einfach zur Kenntnis gebracht worden ist (vgl. Kopp/Schenke, VwGO, 27. Aufl. 2021, § 65, Rn. 25 und 35). Obwohl zum Zeitpunkt des Erlasses und der Zustellung des Beiladungsbeschlusses am 14. Dezember 2021 der die Instanz abschließende Beschluss des Verwaltungsgerichts Wiesbaden vom 1. Dezember 2021 noch am selben Tag an die (bisherigen) Beteiligten zugestellt worden war (Empfangsbekenntnisse Bl. 728a und 728b der Gerichtsakte), war das erstinstanzliche Verfahren zum Zeitpunkt des Erlasses des Beiladungsbeschlusses am 14. Dezember 2021 mangels Ablaufs der Rechtsmittelfrist noch nicht rechtskräftig abgeschlossen im Sinne von § 65 Abs. 1 VwGO. Das Verfahren war auch noch nicht im Sinne der genannten Vorschrift in der höheren Instanz anhängig. Die Beschwerde der Antragsgegnerin ist erst einen Tag später, am 15. Dezember 2021, beim Verwaltungsgericht eingegangen, so dass frühestens zu diesem Zeitpunkt der Devolutiveffekt der Rechtsmitteleinlegung eingetreten sein kann, wodurch die Zuständigkeit der höheren Instanz begründet und die bisherige Instanz beendet worden ist. Da die Beiladung nach alldem als wirksam anzusehen ist, ist hiermit die Beigeladene Beteiligte des Verfahrens geworden und gem. § 146 Abs. 1 VwGO berechtigt, Beschwerde gegen den angefochtenen Beschluss einzulegen, obwohl sie selbst bis zum Erlass dieses Beschlusses an dem Verfahren nicht beteiligt gewesen ist.

Die Rechtsmittelfrist von zwei Wochen nach § 147 Abs. 1 Satz 1 VwGO lief für die Beigeladene erst ab der zusammen mit dem Beiladungsbeschluss vom 14. Dezember 2021 erfolgter Zustellung des (hier angefochtenen) Beschlusses vom 1. Dezember 2021 an diese am 14. Dezember 2021, so dass mit dem am 19. Dezember 2021 beim Verwaltungsgericht eingegangenen Beschwerdeschriftsatz vom selben Tag die Rechtsmittelfrist gem. § 147 Abs. 1 Satz 1 VwGO durch die Beigeladene gewahrt worden ist. Die Beschwerde ist mit am 14. Januar 2022 beim Hessischen Verwaltungsgerichtshof eingegangenem Schriftsatz vom selben Tag begründet worden, so dass auch die Begründungsfrist von einem Monat (§ 146 Abs. 4 Satz 4 VwGO) eingehalten worden ist. Die Begründung entspricht auch den hieran zu stellenden Anforderungen (§ 146 Abs. 4 Satz 3 VwGO).

Randnummer5
Die Beschwerden sind auch begründet. Das Verwaltungsgericht hätte die vom Antragsteller begehrte einstweilige Anordnung nicht erlassen dürfen.

Gemäß § 146 Abs. 4 Satz 1 VwGO ist die Beschwerde gegen Beschlüsse des Verwaltungsgerichts in Verfahren des vorläufigen Rechtsschutzes unter anderem gemäß § 123 VwGO - wie im vorliegenden Fall - innerhalb eines Monats nach Bekanntgabe der Entscheidung zu begründen. Die Begründung muss nach Satz 3 der Vorschrift einen bestimmten Antrag enthalten, die Gründe darlegen, aus denen die Entscheidung abzuändern oder aufzuheben ist, und sich mit der angefochtenen Entscheidung auseinandersetzen. Gemäß § 146 Abs. 4 Satz 6 VwGO prüft das Oberverwaltungsgericht - in Hessen der Hessische Verwaltungsgerichtshof - nur die dargelegten Gründe.

Es bedarf keines abschließenden Eingehens darauf, ob dem Vorbringen der Beigeladenen zu folgen ist, der Antragsteller sei der Verpflichtung im Tenor des angefochtenen Beschlusses, innerhalb von vier Wochen Klage zum Verwaltungsgericht zu erheben, deswegen nicht hinreichend nachgekommen, weil er zwar innerhalb der Frist Klage erhoben habe, diese jedoch einen anderen Gegenstand betreffe, weil der Antragsteller im Rahmen der begehrten einstweilen Anordnung eine Unterlassung der Antragsgegnerin beantragt hatte, während er im Klageverfahren ein Handeln fordere. Damit sei der Beschluss wegen fehlender Klageerhebung unwirksam geworden, so dass er im Beschwerdeverfahren aufzuheben sei. Es bedarf auch keines Eingehens darauf, ob dem Einwand des Antragstellers zu folgen ist, aus der Begründung in der Klageschrift sei hinreichend deutlich zu erkennen, dass er von der dortigen Beklagten - der hiesigen Antragsgegnerin - ein Unterlassen begehre, und bei der Antragsfassung in der Klageschrift handele es sich insofern lediglich um einen Schreibfehler. Allerdings hat der Antragsteller dem Verwaltungsgericht zwar mitgeteilt, er begehre ein Unterlassen, jedoch keine konkrete Korrektur des Klageantrags vorgenommen.

Das Verwaltungsgericht hätte die einstweilige Anordnung bereits deswegen nicht erlassen dürfen, weil der Antragsteller einen Anordnungsgrund im Sinne von § 123 Abs. 3 VwGO i.V.m. § 920 Abs. 2 ZPO nicht glaubhaft gemacht hat. Sowohl die Antragsgegnerin als auch die Beigeladene haben im Rahmen ihres Beschwerdevorbringens geltend gemacht, der angefochtene Beschluss lasse keine Ausführungen zum Anordnungsgrund erkennen. Zudem liege ein Anordnungsgrund nicht vor, weil der Antragsteller nicht auf die Nutzung der Website der Antragsgegnerin angewiesen sei und nicht glaubhaft gemacht habe, dass ihm ohne Nutzung dieser Seite wesentliche Nachteile im Sinne von § 123 Abs. 1 Satz 2 VwGO drohten. Dieser Einwand greift durch.

Gemäß § 123 Abs. 1 Satz 2 VwGO ist eine einstweilige Anordnung zur Regelung eines vorläufigen Zustandes in Bezug auf ein streitiges Rechtsverhältnis zulässig, wenn diese Regelung, vor allem bei dauernden Rechtsverhältnissen, um wesentliche Nachteile abzuwenden oder drohende Gewalt zu verhindern oder aus anderen Gründen nötig erscheint. Gemäß § 123 Abs. 3 ZPO i.V.m. § 920 Abs. 2 ZPO sind der geltend gemachte Anspruch sowie der Anordnungsgrund glaubhaft zu machen. Anordnungsanspruch und Anordnungsgrund sind jeweils eigene Voraussetzungen für den Erlass einer einstweiligen Anordnung. Die Glaubhaftmachung eines Anordnungsanspruchs führt nicht automatisch zur Annahme auch eines Anordnungsgrundes. Für das Vorliegen eines Anordnungsgrundes ist Voraussetzung, dass es dem Antragsteller unter Berücksichtigung seiner Interessen und der öffentlichen Interessen sowie etwaiger Interessen anderer Personen nicht zumutbar ist, die Hauptsacheentscheidung abzuwarten (Hess. VGH, Beschluss vom 5. Februar 1993 – 7 TG 2479/92 –, juris; Kopp/Schenke, a. a. O., § 123 Rn. 26). Nach der Konzeption der Verwaltungsgerichtsordnung wird Rechtsschutz grundsätzlich im Klageverfahren gewährt. Nur ausnahmsweise erscheint es notwendig, bereits vor einer Entscheidung im Hauptsacheverfahren eine Regelung zu treffen, wenn dies aufgrund der in § 123 Abs. 1 VwGO genannten Umstände zwingend notwendig erscheint. Das einstweilige Anordnungsverfahren ist dabei ein eigenständiges „Sicherungsverfahren“ und kein verkürztes oder komprimiertes Hauptsacheverfahren. Die erlassene einstweilige Anordnung steht immer unter dem Vorbehalt einer anderen Entscheidung im Klageverfahren. Dabei gilt grundsätzlich das Verbot der Vorwegnahme der Hauptsache (Kopp/Schenke, a. a. O., § 123 Rn. 13ff.). Ausnahmsweise kommt die Vorwegnahme der Hauptsache im Verfahren des vorläufigen Rechtsschutzes im Betracht, wenn das Abwarten der Hauptsacheentscheidung für den Antragsteller schwere und unzumutbare, nachträglich nicht mehr zu beseitigende Nachteile zur Folge hätte, wobei dem jeweils betroffenen Grundrecht und den Erfordernissen eines effektiven Rechtsschutzes Rechnung zu tragen ist (BVerwG, Beschluss vom 26. November 2013 - 6VR 3/13 -, NVwZ-RR 2014, 558, juris, Rn. 5).

Randnummer10
Gemessen hieran hat der Antragsteller einen Anordnungsgrund nicht glaubhaft gemacht. Er begehrt mit dem Erlass einer einstweiligen Anordnung eine Regelung, die der im Klageverfahren zu erlangenden Regelung gleichkäme, so dass hierin eine jedenfalls zeitweilige Vorwegnahme der Hauptsache zu sehen ist. Die hierfür erforderliche Voraussetzung, dass ein Abwarten der Hauptsacheentscheidung zu nachträglich nicht mehr zu beseitigenden schwerwiegenden Nachteilen auf Seiten des Antragstellers führen könnte, ergibt sich aus seinen Darlegungen nicht.

In seinem Antragsschriftsatz vom 8. Juni 2021 hat der Antragsteller auf Seite 1 vorgetragen, er nutze die Website der Antragstellerin zur Information über Fachliteratur. Auf Seite 14 des Schriftsatzes hat er ausgeführt, ein Anordnungsgrund liege vor, weil die ständige und mehrfache rechtswidrige Erfassung von Surfprofilen (und Übermittlung) an unzuverlässige und undurchsichtige US-amerikanische Unternehmen des Google-Konzerns nebst weiterer Übermittlung an ungenannte Kooperationspartner einen Kontrollverlust seiner Surfprofile bedeute, der irreversibel sei, so dass ein Abwarten der Hauptsacheentscheidung nicht zumutbar sei. Bereits hieraus ergibt sich entgegen seiner Behauptung das Vorliegen eines Anordnungsgrundes nicht.

Mit der begehrten und im angefochtenen Beschluss erlassenen einstweiligen Anordnung wird eine Regelung nur für die Zukunft erreicht. Soweit bereits in der Vergangenheit bei Zugriffen des Antragstellers auf die Website der Antragsgegnerin personenbezogene Daten erfasst, gespeichert und gegebenenfalls verarbeitet und weitergegeben worden sein sollten, würde sich hieran durch die begehrte einstweilige Anordnung nichts ändern. Die Gefahr einer erneuten - eventuell rechtswidrigen - Erfassung, Speicherung und Verarbeitung von Daten des Antragstellers bestünde indessen nur dann, wenn dieser erneut auf die Website der Antragstellerin zugreift und Fragen nach der Verwendung von Cookies beantwortet. Aus seinem Vortrag ist nicht zu entnehmen, dass für ihn auch in Zukunft die Notwendigkeit besteht, auf die Website der Antragsgegnerin zuzugreifen. Er ist nicht Mitglied der Antragsgegnerin - einer Universität - so dass er auf die die Forschung und Lehre betreffenden Inhalte dieser Website nicht zugreifen muss. Zwar mag die fragliche Website auch außenstehenden Internetnutzern zur Verfügung stehen. Jedoch steht es einem Interessenten frei, ob er diese nutzt oder nicht, falls ihm damit verbundene Nutzungsmodalitäten oder dergleichen nicht zusagen und er seine persönlichen Daten als nicht hinreichend geschützt ansieht. Auch der Antragsteller kann aus diesen Gründen den Zugriff auf die Website der Antragsgegnerin unterlassen. Für die vom Antragsteller geltend gemachte Recherche nach Fachliteratur ist er nicht zwingend auf die Nutzung der Website der Antragsgegnerin angewiesen. Vielmehr stehen hierfür zahlreiche Alternativen zur Verfügung, die der Antragsteller nutzen kann. Es ist daher nicht ersichtlich, welche schweren, unzumutbaren und nachträglich nicht mehr rückgängig zu machenden Nachteile dem Antragsteller drohen sollten, wenn er zeitweilig bis zu einer rechtskräftigen Entscheidung in der Hauptsache von etwaigen Zugriffen auf die Website der Antragsgegnerin keinen Gebrauch macht, was er vermutlich auch weiterhin machen würde, sollte er im Hauptsacheverfahren unterliegen. Zutreffend macht daher die Antragsgegnerin geltend, der Antragsteller habe nicht dargelegt und glaubhaft gemacht, dass die Nutzung der Website der Antragsgegnerin für seine Berufsausübung oder sonstige Grundrechtsausübung notwendig sei. Dies gilt erst recht, wenn der Vortrag der Antragsgegnerin auf Seite 12 des Begründungsschriftsatzes zutreffen sollte, deren Richtigkeit der Antragsteller allerdings in Abrede stellt, bei Befolgung der erlassenen einstweiligen Anordnung müsse sie letztlich die Website in Gänze abschalten. Unter diesen Umständen könnte auch der Antragsteller diese nicht mehr nutzen, so dass er auch keine Vorteile aus dieser Website mehr ziehen könnte. In diesem Fall hätte er mit der erlassenen einstweiligen Anordnung nicht eine datenschutzrechtlich konforme Möglichkeit erlangt, auf die Website der Antragsgegnerin zuzugreifen, sondern hätte gar keine Möglichkeit mehr zu einem Zugriff.

Aufgrund dieser Überlegungen liegen im vorliegenden Fall auch die Voraussetzungen nicht vor, unter denen das Bundesverfassungsgericht angenommen hat, das Vorliegen eines Anordnungsgrundes sei von Verfassungs wegen durch die Rechtsweggarantie des Art. 19 Abs. 4 GG indiziert. Dies ist nach dieser Rechtsprechung nämlich nur dann der Fall, wenn zum einen eine hohe Wahrscheinlichkeit für einen Erfolg des Antragstellers im Hauptsacheverfahren angenommen werden kann, und bei Versagung des vorläufigen Rechtsschutzes die Gefahr fortschreitender Rechtsvereitelung von Grundrechtspositionen besteht (BVerfG, Kammerbeschluss vom 28. September 2009 – 1 BvR 1702/09 – juris, Rn. 24). Ohne dass Veranlassung besteht, den Grad der Wahrscheinlichkeit des Obsiegens des Antragstellers im Hauptsacheverfahren näher zu prüfen, besteht hier eine solche Gefahr fortschreitender Rechtsvereitelung nicht. Die Antragsgegnerin erfasst, speichert oder verarbeitet im vorliegenden Fall keine persönlichen Daten des Antragstellers ohne dessen Zutun, sondern allenfalls, wenn dieser bewusst und gewollt auf ihre Website zugreift. Wie bereits ausgeführt ist nicht ersichtlich, dass der Antragsteller darauf angewiesen sein könnte, ohne schwerwiegende Nachteile zu erleiden, auch in Zukunft auf die Website der Antragsgegnerin zuzugreifen, so dass es ihm zuzumuten ist, hierauf zeitweilig zu verzichten.

Die Ausführungen des Antragstellers in seinem Beschwerdeerwiderungsschriftsatz vom 5. Januar 2022 zum Vorliegen eines Anordnungsgrundes auf Seite 31 bis 35 des Schriftsatzes rechtfertigen keine andere Entscheidung. Der Antragsteller trägt auch hier nicht vor, aufgrund welcher Erwägungen er auf die Nutzung der Website der Antragsgegnerin und der hierin enthaltenen Informationen über deren Universitätsbibliothek zwingend angewiesen sein soll oder zumindest ihrer so dringend bedarf, dass für ihn bei zeitweiliger Nichtnutzung der Website erhebliche und nicht anderweitig zu behebende und nicht wiedergutzumachende Nachteile entstünden. Der Antragsteller macht vielmehr Ausführungen, die allenfalls einen Anordnungsanspruch zu begründen geeignet sind. Hieraus ergibt sich jedoch kein Anordnungsgrund, da dieser – wie oben bereits gesagt – eigene Voraussetzungen hat, die selbstständig darzulegen und zu prüfen sind.

So trägt er etwa vor, es sei daran zu erinnern, dass schon bei der Vorratsdatenspeicherung trotz der dort weniger sensiblen Datenarten der einstweilige Rechtsschutzantrag erfolgreich gewesen sei, und verweist insofern auf einen Beschluss des Bundesverfassungsgerichts vom 4. April 2008 mit dem Az. 1 BvR 256/08. In juris findet sich mit dem vom Antragsteller angegebene Aktenzeichen keine Entscheidung des Bundesverfassungsgerichts unter dem von dem Antragsteller genannten Datum 4. April 2008, jedoch ein Beschluss vom 11. März 2008, den der Antragsteller vermutlich meint. Dort hat zwar das Bundesverfassungsgericht mehreren Verfassungsbeschwerden teilweise stattgegeben. Jedoch lag dem eine andere Fallgestaltung als vorliegend zu Grunde, da die Vorratsdatenspeicherung, die Gegenstand der dortigen Entscheidung gewesen ist, erfolgte, ohne dass die eigentlichen Inhaber der gespeicherten Daten hierauf Einfluss hatten. Gleiches gilt für die vom Antragsteller aufgeführte Entscheidung des OVG Nordrhein-Westfalen (Beschluss vom 22. Juni 2017 – 13 B 238/17 -, NVwZ-RR 2018, 43, juris, Rn. 16). Antragstellerin dort war zudem ein IT-Unternehmen, das für rund 1.200 Geschäftskunden aus Deutschland und andere Mitgliedstaaten der Europäischen Union Internetdienstleistungen einschließlich Internetzugangsleistungen erbringt. Dieses Unternehmen war durch Regelungen des Telekommunikationsgesetzes zur Vorratsdatenspeicherung verpflichtet worden, wogegen es sich gewandt hatte. Dieser Verpflichtung zur Datenspeicherung konnte sich die dortige Antragstellerin somit nicht auf anderem Wege entziehen. Im vorliegenden Fall kann der Antragsteller jedoch insofern auf die Erfassung und Speicherung seiner Daten Einfluss nehmen, als er den Zugriff auf die Website der Antragsgegnerin unterlässt. Ohne einen solchen Zugriff werden seine persönlichen Daten nicht erfasst und auch nicht weitergegeben. Dass ihm ein solches Unterlassen jedenfalls für den begrenzten Zeitraum bis zu einer rechtskräftigen Entscheidung im Hauptsacheverfahren nicht möglich oder auch nur unzumutbar wäre, hat er nicht glaubhaft gemacht.

Auch der Hinweis des Antragstellers darauf, im Hinblick auf die Drittlandsübermittlung und sonstige Verarbeitung sei eine unionrechtskonforme Auslegung von § 123 VwGO und Art. 19 Abs. 4 GG geboten, weil der EuGH in einer näher bezeichneten Entscheidung dahingehend erkannt habe, dass eine Datenschutz-Aufsichtsbehörde nach Art. 58 Datenschutzgrundverordnung unzulässige Drittlandsübermittlungen unterbinden müsse, wenn die Erfordernisse der Art. 45 und 46 Datenschutzgrundverordnung nicht anderweitig sichergestellt werden könnten, greift schon deswegen nicht durch, weil eine Aufsichtsbehörde im vorliegenden Fall nicht beteiligt ist, so dass auch etwaige Pflichten einer solchen Behörde hier nicht zum Tragen kommen können. Entgegen der Annahme des Antragstellers kann auch keine Rede davon sein, dass durch fragwürdige Auslegungen deutschen Rechts die Durchsetzung des Vorrangs europäischen Verordnungsrechts in unzulässiger Weise behindert werde. Diesem Aspekt kann nämlich im Hauptsacheverfahren hinreichend Rechnung getragen werden, ohne dass es insofern einer vorläufigen Regelung in einem Verfahren einstweiligen Rechtsschutzes bedarf. Vorläufiger Rechtsschutz ist nur ausnahmsweise zu gewähren, wenn sonst ein irreparabler Rechtsverlust durch eine Hauptsacheentscheidung nicht mehr verhindert werden könnte, wie der Antragsteller selbst auf Seite 35, letzter Absatz, seines Schriftsatzes vom 5. Januar 2022 vorträgt. Dies ist jedoch hier deswegen nicht zu gewärtigen, weil nicht vorgetragen und ersichtlich ist, dass der Antragsteller notwendigerweise auf die Nutzung der Website der Antragsgegnerin angewiesen ist und hierauf auch nicht zeitweilig bis zum rechtskräftigen Abschluss des Verfahrens verzichten könnte, ohne wesentliche Nachteile zu erleiden.

Auch der Hinweis des Antragstellers darauf, der Europäische Gerichtshof habe in einer näher bezeichneten Entscheidung dahingehend erkannt, dass es einem nationalen Verfassungsgericht aufgrund des Vorrangs des Unionsrechts versagt sei, im einstweiligen Rechtsschutz jedenfalls bei anhängiger EuGH-Vorlage eine einstweilige nicht grundrechtskonforme Regelung zu treffen und den EuGH auch nur zeitweise zu präjudizieren, gebietet keine andere Entscheidung. Im vorliegenden Fall geht es nicht um eine den europarechtlichen Regelungen widersprechende Rechtslage, die vorläufig aufrechterhalten werden soll. Vielmehr ist im Streit, ob die Handlungsweise der Antragsgegnerin mit den Regelungen und Vorgaben der Datenschutzgrundverordnung in Einklang stehen und ob und in welchem Umfang sich gegebenenfalls Abwehr- oder Unterlassungsansprüche des Antragstellers ergeben können. Von der auch nur zeitweilig erfolgenden „Aufrechterhaltung entgegenstehenden nationalen Rechts“ kann daher hier keine Rede sein.

Zu Unrecht wendet sich der Antragsteller auch gegen die Auffassung der Beigeladenen, im Verfahren des vorläufigen Rechtsschutzes sei nur eine summarische Prüfung angezeigt, so dass eine komplexe Rechtslage in einem Verfahren des vorläufigen Rechtsschutzes nicht geklärt werden könne. Diese Auffassung der Beigeladenen trifft vielmehr zu. Allein der Umfang der von den Beteiligten eingereichten Schriftsätze und ihre Anlagen sowie die Vielzahl der infrage stehenden tatsächlichen und rechtlichen Fragen sprechen deutlich gegen die Geeignetheit einer Klärung in einem Verfahren des vorläufigen Rechtsschutzes. Erneut sei darauf hingewiesen, dass es sich hierbei nur um ein Sonderverfahren zur Sicherung der Rechte der Beteiligten handelt, und um kein abgekürztes Hauptsacheverfahren.

Schließlich ist auch der Hinweis des Antragstellers auf Seite 35 seines Schriftsatzes vom 5. Januar 2022, eine Regelung eines vorläufigen Zustandes sei nach § 123 Abs. 1 VwGO ausdrücklich auch schon vor Klageerhebung vorgesehen, nicht geeignet, eine für ihn günstigere Entscheidung herbeizuführen. Diese Regelung bedeutet lediglich, dass das Verwaltungsgericht bereits dann eine Sicherungsanordnung nach § 123 Abs. 1 Satz 1 VwGO oder auch eine Regelungsanordnung nach Satz 2 der Vorschrift treffen kann, wenn ein Hauptsacheverfahren noch nicht anhängig ist, so dass es an einer „Hauptsache“ im Sinne von § 123 Abs. 2 Satz 1 VwGO (noch) fehlt. Dies bedeutet jedoch nicht, dass die sonstigen spezifischen gesetzlichen Voraussetzungen für den Erlass einer einstweiligen Anordnung unbeachtet gelassen werden könnten. Vielmehr kann eine einstweilige Anordnung nur unter den mit Absicht und zu Recht sehr enggefassten gesetzlichen Voraussetzungen des § 123 Abs. 1 VwGO ergehen, die nach den obigen Ausführungen hier nicht erkennbar sind und sich insbesondere nicht aus dem Vortrag des Antragstellers ergeben.

Auf die zulässigen Beschwerden ist daher der angefochtene Beschluss aufzuheben, ohne dass es eines Eingehens auf die übrigen Einwendungen der Antragsgegnerin und der Beigeladenen bedarf. Dabei sind allerdings die Einstellungsentscheidung in Satz 1 des Tenors sowie die Streitwertfestsetzung im letzten Satz des Tenors hiervon auszunehmen. Die Anträge der Antragsgegnerin und der Beigeladenen auf Aussetzung der Vollziehung des angefochtenen Beschlusses sind damit ebenfalls erledigt.

Über die Kosten des Verfahrens beider Rechtszüge ist hier zu entscheiden (§ 161 Abs. 1 VwGO). Die Kosten fallen grundsätzlich nach § 154 Abs. 1 VwGO dem Antragsteller als unterliegendem Teil zur Last. Dabei ist jedoch zu berücksichtigen, dass die Einstellungsentscheidung hinsichtlich des von den (ursprünglichen) Beteiligten im Termin vor der Kammer des Verwaltungsgerichts für erledigt erklärten Teils des Verfahrens unanfechtbar ist und auch nicht angefochten worden ist. Von der Unanfechtbarkeit ist nach § 158 Abs. 2 VwGO auch die diesen Teil betreffende Kostenentscheidung umfasst. Das Verwaltungsgericht hat in den Gründen des angefochtenen Beschlusses ausgeführt, dass die Kosten des erledigten Teils dem Antragsteller zur Last fielen und die Kosten des verbliebenen Teils, der zu seinen Gunsten entschieden worden ist, der Antragsgegnerin aufzuerlegen seien. Es hat daher unter Annahme einer kostenmäßigen Gleichwertigkeit beider Teile die Kosten des Verfahrens insgesamt gegeneinander aufgehoben. Dies hat zur Folge, dass die Gerichtskosten jedem der Beteiligten zur Hälfte zur Last fallen (§ 155 Abs. 1 Satz 2 VwGO) und beide Beteiligte ihre außergerichtlichen Kosten selbst tragen. Nach der Aufhebung der erlassenen einstweiligen Anordnung hat der Antragsteller auch die hierauf entfallenden Gerichtskosten zu tragen. Gleiches gilt für die Gerichtskosten des Beschwerdeverfahrens, so dass ihm die Gerichtskosten des gesamten Verfahrens beider Instanzen aufzuerlegen sind. Die Hälfte der außergerichtlichen Kosten der Antragsgegnerin im erstinstanzlichen Verfahren müssen jedoch bei ihr verbleiben, weil insofern die Entscheidung des Verwaltungsgerichts über die gegenseitige Aufhebung der Kosten aufrechtzuerhalten ist. Dem Antragsteller können daher von den außergerichtlichen Kosten der Antragsgegnerin im erstinstanzlichen Verfahren nur die Hälfte auferlegt werden, die sich auf den hier noch streitigen Teil des erstinstanzlichen Verfahrens bezogen haben. Hingegen hat er die außergerichtlichen Kosten der Antragsgegnerin im Beschwerdeverfahren in vollem Umfang zu tragen. Die außergerichtlichen Kosten der Beigeladenen sind unter Anwendung von § 162 Abs. 3 VwGO ebenfalls dem Antragsteller aufzuerlegen, zumal sich die Beigeladene durch Einlegung des Rechtsmittels und Stellung eines Antrags selbst in ein Kostenrisiko begeben hat (§ 154 Abs. 3 Satz 1 VwGO).

Die Streitwertfestsetzung beruht auf § 47 Abs. 1 Satz 1, Abs. 2 Satz 1 i.V.m. § 53 Abs. 2 Nr. 1 und § 52 Abs. 1 und Abs. 2 GKG. Wegen der Vorläufigkeit der Entscheidung im einstweiligen Rechtsschutz ist der Auffangwert des § 52 Abs. 2 VwGO in Anlehnung an die Empfehlung in Nr. 1.5 des Streitwertkatalogs für die Verwaltungsgerichtsbarkeit um die Hälfte zu reduzieren. Im vorliegenden Beschwerdeverfahren war nur noch ein ursprünglich vom Antragsteller verfolgter Antragsteil Beschwerdegegenstand, so dass nur vom einfachen Auffangwert des § 52 Abs. 2 VwGO auszugehen und dieser zu halbieren ist.

Dieser Beschluss ist unanfechtbar (§ 152 Abs. 1 VwGO; § 68 Abs. 1 Satz 5 i.V.m. § 66 Abs. 3 Satz 3 GKG).


Den Volltext der Entscheidung finden Sie hier:

VG Wiesbaden: Verwendung des Cookie-Consent-Tools Cookiebot verstößt gegen DSGVO - Rechtswidrige Übermittlung personenbezogener Daten in die USA

VG Wiesbaden
Beschluss vom 01.12.2021
6 L 738/21.WI


Das VG Wiesbaden hat entschieden, dass die Verwendung des Cookie-Consent-Tools Cookiebot gegen die DSGVO verstößt, da eine rechtswidrige Übermittlung personenbezogener Daten in die USA erfolgt.

Hochschule RheinMain darf auf ihrer Webseite nicht den Dienst „Cookiebot“ nutzen

Gegenstand des Eilverfahrens vor dem VG Wiesbaden ist das Begehren des Antragstellers, es der Hochschule RheinMain zu untersagen, auf ihrer Webseite www.hs-rm.de den Dienst „Cookiebot“ einzubinden. „Cookiebot“ ermöglicht es, die Einwilligung der Nutzer einer Webseite in die Cookie-Verwendung einzuholen. Der Dienst überwacht die eingesetzten Cookies und blockiert solche Cookies, für die eine Zustimmung nicht erteilt wurde.

Die 6. Kammer des VG Wiesbaden hat mit Beschluss vom 01.12.2021 dem Antrag stattgegeben und der Hochschule RheinMain im Wege der einstweiligen Anordnung untersagt, den Dienst „Cookiebot“ auf ihrer Website zum Zweck des Einholens von Einwilligungen in der Weise einzubinden, dass personenbezogene oder -beziehbare Daten des Antragstellers (einschließlich dessen IP-Adresse) an Server übermittelt werden, die von einem externen Unternehmen betrieben werden.

Die Hochschule sei verpflichtet, die Einbindung des Dienstes „Cookiebot“ auf ihrer Webseite zu beenden, da diese mit der rechtswidrigen Übermittlung personenbezogener Daten der Webseitennutzer und damit insbesondere des Antragstellers einhergehe.

Es lägen personenbezogene Daten vor. Aus einer Kombination eines den Webseiten-Besucher identifizierenden Keys, der im Browser des Nutzers gespeichert werde, und der übermittelten vollständigen IP-Adresse sei der Endnutzer eindeutig identifizierbar.

„Cookiebot“ verarbeite die vollständige IP-Adresse der Endnutzer auf Servern eines Unternehmens, dessen Unternehmenszentrale sich in den USA befinde. Hierdurch entstehe ein Drittland-Bezug, nämlich zu den USA, welcher im Hinblick auf die sog. Schrems II-Entscheidung des Europäischen Gerichtshofs so unzulässig sei. Die Nutzer der Webseite der Hochschule würden nicht um ihre Einwilligung für eine Datenübermittlung in die USA gebeten werden. Es fände auch keine Unterrichtung über die mit der Übermittlung verbundenen möglichen Risiken durch den sog. Cloud-Act statt. Eine solche Datenübermittlung sei auch nicht für das Betreiben der Webseite der Hochschule erforderlich.

Zwar übermittle nicht die Hochschule selbst die Daten in die USA. Sie sei aber dennoch die für die Datenübermittlung verantwortliche Stelle. Sie entscheide durch das Einbinden auf ihrer Webseite darüber, dass die Erhebung und Übermittlung durch den Dienst „Cookiebot“ erfolge. Sie entscheide auch mittelbar über den Zweck der Verarbeitung, da sie in Kenntnis der Zwecke, die der eingebundene Dienst angebe, sich für oder gegen die Verwendung entscheiden könne. Hiergegen spreche auch nicht, dass sie für nachfolgende Vorgänge, wie der Verwendung der Daten durch den Dienst, nicht mehr verantwortlich sei.

Gegen den Beschluss (Az.: 6 L 738/21.WI) kann die Antragsgegnerin binnen zwei Wochen Beschwerde erheben, über die der Hessische Verwaltungsgerichtshof in Kassel zu entscheiden hätte.

Anhang:
Artikel 44 DS-GVO (Verordnung (EU) 2016/679 des Europäische Parlaments und des Rates vom 27. April 2016 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten, zum freien Datenverkehr und zur Aufhebung der Richtlinie 95/46/EG – Datenschutz-Grundverordnung)

Allgemeine Grundsätze der Datenübermittlung
Jedwede Übermittlung personenbezogener Daten, die bereits verarbeitet werden oder nach ihrer Übermittlung an ein Drittland oder eine internationale Organisation verarbeitet werden sollen, ist nur zulässig, wenn der Verantwortliche und der Auftragsverarbeiter die in diesem Kapitel niedergelegten Bedingungen einhalten und auch die sonstigen Bestimmungen dieser Verordnung eingehalten werden; […]

Art. 48 DS-GVO – Nach dem Unionsrecht nicht zulässige Übermittlung oder Offenlegung
Jegliches Urteil eines Gerichts eines Drittlands und jegliche Entscheidung einer Verwaltungsbehörde eines Drittlands, mit denen von einem Verantwortlichen oder einem Auftragsverarbeiter die Übermittlung oder Offenlegung personenbezogener Daten verlangt wird, dürfen unbeschadet anderer Gründe für die Übermittlung gemäß diesem Kapitel jedenfalls nur dann anerkannt oder vollstreckbar werden, wenn sie auf eine in Kraft befindliche internationale Übereinkunft wie etwa ein Rechtshilfeabkommen zwischen dem ersuchenden Drittland und der Union oder einem Mitgliedstaat gestützt sind.

Art 49 DS-GVO – Ausnahmen für bestimmte Fälle
[1] Falls weder ein Angemessenheitsbeschluss nach Artikel 45 Absatz 3 vorliegt noch geeignete Garantien nach Artikel 46, einschließlich verbindlicher interner Datenschutzvorschriften, bestehen, ist eine Übermittlung oder eine Reihe von Übermittlungen personenbezogener Daten an ein Drittland oder an eine internationale Organisation nur unter einer der folgenden Bedingungen zulässig:

a) die betroffene Person hat in die vorgeschlagene Datenübermittlung ausdrücklich eingewilligt, nachdem sie über die für sie bestehenden möglichen Risiken derartiger Datenübermittlungen ohne Vorliegen ei
nes Angemessenheitsbeschlusses und ohne geeignete Garantien unterrichtet wurde, […]

Den Volltext der Entscheidung finden Sie hier:

Aus den Entscheidungsgründen:

"VG Wiesbaden: Verwendung des Cookie-Consent-Tools Cookiebot verstößt gegen DSGVO - Rechtswidrige Übermittlung personenbezogener Daten in die USA" vollständig lesen

EU-Kommission: Angemessenheitsbeschlüsse zur Übermittlung personenbezogener Daten nach der DSGVO in das Vereinigte Königreich und zum Datenschutz bei der Strafverfolgung

Die EU-Kommission hat die Angemessenheitsbeschlüsse zur Übermittlung personenbezogener Daten nach der DSGVO in das Vereinigte Königreich und zum Datenschutz bei der Strafverfolgung angenommen:

Durchführungsbeschluss zur Angemessenheit des Schutzes personenbezogener Daten durch das Vereinigte Königreich – Datenschutz-Grundverordnung

Durchführungsbeschluss zur Angemessenheit des Schutzes personenbezogener Daten durch das Vereinigte Königreich – Polizeirichtlinie

Die Pressemitteilung der EU-Kommission:

Datenschutz: Kommission nimmt Angemessenheitsbeschlüsse zum Vereinigten Königreich an

Die Kommission hat heute zwei Angemessenheitsbeschlüsse zum Vereinigten Königreich angenommen - einen im Rahmen der Datenschutzgrundverordnung (DSGVO) und einen im Rahmen der Richtlinie zum Datenschutz bei der Strafverfolgung. Beide Beschlüsse treten heute in Kraft. Personenbezogene Daten können nun ungehindert aus der Europäischen Union in das Vereinigte Königreich fließen, wo für sie dort ein Schutzniveau gilt, das dem nach dem EU-Recht garantierten Schutzniveau der Sache nach gleichwertig ist Die beiden Angemessenheitsbeschlüsse erleichtern zudem die ordnungsgemäße Umsetzung des Handels- und Kooperationsabkommens zwischen der EU und dem Vereinigten Königreich, welches den Austausch personenbezogener Daten (beispielsweise im Rahmen der justiziellen Zusammenarbeit) vorsieht. Datenübermittlungen für die vom Vereinigten Königreich praktizierte Einwanderungskontrolle sind vom sachlichen Geltungsbereich des im Rahmen der DSGVO angenommenen Angemessenheitsbeschlusses ausgenommen. Beide Angemessenheitsbeschlüsse enthalten starke Garantien für den Fall etwaiger künftiger Abweichungen, darunter eine Verfallsklausel, durch die ihre jeweilige Geltungsdauer auf vier Jahre begrenzt wird.

Věra Jourová (Vizepräsidentin für Werte und Transparenz) erklärte dazu: „Das Vereinigte Königreich ist zwar aus der EU ausgetreten, aber seine rechtlichen Bestimmungen zum Schutz personenbezogener Daten sind noch die alten. Aus diesem Grund haben wir heute diese beiden Angemessenheitsbeschlüsse angenommen. Zugleich haben wir die Bedenken, die vom Parlament, von den Mitgliedstaaten und vom Europäischen Datenschutzausschuss unter anderem hinsichtlich möglicher künftiger Abweichungen von unseren Standards im Datenschutzrahmen des Vereinigten Königreichs geäußert worden sind, sehr aufmerksam zur Kenntnis genommen. Es geht hier um ein Grundrecht der EU-Bürgerinnen und -Bürger, das wir schützen müssen. Aus diesem Grund haben wir umfangreiche Garantien vorgesehen, und falls sich auf Seiten des Vereinigten Königreichs die Gegebenheiten ändern, werden wir sofort eingreifen.“

Didier Reynders (Kommissar für Justiz) fügte hinzu: „Nach monatelanger sorgfältiger Prüfung können wir den EU-Bürgerinnen und -Bürgern heute die Gewissheit geben, dass ihre personenbezogenen Daten bei Übermittlungen in das Vereinigte Königreich geschützt sind. Dies ist ein wesentlicher Bestandteil unserer neuen Beziehungen zum Vereinigten Königreich. Er ist wichtig für einen reibungslosen Handel und eine wirksame Kriminalitätsbekämpfung. Die Kommission wird eng verfolgen, wie sich das System des Vereinigten Königreichs künftig entwickelt. Um dies zu ermöglichen und gegebenenfalls eingreifen zu können, haben wir unsere Beschlüsse verstärkt. Die EU hat die höchsten Standards auf dem Gebiet des Schutzes personenbezogener Daten, und diese dürfen nicht beeinträchtigt werden, wenn personenbezogene Daten ins Ausland übermittelt werden.“

Wichtigste Elemente der Angemessenheitsbeschlüsse

Das Datenschutzsystem des Vereinigten Königreichs basiert weiterhin auf denselben Regeln, die galten, als das Vereinigte Königreich noch Mitgliedstaat der EU war. Das Vereinigte Königreich hat die Grundsätze, Rechte und Pflichten der DSGVO und der Richtlinie zum Datenschutz bei der Strafverfolgung vollumfänglich in sein heutiges, seit dem Brexit geltendes Rechtssystem übernommen.
In Bezug auf den Zugriff auf personenbezogene Daten durch Behörden im Vereinigten Königreich (insbesondere aus Gründen der nationalen Sicherheit) sieht das System des Vereinigten Königreichs starke Garantien vor. Insbesondere die Datenerhebungen durch Nachrichtendienste unterliegen der vorherigen Genehmigung durch ein unabhängiges Rechtsorgan. Alle Maßnahmen müssen notwendig und im Hinblick auf das verfolgte Ziel verhältnismäßig sein. Wer sich unrechtmäßiger Überwachungsmaßnahmen ausgesetzt sieht, kann Klage beim Investigatory Powers Tribunal (Gericht für Ermittlungsbefugnisse) einreichen. Das Vereinigte Königreich unterliegt zudem der Rechtsprechung des Europäischen Gerichtshofs für Menschenrechte, der Europäischen Menschenrechtskonvention und dem Übereinkommen des Europarats zum Schutz des Menschen bei der automatischen Verarbeitung personenbezogener Daten, dem einzigen verbindlichen internationalen Übereinkommen auf dem Gebiet des Datenschutzes. Diese völkerrechtlichen Verpflichtungen sind ein wesentlicher Bestandteil des in den beiden Angemessenheitsbeschlüssen bewerteten Rechtsrahmens.
Die Angemessenheitsbeschlüsse enthalten erstmals eine Verfallsklausel, durch die ihre Geltungsdauer strikt begrenzt wird: Beide Beschlüsse laufen vier Jahre nach ihrem Inkrafttreten aus. Danach könnten sie erneuert werden, falls das Vereinigte Königreich weiterhin ein angemessenes Datenschutzniveau sicherstellt. Während dieser vier Jahre wird die Kommission die Rechtslage im Vereinigten Königreich weiterhin im Blick behalten und jederzeit eingreifen können, falls das Vereinigte Königreich von dem derzeit bestehenden Datenschutzniveau abweicht. Sollte die Kommission beschließen, die Angemessenheitsbeschlüsse zu erneuern, würde der Annahmeprozess erneut eingeleitet.
Datenübermittlungen für die vom Vereinigten Königreich praktizierte Einwanderungskontrolle sind vom sachlichen Geltungsbereich des im Rahmen der DSGVO angenommenen Angemessenheitsbeschlusses ausgenommen, um einer unlängst ergangenen Entscheidung des Berufungsgerichts von England und Wales über die Gültigkeit und die Auslegung bestimmter Einschränkungen der Datenschutzrechte in diesem Bereich Rechnung zu tragen. Sobald diese Situation nach dem Recht des Vereinigten Königreichs geklärt ist, wird die Kommission die Notwendigkeit dieses Ausschlusses neu prüfen.
Hintergrund

Die Kommission hat am 19. Februar zwei Entwürfe von Angemessenheitsbeschlüssen veröffentlicht und das Verfahren zu ihrer Annahme eingeleitet. In den vergangenen Monaten hat die Kommission die Rechtsvorschriften und die Praktiken des Vereinigten Königreichs auf dem Gebiet des Schutzes personenbezogener Daten einschließlich der Bestimmungen über den Datenzugriff von Behörden im Vereinigten Königreich gründlich bewertet. Die Kommission stand in engem Kontakt mit dem Europäischen Datenschutzausschuss, der seine einschlägige Stellungnahme am 13. April abgegeben hat, mit dem Europäischen Parlament und mit den Mitgliedstaaten. Nach dieser gründlichen Prüfung holte die Europäische Kommission im Rahmen des sogenannten Ausschussverfahrens die Zustimmung der Vertreter der Mitgliedstaaten zu den beiden Angemessenheitsbeschlüssen ein. Die heute erfolgte, an die Zustimmung der Vertreter der Mitgliedstaaten anschließende Annahme der Beschlüsse war der letzte Schritt dieses Verfahrens. Die beiden Angemessenheitsbeschlüsse treten heute in Kraft.

Das Handels- und Kooperationsabkommen zwischen der EU und dem Vereinigten Königreich enthält eine Selbstverpflichtung der EU und des Vereinigten Königreichs zur Aufrechterhaltung hoher Datenschutzstandards. Das Abkommen sieht zudem vor, dass jede im Zuge seiner Umsetzung durchzuführende Datenübermittlung im Einklang mit den maßgeblichen Datenschutzvorschriften der übermittelnden Vertragspartei (im Falle der EU sind dies die DSGVO und die Richtlinie zum Datenschutz bei der Strafverfolgung) stehen müssen. Die Annahme der beiden einseitigen und eigenständigen Angemessenheitsbeschlüsse ist eine wichtige Maßnahme zur Sicherstellung der ordnungsgemäßen Anwendung und des reibungslosen Funktionierens des Abkommens. Das Handels- und Kooperationsabkommen zwischen der EU und dem Vereinigten Königreich sieht ferner eine bedingte Übergangsregelung vor, in deren Rahmen Daten ungehindert aus der EU in das Vereinigte Königreich übermittelt werden können. Der Übergangszeitraum endet am 30. Juni 2021.



EU-Kommission: Neue Standardvertragsklauseln für Übermittlung personenbezogener Daten an Drittländer und zwischen Verantwortlichen und Auftragsverarbeitern angenommen - scc

Die EU-Kommission hat die neuen Standardvertragsklauseln angenommen. Ob diese den strengen rechtliche Anforderungen genügen, ist nach wie vor sehr fraglich.

DURCHFÜHRUNGSBESCHLUSS DER KOMMISSION über Standardvertragsklauseln für die Übermittlung personenbezogener Daten an Drittländer gemäß der Verordnung (EU) 2016/679

Anhang des DURCHFÜHRUNGSBESCHLUSS DER KOMMISSION über Standardvertragsklauseln für die Übermittlung personenbezogener Daten an Drittländer gemäß der Verordnung (EU) 2016/679

DURCHFÜHRUNGSBESCHLUSS DER KOMMISSION über Standardvertragsklauseln zwischen Verantwortlichen und Auftragsverarbeitern gemäß Artikel 28(7) DS-GVO und Artikel 29(7) der Verordnung (EU) 2018/1725

Anhang des DURCHFÜHRUNGSBESCHLUSS DER KOMMISSION über Standardvertragsklauseln zwischen Verantwortlichen und Auftragsverarbeitern gemäß Artikel 28 (7) DS-GVO und Artikel 29(7) der Verordnung (EU) 2018/1725

Die Pressemitteilung des EU-Kommission:

European Commission adopts new tools for safe exchanges of personal data

Today, the European Commission adopted two sets of standard contractual clauses, one for use between controllers and processors and one for the transfer of personal data to third countries. They reflect new requirements under the General Data Protection Regulation (GDPR) and take into account the Schrems II judgement of the Court of Justice, ensuring a high level of data protection for citizens. These new tools will offer more legal predictability to European businesses and help, in particular, SMEs to ensure compliance with requirements for safe data transfers, while allowing data to move freely across borders, without legal barriers.

The new standard contractual clauses take into account the joint opinion of the European Data Protection Board and the European Data Protection Supervisor, feedback from stakeholders during a broad public consultation and the opinion of Member States' representatives.

Vice-President for Values and Transparency, Vera Jourová said: “In Europe, we want to remain open and allow data to flow, provided that the protection flows with it. The modernised Standard Contractual Clauses will help to achieve this objective: they offer businesses a useful tool to ensure they comply with data protection laws, both for their activities within the EU and for international transfers. This is a needed solution in the interconnected digital world where transferring data takes a click or two.”

Commissioner for Justice, Didier Reynders, said: “In our modern digital world, it is important that data can be shared with the necessary protection - inside and outside the EU. With these reinforced clauses, we are giving more safety and legal certainty to companies for data transfers. After the Schrems II ruling, it was our duty and priority to come up with user-friendly tools, which companies can fully rely on. This package will significantly help companies to comply with the GDPR.”

Main Innovations

The standard contractual clauses published today reflect new requirements under the General Data Protection Regulation and address the realities faced by modern business. Thanks to their standardisation and pre-approval, the SCCs provide companies with an easy-to-implement template. Companies know that when they use this template they meet data protection requirements.

Main innovations of the new standard contractual clauses:

Update in line with the General Data Protection Regulation (GDPR);

One single entry-point covering a broad range of transfer scenarios, instead of separate sets of clauses;
More flexibility for complex processing chains, through a ‘modular approach' and by offering the possibility for more than two parties to join and use the clauses;
Practical toolbox to comply with the Schrems II judgment; i.e. an overview of the different steps companies have to take to comply with the Schrems II judgment as well as examples of possible ‘supplementary measures', such as encryption, that companies may take if necessary
For controllers and processors that are currently using previous sets of standard contractual clauses, a transition period of 18 months is provided.

These standard contractual clauses are adopted at a moment where a number of regional organisations and third countries are developing or have issued their own standard contractual clauses on the basis of converging principles. The Commission will intensify its cooperation with these international partners to further facilitate data transfers between different regions of the world.

Background

The General Data Protection Regulation (GDPR) entered into force on 24 May 2016 and became applicable on 25 May 2018. The standard contractual clauses are standardised and pre-approved model data protection clauses that can be incorporated into contractual arrangements on a voluntary basis, providing an easy-to-implement tool to comply with data protection requirements.

The Commission can adopt standard contractual clauses for the relationship between controllers and processors, as a tool to help to demonstrate compliance with the GDPR. In addition, the Commission can adopt standard contractual clauses providing data protection safeguards for data to be transferred internationally.

On July 16, 2020, the Court of Justice confirmed the validity of the EU Standard Contractual Clauses for the transfer of personal data to processors outside the EU/EEA ("SCCs"), while invalidating the EU–U.S. Privacy Shield. Thus, the Court has ruled that international data flows under the European Union's comprehensive data protection regime, the General Data Protection Regulation (GDPR), can continue to be based on EU Standard Contractual Clauses, while also further clarifying the conditions under which they can be used.


LAG Baden-Württemberg: Keine Geldentschädigung nach Art. 82 DSGVO für Verstoß gegen DSGVO durch Datenübermittlung in USA ohne konkreten Schaden

LAG Baden-Württemberg
Urteil vom 25.2.2021
17 Sa 37/20


Das LAG Baden-Württemberg hat entschieden, dass einem Betroffenen keine Geldentschädigung nach Art. 82 DSGVO für den Verstoß gegen die Vorgaben der DSGVO durch Datenübermittlung in die USA oder ein anderes Drittland zusteht, sofern kein konkreter Schaden entstanden ist.

Aus den Entscheidungsgründen:
III. Die Klage ist unbegründet. Dem Kläger steht kein Anspruch gegen die Beklagte auf Ersatz des von ihm geltend gemachten immateriellen Schadens im Zusammenhang mit der Datenübermittlung und weitergehenden Verarbeitung von personenbezogenen Daten an bzw. bei der Konzernmutter der Beklagten in den USA nach Art. 82 DSGVO zu.

1. Nach Art. 82 Abs. 1 DSGVO hat jede Person, der wegen eines Verstoßes gegen diese Verordnung ein materieller oder immaterieller Schaden entstanden ist, Anspruch auf Schadensersatz gegen den Verantwortlichen oder gegen den Auftragsdatenverarbeiter. Jeder an einer Verarbeitung beteiligte Verantwortliche haftet für den Schaden, der durch eine nicht dieser Verordnung entsprechende Verarbeitung verursacht wurde, Art. 82 Abs. 2 Satz 1 DSGVO. Der Verantwortliche oder der Auftragsverarbeiter wird von der Haftung gemäß Absatz 2 befreit, wenn er nachweist, dass er in keinerlei Hinsicht für den Umstand, durch den der Schaden eingetreten ist, verantwortlich ist, Art. 82 Abs. 3 DSGVO. Art. 82 DSGVO normiert damit einen Schadensersatzanspruch zugunsten der von der Datenverarbeitung betroffenen Person gegen die für die Datenverarbeitung verantwortlichen Stelle für den Fall, dass die Datenverarbeitung gegen Vorgaben der Datenschutzgrundverordnung verstößt (vgl. EU-ArbR/Franzen 3. Aufl. Art. 82 DSGVO Rn. 1).

2. Die Voraussetzungen für eine Schadensersatzverpflichtung in Bezug auf einen dem Kläger zugefügten immateriellen Schaden liegen danach nicht vor. Dem Kläger oblag es dabei darzulegen, dass die Beklagte als in Anspruch genommene Person als Verantwortlicher (oder Auftragsdatenverarbeiter) an der Datenverarbeitung beteiligt war, dass die Datenverarbeitung gegen Vorschriften der Datenschutzgrundverordnung oder anderer relevanter mitgliedstaatlicher Bestimmungen verstoßen hat, und dass dieser Verstoß kausal war für einen Schaden welcher der betroffenen Person entstanden ist (vgl. EU-ArbR/Franzen Art. 82 DSGVO Rn. 15). Dies ist ihm nicht gelungen.

a) Der Kläger ist nach Art. 82 Abs. 1 DSGVO Anspruchsberechtigter. Die DSGVO enthält nach Art. 1 Abs. 1 Vorschriften zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten und zum freien Verkehr solcher Daten. Was „personenbezogene Daten“ im Sinne der Verordnung sind, bestimmt Art. 4 Abs. 1 DSGVO mit allen Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person beziehen. Anspruchsberechtigt sind damit natürliche Personen, wobei Art. 82 Abs. 1 DSGVO ausdrücklich von „jeder Person“ spricht. Nachdem personenbezogene Daten des Klägers unstreitig verarbeitet wurden, er also sogar die „betroffene Person“ iSv. Art. 4 Nr. 1 DSGVO ist, gehört der Kläger in jedem Fall zum anspruchsberechtigten Personenkreis.

b) Die Beklagte ist mögliches Haftungssubjekt des vom Kläger geltend gemachten Anspruchs. Nach Art. 82 Abs. 2 Satz 1 DSGVO ist Haftungssubjekt jeder an einer Verarbeitung beteiligte Verantwortliche. Verantwortlicher ist nach Art. 4 Nr. 7 DSGVO die natürliche oder juristische Person, Behörde, Einrichtung oder andere Stelle, die allein oder gemeinsam mit anderen über die Zwecke und Mittel der Verarbeitung von personenbezogenen Daten entscheidet. Die Beklagte als juristische Person und Arbeitgeberin verarbeitet personenbezogene Daten der bei ihr beschäftigten Arbeitnehmer und entscheidet (ob, wofür und wieweit der Datenverarbeitung; vgl. Hartung in: Kühling/Buchner DSGVO 3. Aufl. Art. 4 Nr. 7 Rn. 13) - ggf. mitbestimmt - über die Zwecke und Mittel der Verarbeitung personenbezogener Daten; ihr sind die datenschutzrechtlichen Handlungen innerhalb ihrer Organisation zuzurechnen, weshalb sie Verantwortliche nach Art. 4 Nr. 7 DSGVO ist.

[...]

e) Gleichwohl steht dem Kläger ein Anspruch auf Ersatz des von ihm geltend gemachten immateriellen Schadens deshalb nicht zu, weil der vom Kläger geltend gemachte Schaden nicht dem festgestellten Verordnungsverstoß zugeordnet werden kann bzw. tatsächlich nicht eingetreten ist, dh. nicht „erlitten“ wurde.

aa) Der Verstoß muss für den Schaden kausal sein. Der Schaden muss gerade durch den Rechtsverstoß entstanden sein. Es genügt nicht, dass der Schaden durch eine Verarbeitung entstanden ist, in deren Rahmen es (irgendwann) zu einem Rechtsverstoß gekommen ist. Wenn der Schaden „wegen eines Verstoßes gegen diese Verordnung“ entstanden sein muss, kann nicht davon ausgegangen werden, dass bspw. ein Rechtsverstoß bei einer Datenverarbeitung vor dem Geltungszeitpunkt der DSGVO die fortgesetzte Datenverarbeitung „infiziert“ und zu einem Schadensersatzanspruch führt (vgl. Bergt in: Kühling/Buchner Art. 82 DSGVO Rn. 42). Allenfalls dann, wenn durch den Verstoß die gesamte Datenverarbeitung rechtswidrig wird, kann angenommen werden, dass es keiner Zuordnung des Schadens zu einem konkreten Verordnungsverstoß bedarf (vgl. Bergt in: Kühling/Buchner Art. 82 DSGVO aaO). Zudem ist auch unionsrechtlich anerkannt, dass die Kausalitätsprüfung verhindern soll, dass es zu einer uferlosen Schadensersatzpflicht für alle möglichen, noch so entfernten Schäden kommt, für die ein rechtswidriges Verhalten eine Ursache iSe „conditio sine qua non“ gesetzt hat (vgl. zu einer kartellrechtlichen Fragestellung: Kokott Schlussanträge in der Rechtssache - C-557/12 - Rn. 33, 30. Januar 2014, juris). Eine alleinige Kausalität ist aber nicht gefordert, es genügt eine Mitursächlichkeit des Verstoßes für den Schaden, wobei ein hinreichend unmittelbarer Zusammenhang zu fordern ist (vgl. Bergt in: Kühling/Buchner Art. 82 DSGVO Rn. 44 f.) und der Schaden muss für den Schädiger vorhersehbar gewesen sein (vgl. Bergt in: Kühling/Buchner Art. 82 DSGVO Rn. 45).

bb) Danach hat der Kläger keinen durch die Beklagte infolge eines Verordnungsverstoßes verursachten immateriellen Schaden erlitten.

(1) Kein Anknüpfungspunkt für den Schaden können (überschießende) Datenübermittlungen (Datentransfer auf die Sharepoint-Seite der Konzernmutter) sein, denn diese Datenübermittlung hat stattgefunden als die DSGVO noch nicht in Geltung war. Insoweit ist es völlig unerheblich, wie sich das Datenschutzniveau in den USA gestaltet, da jedenfalls die Beklagte nicht für die Datenübermittlung in die USA nach der DSGVO in Anspruch genommen werden kann. Die Beklagte hat nicht gegen die Art. 44 ff. DSGVO verstoßen. Jedwede Begründung eines Schadens mit der Datenübermittlung in die USA (bspw. Zugriffsmöglichkeiten von Behörden oder Dritten in den USA bzw. eine diesbezügliche Unsicherheit) kann einem DSGVO-Verstoß nicht zugeordnet werden. Die Beklagte hat nicht gegen Vorschriften des Kapitels V der DSGVO verstoßen.

(2) Ebenso wenig kann Anknüpfungspunkt der Umstand sein, dass die Beklagte zum Zeitpunkt des Geltungsbeginns der DSGVO (25. Mai 2018) als Verantwortliche personenbezogene Daten bei der Konzernmutter als Auftragsverarbeiterin hat speichern lassen. Die Auftragsdatenverarbeitung erfolgte auf einer ausreichenden vertraglichen Grundlage iSd. Art. 46 Abs. 2 Buchst. c, Abs. 5 DSGVO, welche zudem auch den Anforderungen für eine Auftragsdatenverarbeitung nach Art. 28 DSGVO gerecht wurde. Die Beklagte hat nicht gegen Art. 28 DSGVO verstoßen. Daher kann die behauptete permanente Unsicherheit, dass „unbefugte Dritte“ auf Daten des Klägers Zugriff nehmen, nicht einem Verstoß gegen die DSGVO zugeordnet werden. Die Beklagte hat alle Erfordernisse der DSGVO eingehalten, um eine sichere Auftragsdatenverarbeitung bei ihrer Konzernmutter zu gewährleisten. Dem Kläger wiederum standen bzw. stehen im Verhältnis zur auftragsverarbeitenden Konzernmutter alle Rechte, wie sie nach der DSGVO gegenüber der Beklagten bestehen, zu.

(3) Der einzige Verstoß, welcher der Beklagten vorzuhalten ist, ist die überschießende Datenverarbeitung in Workday vor Einführung von Workday (durch die BV Workday vom 23. Januar 2019), wobei sich diese Datenverarbeitung in Workday auf Daten bezieht, welche die Beklagte rechtmäßig in SAP - auf der Grundlage einer Betriebsvereinbarung zur Nutzung von SAP - bzw. sonst rechtmäßig nach § 26 BDSG zu anderen Zwecken verarbeitete. Die Datenverarbeitung in Workday war nur deshalb nicht rechtmäßig, weil Workday bis zur Einführung nicht produktiv genutzt wurde und es deshalb an der Erforderlichkeit der Datenverarbeitung iSv. § 26 Abs. 1 BDSG bzw. noch an einer Betriebsvereinbarung zur Einführung fehlte. Die Beklagte bedurfte daher der Duldungs-BV als Rechtsgrundlage, um die nach § 26 Abs. 1 BDSG nicht erforderliche Datenverarbeitung nach § 26 Abs. 4 BDSG zu den normierten Testzwecken zu legitimieren. Die Duldungs-BV berechtigte zur Datenverarbeitung der in der Anlage 2 genannten Datenkategorien in dem durch die Betriebsvereinbarung normierten Umfang (§§ 2, 3 Duldungs-BV). Allerdings berechtigte auch die Duldungs-BV nicht dazu, Daten, die nicht in der Anlage 2 genannt sind, zu verarbeiten (betrifft insb. Jahresgehalt, Monatsgehalt, den Umfang leistungsabhängiger Vergütung, die private Wohnanschrift des Klägers, dessen Geburtsdatum, Alter, Familienstand, die Sozialversicherungsnummer und die Steuer-ID des Klägers). Diese Daten wiederum durfte die Beklagte aber - unstreitig - außerhalb der Plattform Workday, insb. in SAP zu anderen Zwecken verarbeiten, da die Verarbeitung dieser Daten nach § 26 Abs. 1 BDSG zur Durchführung des Beschäftigungsverhältnisses erforderlich ist. Einen „erlittenen“ Schaden, der allein auf der überschießenden Datenverarbeitung in Workday oder für (Test-)Zwecke von Workday - bei gleichzeitig rechtmäßiger Datenverarbeitung in SAP zu anderen Zwecken - fußt, macht der Kläger nicht geltend und ein solcher „Schaden“ ist auch nicht ersichtlich (die Duldungs-BV schließt insb. eine Nutzung/Verwertung der zu Testzwecken verarbeiteten Daten für Zwecke der Durchführung des Arbeitsverhältnisses gerade aus), vielmehr liegt insoweit nur ein Verordnungsverstoß ohne zuordenbaren Schaden vor. Eine Nutzung der überschießend gespeicherten Daten für andere als die normierten Testzwecke gem. Duldungs-BV ist nicht ersichtlich. Allein der Umstand, dass Jahresgehalt, Monatsgehalt, den Umfang leistungsabhängiger Vergütung, die private Wohnanschrift des Klägers, dessen Geburtsdatum, Alter, Familienstand, die Sozialversicherungsnummer und die Steuer-ID des Klägers auch in Workday gespeichert und zu Testzwecken verarbeitet wurden, löst nach Auffassung der Kammer keinen Schaden aus. Auch der Kläger behauptet einen solchen nicht. Die Speicherung der Daten in Workday bei der Konzernmutter stellt keinen Datenabfluss dar, sondern erfolgte auf der Grundlage einer rechtmäßigen Auftragsverarbeitung nach Art. 28 DSGVO. Auch wenn die Daten in Workday überschießend im Rahmen einer Auftragsdatenverarbeitung verarbeitet wurden, so hat die Beklagte doch alle Erfordernisse der DSGVO eingehalten, die Sicherheit der Daten bei der Konzernmutter sicherzustellen. Soweit der Kläger darüber spekuliert, dass es die Daten unbefugt nach Speicherung in Workday hätten verwendet werden könnten, fehlt es an jedem tatsächlichen Anhaltspunkt hierfür, vor allem aber an einem zuordenbaren Verordnungsverstoß („wegen“). Vielmehr ergibt sich aus den vertraglichen Garantien iSv. Art. 28 DSGVO, die es auch einschließen, dass sämtliche Konzernunternehmen die Bestimmungen des GDPA einzuhalten haben (insb. auch: D. Corporation Global Data Protection Agreement Protocol and Power of Attorney) und damit auch der Ausschluss von Missbrauch durch Konzerngesellschaften. Jedenfalls hat die Beklagte sich verordnungskonform verhalten, um jedweden Missbrauch auszuschließen. In diesem Zusammenhang ist auch ein Kontrollverlust nicht ersichtlich, da die mit der Konzernmutter getroffenen Vereinbarungen gerade sicherstellen, dass dem Kläger alle Rechte, die er gegenüber der Beklagten hat, auch im Rahmen der Auftragsverarbeitung zustehen. Der Kläger konnte daher seine Daten insb. auch löschen lassen, was die Beklagte auch tatsächlich im Verlaufe des Rechtsstreits bzgl. der nach der BV Workday in Workday nicht zu speichernden Daten - trotz Auftragsverarbeitung - veranlasst hat. Der Kläger macht einen verordnungswidrigen Zustand mit Abschluss der BV Workday und BV IT auch nicht geltend; mit anderen Worten: der Kläger war tatsächlich in der Lage, seine überschießend übermittelten Daten löschen zu lassen und konnte sie insoweit kontrollieren. Dabei kann auch nicht davon ausgegangen werden, der tatsächliche Verordnungsverstoß (im Verhältnis zur Duldungs-BV überschießende Datenspeicherung in Workday) habe den gesamten Datenverarbeitungsvorgang „infiziert“, so dass die Beklagte für jeden Schaden in Anspruch genommen werden könnte. Dergleichen könnte allenfalls dann angenommen werden, wenn jede Datenverarbeitung von personenbezogenen Daten des Klägers in Workday verordnungswidrig gewesen wäre. Infolge der Regelungen der Duldungs-BV durfte die Beklagte allerdings diejenigen Datenkategorien der Anlage 2 und damit auch die entsprechenden personenbezogenen Daten des Klägers verarbeiten. Es verbleibt damit dabei, dass die gegenüber der Anlage 2 der Duldungs-BV überschießende Datenverarbeitung von ansonsten rechtmäßig verarbeiteten Daten zu anderen (Test-)Zwecken beim Kläger keinen Schaden ausgelöst hat, der einem der Beklagten zurechenbaren Verordnungsverstoß zugeordnet werden könnte. Bloße Befürchtungen, ein Schaden könnte eintreten, stellen keinen Schaden dar.

(4) Ob dem Kläger ein Schadensersatz nach Art. 82 DSGVO deshalb zusteht, weil die Beklagte ggf. gegen Bestimmungen der DSGVO bei der Auskunftserteilung verstoßen hat (vgl. dazu etwa: ArbG Neumünster 11. August 2020 - 1 Ca 247 c/20 - Rn. 36 ff., ReckRS 2020, 29998; ArbG Düsseldorf 5. März 2020 - 9 Ca 6557/18 - Rn
. 94 ff., NZA-RR 2020, 409), hatte die Berufungskammer nicht zu entscheiden.

Den Volltext der Entscheidung finden Sie hier:


EU-Kommission veröffentlicht Entwurf neuer Standardvertragsklauseln für den Transfer personenbezogener Daten in Drittländer - standard contractual clauses - scc

Die EU-Kommission hat einen Entwurf neuer Standardvertragsklauseln für den Transfer personenbezogener Daten in Drittländer veröffentlicht:

Entwurf - Standardvertragsklauseln - standard contractual clauses for the transfer of personal data to third countries pursuant to Regulation (EU) 2016/679 of the European Parliament and of the Council

Entwurf - Dazugehörige Entscheidung der EU-Kommission


EuGH: EU-US Privacy Shield genügt nicht den Vorgaben der DSGVO und ist ungültig - Beschluss 2010/87 der EU-Kommission über Standardvertragsklauseln hingegen gültig

EuGH
Urteil vom 16.07.2020
C-311/18
Data Protection Commissioner / Maximillian Schrems und Facebook Ireland


Der EuGH hat entschieden, dass der EU-US Privacy Shield (Datenschutzschild) nicht den Vorhaben der DSGVO genügt und damit ungültig ist. Der Beschluss 2010/87 der EU-Kommission über Standardvertragsklauseln ist hingegen gültig

Die Pressemitteilung des EuGH

Der Gerichtshof erklärt den Beschluss 2016/1250 über die Angemessenheit des vom EU-US-Datenschutzschild gebotenen Schutzes für ungültig

Der Beschluss 2010/87 der Kommission über Standardvertragsklauseln für die Übermittlung personenbezogener Daten an Auftragsverarbeiter in Drittländern ist hingegen gültig

Die Datenschutz-Grundverordnung (DSGVO) bestimmt, dass personenbezogene Datengrundsätzlich nur dann in ein Drittland übermittelt werden dürfen, wenn das betreffende Land für die Daten ein angemessenes Schutzniveau gewährleistet. Nach dieser Verordnung kann die Kommission feststellen, dass ein Drittland aufgrund seiner innerstaatlichen Rechtsvorschriften
oder seiner internationalen Verpflichtungen ein angemessenes Schutzniveau gewährleistet . Liegt kein derartiger Angemessenheitsbeschluss vor, darf eine solche Übermittlung nur erfolgen, wenn der in der Union ansässige Exporteur der personenbezogenen Daten geeignete Garantien vorsieht, die sich u. a. aus von der Kommission erarbeiteten Standarddatenschutzklauseln ergeben können, und wenn die betroffenen Personen über durchsetzbare Rechte und wirksame
Rechtsbehelfe verfügen . Ferner ist in der DSGVO genau geregelt, unter welchen Voraussetzungen eine solche Übermittlung vorgenommen werden darf, falls weder ein Angemessenheitsbeschluss vorliegt noch geeignete Garantien bestehen.

Herr Schrems, ein in Österreich wohnhafter österreichischer Staatsangehöriger, ist seit 2008 Nutzer von Facebook. Wie bei allen anderen im Unionsgebiet wohnhaften Nutzern werden seine personenbezogenen Daten ganz oder teilweise von Facebook Ireland an Server der Facebook Inc., die sich in den Vereinigten Staaten befinden, übermittelt und dort verarbeitet. Herr Schrems legte bei der irischen Aufsichtsbehörde eine Beschwerde ein, die im Wesentlichen darauf abzielte, diese Übermittlungen verbieten zu lassen. Er machte geltend, das Recht und die Praxis der Vereinigten Staaten böten keinen ausreichenden Schutz vor dem Zugriff der Behörden auf die dorthin übermittelten Daten. Seine Beschwerde wurde u. a. mit der Begründung zurückgewiesen, die Kommission habe in ihrer Entscheidung 2000/5205 (sogenannte „Safe-Harbour Entscheidung“) festgestellt, dass die Vereinigten Staaten ein angemessenes Schutzniveau gewährleisteten. Mit Urteil vom 6. Oktober 2015 erklärte der Gerichtshof auf ein Vorabentscheidungsersuchen des irischen High Court hin diese Entscheidung für ungültig (im Folgenden: Urteil Schrems I).

Nachdem das Urteil Schrems I ergangen war und der irische High Court daraufhin die Entscheidung, mit der die Beschwerde von Herrn Schrems zurückgewiesen worden war, aufgehoben hatte, forderte die irische Aufsichtsbehörde Herrn Schrems auf, seine Beschwerde unter Berücksichtigung der Ungültigerklärung der Safe-Harbour-Entscheidung durch den Gerichtshof umzuformulieren. Mit seiner umformulierten Beschwerde macht Herr Schrems geltend, dass die Vereinigten Staaten keinen ausreichenden Schutz der dorthin übermittelten Daten gewährleisteten. Er beantragt, die von Facebook Ireland nunmehr auf der Grundlage der Standardschutzklauseln im Anhang des Beschlusses 2010/877 vorgenommene Übermittlung seiner personenbezogenen Daten aus der Union in die Vereinigten Staaten für die Zukunft auszusetzen oder zu verbieten. Die irische Aufsichtsbehörde war der Auffassung, dass die Bearbeitung der Beschwerde von Herrn Schrems insbesondere von der Gültigkeit des Beschlusses 2010/87 über Standardvertragsklauseln abhänge, und strengte daher ein Verfahren vor dem High Court an, damit er den Gerichtshof mit einem Vorabentscheidungsersuchen befassen möge. Nachdem dieses Verfahren eingeleitet worden war, erließ die Kommission den Beschluss (EU) 2016/1250 über die Angemessenheit des vom EU-US-Datenschutzschild („Privacy Shield“) gebotenen Schutzes.

Mit seinem Vorabentscheidungsersuchen fragt der irische High Court den Gerichtshof nach der Anwendbarkeit der DSGVO auf Übermittlungen personenbezogener Daten, die auf die Standardschutzklauseln im Beschluss 2010/87 gestützt werden, sowie nach dem Schutzniveau, das diese Verordnung im Rahmen einer solchen Übermittlung verlangt, und den Pflichten, die den
Aufsichtsbehörden in diesem Zusammenhang obliegen. Des Weiteren wirft der High Court die Frage der Gültigkeit sowohl des Beschlusses 2010/87 über Standardvertragsklauseln als auch des Privacy Shield-Beschlusses 2016/1250 auf.

Mit seinem heute verkündeten Urteil stellt der Gerichtshof fest, dass die Prüfung des Beschlusses 2010/87 über Standardvertragsklauseln anhand der Charta der Grundrechte der Europäischen Union nichts ergeben hat, was seine Gültigkeit berühren könnte. Den Privacy Shield-Beschluss 2016/1250 erklärt er hingegen für ungültig. Der Gerichtshof führt zunächst aus, dass das Unionsrecht, insbesondere die DSGVO, auf eine zu gewerblichen Zwecken erfolgende Übermittlung personenbezogener Daten durch einen in einem Mitgliedstaat ansässigen Wirtschaftsteilnehmer an einen anderen, in einem Drittland ansässigen Wirtschaftsteilnehmer Anwendung findet, auch wenn die Daten bei ihrer Übermittlung oder im Anschluss daran von den Behörden des betreffenden Drittlands für Zwecke der öffentlichen Sicherheit, der Landesverteidigung und der Sicherheit des Staates verarbeitet werden können.

Eine derartige Datenverarbeitung durch die Behörden eines Drittlands kann nicht dazu führen, dass eine solche Übermittlung vom Anwendungsbereich der DSGVO ausgenommen wäre. In Bezug auf das im Rahmen einer solchen Übermittlung erforderliche Schutzniveau entscheidet der Gerichtshof, dass die insoweit in der DSGVO vorgesehenen Anforderungen, die sich auf geeignete Garantien, durchsetzbare Rechte und wirksame Rechtsbehelfe beziehen, dahin auszulegen sind, dass die Personen, deren personenbezogene Daten auf der Grundlage von Standarddatenschutzklauseln in ein Drittland übermittelt werden, ein Schutzniveau genießen müssen, das dem in der Union durch die DSGVO im Licht der Charta garantierten Niveau der Sache nach gleichwertig ist. Bei der Beurteilung dieses Schutzniveaus sind sowohl die vertraglichen Regelungen zu berücksichtigen, die zwischen dem in der Union ansässigen Datenexporteur und dem im betreffenden Drittland ansässigen Empfänger der Übermittlung vereinbart wurden, als auch, was einen etwaigen Zugriff der Behörden dieses Drittlands auf
die übermittelten Daten betrifft, die maßgeblichen Aspekte der Rechtsordnung dieses Landes.

Hinsichtlich der Pflichten, die den Aufsichtsbehörden im Zusammenhang mit einer solchen Übermittlung obliegen, befindet der Gerichtshof, dass diese Behörden, sofern kein gültiger Angemessenheitsbeschluss der Kommission vorliegt, insbesondere verpflichtet sind, eine Übermittlung personenbezogener Daten in ein Drittland auszusetzen oder zu verbieten, wenn sie im Licht der Umstände dieser Übermittlung der Auffassung sind, dass die Standarddatenschutzklauseln in diesem Land nicht eingehalten werden oder nicht eingehalten werden können und dass der nach dem Unionsrecht erforderliche Schutz der übermittelten
Daten nicht mit anderen Mitteln gewährleistet werden kann, es sei denn, der in der Union ansässige Datenexporteur hat die Übermittlung selbst ausgesetzt oder beendet. Sodann prüft der Gerichtshof die Gültigkeit des Beschlusses 2010/87 über
Standardvertragsklauseln. Er sieht sie nicht schon dadurch in Frage gestellt, dass die in diesem Beschluss enthaltenen Standarddatenschutzklauseln aufgrund ihres Vertragscharakters die Behörden des Drittlands, in das möglicherweise Daten übermittelt werden, nicht binden. Vielmehr hängt sie davon ab, ob der Beschluss wirksame Mechanismen enthält, die in der Praxis gewährleisten können, dass das vom Unionsrecht verlangte Schutzniveau eingehalten wird und dass auf solche Klauseln gestützte Übermittlungen personenbezogener Daten ausgesetzt oder verboten werden, wenn gegen diese Klauseln verstoßen wird oder ihre Einhaltung unmöglich ist. Der Gerichtshof stellt fest, dass der Beschluss 2010/87 derartige Mechanismen vorsieht. Insoweit hebt er insbesondere hervor, dass gemäß diesem Beschluss der Datenexporteur und der Empfänger der Übermittlung vorab prüfen müssen, ob das erforderliche Schutzniveau im betreffenden Drittland eingehalten wird, und dass der Empfänger dem Datenexporteur gegebenenfalls mitteilen muss, dass er die Standardschutzklauseln nicht einhalten kann, woraufhin der Exporteur die Datenübermittlung aussetzen und/oder vom Vertrag mit dem Empfänger zurücktreten muss.

Schließlich prüft der Gerichtshof die Gültigkeit des Privacy-Shield-Beschlusses 2016/1250 anhand der Anforderungen der DSGVO im Licht der Bestimmungen der Charta, die die Achtung des Privat- und Familienlebens, den Schutz personenbezogener Daten und das Recht auf effektiven gerichtlichen Rechtsschutz verbürgen. Insoweit stellt er fest, dass in diesem Beschluss, ebenso wie in der Safe-Harbour-Entscheidung 2000/520, den Erfordernissen der nationalen Sicherheit,
des öffentlichen Interesses und der Einhaltung des amerikanischen Rechts Vorrang eingeräumt wird, was Eingriffe in die Grundrechte der Personen ermöglicht, deren Daten in die Vereinigten Staaten übermittelt werden. Er kommt zu dem Ergebnis, dass die von der Kommission im PrivacyShield-Beschluss 2016/1250 bewerteten Einschränkungen des Schutzes personenbezogener Daten, die sich daraus ergeben, dass die amerikanischen Behörden nach dem Recht der Vereinigten Staaten auf solche Daten, die aus der Union in dieses Drittland übermittelt werden, zugreifen und sie verwenden dürfen, nicht dergestalt geregelt sind, dass damit Anforderungen erfüllt würden, die den im Unionsrecht nach dem Grundsatz der
Verhältnismäßigkeit bestehenden Anforderungen der Sache nach gleichwertig wären, da die auf die amerikanischen Rechtsvorschriften gestützten Überwachungsprogramme nicht auf das zwingend erforderliche Maß beschränkt sind. Gestützt auf die Feststellungen in diesem Beschluss weist der Gerichtshof darauf hin, dass die betreffenden Vorschriften hinsichtlich
bestimmter Überwachungsprogramme in keiner Weise erkennen lassen, dass für die darin enthaltene Ermächtigung zur Durchführung dieser Programme Einschränkungen bestehen; genauso wenig ist ersichtlich, dass für die potenziell von diesen Programmen erfassten Personen, die keine amerikanischen Staatsbürger sind, Garantien existieren. Der Gerichtshof fügt hinzu, dass diese Vorschriften zwar Anforderungen vorsehen, die von den amerikanischen Behörden bei der Durchführung der betreffenden Überwachungsprogramme einzuhalten sind, aber den betroffenen Personen keine Rechte verleihen, die gegenüber den amerikanischen Behörden gerichtlich durchgesetzt werden können.

In Bezug auf das Erfordernis des gerichtlichen Rechtsschutzes befindet der Gerichtshof, dass der im Privacy-Shield-Beschluss 2016/1250 angeführte Ombudsmechanismus entgegen den darin von der Kommission getroffenen Feststellungen den betroffenen Personen keinen Rechtsweg zu einem Organ eröffnet, das Garantien böte, die den nach dem Unionsrecht erforderlichen Garantien der Sache nach gleichwertig wären, d. h. Garantien, die sowohl die Unabhängigkeit der durch diesen Mechanismus vorgesehenen Ombudsperson als auch das Bestehen von Normen gewährleisten, die die Ombudsperson dazu ermächtigen, gegenüber den amerikanischen Nachrichtendiensten verbindliche Entscheidungen zu erlassen. Aus all
diesen Gründen erklärt der Gerichtshof den Beschluss 2016/1250 für ungültig.


Den Volltext der Entscheidung finden Sie hier:


EuGH: Beschluss 2010/87/EU der Kommission über Standardvertragsklauseln für die Übermittlung personenbezogener Daten an Auftragsverarbeiter in Drittländern gültig - Facebook Ireland - Maximilian

EuGH-Generalanwalt
Schlussanträge vom 19.12.2019
C-311/18
Data Protection Commissioner / Facebook Ireland und Maximilian Schrems


Nach Ansicht des EuGH-Generalanwalts ist der Beschluss 2010/87/EU der Kommission über Standardvertragsklauseln für die Übermittlung personenbezogener Daten an Auftragsverarbeiter in Drittländern gültig

Die Pressemitteilung des EuGH:

Nach Ansicht von Generalanwalt Saugmandsgaard Øe ist der Beschluss 2010/87/EU der Kommission über Standardvertragsklauseln für die Übermittlung personenbezogener Daten an Auftragsverarbeiter in Drittländern gültig

Die Datenschutz-Grundverordnung sieht wie die Richtlinie über die Verarbeitung personenbezogener Daten, an deren Stelle sie getreten ist, vor, dass personenbezogene Daten an ein Drittland übermittelt werden können, wenn dieses für die Daten ein angemessenes Schutzniveau sicherstellt. Liegt kein Beschluss der Kommission vor, mit dem die Angemessenheit des Schutzniveaus im betreffenden Drittland festgestellt wird, darf der für die Verarbeitung Verantwortliche die Übermittlung dennoch vornehmen, wenn er sie mit geeigneten Garantien versieht. Diese Garantien können u. a. die Form eines Vertrags zwischen dem Exporteur und dem Importeur der Daten annehmen, der die in einem Beschluss der Kommission vorgesehenen Standarddatenschutzklauseln enthält. Mit dem Beschluss 2010/87/EU3 hat die Kommission Standardvertragsklauseln für die Übermittlung personenbezogener Daten an Auftragsverarbeiter in Drittländern festgelegt. Die vorliegende Rechtssache betrifft die Gültigkeit dieses Beschlusses.

Sachverhalt und Vorgeschichte des Ausgangsrechtsstreits

Zur Vorgeschichte des Ausgangsrechtsstreits gehört ein Verfahren, das von Herrn Maximilian Schrems, einem österreichischen Nutzer von Facebook, eingeleitet wurde und bereits zum Urteil des Gerichtshofs vom 6. Oktober 2015 (Urteil Schrems) geführt hat.

Die Daten der in der Union wohnhaften Nutzer von Facebook wie Herr Schrems werden von Facebook Ireland, der irischen Tochtergesellschaft der Facebook Inc., ganz oder teilweise an Server in den Vereinigten Staaten übermittelt und dort verarbeitet. 2013 hatte Herr Schrems bei der für die Überwachung der Anwendung der Vorschriften über den Schutz personenbezogener
Daten zuständigen irischen Behörde (im Folgenden: Kontrollstelle) eine Beschwerde eingelegt, mit der er geltend machte, dass angesichts der von Herrn Edward Snowden enthüllten Tätigkeiten der Nachrichtendienste der Vereinigten Staaten (insbesondere der National Security Agency, NSA) das Recht und die Praxis der Vereinigten Staaten keinen ausreichenden Schutz der in dieses Land übermittelten Daten vor den Überwachungstätigkeiten der Behörden gewährleisteten. Die
Kontrollstelle wies die Beschwerde u. a. mit der Begründung zurück, dass die Kommission in ihrer Entscheidung vom 26. Juli 20005 angenommen habe, dass die Vereinigten Staaten im Rahmen der sogenannten „Safe-Harbor-Regelung“ ein angemessenes Schutzniveau für personenbezogene Daten gewährleisteten.

Mit dem Urteil Schrems hat der Gerichtshof in Beantwortung einer Frage des High Court (Hoher Gerichtshof, Irland) die Safe-Harbor-Entscheidung für ungültig erklärt.

Im Anschluss an das Urteil Schrems erklärte das vorlegende Gericht die Entscheidung, mit der die Kontrollstelle die Beschwerde von Herrn Schrems zurückgewiesen hatte, für nichtig und verwies sie zur Prüfung zurück an die Kontrollstelle. Diese leitete eine Untersuchung ein und forderte Herrn Schrems auf, seine Beschwerde in Anbetracht der Ungültigerklärung der Safe-Harbor-Entscheidung neu zu formulieren.

Zu diesem Zweck bat Herr Schrems Facebook Ireland um Angabe der Rechtsgrundlagen, auf denen die Übermittlungen der personenbezogenen Daten der Nutzer von Facebook aus der Union in die Vereinigten Staaten beruhten. Facebook Ireland verwies auf ein Datenübertragungs- und -verarbeitungsabkommen (data transfer processing agreement) mit der Facebook Inc., das seit dem 20. November 2015 in Kraft sei, und berief sich auf den Beschluss 2010/87.

In seiner neu formulierten Beschwerde machte Herr Schrems zum einen geltend, dass die in dem Abkommen enthaltenen Klauseln nicht den Standardvertragsklauseln des Beschlusses 2010/87 entsprächen, und zum anderen, dass diese Standardvertragsklauseln jedenfalls keine Grundlage für die Übermittlung seiner personenbezogenen Daten in die Vereinigten Staaten sein könnten. Es gebe nämlich keinen Rechtsbehelf, mit dem die Betroffenen in den Vereinigten Staaten ihre Rechte auf Achtung des Privatlebens und auf Schutz der personenbezogenen Daten geltend machen könnten. Herr Schrems beantragte daher bei der Kontrollstelle, diese Übermittlung in Anwendung des Beschlusses 2010/87 auszusetzen.

Mit ihrer Untersuchung wollte die Kontrollstelle feststellen, ob die Vereinigten Staaten einen angemessenen Schutz für personenbezogene Daten der Unionsbürger sicherstellen und – sollte dies nicht der Fall sein – ob der Rückgriff auf Standardvertragsklauseln ausreichende Garantien für den Schutz ihrer Grundfreiheiten und Grundrechte bietet. Da die Kontrollstelle zu dem Ergebnis kam, dass die Bearbeitung der Beschwerde von Herrn Schrems von der Frage abhänge, ob der
Beschluss 2010/87 gültig sei, leitete sie beim High Court ein Verfahren ein, damit dieser den Gerichtshof hierzu befrage. Der High Court ist dem Antrag dieser Behörde auf Vorlage eines Ersuchens um Vorabentscheidung nachgekommen.

In seinen heutigen Schlussanträgen schlägt Generalanwalt Henrik Saugmandsgaard Øe dem Gerichtshof vor, zu antworten, dass die Prüfung der Fragen nichts ergeben habe, was die Gültigkeit des Beschlusses 2010/87 beeinträchtigen könnte.

Der Generalanwalt stellt zunächst fest, dass es im Ausgangsrechtsstreit nur um die Feststellung gehe, ob der Beschluss 2010/87 gültig sei, mit dem die Kommission die Standardvertragsklauseln festgelegt habe, die für die in der Beschwerde von Herrn Schrems genannten Übermittlungen geltend gemacht worden seien.

Der Generalanwalt ist erstens der Ansicht, dass das Unionsrecht auf Übermittlungen personenbezogener Daten in ein Drittland anwendbar sei, wenn diese Übermittlungen zu gewerblichen Zwecken erfolgten, auch wenn die übermittelten Daten durch Behörden dieses Drittlands für Zwecke der nationalen Sicherheit verarbeitet werden könnten.

Zweitens stellt der Generalanwalt fest, dass die Bestimmungen der Datenschutz-Grundverordnung ber Übermittlungen in Drittländer bezweckten, ein kontinuierlich hohes Schutzniveau für personenbezogene Daten unabhängig davon sicherzustellen, ob die Daten auf der Grundlage einer Angemessenheitsentscheidung oder aufgrund geeigneter Garantien übermittelt würden, vom Exporteur gegeben würden. Dieses Ziel werde jedoch je nach der Rechtsgrundlage, die für die Übermittlung gelte, auf unterschiedliche Weise erreicht. Einerseits solle mit einer Angemessenheitsentscheidung festgestellt werden, ob ein bestimmtes Drittland aufgrund des dort geltenden Rechts und der dort geltenden Praxis für die Grundrechte der Personen, deren Daten
übermittelt würden, ein Schutzniveau sicherstelle, das dem Niveau, das sich aus der im Licht der Charta der Grundrechte der Europäischen Union ausgelegten Datenschutz-Grundverordnung ergebe, im Wesentlichen gleichwertig sei. Andererseits müssten die vom Exporteur – insbesondere vertraglich – gegebenen geeigneten Garantien selbst ein solches
Schutzniveau sicherstellen. Die Standardvertragsklauseln der Kommission für Übermittlungen sähen insoweit eine allgemeine Regelung vor, die unabhängig vom Bestimmungsland und dem dort sichergestellten Schutzniveau gelte.

Drittens prüft der Generalanwalt die Gültigkeit des Beschlusses 2010/87 anhand der Charta.

Seiner Ansicht nach führt der Umstand, dass der Beschluss und die darin enthaltenen Standardvertragsklauseln die Behörden des Drittbestimmungslandes nicht binden würden und diese durch ihn somit nicht daran gehindert seien, dem Importeur Pflichten aufzuerlegen, die mit der Beachtung dieser Klauseln unvereinbar seien, für sich allein nicht zur Ungültigkeit des Beschlusses. Die Vereinbarkeit des Beschlusses 2010/87 mit der Charta hänge davon ab, ob ausreichend wirksame Regelungen bestünden, mit denen sich sicherstellen lasse, dass die auf die Standardvertragsklauseln gestützten Übermittlungen ausgesetzt oder verboten würden, wenn diese Klauseln verletzt würden oder es unmöglich sei, sie einzuhalten.

Dies sei dann der Fall, wenn eine Pflicht – der für die Datenverarbeitung Verantwortlichen und, bei deren Untätigkeit, der Kontrollstellen – bestehe, eine Übermittlung auszusetzen oder zu verbieten, wenn aufgrund eines Konflikts zwischen den sich aus den Standardvertragsklauseln ergebenden Pflichten und den durch das Recht des Drittbestimmungslandes auferlegten Pflichten diese Klauseln nicht eingehalten werden könnten.

Der Generalanwalt stellt außerdem fest, dass das vorlegende Gericht bestimmte Beurteilungen der Kommission im Beschluss vom 12. Juli 2016, dem sog. Datenschutzschild-Beschluss, indirekt in Frage stelle. In diesem Beschluss hat die Kommission festgestellt, dass die Vereinigten Staaten ein angemessenes Schutzniveau für die Daten gewährleisteten, die im Rahmen der mit diesem Beschluss aufgestellten Regelung aus der Union übermittelt würden, insbesondere in Anbetracht der Garantien, die bezüglich des Zugangs amerikanischer Nachrichtendienste zu diesen Daten bestünden, sowie des Rechtsschutzes, der Personen, deren Daten übermittelt würden, gewährt werde . Für die Entscheidung über den Ausgangsrechtsstreit hält der Generalanwalt es nicht für erforderlich, dass der Gerichtshof über die Gültigkeit des Datenschutzschild-Beschlusses entscheide, da der Rechtsstreit nur die Gültigkeit des Beschlusses 2010/87 betreffe. Gleichwohl führt der Generalanwalt hilfsweise aus, aus welchen Gründen sich für ihn im Hinblick auf die Rechte auf Achtung des Privatlebens, auf Schutz personenbezogener Daten und auf einen wirksamen Rechtsbehelf Fragen bezüglich der Gültigkeit des Datenschutzschild-Beschlusses stellen.


Den Volltext der Schlussanträge finden Sie hier:

Volltext BGH: Schadensersatz wegen Vertragsverletzung wenn Vertragspartner unter Verletzung einer Gerichtsstandsvereinbarung vor US-Gericht verklagt wird

BGH
Urteil vom 17.10.2019
III ZR 42/19
Schadensersatz, Gerichtsstandsvereinbarung
BGB § 280 Abs. 1


Wir hatten bereits in dem Beirag BGH: Schadensersatz wegen Vertragsverletzung wenn Vertragspartner unter Verletzung einer Gerichtsstandsvereinbarung vor US-Gericht verklagt wird über die Entscheidung berichtet.

Leitsätze des BGH:

a) Die Vereinbarung eines inländischen Gerichtsstands kann eine Verpflichtung begründen, Klagen nur an diesem Gerichtsstand zu erheben.

b) Verletzt eine Vertragspartei schuldhaft diese Verpflichtung durch die Klage vor einem US-amerikanischen Gericht, das die Klage wegen fehlender Zuständigkeit abweist und entsprechend US-amerikanischem Prozessrecht ("American rule of costs") eine Kostenerstattung nicht anordnet, ist sie gemäß § 280 Abs. 1 BGB verpflichtet, der anderen Partei die Kosten der zweckentsprechenden Rechtsverteidigung zu ersetzen.

BGH, Urteil vom 17. Oktober 2019 - III ZR 42/19 - OLG Köln - LG Bonn

Den Volltext der Entscheidung finden Sie hier:


BGH: Schadensersatz wegen Vertragsverletzung wenn Vertragspartner unter Verletzung einer Gerichtsstandvereinbarung vor US-Gericht verklagt wird

BGH
Urteil vom 17.10.2019
III ZR 42/19


Der BGH hat entschieden, dass ein Schadensersatzanspruch wegen Vertragsverletzung bestehen kann, wenn der Vertragspartner unter Verletzung einer wirksam vereinbarten Gerichtsstandvereinbarung, wonach der ausschließliche Gerichtsstand in Deutschland ist, vor einem US-Gericht verklagt wird.

Die Pressemitteilung des BGH:

Schadensersatzanspruch bei Verletzung einer Gerichtsstandvereinbarung durch Klage vor einem
US-amerikanischen Gericht

Der III. Zivilsenat des Bundesgerichtshofs hat heute entschieden, dass einem Vertragspartner ein Anspruch auf Ersatz der Kosten zustehen kann, die ihm entstanden sind, weil er entgegen der Vereinbarung eines ausschließlichen Gerichtsstands in Deutschland vor einem US-amerikanischen Gericht verklagt worden ist.

Sachverhalt:

Die Parteien sind Telekommunikationsunternehmen. Die Beklagte hat ihren Sitz in Bonn, die Klägerin ist in Washington D.C. ansässig. Sie sind durch ein "Internet Peering Agreement" verbunden, nach dem sie wechselseitig verpflichtet sind, den Datenverkehr der jeweils anderen Partei an sogenannten Peering-Punkten aufzunehmen, in ihrem Netzwerk an die darüber angeschlossenen Kunden weiter zu transportieren und dabei für die erforderliche Übertragungskapazität an den Peering-Punkten innerhalb ihrer Netzwerke zu sorgen. Der Vertrag enthält die Vereinbarung, dass deutsches Recht anwendbar und Gerichtsstand Bonn ist.

Nachdem Bestrebungen der Klägerin, die (kostenlose) Aufstockung von Übertragungskapazitäten zu erreichen, erfolglos geblieben waren, erhob sie im Jahr 2016 Klage vor einem Bundesgericht (District Court) in den USA, mit der sie die Schaffung zusätzlicher Kapazitäten begehrte. Dieses Gericht wies die Klage aufgrund der Gerichtsstandvereinbarung wegen fehlender Zuständigkeit ab. Eine Kostenerstattung findet in den USA nach der "American Rule of Costs" grundsätzlich nicht statt. Der District Court ordnete eine solche auch nicht an.

Die Klägerin erhob nunmehr eine inhaltlich entsprechende Klage vor dem Landgericht Bonn. Mit der Widerklage verlangt die Beklagte Ersatz der ihr durch die Verteidigung gegen die Klage vor dem District Court entstandenen Kosten, die sie auf 196.118,03 USD beziffert.

Bisheriger Prozessverlauf:

Das Landgericht hat die Klage abgewiesen und der Widerklage stattgegeben. Die Klägerin hat beschränkt auf die Widerklage Berufung eingelegt. Auf diese hat das Oberlandesgericht die Widerklage abgewiesen.

Entscheidung des Bundesgerichtshofs:

Der Bundesgerichtshof hat auf die Revision der Beklagten das Urteil des Oberlandesgerichts aufgehoben und die Sache zur erneuten Verhandlung und Entscheidung dorthin zurückverwiesen.

Die Vereinbarung des Gerichtsstands in Bonn und der Geltung deutschen Rechts ist dahin auszulegen, dass die Parteien verpflichtet sind, Klagen aus dem Vertrag nur in diesem Gerichtsstand zu erheben und widrigenfalls - jedenfalls soweit das angerufene Gericht, wie der District Court, seine Unzuständigkeit erkannt hat der anderen Partei die dadurch entstandenen Kosten der zweckentsprechenden Rechtsverteidigung zu erstatten.

Mit einer solchen Vereinbarung haben die Parteien ihr Interesse zum Ausdruck gebracht, Rechtsstreitigkeiten sowohl in materiell-rechtlicher als auch in prozessualer Hinsicht planbar zu machen. Mit ihr wollen gerade die im internationalen Rechtsverkehr tätigen Vertragsparteien Rechtssicherheit schaffen und (auch wirtschaftliche) Prozessrisiken berechenbar machen. Sie bezwecken mit der Festlegung auf einen konkreten Gerichtsort die Auswahl eines bestimmten Gerichtsstands und wollen insbesondere ein nachträgliches "forum shopping" durch eine Vertragspartei verhindern. Dieser Zweck, Streitigkeiten über die Zuständigkeit und damit auch unnötige Kosten für die Anrufung eines unzuständigen Gerichts zu vermeiden, kann, wenn er durch die Anrufung eines Gerichts unter Verstoß gegen die Vereinbarung konterkariert wird, nur dadurch verwirklicht werden, dass der dadurch belasteten Partei ein Anspruch auf Kostenerstattung zugestanden wird. Mit der Vereinbarung deutschen Rechts insgesamt haben die Parteien zudem sowohl den aus § 280 Abs. 1 BGB folgenden allgemeinen Grundsatz anerkannt, dass eine Nichtbeachtung vertraglicher Pflichten, namentlich auch die pflichtwidrige Anrufung eines Gerichts, einen Ersatzanspruch begründen kann, als auch das Prinzip, dass eine in einem Zivilrechtsstreit unterliegende Partei der anderen zur Erstattung der zur Rechtsverteidigung erforderlichen Kosten verpflichtet ist. Dass nach der Rechtsprechung des Bundesgerichtshofs allein in der Inanspruchnahme eines staatlichen, gesetzlich geregelten Rechtspflegeverfahrens zur Durchsetzung vermeintlicher Rechte grundsätzlich keine zum Schadensersatz verpflichtende Vertragsverletzung gesehen werden kann, steht dem nicht entgegen. Dieser Grundsatz schützt den verfassungsrechtlich gewährleisteten freien Zugang zu staatlichen Gerichten. Dieser Zugang wird durch das Risiko der Pflicht zur Kostenerstattung, das jeder Klageerhebung innewohnt, nicht in verfassungsrechtlich bedenklicher Weise eingeschränkt.

Mit ihrer Klage vor dem Bundesgericht in den USA hat die Klägerin diese Verpflichtungen schuldhaft verletzt und sich daher schadensersatzpflichtig gemacht. Da zur Erforderlichkeit der Kosten, die der Beklagten durch die vorsorgliche Einlassung vor dem District Court auch zur Sache entstanden sind, noch Feststellungen erforderlich sind, konnte der Bundesgerichtshof in der Sache nicht abschließend entscheiden und hat die Sache daher an das Berufungsgericht zur neuen Verhandlung und Entscheidung zurückverwiesen.

Vorinstanzen:

LG Bonn – Urteil vom 08.11.2017 - 16 O 41/16

OLG Köln – Urteil vom 26.02.2019 - 3 U 159/17

Die maßgebliche Vorschrift lautet:

§ 280 Schadensersatz wegen Pflichtverletzung

(1) Verletzt der Schuldner eine Pflicht aus dem Schuldverhältnis, so kann der Gläubiger Ersatz des hierdurch entstehenden Schadens verlangen. Dies gilt nicht, wenn der Schuldner die Pflichtverletzung nicht zu vertreten hat.


OLG Frankfurt: E-Book-Internet-Plattform für in den USA gemeinfreie Werke haftet für Urheberrechtsverletzung durch Veröffentlichung von in Deutschland noch nicht gemeinfrei gewordener Werke

OLG Frankfurt
Urteil vom 30.04.2019
11 O 27/18

Das OLG Frankfurt hat entschieden, dass eine international ausgerichtete E-Book-Internet-Plattform für in den USA gemeinfreie Werke für Urheberrechtsverletzungen durch Veröffentlichung von in Deutschland noch nicht gemeinfrei gewordener Werke haftet.

Die Pressemitteilung des Gerichts:

Internationale Internet-Plattform für literarische Werke haftet für Urheberrechtsverletzung von in Deutschland noch nicht gemeinfreien Werken

Die Betreiberin einer international ausgerichteten Internet-Plattform, auf der kostenfrei literarische Werke veröffentlicht werden, haftet für Urheberrechtsverletzungen in Deutschland, wenn die in deutscher Sprache angebotenen Werke nach deutschem Urheberrecht noch nicht gemeinfrei sind und die Betreiberin sich die von Dritten auf der Plattform eingestellten Werke „zu eigen“ gemacht hat. Der Geschäftsführer haftet ebenfalls, wenn er lediglich eine Prüfung US-amerikanischen Urheberrechts veranlasst, trotz der bestimmungsgemäßen Ausrichtung der Webseite auch auf deutsche Nutzer.

Die Klägerin ist ein Verlag und gibt u.a. Werke von Thomas Mann, Heinrich Mann und Alfred Döblin heraus. Die Beklagte ist eine „non-for-profit-Corporation“ nach US-amerikanischem Recht. Sie betreibt eine auch in Deutschland abrufbare Webseite, deren Ziel die Veröffentlichung von in den USA gemeinfreien Werken ist. Auf der Homepage sind über 50.000 Bücher als E-Books kostenlos abrufbar, u.a. 18 Werke der genannten drei Autoren auch in deutscher Sprache. Die Bücher werden von freiwillig für die Beklagte tätigen Dritten (sog. volunteers) auf der Plattform eingestellt. Die Beklagte veranlasst vor der Veröffentlichung eine Prüfung ausschließlich nach US-amerikanischem Urheberrecht.

Die Klägerin meint, die Beklagte verletze die ihr zustehenden Urheberrechte an den 18 Werken. Sie nimmt die Beklagte auf Unterlassen in Anspruch. Das Landgericht hatte der Klage stattgegeben. Die hiergegen gerichtete Berufung hatte vor dem OLG keinen Erfolg.

Die deutschen Gerichte seien international zuständig, da die Inhalte der Webseite auch in Deutschland abgerufen werden können, stellt das OLG zunächst klar. Anwendbar sei deutsches Recht. Nach den Regelungen des internationalen Privatrechts richte sich die Frage, ob Ansprüche wegen der Verletzung von Urheberrechten bestehen, nach dem Recht des sog. Schutzlandes, also hier der Bundesrepublik Deutschland.
Die Beklagte verletze ausschließliche urheberrechtliche Nutzungsrechte der Klägerin. Die Klägerin habe nachweisen können, dass ihr in Deutschland an den streitgegenständlichen Werken ausschließliche Nutzungsrechte zustünden. Nach deutschem Recht seien die Werke - noch - nicht gemeinfrei (anders als in den USA).

Die Beklagte hafte für die über ihre Plattform abrufbaren Werke auch als sog. Täterin. Der Betreiber einer Internetplattform sei für dort zugänglich gemachte Inhalte nicht nur verantwortlich, wenn er die Inhalte selbst geschaffen habe. Es genüge, dass er sich die Inhalte „zu eigen“ gemacht habe. Das sei hier der Fall. So bezeichne die Beklagte die von den sog. volunteers auf ihrer Plattform eingestellten Werke als „our books“; zudem verweise sie auf eine mit der angebotenen Literatur verbundene „Project ... License“. Schließlich habe sie willentlich an dem Angebot ihrer Webseite für deutsche Nutzer festgehalten, auch nachdem die Klägerin sie auf den noch bestehenden Urheberschutz in Deutschland hingewiesen hatte. Die fehlende Gewinnerzielungsabsicht der Beklagten sei für die Frage einer unzulässigen öffentlichen Wiedergabe ohne Bedeutung.

Der zudem in Anspruch genommene Geschäftsführer der Beklagten hafte ebenfalls für die Urheberrechtsverletzungen. Grundsätzlich treffe einen Geschäftsführer zwar nicht die Verpflichtung, „jedwedes deliktische Verhalten – also im urheberrechtlichen Bereich jede Urheberrechtsverletzung – zu verhindern, die aus dem von ihm geleiteten Unternehmen heraus begangen werden“. Beruhe aber die Rechtsverletzung auf einer Maßnahme der Gesellschaft, die typischerweise auf Geschäftsführerebene entschieden werde, sei davon auszugehen, dass sie von dem Geschäftsführer veranlasst worden sei. Hier habe der Geschäftsführer das Konzept der Beklagten, literarische Werke vor ihrer Veröffentlichung lediglich nach US-amerikanischen Urheberrecht zu prüfen, obwohl sich die Seite bestimmungsgemäß auch an deutsche Nutzer richtete, selbst herausgearbeitet und praktiziert.

Oberlandesgericht Frankfurt am Main, Urteil vom 30.04.2019, Az. 11 O 27/18
(vorausgehend Landgericht Frankfurt am Main, Urteil vom 09.02.2018, Az. 2-03 O 494/14)

Des Urteils nicht rechtskräftig. Es kann mit der Nichtzulassungsbeschwerde beim BGH die Zulassung der Revision begehrt werden.


LG München: Online-Bewertungsportal kann im B2B-Bereich gegenüber Kaufleuten US-Recht und Ort in den USA als Gerichtsstand vereinbaren

LG München I
Urteil 11.08.2017
33 O 8184/16


Das LG München hat entschieden, dass ein Online-Bewertungsportal mit Sitz in den USA im B2B-Bereich gegenüber Kaufleuten die Geltung von US-Recht und einen Ort in den USA als Gerichtsstand wirksam vereinbaren kann.

Aus den Entscheidungsgründen:

4. Prozessuale Wirkungen kann eine - wie hier nach materiellem Recht wirksam zustande gekommene - Vereinbarung über die Zuständigkeit des erstinstanzlichen Gerichts nur haben, wenn und soweit sie das Prozessrecht zulässt. Diese prozessrechtliche Zulässigkeit beurteilt sich ausschließlich nach der lex fori, also, wenn ein deutsches Gericht angerufen ist, nach deutschem Prozessrecht, auch wenn die Vereinbarung - wie im vorliegenden Fall - einem anderen Schuldstatut unterliegt (vgl. BeckOK/Toussaint, ZPO, 24. Edition, Stand: 01.03.2017, § 38 Rdnr. 12). Das deutsche Prozessrecht regelt die Zulässigkeit von Gerichtsstandsvereinbarungen in §§ 38, 40 ZPO. Danach ist die streitgegenständliche internationale Gerichtsstandsvereinbarung auch in prozessualer Hinsicht zulässig:

a) Nach § 38 Abs. 1 ZPO wird ein an sich unzuständiges Gericht des ersten Rechtszuges durch ausdrückliche oder stillschweigende Vereinbarung der Parteien zuständig, wenn die Vertragsparteien Kaufleute, juristische Personen des öffentlichen Rechts oder öffentlich-rechtliche Sondervermögen sind. § 38 Abs. 2 ZPO stellt nach überwiegend vertretener Auffassung, der sich die Kammer anschließt, keine abschließende Sonderregelung für die internationale Zuständigkeitsvereinbarung dar, d.h. der unbeschränkt prorogationsfähige Personenkreis kann auch gemäß § 38 Abs. 1 ZPO internationale Zuständigkeitsvereinbarungen treffen, denn eine Begrenzung auf den inländischen Geschäftsverkehr bzw. die Anwendbarkeit des § 38 Abs. 2 S. 2 ZPO lässt sich § 38 Abs. 1 ZPO nicht entnehmen (vgl. OLG München, Urteil vom 23.03.2000, Az.: 1 U 5958/99 = BeckRS 2000, 16909 m.w.N; Musielak/Voit/Heinrich, ZPO, 14. Auflage, § 38 Rdnr. 13; BeckOKIToussaint, ZPO, 24. Edition, Stand: 01.03.2017, § 38 Rdnr. 21; zum Meinungsstand siehe auch Zöller/Vollkommer, ZPO, 31. Auflage, § 38 Rdnr. 25).

Die Voraussetzungen des § 38 Abs. 1 ZPO sind vorliegend erfüllt: Beide Parteien sind Kaufleute, die Klägerin jedenfalls kraft Eintragung im Sinne von § 5 HGB und die Beklagte als Limited Liability Company, einer Handelsgesellschaft nach US-amerikanischem Recht, nach § 6 Abs. 1 HGB (vgl. Ebenroth/Boujong/Joost/Strohn/Kindler, HGB, 3. Auflage, Vor § 1 Rdnr. 121; MüKo/Kindler, BGB, 6. Auflage, IntGesR Rdnr. 203 ff.). Die Kaufmannseigenschaft einer ausländischen Partei ist nach der lex fori und vorliegend mithin nach den Bestimmungen der §§ 1-7 HGB zu bestimmen (vgl. OLG München, Urteil vom 23.03.2000, Az.: 1 U 5958/99 = BeckRS 2000, 16909 m.w.N.; Musielak/Voit//Heinrich, ZPO, 14. Auflage, § 38 Rdnr. 13; BeckOK/Toussa//?/, ZPO, 24. Edition, Stand: 01.03.2017, § 38 Rdnr. 25). Die Gerichtsstandsvereinbarung ist auch materiell wirksam zustande gekommen (siehe dazu oben A.II.1. bis 3.).

b) Gemäß § 40 Abs. 1 ZPO hat eine Gerichtsstandsvereinbarung keine rechtliche Wirkung, wenn sie sich nicht auf ein bestimmtes Rechtsverhältnis und die aus ihm entspringenden Rechtsstreitigkeiten bezieht, und ist eine Vereinbarung nach § 40 Abs. 2 ZPO insbesondere dann unzulässig, wenn für die Klage ein ausschließlicher Gerichtsstand begründet ist.

aa) Die streitgegenständliche Gerichtsstandsvereinbarung bezieht sich auf "alle Streitigkeiten aus oder im Zusammenhang mit der Nutzung dieser Website" bzw. auf "alle Ansprüche […] aus oder im Zusammenhang mit dieser Website gegen "..." und damit auf ein bestimmtes Rechtsverhältnis im Sinne von § 40 Abs. 1 ZPO (vgl. Zöller/Vollkommer, ZPO, 31. Auflage, § 40 Rdnr. 3 und 4 insbesondere zum sog. Rahmenvertrag) und erfasst deshalb auch Klagen wegen behaupteter Verletzung des Unternehmenspersönlichkeitsrechts bzw. des Rechts am eingerichteten und ausgeübten Gewerbebetrieb sowie wegen behaupteter lauterkeitsrechtlicher Verstöße durch das Abrufbarhalten von Hotelbewertungen Dritter auf der Webseite der Beklagten.


bb) Zwar ist für alle bürgerlichen Rechtsstreitigkeiten, mit denen ein Anspruch auf Grund des UWG geltend gemacht wird, in § 13 Abs. 1 UWG die ausschließliche sachliche Zuständigkeit der Landgerichte geregelt und wird die vorliegende Klage auch auf eine Verletzung lauterkeitsrechtlicher Vorschriften gestützt. Allerdings ist, soweit Ausschließlichkeit nur in einer bestimmten Richtung - hier: sachlich - besteht, die Prorogation im Übrigen - und insbesondere auch international - zulässig (vgl. Zöller/Vollkommer, ZPO, 31. Auflage, § 40 Rdnr. 7; Musielak/Voit/Heinrich, ZPO, 14. Auflage, § 40 Rdnr. 5).


c) Schließlich steht die in der Vereinbarung der ausschließlichen internationalen Zuständigkeit eines fremden Staates liegende Derogation der internationalen Zuständigkeit Deutschlands unter der (stillschweigenden) Bedingung, dass das forum prorogatum zur Justizgewährung (Entscheidung in der Sache) bereit und in der Lage ist. Nicht ausreichend für die Beseitigung des Derogationseffekts ist aber, dass sich die Durchführung des Gerichtsverfahrens am forum prorogatum weniger bequem bzw. vorteilhaft darstellt, als es den Parteien bei Vertragsschluss erschienen ist (vgl. Zöller/Ge/mer, ZPO, 31. Auflage, IZPR Rdnr. 26a). Anhaltspunkte dafür, dass sich berechtigte Ansprüche an den Gerichten in Massachusetts, USA nicht innerhalb einer angemessenen Zeit und in angemessener Art und Weise durchsetzen lassen würden, hat die für diesen Einwand darlegungs- und beweis belastete Klägerin nicht vorzubringen vermocht.


d) Die in Rede stehende internationale Gerichtsstandsklausel ist auch nicht wegen Verstoßes gegen die guten Sitten (§ 138 BGB), gegen den inländischen ordre public (Art. 6 EGBGB), wegen Missbräuchlichkeit, Rechtsmissbrauchs oder inhaltlicher Unangemessenheit (§ 307 BGB) unwirksam (vgl. Zöller/Vollkommer, ZPO, 31. Auflage, § 38 Rdnr. 30). Insoweit wird auf die Ausführungen unter A.II.3) Bezug genommen.

Die Parteien haben daher die ausschließliche (örtliche) Zuständigkeit der Gerichte in Massachusetts, USA wirksam prorogiert. Diese Vereinbarung ist dahingehend auszulegen, dass zugleich eine Derogation der internationalen Zuständigkeit der Bundesrepublik Deutschland vorliegt (vgl. MüKo/Patzina, ZPO, 5. Auflage, § 38 Rdnr. 29; Zöller/Geimer, ZPO, 31. Auflage, IZPR Rdnr. 37), mit der Folge, dass das angerufene Gericht international unzuständig und die Klage daher schon als unzulässig abzuweisen ist (vgl. Zöller/Geimer, ZPO, 31. Auflage, IZPR Rdnr. 95).


Den Volltext der Entscheidung finden Sie hier: