Skip to content

EuGH: Betroffener einer Datenschutzverletzung hat keinen Anspruch gegen datenschutzrechtliche Aufsichtsbehörde auf Verhängung einer Geldbuße oder sonstiger Abhilfemaßnahmen

EuGH
Urteil vom 26.08.2024
C-768/21
Land Hessen (Handlungspflicht der Datenschutzbehörde)

Der EuGH hat entschieden, dass der Betroffene einer Datenschutzverletzung keinen Anspruch gegen die datenschutzrechtliche Aufsichtsbehörde auf Verhängung einer Geldbuße oder sonstiger Abhilfemaßnahmen hat.

Tenor der Entscheidung:
Art. 57 Abs. 1 Buchst. a und f, Art. 58 Abs. 2 sowie Art. 77 Abs. 1 der Verordnung (EU) 2016/679 des Europäischen Parlaments und des Rates vom 27. April 2016 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten, zum freien Datenverkehr und zur Aufhebung der Richtlinie 95/46/EG (Datenschutz-Grundverordnung)

sind dahin auszulegen, dass

die Aufsichtsbehörde im Fall der Feststellung einer Verletzung des Schutzes personenbezogener Daten nicht verpflichtet ist, nach diesem Art. 58 Abs. 2 eine Abhilfemaßnahme zu ergreifen, insbesondere eine Geldbuße zu verhängen, wenn ein solches Einschreiten nicht geeignet, erforderlich oder verhältnismäßig ist, um der festgestellten Unzulänglichkeit abzuhelfen und die umfassende Einhaltung dieser Verordnung zu gewährleisten.

Die Pressemitteilung des EuGH:
Schutz personenbezogener Daten: Die Aufsichtsbehörde ist nicht verpflichtet, in jedem Fall eines Verstoßes eine Abhilfemaßnahme zu ergreifen und insbesondere eine Geldbuße zu verhängen

Sie kann davon absehen, wenn der Verantwortliche bereits von sich aus die erforderlichen Maßnahmen ergriffen hat

In Deutschland stellte eine Sparkasse fest, dass eine Mitarbeiterin mehrmals unbefugt auf personenbezogene Daten eines Kunden zugegriffen hatte. Die Sparkasse setzte den Kunden hiervon nicht in Kenntnis, da ihr Datenschutzbeauftragter der Ansicht war, dass für diesen Kunden kein hohes Risiko bestehe. Denn die Mitarbeiterin hatte schriftlich bestätigt, dass sie die Daten weder kopiert oder gespeichert noch an Dritte übermittelt habe und dass sie dies auch zukünftig nicht tun werde. Außerdem hatte die Sparkasse gegen die Mitarbeiterin Disziplinarmaßnahmen ergriffen. Gleichwohl meldete die Sparkasse diesen Verstoß dem Landesdatenschutzbeauftragten.

Nachdem der Kunde nebenbei von diesem Vorfall Kenntnis erlangt hatte, reichte er bei dem Landesdatenschutzbeauftragten eine Beschwerde ein. Nach Anhörung der Sparkasse teilte der Landesdatenschutzbeauftragte dem Kunden mit, dass er es nicht für erforderlich halte, gegen die Sparkasse Abhilfemaßnahmen zu ergreifen.

Der Kunde erhob daraufhin Klage bei einem deutschen Gericht und beantragte, den Landesdatenschutzbeauftragten zum Einschreiten gegen die Sparkasse zu verpflichten und insbesondere dazu, gegen die Sparkasse eine Geldbuße zu verhängen.

Das deutsche Gericht hat den Gerichtshof ersucht, die Datenschutz-Grundverordnung (DSGVO) im Hinblick auf diese Fragestellung auszulegen.

In seinem Urteil antwortet der Gerichtshof, dass die Aufsichtsbehörde im Fall der Feststellung einer Verletzung des Schutzes personenbezogener Daten nicht verpflichtet ist, eine Abhilfemaßnahme zu ergreifen , insbesondere eine Geldbuße zu verhängen, wenn dies nicht erforderlich ist, um der festgestellten Unzulänglichkeit abzuhelfen und die umfassende Einhaltung der DSGVO zu gewährleisten. Ein solcher Fall könnte u. a. dann vorliegen, wenn der für die Verarbeitung Verantwortliche, sobald er von der Verletzung Kenntnis erlangt hat, die erforderlichen Maßnahmen ergriffen hat, damit die Verletzung abgestellt wird und sich nicht wiederholt.

Die DSGVO räumt der Aufsichtsbehörde ein Ermessen hinsichtlich der Art und Weise ein, wie sie der festgestellten Unzulänglichkeit abhilft.

Dieses Ermessen wird durch das Erfordernis begrenzt, durch den klar durchsetzbaren Rechtsrahmen der DSGVO ein gleichmäßiges und hohes Schutzniveau für personenbezogene Daten zu gewährleisten.

Es ist Sache des deutschen Gerichts, zu prüfen, ob der Landesdatenschutzbeauftragte diese Grenzen eingehalten hat


Den Volltext der Entscheidung finden Sie hier:

BGH: Kartellbehörde darf Geschäftsgeheimnisse eines Unternehmens nur bei Wahrung der Verhältnismäßigkeit gegenüber Beigeladen zur Stellungnahme nach § 56 Abs. 1 GWB offenlegen

BGH
Beschluss vom 20.04.2024
KVB 69/2
Google - Offenlegung
GG Art. 12 Abs. 1, GWB § 19a, 54 Abs. 1 Satz 3, Abs. 2 Nr. 3, 56 Abs. 1, 4, 57 Abs.1, 74 Abs. 3 Satz 4, 75 Abs. 5 VwVfG § 30

Der BGH hat entschieden, dass die Kartellbehörde Betriebs- oder Geschäftsgeheimnisse eines von Ermittlungen betroffenen Unternehmens zum Zwecke der Stellungnahme gemäß § 56 Abs. 1 GWB nur bei Wahrung der Verhältnismäßigkeit gegenüber Beigeladenen offenlegen.

Leitsätze des BGH:
a) Die Zuständigkeit des Bundesgerichtshofs in Verfahren nach § 19a GWB für Streitigkeiten gegen selbständig anfechtbare Verfahrenshandlungen ist nicht auf Beschwerden gegen Verwaltungsakte beschränkt, sondern erstreckt sich auch auf Beschwerden gegen sonstige Verfahrenshandlungen.

b) Den Geheimnisschutz nach § 30 VwVfG, der auf die Offenlegung von Informationen bei der Anhörung von Beteiligten nach § 56 Abs. 1 GWB anwendbar ist, können auch ungeschriebene Offenbarungsbefugnisse einschränken, insbesondere wenn eine Güterabwägung ergibt, dass das Geheimhaltungsinteresse hinter noch wichtigeren anderen Interessen zurücktreten muss.

c) Die Kartellbehörde darf Betriebs- oder Geschäftsgeheimnisse des von den Ermittlungen betroffenen Unternehmens für die Zwecke der Stellungnahme gemäß § 56 Abs. 1 GWB gegenüber Beigeladenen nur dann offenlegen, wenn dies verhältnismäßig ist, die Offenlegung mithin geeignet und erforderlich ist, die Ermittlungen des Bundeskartellamts zu fördern und das mit ihr verfolgte öffentliche Interesse an der Verfahrensförderung und die - insoweit gleichgerichteten - (Verfahrens-)Interessen des Beigeladenen das Geheimhaltungsinteresse des betroffenen Unternehmens im Einzelfall überwiegen.

BGH, Beschluss vom 20. Februar 2024 - KVB 69/2

Den Volltext der Entscheidung finden Sie hier:




EuGH-Generalanwalt: Datenschutzbehörde muss grundsätzlich tätig werden wenn sie bei Prüfung einer Beschwerde einen DSGVO-Verstoß feststellt

EuGH-Generalanwalt
Schlussanträge vom 11.04.2024
C-768/21
Land Hessen (Handlungspflicht der Datenschutzbehörde)


Der EuGH-Generalanwalt kommt in seinen Schlussanträgen zu dem Ergebnis, dass eine Datenschutzbehörde grundsätzlich tätig werden muss, wenn sie bei der Prüfung einer Beschwerde einen DSGVO-Verstoß feststellt.

Ergebnis der Schlussanträge:
Nach alledem schlage ich dem Gerichtshof vor, die Vorlagefrage des Verwaltungsgerichts Wiesbaden (Deutschland) wie folgt zu beantworten:

Art. 57 Abs. 1 Buchst. a und f sowie Art. 58 Abs. 2 Buchst. a bis j in Verbindung mit Art. 77 Abs. 1 der Verordnung (EU) 2016/679 des Europäischen Parlaments und des Rates vom 27. April 2016 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten, zum freien Datenverkehr und zur Aufhebung der Richtlinie 95/46/EG (Datenschutz-Grundverordnung)

sind dahin auszulegen, dass

die Aufsichtsbehörde, wenn sie eine Datenverarbeitung feststellt, die in die Rechte der betroffenen Person eingreift, verpflichtet ist, gemäß Art. 58 Abs. 2 der Verordnung 2016/679 einzuschreiten, soweit dies erforderlich ist, um die vollständige Beachtung dieser Verordnung zu gewährleisten. In diesem Zusammenhang hat sie unter Berücksichtigung der konkreten Umstände des jeweiligen Einzelfalls das geeignete, erforderliche und verhältnismäßige Mittel auszuwählen, um insbesondere den Rechtsverstoß zu beheben und die Rechte der betroffenen Person durchzusetzen


Die Pressemitteilung des EuGH:
Schutz personenbezogener Daten: Nach Ansicht von Generalanwalt Pikamäe ist die Aufsichtsbehörde zum Einschreiten verpflichtet, wenn sie bei der Prüfung einer Beschwerde einen Verstoß feststellt.

Die Entscheidung über die zu ergreifende Abhilfemaßnahme hänge jedoch von den konkreten Umständen des jeweiligen Einzelfalls ab

Ein Kunde einer Sparkasse ersuchte den Hessischen Beauftragten für Datenschutz und Informationsfreiheit (Deutschland), gegen die Sparkasse wegen einer Verletzung des Schutzes seiner personenbezogenen Daten einzuschreiten. Eine Mitarbeiterin der Sparkasse hatte nämlich mehrmals unbefugt auf seine Daten zugegriffen.

Der Datenschutzbeauftragte stellte eine Verletzung des in der Datenschutz-Grundverordnung (DSGVO) vorgesehenen Datenschutzes fest . Er kam jedoch zu dem Ergebnis, dass ein Einschreiten gegen die Sparkasse nicht geboten sei, da diese gegen die betreffende Mitarbeiterin bereits Disziplinarmaßnahmen ergriffen habe.

Der Kunde geht gegen diese Weigerung bei einem deutschen Gericht vor und beantragt, den Datenschutzbeauftragten zum Einschreiten gegen die Sparkasse zu verpflichten. Er macht u. a. geltend, dass der Datenschutzbeauftragte gegen die Sparkasse Bußgelder hätte verhängen müssen.

Das deutsche Gericht hat den Gerichtshof zu den Befugnissen und Pflichten des Datenschutzbeauftragten als „Aufsichtsbehörde“ im Sinne der DSGVO befragt.

Nach Ansicht von Generalanwalt Pikamäe ist die Aufsichtsbehörde zum Einschreiten verpflichtet, wenn sie bei der Prüfung einer Beschwerde eine Verletzung des Schutzes personenbezogener Daten feststelle. Insbesondere habe sie die Abhilfemaßnahme(n) zu ermitteln, die zur Behebung des Verstoßes und zur Durchsetzung der Rechte der betroffenen Person am besten geeignet sei bzw. seien.

In diesem Zusammenhang räume die DSGVO der Aufsichtsbehörde zwar ein gewisses Ermessen ein, verlange jedoch, dass die Maßnahmen geeignet, erforderlich und verhältnismäßig seien. Daraus ergebe sich zum einen, dass das Ermessen bei der Wahl der Mittel beschränkt sei, wenn der erforderliche Schutz nur durch ganz bestimmte Maßnahmen gewährleistet werden könne, und zum anderen, dass die Aufsichtsbehörde unter bestimmten Voraussetzungen auf die Maßnahmen nach der DSGVO verzichten dürfe, wenn dies durch die besonderen Umstände des Einzelfalls gerechtfertigt sei. Dies könne insbesondere dann der Fall sein, wenn der Verantwortliche bestimmte Maßnahmen aus eigener Initiative ergriffen habe. Jedenfalls habe die betroffene Person keinen Anspruch auf Erlass einer bestimmten Maßnahme . Diese Grundsätze gälten auch für die Geldbußenregelung.


Die vollständigen Schlussanträge finden Sie hier:




EuGH: Lebenslange Speicherung biometrischer und genetischer Daten von Straftätern ohne regelmäßige Notwendigkeitsprüfung verstößt gegen DSGVO

EuGH
Urteil vom 30.01.2024
C-118/22

Der EuGH hat entschieden, dass die lebenslange Speicherung biometrischer und genetischer Daten von Straftätern ohne regelmäßige Notwendigkeitsprüfung gegen die Vorgaben der DSGVO verstößt.

Tenor der Entscheidung:
Art. 4 Abs. 1 Buchst. c und e der Richtlinie (EU) 2016/680 des Europäischen Parlaments und des Rates vom 27. April 2016 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten durch die zuständigen Behörden zum Zwecke der Verhütung, Ermittlung, Aufdeckung oder Verfolgung von Straftaten oder der Strafvollstreckung sowie zum freien Datenverkehr und zur Aufhebung des Rahmenbeschlusses 2008/977/JI des Rates in Verbindung mit ihren Art. 5 und 10, ihrem Art. 13 Abs. 2 Buchst. b und ihrem Art. 16 Abs. 2 und 3 sowie im Licht der Art. 7 und 8 der Charta der Grundrechte der Europäischen Union

ist dahin auszulegen, dass

er nationalen Rechtsvorschriften entgegensteht, die vorsehen, dass die Polizeibehörden zum Zweck der Verhütung, Ermittlung, Aufdeckung oder Verfolgung von Straftaten oder der Strafvollstreckung personenbezogene und insbesondere biometrische und genetische Daten, die wegen einer vorsätzlichen Offizialstraftat rechtskräftig verurteilte Personen betreffen, speichern, und zwar bis zum Tod der betroffenen Person und auch im Fall ihrer Rehabilitierung, ohne den Verantwortlichen zu verpflichten, regelmäßig zu überprüfen, ob diese Speicherung noch notwendig ist, und ohne dieser Person das Recht auf Löschung dieser Daten, sobald deren Speicherung für die Zwecke, für die sie verarbeitet worden sind, nicht mehr erforderlich ist, oder gegebenenfalls das Recht auf Beschränkung der Verarbeitung dieser Daten zuzuerkennen.

Den Volltext der Entscheidung finden Sie hier:

BVerfG: Regelungen zur automatisierten Datenanalyse für die vorbeugende Bekämpfung von Straftaten in Hessen und Hamburg verfassungswidrig

BVerfG
Urteil vom 16.02.2023
1 BvR 1547/19 und 1 BvR 2634/20


Das Bundesverfassungsgericht hat entschieden, dass die Regelungen zur automatisierten Datenanalyse für die vorbeugende Bekämpfung von Straftaten in Hessen und Hamburg verfassungswidrig sind. Es liegt ein rechtswidriger Eingriff in das Recht auf informationelle Selbstbestimmung (Art. 2 Abs. 1 in Verbindung mit Art. 1 Abs. 1 GG) vor.

Die Pressemitteilung des Bundesverfassungsgerichts:
Regelungen in Hessen und Hamburg zur automatisierten Datenanalyse für die vorbeugende Bekämpfung von Straftaten sind verfassungswidrig

Mit heute verkündetem Urteil hat der Erste Senat des Bundesverfassungsgerichts entschieden, dass § 25a Abs. 1 Alt. 1 des Hessischen Gesetzes über die öffentliche Sicherheit und Ordnung (HSOG) und § 49 Abs. 1 Alt. 1 des Hamburgischen Gesetzes über die Datenverarbeitung der Polizei (HmbPolDVG) verfassungswidrig sind. Sie ermächtigen die Polizei, gespeicherte personenbezogene Daten mittels automatisierter Anwendung im Rahmen einer Datenanalyse (Hessen) oder einer Datenauswertung (Hamburg) weiter zu verarbeiten.

Die Vorschriften verstoßen gegen das allgemeine Persönlichkeitsrecht aus Art. 2 Abs. 1 in Verbindung mit Art. 1 Abs. 1 Grundgesetz (GG) in seiner Ausprägung als informationelle Selbstbestimmung, weil sie keine ausreichende Eingriffsschwelle enthalten. Sie ermöglichen eine Weiterverarbeitung gespeicherter Datenbestände mittels einer automatisierten Datenanalyse oder -auswertung in begründeten Einzelfällen, wenn dies zur vorbeugenden Bekämpfung bestimmter Straftaten erforderlich ist. Dieser Eingriffsanlass bleibt angesichts der besonders daten- und methodenoffen formulierten Befugnisse weit hinter der wegen des konkreten Eingriffsgewichts verfassungsrechtlich gebotenen Schwelle einer konkretisierten Gefahr zurück.

§ 25a Abs. 1 Alt. 1 HSOG gilt bis zu einer Neuregelung, längstens jedoch bis zum 30. September 2023 mit einschränkender Maßgabe fort. § 49 Abs. 1 Alt. 1 HmbPolDVG ist nichtig.

Sachverhalt:

Die beiden weitgehend gleichlautenden Regelungen in § 25a Abs. 1 HSOG und in § 49 Abs. 1 HmbPolDVG schaffen eine spezielle Rechtsgrundlage dafür, bisher unverbundene, automatisierte Dateien und Datenquellen in Analyseplattformen zu vernetzen und die vorhandenen Datenbestände durch Suchfunktionen systematisch zu erschließen. Die Vorschriften ermächtigen die Polizei, in begründeten Einzelfällen zur vorbeugenden Bekämpfung schwerer Straftaten im Sinne von § 100a Abs. 2 StPO (Alternative 1) oder zur Abwehr von Gefahren für bestimmte Rechtsgüter (Alternative 2) gespeicherte personenbezogene Daten mittels automatisierter Anwendung im Rahmen einer Datenanalyse (Hessen) oder einer Datenauswertung (Hamburg) weiter zu verarbeiten. Auf diese Weise können nach Absatz 2 der jeweiligen Regelung insbesondere Beziehungen oder Zusammenhänge zwischen Personen, Personengruppierungen, Institutionen, Organisationen, Objekten und Sachen hergestellt, unbedeutende Informationen und Erkenntnisse ausgeschlossen, die eingehenden Erkenntnisse bekannten Sachverhalten zugeordnet sowie gespeicherte Daten statistisch ausgewertet werden.

In Hessen wird von den Befugnissen des § 25a HSOG jährlich tausendfach über die Analyseplattform „hessenDATA“ Gebrauch gemacht. Demgegenüber wird § 49 HmbPolDVG bislang nicht angewendet.

Wesentliche Erwägungen des Senats:

A. Die Verfassungsbeschwerden sind nur zulässig, soweit sie gegen die Eingriffsschwelle in § 25a Abs. 1 Alt. 1 HSOG und § 49 Abs. 1 Alt. 1 HmbPolDVG (Datenanalyse oder -auswertung zur vorbeugenden Bekämpfung von Straftaten) gerichtet sind. Im Übrigen sind sie unzulässig.

B. Soweit sie zulässig sind, sind die Verfassungsbeschwerden auch begründet.

I. Werden gespeicherte Datenbestände mittels einer automatisierten Anwendung zur Datenanalyse oder -auswertung verarbeitet, greift dies in die informationelle Selbstbestimmung aller ein, deren Daten bei diesem Vorgang personenbezogen Verwendung finden. Ein Grundrechtseingriff liegt hier nicht nur in der weiteren Verwendung vormals getrennter Daten, sondern darüber hinaus in der Erlangung besonders grundrechtsrelevanten neuen Wissens, das durch die automatisierte Datenauswertung oder -analyse geschaffen werden kann.

II. Eine automatisierte Datenanalyse oder -auswertung bedarf verfassungsrechtlicher Rechtfertigung. Diese ist grundsätzlich möglich. Sie setzt insbesondere die Vereinbarkeit mit dem Grundsatz der Verhältnismäßigkeit voraus, dessen Anforderungen sich nach der konkreten Reichweite der Befugnis richten. Die angegriffenen Regelungen dienen dem legitimen Zweck, vor dem Hintergrund informationstechnischer Entwicklung die Wirksamkeit der vorbeugenden Bekämpfung schwerer Straftaten zu steigern, indem Anhaltspunkte für bevorstehende schwere Straftaten gewonnen werden, die im Datenbestand der Polizei ansonsten unerkannt blieben. Es wurde hier dargelegt, die Polizeibehörden seien infolge der insbesondere in den Bereichen terroristischer und extremistischer Gewalt sowie der organisierten und schweren Kriminalität zunehmenden Nutzung digitaler Medien und Kommunikationsmittel mit einem ständig anwachsenden und nach Qualität und Format zunehmend heterogenen Datenaufkommen konfrontiert. Die dazu in den polizeilichen Datenbeständen enthaltenen Informationen könnten gerade unter Zeitdruck kaum manuell gewonnen werden; eine automatisierte Datenanalyse sei daher von großer Bedeutung für erfolgreiches polizeiliches Handeln. Zur Steigerung der Wirksamkeit vorbeugender Straftatenbekämpfung sind die Regelungen auch im verfassungsrechtlichen Sinne geeignet. Sie sind auch erforderlich, weil durch eine automatisierte Datenanalyse oder -auswertung für die Verhütung von Straftaten relevante Erkenntnisse erschlossen werden können, die auf andere, grundrechtsschonendere Weise nicht gleichermaßen zu gewinnen wären.

III. Spezielle Anforderungen an die Rechtfertigung des Grundrechtseingriffs ergeben sich hier aus dem Gebot der Verhältnismäßigkeit im engeren Sinne. Wie streng diese Anforderungen im Einzelnen sind, bestimmt sich nach dem Eingriffsgewicht der Maßnahme.

1. Das Eingriffsgewicht einer automatisierten Datenanalyse oder -auswertung ergibt sich zunächst aus dem Gewicht der vorausgegangenen Datenerhebungseingriffe; insoweit gelten die Grundsätze der Zweckbindung und Zweckänderung, wie sie bereits im Urteil zum Bundeskriminalamtgesetz näher konturiert wurden.

Danach kann der Gesetzgeber eine Datennutzung über das für die Datenerhebung maßgebende Verfahren hinaus als weitere Nutzung im Rahmen der ursprünglichen Zwecke dieser Daten erlauben (zweckwahrende Weiternutzung). Diese zweckwahrende Weiternutzung kommt seitens derselben Behörde im Rahmen derselben Aufgabe und für den Schutz derselben Rechtsgüter in Betracht, die bereits für die Datenerhebung maßgeblich waren. Grundsätzlich ist dann die weitere Nutzung als bloßer Spurenansatz erlaubt.

Der Gesetzgeber kann eine weitere Nutzung der Daten aber auch zu anderen Zwecken als denen der ursprünglichen Datenerhebung erlauben (zweckändernde Weiternutzung). Als Maßstab der Verhältnismäßigkeitsprüfung gilt insoweit das Kriterium der hypothetischen Datenneuerhebung. Danach kann der Gesetzgeber die zweckändernde Weiternutzung von Daten der Polizeibehörden grundsätzlich dann erlauben, wenn es sich um Informationen handelt, aus denen sich im Einzelfall konkrete Ermittlungsansätze zur Aufdeckung von vergleichbar gewichtigen Straftaten oder zur Abwehr von zumindest auf mittlere Sicht drohenden Gefahren für vergleichbar gewichtige Rechtsgüter wie die ergeben, zu deren Schutz bereits die entsprechende Datenerhebung zulässig ist.

In beiden Konstellationen gelten strengere Anforderungen für eine Weiternutzung von Daten aus Wohnraumüberwachungen und Online-Durchsuchungen.

Nach § 25a HSOG und § 49 HmbPolDVG können personenbezogene Daten sowohl zweckwahrend als auch zweckändernd weiterverarbeitet werden. Die beiden Vorschriften erlauben die Verarbeitung sehr großer Datenmengen, im Wesentlichen ohne selbst nach der Herkunft der Daten und den ursprünglichen Erhebungszwecken zu unterscheiden. Zur Wahrung der verfassungsrechtlichen Anforderungen der Zweckbindung müssten darum anderweitig hinreichend normenklare Regelungen getroffen sein, die die Einhaltung des Grundsatzes der Zweckbindung rechtlich und praktisch sichern.

2. Darüber hinaus hat die automatisierte Datenanalyse oder -auswertung ein Eigengewicht, weil die weitere Verarbeitung einmal erhobener und gespeicherter Daten durch eine automatisierte Datenanalyse oder -auswertung eigene Belastungseffekte haben kann, die über das Eingriffsgewicht der ursprünglichen Erhebung hinausgehen; insoweit ergeben sich aus dem Grundsatz der Verhältnismäßigkeit im engeren Sinne weitergehende Rechtfertigungsanforderungen.

a) Die automatisierte Datenanalyse oder -auswertung ist darauf gerichtet, neues Wissen zu erzeugen. Die handelnde Behörde kann aus den zur Verfügung stehenden Daten mit praktisch allen informationstechnisch möglichen Methoden weitreichende Erkenntnisse abschöpfen sowie aus der Auswertung neue Zusammenhänge erschließen. Zwar ist es für sich genommen nicht ungewöhnlich, dass die Polizei ihre einmal gewonnenen Erkenntnisse als Spuren- oder Ermittlungsansätze allein oder in Verknüpfung mit anderen ihr zur Verfügung stehenden Informationen als Ausgangspunkt weiterer Ermittlungen nutzt. Die automatisierte Analyse oder Auswertung geht aber schon deshalb weiter, weil sie die Verarbeitung großer und komplexer Informationsbestände ermöglicht. Je nach der eingesetzten Analysemethode können zudem durch verknüpfende Auswertung vorhandener Daten neue persönlichkeitsrelevante Informationen gewonnen werden, die ansonsten so nicht zugänglich wären. Die Maßnahme erschließt die in den Daten enthaltenen Informationen damit intensiver als zuvor. Sie bringt nicht nur in den Daten angelegte, aber zunächst mangels Verknüpfung verborgene Erkenntnisse über Personen hervor, sondern kann sich bei entsprechendem Einsatz einem „Profiling“ annähern. Denn es können sich softwaregestützt neue Möglichkeiten einer Vervollständigung des Bildes von einer Person ergeben, wenn Daten und algorithmisch errechnete Annahmen über Beziehungen und Zusammenhänge aus dem Umfeld der Betroffenen einbezogen werden. Der Grundsatz der Zweckbindung könnte dem Eingriffsgewicht dann für sich genommen nicht hinreichend Rechnung tragen.

b) Insoweit variieren die verfassungsrechtlichen Anforderungen an die Rechtfertigung einer automatisierten Datenanalyse oder -auswertung, da deren eigene Eingriffsintensität je nach gesetzlicher Ausgestaltung ganz unterschiedlich sein kann.

aa) Generell wird das Gewicht eines Eingriffs in die informationelle Selbstbestimmung vor allem durch Art, Umfang und denkbare Verwendung der Daten sowie die Gefahr ihres Missbrauchs bestimmt. Daneben beeinflusst die zugelassene Methode der Datenanalyse oder -auswertung die Eingriffsintensität. Besonderes Eingriffsgewicht kann der Einsatz komplexer Formen des Datenabgleichs haben. Insgesamt ist die Methode automatisierter Datenanalyse oder -auswertung umso eingriffsintensiver, je breitere und tiefere Erkenntnisse über Personen dadurch erlangt werden können, je höher die Fehler- und Diskriminierungsanfälligkeit ist und je schwerer die softwaregestützten Verknüpfungen nachvollzogen werden können.

bb) Mit der vom Gesetzgeber durch Regelungen zu Art und Umfang der Daten und zur Begrenzung der Auswertungsmethode steuerbaren Eingriffsintensität korrespondieren die verfassungsrechtlichen Anforderungen an die Eingriffsvoraussetzungen. Die dem Eingriffsgewicht entsprechenden Anforderungen des Gebots der Verhältnismäßigkeit im engeren Sinne richten sich sowohl an das mit der Maßnahme zu schützende Rechtsgut als auch an die Eingriffsschwelle, also den Anlass der Maßnahme.

Ermöglicht die automatisierte Anwendung einen schwerwiegenden Eingriff in die informationelle Selbstbestimmung der Betroffenen, ist dies nur unter den engen Voraussetzungen zu rechtfertigen, wie sie allgemein für eingriffsintensive heimliche Überwachungsmaßnahmen gelten. Sie sind nur zum Schutz besonders gewichtiger Rechtsgüter – etwa Leib, Leben oder Freiheit der Person – zulässig. Die verfassungsrechtlich erforderliche Eingriffsschwelle ist hier die hinreichend konkretisierte Gefahr.

Hingegen können, wenneine konkretisierte Gefahr vorliegt, weniger gewichtige Eingriffe bereits dann zu rechtfertigen sein, wenn sie dem Schutz von Rechtsgütern von zumindest erheblichem Gewicht dienen, etwa zur Verhütung von Straftaten von zumindest erheblicher Bedeutung. Umgekehrt kann dann, sofern die Maßnahme dem Schutz hochrangiger, überragend wichtiger oder auch besonders gewichtiger Rechtsgüter dient, eine Eingriffsschwelle genügen, die noch hinter einer konkretisierten Gefahr zurückbleibt.

Sind die einbeziehbaren Daten gesetzlich nach Art und Umfang in einer Weise reduziert und die möglichen Methoden der automatisierten Analyse oder Auswertung von vornherein so eingeschränkt, dass eine auf die Befugnis gestützte Maßnahme nicht zu tieferen Einsichten in die persönliche Lebensgestaltung der Betroffenen führt als sie die Behörde, wenngleich aufwendiger und langsamer, auch ohne automatisierte Anwendung realistisch erlangen könnte, oder zielt die Befugnis von vornherein nur darauf, gefährliche oder gefährdete Orte zu identifizieren, ohne dabei personenbezogene Informationen zu generieren, kann sogar bereits die Einhaltung des Grundsatzes der Zweckbindung ausreichen, um die automatisierte Datenverarbeitung zu rechtfertigen.

cc) Die Schwelle einer wenigstens konkretisierten Gefahr für besonders gewichtige Rechtsgüter ist nur dann verfassungsrechtlich verzichtbar, wenn die zugelassenen Analyse- und Auswertungsmöglichkeiten normenklar und hinreichend bestimmt in der Sache so eng begrenzt sind, dass das Eingriffsgewicht der Maßnahmen erheblich gesenkt ist. Grundsätzlich kann der Gesetzgeber diese Regelungsaufgabe zwischen sich und der Verwaltung aufteilen. Er muss aber sicherstellen, dass unter Wahrung des Gesetzesvorbehalts insgesamt ausreichende Regelungen insbesondere zur Begrenzung von Art und Umfang der Daten und zur Beschränkung der Datenverarbeitungsmethoden getroffen werden. Zur Regelung von Aspekten, die nicht unmittelbar vom Gesetzgeber selbst zu normieren sind, kommt eine Verordnungsermächtigung in Betracht. Darüber hinaus kann der Gesetzgeber hier die Verwaltung verpflichten, die im Gesetz oder in Rechtsverordnungen geregelten Vorgaben in abstrakt-genereller Form weiter zu konkretisieren. In jedem Fall bedarf die Konkretisierung durch Verwaltungsvorschriften aber einer gesetzlichen Grundlage. Darin hat der Gesetzgeber sicherzustellen, dass die für die Anwendung der Bestimmungen im Einzelfall maßgebliche Konkretisierung und Standardisierung seitens der Behörden nachvollziehbar dokumentiert und veröffentlicht wird.

c) Nach den dargelegten generellen Maßstäben ist das spezifische Eingriffsgewicht der daten- und methodenoffen formulierten Befugnisse zur Datenanalyse oder -auswertung nach § 25a Abs. 1 Alt. 1 HSOG und § 49 Abs. 1 Alt. 1 HmbPolDVG potentiell sehr hoch, so dass diese Regelungen von Verfassungs wegen strengen Eingriffsvoraussetzungen genügen müssen. Die Befugnisse lassen die automatisierte Verarbeitung unbegrenzter Datenbestände mittels rechtlich unbegrenzter Methoden zu. Sie erlauben der Polizei so, mit einem Klick umfassende Profile von Personen, Gruppen und Milieus zu erstellen und auch zahlreiche rechtlich unbeteiligte Personen weiteren polizeilichen Maßnahmen zu unterziehen, die in irgendeinem Zusammenhang Daten hinterlassen haben, deren automatisierte Auswertung die Polizei auf die falsche Spur zu ihnen gebracht hat. Daher gilt das Erfordernis einer konkretisierten Gefahr für besonders gewichtige Rechtsgüter.

aa) Die beiden Vorschriften begrenzen die Art und die Menge der bei einer Datenanalyse oder
-auswertung einsetzbaren Daten kaum. Sie regeln nicht, welche Arten von Daten und welche Datenbestände für eine automatisierte Datenanalyse oder -auswertung genutzt werden dürfen. Die Vorschriften unterscheiden insbesondere nicht nach Daten von Personen, die einen Anlass für die Annahme geben, sie könnten eine Straftat begehen oder in besonderer Verbindung zu solchen Personen stehen, und anderen Personen. Sie lassen eine breite Einbeziehung von Daten Unbeteiligter zu, die deshalb polizeilichen Ermittlungsmaßnahmen unterzogen werden könnten.

bb) Dem Wortlaut nach lassen sie zudem sehr weitreichende Methoden der automatisierten Datenanalyse und -auswertung zu. Der Gesetzgeber hat nicht eingegrenzt, welche Methoden der Analyse und Auswertung erlaubt sind. Die angegriffenen Vorschriften ermöglichen auch ein „Data-Mining“ bis hin zur Verwendung selbstlernender Systeme (KI). Dabei sind insbesondere auch offene Suchvorgänge zulässig. Die Datenauswertung oder -analyse darf darauf zielen, allein statistische Auffälligkeiten in den Datenmengen zu entdecken, aus denen dann, möglicherweise auch mit Hilfe weiterer automatisierter Anwendungen, weitere Schlüsse gezogen werden. Die Vorschriften schließen auch bezüglich der erzielbaren Suchergebnisse nichts aus. Nach dem Wortlaut könnte das
Suchergebnis in maschinellen Sachverhaltsbewertungen bestehen – bis hin zu Gefährlichkeitsaussagen über Personen im Sinne eines „predictive policing“.Es könnten also mittels Datenanalyse oder -auswertung neue persönlichkeitsrelevante Informationen erzeugt werden, auf die ansonsten kein Zugriff bestünde. Diese potenzielle Weite erzielbaren neuen Wissens wird auch nicht durch eingriffsmildernde Regelungen zu dessen Verwendung flankiert.

In Hamburg hat der Gesetzgeber den Versuch unternommen, so weitgehende Anwendungen auszuschließen, indem er anstelle des Wortes „Datenanalyse“ das Wort „Datenauswertung“ verwendet hat. Eine verfassungsrechtlich ausreichende Klarstellung, dass durch die automatisierte Anwendung lediglich mittels bestimmter Suchkriterien Übereinstimmungen ausgewiesen werden, nicht jedoch die polizeiliche Aus- und Bewertung der Daten ersetzt werden sollten, ist damit jedoch nicht gelungen.

cc) Die angegriffenen Befugnisse sind auch nicht dadurch verfassungsrechtlich relevant eingegrenzt, dass Techniken einer unbegrenzten Datenauswertung aktuell nicht zur Verfügung stünden. Selbst wenn Funktionsweiterungen erst infolge weiterer technischer Entwicklungen möglich sind, richten sich die verfassungsrechtlichen Anforderungen grundsätzlich nach den rechtlich schon jetzt geschaffenen Eingriffsmöglichkeiten.

IV. § 25a Abs. 1 Alt. 1 HSOG und § 49 Abs. 1 Alt. 1 HmbPolDVG genügen danach nicht den Anforderungen der Verhältnismäßigkeit im engeren Sinne, weil sie keine hinreichende Eingriffsschwelle enthalten.

1. Soweit die angegriffenen Vorschriften zur Datenanalyse oder -auswertung zwecks Verhütung der in § 100a Abs. 2 StPO genannten Straftaten ermächtigen, ist der Eingriffsanlass angesichts des beschriebenen Eingriffsgewichts unverhältnismäßig weit und damit verfassungswidrig geregelt. Auch die weitere Maßgabe beider Regelungen, es müsse ein begründeter Einzelfall vorliegen, enthält hier kaum nähere inhaltliche Festlegungen. In der mündlichen Verhandlung wurde zwar ein engeres Konzept beschrieben, nach dem die Voraussetzung des „Einzelfalls“ in der hessischen Polizeipraxis verstanden und angewendet werde. Es werde durchgehend an eine bereits begangene Straftat oder wenigstens den durch Tatsachen belegten Verdacht einer bereits begangenen Straftat angeknüpft und daraus eine Prognose für die Zukunft hergeleitet: Zum einen müsse für die Vergangenheit davon ausgegangen werden können, dass bereits eine Straftat nach § 100a Abs. 2 StPO begangen wurde. Zum anderen müsse aufgrund dieser Situation für die Zukunft mit weiteren, gleichgelagerten Straftaten zu rechnen sein.

Ungeachtet der näheren Ausgestaltung der hessischen Anwendungspraxis sind die verfassungsrechtlichen Anforderungen derzeit aber schon deshalb nicht erfüllt, weil das Konzept der hessischen Praxis von vornherein nicht auf die Identifizierung einer wenigstens konkretisierten Gefahr und der zu deren Abwehr geeigneten Daten zielt. Das ist aber wegen der daten- und methodenoffenen Ausgestaltung der Befugnis in § 25a HSOG und § 49 HmbPolDVG erforderlich.

Die angegriffenen Vorschriften regeln auch deshalb keine hinreichende Eingriffsschwelle, weil über den Katalog des § 100a Abs. 2 StPO auch Gefährdungstatbestände erfasst sind. Zwar ist dem Gesetzgeber verfassungsrechtlich nicht verwehrt, zur Bestimmung der Eingriffsvoraussetzungen auch an die Gefahr der Begehung von Vorfeldtatbeständen anzuknüpfen. Er muss dann aber eigens sicherstellen, dass in jedem Einzelfall eine konkrete oder konkretisierte Gefahr für die durch den Straftatbestand geschützten Rechtsgüter vorliegt. Daran fehlt es hier.

2. Die vorbeugende Bekämpfung von Straftaten im Sinne von § 25a Abs. 1 Alt. 1 HSOG und § 49 Abs. 1 Alt. 1 HmbPolDVG umfasst nach der gesetzlichen Definition nicht nur die Verhütung von Straftaten, sondern auch die Vorsorge zur Verfolgung künftiger Straftaten. Polizeiliche Datenbestände sollen im Wege der automatischen Datenauswertung genutzt werden, um Erkenntnisse für die zukünftige Aufklärungsarbeit und Ermittlungsverfahren zu gewinnen. Dass bereits eine Sachlage gegeben sein müsste, bei der eine konkrete oder eine konkretisierte Gefahr besteht, ist dem nicht zu entnehmen. Damit fehlt es auch hier an jeder eingrenzenden Konkretisierung des Eingriffsanlasses.

C. § 25a Abs. 1 Alt. 1 HSOG gilt bis zu einer Neuregelung, längstens bis zum 30. September 2023 fort. Angesichts der Bedeutung, die der Gesetzgeber der Befugnis für die staatliche Aufgabenwahrnehmung beimessen darf, und wegen ihrer Bedeutung für die hessische Polizeipraxis ist eine befristete Fortgeltung eher hinzunehmen als eine Nichtigerklärung.

Die befristete Anordnung der Fortgeltung bedarf mit Blick auf die betroffenen Grundrechte jedoch einschränkender Maßgaben, die eine Neuregelung durch den Gesetzgeber aber nicht präjudizieren. Unter Zugrundelegung des in der hessischen Praxis gewählten Konzepts wird angeordnet, dass von der Befugnis des § 25a Abs. 1 Alt. 1 HSOG nur Gebrauch gemacht werden darf, wenn bestimmte, genügend konkretisierte Tatsachen den Verdacht begründen, dass eine besonders schwere Straftat im Sinne von § 100b Absatz 2 StPO begangen wurde und aufgrund der konkreten Umstände eines solchen im Einzelfall bestehenden Tatverdachts für die Zukunft mit weiteren, gleichgelagerten Straftaten zu rechnen ist, die Leib, Leben oder den Bestand oder die Sicherheit des Bundes oder eines Landes gefährden, wenn das Vorliegen dieser Voraussetzungen und die konkrete Eignung der verwendeten Daten zur Verhütung der zu erwartenden Straftat durch eigenständig auszuformulierende Erläuterung begründet wird und wenn sichergestellt ist, dass keine Informationen in die Datenanalyse einbezogen werden, die aus Wohnraumüberwachung, Online-Durchsuchung, Telekommunikationsüberwachung, Verkehrsdatenabfrage, länger andauernder Observation, unter Einsatz von verdeckt ermittelnden Personen oder Vertrauenspersonen oder aus vergleichbar schwerwiegenden Eingriffen in die informationelle Selbstbestimmung gewonnen wurden.

§ 49 Abs. 1 Alt. 1 HmbPolDVG ist nichtig. Es sind keine Umstände ersichtlich, die eine befristete Fortgeltungsanordnung erforderten und rechtfertigten.



EuGH: EU-Geldwäscherichtlinie wegen Verstoßes gegen Art. 7 und Art. 8 der EU-Grundrechte-Charta teilweise unwirksam - Zugang zu Geldwäscheregister

EuGH
Urteil vom 22.11.2022
in den verbunden Rechtssachen
C-37/20 und C-601/20
WM (C‑37/20), Sovim SA (C‑601/20) gegen Luxemburg Business Registers


Der EuGH hat entschieden, dass die EU-Geldwäscherichtlinie wegen eines Verstoßes gegen Art. 7 und Art. 8 der EU-Grundrechte-Charta teilweise unwirksam ist.

Die Pressemitteilung des EuGH:
Geldwäscherichtlinie: Die Bestimmung, dass die Angaben über die wirtschaftlichen Eigentümer von im Hoheitsgebiet der Mitgliedstaaten eingetragenen Gesellschaften in allen Fällen für alle Mitglieder der Öffentlichkeit zugänglich sein müssen, ist ungültig

Der mit dieser Maßnahme verbundene Eingriff in die durch die Charta gewährleisteten Rechte ist weder auf das absolut Erforderliche beschränkt noch steht er in einem angemessenen Verhältnis zum verfolgten Ziel Gemäß der Geldwäscherichtlinie wurde durch ein im Jahr 2019 erlassenes luxemburgischen Gesetz ein Registre des bénéficiaires effectifs (Register der wirtschaftlichen Eigentümer) geschaffen. Dieses Gesetz sieht vor, dass eine Reihe von Informationen über die wirtschaftlichen Eigentümer der eingetragenen Einrichtungen in dieses Register aufgenommen und gespeichert werden. Zu einem Teil dieser Informationen hat die breite Öffentlichkeit Zugang, u. a. über das Internet. Ferner hat ein wirtschaftlicher Eigentümer nach diesem Gesetz die Möglichkeit, bei Luxembourg Business Registers (LBR), dem Verwalter des Registers, zu beantragen, den Zugang zu solchen Informationen in bestimmten Fällen zu beschränken.

In diesem Zusammenhang wurden beim Bezirksgericht Luxemburg Klagen von einer luxemburgischen Gesellschaft und dem wirtschaftlichen Eigentümer einer solchen Gesellschaft eingereicht, die erfolglos bei LBR beantragt hatten, den Zugang der breiten Öffentlichkeit zu den sie betreffenden Informationen zu beschränken. Dieses Gericht vertrat die Ansicht, dass die Verbreitung solcher Informationen ein unverhältnismäßiges Risiko einer Beeinträchtigung der Grundrechte der betroffenen wirtschaftlichen Eigentümer mit sich bringen könne, und stellte daher dem Gerichtshof eine Reihe von Vorlagefragen nach der Auslegung gewisser Bestimmungen der Geldwäscherichtlinie und zu deren Gültigkeit im Licht der Charta der Grundrechte der Europäischen Union (im Folgenden: Charta).

In seinem heutigen Urteil stellt der Gerichtshof (Große Kammer) die im Licht der Charta bestehende Ungültigkeit derjenigen Bestimmung der Geldwäscherichtlinie fest, nach der die Mitgliedstaaten in allen Fällen den Zugang aller Mitglieder der Öffentlichkeit zu den Informationen über die wirtschaftlichen Eigentümer der in ihrem Gebiet eingetragenen Gesellschaften oder anderen juristischen Personen sicherzustellen haben. Nach Ansicht des Gerichtshofs stellt der Zugang aller Mitglieder der Öffentlichkeit zu den Informationen über die wirtschaftlichen Eigentümer einen schwerwiegenden Eingriff in die Grundrechte auf Achtung des Privatlebens und auf Schutz personenbezogener Daten dar, die in den Art. 7 bzw. 8 der Charta verankert sind. Die verbreiteten Angaben ermöglichen es nämlich einer potenziell unbegrenzten Zahl von Personen, sich über die materielle und finanzielle Situation eines wirtschaftlichen Eigentümers Kenntnis zu verschaffen. Außerdem werden die möglichen Folgen einer etwaigen missbräuchlichen Verwendung ihrer personenbezogenen Daten für die betroffenen Personen dadurch verschärft, dass diese Daten, sobald sie der Öffentlichkeit zur Verfügung gestellt worden sind, nicht nur frei abgerufen, sondern auch auf Vorrat gespeichert und verbreitet werden können.

Allerdings möchte der Unionsgesetzgeber mit der fraglichen Maßnahme Geldwäsche und Terrorismusfinanzierung verhindern, indem er mittels erhöhter Transparenz ein Umfeld schafft, das weniger leicht für diese Zwecke genutzt werden kann. Nach Auffassung des Gerichtshofs verfolgt der Gesetzgeber somit eine dem Gemeinwohl dienende Zielsetzung, die selbst schwerwiegende Eingriffe in die in den Art. 7 und 8 der Charta verankerten Grundrechte zu rechtfertigen vermag; auch ist der Zugang aller Mitglieder der Öffentlichkeit zu den Informationen über die wirtschaftlichen Eigentümer zur Verwirklichung dieser Zielsetzung geeignet.

Der Gerichtshof stellt jedoch fest, dass der Eingriff, den diese Maßnahme mit sich bringt, weder auf das absolut Erforderliche beschränkt ist noch in einem angemessenen Verhältnis zur verfolgten Zielsetzung steht. Neben der Tatsache, dass die fraglichen Bestimmungen die öffentliche Zugänglichmachung von Daten gestatten, die weder hinreichend bestimmt noch identifizierbar sind, stellt die mit der Geldwäscherichtlinie eingeführte Regelung einen erheblich schwereren Eingriff in die in den Art. 7 und 8 der Charta verbürgten Grundrechte dar als die Vorgängerregelung (die neben dem Zugang der zuständigen Behörden und bestimmter Einrichtungen den Zugang aller Personen oder Organisationen vorsah, die ein berechtigtes Interesse nachweisen konnten), ohne dass diese zusätzliche Schwere durch etwaige Vorteile kompensiert würde, die sich aus der neuen Regelung im Vergleich zur früheren hinsichtlich der Bekämpfung von Geldwäsche und Terrorismusfinanzierung ergeben könnten.

Insbesondere das von der Kommission geltend gemachte etwaige Vorliegen von Schwierigkeiten bei der genauen Bestimmung der Fälle und Bedingungen, in bzw. unter denen ein solch berechtigtes Interesse besteht, kann nicht rechtfertigen, dass der Unionsgesetzgeber den Zugang aller Mitglieder der Öffentlichkeit zu den fraglichen Informationen vorsieht. Zudem hält der Gerichtshof die fakultativen Bestimmungen, die es den Mitgliedstaaten erlauben, die Bereitstellung der Informationen über die wirtschaftlichen Eigentümer von einer Online-Registrierung abhängig zu machen und für außergewöhnliche Umstände Ausnahmen vom Zugang aller Mitglieder der Öffentlichkeit zu diesen Informationen vorzusehen, als solche für weder geeignet, zu belegen, dass eine ausgewogene Gewichtung der dem Gemeinwohl dienenden Zielsetzung und der in den Art. 7 und 8 der Charta verankerten Grundrechte vorgenommen wurde, noch, dass hinreichende Garantien bestehen, die es den betroffenen Personen ermöglichen, ihre personenbezogenen Daten wirksam gegen Missbrauchsrisiken zu schützen.


Tenor der Entscheidung:
Art. 1 Nr. 15 Buchst. c der Richtlinie (EU) 2018/843 des Europäischen Parlaments und des Rates vom 30. Mai 2018 zur Änderung der Richtlinie (EU) 2015/849 zur Verhinderung der Nutzung des Finanzsystems zum Zwecke der Geldwäsche und der Terrorismusfinanzierung und zur Änderung der Richtlinien 2009/138/EG und 2013/36/EU ist ungültig, soweit durch diese Bestimmung Art. 30 Abs. 5 Unterabs. 1 Buchst. c der Richtlinie (EU) 2015/849 des Europäischen Parlaments und des Rates vom 20. Mai 2015 zur Verhinderung der Nutzung des Finanzsystems zum Zwecke der Geldwäsche und der Terrorismusfinanzierung, zur Änderung der Verordnung (EU) Nr. 648/2012 des Europäischen Parlaments und des Rates und zur Aufhebung der Richtlinie 2005/60/EG des Europäischen Parlaments und des Rates und der Richtlinie 2006/70/EG der Kommission dahin geändert wurde, dass dieser Art. 30 Abs. 5 Unterabs. 1 Buchst. c der Richtlinie 2015/849 in seiner so geänderten Fassung vorsieht, dass die Mitgliedstaaten sicherstellen, dass die Informationen über die wirtschaftlichen Eigentümer der in ihrem Gebiet eingetragenen Gesellschaften oder anderen juristischen Personen in allen Fällen für alle Mitglieder der Öffentlichkeit zugänglich sind.

Den Volltext der Entscheidung finden Sie hier:


EuGH: Schrittweise eingeführtes Verkaufsverbot für aromatisierten Tabak ist europarechtskonform

EuGH
Urteil vom 30.01.2019
C-220/17
Planta Tabak-Manufaktur Dr. Manfred Obermann GmbH & Co. KG / Land Berlin


Der EuGH hat entschieden, dass das schrittweise eingeführte Verkaufsverbot für aromatisierten Tabak europarechtskonform ist.

Die Pressemitteilung

Das unionsweite schrittweise Verbot von Zigaretten und Tabak zum Selbstdrehen, die Aromastoffe enthalten, ist gültig

Dieses Verbot verstößt weder gegen die Grundsätze der Rechtssicherheit, der Gleichbehandlung und der Verhältnismäßigkeit noch gegen den Grundsatz des freien Warenverkehrs.

Das deutsche Unternehmen Planta Tabak stellt Tabakerzeugnisse her und vertreibt sie, insbesondere aromatisierten Tabak zum Selbstdrehen. Es begehrt vor dem Verwaltungsgericht Berlin die Feststellung, dass bestimmte deutsche Rechtsvorschriften , die das Verbot von Aromen, die Schockfotos und das Verbot der Werbung für Aromen betreffen, auf seine Erzeugnisse nicht anwendbar sind. Mit diesen Vorschriften wird die Richtlinie von 20142 über Tabakerzeugnisse umgesetzt, deren Gültigkeit Planta Tabak bestreitet. Da das Verwaltungsgericht Zweifel in Bezug auf die Gültigkeit und die Auslegung der einschlägigen Richtlinienbestimmungen hat, hat es dem Gerichtshof eine Reihe von Fragen vorgelegt.

Mit seinem Urteil von heute stellt der Gerichtshof fest, dass das Verbot des Inverkehrbringens, das für Zigaretten und Tabak zum Selbstdrehen mit einem charakteristischen Aroma, deren unionsweite Verkaufsmengen weniger als 3 % dieser Kategorien darstellen, seit dem 20. Mai 2016 und in den übrigen Fällen ab dem 20. Mai 2020 gilt, gültig ist.

Der Umstand, dass die Richtlinie keine näheren Angaben dazu enthält, bei welchen Erzeugnissen
die Verkaufsmengen 3 % oder mehr darstellen, und keine konkrete Verfahrensweise für ihre Bestimmung vorsieht, bedeutet nicht, dass die Richtlinie gegen den Grundsatz der Rechtssicherheit verstößt. Das Verfahren, um festzustellen, ob ein bestimmtes Tabakerzeugnis die 3%-Grenze erreicht, ist im nationalen Recht des betreffenden Mitgliedstaats zu regeln.

Die Unterscheidung anhand der Verkaufsmengen ist objektiv gerechtfertigt und verstößt daher nicht gegen den Grundsatz der Gleichbehandlung. Der Unionsgesetzgeber war nämlich berechtigt, schrittweise vorzugehen, um den Verbrauchern von Erzeugnissen mit hohen Verkaufsmengen ausreichend Zeit zu geben, zu anderen Erzeugnissen zu wechseln.

Das Verbot des Inverkehrbringens von Tabakerzeugnissen, die Aromastoffe enthalten, geht auch nicht offensichtlich über das hinaus, was zur Gewährleistung eines hohen Schutzes der menschlichen Gesundheit, besonders für junge Menschen, erforderlich ist, und verstößt daher nicht gegen den Grundsatz der Verhältnismäßigkeit. Es wird nämlich nicht bestritten, dass bestimmte Aromen insbesondere für junge Menschen attraktiv sind und den Einstieg in den Tabakkonsum erleichtern.

Außerdem stellt das fragliche Verbot zwar eine Beschränkung des freien Warenverkehrs dar, die jedoch durch die Abwägung seiner wirtschaftlichen Folgen gegen das Erfordernis, einen hohen
Schutz der menschlichen Gesundheit zu gewährleisten, gerechtfertigt ist.

Zu den Fristen für die Umsetzung der Richtlinie in nationales Recht führt der Gerichtshof aus, dass
es den Mitgliedstaaten nicht gestattet ist, ergänzende Übergangsfristen neben den in der Richtlinie
vorgesehenen Fristen festzulegen.

Der Gerichtshof stellt hierzu fest, dass die Frist von zwei Jahren, über die die Mitgliedstaaten verfügten, um die zur Umsetzung der Richtlinie erforderlichen Bestimmungen zu erlassen und sicherzustellen, dass den betroffenen Wirtschaftsteilnehmern ausreichend Zeit zur Anpassung an die Vorgaben der Richtlinie bleibt, im Hinblick auf den Grundsatz der Verhältnismäßigkeit ausreicht.

Zum Verbot der Verwendung auf den Geschmack, Geruch, Aroma- oder sonstige Zusatzstoffe bezogener Informationen führt der Gerichtshof aus, dass die Richtlinie den Mitgliedstaaten aufgibt, die Verwendung solcher Informationen auch dann zu verbieten, wenn es sich um nicht werbliche Informationen handelt und die Verwendung der betreffenden Inhaltsstoffe weiterhin erlaubt ist. Der Unionsgesetzgeber wollte nämlich nicht zwischen werblichen Informationen und nicht werblichen Informationen unterscheiden. In Bezug auf das Verbot, auf der Kennzeichnung der Packung und der Außenverpackung sowie dem Tabakerzeugnis selbst Marken anzubringen, die sich auf einen Aromastoff beziehen, stellt der Gerichtshof fest, dass diese Beschränkung nicht einem Entzug des
Eigentumsrechts gleichkommt, sondern es lediglich einschränkt. Die Richtlinie lässt nämlich
die Freiheit der Inhaber solcher Markennamen unberührt, sie in jeder anderen Weise zu nutzen,
etwa beim Großhandelsverkauf.

Außerdem ist dieses Verbot, da Tabakerzeugnisse, die Aromastoffe enthalten, den Einstieg in den
Tabakkonsum erleichtern oder die Konsumgewohnheiten beeinflussen, geeignet, ihre Anziehungskraft zu verringern, und entspricht den von der Union anerkannten dem Gemeinwohl dienenden Zielsetzungen, indem es dazu beiträgt, einen hohen Schutz der öffentlichen Gesundheit zu gewährleisten.


Den Volltext der Entscheidung finden Sie hier:



EuGH: Anlasslose Vorratsdatenspeicherung von Verkehrs- und Standortdaten unzulässig - Schutz des Grundrechts auf Achtung des Privatlebens geht vor

EuGH
Urteil vom 21.12.2016
in den verbundenen Rechtssachen
C-203/15,
Tele2 Sverige AB / Post- och telestyrelsen
C-698/15,
Secretary of State for the Home Department / Tom Watson u. a


Der EuGH hat entschieden, dass die anlasslose Vorratsdatenspeicherung von Verkehrs- und Standortdaten unzulässig ist. Der EuGH führt aus, dass der Schutz des Grundrechts auf Achtung des Privatlebens im Rahmen einer Güterabwägung vorgeht, da die im Rahmen der Vorratsdatenspeicherung gespeicherten Daten sehr genaue Schlüsse auf das Privatleben der jeweiligen Personen zulassen. Lediglich die Bekämpfung besonders schwerer Straftaten könnte diesen Grundrechtseingriff rechtfertigen. Die hier streitgegenständlichen Regelungen der Mitgliedsstaaten genügen diesen Anforderungen nicht.


Die Pressemitteilung des EuGH:

Die Mitgliedstaaten dürfen den Betreibern elektronischer Kommunikationsdienste keine allgemeine Verpflichtung zur Vorratsdatenspeicherung auferlegen

Das Unionsrecht untersagt eine allgemeine und unterschiedslose Vorratsspeicherung von Verkehrs- und Standortdaten. Es steht den Mitgliedstaaten aber frei, vorbeugend eine gezielte Vorratsspeicherung dieser Daten zum alleinigen Zweck der Bekämpfung schwerer Straftaten vorzusehen, sofern eine solche Speicherung hinsichtlich der Kategorien von zu speichernden
Daten, der erfassten Kommunikationsmittel, der betroffenen Personen und der vorgesehenen Dauer der Speicherung auf das absolut Notwendige beschränkt ist. Der Zugang der nationalen Behörden zu den auf Vorrat gespeicherten Daten muss von Voraussetzungen abhängig gemacht erden, zu denen insbesondere eine vorherige Kontrolle durch eine unabhängige Stelle und die Vorratsspeicherung der Daten im Gebiet der Union gehören

Mit dem Urteil hat der Gerichtshof die Richtlinie über die Vorratsspeicherung von Daten für ungültig erklärt, weil der Eingriff in die Grundrechte auf Achtung des Privatlebens und Schutz personenbezogener Daten durch die mit dieser Richtlinie vorgeschriebene allgemeine Verpflichtung zur Vorratsspeicherung von Verkehrs- und Standortdaten nicht auf das absolut Notwendige beschränkt war. Im Anschluss an dieses Urteil ist der Gerichtshof mit zwei Rechtssachen befasst worden, in denen
es um die den Betreibern elektronischer Kommunikationsdienste in Schweden und im Vereinigten Königreich auferlegte allgemeine Verpflichtung geht, Daten elektronischer Kommunikationsvorgänge, deren Vorratsspeicherung in der für ungültig erklärten Richtlinie vorgesehen war, auf Vorrat zu speichern.

Am Tag nach der Verkündung des Urteils Digital Rights Ireland teilte das Telekommunikationsunternehmen Tele2 Sverige der schwedischen Überwachungsbehörde für Post und Telekommunikation mit, dass es die Vorratsspeicherung von Daten einstellen werde und beabsichtige, die bereits gespeicherten Daten zu löschen (Rechtssache C-203/15). Nach schwedischem Recht sind die Betreiber elektronischer Kommunikationsdienste nämlich verpflichtet, systematisch und kontinuierlich, und dies ohne jede Ausnahme, sämtliche Verkehrs- und Standortdaten aller Teilnehmer und registrierten Nutzer in Bezug auf alle elektronischen Kommunikationsmittel zu speichern.

In der Rechtssache C-698/15 klagten Herr Tom Watson, Herr Peter Brice und Herr Geoffrey Lewis gegen die britischen Regelung über die Vorratsspeicherung von Daten, die den Innenminister ermächtigt, die Betreiber öffentlicher Telekommunikationsdienste zu verpflichten, sämtliche Kommunikationsdaten für bis zu zwölf Monate auf Vorrat zu speichern, wobei die Speicherung des Inhalts der Kommunikationsvorgänge ausgeschlossen ist.

Der Gerichtshof ist vom Kammarrätt i Stockholm (Oberverwaltungsgericht Stockholm, Schweden) und vom Court of Appeal (England and Wales) (Civil Division) (Rechtsmittelgerichtshof für England und Wales, Vereinigtes Königreich) gefragt worden, ob nationale Regelungen, die den Betreibern eine allgemeine Verpflichtung zur Vorratsspeicherung von Daten auferlegen und den zuständigen nationalen Behörden den Zugang zu den gespeicherten Daten ermöglichen, ohne dass dieser Zugang auf die Zwecke der Bekämpfung schwerer Straftaten beschränkt wäre und einer vorherigen Kontrolle durch ein Gericht oder eine unabhängige Verwaltungsbehörde unterworfen wäre, mit dem Unionsrecht – im vorliegenden Fall der „Datenschutzrichtlinie für elektronische Kommunikation“ im Licht der EU-Grundrechtecharta – vereinbar sind.

In seinem heutigen Urteil antwortet der Gerichtshof, dass das Unionsrecht einer nationalen Regelung entgegensteht, die eine allgemeine und unterschiedslose Speicherung von Daten vorsieht.

Der Gerichtshof bestätigt zunächst, dass die in Rede stehenden nationalen Rechtsvorschriften in den Geltungsbereich der Richtlinie fallen. Denn die mit der Datenschutzrichtlinie garantierte Vertraulichkeit elektronischer Kommunikationen und der Verkehrsdaten gilt für Maßnahmen sämtlicher anderer Personen als der Nutzer, unabhängig davon, ob es sich um private Personen oder Einrichtungen oder um staatliche Einrichtungen handelt.

Sodann stellt der Gerichtshof fest, dass die Datenschutzrichtlinie zwar den Mitgliedstaaten erlaubt, die Tragweite der grundsätzlichen Verpflichtung, die Vertraulichkeit der Kommunikation und der damit verbundenen Verkehrsdaten zu gewährleisten, einzuschränken, sie es aber nicht zu rechtfertigen vermag, dass die Ausnahme von dieser grundsätzlichen Verpflichtung und insbesondere von dem mit dieser Richtlinie aufgestellten Verbot der Speicherung dieser Daten zur Regel wird.

Der Gerichtshof weist außerdem auf seine ständige Rechtsprechung hin, wonach der Schutz des Grundrechts auf Achtung des Privatlebens verlangt, dass sich die Ausnahmen vom Schutz personenbezogener Daten auf das absolut Notwendige beschränken. Der Gerichtshof wendet diese Rechtsprechung sowohl auf die Regeln über die Vorratsdatenspeicherung als auch auf die Regeln über den Zugang zu den gespeicherten Daten an.

In Bezug auf die Vorratsspeicherung stellt der Gerichtshof fest, dass aus der Gesamtheit der gespeicherten Daten sehr genaue Schlüsse auf das Privatleben der Personen, deren Daten auf Vorrat gespeichert wurden, gezogen werden können. Der Grundrechtseingriff, der mit einer nationalen Regelung einhergeht, die eine Speicherung von Verkehrs- und Standortdaten vorsieht, ist somit als besonders schwerwiegend anzusehen. Der Umstand, dass die Vorratsspeicherung der Daten vorgenommen wird, ohne dass die Nutzer elektronischer Kommunikationsdienste darüber informiert werden, ist geeignet, bei den Betroffenen das Gefühl zu erzeugen, dass ihr Privatleben Gegenstand einer ständigen Überwachung ist. Deshalb vermag allein die Bekämpfung schwerer Straftaten einen solchen Grundrechtseingriff zu rechtfertigen.

Der Gerichtshof weist darauf hin, dass eine Regelung, die eine allgemeine und unterschiedslose Vorratsdatenspeicherung vorsieht, keinen Zusammenhang zwischen den Daten, deren Vorratsspeicherung vorgesehen ist, und einer Bedrohung der öffentlichen Sicherheit verlangt und sich insbesondere nicht auf die Daten eines Zeitraums und/oder eines geografischen Gebiets und/oder eines Personenkreises, der in irgendeiner Weise in eine schwere Straftat verwickelt sein könnte, beschränkt. Eine solche nationale Regelung überschreitet somit die Grenzen des absolut Notwendigen und kann nicht als in einer demokratischen Gesellschaft gerechtfertigt angesehen werden, wie es die Richtlinie im Licht derGrundrechtecharta verlangt.

Der Gerichtshof stellt jedoch klar, dass die Datenschutzrichtlinie einer nationalen Regelung nicht entgegensteht, die zur Bekämpfung schwerer Straftaten eine gezielte Vorratsspeicherung von Daten ermöglicht, sofern diese Vorratsspeicherung hinsichtlich der Kategorien von zu speichernden Daten, der erfassten Kommunikationsmittel, der betroffenen Personen und der vorgesehenen Speicherungsdauer auf das absolut Notwendige beschränkt ist. Dem Gerichtshof zufolge muss jede nationale Regelung, die derartiges vorsieht, klar und präzise sein und hinreichende Garantien enthalten, um die Daten vor Missbrauchsrisiken zu schützen. Die betreffende Regelung muss angeben, unter welchen Umständen und Voraussetzungen eine Maßnahme der Vorratsspeicherung von Daten vorbeugend getroffen werden darf, um so zu gewährleisten, dass der Umfang dieser Maßnahme in der Praxis tatsächlich auf das absolut Notwendige beschränkt ist. Eine solche Regelung muss insbesondere auf objektive Anknüpfungspunkte gestützt sein, die es ermöglichen diejenigen Personen zu erfassen,
deren Daten geeignet sind, einen Zusammenhang mit schweren Straftaten aufzuweisen, zur Bekämpfung schwerer Straftaten beizutragen oder eine schwerwiegende Gefahr für die öffentliche Sicherheit zu verhindern.

Was den Zugang der zuständigen nationalen Behörden zu den gespeicherten Daten betrifft, bekräftigt der Gerichtshof, dass sich die betreffende nationale Regelung nicht darauf beschränken darf, zu verlangen, dass der Zugang einem der in der Datenschutzrichtlinie genannten Zwecke dienen muss – auch wenn es sich bei diesem Zweck um die Bekämpfung schwerer Straftaten handelt –, sondern außerdem die materiell- und verfahrensrechtlichen Voraussetzungen für den Zugang der zuständigen nationalen Behörden zu den gespeicherten Daten festzulegen hat. Die nationale Regelung muss sich bei der Festlegung der Umstände und Voraussetzungen, unter denen den zuständigen nationalen Behörden Zugang zu den Daten zu gewähren ist, auf objektive Kriterien stützen. Zum Zweck der Bekämpfung von Straftaten darf Zugang grundsätzlich nur zu Daten von Personen gewährt werden, die im Verdacht stehen, eine schwere Straftat zu planen, zu begehen oder begangen zu haben oder auf irgendeine Weise in eine solche Straftat verwickelt zu sein. Allerdings könnte in besonderen Situationen wie etwa solchen, in denen vitale Interessen der nationalen Sicherheit, der Landesverteidigung oder der öffentlichen Sicherheit durch terroristischen Aktivitäten bedroht sind, der Zugang zu Daten anderer Personen ebenfalls gewährt werden, wenn es objektive Anhaltspunkte dafür gibt, dass diese Daten im konkreten Fall einen wirksamen Beitrag zur Bekämpfung solcher Aktivitäten leisten könnten.

Zudem ist es nach Auffassung des Gerichtshofs unerlässlich, dass der Zugang zu den auf Vorrat gespeicherten Daten grundsätzlich, außer in Eilfällen, einer vorherigen Kontrolle entweder durch ein Gericht oder eine unabhängige Stelle unterworfen wird. Außerdem müssen die zuständigen nationalen Behörden, denen Zugang zu den gespeicherten Daten gewährt wurde, die betroffenen Personen davon in Kenntnis setzen.

In Anbetracht der Menge an gespeicherten Daten, ihres sensiblen Charakters und der Gefahr eines unberechtigten Zugangs muss die nationale Regelung vorsehen, dass die Daten im Gebiet der Union zu speichern sind und nach Ablauf ihrer Speicherungsfrist unwiderruflich zu vernichten sind.




BGH: Zur Reichweite eines markenrechtlichen Auskunftsanspruchs / Titels - Grundsatz der Verhältnismäßigkeit ist zu beachten

BGH
Beschluss vom 05.03.2015
I ZB 74/14
MarkenG § 19 Abs. 1 und 4


Der BGH hat sich in dieser Entscheidung mit der Reichweite eines markenrechtlichen Auskunftsanspruchs / Titels befasst und nochmals betont, dass dabei der Grundsatz der Verhältnismäßigkeit zu beachten ist.

Leitsatz des BGH:

Bei der Auslegung eines Vollstreckungstitels, der eine Auskunftspflicht tituliert, ist der Grundsatz der Verhältnismäßigkeit zu beachten. Dieser kann es gebieten, die titulierte Verpflichtung zur Auskunftserteilung über die Herkunft und den Vertriebsweg markenrechtlich nicht erschöpfter Waren dahin auszulegen, dass sie sich nicht auf Waren erstreckt, bezüglich derer der
Auskunftspflichtige auch nach zumutbaren Nachforschungen über keine Anhaltspunkte verfügt, dass sie ohne Zustimmung des Markeninhabers in Verkehr gebracht worden sind.

BGH, Beschluss vom 5. März 2015 - I ZB 74/14 - OLG Düsseldorf - LG Düsseldorf

Den Volltext der Entscheidung finden Sie hier:

EuGH: EU-Richtlinie zur Vorratsdatenspeicherung wegen unverhältnismäßiger Grundrechtsverletzung ungültig - Vorratsdatenspeicherung aber grundsätzlich möglich

EuGH
Urteil vom 08.04.2014
C-293/12 und C-594/12
Digital Rights Ireland und Seitlinger u. a.


Der EuGH hat (zum Glück) und im Ergebnis zutreffend die EU-Richtlinie zur Vorratsdatenspeicherung für ungültig erklärt. Der EuGH führt aus, dass die Richtlinie einen Eingriff von großem Ausmaß und besonderer Schwere in die Grundrechte auf Achtung des Privatlebens und auf den Schutz personenbezogener Daten beinhaltet und sich die Richtlinie nicht auf das notwendigste beschränkt.

Leider kommt der EuGH aber zu den Ergebnis, dass eine anlasslose Vorratsdatenspeicherung grundsätzlich möglich.

Aus der Pressemitteilung des EuGH:

"Er stellt fest, dass die nach der Richtlinie vorgeschriebene Vorratsspeicherung von Daten nicht geeignet ist, den Wesensgehalt der Grundrechte auf Achtung des Privatlebens und auf Schutz personenbezogener Daten anzutasten. Die Richtlinie gestattet nämlich nicht die Kenntnisnahme des Inhalts elektronischer Kommunikation als solchen und sieht vor, dass die Diensteanbieter bzw. Netzbetreiber bestimmte Grundsätze des Datenschutzes und der Datensicherheit einhalten müssen.

Die Vorratsspeicherung der Daten zur etwaigen Weiterleitung an die zuständigen nationalen Behörden stellt auch eine Zielsetzung dar, die dem Gemeinwohl dient, und zwar der Bekämpfung schwerer Kriminalität und somit letztlich der öffentlichen Sicherheit.

Der Gerichtshof kommt jedoch zu dem Ergebnis, dass der Unionsgesetzgeber beim Erlass der Richtlinie über die Vorratsspeicherung von Daten die Grenzen überschritten hat, die er zur Wahrung des Grundsatzes der Verhältnismäßigkeit einhalten musste."



Die Pressemitteilung des EuGH finden Sie hier: