Skip to content

EuGH-Generalanwältin: Erfassung und Speicherung des Fingerabdrucks auf Personalausweis mit DSGVO und anderen unionsrechtlichen Vorgaben vereinbar

EuGH-Generalanwältin
Schlussanträge vom
C-61/22


Die EuGH-Generaltanwältin kommt in ihren Schlussanträgen zu dem Ergebnis, dass die obligatorische Erfassung und Speicherung des Fingerabdrucks auf dem Personalausweis mit der DSGVO und anderen unionsrechtlichen Vorgaben vereinbar ist.

Die Pressemitteilung des EuGH:
Nach Ansicht von Generalanwältin Medina ist die obligatorische Erfassung und Speicherung von Fingerabdrücken in Personalausweisen gültig

Die Verordnung 2019/11571 enthält ab dem 2. August 2021 die Verpflichtung, in jeden von den Mitgliedstaaten neu ausgestellten Personalausweis Fingerabdrücke des Inhabers auf einem hochsicheren Speichermedium aufzunehmen.

Im November 2021 stellte ein deutscher Staatsbürger bei der Landeshauptstadt Wiesbaden (Deutschland) einen Antrag auf Ausstellung eines neuen Personalausweises. In seinem Antrag ersuchte er ausdrücklich darum, diesen Ausweis ohne die Aufnahme von Fingerabdrücken im Chip des Ausweises auszustellen.

Die Landeshauptstadt Wiesbaden lehnte diesen Antrag u. a. mit der Begründung ab, dass der Personalausweis nicht ohne ein Abbild von Fingerabdrücken des Inhabers ausgestellt werden könne, da seit dem 2. August 2021 die Verpflichtung bestehe, ein Fingerabdruckbild im Chip neuer Personalausweise zu speichern.

Das in diesem Zusammenhang angerufene Verwaltungsgericht Wiesbaden hegt Zweifel an der Gültigkeit der Verordnung 2019/1157 und demzufolge an dem verpflichtenden Charakter der Erfassung und Speicherung von Fingerabdrücken in deutschen Personalausweisen. Das Verwaltungsgericht Wiesbaden möchte insbesondere wissen, erstens, ob die richtige Rechtsgrundlage für den Erlass der Verordnung 2019/1157 Art. 21 Abs. 2 AEUV oder nicht vielmehr Art. 77 Abs. 3 AEUV gewesen sei, zweitens, ob die Verordnung 2019/1157 mit den Art. 7 und 8 der Charta in Verbindung mit deren Art. 52 Abs. 1 vereinbar sei und, drittens, ob diese Verordnung mit der Verpflichtung zur Durchführung einer Datenschutz-Folgenabschätzung gemäß Art. 35 Abs. 10 der Datenschutz-Grundverordnung im Einklang stehe.

In ihren Schlussanträgen vom heutigen Tag kommt Generalanwältin Laila Medina zunächst zu dem Ergebnis, dass die Verordnung 2019/1157 zu Recht auf der Grundlage von Art. 21 Abs. 2 AEUV erlassen worden sei, um die Ausübung des Rechts der Unionbürger, sich in den Mitgliedstaaten frei zu bewegen und aufzuhalten, zu erleichtern.

In diesem Zusammenhang stellt sie fest, dass dieses Recht es den Unionsbürgern ermögliche, am Alltagsleben der anderen Einwohner des Aufnahmemitgliedstaats teilzuhaben. Die nationalen Personalausweise hätten somit die gleichen Funktionen wie die Personalausweise der Gebietsansässigen, was bedeute, dass nur ein zuverlässiger und authentischer Identitätsnachweis die uneingeschränkte Inanspruchnahme der Freizügigkeit erleichtere.

Die Vereinheitlichung des Formats der Personalausweise und die Verbesserung ihrer Zuverlässigkeit durch Sicherheitsstandards, einschließlich digitaler Fingerabdrücke, wirkten sich unmittelbar auf die Ausübung dieses Rechts aus, indem sie diese Ausweise vertrauenswürdiger machten und damit die Akzeptanz bei den Behörden der Mitgliedstaaten und den Dienstleistern stärkten. Letztendlich bedeute dies eine Verringerung der Unannehmlichkeiten, Kosten und administrativen Hindernisse für mobile Unionsbürger.

Schließlich ist sie der Auffassung, dass die dem Rat durch Art. 77 Abs. 3 AEUV verliehene Zuständigkeit dahin zu verstehen sei, dass sie sich ausschließlich auf den Kontext der Grenzkontrollpolitik beziehe. Eine Unionsmaßnahme, die über diesen spezifischen Zusammenhang hinausgehe, wie dies bei der Verordnung 2019/1157 der Fall sei, falle nicht in den Anwendungsbereich dieser Bestimmung.

Die Generalanwältin wendet sich dann der Prüfung zu, ob die Verpflichtung, ein Abbild von zwei Fingerabdrücken zu erfassen und in Personalausweisen zu speichern, eine nicht gerechtfertigte Einschränkung des Grundrechts auf Achtung des Privatlebens im Hinblick auf die Verarbeitung personenbezogener Daten darstelle.

Die Verordnung 2019/1157, die Maßnahmen einführe, die den vom Gerichtshof im Urteil Schwarz in Bezug auf Reisepässe geprüften vergleichbar seien, stelle eine Einschränkung der von den Art. 7 und 8 gewährleisteten Rechte dar. Daher sei zu prüfen, ob diese Verarbeitung auf der Grundlage von Art. 52 Abs. 1 der Charta gerechtfertigt werden könne.

Zur Frage, ob die sich aus der Verordnung 2019/1157 ergebenden Einschränkungen einer dem Gemeinwohl dienenden Zielsetzung entsprechen, vertritt die Generalanwältin die Auffassung, dass, da die fehlende Einheitlichkeit der Formate und Sicherheitsmerkmale der nationalen Personalausweise die Gefahr von Fälschungen und Dokumentenbetrug erhöhe, die von der Verordnung 2019/1157 eingeführten Einschränkungen, die diese Gefahr bekämpfen und damit die Akzeptanz solcher Ausweise fördern sollten, eine solche Zielsetzung verfolgten.

Sie ist außerdem der Ansicht, dass diese Einschränkungen geeignet und erforderlich seien und nicht über das hinausgingen, was zur Erreichung des Hauptziels dieser Verordnung absolut notwendig sei. Insbesondere scheine es keine im Vergleich zur Abnahme und Speicherung von Fingerabdrücken gleichermaßen geeignete, aber weniger in die Privatsphäre eingreifende Methode zu geben, um das Ziel der Verordnung 2019/1157 auf ähnlich wirksame Weise zu erreichen. Darüber hinaus biete die Verordnung 2019/1157 hinreichende und geeignete Maßnahmen, die sicherstellten, dass die Erfassung, Speicherung und Verwendung biometrischer Identifikatoren wirksam vor Missbrauch oder Fehlgebrauch geschützt sei. Diese Maßnahmen garantierten, dass in einem neu ausgestellten Ausweis gespeicherte biometrische Identifikatoren nach Ausstellung dieses Ausweises ausschließlich dem Ausweisinhaber zur Verfügung stünden und dass sie nicht öffentlich zugänglich seien. Ferner enthalte die Verordnung 2019/1157 keine Rechtsgrundlage für die Einrichtung oder Aufrechterhaltung nationaler Datenbanken oder einer zentralen Datenbank auf der Ebene der Europäischen Union.

Was schließlich die Frage angeht, ob die Verordnung 2019/1157 mit der Verpflichtung zur Durchführung einer Datenschutz-Folgenabschätzung nach Art. 35 Abs. 10 DSGVO im Einklang stehe, weist die Generalanwältin darauf hin, dass die DSGVO und die Verordnung 2019/117 Rechtsakte des Sekundärrechts seien, die in der Hierarchie der Quellen des Unionsrechts gleichrangig seien. Außerdem ergebe sich aus der DSGVO an keiner Stelle, dass die Verpflichtung zur Durchführung einer Folgenabschätzung, wie sie in Art. 35 Abs. 1 DSGVO vorgesehen ist, für den Unionsgesetzgeber verbindlich sei, noch lege diese Bestimmung irgendein Kriterium fest, anhand dessen die Gültigkeit einer anderen sekundärrechtlichen Rechtsvorschrift der Europäischen Union zu beurteilen wäre. Die Generalanwältin ist daher der Ansicht, dass das Europäische Parlament und der Rat in dem Gesetzgebungsverfahren, das zum Erlass der Verordnung 2019/1157 geführt habe, nicht zur Durchführung einer Folgenabschätzung verpflichtet gewesen seien.


Die vollständigen Schlussanträge finden Sie hier:

VG Wiesbaden legt EuGH vor: Vereinbarkeit der Speicherung des Fingerabdrucks auf Personalausweis mit DSGVO und anderen unionsrechtlichen Vorgaben

VG Wiesbaden
Beschluss vom 13.01.2022
6 K 1563/21.WI


Das VG Wiesbaden hat dem EuGH zur Entscheidung vorgelegt, ob die Speicherung des Fingerabdrucks auf dem Personalausweis mit der DSGVO und anderen unionsrechtlichen Vorgaben vereinbar ist.

Aus den Entscheidungsgründen:
1. Zur Überzeugung des Gerichts hätte für den Erlass der das besondere Gesetzgebungsverfahren des Art. 77 AEUV durchgeführt werden müssen.

Der AEUV unterscheidet in dessen Art. 289 zwischen dem ordentlichen Gesetzgebungsverfahren und den besonderen Gesetzgebungsverfahren. Die wurde auf Art. 21 Abs. 2 AEUV gestützt und auf Vorschlag der Europäischen Kommission nach Zuleitung des Entwurfs des Gesetzgebungsakts an die nationalen Parlamente, nach Stellungnahme des Europäischen Wirtschafts- und Sozialausschusses und nach Anhörung des Ausschusses der Regionen gemäß dem ordentlichen Gesetzgebungsverfahren erlassen.

Laut Art. 21 Abs. 2 AEUV können das Europäische Parlament und der Rat gemäß dem ordentlichen Gesetzgebungsverfahren Vorschriften erlassen, mit denen die Ausübung des Freizügigkeitsrechts erleichtert wird, wenn zur Erreichung dieses Ziels ein Tätigwerden der Union erforderlich erscheint und die Verträge hierfür keine Befugnisse vorsehen.

Art. 77 Abs. 3 S. 1 AEUV enthält eine weitere Kompetenznorm, die sich unter anderem auf Regelungen zu Personalausweisen bezieht. Gemäß dieser Norm kann der Rat gemäß einem besonderen Gesetzgebungsverfahren Bestimmungen betreffend Pässe, Personalausweise, Aufenthaltstitel oder diesen gleichgestellte Dokumente erlassen, sofern die Verträge hierfür anderweitig keine Befugnisse vorsehen, falls zur Erleichterung der Freizügigkeit ein Tätigwerden der Union erforderlich ist. Der Rat beschließt einstimmig nach Anhörung des Europäischen Parlaments. Durch dieses Erfordernis der Einstimmigkeit wird den Mitgliedstaaten auf diesem Gebiet ein Höchstmaß an Souveränität belassen (von der Groeben/Schwarze/Sarah Progin-Theuerkauf, 7. Aufl. 2015, AEUV Art. 77, Rn 22).

Art. 77 AEUV entspricht dem damaligen Art. 62 EGV (EG-Vertrag). Die , in deren Art. 1 Abs. 2 bestimmt ist, dass Fingerabdrücke in Reisepässen gespeichert werden, wurde damals vom Verordnungsgeber auf Art. 62 EGV gestützt. Mit Urteil vom 17.10.2013 entschied der Europäische Gerichthof, dass Art. 62 Nr. 2 Buchst. a EGV eine geeignete Rechtsgrundlage für den Erlass der , insbesondere deren Art. 1 Abs. 2, darstellte (EuGH, Urteil vom 17.10.2013 – C-291/12 –, Rn. 20; CELEX 62012CJ0291).

Die Kompetenz nach Art. 77 Abs. 3 AEUV geht Art. 21 Abs. 2 AEUV vor, da Art. 77 Abs. 3 AEUV als dem Inhalt nach speziellere Vorschrift höhere Anforderungen an das Gesetzgebungsverfahren stellt (Schwarze/Becker/Hatje/Schoo, EU-Kommentar, AEUV Art. 77 Rn. 20, beck-online) und Art. 21 Abs. 2 AEUV nur dann einschlägig ist, wenn die Verträge für das Erreichen des Ziels der Förderung der Freizügigkeit keine anderen Befugnisse vorsehen. Die bezieht sich zwar nicht auf die Weiterentwicklung des Schengen-Besitzstandes, intendiert aber wie die die Angleichung der Sicherheitsmerkmale und die Aufnahme biometrischer Identifikatoren als wichtigen Schritt zur Verwendung neuer Elemente im Hinblick auf künftige Entwicklungen auf europäischer Ebene. Hierdurch soll wie bei der die Sicherheit von Dokumenten (hier: Personalausweisen statt Reisepässen) erhöht werden.

Nach alledem ist das Gericht der Auffassung, dass es für den wirksamen Erlass der – und damit auch des Art. 3 Abs. 5 dieser Verordnung – des besonderen Gesetzgebungsverfahrens nach Art. 77 Abs. 3 AEUV bedurft hätte.

2. Zudem bestehen inhaltliche Zweifel an der Vereinbarkeit der Erfassung und Speicherung von Fingerabdrücken bei Personalausweisen mit Art. 7 und 8 GrCh.

Nach Art. 7 GrCh hat jede Person das Recht auf Achtung ihres Privat- und Familienlebens, ihrer Wohnung sowie ihrer Kommunikation. Aus Art. 8 GrCh folgt das Recht jeder Person auf Schutz der sie betreffenden personenbezogenen Daten.

Bereits im Urteil vom 17.10.2013 hat der Europäische Gerichtshof festgestellt, dass die Erfassung und die Speicherung von Fingerabdrücken durch die nationalen Behörden in Reisepässen, die in Art. 1 Abs. 2 der geregelt sind, einen Eingriff in die Rechte auf Achtung des Privatlebens und auf Schutz personenbezogener Daten darstellen (EuGH, Urteil vom 17.10.2013 – C-291/12 –, Rn. 30, CELEX 62012CJ0291). Fingerabdrücke sind personenbezogene Daten, da sie objektiv unverwechselbare Informationen über natürliche Personen enthalten und deren genaue Identifizierung ermöglichen (EuGH, Urteil vom 17.10.2013 – C-291/12 –, Rn. 27, CELEX 62012CJ0291, unter Verweis auf EGMR, Urteil vom 04.12.2008, S. und Marper/Vereinigtes Königreich, Reports of judgments and decisions 2008-V, S. 213, §§ 68 und 84). Dieselben Grundrechte sind auch bei der Erfassung und Speicherung von Fingerabdrücken bei Personalausweisen betroffen.

Das Gericht hat Zweifel daran, ob die Erfassung der Fingerabdrücke und damit ein Eingriff in Art. 7 und 8 GrCh auch bei Personalausweisen gerechtfertigt ist.

Nach Art. 52 GrCh muss jede Einschränkung der Ausübung der in dieser Charta anerkannten Rechte und Freiheiten gesetzlich vorgesehen sein und den Wesensgehalt dieser Rechte und Freiheiten achten. Unter Wahrung des Grundsatzes der Verhältnismäßigkeit dürfen Einschränkungen nur vorgenommen werden, wenn sie erforderlich sind und den von der Union anerkannten dem Gemeinwohl dienenden Zielsetzungen oder den Erfordernissen des Schutzes der Rechte und Freiheiten anderer tatsächlich entsprechen.

Zudem ist in Art. 8 Abs. 2 GrCh bestimmt, dass personenbezogene Daten nur mit Einwilligung der betroffenen Person oder auf einer sonstigen gesetzlich geregelten legitimen Grundlage verarbeitet werden dürfen.

Im vorliegenden Fall liegt zur Überzeugung des Gerichts – ebenso wie der Europäische Gerichtshof zu Reisepässen entschieden hat – keine Einwilligung der einen Personalausweis beantragenden Personen in die Erfassung ihrer Fingerabdrücke vor. Jedoch bestimmt dies Art. 3 Abs. 5 als gesetzliche Regelung für alle Personalausweise.

Gemäß sind alle Deutschen verpflichtet, einen gültigen Ausweis zu besitzen, sobald sie 16 Jahre alt sind und der allgemeinen Meldepflicht unterliegen oder, ohne ihr zu unterliegen, sich überwiegend in Deutschland aufhalten. Zur Ausstellung dieses Dokuments ist die Abnahme von Fingerabdrücken damit zwingend vorgeschrieben. Da eine Personalausweispflicht besteht, kann nicht davon ausgegangen werden, dass diejenigen, die einen Personalausweis beantragen, in eine solche Datenverarbeitung eingewilligt haben (so auch EuGH, Urteil vom 17.10.2013 – C-291/12 – Rn. 31, CELEX 62012CJ0291).

Mithin bedarf es nach Art. 52 Abs. 1 GrCh einer legitimen gesetzlichen Grundlage.

Zwar ist die Aufnahme von Fingerabdrücken in Personalausweisen in Art. 3 Abs. 5 gesetzlich vorgesehen. Auch entspricht dies zumindest in Teilen den von der Union anerkannten dem Gemeinwohl dienenden Zielsetzungen.

Ausweislich der Erwägungsgründe (1), (4) und (46) dient die dazu, die Freizügigkeit zu stärken und der Fälschung von Dokumenten und der Vorspiegelung falscher Tatsachen in Bezug auf die an das Aufenthaltsrecht geknüpften Bedingungen vorzubeugen. Die Freizügigkeit schließt das Recht ein, mit einem gültigen Personalausweis oder Reisepass Mitgliedstaaten zu verlassen und in Mitgliedstaaten einzureisen, Erwägungsgrund (2). Nach Erwägungsgrund (18) dient die Aufnahme von Fingerabdrücken dazu, dass in Kombination mit dem Gesichtsbild eine zuverlässige Identifizierung des Inhabers und eine Verringerung des Betrugsrisikos erreicht werden kann.

Innerhalb der Europäischen Union kann der Personalausweis im Rahmen der Grenzüberschreitung genutzt werden. Außerdem erlauben auch Staaten, die nicht der EU angehören, die Einreise mit dem Personalausweis, so etwa insbesondere die Schweiz, Island, Norwegen, Albanien und Montenegro. Der Personalausweis wird vor diesem Hintergrund zumindest auch als Reisedokument genutzt, sodass hierdurch die Regelung auch dem Zweck dient, die illegale Einreise aus diesen Ländern zu verhindern. Dies würde eine von der Union anerkannte dem Gemeinwohl dienende Zielsetzung darstellen (EuGH, Urteil vom 17.10.2013 – C-291/12 –, Rn. 38, CELEX 62012CJ0291). Allerdings liegt der Hauptzweck des Personalausweises gerade nicht primär darin, ein Reisedokument im Schengen-Raum wie der Reisepass zu sein. Insoweit verweisen die Erwägungsgründe der zu Recht, entgegen denen in der , gerade nicht auf den Schengen-Raum als Raum der Freiheit.

Auch regelt die die Nutzung der gespeicherten biometrischen Daten nicht in diesem Sinne, wenn in Art. 11 Abs. 6 festlegt ist, dass die gespeicherten biometrischen Daten nur verwendet werden dürfen, um die Echtheit oder Identität des Inhabers zu überprüfen. Mithin lässt die offen, wie die Freizügigkeit erleichtert werden soll. Das Ziel der Verhinderung illegaler Einreise kann insoweit nicht mit der Erleichterung der Freizügigkeit gleichgesetzt werden.

Selbst wenn die Regelung eine dem Gemeinwohl dienende Zielsetzung verfolgen sollte, bestehen jedoch Zweifel daran, ob Art. 3 Abs. 5 verhältnismäßig ist. Dies wäre nur dann der Fall, wenn die Einschränkungen dieser Rechte aus der GrCh gemessen an den mit der verfolgten Zielen und damit gemessen am Zweck, die illegale Einreise von Personen in das Unionsgebiet zu verhindern und eine zuverlässige Identifizierung des Ausweisinhabers zu ermöglichen, verhältnismäßig sind. Hierfür müssen die mit dieser Verordnung eingesetzten Mittel zur Erreichung dieser Ziele geeignet sein und nicht über das dazu Erforderliche hinausgehen (EuGH, Urteil vom 17.10.2013 – C-291/12 –, Rn. 40, Rn. 38, CELEX 62012CJ0291).

Hierbei muss der Ansicht des Gerichts nach berücksichtigt werden, dass der Personalausweis in tatsächlicher und rechtlicher Hinsicht nicht mit dem Reisepass gleichgesetzt werden kann, sondern dass hinsichtlich der Verwendung dieser Dokumente deutliche Unterschiede bestehen. Dennoch werden durch Art. 3 Abs. 5 die beiden Dokumente hinsichtlich der Fingerabdrücke gleich behandelt.

Zwar kann der Personalausweis – wie oben bereits dargestellt – auch als Reisedokument verwendet werden. Dennoch unterscheiden sich Personalausweise und Reisepässe sowohl in rechtlicher, als auch praktischer Hinsicht. Selbst wenn Personalausweise auch als Reisedokumente im Freizügigkeitskontext genutzt werden, erfolgt keine routinemäßige Kontrolle zumindest bei Reisen zwischen EU-Mitgliedsstaaten. Zudem dürfte für die meisten Unionsbürger die primäre Funktion der nationalen Identitätskarte nicht mit der Freizügigkeit verknüpft sein. Personalausweise weisen nämlich über diese hinausgehende Nutzungsarten auf. So werden Personalausweise im Alltag unter anderem für Interaktionen mit den nationalen Verwaltungsbehörden oder mit privaten Dritten, wie etwa Banken oder Fluggesellschaften genutzt. Unionsbürger, die ihre Freizügigkeit ausüben wollen würden, können dies bereits mit ihrem Reisepass tun (in diesem Sinne auch: Stellungnahme des Europäischen Datenschutzbeauftragten zur geplanten Einführung der Speicherung von Fingerabdrücken in Personalausweisen vom 10.08.2018, abrufbar unter https://edps.europa.eu/sites/edp/files/publication/18-08-10_opinion_eid_en.pdf S. 10).

Zudem besteht in Deutschland eine Pflicht, einen Personalausweis zu besitzen, . Der Bürger kann im Gegensatz zum Reisepass nicht selbst entscheiden, ob er einen Personalausweis beantragt oder nicht. Auch der Europäische Datenschutzbeauftragte ist der Ansicht, dass die Aufnahme und Speicherung von Fingerabdrücken weitreichende Auswirkungen auf bis zu 370 Mio. EU-Bürger hätte, da er bei 85 % der EU-Bevölkerung die obligatorische Abnahme von Fingerabdrücken verlangen würde. Dieser breit angelegte Anwendungsbereich sowie die höchst sensiblen Daten, die verarbeitet werden (Gesichtsbilder in Kombination mit Fingerabdrücken), verlangen eine gründliche Prüfung auf der Grundlage einer strengen Prüfung der Notwendigkeit (Stellungnahme des Europäischen Datenschutzbeauftragten zur geplanten Einführung der Speicherung von Fingerabdrücken in Personalausweisen vom 10.08.2018, abrufbar unter https://edps.europa.eu/sites/edp/files/publication/18-08-10_opinion_eid_en.pdf S. 9, 10 m.w.N). Das Gericht folgt der Überlegung des Europäische Datenschutzbeauftragte, dass in Anbetracht der Unterschiede zwischen Personalausweisen und Reisepässen die Einführung von Sicherheitsmerkmalen, die für Reisepässe möglicherweise als angemessen gelten, für Personalausweise nicht automatisch gelten darf, sondern dies der Überlegung und einer gründlichen Analyse bedarf (ABl. C 338 vom 21.09.2018, S. 22). Diese fehlt vorliegend.

Das Gericht ist der Ansicht, dass sich in Kombination mit den oben geschilderten weit gefassten Verwendungsmöglichkeiten und der Vielzahl der betroffenen Unionsbürger nach eine viel höhere Eingriffsintensität im Vergleich zu Reisepässen ergibt, die im Gegenzug auch eine stärkere Rechtfertigung erfordert.

Im Rahmen der Auslegung der Art. 7 und 8 GrCh sind auch die Wertungen der DS-GVO zu berücksichtigen. Ausweislich der Erwägungsgründe (1) und (2) der DS-GVO ist der Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten ein Grundrecht. Die Grundsätze und Vorschriften zum Schutz natürlicher Personen bei der Verarbeitung ihrer personenbezogenen Daten sollten gewährleisten, dass ihre Grundrechte und Grundfreiheiten und insbesondere ihr Recht auf Schutz personenbezogener Daten ungeachtet ihrer Staatsangehörigkeit oder ihres Aufenthaltsorts gewahrt bleiben. Die DS-GVO soll zur Vollendung eines Raums der Freiheit, der Sicherheit und des Rechts und einer Wirtschaftsunion, zum wirtschaftlichen und sozialen Fortschritt, zur Stärkung und zum Zusammenwachsen der Volkswirtschaften innerhalb des Binnenmarkts sowie zum Wohlergehen natürlicher Personen beitragen.

Daktyloskopische Daten sind besondere Arten personenbezogener Daten nach Art. 9 Abs. 1 DS-GVO, nämlich biometrische Daten. Diese werden in Art. 4 Nr. 14 DS-GVO definiert als mit speziellen technischen Verfahren gewonnene personenbezogene Daten zu den physischen, physiologischen oder verhaltenstypischen Merkmalen einer natürlichen Person, die die eindeutige Identifizierung dieser natürlichen Person ermöglichen oder bestätigen, wie Gesichtsbilder oder daktyloskopische Daten. Gemäß Art. 9 Abs. 1 DS-GVO ist die Verarbeitung solcher biometrischen Daten im Grundsatz untersagt und nur in eng gefassten Ausnahmefällen zulässig.

Soweit die Fingerabdrücke in Personalausweisen aufgenommen werden sollen, um die Fälschungssicherheit zu fördern, ist festzuhalten, dass in den Jahren 2013-2017 lediglich 38.870 gefälschte Identitätskarten festgestellt worden sein sollen und seit Jahren die Nutzung gefälschter Identitätskarten abnimmt (Stellungnahme des Europäischen Datenschutzbeauftragten zur geplanten Einführung der Speicherung von Fingerabdrücken in Personalausweisen vom 10.08.2018, abrufbar unter https://edps.europa.eu/sites/edp/files/publication/18-08-10_opinion_eid_en.pdf,S.11).

Es ist bereits nicht hinreichend deutlich, ob die Aufnahme von Fingerabdrücken die Sicherheit vor Fälschungen tatsächlich zu fördern vermag. Eine Übereinstimmung der biometrischen Daten, die auf dem Chip des Personalausweises gespeichert sind mit den Fingerabdrücken des Besitzers des Ausweises bestätigt lediglich, dass das Dokument zum Besitzer gehört. Aus der Übereinstimmung an sich folgt noch kein Nachweis der Identität, solange nicht der Personalausweis selbst als echt festgestellt wurde. Zwar ist anerkannt, dass die Nutzung biometrischer Daten die Wahrscheinlichkeit der erfolgreichen Fälschung eines Dokumentes reduziert, so dass die Aufnahme von Fingerabdrücken zumindest teilweise den Zweck fördern kann (Stellungnahme des Europäischen Datenschutzbeauftragten zur geplanten Einführung der Speicherung von Fingerabdrücken in Personalausweisen vom 10.08.2018, abrufbar unter https://edps.europa.eu/sites/edp/files/publication/18-08-10_opinion_eid_en.pdf S. 13).

Ob jedoch diese Möglichkeit den weitreichenden Eingriff zu rechtfertigen vermag, erscheint höchst fraglich, zumal auch ein Personalausweis mit defektem Chip entgegen der nach nationalem Recht weiterhin gültig ist. Hierzu führt das Bundesamt für Sicherheit in der Informationstechnik aus, dass "ein Ausweis mit funktionsunfähigem Chip seine Gültigkeit [behält], auch wenn der integrierte Chip erkennbar defekt ist. Die Sicherheit als Ausweisdokument ist durch die physischen Sicherheitsmerkmale gegeben" (https://www.bsi.bund.de/DE/Themen/ Verbraucherinnen-und-Verbraucher/Informationen-und-Empfehlungen/Digitale-Verwaltung/Online-Ausweisfunktion/FAQ-Online-Ausweisfunktion/faq-online-ausweisfunktion_node.html). Wenn jedoch die Sicherheit allein durch die physischen Sicherheitsmerkmale (insbesondere Mikroschriften, UV-Aufdrucke etc.) gegeben ist, stellt sich die Frage nach der Erforderlichkeit der Aufnahme von Fingerabdrücken umso deutlicher.

Auch der Europäische Datenschutzbeauftragte betonte, dass Sicherheitsmaßnahmen bezogen auf den Druck des Dokuments, wie etwa die Verwendung von Hologrammen oder Wassermarken, eine deutlich geringere Eingriffsintensität hätten. Diese Methoden würden keine Verarbeitung von personenbezogenen Daten beinhalten, wären jedoch auch dazu in der Lage, die Fälschung von Ausweisdokumenten zu verhindern und die Authentizität eines Dokuments zu verifizieren (Stellungnahme des Europäischen Datenschutzbeauftragten zur geplanten Einführung der Speicherung von Fingerabdrücken in Personalausweisen vom 10.08.2018, abrufbar unter https://edps.europa.eu/sites/edp/files/publication/18-08-10_opinion_eid_en.pdf S. 16).

In diesem Rahmen ist auch eines der wichtigsten Prinzipien des europäischen Datenschutzrechts zu beachten: Das Prinzip der Datenminimierung bzw. Datensparsamkeit. Hiernach muss die Erhebung und Nutzung von persönlichen Daten verhältnismäßig und erforderlich, sowie auf das für die Zwecke der Verarbeitung notwendige Maß beschränkt sein.

Sollte es nötig sein, Fingerabdrücke zu erfassen, stellt sich auch die Frage, warum es der Ablichtung des gesamten Abdrucks bedarf. Hierdurch wird zwar die Interoperabilität der verschiedenen Arten der Systeme, die Fingerabdrücke erkennen können, gefördert. Diese Systeme können in drei Unterkategorien eingeteilt werden. Zum einen gibt es die Systeme, die komplette Ablichtungen der Fingerabdrücke speichern und vergleichen. Andere Systeme verwenden so genannte Minuzien. Diese Minuzien beschreiben eine Teilmenge von Charakteristiken, die aus den Ablichtungen der Fingerabdrücke gewonnen werden. Die dritte Kategorie sind Systeme, die mit einzelnen Mustern, die aus Ablichtungen der Fingerabdrücke extrahiert werden, arbeiten. Falls lediglich eine Minuzie gespeichert würde, könnte ein Mitgliedstaat, der mit einem System arbeitet, das eine Ablichtung des gesamten Fingerabdrucks verwendet, diese nicht nutzen. Die Speicherung des gesamten Fingerabdrucks fördert die Interoperabilität, jedoch erhöht sie die Anzahl der gespeicherten persönlichen Daten und damit das Risiko des Identitätsdiebstahles, falls es zu einem Datenleck kommt (Stellungnahme des Europäischen Datenschutzbeauftragten zur geplanten Einführung der Speicherung von Fingerabdrücken in Personalausweisen vom 10.08.2018, abrufbar unter https://edps.europa.eu/sites/edp/files/publication/18-08-10_opinion_eid_en.pdf S. 14).

Die in den Personalausweisen verwendeten RFID-Chips lassen sich unter Umständen auch von nicht autorisierten Scannern auslesen. Dies liegt daran, dass sie über ein Funkfeld aktiviert werden und im Anschluss die Daten in verschlüsselter Form übertragen. Damit hängt die Sicherheit des Verfahrens letztlich an der Qualität der Übertragungs- und Verschlüsselungstechnologie. Gerade die Verwendung des gesamten Fingerabdrucks wirkt sich in diesem Zusammenhang risikoerhöhend aus (in diesem Zusammenhang zu elektronischen Aufenthaltstiteln: NK-AuslR/Schild, 2. Aufl. 2016, AufenthG § 78 Rn. 37).

Bei alledem ist auch zu beachten, dass es sich bei Fingerabdrücken um biometrische Daten handelt. Der Verordnungsgeber hat unter anderem durch die Einführung von Art. 9 DS-GVO gezeigt, dass diese einem besonderen Schutz unterliegen.

Selbst die verzichtet auf das "Sicherheitsmerkmal" des Fingerabdrucks bei Kindern unter 12 Jahren und befreit Kinder unter 6 Jahren vollständig von der Pflicht zur Abgabe, Art. 3 Abs. 7 . Viel wichtiger ist aber, dass bei Personen, denen eine Abnahme von Fingerabdrücken physisch nicht möglich ist (z.B. bei Adermatoglyphie), diese von der Pflicht zur Abgabe befreit sind. Wozu dann dieses Sicherheitsmerkmal noch dienen soll, bleibt in der ungeregelt und schlicht offen.

3. Der Europäische Datenschutzbeauftragte unterstreicht in seiner Stellungnahme vom 10.08.2018 ferner, dass Artikel 35 Abs. 10 DS-GVO auf die Erfassung und Verarbeitung der Fingerabdrücke Anwendung findet. Nach Artikel 35 Abs. 1 DS-GVO ist eine Datenschutz-Folgenabschätzung durchzuführen, bevor eine Verarbeitung erfolgt, die voraussichtlich ein hohes Risiko für die Rechte und Freiheiten natürlicher Personen zur Folge hat. Diese Datenschutz-Folgeabschätzung sollte sich insbesondere mit einer Beurteilung der Risiken für die Rechte und Freiheiten der betroffenen Personen sowie mit den Maßnahmen beschäftigen, mit denen gegen diese Risiken vorgegangen werden soll, wie Garantien und Sicherheitsvorkehrungen (Stellungnahme des Europäischen Datenschutzbeauftragten zur geplanten Einführung der Speicherung von Fingerabdrücken in Personalausweisen vom 10.08.2018, abrufbar unter https://edps.europa.eu/sites/edp/files/publication/18-08-10_opinion_eid_en.pdf, S. 12).

Da die Rechtsgrundlage auf Unionsrecht, dem der Verantwortliche unterliegt, beruht und da diese Rechtsvorschriften den konkreten Verarbeitungsvorgang regeln, hat die allgemeinen Folgenabschätzung im Zusammenhang mit dem Erlass dieser Rechtsgrundlage zu erfolgen (Art. 35 Abs. 10 DS-GVO). Eine solche Folgenabschätzung wäre daher bei Erlass der durchzuführen gewesen. Sie ist ausweislich der Erwägungsgründe nicht erfolgt.

Das Gericht ist, wie der Europäische Datenschutzbeauftragte in seiner Stellungnahme vom 10.08.2018, der Auffassung, dass die Folgenabschätzung die obligatorische Aufnahme sowohl von Gesichtsbildern als auch von (zwei) Fingerabdrücken in Personalausweise nicht tragen würde. Bereits in Gesetzgebungsverfahren hat der Europäische Datenschutzbeauftragte empfohlen, vor diesem Hintergrund die Notwendigkeit und Verhältnismäßigkeit der Verarbeitung biometrischer Daten (Gesichtsbild in Kombination mit Fingerabdrücken) erneut zu prüfen (ABl. C 338 vom 21.09.2018, S. 22).

Der Verordnungsgeber geht in Erwägungsgrund (40) auf diese Problematik in Bezug auf die DS-GVO nur sehr allgemein ein. Es verbleibt bei unbestimmten Aussagen, wie etwa, dass die Unionsbürger über das Speichermedium informiert werden solle und weiter präzisiert werden müsste, welche Garantien für die verarbeiteten personenbezogenen Daten sowie insbesondere für sensible Daten wie beispielsweise biometrische Identifikatoren gelten. Das Speichermedium sollte hochsicher sein, und die auf ihm gespeicherten personenbezogenen Daten sollten wirksam vor unbefugtem Zugriff geschützt sein. Es bleibt vage, was mit "hochsicher" gemeint ist und wie die Garantien und Schutzvorkehrungen ausgestaltet sein sollen. Insbesondere ist keine Abwägung mit den Risiken bei einem Datenleck des Chips und dem Eingriff in Art. 7 und 8 GrCh ersichtlich.

Es stellt sich daher die Frage, ob das Unterlassen einer verpflichtenden Risikofolgeabschätzung die Wirksamkeit einer Norm unberührt lassen kann oder nicht vielmehr bei zwingender Verpflichtung des Normgebers zur Durchführung einer Risikofolgeabschätzung sein Unterlassen zu einer Ungültigkeit der Norm führen muss. Andernfalls würde der Normgeber für sein Fehlverhalten belohnt werden.


Den Volltext der Entscheidung finden Sie hier:


VG Wiesbaden legt EuGH vor: Darf Behörde Auskunft über verantwortliche Stelle der Datenverarbeitung ohne Begründung verweigern und ist dies mit Grundrechtecharta der EU vereinbar

VG Wiesbaden
Beschluss vom 30.07.2021
6 K 421/21.WI


Das VG Wiesbaden hat dem EuGH zur Entscheidung vorgelegt, ob eine Behörde die Auskunft über die verantwortliche Stelle der Datenverarbeitung ohne Begründung verweigern darf und ob dies mit Grundrechtecharta der EU vereinbar ist.

Die Vorlagefragen:

II. Das Verfahren wird gemäß Art. 267 AEUV zur Vorabentscheidung dem Gerichtshof der Europäischen Union hinsichtlich der folgenden Frage vorgelegt:

1) Sind Art. 15 Abs. 3 und Abs. 1 i.V.m. Art. 14 der Richtlinie (EU) 2016/680 des europäischen Parlaments und des Rates vom 27. April 2016 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten durch die zuständigen Behörden zum Zwecke der Verhütung, Ermittlung, Aufdeckung oder Verfolgung von Straftaten oder der Strafvollstreckung sowie zum freien Datenverkehr und zur Aufhebung des Rahmenbeschlusses 2008/977/JI des Rates (ABl.EU L vom 4.5.2016 S. 119; zukünfig: Richtlinie (EU) 2016/680) im Lichte von Art. 54 Richtlinie (EU) 2016/680 so auszulegen, dass er eine nationale Regelung zulässt,

a) nach der bei gemeinsamer Verantwortlichkeit für eine Datenverarbeitung die eigentlich für die gespeicherten Daten verantwortliche Stelle nicht benannt werden muss und

b) die es zudem zulässt, dass einem Gericht keine inhaltliche Begründung für die Auskunftsverweigerung gegeben wird?

2) Falls die Fragen 1a und 1b zu bejahen sind, ist Art. 15 Abs. 3 und Abs. 1 der Richtlinie (EU) 2016/680 mit dem Recht auf einen wirksamen gerichtlichen Rechtsbehelf aus Art 47 GRCh vereinbar, obwohl es dem Gericht so verunmöglicht wird

a) den nationalen Verfahrensvorschriften entsprechend in einem mehrstufigen Verwaltungsverfahren die weitere beteiligte und tatsächlich verantwortliche Behörde, die ihr Einvernehmen zur Auskunftserteilung erteilen muss, zum Verfahren beizuladen und

b) inhaltlich zu überprüfen, ob die Voraussetzungen für die Auskunftsverweigerung vorliegen und durch die die Auskunft verweigernde Behörde korrekt angewandt wurden?

3) Wird durch die Verweigerung der Auskunft und somit eines wirksamen Rechtsbehelfs nach Art. 47 GRCh rechtswidrig in die Berufsfreiheit nach Art. 15 GRCh eingegriffen, wenn die gespeicherten Informationen dazu genutzt werden, eine betroffene Person von der angestrebten Tätigkeit wegen eines vermeintlichen Sicherheitsrisikos auszuschließen.

Aus den Entscheidungsgründen:

Nach Art. 54 Richtlinie (EU) 2016/680 hat die betroffene Person einen Anspruch auf einen wirksamen Rechtsbehelf, so wie dies in Art. 47 Abs. 1 GRCh geregelt ist. Ein wirksamer Rechtsbehelf erfordert, dass es dem Gericht möglich ist, die behördliche Entscheidung zu überprüfen. Dies setzt voraus, dass eine Begründung der Verweigerung der Auskunft und bei einem gemeinsamen Verfahren, wie es vorliegend bei dem INPOL-System der Fall ist, eine Benennung der verantwortlichen Stelle, die für die streitgegenständlichen Daten verantwortlich ist und einer Beauskunftung widersprochen hat, erfolgt. Sie hat ihr Einvernehmen für die Auskunft zu erteilen oder gerade – wie hier zu verweigern. Die verantwortliche Stelle ist an dem „mehrstufigen“ Verwaltungsakt zwingende Mitwirkende und auch im verwaltungsgerichtlichen Verfahren notwendig beizuladen (§ 65 Abs. 2 VwGO), da das Gericht bei rechtwidriger Verweigerung des Einvernehmens dieses durch Urteil zu ersetzen hätte. Denn ohne das notwendige Einvernehmen dürfte das BKA keine Auskunft erteilen (§ 84 Abs. 1 S. 1 BKAG). Wenn dem Gericht im Verfahren über die Auskunft die verantwortliche Stelle jedoch schon nicht benannt wird, kann es diese nicht beiladen und über die Verweigerung des Einvernehmens ihr gegenüber nicht bindend entscheiden.

Ist eine Kontrolle des Verwaltungshandelns durch die Verwaltungsgerichte wegen der Verweigerung einer Begründung nicht möglich, muss die Rechtsschutzgarantie dadurch gewahrt werden, dass der Klage stattgegeben wird (ständige Rechtsprechung des VG Wiesbaden, vgl. Urteil vom 15. Februar 2016 – 6 K 1328/14.WI –, juris, Rn. 27; Urteil vom 04. September 2015 – 6 K 687/15.WI –, juris, Rn. 36 und ferner Urteil vom 26. März 2021 – 6 K 59/20.WI; so auch VG Köln, Urteil vom 18.4.2019 – 13 K 10236/16, juris, Rn. 54). Dies ist vorliegend aber nicht möglich, da das Einvernehmen der eigentlich verantwortlichen Stelle (Behörde) mangels notwendiger Beiladung nicht rechtwirksam ersetzt werden kann. Insoweit unterscheidet sich der Fall von den bisher entschiedenen Fällen, bei denen „nur“ die Auskunft über die Daten als solche verweigert wurde, die verantwortliche Behörde aber benannt worden war. Eine Verfahrensregelung für den vorliegenden Fall enthält die VwGO nicht. Sie enthält in § 99 Abs. 2 VwGO nur das sog. In-Camera-Verfahren bei der Verweigerung der Vorlage von Behördenakten. Hier wäre nach einer Sperrerklärung, welche aber auch zu begründen wäre, eine Vorlage und Prüfung durch das Bundesverwaltungsgericht möglich.

Vorliegend geht es aber schon vor der inhaltlichen Auskunft bzw. Überprüfungsmöglichkeit der Verweigerung derselben um die Benennung der verantwortlichen Stelle, um deren Daten es im INPOL-System geht. Sie ist unbekannt und das Bundeskriminalamt verweigert auch dem Gericht gegenüber die Angabe, um wen es sich handelt. Zwar hat der nationale Gesetzgeber Art. 21 Abs. 1 Richtlinie (EU) 2016/680 insoweit umgesetzt, dass sich der Verantwortliche nach § 57 BDSG zur Auskunft der Daten bzw. Verweigerung derselben bezogen auf die betroffene Person verantwortlich zeigt und über § 84 Abs. 1 Satz 1 BKAG das Bundeskriminalamt als „Sprachrohr“ für die übrigen verantwortlichen Stellen über die Auskunft bestimmt. Die Auskunft bedarf aber des Einvernehmens der jeweils verantwortlichen Stelle.

Die Verweigerung der Angaben über die eigentliche verantwortliche Stelle, welche einer Auskunft über ihre Daten widerspricht und das Einvernehmen verweigert, geht jedoch weiter als die Einschränkung der eigentlichen Auskunft nach Art. 15 Richtlinie (EU) 2016/680. Denn damit wird dem Gericht die Möglichkeit einer effektiven wirksamen Rechtskontrolle vollständig genommen. Dies insbesondere, wenn auch keinerlei Begründung für diese Verweigerungshandlung erfolgt bzw. die Begründung sich auf allgemeine Aussagen einer Gefährdung der Aufgaben der Behörden und der Gefahrenabwehr bezieht. Mithin wird der nationale Gesetztext wiedergegeben, dem Gericht wird aber eine Subsumtion unter diese Norm und eine Kontrolle der Richtigkeit der Subsumtion der Behörde vollständig mangels Informationen genommen.

Zieht man die Parallele zu einer Verweigerung der Aktenvorlage im verwaltungsgerichtlichen Verfahren, so würde die rein den gesetzlichen Verweigerungstatbestand wiedergebende Begründung nicht die Anforderungen erfüllen, wie sie für eine Sperrerklärung nach § 99 Abs. 2 VwGO notwendig ist. Hinzu kommt vorliegend, dass die eigentlich die Begründung liefernde Behörde anonym bleibt, mithin die Sperrerklärung nach § 99 Abs. 1 S. 2 VwGO von dieser gar nicht abgegeben oder begründet werden könnte. Mindestens einer aussagekräftigen Begründung einer Sperrerklärung bedarf es aber bei der Verweigerung von Behördenakten, damit ein wirksamer Rechtsschutz gewährt werden kann (BVerwG Urt. v. 14.12.2020 – 6 C 11.18 Rn. 27 m.w.N.).

Zur Ermöglichung effektiven Rechtsschutzes hat eine Behörde, die die Auskunft verweigert, das Vorliegen der Verweigerungsgründe nach § 56 Abs. 2 i.V.m. § 57 Abs. 4 BDSG plausibel und substantiiert darzulegen. Eine diesen Anforderungen genügende Begründung wäre ausreichend, um die Berechtigung zur Auskunftsverweigerung darzutun (HessVGH 20.10.2019 – 10 A 2678/18.Z; zum alten Recht HessVGH 17.4.2018 – 10 A 1991/17). Die Wiedergabe oder nur Umschreibung der gesetzlichen Grundlage reicht dafür nicht aus (BVerwG Beschl. v. 29.10.1982 – 4 B 172/82, BVerwGE 66, 233 ff. Rn. 6; VG Wiesbaden Urt. v. 26.3.2021 – 6 K 59/20.WI).

Das Bundeskriminalamt und die unbekannte Behörde – bei der es sich nur um eine Polizeibehörde handeln kann – legen das nationale Recht so weit aus, dass die umzusetzenden nationalen Rechtsnormen, die aus der Richtlinie (EU) 2016/680 folgen, mit dem Wesensgehalt der Rechte und Freiheiten des Betroffenen in Konflikt gerät.

Dabei ist zu beachten, dass die Eintragung in INPOL ganz offensichtlich zu einer Art Berufsverbot durch die sog. Sicherheitsüberprüfung geführt hat, bei der u.a. auf die Daten von INPOL zurückgegriffen wurde. Damit wurde in Art. 15 GRCh eingegriffen, wonach jede Person das Recht hat, zu arbeiten und einen frei gewählten oder angenommenen Beruf auszuüben. Gegen dieses „Berufsverbot“ kann sich der Kläger auch nicht wehren, da ihm nicht bekannt gegeben wird, welche verantwortliche Stelle eine „negative“ Eintragung vorgenommen hat, geschweige denn welche Eintragung hier die Aufnahme des gewünschten Berufes hindert. Auch ist eine Überprüfung, ob die Eintragung überhaupt rechtmäßig ist, nicht möglich.

Eine wirksame gerichtliche Überprüfung der behördlichen Entscheidung ist dem vorlegenden Gericht nicht möglich, da unter Berufung auf eine nationale Rechtsnorm die verantwortliche Stelle die Auskunft auch gegenüber dem Gericht verweigert wird und das Gericht sich zur Gewährung effektiven Rechtsschutzes im Sinne einer inhaltlichen Prüfung nicht in der Lage sieht. Hinzu kommt, dass auch die im verwaltungsgerichtlichen Verfahren vorgesehenen Mechanismen, wie vorliegend die notwendige Beiladung, durch Verweigerung der Benennung der verantwortlichen Stelle ausgehebelt werden. Eine nationale Rechtsnorm, die es dem Gericht ermöglicht, im Falle einer notwendigen Beiladung von einer solchen aus Geheimhaltungsgründen abzusehen, existiert nicht.

Damit ist wirksamer Rechtsschutz in zweifacher Hinsicht ausgeschlossen und es liegt auch ein Verstoß gegen das Recht auf ein faires Verfahren nach Art. 6 EMRK vor.

Das erkennende Gericht ist insoweit der Auffassung, die Verweigerung der Benennung der letztendlich verantwortlichen Stelle, insbesondere ohne jegliche nachvollziehbare Begründung, eine Überinterpretation des Art. 15 Richtlinie (EU) 2016/680 darstellt, welche allerdings durch den nationalen Gesetzgeber durch die sehr offene Regelung in § 57 Abs. 6 i.V.m. § 56 BDSG zugelassen worden ist, mit der Folge, dass die nationale Regelung in der sehr weiten Interpretation des Beklagten gegen Art. 8, Art. 15 und Art. 47, 52 und 54 GRCh sowie gegen Art. 14, 15 und 54 Richtlinie (EU) 2016/680 verstößt.


Den Volltext der Entscheidung finden Sie hier:



VG Wiesbaden: Verwendung des Cookie-Consent-Tools Cookiebot verstößt gegen DSGVO - Rechtswidrige Übermittlung personenbezogener Daten in die USA

VG Wiesbaden
Beschluss vom 01.12.2021
6 L 738/21.WI


Das VG Wiesbaden hat entschieden, dass die Verwendung des Cookie-Consent-Tools Cookiebot gegen die DSGVO verstößt, da eine rechtswidrige Übermittlung personenbezogener Daten in die USA erfolgt.

Hochschule RheinMain darf auf ihrer Webseite nicht den Dienst „Cookiebot“ nutzen

Gegenstand des Eilverfahrens vor dem VG Wiesbaden ist das Begehren des Antragstellers, es der Hochschule RheinMain zu untersagen, auf ihrer Webseite www.hs-rm.de den Dienst „Cookiebot“ einzubinden. „Cookiebot“ ermöglicht es, die Einwilligung der Nutzer einer Webseite in die Cookie-Verwendung einzuholen. Der Dienst überwacht die eingesetzten Cookies und blockiert solche Cookies, für die eine Zustimmung nicht erteilt wurde.

Die 6. Kammer des VG Wiesbaden hat mit Beschluss vom 01.12.2021 dem Antrag stattgegeben und der Hochschule RheinMain im Wege der einstweiligen Anordnung untersagt, den Dienst „Cookiebot“ auf ihrer Website zum Zweck des Einholens von Einwilligungen in der Weise einzubinden, dass personenbezogene oder -beziehbare Daten des Antragstellers (einschließlich dessen IP-Adresse) an Server übermittelt werden, die von einem externen Unternehmen betrieben werden.

Die Hochschule sei verpflichtet, die Einbindung des Dienstes „Cookiebot“ auf ihrer Webseite zu beenden, da diese mit der rechtswidrigen Übermittlung personenbezogener Daten der Webseitennutzer und damit insbesondere des Antragstellers einhergehe.

Es lägen personenbezogene Daten vor. Aus einer Kombination eines den Webseiten-Besucher identifizierenden Keys, der im Browser des Nutzers gespeichert werde, und der übermittelten vollständigen IP-Adresse sei der Endnutzer eindeutig identifizierbar.

„Cookiebot“ verarbeite die vollständige IP-Adresse der Endnutzer auf Servern eines Unternehmens, dessen Unternehmenszentrale sich in den USA befinde. Hierdurch entstehe ein Drittland-Bezug, nämlich zu den USA, welcher im Hinblick auf die sog. Schrems II-Entscheidung des Europäischen Gerichtshofs so unzulässig sei. Die Nutzer der Webseite der Hochschule würden nicht um ihre Einwilligung für eine Datenübermittlung in die USA gebeten werden. Es fände auch keine Unterrichtung über die mit der Übermittlung verbundenen möglichen Risiken durch den sog. Cloud-Act statt. Eine solche Datenübermittlung sei auch nicht für das Betreiben der Webseite der Hochschule erforderlich.

Zwar übermittle nicht die Hochschule selbst die Daten in die USA. Sie sei aber dennoch die für die Datenübermittlung verantwortliche Stelle. Sie entscheide durch das Einbinden auf ihrer Webseite darüber, dass die Erhebung und Übermittlung durch den Dienst „Cookiebot“ erfolge. Sie entscheide auch mittelbar über den Zweck der Verarbeitung, da sie in Kenntnis der Zwecke, die der eingebundene Dienst angebe, sich für oder gegen die Verwendung entscheiden könne. Hiergegen spreche auch nicht, dass sie für nachfolgende Vorgänge, wie der Verwendung der Daten durch den Dienst, nicht mehr verantwortlich sei.

Gegen den Beschluss (Az.: 6 L 738/21.WI) kann die Antragsgegnerin binnen zwei Wochen Beschwerde erheben, über die der Hessische Verwaltungsgerichtshof in Kassel zu entscheiden hätte.

Anhang:
Artikel 44 DS-GVO (Verordnung (EU) 2016/679 des Europäische Parlaments und des Rates vom 27. April 2016 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten, zum freien Datenverkehr und zur Aufhebung der Richtlinie 95/46/EG – Datenschutz-Grundverordnung)

Allgemeine Grundsätze der Datenübermittlung
Jedwede Übermittlung personenbezogener Daten, die bereits verarbeitet werden oder nach ihrer Übermittlung an ein Drittland oder eine internationale Organisation verarbeitet werden sollen, ist nur zulässig, wenn der Verantwortliche und der Auftragsverarbeiter die in diesem Kapitel niedergelegten Bedingungen einhalten und auch die sonstigen Bestimmungen dieser Verordnung eingehalten werden; […]

Art. 48 DS-GVO – Nach dem Unionsrecht nicht zulässige Übermittlung oder Offenlegung
Jegliches Urteil eines Gerichts eines Drittlands und jegliche Entscheidung einer Verwaltungsbehörde eines Drittlands, mit denen von einem Verantwortlichen oder einem Auftragsverarbeiter die Übermittlung oder Offenlegung personenbezogener Daten verlangt wird, dürfen unbeschadet anderer Gründe für die Übermittlung gemäß diesem Kapitel jedenfalls nur dann anerkannt oder vollstreckbar werden, wenn sie auf eine in Kraft befindliche internationale Übereinkunft wie etwa ein Rechtshilfeabkommen zwischen dem ersuchenden Drittland und der Union oder einem Mitgliedstaat gestützt sind.

Art 49 DS-GVO – Ausnahmen für bestimmte Fälle
[1] Falls weder ein Angemessenheitsbeschluss nach Artikel 45 Absatz 3 vorliegt noch geeignete Garantien nach Artikel 46, einschließlich verbindlicher interner Datenschutzvorschriften, bestehen, ist eine Übermittlung oder eine Reihe von Übermittlungen personenbezogener Daten an ein Drittland oder an eine internationale Organisation nur unter einer der folgenden Bedingungen zulässig:

a) die betroffene Person hat in die vorgeschlagene Datenübermittlung ausdrücklich eingewilligt, nachdem sie über die für sie bestehenden möglichen Risiken derartiger Datenübermittlungen ohne Vorliegen ei
nes Angemessenheitsbeschlusses und ohne geeignete Garantien unterrichtet wurde, […]

Den Volltext der Entscheidung finden Sie hier:

Aus den Entscheidungsgründen:

"VG Wiesbaden: Verwendung des Cookie-Consent-Tools Cookiebot verstößt gegen DSGVO - Rechtswidrige Übermittlung personenbezogener Daten in die USA" vollständig lesen

VG Wiesbaden legt EuGH vor: Vereinbarkeit des SCHUFA-Scorings mit der DSGVO und § 31 BDSG

VG Wiesbaden
Beschluss vom 01.10.2021
6 K 788/20.WI


Das VG Wiesbaden hat dem EuGH zur Vereinbarkeit des SCHUFA-Scorings mit der DSGVO und § 31 BDSG zu Entscheidung vorgelegt.

Die Pressemitteilung des Gerichts:
Vorlage zum Europäischen Gerichtshof bezüglich des von der SCHUFA Holding AG erstellten „Score-Wertes“

Gegenstand des Verfahrens vor dem VG Wiesbaden ist das Begehren der Klägerin, ihrer Auffassung nach falsche Eintragungen bei der SCHUFA zu löschen und ihr Auskunft über die dort gespeicherten Daten zu erteilen.

Die SCHUFA, eine private Wirtschaftsauskunftei, versorgt ihre Vertragspartner mit Informationen zur Kreditwürdigkeit Dritter und erstellt zu diesem Zweck sog. Score-Werte. Für die Ermittlung dieses Wertes wird aus bestimmten Merkmalen einer Person auf der Grundlage mathematisch-statistischer Verfahren für diese die Wahrscheinlichkeit eines künftigen Verhaltens, wie beispielsweise die Rückzahlung eines Kredits, prognostiziert. Die im Einzelnen zugrunde gelegten Merkmale als auch das mathematisch-statistische Verfahren werden von der SCHUFA nicht offengelegt. Diese beruft sich darauf, dass die Berechnungsmethoden unter das Betriebs- und Geschäftsgeheimnis fielen. Die Klägerin wandte sich in Bezug auf die von ihr begehrte Auskunft und Löschung an den Hessischen Beauftragten für Datenschutz und Informationsfreiheit als Aufsichtsbehörde. Dieser lehnte das Begehren der Klägerin jedoch ab, da die SCHUFA bei der Berechnung des Bonitätswertes den im Bundesdatenschutzgesetz (BDSG) detailliert geregelten Anforderungen in der Regel genüge und im hiesigen Fall keine Anhaltspunkte vorlägen, dass dem nicht so sei.

Die 6. Kammer des VG Wiesbaden hat mit Beschluss vom 01.10.2021 entschieden, dem Gerichtshof der Europäischen Union (EuGH) zwei Fragen zur Klärung vorzulegen.

Zum einen sei zu klären, ob die Tätigkeit von Wirtschaftsauskunfteien, Score-Werte über betroffene Personen zu erstellen und diese ohne weitergehende Empfehlung oder Bemerkung an Dritte (beispielsweise Banken) zu übermitteln, die dann unter maßgeblicher Einbeziehung dieses Score-Wertes mit der betroffenen Person vertragliche Beziehungen eingehen oder davon absehen, dem Anwendungsbereich des Art. 22 Abs. 1 Datenschutzgrundverordnung (DS-GVO) unterfällt. Falls ja, sei diese für Wirtschaftsauskunfteien maßgebliche Tätigkeit vom Verbot der automatisierten Einzelfallentscheidung erfasst. Dies hätte zur Folge, dass diese Tätigkeit nur nach den Ausnahmetatbeständen des Art. 22 Abs. 2 DS-GVO zulässig sei. Als diesbezügliche mitgliedsstaatliche Rechtsgrundlage käme nur § 31 BDSG in Betracht. Im Hinblick auf dessen Vereinbarkeit mit Art. 22 Abs. 1 DS-GVO bestünden aber durchgreifende Bedenken. Die SCHUFA würde dann rechtsgrundlos handeln, und die Klägerin habe zugleich einen Anspruch gegen den Datenschutzbeauftragten auf aufsichtsbehördliche (Weiter-)Befassung mit ihrem Fall.

Die Erstellung von Score-Werten sei nicht lediglich ein die Entscheidung des dritten Verantwortlichen (beispielsweise einer Bank) vorbereitendes Profiling (siehe Art. 4 DS-GVO), sondern gerade eine selbstständige „Entscheidung“ im Sinne des Art. 22 Abs. 1 DS-GVO. Es bestünden gewichtige Anhaltspunkte dafür, dass die durch Wirtschaftsauskunfteien vorgenommene automatisierte Erstellung eines Score-Wertes eine eigenständige, auf einer automatisierten Verarbeitung beruhende Entscheidung sei. Zwar könnten jedenfalls rein hypothetisch die dritten Verantwortlichen eine eigene Entscheidung über das Ob und Wie eines Vertragsschlusses mit der betroffenen Person treffen, weil zu diesem Stadium des Entscheidungsprozesses eine menschlich gesteuerte Einzelfallentscheidung grundsätzlich noch möglich sei. Diese Entscheidung werde praktisch aber in erheblichem Maße durch den von Wirtschaftsauskunfteien übermittelten Score-Wert bestimmt. Der aufgrund automatisierter Verarbeitung erstellte Score-Wert sei eigentlich das entscheidende Kriterium über das Ob und Wie der Vertragseingehung des dritten Verantwortlichen mit der betroffenen Person. Der dritte Verantwortliche müsse seine Entscheidung zwar nicht allein vom Score-Wert abhängig machen, tue es in aller Regel jedoch maßgeblich. Eine Kreditvergabe möge zwar trotz eines grundsätzlich ausreichenden Score-Werts (aus anderen Gründen, wie etwa des Fehlens von Sicherheiten oder Zweifeln am Erfolg einer zu finanzierenden Investition) versagt werden. Ein nicht ausreichender Score-Wert hingegen werde jedenfalls im Bereich der Verbraucherdarlehen in fast jedem Fall und auch dann zur Versagung eines Kredits führen, wenn etwa eine Investition im Übrigen als lohnend erscheine. Score-Werten komme bei der Kreditvergabe und der Gestaltung ihrer Bedingungen die entscheidende Rolle zu. Vor den Gefahren dieser rein auf Automation gründenden Entscheidungsform solle Art. 22 Abs. 1 DS-GVO die betroffene Person aber gerade schützen.

Zudem legte die 6. Kammer eine Frage vor, die dann zu beantworten sei, wenn die 1. Vorlagefrage verneint werde. In § 31 BDSG treffe der deutsche Gesetzgeber im Kern detaillierte Regelungen über das Scoring als Unterfall des Profilings. Falls das Scoring nicht unter Art. 22 Abs. 1 DS-GVO falle, so sei die allgemeine Vorschrift des Art. 6 DS-GVO anzuwenden. Indem der deutsche Gesetzgeber weitergehende inhaltliche Zulässigkeitsvoraussetzungen an das Scoring knüpfe, spezifiziere er die Regelungsmaterie über die Vorgaben der DS-GVO hinaus. Dafür fehle ihm jedoch die Regelungsbefugnis. Dies ändere den Prüfungsspielraum der nationalen Aufsichtsbehörde. Diese habe dann die Vereinbarkeit der Tätigkeit von Wirtschaftsauskunfteien an Art. 6 DS-GVO zu messen. Es sei also durch den EuGH zu klären, ob die DS-GVO der Regelung des § 31 BDSG entgegenstehe.
Der Vorlagebeschluss (Az.: 6 K 788/20.WI) ist unanfechtbar.

Anhang
Artikel 4 DS-GVO - Begriffsbestimmungen
(Verordnung (EU) 2016/679 des Europäische Parlaments und des Rates vom 27. April 2016 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten, zum freien Datenverkehr und zur Aufhebung der Richtlinie 95/46/EG – Datenschutz-Grundverordnung)

Im Sinne dieser Verordnung bezeichnet der Ausdruck:
[…]

4. „Profiling“ jede Art der automatisierten Verarbeitung personenbezogener Daten, die darin besteht, dass diese personenbezogenen Daten verwendet werden, um bestimmte persönliche Aspekte, die sich auf eine natürliche Person beziehen, zu bewerten, insbesondere um Aspekte bezüglich Arbeitsleistung, wirtschaftliche Lage, Gesundheit, persönliche Vorlieben, Interessen, Zuverlässigkeit, Verhalten, Aufenthaltsort oder Ortswechsel dieser natürlichen Person zu analysieren oder vorherzusagen;

Art. 6 DS-GVO – Rechtmäßigkeit der Verarbeitung
(1) Die Verarbeitung ist nur rechtmäßig, wenn mindestens eine der nachstehenden Bedingungen erfüllt ist:

a) Die betroffene Person hat ihre Einwilligung zu der Verarbeitung der sie betreffenden personenbezogenen Daten für einen oder mehrere bestimmte Zwecke gegeben;

b) die Verarbeitung ist für die Erfüllung eines Vertrags, dessen Vertragspartei die betroffene Person ist, oder zur Durchführung vorvertraglicher Maßnahmen erforderlich, die auf Anfrage der betroffenen Person erfolgen;

c) die Verarbeitung ist zur Erfüllung einer rechtlichen Verpflichtung erforderlich, der der Verantwortliche unterliegt;

d) die Verarbeitung ist erforderlich, um lebenswichtige Interessen der betroffenen Person oder einer anderen natürlichen Person zu schützen;

e) die Verarbeitung ist für die Wahrnehmung einer Aufgabe erforderlich, die im öffentlichen Interesse liegt oder in Ausübung öffentlicher Gewalt erfolgt, die dem Verantwortlichen übertragen wurde;

f) die Verarbeitung ist zur Wahrung der berechtigten Interessen des Verantwortlichen oder eines Dritten erforderlich, sofern nicht die Interessen oder Grundrechte und Grundfreiheiten der betroffenen Person, die den Schutz personenbezogener Daten erfordern, überwiegen, insbesondere dann, wenn es sich bei der betroffenen Person um ein Kind handelt.

Unterabsatz 1 Buchstabe f gilt nicht für die von Behörden in Erfüllung ihrer Aufgaben vorgenommene Verarbeitung.

Art. 22 DS-GVO – Automatisierte Entscheidung im Einzelfall einschließlich Profiling
(1) Die betroffene Person hat das Recht, nicht einer ausschließlich auf einer automatisierten Verarbeitung – einschließlich Profiling – beruhenden Entscheidung unterworfen zu werden, die ihr gegenüber rechtliche Wirkung entfaltet oder sie in ähnlicher Weise erheblich beeinträchtigt.

(2) Absatz 1 gilt nicht, wenn die Entscheidung

a) für den Abschluss oder die Erfüllung eines Vertrags zwischen der betroffenen Person und dem Verantwortlichen erforderlich ist,

b) aufgrund von Rechtsvorschriften der Union oder der Mitgliedstaaten, denen der Verantwortliche unterliegt, zulässig ist und diese Rechtsvorschriften angemessene Maßnahmen zur Wahrung der Rechte und Freiheiten sowie der berechtigten Interessen der betroffenen Person enthalten oder

c) mit ausdrücklicher Einwilligung der betroffenen Person erfolgt.

(3) In den in Absatz 2 Buchstaben a und c genannten Fällen trifft der Verantwortliche angemessene Maßnahmen, um die Rechte und Freiheiten sowie die berechtigten Interessen der betroffenen Person zu wahren, wozu mindestens das Recht auf Erwirkung des Eingreifens einer Person seitens des Verantwortlichen, auf Darlegung des eigenen Standpunkts und auf Anfechtung der Entscheidung gehört.

(4) Entscheidungen nach Absatz 2 dürfen nicht auf besonderen Kategorien personenbezogener Daten nach Artikel 9 Absatz 1 beruhen, sofern nicht Artikel 9 Absatz 2 Buchstabe a oder g gilt und angemessene Maßnahmen zum Schutz der Rechte und Freiheiten sowie der berechtigten Interessen der betroffenen Person getroffen wurden.

§ 31 BDSG (Bundesdatenschutzgesetz) – Schutz des Wirtschaftsverkehrs bei Scoring und Bonitätsauskünften
(1) Die Verwendung eines Wahrscheinlichkeitswerts über ein bestimmtes zukünftiges Verhalten einer natürlichen Person zum Zweck der Entscheidung über die Begründung, Durchführung oder Beendigung eines Vertragsverhältnisses mit dieser Person (Scoring) ist nur zulässig, wenn

die Vorschriften des Datenschutzrechts eingehalten wurden,
die zur Berechnung des Wahrscheinlichkeitswerts genutzten Daten unter Zugrundelegung eines wissenschaftlich anerkannten mathematisch-statistischen Verfahrens nachweisbar für die Berechnung der Wahrscheinlichkeit des bestimmten Verhaltens erheblich sind,
für die Berechnung des Wahrscheinlichkeitswerts nicht ausschließlich Anschriftendaten genutzt wurden und
im Fall der Nutzung von Anschriftendaten die betroffene Person vor Berechnung des Wahrscheinlichkeitswerts über die vorgesehene Nutzung dieser Daten unterrichtet worden ist; die Unterrichtung ist zu dokumentieren.
(2) Die Verwendung eines von Auskunfteien ermittelten Wahrscheinlichkeitswerts über die Zahlungsfähig- und Zahlungswilligkeit einer natürlichen Person ist im Fall der Einbeziehung von Informationen über Forderungen nur zulässig, soweit die Voraussetzungen nach Absatz 1 vorliegen und nur solche Forderungen über eine geschuldete Leistung, die trotz Fälligkeit nicht erbracht worden ist, berücksichtigt werden,

die durch ein rechtskräftiges oder für vorläufig vollstreckbar erklärtes Urteil festgestellt worden sind oder für die ein Schuldtitel nach § 794 der Zivilprozessordnung vorliegt,
die nach § 178 der Insolvenzordnung festgestellt und nicht vom Schuldner im Prüfungstermin bestritten worden sind,
die der Schuldner ausdrücklich anerkannt hat,
bei denen
a) der Schuldner nach Eintritt der Fälligkeit der Forderung mindestens zweimal schriftlich gemahnt worden ist,
b) die erste Mahnung mindestens vier Wochen zurückliegt,
c) der Schuldner zuvor, jedoch frühestens bei der ersten Mahnung, über eine mögliche Berücksichtigung durch eine Auskunftei unterrichtet worden ist und
d) der Schuldner die Forderung nicht bestritten hat oder
deren zugrunde liegendes Vertragsverhältnis aufgrund von Zahlungsrückständen fristlos gekündigt werden kann und bei denen der Schuldner zuvor über eine mögliche Berücksichtigung durch eine Auskunftei unterrichtet worden ist. Die Zulässigkeit der Verarbeitung, einschließlich der Ermittlung von Wahrscheinlichkeitswerten, von anderen bonitätsrelevanten Daten nach allgemeinem Datenschutzrecht bleibt unberührt.



VG Wiesbaden legt EuGH vor: Verstößt Speicherung der Restschuldbefreiung durch Schufa länger als 6 Monate gegen DSGVO

VG Wiesbaden
Beschluss vom 31.08.2021
6 K 226/21.WI


Das VG Wiesbdaden hat dem EuGH zur Entscheidung vorgelegt, ob die Speicherung der Restschuldbefreiung durch die Schufa länger als 6 Monate gegen die DSGVO verstößt.

Die Pressemitteilung des VG Wiesbaden:

Vorlage zum Europäischen Gerichtshof bezüglich der Eintragung einer Restschuldbefreiung bei der SCHUFA Holding AG

Gegenstand des Verfahrens vor dem VG Wiesbaden ist das Begehren des Klägers, die Eintragung einer Restschuldbefreiung aus dem Verzeichnis der SCHUFA Holding AG, einer privaten Wirtschaftsauskunftei, zu löschen. Die Information hinsichtlich der Restschuldbefreiung stammt aus den Veröffentlichungen der Insolvenzgerichte, bei denen sie nach 6 Monaten gelöscht wird. Bei der SCHUFA erfolgt eine Löschung gemäß der „Verhaltensregeln für die Prüf- und Löschfristen von personenbezogenen Daten durch die deutschen Wirtschaftsauskunfteien“ vom 25.05.2018 des Verbandes „Die Wirtschaftsauskunfteien e.V.“ erst 3 Jahre nach der Eintragung. In Bezug auf die Löschung wandte sich der Kläger mit einer Beschwerde an den Hessischen Beauftragten für Datenschutz und Informationsfreiheit als Aufsichtsbehörde, der auf die Löschung der Eintragung bei der SCHUFA Holding AG hinwirken solle. Dieser lehnte das Begehren des Klägers jedoch ab.

Die 6. Kammer des VG Wiesbaden hat mit Beschluss vom 31.08.2021 entschieden, dem Gerichtshof der Europäischen Union (EuGH) mehrere Fragen zur Klärung vorzulegen.

Zum einen sei zu klären, ob es genüge, wenn sich der Datenschutzbeauftragte wie im Falle einer Petition mit der Beschwerde der betroffenen Person überhaupt befasse und sie innerhalb eines bestimmten Zeitraums über den Stand und das Ergebnis der Beschwerde unterrichte. Es bestünden Zweifel, ob diese Auffassung mit der Datenschutzgrundverordnung (DS-GVO) vereinbar sei, da hierdurch das Recht auf einen wirksamen gerichtlichen Rechtsbehelf gegen die Aufsichtsbehörde eingeschränkt werde. Es bedürfe einer Klärung, ob die Entscheidung der Aufsichtsbehörde der vollen inhaltlichen Kontrolle der Gerichte unterliege.

Zudem legte die 6. Kammer die Frage vor, ob die Eintragungen aus den öffentlichen Verzeichnissen, beispielsweise aus den Veröffentlichungen der Insolvenzgerichte, eins zu eins in privat geführte Verzeichnisse übertragen werden könnten, ohne dass ein konkreter Anlass zur Datenspeicherung bei der privaten Wirtschaftsauskunftei bestehe. Zweck der Speicherung sei vielmehr, die Daten im Fall einer eventuellen Auskunftsanfrage durch ein Wirtschaftsunternehmen, z.B. eine Bank, verwenden zu können. Ob eine solche Auskunft jemals nachgefragt werde, sei dabei vollkommen offen.

Dies führe letztendlich zu einer Vorratsdatenspeicherung, vor allem dann, wenn in dem nationalen Register die Daten schon wegen Ablaufs der Speicherfrist gelöscht worden seien. Die streitgegenständliche Restschuldenbefreiung sei in dem öffentlichen Register der Insolvenzbekanntmachungen nach 6 Monaten zu löschen, während sie bei den privaten Wirtschaftsauskunfteien jedoch viel länger, ggf. noch weitere 3 Jahre gespeichert und bei Auskünften verarbeitet werden könne.

Es bestünden bereits Zweifel daran, ob eine „Parallelhaltung“ dieser Daten neben den staatlichen Registern bei einer Vielzahl privater Firmen überhaupt zulässig sei. Dabei sei zu beachten, dass die SCHUFA Holding AG nur eine von mehreren Auskunfteien sei und damit die Daten vielfach in Deutschland auf diesem Wege vorgehalten würden. Eine solche „Datenhaltung“ sei gesetzlich nicht geregelt und könne massiv in die wirtschaftliche Betätigung eines Betroffenen eingreifen.

Sollte diese Speicherung jedoch zulässig sein, so müssten jedenfalls dieselben Speicher- und Löschfristen gelten, wie in den öffentlichen Registern. Dies mit der Folge, dass Daten, die im öffentlichen Register zu löschen seien, auch bei allen privaten Wirtschaftsauskunfteien, die diese Daten zusätzlich gespeichert hätten, zeitgleich gelöscht werden müssten.

Der Vorlagebeschluss (Az.: 6 K 226/21.WI) ist unanfechtbar.

Anhang:
Artikel 6 DS-GVO
Verordnung (EU) 2016/679 des Europäische Parlaments und des Rates vom 27. April 2016 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten, zum freien Datenverkehr und zur Aufhebung der Richtlinie 95/46/EG – Datenschutz-Grundverordnung)

Rechtmäßigkeit der Verarbeitung
(1) Die Verarbeitung ist nur rechtmäßig, wenn mindestens eine der nachstehenden Bedingungen erfüllt ist:

a) Die betroffene Person hat ihre Einwilligung zu der Verarbeitung der sie betreffenden personenbezogenen Daten für einen oder mehrere bestimmte Zwecke gegeben;

b) die Verarbeitung ist für die Erfüllung eines Vertrags, dessen Vertragspartei die betroffene Person ist, oder zur Durchführung vorvertraglicher Maßnahmen erforderlich, die auf Anfrage der betroffenen Person erfolgen;

c) die Verarbeitung ist zur Erfüllung einer rechtlichen Verpflichtung erforderlich, der der Verantwortliche unterliegt;

d) die Verarbeitung ist erforderlich, um lebenswichtige Interessen der betroffenen Person oder einer anderen natürlichen Person zu schützen;

e) die Verarbeitung ist für die Wahrnehmung einer Aufgabe erforderlich, die im öffentlichen Interesse liegt oder in Ausübung öffentlicher Gewalt erfolgt, die dem Verantwortlichen übertragen wurde;

f) die Verarbeitung ist zur Wahrung der berechtigten Interessen des Verantwortlichen oder eines Dritten erforderlich, sofern nicht die Interessen oder Grundrechte und Grundfreiheiten der betroffenen Person, die den Schutz personenbezogener Daten erfordern, überwiegen, insbesondere dann, wenn es sich bei der betroffenen Person um ein Kind handelt.

Unterabsatz 1 Buchstabe f gilt nicht für die von Behörden in Erfüllung ihrer Aufgaben vorgenommene Verarbeitung.

Artikel 77 DS-GVO
Recht auf Beschwerde bei einer Aufsichtsbehörde
(1) Jede betroffene Person hat unbeschadet eines anderweitigen verwaltungsrechtlichen oder gerichtlichen Rechtsbehelfs das Recht auf Beschwerde bei einer Aufsichtsbehörde, insbesondere in dem Mitgliedstaat ihres Aufenthaltsorts, ihres Arbeitsplatzes oder des Orts des mutmaßlichen Verstoßes, wenn die betroffene Person der Ansicht ist, dass die Verarbeitung der sie betreffenden personenbezogenen Daten gegen diese Verordnung verstößt.

§ 9 InsO (Insolvenzordnung)
Öffentliche Bekanntmachung
(1) Die öffentliche Bekanntmachung erfolgt durch eine zentrale und länderübergreifende Veröffentlichung im Internet; diese kann auszugsweise geschehen. Dabei ist der Schuldner genau zu bezeichnen, insbesondere sind seine Anschrift und sein Geschäftszweig anzugeben. Die Bekanntmachung gilt als bewirkt, sobald nach dem Tag der Veröffentlichung zwei weitere Tage verstrichen sind.

(2) Das Insolvenzgericht kann weitere Veröffentlichungen veranlassen, soweit dies landesrechtlich bestimmt ist. Das Bundesministerium der Justiz und für Verbraucherschutz wird ermächtigt, durch Rechtsverordnung mit Zustimmung des Bundesrates die Einzelheiten der zentralen und länderübergreifenden Veröffentlichung im Internet zu regeln. Dabei sind insbesondere Löschungsfristen vorzusehen sowie Vorschriften, die sicherstellen, dass die Veröffentlichungen

1.unversehrt, vollständig und aktuell bleiben,

2.jederzeit ihrem Ursprung nach zugeordnet werden können.

(3) Die öffentliche Bekanntmachung genügt zum Nachweis der Zustellung an alle Beteiligten, auch wenn dieses Gesetz neben ihr eine besondere Zustellung vorschreibt.

§ 3 Verordnung zu öffentlichen Bekanntmachungen in Insolvenzverfahren im Internet vom 12. Februar 2002
Löschungsfristen
(1) Die in einem elektronischen Informations- und Kommunikationssystem erfolgte Veröffentlichung von Daten aus einem Insolvenzverfahren einschließlich des Eröffnungsverfahrens wird spätestens sechs Monate nach der Aufhebung oder der Rechtskraft der Einstellung des Insolvenzverfahrens gelöscht. Wird das Verfahren nicht eröffnet, beginnt die Frist mit der Aufhebung der veröffentlichten Sicherungsmaßnahmen.

(2) Für die Veröffentlichungen im Restschuldbefreiungsverfahren einschließlich des Beschlusses nach § 289 der Insolvenzordnung gilt Absatz 1 Satz 1 mit der Maßgabe, dass die Frist mit Rechtskraft der Entscheidung über die Restschuldbefreiung zu laufen beginnt.

(3) Sonstige Veröffentlichungen nach der Insolvenzordnung werden einen Monat nach dem ersten Tag der Veröffentlichung gelöscht


EuGH: Auch für einen Petitionsausschuss gelten die Vorgaben der DSGVO - Petionsausschuss als Verantwortlicher

EuGH
Urteil vom 09.07.2020
C‑272/19
VQ gegen Land Hessen


Der EuGH hat entschieden, dass auch für einen Petitionsausschuss die Vorgaben der DSGVO gelten und dieser Verantwortlicher im Sinne der DSGVO sein kann.

Tenor der Entscheidung:

Art. 4 Nr. 7 der Verordnung (EU) 2016/679 des Europäischen Parlaments und des Rates vom 27. April 2016 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten, zum freien Datenverkehr und zur Aufhebung der Richtlinie 95/46/EG (Datenschutz-Grundverordnung) ist dahin auszulegen, dass der Petitionsausschuss eines Gliedstaats eines Mitgliedstaats insoweit, als dieser Ausschuss allein oder gemeinsam mit anderen über die Zwecke und Mittel der Verarbeitung entscheidet, als „Verantwortlicher“ im Sinne dieser Bestimmung einzustufen ist, so dass die von einem solchen Ausschuss vorgenommene Verarbeitung personenbezogener Daten in den Anwendungsbereich dieser Verordnung, u. a. unter deren Art. 15, fällt.

Den Volltext der Entscheidung finden Sie hier:

VG Wiesbaden legt EuGH zahlreiche Fragen zum Fluggastdatengesetz bzw. der PNR-Richtlinie zur Entscheidung vor

VG Wiesbaden
Beschluss vom 13.05.2020 - 6 K 805/19.W
Beschluss vom 15.05.2020 - 6 K 806/19.WI


Das VG Wiesbaden hat dem EuGH zahlreiche Fragen zum Fluggastdatengesetz bzw. der PNR-Richtlinie zur Entscheidung vorgelegt.

Die Pressemitteilung des Gerichts:

Vorschriften des Fluggastdatengesetzes auf dem Prüfstand

Mit Beschlüssen vom 13. und 15. Mai 2020 (Az.: 6 K 805/19.WI und 6 K 806/19.WI) hat die 6. Kammer des VG Wiesbaden im Rahmen von Vorabentscheidungsersuchen dem Europäischen Gerichtshof eine Vielzahl von Fragen betreffend das Fluggastdatengesetz vorgelegt.

In beiden Verfahren begehren die jeweiligen Kläger die Löschung ihrer sogenannten Fluggastdaten (PNR-Daten), die derzeit durch das Bundeskriminalamt gespeichert werden. Das Verfahren 6 K 805/19.WI betrifft dabei Flüge aus der Europäischen Union in einen Drittstaat, das Verfahren 6 K 806/19.WI betrifft Flüge innerhalb der Europäischen Union.

Der Hintergrund der Verfahren ist der folgende: Am 27. April 2016 erließen das Europäische Parlament und der Rat die Richtlinie (EU) 2016/681 (sog. PNR-Richtlinie). Diese schreibt vor, dass die Fluggesellschaften bei sämtlichen Flügen von der Union in Drittstaaten und von Drittstaaten in die Union eine Vielzahl von personenbezogenen Daten aller Fluggäste an von den jeweiligen Mitgliedstaaten einzurichtende Zentralstellen (in Deutschland: das Bundeskriminalamt) übermitteln müssen, wo diese Daten automatisiert mit Datenbanken und Algorithmen (sog. Mustern) abgeglichen und fünf Jahre lang gespeichert werden. Auch eine Weitergabe an andere Behörden im In- und Ausland ist gestattet. Diese Maßnahmen sollen der Bekämpfung von Terrorismus und schwerer Kriminalität dienen. Die Bundesrepublik Deutschland hat, ebenso wie viele andere EU-Mitgliedstaaten, mit Erlass des Fluggastdatengesetzes vom 6. Juni 2017 – dem deutschen Umsetzungsgesetz zur PNR-Richtlinie – die Richtlinie umgesetzt und von der durch die Richtlinie explizit eröffneten Möglichkeit Gebrauch gemacht, die Fluggastdatenverarbeitung auch auf alle innereuropäischen Flüge auszuweiten.

Die durch das VG Wiesbaden nun dem Europäischen Gerichtshof zur Beantwortung vorlegten Fragen betreffen im Wesentlichen die Vereinbarkeit der PNR-Richtlinie und des Fluggastdatengesetzes mit der Charta der Grundrechte der Europäischen Union, insbesondere den dort verankerten Grundrechten auf Achtung des Privat- und Familienlebens und dem Schutz personenbezogener Daten, sowie mit der Datenschutz-Grundverordnung und (im Falle der innereuropäischen Flüge) mit der durch den AEUV (Vertrag über die Arbeitsweise der Europäischen Union) innerhalb der Europäischen Union garantierten Freizügigkeit.

Das Gericht hat erhebliche Zweifel, ob die PNR-Richtlinie und das deutsche Umsetzungsgesetz europarechtskonform sind. Es hält die Fluggastdatenverarbeitung mit der Vorratsdatenspeicherung von Telekommunikationsdaten für vergleichbar und erachtet die damit verbundenen Grundrechtseingriffe trotz des verfolgten Ziels (Bekämpfung von Terrorismus und schwerer Kriminalität) als nicht gerechtfertigt.

Als zweifelhaft erachtet das Gericht unter anderem

den Umfang der erhobenen und verarbeiteten Fluggastdaten,
die Verhältnismäßigkeit der 5-jährigen Speicherdauer für die Fluggastdaten,
die Bestimmtheit mehrerer Vorschriften der Richtlinie und des Umsetzungsgesetzes,
ob die Fluggäste über die Datenverarbeitung ausreichend informiert werden,
ob die Weitergabe an Drittstaaten und inländisch an das Bundesamt für Verfassungsschutz zulässig ist und
ob die Mehrfacherfassung der Fluggäste (durch Start- und Zielland des jeweiligen innereuropäischen Fluges) gerechtfertigt ist.
Die Beschlüsse sind unanfechtbar. Die Verfahren werden nach der Entscheidung des Europäischen Gerichtshofes über die Vorabentscheidungsersuchen durch das VG Wiesbaden fortgesetzt werden.

Anhang:
Art.7 GRCh - Achtung des Privat- und Familienlebens
Jede Person hat das Recht auf Achtung ihres Privat- und Familienlebens, ihrer Wohnung sowie ihrer Kommunikation.

Art. 8 GRCh - Schutz personenbezogener Daten
(1) Jede Person hat das Recht auf Schutz der sie betreffenden personenbezogenen Daten.
(2) Diese Daten dürfen nur nach Treu und Glauben für festgelegte Zwecke und mit Einwilligung der betroffenen Person oder auf einer sonstigen gesetzlich geregelten legitimen Grundlage verarbeitet werden. Jede Person hat das Recht, Auskunft über die sie betreffenden erhobenen Daten zu erhalten und die Berichtigung der Daten zu erwirken.
(3) Die Einhaltung dieser Vorschriften wird von einer unabhängigen Stelle überwacht.

Art. 21 AEUV - Freizügigkeit
(1) Jeder Unionsbürger hat das Recht, sich im Hoheitsgebiet der Mitgliedstaaten vorbehaltlich der in den Verträgen und in den Durchführungsvorschriften vorgesehenen Beschränkungen und Bedingungen frei zu bewegen und aufzuhalten.
(2) […]
(3) […]

Art. 67 AEUV - Grundsätze
(1) Die Union bildet einen Raum der Freiheit, der Sicherheit und des Rechts, in dem die Grundrechte und die verschiedenen Rechtsordnungen und -traditionen der Mitgliedstaaten geachtet werden.
(2) Sie stellt sicher, dass Personen an den Binnengrenzen nicht kontrolliert werden, und entwickelt eine gemeinsame Politik in den Bereichen Asyl, Einwanderung und Kontrollen an den Außengrenzen, die sich auf die Solidarität der Mitgliedstaaten gründet und gegenüber Drittstaatsangehörigen angemessen ist. Für die Zwecke dieses Titels werden Staatenlose den Drittstaatsangehörigen gleichgestellt.
(3) […]
(4) […]

VG Wiesbaden legt EuGH vor: Unterfällt Petitionsausschuss der DSGVO - können hessische Verwaltungsgerichte Vorlagefragen an EuGH richten

VG Wiesbaden
Beschluss vom 28.03.2019
6 K 1016/15.WI


Das VG Wiesbaden, hat dem EuGH zur Entscheidung vorgelegt, ob ein Petitionsausschuss der DSGVO unterfällt und ob hessische Verwaltungsgerichte überhaupt Vorlagefragen an den EuGH richten können.

Die Pressemitteilung des Gerichts:

Verwaltungsgericht Wiesbaden legt EuGH Fragen zu Datenschutz und richterlicher Unabhängigkeit vor

Mit Beschluss vom 28.03.2019 hat der Einzelrichter der 6. Kammer des Verwaltungsgerichts Wiesbaden dem EuGH zwei Fragen vorgelegt, die die Datenschutzgrundverordnung (DSGVO) und die Unabhängigkeit der hessischen Justiz betreffen (Az.: 6 K 1016/15.WI).

Dem Verfahren liegt eine Auskunftsklage eines Bürgers gegen den Hessischen Landtag zugrunde, mit dem er Auskunft über die über ihn beim Petitionsausschuss gespeicherten personenbezogenen Daten begehrt. Der Präsident des Landtags hatte den Antrag mit dem Argument abgelehnt, das Petitionsverfahren sei eine parlamentarische Aufgabe des Landtages, die nicht in den Anwendungsbereich des europäischen Datenschutzrechts falle (§ 30 Hessisches Datenschutz- und Informationsfreiheitsgesetz).

Das Verwaltungsgericht habe insoweit Zweifel, ob dieser Ausschluss mit der DSGVO vereinbar sei, weil der Petitionsausschuss nicht an der Gesetzgebung mitwirke, sondern als Behörde tätig sei. Die DSGVO klammere aber nur die Gesetzgebungsorgane von ihrem Anwendungsbereich aus, nicht aber die Verwaltung.

Darüber hinaus sei fraglich, ob die hessischen Verwaltungsgerichte überhaupt Vorlagefragen an den EuGH richten könnten. Die Unionsverträge verliehen ein Vorlagerecht nur an unabhängige Gerichte. Die deutsche Rechtsordnung sehe aber nur die Unabhängigkeit der Richter vor, während die Institution „Gericht“ maßgeblich vom Justizministerium, das die Personalakten führe und Personal einstelle, gesteuert werde, und das wiederum Beteiligter an Konkurrenten- und richterrechtlichen Streitigkeiten sei.



VG Wiesbaden: Land Hessen muss weitere Sportwettenkonzessionen vergeben - Verstoß gegen Dienstleistungsfreiheit Art. 56 AEUV

VG Wiesbaden
Urteil vom 15.04.2016
5 K 1431/14.WI


Das VG Wiesbaden hat entschieden, dass das Land Hessen weitere Sportwettenkonzessionen vergeben muss. Es liegt ein Verstoß gegen die Dienstleistungsfreiheit Art. 56 AEUV vor.

Die Pressemitteilung des VG Wiesbaden:

"Die 5. Kammer des Verwaltungsgerichts Wiesbaden hat mit Urteil vom heutigen Tage das für die Erteilung der Konzessionen in einem landeseinheitlichen Verfahren zuständige Land Hessen verpflichtet, einem bislang nicht berücksichtigten Bewerber eine Sportwettenkonzession zu erteilen.

Die Kammer stellte in ihrer Entscheidung fest, dass die Beschränkung der Zahl der Konzessionen auf nur 20 einen Verstoß gegen europarechtliche Normen, nämlich gegen die Dienstleistungsfreiheit (Art. 56 AEUV) und gegen das aus dem Gleichheitsgebot abgeleitete Transparenzgebot darstelle. Das Land Hessen habe nicht nachvollziehbar begründen können, wie die Beschränkung auf 20 Sportwettenanbieter zu rechtfertigen sei. Gebe es keine nachvollziehbare Begründung, sei diese Beschränkung europarechtswidrig und die entsprechende Regelung im Glücksspielstaatsvertrag nicht anzuwenden. Der Klägerin sei daher die begehrte Konzession zu erteilen, da sie im Übrigen alle Anforderungen erfüllt habe.

Gegen die Entscheidung kann ein Antrag auf Zulassung der Berufung gestellt werden, über den der Hessische Verwaltungsgerichtshof zu entscheiden hat (5 K 1431/14.WI)."



VG Wiesbaden: Vorläufiger Stopp für Erteilung von 20 Sportwetten-Konzessionen aufgrund von Mängeln des Konzessionsverfahrens

VG Wiesbaden
Beschluss vom 05.05.2015
5 L 1453/14


Das VG Wiesbaden hat die Erteilung von 20 Sportwetten-Konzessionen aufgrund von Mängeln des Konzessionsverfahrens vorläufig bis zur Entscheidung im Klageverfahren gestoppt.

Die Pressemitteilung des VG Wiesbaden:

"Verwaltungsgericht Wiesbaden stoppt die angekündigte Erteilung von 20 Sportwetten-Konzessionen an die ausgewählten Bewerber

Die 5. Kammer des Verwaltungsgerichts Wiesbaden hat durch Beschluss vom 05.05.2015 das Land Hessen auf den Eilantrag eines österreichischen Sportwettenanbieters verpflichtet, bis zu einer Entscheidung im Klageverfahren die angekündigte Erteilung von Sportwetten, Konzessionen an die 20 ausgewählten Bewerber zurückzustellen.

Glücksspiele dürfen in Deutschland nur mit Erlaubnis der zuständigen Behörde veranstaltet und vermittelt werden. Der Glücksspielstaatsvertrag sieht deshalb vor, dass ab Juli 2012 für 7 Jahre Sportwetten probeweise mit einer Konzession veranstaltet werden dürfen, u.a., um insgesamt eine bessere Bekämpfung des Schwarzmarktes zu erreichen. Insgesamt dürfen 20 Konzessionen bundesweit vergeben werden. Für die Erteilung der Konzessionen in einem ländereinheitlichen Verfahren für alle Bundesländer ist das Land Hessen zuständig, das bei der Aufgabenerfüllung von dem Glücksspielkollegium der Länder unterstützt wird. Die Ausschreibung im Konzessionsverfahren erfolgte am 08.08.2012 europaweit. Das Verfahren wurde in zwei aufeinanderfolgenden Phasen abgewickelt. In der 1. Stufe mussten die in der Ausschreibung genannten Voraussetzungen erfüllt werden, in der 2. Stufe erhielten die Bewerber Gelegenheit, ihre Bewerbung zu ergänzen. Von den ursprünglich 73 Bewerbern um eine Konzession verblieben 35 Bewerber, die am 02.09.2014 die Mitteilung erhielten, dass die Konzessionserteilung an 20 ausgewählte Antragsteller am 18.09.2014 erfolgen solle. Aufgrund eines Eilantrags eines anderen Bewerbers, der einen ablehnenden Bescheid erhalten hatte, gab die Kammer dem Land Hessen auf, das Konzessionsverfahren offen zu halten und zunächst keine Konzessionen zu erteilen (5 L 1428/14.WI).

Auch die Antragstellerin des vorliegenden Verfahrens erhielt am 02.09.2014 einen ablehnenden Bescheid, da sie im Rahmen des Auswahlverfahrens nicht die erforderliche Punktzahl erreicht habe.

Nach Auffassung der Kammer weist das bisherige Verwaltungsverfahren zur Auswahl der Bewerber verschiedene Rechtsverstöße und Ausführungsmängel auf, die die Dienstleistungsfreiheit (Art. 56 AEUV) und den Anspruch auf ein diskriminierungsfreies und transparentes Auswahlverfahren (§ 4b GlüStV, Art. 3 Abs. 1 GG) verletzen.

Zwar sei der mehrstufige Aufbau des Auswahlverfahrens nicht zu beanstanden. Es fehle jedoch an der hinreichenden Transparenz, weil die Bewerber weder aus der Ausschreibung noch aus dem Gesetzestext des Glücksspielstaatsvertrags voll umfänglich hätten entnehmen können, was letztlich für eine erfolgreiche Bewerbung von ihnen gefordert werde. So sei den Bewerbern mitgeteilt worden, dass alle Einzelheiten zu den Mindestanforderungen sowie zur Auswahl der Konzessionäre erst mitgeteilt würden, wenn sie sich für die 2. Stufe qualifiziert hätten. Dabei hätten, so die Kammer, die Kriterien für das erfolgreiche Absolvieren der 2. Stufe bereits vor der Ausschreibung feststehen müssen.

Auch die inhaltliche Gestaltung des Auswahlverfahrens verstoße gegen die Anforderungen an eine rechtmäßige Beschränkung der Dienstleistungsfreiheit. Während in der Ausschreibung die Anforderungen für die 1. Stufe des Verfahrens aufgelistet und auf verwendbare Formblätter verwiesen werde, würden für die Erfüllung der Mindestanforderungen auf der 2. Stufe 5 Konzepte genannt, die eingereicht werden müssten, ohne dass inhaltliche Anforderungen hieran, Maßstäbe für Ergänzungsverlangen und Vorgaben für die schrittweise Verringerung der Zahl der Antragsteller genannt würden. Aus dem Glücksspielvertrag selbst ergebe sich weder die Forderung von 5 Konzepten noch enthalte er Verfahrensregelungen für das Auswahlverfahren. Im Hinblick auf die bereits laufende und auf 7 Jahre beschränkte Experimentierphase hätten im Voraus bestimmte Fristabschnitte festgelegt werden müssen, um das Behördenverfahren in einem absehbaren zeitlichen Rahmen zu halten. Die Bewerber hätten sich aber weder auf Fristabläufe/Fristverlängerungen noch auf Nachforderungen oder Änderungen von Memoranden und neugestaltete Formblätter einstellen oder bei ihre Bewerbung von vornherein einkalkulieren können. Der Glücksspielstaatsvertrag überlasse die Gestaltung des Konzessionsverfahrens weitestgehend dem Land Hessen, ohne dessen Gestaltungsermessen zu begrenzen oder in nachprüfbare Bahnen zu lenken.

Auch die Anzahl von 600 Fragen der Bewerber zur Klärung des Anforderungskatalogs zur 2. Stufe zeige, dass die Anforderungen nicht von vornherein verständlich und transparent gewesen seien. Die maßgeblichen Kriterien müssten aber auch im Verwaltungsvergabeverfahren sowohl für die Mindestanforderungen als auch für die Auswahlentscheidung so klar, präzise und eindeutig formuliert und im Vorhinein bekannt sein, dass jeder Bewerber sich gebührend informieren und deren Bedeutung verstehen und auslegen kann. Es sei nicht Aufgabe der Bewerber, so lange Fragen an die Behörde zu richten, bis deren Anforderungen und Entscheidungskriterien hinreichend deutlich geworden seien.

Auch der Prüfungsablauf und die Entscheidungsfindung seien intransparent geblieben. So werde nicht offengelegt, welche Personen mit welcher Qualifikation im jeweiligen Prüfteam eingesetzt gewesen seien und wie eine durchgängige Beurteilung des für alle Bewerber gleichen Kriterienkatalogs durch jeweils dieselben Prüfer gewährleistet worden sei. Auch die Entscheidungsfindung im Glücksspielkollegium, dessen Beschlüsse für das Land Hessen bindend seien, sei intransparent und fehlerhaft. Zwar müssten die Beschlüsse dieses Gremiums begründet werden, in den entsprechenden Sitzungsniederschriften fänden sich jedoch keine Begründungen für deren Entscheidungen, sondern nur das Abstimmungsergebnis. Außerdem könnten Behörden, die nach hessischem Landerecht tätig werden und Landesgewalt ausüben, ihre Entscheidungsfindung nicht einem Gremium überlassen, das aus Vertretern aller Bundesländer bestehe und dessen Beschlüsse nicht einstimmig, sondern nur mit 2/3 Mehrheit, also auch gegen die Stimme des hessischen Mitglieds getroffen werden. So sei auch die Auswahlentscheidung für die Vergabe der 20 Sportwetten, Konzessionen nicht einstimmig getroffen worden. Die Beschlüsse des Glücksspielgremiums könnten das Land Hessen keinesfalls von einer eigenständigen Entscheidung entbinden.

Neben den Durchführungsmängeln bestünden auch konzeptionelle Defizite des Konzessionsverfahrens. Das bislang zur Rechtfertigung des Monopols und nunmehr zur Begründung der nur beschränkten Konzessionierung herangezogene öffentliche Interesse an der Bekämpfung der Spielsucht und der Lenkung des Spieltriebs in geordneten Bahnen sei das überragende Gemeinwohlziel. Entsprechend sei das Sozialkonzept von hervorgehobener Bedeutung, was aber in der konkreten Ausgestaltung nicht zum Ausdruck komme, da die Einzelanforderungen aller 5 Konzepte zur Erfüllung der Mindestvoraussetzungen gleich gewichtet würden.

Auch das eigentliche Auswahlverfahren zwischen den 35 verbliebenen Bewerbern weise zusätzliche Rechtsfehler auf, da an die Bewerber durch die Behörde Anforderungen gestellt wurden, die im Glücksspielstaatsvertrag nicht genannt seien. So seien von den Bewerbern Maßnahmen zur Unterstützung der Glücksspielaufsicht bei der Bekämpfung des Schwarzmarktes und zum Vorgehen gegen illegale Mitbewerber gefordert worden. Von dem einzelnen Konzessionär werde eine Ermittlungstätigkeit eingefordert, die nicht sein eigenes Geschäft, sondern die Tätigkeit anderer Glücksspielanbieter betreffe und die originär der behördlichen Glücksspielaufsicht obliege.

Die tatsächliche Bewertung der einzelnen Anforderungen im Auswahlverfahren könne nicht nachvollzogen werden, da der der Antragstellerin übermittelte Bescheid selbst hierzu keine Ausführungen enthalte. Aus den Beurteilungsbögen lasse sich eine individuelle und aus sich heraus verständliche Begründung für die konkrete Punktvergabe nicht feststellen. Die Begriffe „durchschnittlich“ oder „unterdurchschnittlich“ seien mangels Vergleichbarkeit nicht nachvollziehbar. Soweit der Prüfungsumfang in internen Besprechungen der Prüfteams festgelegt worden sei und sich die Prüfer im Fall divergierender Bewertungen auf eine Punktzahl einigten, könne von einer transparenten und für die Bewerber vorhersehbaren und nachvollziehbaren Auswahlentscheidung nicht gesprochen werden.

Außerdem müsse die gesamte oder jedenfalls die überwiegende Zeit der Experimentierphase den Konzessionären zur Verfügung stehen und dürfe nicht auch dazu dienen, der Behörde ein Experimentieren, wie ein Konzessionsverfahren gestaltet und abgewickelt werden könne, zu ermöglichen.

Gegen diesen Beschluss können die Beteiligten Beschwerde erheben, über die der Hessische Verwaltungsgerichtshof in Kassel zu entscheiden hat (Az.: 5 L 1453/14.WI)."