BECKMANN UND NORDA - Rechtsanwälte Bielefeld

BGH
Beschluss vom 27.03.2023
VI ZR 225/21

Der BGH hat das Verfahren hinsichtlich der Frist zur Löschung der Restschuldbefreiung aus der Schufa-Datenbank ausgesetzt, bis der EuGH in einem anderen Verfahren die streitrelaventen Vorgaben der DSGVO geklärt hat.

Die Pressemitteilung des BGH:
Aussetzung des Verfahrens in Sachen VI ZR 225/21 (Löschung der Eintragung über die Erteilung der Restschuldbefreiung im Insolvenzverfahren in einer Datenbank der Schufa)

Der unter anderem für Ansprüche nach der EU-Datenschutzgrundverordnung und dem Bundesdatenschutzgesetz zuständige VI. Zivilsenat des Bundesgerichtshofes hat darüber zu entscheiden, ob ein Schuldner, dem vom Insolvenzgericht Restschuldbefreiung erteilt worden ist, von der Schufa die Löschung dieser Information in ihrer Datenbank grundsätzlich oder jedenfalls dann verlangen kann, wenn die Frist für die Speicherung dieser Information im öffentlichen bundesweiten Insolvenzportal abgelaufen ist (vgl. im Einzelnen Pressemitteilung Nr. 26/2023 vom 9.2.2023).

Mit Beschluss vom heutigen Tag hat der VI. Zivilsenat das Verfahren bis zu der Entscheidung des Gerichtshofs der Europäischen Union in den dort anhängigen (verbundenen) Verfahren C-26/22 und C-64/22 ausgesetzt.

Vorinstanzen:

LG Kiel - 2 O 10/21 – Urteil vom 12. Februar 2021

OLG Schleswig - 17 U 15/21 – Urteil vom 2. Juli 2021

BGH
Beschluss vom 21.02.2023
VI ZR 330/21

Der BGH hat ein Verfahren, in dem es um Auslegung von Art. 15 DSGVO geht, gemäß § 148 ZPO analog ausgesetzt, bis der EuGH die entscheidungserheblichen Fragen zur DSGVO geklärt hat.

Aus den Entscheidungsgründen:
Das vorliegende Verfahren wird gemäß § 148 ZPO analog bis zu der Entscheidung des Gerichtshofs der Europäischen Union (im Folgenden: Gerichtshof) in den dort anhängigen Verfahren C-487/21 bzw. C-307/22 ausgesetzt.

1. Das Österreichische Bundesverwaltungsgericht hat durch Beschluss vom 9. August 2021 (W211 2222613 - 2; ECLI:AT:BVWG:2021: W211.2222613.2.00; Rs. C-487/21; ABl. EU C 431 vom 25. Oktober 2021 S. 8 f.) dem Gerichtshof u.a. folgende Fragen zur Vorabentscheidung gemäß Art. 267 AEUV vorgelegt:

1. Ist der Begriff der "Kopie" in Art. 15 Abs. 3 der Verordnung (EU) 2016/679 des Europäischen Parlaments und des Rates vom 27. April 2016 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten, zum freien Datenverkehr und zur Aufhebung der Richtlinie 95/46/EG (Datenschutz-Grundverordnung, ABl L 119/1 vom 4. Mai 2016, S. 1; im Folgenden: "DS-GVO") dahingehend auszulegen, dass damit eine Fotokopie bzw. ein Faksimile oder eine elektronische Kopie eines (elektronischen) Datums gemeint ist, oder fällt dem Begriffsverständnis deutscher, französischer und englischer Wörterbücher folgend unter
den Begriff auch eine "Abschrift", un "double" ("duplicata") oder ein "transcript"?

2. Ist Art. 15 Abs. 3 Satz 1 DS-GVO, wonach "der Verantwortliche eine Kopie der personenbezogenen Daten, die Gegenstand der Verarbeitung sind", zur Verfügung stellt, dahingehend auszulegen, dass darin ein allgemeiner Rechtsanspruch einer betroffenen Person auf Ausfolgung einer Kopie - auch - gesamter Dokumente enthalten ist, in denen personenbezogene Daten der betroffenen Person verarbeitet werden, bzw. auf Ausfolgung einer Kopie eines Datenbankauszuges bei Verarbeitung der personenbezogenen Daten in einer solchen, oder besteht damit - nur - ein Rechtsanspruch für die betroffene Person auf originalgetreue Reproduktion der nach Art. 15 Abs. 1 DS-GVO zu beauskunftenden personenbezogenen Daten?

3. Für den Fall, dass die Frage 2. dahingehend beantwortet wird, dass nur ein Rechtsanspruch für die betroffene Person auf originalgetreue Reproduktion der nach Art. 15 Abs. 1 DS-GVO zu beauskunftenden personenbezogenen Daten besteht, ist Art. 15 Abs. 3 Satz 1 DS-GVO dahingehend auszulegen, dass es, bedingt durch die Art der verarbeiteten Daten (zum Beispiel in Bezug auf die im Erwägungsgrund 63 angeführten Diagnosen, Untersuchungsergebnisse, Befunde oder auch Unterlagen im Zusammenhang mit einer Prüfung im Sinne des Urteils des Gerichtshofs der Europäischen Union vom 20. Dezember 2017,
C-434/16; ECLI:EU:C:2017:994) und das Transparenzgebot in Art. 12 Abs. 1 DSGVO im Einzelfall dennoch erforderlich sein kann, auch Textpassagen oder ganze Dokumente der betroffenen Person zur Verfügung zu stellen?

2. Der erkennende Senat hat dem Gerichtshof durch Beschluss vom 29. März 2022 - VI ZR 1352/20 (DB 2022, 1249; Rs. C-307/22) unter Ziff. 3 folgende Frage zur Vorabentscheidung vorgelegt:

Umfasst der Anspruch aus Art. 15 Abs. 3 Satz 1 DS-GVO im Arzt-Patienten-Verhältnis einen Anspruch auf Überlassung von Kopien aller die personenbezogenen Daten des Patienten enthaltenden Teile der Patientenakte oder ist er nur auf Herausgabe einer Kopie der personenbezogenen Daten des Patienten als solche gerichtet, wobei es dem datenverarbeitenden Arzt überlassen bleibt, in welcher Weise er dem betroffenen Patienten die Daten zusammenstellt ?

3. Diese Fragen sind auch im vorliegenden Fall entscheidungserheblich. Die Parteien streiten unter anderem darüber, ob sich aus Art. 15 Abs. 3 Satz 1 DS-GVO (lediglich) ein Anspruch auf eine Kopie der nach Art. 15 Abs. 1 DS-GVO zu beauskunftenden Daten oder ein Anspruch auf Herausgabe von Kopien der diese Daten enthaltenden Dokumente ergibt.

4. Aufgrund der Entscheidungserheblichkeit der oben unter II. 1 und 2 genannten Fragen kann der Senat in dieser Sache unter Beachtung seiner in Art. 267 Abs. 3 AEUV enthaltenen Vorlageverpflichtung keine abschließende Sachentscheidung treffen. Eine Vorlage auch dieses Verfahrens an den Gerichtshof würde jedoch dort nicht zu einer schnelleren Beantwortung der maßgeblichen Rechtsfrage führen. Im Gegenteil würde die Funktion des Gerichtshofs im Vorabentscheidungsverfahren beeinträchtigt, wenn die gleiche Rechtsfrage mehrfach vorgelegt würde. Das Vorabentscheidungsverfahren nach Art. 267 AEUV stellt ein grundlegendes Instrument dar, um den Grundsatz des Vorrangs des Gemeinschaftsrechts vor nationalem Recht zu verwirklichen und die einheitliche Anwendung des Gemeinschaftsrechts in allen Mitgliedstaaten zu gewährleisten. Die verbindliche Auslegung des Gemeinschaftsrechts ist dem Gerichtshof vorbehalten. Da der Gerichtshof aber kein Rechtsmittelgericht für sämtliche mitgliedschaftlichen Verfahren darstellt, genügt es, wenn dort über die klärungsbedürftige Rechtsfrage in den bereits anhängigen Verfahren verhandelt und entschieden wird (vgl. Senatsbeschluss vom 31. Mai 2022 - VI ZR 223/21, juris Rn. 9; BGH, Beschluss vom 24. Januar 2012 - VIII ZR 236/10, RIW 2012, 405 Rn. 8 mwN).

5. Der Senat hält es daher für angemessen, wie auch von der Revision angeregt, das vorliegende Verfahren gemäß § 148 ZPO analog wegen Vorgreiflichkeit der beim Gerichtshof anhängigen Vorlageverfahren auszusetzen (zur Zulässigkeit dieser Vorgehensweise vgl. BGH, Beschluss vom 24. Januar 2012 - VIII ZR 236/10, RIW 2012, 405 Rn. 9 mwN).

Den Volltext der Entscheidung finden Sie hier:

EuGH-Generalanwalt
Schlussanträge vom 02.02.2023
C-543/21
Verband Sozialer Wettbewerb e. V. gegen famila-Handelsmarkt Kiel GmbH & Co. KG

Der EuGH-Generalanwalt kommt in seinen Schlussanträgen zu dem Erhebnis, dass der Pfandbetrag bei Mehrwegbehältern nicht Bestandteil des Verkaufspreises im Sinne der Richtlinie 98/6/EG ist und gesondert angegeben werden kann.

Schlussanträge des EuGH-Generalanwalts:
Nach alledem schlage ich dem Gerichtshof vor, auf die Vorlagefragen des Bundesgerichtshofs (Deutschland) wie folgt zu antworten:

Art. 2 Buchst. a der Richtlinie 98/6/EG des Europäischen Parlaments und des Rates vom 16. Februar 1998 über den Schutz der Verbraucher bei der Angabe der Preise der ihnen angebotenen Erzeugnisse

ist dahin auszulegen, dass

der darin festgelegte Begriff „Verkaufspreis“ nicht einen rückerstattbaren Pfandbetrag umfasst, der auf Mehrwegbehälter erhoben wird, in denen die Waren dem Verbraucher angeboten werden.

Den Volltext finden Sie hier:

OLG Hamm
Beschluss vom 19.12.2022
11 W 69/22

Das OLG Hamm hat im vorliegenden Fall entschieden, dass ein Schadensersatzanspruch aus Art. 82 DSGVO wegen unzulässiger Speicherung personenbezogener Daten allenfalls in Höhe von 50 EURO gerechtfertigt ist.

Aus den Entscheidungsgründen:

2. Unabhängig von den fehlenden Voraussetzungen eines Amtshaftungsanspruchs kommt ein Schadensersatzanspruch des Klägers gemäß Art. 82 DSGVO infrage.

Dass die Bestimmungen dieser EU-Verordnung von der Beklagten zu beachten waren, ist zwischen den Parteien nicht im Streit. Ihr sachlicher Anwendungsbereich (Art. 2 DSGVO) ist eröffnet, nachdem die Beklagte personenbezogene Daten des Klägers gespeichert hat. Es liegt auch ein Verstoß gegen die Vorschriften dieser Verordnung vor, weil die Speicherung der Daten gem. Art. 17 Abs. 1a DSGVO unzulässig war.

Im Rahmen der europarechtlich auszulegenden Verordnung - diese verlangt aufgrund des Erwägungsgrundes 146 S. 3 eine weite Auslegung des Schadensbegriffs im Lichte der Rechtsprechung des EuGH, die den Zielen der Datenschutzgrundverordnung in vollem Umfang entspricht, vgl. BVerfG, Beschluss vom 14.1.2021, 1 BvR 2853/19, NJW 2021, S. 105 Rz. 19 - ist derzeit ungeklärt, ob immaterieller Schadensersatz zu versagen ist, wenn es an einer erheblichen Persönlichkeitsrechtsverletzung fehlt (vgl. BVerfG, Beschluss vom 14.1.2021, 1 BvR 2853/19, NJW 2021, S. 105 Rz. 20; auch Quaas in BeckOK Datenschutzrecht, Wolf/Brink, 42. Edition, Stand 01.08.2022, Art. 82 DSGVO Rz. 33 m.w.Nachw.). Diese Frage ist in einem Prozesskostenhilfeprüfungsverfahren nicht zulasten der antragstellenden Partei zu beantworten (vgl. BVerfG, Beschluss vom 19.02.2008, 1 BvR 1807/07, NJW 2008, S. 1060), sondern im Hauptsacheverfahren einer Klärung zuzuführen.

Deswegen kommt Prozesskostenhilfe für einen Schadensersatzanspruch gemäß Art. 82 DSGVO im vorliegenden Fall grundsätzlich in Betracht.

Allerdings ergibt sich aus dem vorgetragenen Sachverhalt kein Gesichtspunkt, der eine Schmerzensgeldzahlung von über 50,00 € rechtfertigen könnte. Dies auch dann, wenn man zugunsten des Klägers eine weite, europarechtliche Auslegung des Schadensbegriffes zugrunde legt, die neben einem individuellen Ausgleich wegen der Schutzgutverletzung, eine den Verstoß feststellende Genugtuungsfunktion und letztendlich auch eine generalpräventive Einwirkung auf den Schädiger in die Betrachtung einbezieht, vgl. insoweit auch OLG Koblenz, Urteil vom 18. Mai 2022, 5 U 2141/21, juris Rz. 80. Zu bewerten sind in der Sache insoweit dieselben Gesichtspunkte, die im Rahmen der Amtshaftung die Bewertung rechtfertigen, dass eine dort zu berücksichtigende Bagatellgrenze nicht überschritten worden ist.

Den Volltext der Entscheidung finden Sie hier:

BGH
Urteil vom 10.11.2022
I ZR 241/19
Herstellergarantie IV
UWG § 3a, § 5a Abs. 2 Satz 1, Abs. 4 aF, § 5a Abs. 1 nF, § 5b Abs. 4 nF; BGB § 312d Abs. 1 Satz 1, § 443, § 479 Abs. 1 aF, § 479 Abs. 1 nF; EGBGB Art. 246a § 1 Abs. 1 Satz 1 Nr. 9 aF, Art. 246a § 1 Abs. 1 Satz 1 Nr. 12 nF

Wir hatten bereits in dem Beitrag BGH: Internethändler muss nur dann umfassend über Herstellergarantie informieren wenn diese zentrales Merkmal des Angebots ist über die Entscheidung berichtet.

Leitsatz des BGH:

Den Unternehmer trifft eine vorvertragliche Pflicht zur Information über eine Herstellergarantie für ein im Internet angebotenes Produkt, wenn er die Garantie zu einem zentralen oder entscheidenden Merkmal seines Angebots macht. Erwähnt er in seinem Internetangebot die Herstellergarantie dagegen nur beiläufig, muss er dem Verbraucher keine Informationen hierzu zur Verfügung stellen.

BGH, Urteil vom 10. November 2022 - I ZR 241/19 - OLG Hamm - LG Bochum

Den Volltext der Entscheidung finden Sie hier:

BGH
Beschluss vom 10.11.2022
I ZR 186/17

Der BGH hat dem EuGH weitere Fragen zur Abmahnbefugnis bzw. Klagebefugnis von Verbraucherschutzverbänden bei DSGVO-Verstößen zur Entscheidung vorgelegt.

Die Pressemitteilung des BGH:
BGH legt EuGH erneut eine Frage zur Klagebefugnis von Verbraucherschutzverbänden bei Datenschutzverstößen durch Facebook vor

Der unter anderem für Wettbewerbsrecht zuständige I. Zivilsenat des Bundesgerichtshofs hat darüber zu entscheiden, ob ein Verstoß des Betreibers eines sozialen Netzwerks gegen die datenschutzrechtliche Verpflichtung, die Nutzer dieses Netzwerks über Umfang und Zweck der Erhebung und Verwendung ihrer Daten zu unterrichten, wettbewerbsrechtliche Unterlassungsansprüche begründet und von Verbraucherschutzbänden verfolgt werden kann.

Sachverhalt:

Die in Irland ansässige Beklagte, die Meta Platform Ireland Limited (ehemals Facebook Ireland Limited), betreibt das soziale Netzwerk "Facebook". Auf der Internetplattform dieses Netzwerks befindet sich ein "App-Zentrum", in dem die Beklagte den Nutzern ihrer Plattform kostenlos Online-Spiele anderer Anbieter zugänglich macht. Im November 2012 wurden in diesem App-Zentrum mehrere Spiele angeboten, bei denen unter dem Button "Sofort spielen" folgende Hinweise zu lesen waren: "Durch das Anklicken von ‚Spiel spielen‚ oben erhält diese Anwendung: Deine allgemeinen Informationen, Deine-Mail-Adresse, Über Dich, Deine Statusmeldungen. Diese Anwendung darf in deinem Namen posten, einschließlich dein Punktestand und mehr." Bei einem Spiel endeten die Hinweise mit dem Satz: "Diese Anwendung darf Statusmeldungen, Fotos und mehr in deinem Namen posten."

Der Kläger ist der in der Liste qualifizierter Einrichtungen nach § 4 UKlaG eingetragene Dachverband der Verbraucherzentralen der Bundesländer. Er beanstandet die Präsentation der unter dem Button "Sofort spielen" gegebenen Hinweise im App-Zentrum als unlauter unter anderem unter dem Gesichtspunkt des Rechtsbruchs wegen Verstoßes gegen gesetzliche Anforderungen an die Einholung einer wirksamen datenschutzrechtlichen Einwilligung des Nutzers. Ferner sieht er in dem abschließenden Hinweis bei einem Spiel eine den Nutzer unangemessen benachteiligende Allgemeine Geschäftsbedingung. Er hält sich zur Geltendmachung von Unterlassungsansprüchen im Wege der Klage vor den Zivilgerichten gemäß § 8 Abs. 3 Nr. 3 UWG und § 3 Abs. 1 Satz 1 Nr. 1 UKlaG für befugt.

Bisheriger Prozessverlauf:

Der Bundesgerichtshof hat das Verfahren mit Beschluss vom 28. Mai 2020 (I ZR 86/17, GRUR 2020, 896 = WRP 2020, 1182 - App-Zentrum I) ausgesetzt und dem Gerichtshof der Europäischen Union die Frage zur Vorabentscheidung vorgelegt, ob die in Kapitel VIII, insbesondere in Art. 80 Abs. 1 und 2 sowie Art. 84 Abs. 1 der Verordnung (EU) 2016/679 (Datenschutz-Grundverordnung) getroffenen Bestimmungen nationalen Regelungen entgegenstehen, die - neben den Eingriffsbefugnissen der zur Überwachung und Durchsetzung der Verordnung zuständigen Aufsichtsbehörden und den Rechtsschutzmöglichkeiten der betroffenen Personen - einerseits Mitbewerbern und andererseits nach dem nationalen Recht berechtigten Verbänden, Einrichtungen und Kammern die Befugnis einräumen, wegen Verstößen gegen die Datenschutz-Grundverordnung unabhängig von der Verletzung konkreter Rechte einzelner betroffener Personen und ohne Auftrag einer betroffenen Person gegen den Verletzer im Wege einer Klage vor den Zivilgerichten vorzugehen.

Der Gerichtshof der Europäischen Union hat dazu mit Urteil vom 28. April 2022
C-319/20, GRUR 2022, 920 = WRP 2022, 684 - Meta Platforms Ireland) entschieden, dass Art. 80 Abs. 2 der VO (EU) 2016/679 einer nationalen Regelung, nach der ein Verband zur Wahrung von Verbraucherinteressen gegen den mutmaßlichen Verletzer des Schutzes personenbezogener Daten ohne entsprechenden Auftrag und unabhängig von der Verletzung konkreter Rechte betroffener Personen Klage mit der Begründung erheben kann, dass gegen das Verbot der Vornahme unlauterer Geschäftspraktiken, ein Verbraucherschutzgesetz oder das Verbot der Verwendung unwirksamer Allgemeiner Geschäftsbedingungen verstoßen worden sei, nicht entgegensteht, sofern die betreffende Datenverarbeitung die Rechte identifizierter oder identifizierbarer natürlicher Personen aus dieser Verordnung beeinträchtigen kann.

Die Entscheidung des Bundesgerichtshofs:

Der Bundesgerichtshof hat nach mündlicher Verhandlung vom 29. September 2022 das Verfahren erneut ausgesetzt und dem Gerichtshof der Europäischen Union die Frage zur Vorabentscheidung vorgelegt, ob eine Rechtsverletzung "infolge einer Verarbeitung" im Sinne von Art. 80 Abs. 2 DSGVO geltend gemacht wird, wenn ein Verband zur Wahrung von Verbraucherinteressen seine Klage darauf stützt, die Rechte einer betroffenen Person seien verletzt, weil die Informationspflichten gemäß Art. 12 Abs. 1 Satz 1 DSGVO in Verbindung mit Art. 13 Abs. 1 Buchst. c und e DSGVO über den Zweck der Datenverarbeitung und den Empfänger der personenbezogenen Daten nicht erfüllt worden seien.

Die Notwendigkeit einer erneuten Vorlage ergibt sich aus folgenden Umständen: Der Senat ist in seinem ersten Vorlagebeschluss vom 28. Mai 2020 davon ausgegangen, dass sich eine nach deutschem Recht gemäß § 8 Abs. 3 Nr. 3 UWG und § 3 Abs. 1 Satz 1 Nr. 1 UKlaG bestehende Klagebefugnis des Klägers wegen seines im Streitfall allein auf die objektiv-rechtliche Durchsetzung des Datenschutzrechts gerichteten Klagebegehrens nicht den die Rechtsbehelfe, die Haftung und Sanktionen regelnden Bestimmungen des Kapitels VIII der Datenschutz-Grundverordnung und insbesondere nicht den Art. 80 Abs. 1 und 2 DSGVO oder Art. 84 Abs. 1 DSGVO entnehmen lässt. Er hat daher dem Gerichtshof der Europäischen Union mit seinem ersten Vorabentscheidungsersuchen die Frage vorgelegt, ob die Datenschutz-Grundverordnung in Bezug auf die Klagebefugnis eine abschließende Regelung trifft, die der Anwendbarkeit der § 8 Abs. 3 Nr. 3 UWG und § 3 Abs. 1 Satz 1 Nr. 1 UKlaG entgegensteht.

Der Gerichtshof der Europäischen Union hat - abweichend von der vom Senat im Vorlagebeschluss vertretenen Ansicht - entschieden, dass sich die Klagebefugnis des Klägers aus Art. 80 Abs. 2 DSGVO ergeben kann. Die in Art. 80 Abs. 2 DSGVO den Mitgliedstaaten eröffnete Möglichkeit, ein Verfahren einer Verbandsklage gegen den mutmaßlichen Verletzer des Schutzes personenbezogener Daten vorzusehen, besteht allerdings nur für den Fall, dass der klagende Verband geltend macht, die Rechte einer betroffenen Person gemäß der Datenschutz-Grundverordnung seien "infolge einer Verarbeitung" verletzt worden. Es ist fraglich, ob diese Voraussetzung erfüllt ist, wenn - wie im Streitfall - die sich aus Art. 12 Abs. 1 Satz 1, Art. 13 Abs. 1 Buchst. c und e DSGVO ergebenden Informationspflichten verletzt worden sind. Die erneute Vorlage an den Gerichtshof der Europäischen Union dient der Klärung dieser Frage.

Vorinstanzen:

LG Berlin - Urteil vom 28. Oktober 2014 - 16 O 60/13 - CR 2015, 121

Kammergericht Berlin - Urteil vom 22. September 2017 - 5 U 155/14 - GRUR-RR 2018, 115

Verordnung (EU) 2016/679 (Datenschutz-Grundverordnung)

Artikel 4 Begriffsbestimmungen

Im Sinne dieser Verordnung bezeichnet der Ausdruck: …

2. "Verarbeitung" jeden mit oder ohne Hilfe automatisierter Verfahren ausgeführten Vorgang oder jede solche Vorgangsreihe im Zusammenhang mit personenbezogenen Daten wie das Erheben, das Erfassen, die Organisation, das Ordnen, die Speicherung, die Anpassung oder Veränderung, das Auslesen, das Abfragen, die Verwendung, die Offenlegung durch Übermittlung, Verbreitung oder eine andere Form der Bereitstellung, den Abgleich oder die Verknüpfung, die Einschränkung, das Löschen oder die Vernichtung; …

Artikel 12 Transparente Information, Kommunikation und Modalitäten für die Ausübung der Rechte der betroffenen Person

(1) Der Verantwortliche trifft geeignete Maßnahmen, um der betroffenen Person alle Informationen gemäß den Artikeln 13 und 14 …, die sich auf die Verarbeitung beziehen, in präziser, transparenter, verständlicher und leicht zugänglicher Form in einer klaren und einfachen Sprache zu übermitteln; ...

Artikel 13 Informationspflicht bei Erhebung von personenbezogenen Daten bei der betroffenen Person

(1) Werden personenbezogene Daten bei der betroffenen Person erhoben, so teilt der Verantwortliche der betroffenen Person zum Zeitpunkt der Erhebung dieser Daten Folgendes mit: …

c) die Zwecke, für die die personenbezogenen Daten verarbeitet werden sollen, sowie die Rechtsgrundlage für die Verarbeitung; ...

e) gegebenenfalls die Empfänger oder Kategorien von Empfängern der personenbezogenen Daten ...

Artikel 80 Vertretung von betroffenen Personen

(1) Die betroffene Person hat das Recht, eine Einrichtung, Organisationen oder Vereinigung ohne Gewinnerzielungsabsicht, die ordnungsgemäß nach dem Recht eines Mitgliedstaats gegründet ist, deren satzungsmäßige Ziele im öffentlichem Interesse liegen und die im Bereich des Schutzes der Rechte und Freiheiten von betroffenen Personen in Bezug auf den Schutz ihrer personenbezogenen Daten tätig ist, zu beauftragen, in ihrem Namen eine Beschwerde einzureichen, in ihrem Namen die in den Artikeln 77, 78 und 79 genannten Rechte wahrzunehmen und das Recht auf Schadensersatz gemäß Artikel 82 in Anspruch zu nehmen, sofern dieses im Recht der Mitgliedstaaten vorgesehen ist.

(2) Die Mitgliedstaaten können vorsehen, dass jede der in Absatz 1 des vorliegenden Artikels genannten Einrichtungen, Organisationen oder Vereinigungen unabhängig von einem Auftrag der betroffenen Person in diesem Mitgliedstaat das Recht hat, bei der gemäß Artikel 77 zuständigen Aufsichtsbehörde eine Beschwerde einzulegen und die in den Artikeln 78 und 79 aufgeführten Rechte in Anspruch zu nehmen, wenn ihres Erachtens die Rechte einer betroffenen Person gemäß dieser Verordnung infolge einer Verarbeitung verletzt worden sind.

BGH
Urteil vom 10.11.2022
I ZR 241/19

Der BGH hat in Umsetzung des Urteils des EuGH (siehe dazu EuGH: Händler bei Amazon muss umfassend über Herstellergarantie belehren wenn Garantie als zentrales oder entscheidendes Merkmal des Produkts dargestellt wird) entschieden, dass ein Internethändler nur dann umfassend über eine Herstellergarantie informieren muss, wenn diese ein zentrales Merkmal des Angebots ist. Vorliegend hat der BGH dies verneint, da die Garantie nicht im Angebotstext sondern nur an untergeordneter Stelle auf einem Produktinformationsblatt zu finden war.

Die Pressemitteilung des BGH:
Bundesgerichtshof zur Pflicht von Internethändlern, über Herstellergarantien zu informieren

Der unter anderem für das Wettbewerbsrecht zuständige I. Zivilsenat des Bundesgerichtshofs hat entschieden, dass Internethändler Verbraucher nicht näher über die Herstellergarantie für ein angebotenes Produkt informieren müssen, wenn die Garantie kein zentrales Merkmal ihres Angebots ist.

Sachverhalt:

Die Parteien vertreiben Taschenmesser im Wege des Internethandels. Die Beklagte bot auf der Internetplattform Amazon ein Schweizer Offiziersmesser an. Die Angebotsseite enthielt unter der Zwischenüberschrift "Weitere technische Informationen" einen Link mit der Bezeichnung "Betriebsanleitung". Nach dem Anklicken dieses Links öffnete sich ein Produktinformationsblatt, das folgenden Hinweis auf eine Garantie des Herstellers enthielt: "Die Garantie erstreckt sich zeitlich unbeschränkt auf jeden Material- und Fabrikationsfehler (für Elektronik zwei Jahre). Schäden, die durch normalen Verschleiß oder durch unsachgemäßen Gebrauch entstehen, sind durch die Garantie nicht gedeckt." Weitere Informationen zu der Garantie enthielt das Produktinformationsblatt nicht.

Die Klägerin sieht darin einen Verstoß gegen die gesetzlichen Informationspflichten betreffend Garantien. Sie hat beantragt, der Beklagten zu verbieten, den Absatz von Taschenmessern an Verbraucher mit Hinweisen auf Garantien zu bewerben, ohne hierbei auf die gesetzlichen Rechte des Verbrauchers sowie darauf hinzuweisen, dass sie durch die Garantie nicht eingeschränkt werden, und ohne den räumlichen Geltungsbereich des Garantieschutzes anzugeben.

Bisheriger Prozessverlauf:

Das Landgericht hat die Klage abgewiesen. Auf die Berufung der Klägerin hat das Oberlandesgericht die Beklagte antragsgemäß verurteilt. Mit der vom Oberlandesgericht zugelassenen Revision hat die Beklagte ihren Antrag auf Abweisung der Klage weiterverfolgt.

Der Bundesgerichtshof hat das Verfahren mit Beschluss vom 11. Februar 2021 ausgesetzt und dem Gerichtshof der Europäischen Union Fragen zur Auslegung von Art. 6 Abs. 1 Buchst. m der Richtlinie 2011/83/EU über die Rechte der Verbraucher zur Vorabentscheidung vorgelegt (dazu Pressemitteilung Nr. 31/2021 vom 11. Februar 2021).

Der Gerichtshof der Europäischen Union hat über die Fragen durch Urteil vom 5. Mai 2022 (C-179/21) entschieden.

Entscheidung des Bundesgerichtshofs:

Der Bundesgerichtshof hat auf die Revision der Beklagten das Urteil des Oberlandesgerichts aufgehoben und das die Klage abweisende Urteil des Landgerichts wiederhergestellt. Die Beklagte hat sich nicht unlauter verhalten, weil sie in ihrem Internetangebot keine näheren Angaben zu der im verlinkten Produktinformationsblatt erwähnten Herstellergarantie gemacht hat.

Die Beklagte hat sich nicht nach § 5a Abs. 2 und 4 UWG aF (nun § 5a Abs. 1, § 5b Abs. 4 UWG nF) unlauter verhalten, weil sie den Verbrauchern keine nach § 312d Abs. 1 Satz 1 BGB, Art. 246a § 1 Abs. 1 Satz 1 Nr. 9 EGBGB aF (nun Art. 246a § 1 Abs. 1 Satz 1 Nr. 12 EGBGB nF) vor Vertragsschluss zu erteilende Information über die Herstellergarantie vorenthalten hat. Das ergibt sich aus einer richtlinienkonformen Auslegung der vorgenannten Bestimmungen, die der Umsetzung von Art. 6 Abs. 1 Buchst. m der Richtlinie 2011/83/EU dienen.

Der Gerichtshof der Europäischen Union hat auf Vorlage des Bundesgerichtshofs entschieden, dass ein Unternehmer die Verbraucher vor Abschluss eines Kaufvertrags über die Bedingungen der Herstellergarantie informieren muss, wenn er die Garantie zu einem zentralen oder entscheidenden Merkmal seines Angebots macht und so als Verkaufsargument einsetzt. Erwähnt er dagegen die Herstellergarantie nur beiläufig, so dass sie aus Sicht der Verbraucher kein Kaufargument darstellt, muss er keine Informationen über die Garantie zur Verfügung stellen.

Im Streitfall stellt die Herstellergarantie kein wesentliches Merkmal des Angebots der Beklagten dar. Sie wird auf der Angebotsseite selbst nicht erwähnt, sondern findet sich an untergeordneter Stelle in einem Produktinformationsblatt. Auf dieses Produktinformationsblatt gelangt der Verbraucher nur, wenn er einen Link anklickt, der unter der Zwischenüberschrift "Weitere technische Informationen" steht und mit der Bezeichnung "Betriebsanleitung" versehen ist und daher eher auf eine technisch-funktionale Erläuterung hindeutet.

Die Beklagte hat mangels eines Verstoßes gegen die Marktverhaltensregelung des § 479 Abs. 1 BGB auch keine nach § 3a UWG unlautere Handlung begangen. Die in § 479 Abs. 1 BGB normierte Pflicht zur Information über den Gegenstand und den Inhalt einer (Hersteller-)Garantie greift erst ein, wenn der Unternehmer dem Verbraucher ein verbindliches Angebot auf Abschluss eines Garantievertrags unterbreitet. Im Streitfall enthielt der auf der Angebotsseite befindliche Link auf das Produktinformationsblatt mit der Herstellergarantie noch kein verbindliches Garantieversprechen.

Vorinstanzen:

LG Bochum - Urteil vom 21. November 2018 - I-13 O 110/18

OLG Hamm - Urteil vom 26. November 2019 - I-4 U 22/19

Die maßgeblichen Vorschriften lauten:

§ 3a UWG

Unlauter handelt, wer einer gesetzlichen Vorschrift zuwiderhandelt, die auch dazu bestimmt ist, im Interesse der Marktteilnehmer das Marktverhalten zu regeln, und der Verstoß geeignet ist, die Interessen von Verbrauchern, sonstigen Marktteilnehmern oder Mitbewerbern spürbar zu beeinträchtigen.

§ 5a UWG in der bis zum 27. Mai 2022 geltenden Fassung (aF)

(2) Unlauter handelt, wer im konkreten Fall unter Berücksichtigung aller Umstände dem Verbraucher eine wesentliche Information vorenthält,

1. die der Verbraucher je nach den Umständen benötigt, um eine informierte geschäftliche Entscheidung zu treffen, und

2. deren Vorenthalten geeignet ist, den Verbraucher zu einer geschäftlichen Entscheidung zu veranlassen, die er andernfalls nicht getroffen hätte.

[…]

(4) Als wesentlich im Sinne des Absatzes 2 gelten auch Informationen, die dem Verbraucher auf Grund unionsrechtlicher Verordnungen oder nach Rechtsvorschriften zur Umsetzung unionsrechtlicher Richtlinien für kommerzielle Kommunikation einschließlich Werbung und Marketing nicht vorenthalten werden dürfen.

§ 5a Abs. 1 UWG in der seit dem 28. Mai 2022 geltenden Fassung (nF)

Unlauter handelt auch, wer einen Verbraucher oder sonstigen Marktteilnehmer irreführt, indem er ihm eine wesentliche Information vorenthält,

1. die der Verbraucher oder der sonstige Marktteilnehmer nach den jeweiligen Umständen benötigt, um eine informierte geschäftliche Entscheidung zu treffen, und

2. deren Vorenthalten dazu geeignet ist, den Verbraucher oder den sonstigen Marktteilnehmer zu einer geschäftlichen Entscheidung zu veranlassen, die er andernfalls nicht getroffen hätte.

§ 5b Abs. 4 UWG in der seit dem 28. Mai 2022 geltenden Fassung (nF)

Als wesentlich im Sinne des § 5a Absatz 1 gelten auch solche Informationen, die dem Verbraucher auf Grund unionsrechtlicher Verordnungen oder nach Rechtsvorschriften zur Umsetzung unionsrechtlicher Richtlinien für kommerzielle Kommunikation einschließlich Werbung und Marketing nicht vorenthalten werden dürfen.

§ 312d Abs. 1 Satz 1 BGB

Bei außerhalb von Geschäftsräumen geschlossenen Verträgen und bei Fernabsatzverträgen ist der Unternehmer verpflichtet, den Verbraucher nach Maßgabe des Artikels 246a des Einführungsgesetzes zum Bürgerlichen Gesetzbuche zu informieren.

§ 479 Abs. 1 BGB in der bis zum 31. Dezember 2021 geltenden Fassung (aF)

Eine Garantieerklärung (§ 443) muss einfach und verständlich abgefasst sein. Sie muss enthalten:

1. den Hinweis auf die gesetzlichen Rechte des Verbrauchers sowie darauf, dass sie durch die Garantie nicht eingeschränkt werden, und

2. den Inhalt der Garantie und alle wesentlichen Angaben, die für die Geltendmachung der Garantie erforderlich sind, insbesondere die Dauer und den räumlichen Geltungsbereich des Garantieschutzes […].

§ 479 Abs. 1 BGB in der seit dem 1. Januar 2022 geltenden Fassung (nF)

Eine Garantieerklärung (§ 443) muss einfach und verständlich abgefasst sein. Sie muss enthalten:

1. den Hinweis auf die gesetzlichen Rechte des Verbrauchers bei Mängeln, darauf, dass die Inanspruchnahme dieser Rechte unentgeltlich ist sowie darauf, dass diese Rechte durch die Garantie nicht eingeschränkt werden,

[…]

5. die Bestimmungen der Garantie, insbesondere die Dauer und den räumlichen Geltungsbereich des Garantieschutzes.

Art. 246a § 1 Abs. 1 Satz 1 Nr. 9 EGBGB in der bis zum 27. Mai 2022 geltenden Fassung (aF)

Der Unternehmer ist nach § 312d Absatz 1 des Bürgerlichen Gesetzbuchs verpflichtet, dem Verbraucher folgende Informationen zur Verfügung zu stellen:

[…]

9. gegebenenfalls das Bestehen und die Bedingungen von Kundendienst, Kundendienstleistungen und Garantien, […]

Art. 246a § 1 Abs. 1 Satz 1 Nr. 12 EGBGB in der seit dem 28. Mai 2022 geltenden Fassung (nF)

Der Unternehmer ist nach § 312d Absatz 1 des Bürgerlichen Gesetzbuchs verpflichtet, dem Verbraucher folgende Informationen zur Verfügung zu stellen:

[…]

12. gegebenenfalls das Bestehen und die Bedingungen von Kundendienst, Kundendienstleistungen und Garantien,

Art. 6 Abs. 1 Buchst. m der Richtlinie 2011/83/EU

Bevor der Verbraucher durch einen Vertrag im Fernabsatz oder einen außerhalb von Geschäftsräumen geschlossenen Vertrag oder ein entsprechendes Vertragsangebot gebunden ist, informiert der Unternehmer den Verbraucher in klarer und verständlicher Weise über Folgendes:

[…]

m) gegebenenfalls den Hinweis auf das Bestehen und die Bedingungen von Kundendienst, Kundendienstleistungen und gewerblichen Garantien; […]

LG Berlin
Beschluss vom 19.10.2022
(525 KLs) 279 Js 30/22 (8/22)

Das LG Berlin hat dem EuGH Fragen zur Verwertbarkeit von EncroChat-Daten im Strafverfahren zur Entscheidung vorgelegt.

Die Vorlagefragen:

I. Dem Gerichtshof der Europäischen Union werden nach Art. 267 AEUV folgende Fragen zur Auslegung der Richtlinie 2014/41 (im Folgenden: RL EEA) vorgelegt:

1. Zur Auslegung des Merkmals "Anordnungsbehörde" nach Art. 6 Abs. 1 i.V.m. Art. 2 lit. c) RL EEA

a) Muss eine Europäische Ermittlungsanordnung (im Folgenden: EEA) zur Erlangung von Beweismitteln, die sich bereits im Vollstreckungsstaat (hier: Frankreich) befinden, von einem Richter erlassen werden, wenn nach dem Recht des Anordnungsstaats (hier: Deutschland) in einem vergleichbaren innerstaatlichen Fall die zugrunde liegende Beweiserhebung durch den Richter hätte angeordnet werden müssen ?

b) Gilt dies hilfsweise zumindest dann, wenn der Vollstreckungsstaat die zugrunde liegende Maßnahme auf dem Hoheitsgebiet des Anordnungsstaats durchgeführt hat mit dem Ziel, die abgeschöpften Daten anschließend den an den Daten interessierten Ermittlungsbehörden im Anordnungsstaat zum Zweck der Strafverfolgung zur Verfügung zu stellen ?

c) Muss eine EEA zur Erlangung von Beweismitteln unabhängig von den nationalen Zuständigkeitsregelungen des Anordnungsstaats immer dann von einem Richter (bzw. einer unabhängigen, nicht mit strafrechtlichen Ermittlungen befassten Stelle) erlassen werden, wenn die Maßnahme schwerwiegende Eingriffe in hochrangige Grundrechte betrifft ?

2. Zur Auslegung von Art. 6 Abs. 1 lit. a) RL EEA

a) Steht Art. 6 Abs. 1 lit. a) RL EEA einer EEA zur Übermittlung von im Vollstreckungsstaat (Frankreich) schon vorhandenen Daten aus einer Telekommunikationsüberwachung – insbesondere Verkehrs- und Standortdaten sowie Aufzeichnungen von Kommunikationsinhalten – entgegen, wenn die vom Vollstreckungsstaat durchgeführte Überwachung sich auf sämtliche Anschlussnutzer eines Kommunikationsdienstes erstreckte, mit der EEA die Übermittlung der Daten sämtlicher auf dem Hoheitsgebiet des Anordnungsstaates genutzten Anschlüsse begehrt wird und weder bei der Anordnung und Durchführung der Überwachungsmaßnahme noch bei Erlass der EEA konkrete Anhaltspunkte für die Begehung von schweren Straftaten durch diese individuellen Nutzer bestanden ?

b) Steht Art. 6 Abs. 1 lit. a) RL EEA einer solchen EEA entgegen, wenn die Integrität der durch die Überwachungsmaßnahme abgeschöpften Daten wegen umfassender Geheimhaltung durch die Behörden im Vollstreckungsstaat nicht überprüft werden kann ?

3. Zur Auslegung von Art. 6 Abs. 1 lit. b) RL EEA

a) Steht Art. 6 Abs. 1 lit. b) RL EEA einer EEA zur Übermittlung von im Vollstreckungsstaat (Frankreich) schon vorhandenen Telekommunikationsdaten entgegen, wenn die der Datenerhebung zugrunde liegende Überwachungsmaßnahme des Vollstreckungsstaats nach dem Recht des Anordnungsstaats (Deutschland) in einem vergleichbaren innerstaatlichen Fall unzulässig gewesen wäre ?

b) Hilfsweise: Gilt dies jedenfalls dann, wenn der Vollstreckungsstaat die Überwachung auf dem Hoheitsgebiet des Anordnungsstaats und in dessen Interesse durchgeführt hat ?

4. Zur Auslegung von Art. 31 Abs. 1, Abs. 3 RL EEA

a) Handelt es sich bei einer mit der Infiltration von Endgeräten verbundenen Maßnahme zur Abschöpfung von Verkehrs-, Standort- und Kommunikationsdaten eines internetbasierten Kommunikationsdienstes um eine Überwachung des Telekommunikationsverkehrs im Sinne von Art. 31 RL EEA ?

b) Muss die Unterrichtung nach Art. 31 Abs. 1 RL EEA stets an einen Richter gerichtet werden oder gilt dies zumindest dann, wenn die vom überwachenden Staat (Frankreich) geplante Maßnahme nach dem Recht des unterrichteten Staats (Deutschland) in einem vergleichbaren innerstaatlichen Fall nur durch einen Richter angeordnet werden könnte ?

c) Soweit Art. 31 RL EEA auch dem Individualschutz der betroffenen Telekommunikationsnutzer dient, erstreckt sich dieser auch auf die Verwendung der Daten zur Strafverfolgung im unterrichteten Staat (Deutschland) und ist gegebenenfalls dieser Zweck gleichwertig mit dem weiteren Zweck, die Souveränität des unterrichteten Mitgliedsstaats zu schützen ?

5. Rechtsfolgen einer unionsrechtswidrigen Beweiserlangung

a) Kann sich bei einer Beweismittelerlangung durch eine unionsrechtswidrige EEA unmittelbar aus dem unionsrechtlichen Effektivitätsgrundsatz ein Beweisverwertungsverbot ergeben ?

b) Führt bei einer Beweismittelerlangung durch eine unionsrechtswidrige EEA der unionsrechtliche Äquivalenzgrundsatz zu einem Beweisverwertungsverbot, wenn die der Beweisgewinnung im Vollstreckungsstaat zugrunde liegende Maßnahme in einem vergleichbaren innerstaatlichen Fall im Anordnungsstaat nicht hätte angeordnet werden dürfen und die durch eine solche rechtswidrige innerstaatliche Maßnahme gewonnenen Beweise nach dem Recht des Anordnungsstaats nicht verwertbar wären ?

c) Verstößt es gegen Unionsrecht, insbesondere den Grundsatz der Effektivität, wenn die strafprozessuale Verwertung von Beweismitteln, deren Erlangung gerade wegen eines fehlenden Tatverdachts unionsrechtswidrig war, im Rahmen einer Interessenabwägung mit der Schwere der erstmals durch die Auswertung der Beweismittel bekannt gewordenen Taten gerechtfertigt wird ?

d) Hilfsweise: Ergibt sich aus dem Unionsrecht, insbesondere dem Grundsatz der Effektivität, dass Unionsrechtsverstöße bei der Beweismittelerlangung in einem nationalen Strafverfahren auch bei schweren Straftaten nicht vollständig ohne Folge bleiben dürfen und daher zumindest auf der Ebene der Beweiswürdigung oder der Strafzumessung zugunsten des Beschuldigten berücksichtigt werden müssen ?

Aus den Entscheidungsgründen:
Die zu den EncroChat-Daten bisher ergangenen höchstrichterlichen und obergerichtlichen Entscheidungen gehen sämtlich von der Verwertbarkeit der EncroChat-Daten aus. Soweit Verstöße gegen Unionsrecht angenommen oder zumindest in Betracht gezogen werden, wird im Rahmen der Abwägung unter Hinweis auf die Schwere der anhand der EncroChat-Daten ermittelten Straftaten den Strafverfolgungsinteressen der Vorrang eingeräumt (zu Art. 31 RL EEA: BGH aaO. Rn. 44; vgl. auch – wohl zu Art. 6 RL EEA –: KG, Beschluss vom 30. August 2021 – juris Rn. 55). Auch eine Berücksichtigung an anderer Stelle – insbesondere der Beweiswürdigung oder der Strafzumessung – wird, soweit ersichtlich, den Tatgerichten nicht abverlangt; die strafmildernde Berücksichtigung des Verstoßes gegen Art. 31 RL EEA hat der Bundesgerichtshof sogar ausdrücklich als fehlerhaft beanstandet (BGH, Urteil vom 3. August 2022 – 5 StR 203/22 –, juris Rn. 19).

Die Kammer hat Zweifel, ob dies mit dem Unionsrecht vereinbar ist.

a) Nach ständiger Rechtsprechung des Europäischen Gerichtshofs ist es grundsätzlich Sache des nationalen Rechts, die Rechtsfolgen von Verstößen gegen Unionsrecht zu regeln. Die Verfahrensautonomie der Mitgliedstaaten wird jedoch begrenzt durch den Grundsatz der Effektivität (Gerichtshof, Urteil vom 2. März 2021 – C-746/18 –, juris Rn. 42 m.w.N.). Danach muss das nationale Recht Sorge dafür tragen, dass der Beschuldigte in einem Strafverfahren durch rechtswidrig erlangte Informationen und Beweise keine unangemessenen Nachteile erleidet (Gerichtshof aaO. Rn. 43).

Dies kann grundsätzlich nicht nur durch ein Beweisverwertungsverbot erreicht werden, sondern auch durch eine Berücksichtigung der Rechtsverstöße bei der Beweiswürdigung oder im Rahmen der Strafzumessung (Gerichtshof, Urteile vom 2. März 2021, aaO. Rn. 43, und vom 6. Oktober 2020, La Quadrature du Net u.a – C-511/18 u.a. –, juris Rn. 225). Gleichwohl kann nach der Rechtsprechung des Gerichtshofs der Effektivitätsgrundsatz im Einzelfall das nationale Gericht verpflichten, rechtswidrig erlangte Beweise vom Verfahren auszuschließen (Gerichtshof, Urteile vom 20. September 2022 – C-339/20 u.a. –, juris Rn. 106, vom 2. März 2021, aaO. Rn. 44 und vom 6. Oktober 2020, aaO. Rn. 226 f.; grundlegend Urteil vom 10. April 2003, Steffensen – C-276/01 –, juris Rn. 77 ff. im Anschluss an EGMR, Urteil vom 18. März 1997, Mantovanelli/Frankreich Tz. 36). Die Kammer versteht diese Rechtsprechung dahin, dass der Rechtsverstoß in einem solchen Fall qua Unionsrecht stets den Ausschluss der Beweise zur Folge haben muss und es auf eine Abwägung mit den nationalen Strafverfolgungsinteressen und insbesondere auf die Schwere der in Rede stehenden Straftaten nicht mehr ankommt.

Es spricht einiges dafür, ein solches unmittelbar aus dem unionsrechtlichen Effektivitätsgrundsatz hergeleitetes Verwertungsverbot auch hier anzunehmen. Denn der Grundsatz des fairen Verfahrens ist in mehrerlei Hinsicht beeinträchtigt worden:

Bereits der Umstand, dass die mit der EEA angeforderten Daten wegen der französischen Geheimhaltung nicht durch einen technischen Sachverständigen überprüft werden können, dürfte die vom Gerichtshof in der Entscheidung vom 10. April 2003 (Steffensen) entwickelten Voraussetzungen erfüllen, unter denen das Gericht Beweise ausschließen muss. Hinzu kommen die oben zu I. bis III. angesprochenen mehrfachen Missachtungen formeller und materieller Sicherungsmechanismen nach Art. 31 und Art. 6 RL EEA, die entweder unmittelbar von den deutschen Strafverfolgungsbehörden zu verantworten sind oder vor denen sie zumindest die Augen verschlossen haben. Wären alle diese Vorgaben des Unionsrechts beachtet worden, wären die Daten der deutschen Nutzer weder erhoben noch bei Europol gespeichert und schon gar nicht an die deutschen Behörden zum Zweck der Strafverfolgung übermittelt worden.

Weiter hinzu tritt schließlich, dass die europäischen Agenturen und die deutschen Strafverfolgungsbehörden die Sachaufklärung und die Verteidigung durch die Verweigerung der Herausgabe von für die Verteidigung erheblichen Aktenbestandteilen und die Weigerung, verfahrensrelevante Dokumente überhaupt in die Akten aufzunehmen, im Nachgang weiter erschwert haben. Besonders gravierend wirkt sich dabei die Weigerung aus, die über das SIENA-System ausgetauschten Nachrichten zur Akte zu bringen (die wenigen im vorliegenden Verfahren bekannt gewordenen SIENA-Nachrichten wurden von der Verteidigung eingereicht und stammen mutmaßlich aus dem Ausland). Dadurch lässt sich etwa nicht überprüfen, ob es – was angesichts der SIENA-Nachricht vom 20. August 2020 naheliegt – Mitteilungen zu technischen Auffälligkeiten gab, die für die Bewertung der Chat-Nachrichten von Bedeutung sein könnten. Die ohnehin schon mit der französischen Geheimhaltung verbundene Beschränkung der Verteidigungsmöglichkeiten wurde dadurch weiter vertieft; ein von Art. 7 Abs. 4 RL 2012/13 gedeckter Rechtfertigungsgrund ist dafür nicht ersichtlich. Auch das in dem BKA-Schreiben vom 13. Mai 2020 angekündigte Verschweigen wesentlicher Informationen gegenüber dem Ermittlungsrichter passt in diesen Zusammenhang, da die aus dem Rechtsstaatsprinzip folgende Aufgabe des Ermittlungsrichters, die Ermittlungen eigenverantwortlich zu prüfen, unterlaufen wurde (vgl. zum Gebot der Aktenvollständigkeit im Ermittlungsverfahren BGH NStZ 2022, 561 f.). Insgesamt wurde damit in sämtlichen Verfahrensabschnitten eine unabhängige externe Überprüfung der Datengewinnung und -weiterverwendung verhindert.

All dies zusammen genommen dürfte in mehrfacher Hinsicht im Widerspruch zu den Wertungen der Art. 7 Abs. 2 RL 2012/13, Art. 47, 48 GRCh, Art. 6 Abs. 1 EMRK stehen und stellt die Fairness des Verfahrens in seiner Gesamtheit in Frage.

b) Die Autonomie der Mitgliedstaaten bei der Regelung der Rechtsfolgen von Verstößen gegen Unionsrecht wird weiter begrenzt durch den Grundsatz der Äquivalenz. Danach dürfen Verstöße gegen Unionsrecht nicht in geringerem Maße sanktioniert werden als vergleichbare Verstöße gegen innerstaatliches Recht (Urteil des Gerichtshofs vom 2. März 2021, aaO. Rn. 42).

Auch unter diesem Aspekt könnte man hier an ein zwingendes Verwertungsverbot denken. Denn nach dem deutschen Strafprozessrecht hätten bei einer Abhörmaßnahme sowohl der Verstoß gegen den Richtervorbehalt als auch der fehlende konkrete Verdacht einer Katalogtat jeweils die Unverwertbarkeit der Daten zur Folge. Es ist nicht ersichtlich, weshalb für vergleichbare Verstöße im Zusammenhang mit dem Erlass einer EEA etwas anderes gelten sollte.

c) Sofern sich demgegenüber aus dem Unionsrecht kein zwingendes Verwertungsverbot ergibt, kommt es nach dem deutschen Strafprozessrecht auf eine umfassende Interessenabwägung an. Der Bundesgerichtshof und die Obergerichte stellen maßgeblich auf das Gewicht der aufzuklärenden Straftaten ab und folgern daraus, dass das staatliche Strafverfolgungsinteresse gegenüber dem Individualschutz der betroffenen EncroChat-Nutzer den Vorrang genieße (vgl. BGH, Beschluss vom 2. März 2022, aaO. Rn. 36, 44, 57; OLG Karlsruhe, Beschluss vom 10. November 2021 – 2 Ws 261/21 –, juris Rn. 33). Die Kammer hat Zweifel, ob diese Argumentation mit dem Unionsrecht vereinbar ist.

Der Gerichtshof hat mehrfach entschieden, dass das Ziel, schwere Straftaten zu bekämpfen, eine allgemeine unterschiedslose Vorratsdatenspeicherung nicht rechtfertigen kann (Urteile vom 6. Oktober 2020, La Quadrature du Net, aaO. Rn. 141, vom 2. März 2021, aaO. Rn. 50 und vom 5. April 2022, aaO. Rn. 65). Solche rechtswidrig anlasslos gespeicherten Vorratsdaten sind dem anschließenden Zugriff der Strafverfolgungsbehörden auch dann entzogen, wenn sie im konkreten Fall der Aufklärung schwerer Taten dienen sollen. Dies gilt umso mehr, wenn – wie hier – mit einiger Wahrscheinlichkeit von der Datenabschöpfung auch Berufsgeheimnisträger – wie etwa Rechtsanwälte und Journalisten – betroffen sind (vgl. zu diesen Gesichtspunkt Gerichtshof, Urteil vom 20. September 2022, Spacenet u.a. – C-793/19 u.a. –, juris Rn. 82) und auch Kommunikationsinhalte erfasst werden.

Zu dieser Wertung und dem Grundsatz der Effektivität könnte es im Widerspruch stehen, wenn ein Rechtsverstoß, der unmittelbar an den fehlenden Tatverdacht anknüpft, unter Verweis auf nachträgliche Erkenntnisse aus den rechtswidrig erlangten Daten ohne Sanktion bleibt. Die Kammer neigt danach zu der Ansicht, dass bei der Abwägung, ob ohne ausreichenden Tatverdacht erlangte Daten trotz des Verstoßes gegen Art. 6 Abs. 1 lit. a) und b) RL EEA verwertbar sind, das Gewicht der konkret in Rede stehenden Straftaten nur mit verringertem Gewicht berücksichtigt werden darf mit der Folge, dass bei einem Eingriff in hochrangige Grundrechte allein dieser Gesichtspunkt den Rechtsverstoß nicht aufwiegen und damit die Verwertung nicht rechtfertigen kann.

Vergleichbar lässt sich zu Art. 31 Abs. 1 RL EEA argumentieren: Die Schwere dieses Verstoßes ergibt sich maßgeblich daraus, dass das zuständige deutsche Gericht die Maßnahme wegen fehlenden Tatverdachts untersagt hätte. Auch hier erscheint es widersprüchlich und mit dem Grundsatz der Effektivität schwer zu vereinbaren, wenn bei der Abwägung dem Gewicht der nachträglich ermittelten Straftaten der Vorrang eingeräumt wird.

d) Hilfsweise entnimmt die Kammer den Entscheidungen des Gerichtshofs vom 10. April 2003 (Steffensen, aaO. Rn. Rn. 78 ff.), vom 2. März 2021 (aaO. Rn. 43) und vom 6. Oktober 2020 (La Quadrature du Net, aaO. Rn. 225) zumindest, dass ein grundrechtsrelevanter Verstoß gegen Unionsrecht nicht vollständig ohne Auswirkungen auf das nationale Strafverfahren bleiben darf. Danach gebietet es der Grundsatz der Effektivität nach dem Verständnis der Kammer jedenfalls, die Rechtsverstöße entweder bei der Beweiswürdigung oder als Milderungsgrund im Rahmen der Strafzumessung zu berücksichtigen. Mit Blick auf die Behinderung der Verteidigung durch die fehlende Überprüfbarkeit der Datengewinnung wäre dabei insbesondere an einen geminderten Beweiswert zu denken mit der Folge, dass allein auf die Daten eine Verurteilung nicht gestützt werden darf (vgl. – zur vorenthaltenen Befragung von Zeugen – EGMR, Urteil vom 23. April 1997, van Mechelen u.a. vs. Niederlande, Tz. 56 ff.; BVerfG, Beschluss vom 20. Dezember 2000 – 2 BvR 591/00 –, juris Rn. 44 m.w.N.). Auch die Ansicht des 5. Strafsenats des Bundesgerichtshofs (Urteil vom 3. August 2022 – 5 StR 203/22 –, juris Rn. 19), der Verstoß gegen Art. 31 RL EEA dürfe nicht strafmildernd berücksichtigt werden, erscheint mit Blick auf den Effektivitätsgrundsatz problematisch.

Den Volltext der Entscheidung finden Sie hier:

BFH
Beschluss vom 28.06.2022
II B 92/21

Der BFH hat entschieden, dass für einen Schadenersatzanspruch aus Art. 82 DSGVO gegen Finanzbehörden der Finanzrechtsweg eröffnet ist.

Aus den Entscheidungsgründen:
1. Einfachgesetzlich ist der Finanzrechtsweg für den Schadenersatzanspruch aus Art. 82 DSGVO gemäß § 33 Abs. 1 Nr. 4 FGO i.V.m. § 32i Abs. 2 Satz 1 AO eröffnet.

a) Nach § 33 Abs. 1 Nr. 4 FGO ‑‑Nrn. 1 bis 3 kommen ersichtlich nicht in Betracht‑‑ ist in anderen als den in den Nrn. 1 bis 3 bezeichneten öffentlich-rechtlichen Streitigkeiten der Finanzrechtsweg gegeben, soweit er für diese durch Bundesgesetz oder Landesgesetz eröffnet ist. Nach § 32i Abs. 2 Satz 1 AO (vormals § 32i Abs. 2 AO) ist für Klagen der betroffenen Person hinsichtlich der Verarbeitung personenbezogener Daten gegen Finanzbehörden oder gegen deren Auftragsverarbeiter wegen eines Verstoßes gegen datenschutzrechtliche Bestimmungen im Anwendungsbereich der DSGVO oder der darin enthaltenen Rechte der betroffenen Person der Finanzrechtsweg gegeben.

b) Nach Art. 82 Abs. 1 DSGVO hat jede Person, der wegen eines Verstoßes gegen diese Verordnung ‑‑mithin die DSGVO‑‑ ein materieller oder immaterieller Schaden entstanden ist, Anspruch auf Schadenersatz gegen den Verantwortlichen oder gegen den Auftragsverarbeiter.

c) Eine Klage auf Schadenersatz nach Art. 82 Abs. 1 DSGVO ist eine Klage "hinsichtlich der Verarbeitung personenbezogener Daten ... wegen eines Verstoßes gegen datenschutzrechtliche Bestimmungen im Anwendungsbereich der [DSGVO]" i.S. des § 32i Abs. 2 Satz 1 Alternative 1 AO.

aa) Die Wendungen in Art. 82 Abs. 1 DSGVO einerseits ("Verstoß gegen diese Verordnung") und in § 32i Abs. 2 Satz 1 Alternative 1 AO andererseits ("Verstoß gegen datenschutzrechtliche Bestimmungen im Anwendungsbereich der DSGVO") sind gleichbedeutend, denn die DSGVO enthält nur datenschutzrechtliche Bestimmungen.

bb) Die Schadenersatzklage ist auch eine Klage "hinsichtlich der Verarbeitung personenbezogener Daten ...", wie es der erste Satzteil des § 32i Abs. 2 Satz 1 Alternative 1 AO erfordert. Nach Art. 4 Nr. 2 DSGVO ist "Verarbeitung" jeder mit oder ohne Hilfe automatisierter Verfahren ausgeführte Vorgang oder jede solche Vorgangsreihe im Zusammenhang mit personenbezogenen Daten. Der Begriff umfasst, wie die folgende beispielhafte Aufzählung verdeutlicht, jeglichen Umgang mit Daten. Ein Verstoß gegen die DSGVO, wie ihn Art. 82 DSGVO verlangt, ist deshalb ohne Verarbeitung nicht denkbar.

d) Aus § 40 Abs. 2 Satz 1 VwGO, der für Schadenersatzansprüche aus der Verletzung öffentlich-rechtlicher Pflichten, die nicht auf einem öffentlich-rechtlichen Vertrag beruhen, den ordentlichen Rechtsweg vorsieht, folgt einfachgesetzlich schon deshalb nichts Gegenteiliges, weil § 32i Abs. 2 AO nur als lex specialis zu dieser Vorschrift verstanden werden kann.

2. Auch aus verfassungsrechtlichen Gründen ergibt sich keine Zuständigkeit der ordentlichen Gerichte für den streitigen Schadenersatzanspruch. Es handelt sich nicht um einen Amtshaftungsanspruch i.S. des Art. 34 Satz 1 GG.

a) Verletzt jemand in Ausübung eines ihm anvertrauten öffentlichen Amtes die ihm einem Dritten gegenüber obliegende Amtspflicht, so trifft nach Art. 34 Satz 1 GG die Verantwortlichkeit grundsätzlich den Staat oder die Körperschaft, in deren Dienst er steht. Art. 34 Satz 3 GG verbietet es, für Amtshaftungsansprüche die Zuständigkeit der allgemeinen ordentlichen Gerichte auszuschließen (Dagtoglou in: Kahl/Waldhoff/Walter, Bonner Kommentar zum Grundgesetz, 1. Aufl. 2021, Art. 34, Rz 359).

b) Der Anspruch aus Art. 82 Abs. 1 DSGVO ist auch dann, wenn er sich gegen eine Behörde richtet, kein Anspruch aus der Verletzung von Amtspflichten i.S. des Art. 34 Satz 1 GG, da es sich nicht um eine auf die Behörde übergeleitete Haftung des Amtsträgers, sondern um eine originäre Haftung der Behörde handelt.

aa) Die Rechtsweggarantie des Art. 34 Satz 3 GG hat, soweit sie den Anspruch gegen die Anstellungskörperschaft betrifft, allein die übergeleitete Haftung des Amtsträgers zum Gegenstand, nicht hingegen Ansprüche aus unmittelbarer Staatshaftung. Die in Art. 34 Satz 1 GG angesprochene Amtspflicht ist die Pflicht des Amtsträgers persönlich. Art. 34 GG leitet die durch § 839 des Bürgerlichen Gesetzbuchs (BGB) begründete persönliche Haftung des Beamten auf den Staat über. § 839 BGB ist die haftungsbegründende Vorschrift, während Art. 34 GG die haftungsverlagernde Norm darstellt. Der Staat wird durch die Übernahme der persönlichen Beamtenhaftung nach § 839 BGB zwar Haftungssubjekt, aber nicht Zurechnungssubjekt (Urteil des Bundesverfassungsgerichts ‑‑BVerfG‑‑ vom 19.10.1982 - 2 BvF 1/81 "Amtshaftung", BVerfGE 61, 149, BGBl I 1982, 1493, unter C.I.2.b dd (1)). Das bedeutet, dass Art. 34 Satz 3 GG neben dem Rückgriffsanspruch gegen den Amtsträger auch nur die Ansprüche des Art. 34 Satz 1 GG erfasst, namentlich den Schadenersatzanspruch gegen den Amtsträger selbst sowie den übergeleiteten Haftungsanspruch gegen den Staat. Art. 34 GG verbietet es zwar nicht, unmittelbare Staatshaftungsansprüche einzuführen (BVerfG-Urteil in BVerfGE 61, 149, BGBl I 1982, 1493, unter C.I.2.b dd (1)), trifft dafür aber auch keine Regelung.

bb) Der Schadenersatzanspruch nach Art. 82 Abs. 1 DSGVO richtet sich gegen den Verantwortlichen oder gegen den Auftragsverarbeiter. Verantwortlicher ist nach Art. 4 Nr. 7 DSGVO die natürliche oder juristische Person, Behörde, Einrichtung oder andere Stelle, die allein oder gemeinsam mit anderen über die Zwecke und Mittel der Verarbeitung von personenbezogenen Daten entscheidet. Auftragsverarbeiter ist eine natürliche oder juristische Person, Behörde, Einrichtung oder andere Stelle, die personenbezogene Daten im Auftrag des Verantwortlichen verarbeitet. Sowohl der Begriff des Verantwortlichen als auch der des Auftragsverarbeiters ist mithin institutionell zu verstehen. Soweit in einer Behörde Daten verarbeitet werden, ist damit nicht der jeweilige Amtsträger persönlich Verantwortlicher i.S. der DSGVO und folglich auch nicht Adressat des Anspruchs. Der Anspruch richtet sich vielmehr unmittelbar gegen den Staat bzw. eine seiner Institutionen. Damit handelt es sich um einen gegenüber den in Art. 34 GG erfassten Amtshaftungsansprüchen grundlegend anders gearteten Anspruch.

cc) Der Schadenersatzanspruch nach der DSGVO kann in Anspruchskonkurrenz neben einen Amtshaftungsanspruch aus § 839 BGB i.V.m. Art. 34 GG treten (vgl. Urteil des Oberlandesgerichts Düsseldorf vom 28.10.2021 - 16 U 275/20, Monatsschrift für Deutsches Recht 2022, 435, Rz 69; BeckOK DatenschutzR/Quaas, 39. Ed. 01.11.2021, DSGVO Art. 82 Rz 8; Hans-Jürgen Schaffland; Gabriele Holthaus in: Schaffland/Wiltfang, Datenschutz-Grundverordnung/Bundesdatenschutzgesetz, Stand April 2022, Art. 82, Rz 34a; Gola DSGVO/Gola/Piltz, 2. Aufl. 2018, DSGVO Art. 82 Rz 28; Paal/Pauly/Frenzel, 3. Aufl. 2021, DSGVO Art. 82 Rz 20). Davon geht die DSGVO ausweislich Erwägungsgrund 146 Satz 4 selbst aus (vgl. Ehmann/Selmayr/Nemitz, 2. Aufl. 2018, DSGVO Art. 82 Rz 7). Das entspricht dem Grundsatz, dass auch sonst zwischen einem Amtshaftungsanspruch und einem auf demselben Tatsachenkomplex beruhenden Entschädigungsanspruch Anspruchskonkurrenz bestehen kann (so zu einem enteignungsgleichen Eingriff Urteil des Bundesgerichtshofs vom 11.01.2007 - III ZR 302/05, BGHZ 170, 260, Neue Juristische Wochenschrift 2007, 830, unter B.II.2.a; ausdrücklich für den unionsrechtlichen Staatshaftungsanspruch BeckOK GG/Grzeszick, 51. Ed. 15.05.2022, GG Art. 34 Rz 4).

Das bedeutet jedoch nicht, dass die Rechtswegzuweisung des Art. 34 Satz 3 GG sich auch auf den jeweils konkurrierenden Anspruch erstreckt. Ebenso wenig gilt die Rechtswegzuweisung nach § 32i Abs. 2 AO für den Amtshaftungsanspruch. Nach § 17 Abs. 2 Satz 2 GVG tritt vielmehr eine Rechtswegspaltung ein.

dd) Soweit das Hessische Landessozialgericht (LSG) in seinem Beschluss vom 26.01.2022 - L 6 SF 7/21 DS (juris, Beschwerde beim Bundessozialgericht anhängig unter B 1 SF 1/22 R) in dem Anspruch aus Art. 82 Abs. 1 DSGVO einen Amtshaftungsanspruch sieht, für den die Rechtswegzuweisung des Art. 34 Satz 3 GG der spezialgesetzlichen Zuweisung der DSGVO-Sachen zur Sozialgerichtsbarkeit gemäß § 81b Abs. 1 des Zehnten Buchs Sozialgesetzbuch, einer mit § 32i Abs. 2 Satz 1 AO weitgehend wortgleichen Vorschrift, vorgehe, teilt der Senat diese Auffassung nicht. Das Hessische LSG geht davon aus, Art. 34 Satz 3 GG umfasse (jegliche) schadenersatzrechtliche Haftungsregelungen des Staates, wenn hoheitliches Handeln eines seiner Amtswalter rechtswidrig einen kompensationsfähigen Schaden verursacht habe (Rz 23). Der Senat erachtet dieses Verständnis sowohl angesichts des Wortlauts des Art. 34 Satz 3 GG als auch angesichts des Urteils des BVerfG in BVerfGE 61, 149, BGBl I 1982, 1493 für zu weitgehend. Es ist zwar zutreffend, dass Art. 34 GG für sich genommen kein Verschuldenserfordernis kennt, worauf das Hessische LSG abstellt. Damit allein wird die Amtspflicht jedoch nicht definiert. Die vom Hessischen LSG in diesem Zusammenhang zitierten Literaturauffassungen gehen in Übereinstimmung mit dem BVerfG davon aus, dass die Staatshaftung nach aktueller Rechtslage lediglich durch Überleitung der Eigenhaftung des Amtsträgers auf den Staat entsteht (Papier/Shirvani in Dürig/Herzog/Scholz, Komm. z. GG, Art. 34 Rz 17, 218; BeckOK GG/Grzeszick, a.a.O., Rz 19 bis 20.1).

3. Eine Vorlage des Rechtsstreits an den EuGH nach Art. 267 AEUV ist nicht veranlasst. Es ist nicht im Ansatz erkennbar, warum Art. 82 DSGVO einer nationalen Regelung entgegenstehen könnte, die den Schadenersatzanspruch ebenso wie andere datenschutzrechtliche Ansprüche der Finanzgerichtsbarkeit zuweist. Ob umgekehrt unionsrechtliche Bedenken bestünden und deshalb ggf. eine Vorlage angezeigt wäre, wenn das nationale Recht die allgemeinen datenschutzrechtlichen Ansprüche einerseits und den Schadenersatzanspruch andererseits unterschiedlichen Gerichten zuwiese ‑‑so wie es der Auffassung des FG, aber auch des Hessischen LSG entspricht‑‑, muss nicht mehr entschieden werden.

Den Volltext der Entscheidung finden Sie hier:

LG Ravensburg
Beschluss vom 30.06.2022
1 S 27/22

Das LG Ravensburg hat dem EuGH Fragen zur Auslegung von Art. 82 DSGVO zur Entscheidung vorgelegt. U.a. geht es um die Frage, ob eine Bagatellgrenze / Erheblichkeitsschwelle für Ansprüche aus Art. 82 DSGVO besteht.

Aus den Entscheidungsgründen:

Das Vorabentscheidungsersuchen betrifft die Auslegung von Artikel 82 Abs. 1 DSGVO.

Das Vorabentscheidungsersuchen ergeht im Rahmen eines Rechtsstreits zwischen den Klägern und der Beklagten. Die Kläger nehmen die Beklagte unter anderem auf Zahlung eines Schmerzensgeldes für die Verletzung der DSGVO in Anspruch. Die Beklagte hatte am 19.06.2020 ohne Einverständnis der Kläger im Internet eine Tagesordnung für eine Gemeinderatssitzung veröffentlicht, in der mehrfach die Namen der Kläger genannt wurden, und ein am 10.03.2020 vom Verwaltungsgericht Sigmaringen verkündetes Urteil veröffentlicht, in dessen Rubrum die Kläger ungeschwärzt mit Vor- und Nachname und ihrer Anschrift aufgeführt waren. Diese Unterlagen waren auf der Homepage der Beklagten bis zum 22.06.2020 einsehbar.

Artikel 82 Abs. 1 DSGVO lautet:

"Jede Person, der wegen eines Verstoßes gegen diese Verordnung ein materieller oder immaterieller Schaden entstanden ist, hat Anspruch auf Schadenersatz gegen den Verantwortlichen oder gegen den Auftragsverarbeiter".

Erwägungsgrund Nr. 146 Satz 3 und Satz 6 der DSGVO hat auszugsweise folgenden Wortlaut:

"Der Begriff des Schadens sollte im Lichte der Rechtsprechung des Gerichtshofs weit auf eine Art und Weise ausgelegt werden, die den Zielen dieser Verordnung in vollem Umfang entspricht [...]. Die betroffenen Personen sollten einen vollständigen und wirksamen Schadenersatz für den erlittenen Schaden erhalten".

Die Kammer geht davon aus, dass die Beklagte durch die Veröffentlichung der personenbezogenen Daten der Kläger im Internet gegen Artikel 5 Abs. 1 a DSGVO verstoßen hat. Die Kammer hat daher darüber zu entscheiden, ob den Klägern ein Anspruch auf Zahlung eines Schmerzensgeldes zusteht. Die Kammer neigt zu der Annahme, der bloße Verlust der Datenhoheit genüge im vorliegenden Fall nicht aus, um einen immateriellen Schaden der Kläger gemäß Artikel 82 Abs. 1 DSGVO zu rechtfertigen. Die Kammer neigt zu der Annahme, für die Bejahung eines immateriellen Schadens müsse eine Bagatellgrenze überschritten sein, die bei einem lediglich kurzfristigen Verlust der Datenhoheit, der keinerlei spürbare Nachteile für die betroffenen Personen verursacht habe, nicht überschritten sei. Die Entscheidung des Rechtsstreits hängt daher von der Vorlagefrage ab.

Es besteht in der Literatur und Rechtsprechung weitgehend Einigkeit, dass die deutsche Rechtsprechung, die immateriellen Schadensersatz bei Persönlichkeitsrechtsverletzungen nur bei einer schwerwiegenden Verletzung zuerkennt, für die Auslegung von Artikel 82 Abs.1 DSGVO nicht herangezogen werden kann (Kühling/Buchner/Bergt, DSGVO, 3. Auflage, Artikel 82 Rn. 17 ff; Wolff/Brink/Quaas; BeckOK, Datenschutzrecht, Artikel 82 DSGVO Rn. 31 f; Gola/Piltz, Datenschutzgrundverordnung, 2. Auflage, Artikel 82 DSGVO, Rn. 12 f; Spittka, GRUR-Prax 2019, 475; LG Darmstadt, ZE 2020, 642; LG Frankfurt, ZE 2020, 639; einschränkend Wytibul, NJW 2019, 3265). Die Kammer hat in einem früheren Berufungsverfahren (Az. 1 S 108/20) die Auffassung vertreten, nicht jeder Verstoß gegen die DSGVO, insbesondere nicht jede unzulässige Verarbeitung personenbezogener Daten, führe automatisch zu einem Anspruch auf immateriellen Schadensersatz. Schmerzensgeld solle auch nach Artikel 82 Abs.1 DSGVO nicht für jeden Bagatellverstoß ohne ernsthafte Beeinträchtigung bzw. lediglich individuell empfundene Unannehmlichkeiten gewährt werden. Vielmehr müsse ein spürbarer Nachteil entstanden sein und es müsse eine objektiv nachvollziehbare Beeinträchtigung persönlichkeitsbezogener Belange vorliegen.

Will ein Gericht, wie vorliegend, infolge der Verneinung eines (immateriellen) Schadens eine Klage abweisen, weil es von dem Vorhandensein einer sog. "Bagatellgrenze" ausgeht, die für einen Anspruch auf Zahlung eines Schmerzensgeldes überschritten sein muss, ist es zu einer eigenständigen Auslegung des Schadensbegriffs nicht berechtigt, sondern hat die Frage, wie der Schadensbegriff des Artikel 82 Abs. 1 DSGVO auszulegen ist, dem EuGH vorzulegen (BVerfG, Beschluss von 14.1.2021 – 1 BvR 2853/19 = NJW 2021, 1005).

Bis zur Entscheidung des EuGH über die Vorlagefrage wird das Berufungsverfahren ausgesetzt.

Den Volltext der Entscheidung finden Sie hier:

BGH
Beschluss vom 31.05.2022
VI ZR 223/21

Der BGH hat ein Verfahren über die Reichweite des Auskunftsanspruchs aus Art. 15 DSGVO bis zur Entscheidung des EuGH in den Verfahren C-487/21 bzw. C-307/22 nach § 148 ZPO analog ausgesetzt.

Aus den Entscheidungsgründen:
Die Parteien streiten, soweit im Revisionsverfahren noch relevant, über den Regelungsgehalt von Art. 15 Abs. 3 Satz 1 DS-GVO. Die Klägerin hatte im Jahr 2004 bei der Beklagten eine fondsgebundene Rentenversicherung abgeschlossen, die im Jahr 2016 gekündigt und im Jahr 2017 abgerechnet worden war. Im April 2019 machte die Klägerin auf der Grundlage von Art. 15 Abs. 1 DS-GVO Auskunftsrechte geltend. Die Beklagte erteilte diverse Auskünfte und übersandte eine Kopie des Versicherungsantrags. Die Klägerin verlangte daraufhin die Erteilung weiterer Auskünfte sowie die Herausgabe von Abschriften bzw. Kopien der jeweiligen Dokumente, die personenbezogene Daten von ihr enthielten. Das Landgericht hat die Klage abgewiesen. Das Berufungsgericht hat die Beklagte zur Erteilung weiterer Auskünfte verurteilt, den Antrag auf Übermittlung von Kopien der jeweiligen, die personenbezogenen Daten der Klägerin enthaltenden Dokumente jedoch abgewiesen. Der Anspruch auf Erteilung einer Kopie aus Art. 15 Abs. 3 Satz 1 DS-GVO gehe nicht weiter als der Auskunftsanspruch aus Art. 15 Abs. 1 DS-GVO. Es sei daher ausreichend, die in Art. 15 Abs. 1
DS-GVO genannten Angaben in Kopie zu übermitteln. Mit ihrer vom Berufungsgericht hinsichtlich des Anspruchs auf Erteilung von Abschriften und Kopien zugelassenen Revision verfolgt die Klägerin ihren Herausgabeanspruch aus Art. 15 Abs. 3 Satz 1 DS-GVO weiter.

II. Das vorliegende Verfahren ist gemäß § 148 ZPO analog bis zu der Entscheidung des Gerichtshofs der Europäischen Union (im Folgenden: Gerichtshof) in den dort anhängigen Verfahren C-487/21 bzw. C-307/22 auszusetzen.

1. Das Österreichische Bundesverwaltungsgericht hat durch Beschluss vom 9. August 2021 (W211 2222613-2; ECLI:AT:BVWG:2021: W211.2222613.2.00; Rs. C-487/21; ABl. EU C 431 vom 25. Oktober 2021 S. 8 f.) dem Gerichtshof u.a. folgende Fragen zur Vorabentscheidung gemäß Art. 267 AEUV vorgelegt:

1. Ist der Begriff der "Kopie" in Art. 15 Abs. 3 der Verordnung (EU) 2016/679 des Europäischen Parlaments und des Rates vom 27. April 2016 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten, zum freien Datenverkehr und zur Aufhebung der Richtlinie 95/46/EG (Datenschutz-Grundverordnung, ABl L 119/1 vom 4. Mai 2016, S. 1; im Folgenden: "DS-GVO") dahingehend auszulegen, dass damit eine Fotokopie bzw. ein Faksimile oder eine elektronische Kopie eines (elektronischen) Datums gemeint ist, oder fällt dem Begriffsverständnis deutscher, französischer und englischer Wörterbücher folgend unter den Begriff auch eine "Abschrift", un "double" ("duplicata") oder ein "transcript"?

2. Ist Art. 15 Abs. 3 Satz 1 DS-GVO, wonach "der Verantwortliche eine Kopie der personenbezogenen Daten, die Gegenstand der Verarbeitung sind", zur Verfügung stellt, dahingehend auszulegen, dass darin ein allgemeiner Rechtsanspruch einer betroffenen Person auf Ausfolgung einer Kopie - auch - gesamter Dokumente enthalten ist, in denen personenbezogene Daten der betroffenen Person verarbeitet werden, bzw. auf Ausfolgung einer Kopie eines Datenbankauszuges bei Verarbeitung der personenbezogenen Daten in einer solchen, oder besteht damit - nur - ein Rechtsanspruch für die betroffene Person auf originalgetreue Reproduktion der nach Art. 15 Abs. 1 DS-GVO zu beauskunftenden personenbezogenen Daten?

3. Für den Fall, dass die Frage 2. dahingehend beantwortet wird, dass nur ein Rechtsanspruch für die betroffene Person auf originalgetreue Reproduktion der nach Art. 15 Abs. 1 DS-GVO zu beauskunftenden personenbezogenen Daten besteht, ist Art. 15 Abs. 3 Satz 1 DS-GVO dahingehend auszulegen, dass es bedingt durch die Art der verarbeiteten Daten (zum Beispiel in Bezug auf die im Erwägungsgrund 63 angeführten Diagnosen, Untersuchungsergebnisse, Befunde oder auch Unterlagen im Zusammenhang mit einer Prüfung im Sinne des Urteils des Gerichtshofs der Europäischen Union vom 20. Dezember 2017, C-434/16, ECLI:EU:C:2017:994) und das Transparenzgebot in Art. 12 Abs. 1 DS-GVO im Einzelfall dennoch erforderlich sein kann, auch Textpassagen oder ganze Dokumente der betroffenen Person zur Verfügung zu stellen?

2. Der erkennende Senat hat dem Gerichtshof durch Beschluss vom 29. März 2022 - VI ZR 1352/20 (DB 2022, 1249; Rs. C-307/22) unter Ziff. 3 folgende Frage zur Vorabentscheidung vorgelegt:

Umfasst der Anspruch aus Art. 15 Abs. 3 Satz 1 DS-GVO im Arzt-Patienten-Verhältnis einen Anspruch auf Überlassung von Kopien aller die personenbezogenen Daten des Patienten enthaltenden Teile der Patientenakte oder ist er nur auf Herausgabe einer Kopie der personenbezogenen Daten des Patienten als solche gerichtet, wobei es dem datenverarbeitenden Arzt überlassen bleibt, in welcher Weise er dem betroffenen Patienten
die Daten zusammenstellt?

3. Diese Fragen sind auch im vorliegenden Fall entscheidungserheblich.
Die Parteien streiten darüber, ob sich aus Art. 15 Abs. 3 Satz 1 DS-GVO (lediglich) ein Anspruch auf eine Kopie der nach Art. 15 Abs. 1 DS-GVO zu beauskunftenden Daten oder ein Anspruch auf Herausgabe von Kopien der diese Daten enthaltenden Dokumente ergibt.

4. Aufgrund der Entscheidungserheblichkeit der oben unter II. 1 und 2 genannten Fragen kann der Senat in dieser Sache unter Beachtung seiner in Art. 267 Abs. 3 AEUV enthaltenen Vorlageverpflichtung keine abschließende Sachentscheidung treffen. Eine Vorlage auch dieses Verfahrens an den Gerichtshof würde jedoch dort nicht zu einer schnelleren Beantwortung der maßgeblichen Rechtsfrage führen. Im Gegenteil würde die Funktion des Gerichtshofs im Vorabentscheidungsverfahren beeinträchtigt, wenn die gleiche Rechtsfrage
mehrfach vorgelegt würde. Das Vorabentscheidungsverfahren nach Art. 267 AEUV stellt ein grundlegendes Instrument dar, um den Grundsatz des Vorrangs des Unionsrechts vor nationalem Recht zu verwirklichen und die einheitliche Anwendung des Unionsrechts in allen Mitgliedstaaten zu gewährleisten. Die verbindliche Auslegung des Unionsrechts ist dem Gerichtshof vorbehalten. Da der Gerichtshof aber kein Rechtsmittelgericht für sämtliche mitgliedschaftlichen Verfahren darstellt, genügt es, wenn dort über die klärungsbedürftige Rechtsfrage in den bereits anhängigen Verfahren verhandelt und entschieden wird (vgl. BGH, Beschluss vom 24. Januar 2012 - VIII ZR 236/10, RIW 2012, 405, juris Rn. 8 mwN).

5. Der Senat hält es daher für angemessen, das vorliegende Verfahren gemäß § 148 ZPO analog wegen Vorgreiflichkeit der beim Gerichtshof anhängigen Vorlageverfahren auszusetzen (zur Zulässigkeit dieser Vorgehensweise vgl. BGH, aaO Rn. 9 mwN).


Den Volltext der Entscheidung finden Sie hier:

EuGH
Urteil vom 05.05.2022
C-179/21
absoluts -bikes and more- GmbH & Co. KG gegen the-trading-company GmbH
Victorinox-Garantie

Der EuGH hat entschieden, dass ein Händler bei Amazon (und anderen Online-Marktplätzen und Handelsplattformen) umfassend über eine Herstellergarantie belehren muss, wenn die Garantie als zentrales oder entscheidendes Merkmal des Produkts dargestellt wird.

Die Pressemitteilung des EuGH:
Ein Unternehmer, der auf Websites wie Amazon eine nicht von ihm selbst hergestellte Ware anbietet, hat den Verbraucher über die Garantie des Herstellers zu informieren, wenn er sie zu einem zentralen oder entscheidenden Merkmal seines Angebots macht

Die Gesellschaft absoluts -bikes and more- GmbH & Co. KG (im Folgenden: absoluts) bot auf der Online-Handelsplattform von Amazon die Ware eines Schweizer Herstellers an. Die Amazon-Angebotsseite enthielt keine Angaben zu einer von absoluts oder einem Dritten gewährten Garantie, aber unter der Rubrik „Weitere technische Informationen“ einen Link, über den der Nutzer auf ein vom Hersteller formuliertes Informationsblatt zugreifen konnte.

Ein Konkurrenzunternehmen, das der Ansicht war, absoluts habe keine ausreichenden Angaben zu der vom Hersteller gewährten Garantie gemacht, erhob auf Grundlage der deutschen Rechtsvorschriften über den unlauteren Wettbewerb eine Klage auf Unterlassung solcher Angebote gegen absoluts. Mittlerweile ist der Bundesgerichtshof (Deutschland) mit der Rechtssache befasst und hegt Zweifel, ob ein Unternehmer in der Situation von absoluts auf Grundlage der Verbraucherrechterichtlinie1 verpflichtet ist, den Verbraucher über das Bestehen einer vom Hersteller angebotenen gewerblichen Garantie zu informieren. Der Bundesgerichtshof wirft dabei auch die Frage nach dem Umfang einer solchen Pflicht und den Voraussetzungen auf, unter denen sie entsteht.

Mit seinem Urteil hat der Gerichtshof entschieden, dass ein Unternehmer dem Verbraucher vorvertragliche Informationen zu einer gewerblichen Garantie des Herstellers zur Verfügung zu stellen hat, wenn der Verbraucher ein berechtigtes Interesse daran hat, um die Entscheidung treffen zu können, ob er sich vertraglich an den Unternehmer binden möchte. Der Gerichtshof hat außerdem entschieden, dass diese Informationen alle Angaben hinsichtlich der Bedingungen für die Anwendung und die Inanspruchnahme einer solchen Garantie umfassen müssen, die dem Verbraucher eine solche Entscheidung ermöglichen.

Würdigung durch den Gerichtshof
Erstens stellt der Gerichtshof zur Frage, ob der Unternehmer verpflichtet ist, den Verbraucher über das Bestehen einer gewerblichen Garantie des Herstellers zu informieren, fest, dass diese Pflicht, soweit sich der Vertragsgegenstand auf eine Ware bezieht, die von einer anderen Person als dem Unternehmer hergestellt wurde, sämtliche für diese Ware bedeutsamen Informationen abdecken muss, damit der Verbraucher entscheiden kann, ob er sich vertraglich an den Unternehmer binden möchte. Diese Informationen umfassen die wesentlichen Eigenschaften der Waren sowie grundsätzlich alle untrennbar mit der Ware verbundenen Garantien, darunter die vom Hersteller angebotene gewerbliche Garantie. Der Gerichtshof weist allerdings darauf hin, dass die Übermittlung von Informationen über die gewerbliche Garantie des Herstellers zwar ein hohes Schutzniveau für den Verbraucher sicherstellt, eine unbedingte Verpflichtung, solche Informationen stets zur Verfügung zu stellen, aber unverhältnismäßig erscheint. Eine solche Verpflichtung würde Unternehmer nämlich dazu zwingen, die Informationen über eine solche Garantie mit erheblichem Aufwand zu sammeln und zu aktualisieren, obgleich zwischen ihnen und den Herstellern nicht notwendigerweise eine unmittelbare vertragliche Beziehung besteht und wiewohl die gewerbliche Herstellergarantie grundsätzlich nicht Gegenstand des Vertrags ist, den sie mit dem Verbraucher abschließen möchten.

Der Gerichtshof kommt folglich im Rahmen der Abwägung zwischen einem hohen Verbraucherschutzniveau und der Wettbewerbsfähigkeit der Unternehmen zu dem Befund, dass der Unternehmer nur dann verpflichtet ist, dem Verbraucher vorvertragliche Informationen über eine gewerbliche Garantie des Herstellers zur Verfügung zu stellen, wenn der Verbraucher ein berechtigtes Interesse am Erhalt dieser Informationen hat, um die Entscheidung treffen, ob er sich vertraglich an den Unternehmer binden möchte. Diese Pflicht des Unternehmers wird mithin nicht durch den bloßen Umstand ausgelöst, dass diese Garantie besteht, sondern aufgrund des Umstands, dass ein solches berechtigtes Interesse des Verbrauchers vorliegt. Hierzu weist der Gerichtshof darauf hin, dass dieses Interesse vorliegt, wenn der Unternehmer die gewerbliche Garantie des Herstellers zu einem zentralen oder entscheidenden Merkmal seines Angebots macht, insbesondere, wenn er daraus ein Verkaufs- oder Werbeargument herleitet, um die Wettbewerbsfähigkeit oder die Attraktivität seines Angebots im Vergleich zu den Angeboten seiner Wettbewerber zu verbessern.

Für die Feststellung, ob die gewerbliche Garantie des Herstellers ein zentrales oder entscheidendes Merkmal des Angebots des Unternehmers darstellt, sind weiterhin Inhalt und allgemeine Gestaltung des Angebots hinsichtlich der betroffenen Ware zu berücksichtigen sowie die Bedeutung der Erwähnung der gewerblichen Garantie des Herstellers als Verkaufs- oder Werbeargument, der Positionierung der Erwähnung der Garantie im Angebot, die Gefahr eines Irrtums oder einer Verwechslung, die diese Erwähnung bei einem normal informierten, angemessen aufmerksamen und verständigen Durchschnittsverbraucher hinsichtlich der unterschiedlichen Garantierechte, die er geltend machen kann, oder hinsichtlich der tatsächlichen Identität des Garantiegebers hervorrufen könnte, das Vorliegen von Erläuterungen zu weiteren mit der Ware verbundenen Garantien im Angebot und jeder weitere Gesichtspunkt, der ein objektives Schutzbedürfnis des Verbrauchers begründen kann.

Zweitens hat der Gerichtshof zu der Frage, welche Informationen dem Verbraucher zu den „Bedingungen“ der gewerblichen Garantie des Herstellers zur Verfügung zu stellen sind, entschieden, dass der Unternehmer dem Verbraucher alle Informationen über die Bedingungen für die Anwendung und die Inanspruchnahme der betreffenden gewerblichen Garantie zur Verfügung
zu stellen hat, um dem berechtigtem Interesse des Verbrauchers Rechnung zu tragen, Informationen über die gewerbliche Garantie des Herstellers zu erhalten, um eine Entscheidung treffen zu können, ob er sich vertraglich an den Unternehmer binden möchte. Neben Dauer und räumlichem Geltungsbereich, die ausdrücklich in Art. 6 Abs. 2 zweiter Gedankenstrich der
Richtlinie über Verbrauchsgüter und Garantien für Verbrauchsgüter genannt werden, können diese Informationen nicht nur den Reparaturort bei Beschädigungen oder mögliche Beschränkungen der Garantie einschließen, sondern auch je nach den Umständen Namen und Anschrift des Garantiegebers.

Tenor der Entscheidung:

1. Art. 6 Abs. 1 Buchst. m der Richtlinie 2011/83/EU des Europäischen Parlaments und des Rates vom 25. Oktober 2011 über die Rechte der Verbraucher, zur Abänderung der Richtlinie 93/13/EWG des Rates und der Richtlinie 1999/44/EG des Europäischen Parlaments und des Rates sowie zur Aufhebung der Richtlinie 85/577/EWG des Rates und der Richtlinie 97/7/EG des Europäischen Parlaments und des Rates ist dahin auszulegen, dass die mit dieser Vorschrift dem Unternehmer auferlegte Informationspflicht hinsichtlich der vom Hersteller angebotenen gewerblichen Garantie nicht schon allein aufgrund des Bestehens dieser Garantie ausgelöst wird, sondern lediglich dann, wenn der Verbraucher ein berechtigtes Interesse daran hat, Informationen über die Garantie zu erhalten, um seine Entscheidung treffen zu können, ob er sich vertraglich an den Unternehmer binden möchte. Ein solches berechtigtes Interesse liegt insbesondere dann vor, wenn der Unternehmer die gewerbliche Garantie des Herstellers zu einem zentralen oder entscheidenden Merkmal seines Angebots macht. Für die Feststellung, ob die Garantie ein solches zentrales oder entscheidendes Merkmal darstellt, sind Inhalt und allgemeine Gestaltung des Angebots hinsichtlich der betroffenen Ware zu berücksichtigen sowie die Bedeutung der Erwähnung der gewerblichen Garantie des Herstellers als Verkaufs- oder Werbeargument, die Positionierung der Erwähnung der Garantie im Angebot, die Gefahr eines Irrtums oder einer Verwechslung, die durch diese Erwähnung bei einem normal informierten, angemessen aufmerksamen und verständigen Durchschnittsverbraucher hinsichtlich der unterschiedlichen Garantierechte, die er geltend machen kann, oder hinsichtlich der tatsächlichen Identität des Garantiegebers hervorgerufen werden könnte, das Vorliegen von Erläuterungen zu den weiteren mit der Ware verbundenen Garantien im Angebot und jeder weitere Gesichtspunkt, der ein objektives Schutzbedürfnis des Verbrauchers begründen kann.

2. Art. 6 Abs. 1 Buchst. m der Richtlinie 2011/83 in Verbindung mit Art. 6 Abs. 2 zweiter Gedankenstrich der Richtlinie 1999/44/EG des Europäischen Parlaments und des Rates vom 25. Mai 1999 zu bestimmten Aspekten des Verbrauchsgüterkaufs und der Garantien für Verbrauchsgüter ist dahin auszulegen, dass die Informationen, die dem Verbraucher zu den Bedingungen einer gewerblichen Garantie des Herstellers zur Verfügung gestellt werden müssen, alle Informationen hinsichtlich der Bedingungen für die Anwendung und die Inanspruchnahme einer solchen Garantie umfassen, die dem Verbraucher seine Entscheidung darüber ermöglichen, ob er sich vertraglich an den Unternehmer binden möchte.

Den Volltext der Entscheidung finden Sie hier:

EuGH
Urteil vom 28.04.2022
C-319/20
Meta Platforms Ireland Limited, vormals Facebook Ireland Limited
gegen
Bundesverband der Verbraucherzentralen und Verbraucherverbände – Verbraucherzentrale Bundesverband e. V.

Der EuGH hat entschieden, dass eine Verbandsklagebefugnis für Verbraucherschutzverbände bei DSGVO-Verstößen mit der DSGVO zu vereinbaren und somit unionsrechtskonform ist.

Tenor der Entscheidung:
Art. 80 Abs. 2 der Verordnung (EU) 2016/679 des Europäischen Parlaments und des Rates vom 27. April 2016 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten, zum freien Datenverkehr und zur Aufhebung der Richtlinie 95/46/EG (Datenschutz-Grundverordnung) ist dahin auszulegen, dass er einer nationalen Regelung, nach der ein Verband zur Wahrung von Verbraucherinteressen gegen den mutmaßlichen Verletzer des Schutzes personenbezogener Daten ohne entsprechenden Auftrag und unabhängig von der Verletzung konkreter Rechte betroffener Personen Klage mit der Begründung erheben kann, dass gegen das Verbot der Vornahme unlauterer Geschäftspraktiken, ein Verbraucherschutzgesetz oder das Verbot der Verwendung unwirksamer Allgemeiner Geschäftsbedingungen verstoßen worden sei, nicht entgegensteht, sofern die betreffende Datenverarbeitung die Rechte identifizierter oder identifizierbarer natürlicher Personen aus dieser Verordnung beeinträchtigen kann.

Die Pressemitteilung des EuGH:

Verbraucherschutzverbände können gegen Verletzungen des Schutzes personenbezogener Daten Verbandsklagen erheben

Solche Klagen können unabhängig von der konkreten Verletzung des Rechts einer betroffenenPerson auf den Schutz ihrer Daten und ohne entsprechenden Auftrag erhoben werden Meta Platforms Ireland, vormals Facebook Ireland, ist die für die Verarbeitung personenbezogener Daten von Nutzern des sozialen Netzwerks Facebook in der Union Verantwortliche.

Der Bundesverband der Verbraucherzentralen und Verbraucherverbände – Verbraucherzentrale Bundesverband e. V. (Deutschland, im Folgenden: Bundesverband) erhob gegen Meta Platforms Ireland eine Unterlassungsklage, weil diese ihren Nutzern kostenlose Spiele von Drittanbietern zugänglich gemacht habe und dabei gegen die Vorschriften zum Schutz personenbezogener Daten, zur Bekämpfung unlauteren Wettbewerbs und zum Schutz der Verbraucher verstoßen habe.

Der Bundesgerichtshof (Deutschland) hält die Klage des Bundesverbands für begründet, hegt aber Zweifel an ihrer Zulässigkeit.
Er stellt sich nämlich die Frage, ob einem Verband zur Wahrung von Verbraucherinteressen wie dem Bundesverband seit dem Inkrafttreten der Datenschutz-Grundverordnung (DSGVO) noch die Befugnis zustehe, wegen Verstößen gegen diese Verordnung unabhängig von der konkreten Verletzung von Rechten einzelner betroffener Personen und ohne deren Auftrag im Wege einer Klage vor den Zivilgerichten vorzugehen. Außerdem merkt er an, dass aus der DSGVO abgeleitet werden könne, dass die Prüfung ihrer Einhaltung in erster Linie den Aufsichtsbehörden obliege.

In seinem heutigen Urteil stellt der Gerichtshof fest, dass die DSGVO einer nationalen Regelung, nach der ein Verband zur Wahrung von Verbraucherinteressen gegen den mutmaßlichen Verletzer des Schutzes personenbezogener Daten ohne entsprechenden Auftrag und unabhängig von der Verletzung konkreter Rechte betroffener Personen Klage mit der Begründung erheben kann, dass gegen das Verbot der Vornahme unlauterer Geschäftspraktiken, ein Verbraucherschutzgesetz oder das Verbot der Verwendung unwirksamer Allgemeiner Geschäftsbedingungen verstoßen worden sei, nicht entgegensteht, sofern die betreffende Datenverarbeitung die Rechte identifizierter oder identifizierbarer natürlicher Personen aus dieser Verordnung beeinträchtigen kann.

Vorab weist der Gerichtshof darauf hin, dass mit der DSGVO eine grundsätzlich vollständige Harmonisierung der nationalen Rechtsvorschriften zum Schutz personenbezogener Daten vorgenommen worden ist. Allerdings eröffnen einige Bestimmungen der DSGVO den Mitgliedstaaten die Möglichkeit, zusätzliche nationale Vorschriften, die ihnen einen Ermessensspielraum hinsichtlich der Art und Weise der Durchführung dieser Bestimmungen lassen, vorzusehen, sofern diese Vorschriften nicht gegen den Inhalt und die Ziele dieser Verordnung verstoßen. Insoweit haben die Mitgliedstaaten insbesondere die Möglichkeit, ein Verfahren einer Verbandsklage gegen den mutmaßlichen Verletzer des Schutzes personenbezogener Daten vorzusehen, wobei dies jedoch an eine Reihe von Anforderungen geknüpft ist.

Zunächst einmal fällt ein Verband zur Wahrung von Verbraucherinteressen wie der Bundesverband unter den Begriff einer im Sinne der DSGVO klagebefugten Einrichtung, da er ein im öffentlichen Interesse liegendes Ziel verfolgt, das darin besteht, die Rechte der Verbraucher zu gewährleisten. Der Verstoß gegen Vorschriften über den Verbraucherschutz oder über unlautere Geschäftspraktiken kann nämlich mit einem Verstoß gegen eine Vorschrift über den Schutz personenbezogener Daten einhergehen.

Ferner kann eine solche Einrichtung eine Verbandsklage unabhängig von einem ihr erteilten Auftrag nur dann erheben, wenn „ihres Erachtens“ die Rechte einer betroffenen Person gemäß der DSGVO infolge einer Verarbeitung der personenbezogenen Daten dieser Person verletzt worden sind, ohne dass von ihr verlangt würde, dass sie die Person, die von der Datenverarbeitung
konkret betroffen ist, im Voraus individuell ermittelt und das Vorliegen einer konkreten Verletzung der Rechte aus den Datenschutzvorschriften behauptet.

Eine solche Auslegung steht im Einklang mit dem Ziel der DSGVO, das insbesondere darin besteht, ein hohes Niveau des Schutzes personenbezogener Daten zu gewährleisten.

Schließlich steht die DSGVO nicht nationalen Bestimmungen entgegen, nach denen im Wege von Verbandsklagen gegen Verletzungen der in dieser Verordnung vorgesehenen Rechte gegebenenfalls über Vorschriften zum Schutz der Verbraucher oder zur Bekämpfung unlauterer Geschäftspraktiken vorgegangen werden kann.

Den Volltext der Entscheidung finden Sie hier:

BGH
Beschluss vom 10.02.2022
I ZR 38/21
Zufriedenheitsgarantie
Richtlinie 2011/83/EU Art. 2 Nr. 14, Richtlinie (EU) 2019/771 Art. 2 Nr. 12

Der BGH hat dem EuGH zur Entscheidung vorgelegt, ob eine "Zufriedenheitsgarantie" eine Garantie nach § 443 Abs. 1 BGB ist und welche Anforderungen an Zufriedenheitsgarantien zu stellen sind.

Leitsatz des Entscheidung:
Dem Gerichtshof der Europäischen Union werden zur Auslegung von Art. 2 Nr. 14 der Richtlinie 2011/83/EU des Europäischen Parlaments und des Rates vom 25. Oktober 2011 über die Rechte der Verbraucher, zur Abänderung der Richtlinie 93/13/EWG des Rates und der Richtlinie 1999/44/EG des Europäischen Parlaments und des Rates sowie zur Aufhebung der Richtlinie 85/577/EWG des Rates und der Richtlinie 97/7/EG des Europäischen Parlaments und des Rates (ABl. L 304 vom 22. November 2011, S. 64) sowie zur Auslegung von Art. 2 Nr. 12 der Richtlinie (EU) 2019/771 des Europäischen Parlaments und des Rates vom 20. Mai 2019 über bestimmte vertragsrechtliche Aspekte des Warenkaufs, zur Änderung der Verordnung (EU) 2017/2394 und der Richtlinie 2009/22/EG sowie zur Aufhebung der Richtlinie 1999/44/EG (ABl. L 136 vom 22. Mai 2019, S. 28) in der berichtigten Fassung (ABl. L 305 vom 26. November 2019, S. 66) folgende Fragen zur Vorabentscheidung vorgelegt:

1. Kann eine andere als die Mängelfreiheit betreffende Anforderung im Sinne von Art. 2 Nr. 14 der Richtlinie 2011/83/EU und eine andere nicht mit der Vertragsmäßigkeit verbundene Anforderung im Sinne von Art. 2 Nr. 12 der Richtlinie (EU) 2019/771 vorliegen, wenn die Verpflichtung des Garantiegebers an in der Person des Verbrauchers liegende Umstände, insbesondere an seine subjektive Haltung zur Kaufsache (hier: die in das Belieben des Verbrauchers gestellte Zufriedenheit mit der Kaufsache) anknüpft, ohne dass diese persönlichen Umstände mit dem Zustand oder den Merkmalen der Kaufsache zusammenhängen müssen?

2. Für den Fall, dass Frage 1 bejaht wird:
Muss das Fehlen von Anforderungen, die sich auf in der Person des Verbrauchers liegende Umstände (hier: seine Zufriedenheit mit den erworbenen Waren) gründen, anhand objektiver Umstände feststellbar sein?

BGH, Beschluss vom 10. Februar 2022 - I ZR 38/21 - OLG München - LG München I

Den Volltext der Entscheidung finden Sie hier:

VG Wiesbaden
Beschluss vom 13.01.2022
6 K 1563/21.WI

Das VG Wiesbaden hat dem EuGH zur Entscheidung vorgelegt, ob die Speicherung des Fingerabdrucks auf dem Personalausweis mit der DSGVO und anderen unionsrechtlichen Vorgaben vereinbar ist.

Aus den Entscheidungsgründen:
1. Zur Überzeugung des Gerichts hätte für den Erlass der das besondere Gesetzgebungsverfahren des Art. 77 AEUV durchgeführt werden müssen.

Der AEUV unterscheidet in dessen Art. 289 zwischen dem ordentlichen Gesetzgebungsverfahren und den besonderen Gesetzgebungsverfahren. Die wurde auf Art. 21 Abs. 2 AEUV gestützt und auf Vorschlag der Europäischen Kommission nach Zuleitung des Entwurfs des Gesetzgebungsakts an die nationalen Parlamente, nach Stellungnahme des Europäischen Wirtschafts- und Sozialausschusses und nach Anhörung des Ausschusses der Regionen gemäß dem ordentlichen Gesetzgebungsverfahren erlassen.

Laut Art. 21 Abs. 2 AEUV können das Europäische Parlament und der Rat gemäß dem ordentlichen Gesetzgebungsverfahren Vorschriften erlassen, mit denen die Ausübung des Freizügigkeitsrechts erleichtert wird, wenn zur Erreichung dieses Ziels ein Tätigwerden der Union erforderlich erscheint und die Verträge hierfür keine Befugnisse vorsehen.

Art. 77 Abs. 3 S. 1 AEUV enthält eine weitere Kompetenznorm, die sich unter anderem auf Regelungen zu Personalausweisen bezieht. Gemäß dieser Norm kann der Rat gemäß einem besonderen Gesetzgebungsverfahren Bestimmungen betreffend Pässe, Personalausweise, Aufenthaltstitel oder diesen gleichgestellte Dokumente erlassen, sofern die Verträge hierfür anderweitig keine Befugnisse vorsehen, falls zur Erleichterung der Freizügigkeit ein Tätigwerden der Union erforderlich ist. Der Rat beschließt einstimmig nach Anhörung des Europäischen Parlaments. Durch dieses Erfordernis der Einstimmigkeit wird den Mitgliedstaaten auf diesem Gebiet ein Höchstmaß an Souveränität belassen (von der Groeben/Schwarze/Sarah Progin-Theuerkauf, 7. Aufl. 2015, AEUV Art. 77, Rn 22).

Art. 77 AEUV entspricht dem damaligen Art. 62 EGV (EG-Vertrag). Die , in deren Art. 1 Abs. 2 bestimmt ist, dass Fingerabdrücke in Reisepässen gespeichert werden, wurde damals vom Verordnungsgeber auf Art. 62 EGV gestützt. Mit Urteil vom 17.10.2013 entschied der Europäische Gerichthof, dass Art. 62 Nr. 2 Buchst. a EGV eine geeignete Rechtsgrundlage für den Erlass der , insbesondere deren Art. 1 Abs. 2, darstellte (EuGH, Urteil vom 17.10.2013 – C-291/12 –, Rn. 20; CELEX 62012CJ0291).

Die Kompetenz nach Art. 77 Abs. 3 AEUV geht Art. 21 Abs. 2 AEUV vor, da Art. 77 Abs. 3 AEUV als dem Inhalt nach speziellere Vorschrift höhere Anforderungen an das Gesetzgebungsverfahren stellt (Schwarze/Becker/Hatje/Schoo, EU-Kommentar, AEUV Art. 77 Rn. 20, beck-online) und Art. 21 Abs. 2 AEUV nur dann einschlägig ist, wenn die Verträge für das Erreichen des Ziels der Förderung der Freizügigkeit keine anderen Befugnisse vorsehen. Die bezieht sich zwar nicht auf die Weiterentwicklung des Schengen-Besitzstandes, intendiert aber wie die die Angleichung der Sicherheitsmerkmale und die Aufnahme biometrischer Identifikatoren als wichtigen Schritt zur Verwendung neuer Elemente im Hinblick auf künftige Entwicklungen auf europäischer Ebene. Hierdurch soll wie bei der die Sicherheit von Dokumenten (hier: Personalausweisen statt Reisepässen) erhöht werden.

Nach alledem ist das Gericht der Auffassung, dass es für den wirksamen Erlass der – und damit auch des Art. 3 Abs. 5 dieser Verordnung – des besonderen Gesetzgebungsverfahrens nach Art. 77 Abs. 3 AEUV bedurft hätte.

2. Zudem bestehen inhaltliche Zweifel an der Vereinbarkeit der Erfassung und Speicherung von Fingerabdrücken bei Personalausweisen mit Art. 7 und 8 GrCh.

Nach Art. 7 GrCh hat jede Person das Recht auf Achtung ihres Privat- und Familienlebens, ihrer Wohnung sowie ihrer Kommunikation. Aus Art. 8 GrCh folgt das Recht jeder Person auf Schutz der sie betreffenden personenbezogenen Daten.

Bereits im Urteil vom 17.10.2013 hat der Europäische Gerichtshof festgestellt, dass die Erfassung und die Speicherung von Fingerabdrücken durch die nationalen Behörden in Reisepässen, die in Art. 1 Abs. 2 der geregelt sind, einen Eingriff in die Rechte auf Achtung des Privatlebens und auf Schutz personenbezogener Daten darstellen (EuGH, Urteil vom 17.10.2013 – C-291/12 –, Rn. 30, CELEX 62012CJ0291). Fingerabdrücke sind personenbezogene Daten, da sie objektiv unverwechselbare Informationen über natürliche Personen enthalten und deren genaue Identifizierung ermöglichen (EuGH, Urteil vom 17.10.2013 – C-291/12 –, Rn. 27, CELEX 62012CJ0291, unter Verweis auf EGMR, Urteil vom 04.12.2008, S. und Marper/Vereinigtes Königreich, Reports of judgments and decisions 2008-V, S. 213, §§ 68 und 84). Dieselben Grundrechte sind auch bei der Erfassung und Speicherung von Fingerabdrücken bei Personalausweisen betroffen.

Das Gericht hat Zweifel daran, ob die Erfassung der Fingerabdrücke und damit ein Eingriff in Art. 7 und 8 GrCh auch bei Personalausweisen gerechtfertigt ist.

Nach Art. 52 GrCh muss jede Einschränkung der Ausübung der in dieser Charta anerkannten Rechte und Freiheiten gesetzlich vorgesehen sein und den Wesensgehalt dieser Rechte und Freiheiten achten. Unter Wahrung des Grundsatzes der Verhältnismäßigkeit dürfen Einschränkungen nur vorgenommen werden, wenn sie erforderlich sind und den von der Union anerkannten dem Gemeinwohl dienenden Zielsetzungen oder den Erfordernissen des Schutzes der Rechte und Freiheiten anderer tatsächlich entsprechen.

Zudem ist in Art. 8 Abs. 2 GrCh bestimmt, dass personenbezogene Daten nur mit Einwilligung der betroffenen Person oder auf einer sonstigen gesetzlich geregelten legitimen Grundlage verarbeitet werden dürfen.

Im vorliegenden Fall liegt zur Überzeugung des Gerichts – ebenso wie der Europäische Gerichtshof zu Reisepässen entschieden hat – keine Einwilligung der einen Personalausweis beantragenden Personen in die Erfassung ihrer Fingerabdrücke vor. Jedoch bestimmt dies Art. 3 Abs. 5 als gesetzliche Regelung für alle Personalausweise.

Gemäß sind alle Deutschen verpflichtet, einen gültigen Ausweis zu besitzen, sobald sie 16 Jahre alt sind und der allgemeinen Meldepflicht unterliegen oder, ohne ihr zu unterliegen, sich überwiegend in Deutschland aufhalten. Zur Ausstellung dieses Dokuments ist die Abnahme von Fingerabdrücken damit zwingend vorgeschrieben. Da eine Personalausweispflicht besteht, kann nicht davon ausgegangen werden, dass diejenigen, die einen Personalausweis beantragen, in eine solche Datenverarbeitung eingewilligt haben (so auch EuGH, Urteil vom 17.10.2013 – C-291/12 – Rn. 31, CELEX 62012CJ0291).

Mithin bedarf es nach Art. 52 Abs. 1 GrCh einer legitimen gesetzlichen Grundlage.

Zwar ist die Aufnahme von Fingerabdrücken in Personalausweisen in Art. 3 Abs. 5 gesetzlich vorgesehen. Auch entspricht dies zumindest in Teilen den von der Union anerkannten dem Gemeinwohl dienenden Zielsetzungen.

Ausweislich der Erwägungsgründe (1), (4) und (46) dient die dazu, die Freizügigkeit zu stärken und der Fälschung von Dokumenten und der Vorspiegelung falscher Tatsachen in Bezug auf die an das Aufenthaltsrecht geknüpften Bedingungen vorzubeugen. Die Freizügigkeit schließt das Recht ein, mit einem gültigen Personalausweis oder Reisepass Mitgliedstaaten zu verlassen und in Mitgliedstaaten einzureisen, Erwägungsgrund (2). Nach Erwägungsgrund (18) dient die Aufnahme von Fingerabdrücken dazu, dass in Kombination mit dem Gesichtsbild eine zuverlässige Identifizierung des Inhabers und eine Verringerung des Betrugsrisikos erreicht werden kann.

Innerhalb der Europäischen Union kann der Personalausweis im Rahmen der Grenzüberschreitung genutzt werden. Außerdem erlauben auch Staaten, die nicht der EU angehören, die Einreise mit dem Personalausweis, so etwa insbesondere die Schweiz, Island, Norwegen, Albanien und Montenegro. Der Personalausweis wird vor diesem Hintergrund zumindest auch als Reisedokument genutzt, sodass hierdurch die Regelung auch dem Zweck dient, die illegale Einreise aus diesen Ländern zu verhindern. Dies würde eine von der Union anerkannte dem Gemeinwohl dienende Zielsetzung darstellen (EuGH, Urteil vom 17.10.2013 – C-291/12 –, Rn. 38, CELEX 62012CJ0291). Allerdings liegt der Hauptzweck des Personalausweises gerade nicht primär darin, ein Reisedokument im Schengen-Raum wie der Reisepass zu sein. Insoweit verweisen die Erwägungsgründe der zu Recht, entgegen denen in der , gerade nicht auf den Schengen-Raum als Raum der Freiheit.

Auch regelt die die Nutzung der gespeicherten biometrischen Daten nicht in diesem Sinne, wenn in Art. 11 Abs. 6 festlegt ist, dass die gespeicherten biometrischen Daten nur verwendet werden dürfen, um die Echtheit oder Identität des Inhabers zu überprüfen. Mithin lässt die offen, wie die Freizügigkeit erleichtert werden soll. Das Ziel der Verhinderung illegaler Einreise kann insoweit nicht mit der Erleichterung der Freizügigkeit gleichgesetzt werden.

Selbst wenn die Regelung eine dem Gemeinwohl dienende Zielsetzung verfolgen sollte, bestehen jedoch Zweifel daran, ob Art. 3 Abs. 5 verhältnismäßig ist. Dies wäre nur dann der Fall, wenn die Einschränkungen dieser Rechte aus der GrCh gemessen an den mit der verfolgten Zielen und damit gemessen am Zweck, die illegale Einreise von Personen in das Unionsgebiet zu verhindern und eine zuverlässige Identifizierung des Ausweisinhabers zu ermöglichen, verhältnismäßig sind. Hierfür müssen die mit dieser Verordnung eingesetzten Mittel zur Erreichung dieser Ziele geeignet sein und nicht über das dazu Erforderliche hinausgehen (EuGH, Urteil vom 17.10.2013 – C-291/12 –, Rn. 40, Rn. 38, CELEX 62012CJ0291).

Hierbei muss der Ansicht des Gerichts nach berücksichtigt werden, dass der Personalausweis in tatsächlicher und rechtlicher Hinsicht nicht mit dem Reisepass gleichgesetzt werden kann, sondern dass hinsichtlich der Verwendung dieser Dokumente deutliche Unterschiede bestehen. Dennoch werden durch Art. 3 Abs. 5 die beiden Dokumente hinsichtlich der Fingerabdrücke gleich behandelt.

Zwar kann der Personalausweis – wie oben bereits dargestellt – auch als Reisedokument verwendet werden. Dennoch unterscheiden sich Personalausweise und Reisepässe sowohl in rechtlicher, als auch praktischer Hinsicht. Selbst wenn Personalausweise auch als Reisedokumente im Freizügigkeitskontext genutzt werden, erfolgt keine routinemäßige Kontrolle zumindest bei Reisen zwischen EU-Mitgliedsstaaten. Zudem dürfte für die meisten Unionsbürger die primäre Funktion der nationalen Identitätskarte nicht mit der Freizügigkeit verknüpft sein. Personalausweise weisen nämlich über diese hinausgehende Nutzungsarten auf. So werden Personalausweise im Alltag unter anderem für Interaktionen mit den nationalen Verwaltungsbehörden oder mit privaten Dritten, wie etwa Banken oder Fluggesellschaften genutzt. Unionsbürger, die ihre Freizügigkeit ausüben wollen würden, können dies bereits mit ihrem Reisepass tun (in diesem Sinne auch: Stellungnahme des Europäischen Datenschutzbeauftragten zur geplanten Einführung der Speicherung von Fingerabdrücken in Personalausweisen vom 10.08.2018, abrufbar unter https://edps.europa.eu/sites/edp/files/publication/18-08-10_opinion_eid_en.pdf S. 10).

Zudem besteht in Deutschland eine Pflicht, einen Personalausweis zu besitzen, . Der Bürger kann im Gegensatz zum Reisepass nicht selbst entscheiden, ob er einen Personalausweis beantragt oder nicht. Auch der Europäische Datenschutzbeauftragte ist der Ansicht, dass die Aufnahme und Speicherung von Fingerabdrücken weitreichende Auswirkungen auf bis zu 370 Mio. EU-Bürger hätte, da er bei 85 % der EU-Bevölkerung die obligatorische Abnahme von Fingerabdrücken verlangen würde. Dieser breit angelegte Anwendungsbereich sowie die höchst sensiblen Daten, die verarbeitet werden (Gesichtsbilder in Kombination mit Fingerabdrücken), verlangen eine gründliche Prüfung auf der Grundlage einer strengen Prüfung der Notwendigkeit (Stellungnahme des Europäischen Datenschutzbeauftragten zur geplanten Einführung der Speicherung von Fingerabdrücken in Personalausweisen vom 10.08.2018, abrufbar unter https://edps.europa.eu/sites/edp/files/publication/18-08-10_opinion_eid_en.pdf S. 9, 10 m.w.N). Das Gericht folgt der Überlegung des Europäische Datenschutzbeauftragte, dass in Anbetracht der Unterschiede zwischen Personalausweisen und Reisepässen die Einführung von Sicherheitsmerkmalen, die für Reisepässe möglicherweise als angemessen gelten, für Personalausweise nicht automatisch gelten darf, sondern dies der Überlegung und einer gründlichen Analyse bedarf (ABl. C 338 vom 21.09.2018, S. 22). Diese fehlt vorliegend.

Das Gericht ist der Ansicht, dass sich in Kombination mit den oben geschilderten weit gefassten Verwendungsmöglichkeiten und der Vielzahl der betroffenen Unionsbürger nach eine viel höhere Eingriffsintensität im Vergleich zu Reisepässen ergibt, die im Gegenzug auch eine stärkere Rechtfertigung erfordert.

Im Rahmen der Auslegung der Art. 7 und 8 GrCh sind auch die Wertungen der DS-GVO zu berücksichtigen. Ausweislich der Erwägungsgründe (1) und (2) der DS-GVO ist der Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten ein Grundrecht. Die Grundsätze und Vorschriften zum Schutz natürlicher Personen bei der Verarbeitung ihrer personenbezogenen Daten sollten gewährleisten, dass ihre Grundrechte und Grundfreiheiten und insbesondere ihr Recht auf Schutz personenbezogener Daten ungeachtet ihrer Staatsangehörigkeit oder ihres Aufenthaltsorts gewahrt bleiben. Die DS-GVO soll zur Vollendung eines Raums der Freiheit, der Sicherheit und des Rechts und einer Wirtschaftsunion, zum wirtschaftlichen und sozialen Fortschritt, zur Stärkung und zum Zusammenwachsen der Volkswirtschaften innerhalb des Binnenmarkts sowie zum Wohlergehen natürlicher Personen beitragen.

Daktyloskopische Daten sind besondere Arten personenbezogener Daten nach Art. 9 Abs. 1 DS-GVO, nämlich biometrische Daten. Diese werden in Art. 4 Nr. 14 DS-GVO definiert als mit speziellen technischen Verfahren gewonnene personenbezogene Daten zu den physischen, physiologischen oder verhaltenstypischen Merkmalen einer natürlichen Person, die die eindeutige Identifizierung dieser natürlichen Person ermöglichen oder bestätigen, wie Gesichtsbilder oder daktyloskopische Daten. Gemäß Art. 9 Abs. 1 DS-GVO ist die Verarbeitung solcher biometrischen Daten im Grundsatz untersagt und nur in eng gefassten Ausnahmefällen zulässig.

Soweit die Fingerabdrücke in Personalausweisen aufgenommen werden sollen, um die Fälschungssicherheit zu fördern, ist festzuhalten, dass in den Jahren 2013-2017 lediglich 38.870 gefälschte Identitätskarten festgestellt worden sein sollen und seit Jahren die Nutzung gefälschter Identitätskarten abnimmt (Stellungnahme des Europäischen Datenschutzbeauftragten zur geplanten Einführung der Speicherung von Fingerabdrücken in Personalausweisen vom 10.08.2018, abrufbar unter https://edps.europa.eu/sites/edp/files/publication/18-08-10_opinion_eid_en.pdf,S.11).

Es ist bereits nicht hinreichend deutlich, ob die Aufnahme von Fingerabdrücken die Sicherheit vor Fälschungen tatsächlich zu fördern vermag. Eine Übereinstimmung der biometrischen Daten, die auf dem Chip des Personalausweises gespeichert sind mit den Fingerabdrücken des Besitzers des Ausweises bestätigt lediglich, dass das Dokument zum Besitzer gehört. Aus der Übereinstimmung an sich folgt noch kein Nachweis der Identität, solange nicht der Personalausweis selbst als echt festgestellt wurde. Zwar ist anerkannt, dass die Nutzung biometrischer Daten die Wahrscheinlichkeit der erfolgreichen Fälschung eines Dokumentes reduziert, so dass die Aufnahme von Fingerabdrücken zumindest teilweise den Zweck fördern kann (Stellungnahme des Europäischen Datenschutzbeauftragten zur geplanten Einführung der Speicherung von Fingerabdrücken in Personalausweisen vom 10.08.2018, abrufbar unter https://edps.europa.eu/sites/edp/files/publication/18-08-10_opinion_eid_en.pdf S. 13).

Ob jedoch diese Möglichkeit den weitreichenden Eingriff zu rechtfertigen vermag, erscheint höchst fraglich, zumal auch ein Personalausweis mit defektem Chip entgegen der nach nationalem Recht weiterhin gültig ist. Hierzu führt das Bundesamt für Sicherheit in der Informationstechnik aus, dass "ein Ausweis mit funktionsunfähigem Chip seine Gültigkeit [behält], auch wenn der integrierte Chip erkennbar defekt ist. Die Sicherheit als Ausweisdokument ist durch die physischen Sicherheitsmerkmale gegeben" (https://www.bsi.bund.de/DE/Themen/ Verbraucherinnen-und-Verbraucher/Informationen-und-Empfehlungen/Digitale-Verwaltung/Online-Ausweisfunktion/FAQ-Online-Ausweisfunktion/faq-online-ausweisfunktion_node.html). Wenn jedoch die Sicherheit allein durch die physischen Sicherheitsmerkmale (insbesondere Mikroschriften, UV-Aufdrucke etc.) gegeben ist, stellt sich die Frage nach der Erforderlichkeit der Aufnahme von Fingerabdrücken umso deutlicher.

Auch der Europäische Datenschutzbeauftragte betonte, dass Sicherheitsmaßnahmen bezogen auf den Druck des Dokuments, wie etwa die Verwendung von Hologrammen oder Wassermarken, eine deutlich geringere Eingriffsintensität hätten. Diese Methoden würden keine Verarbeitung von personenbezogenen Daten beinhalten, wären jedoch auch dazu in der Lage, die Fälschung von Ausweisdokumenten zu verhindern und die Authentizität eines Dokuments zu verifizieren (Stellungnahme des Europäischen Datenschutzbeauftragten zur geplanten Einführung der Speicherung von Fingerabdrücken in Personalausweisen vom 10.08.2018, abrufbar unter https://edps.europa.eu/sites/edp/files/publication/18-08-10_opinion_eid_en.pdf S. 16).

In diesem Rahmen ist auch eines der wichtigsten Prinzipien des europäischen Datenschutzrechts zu beachten: Das Prinzip der Datenminimierung bzw. Datensparsamkeit. Hiernach muss die Erhebung und Nutzung von persönlichen Daten verhältnismäßig und erforderlich, sowie auf das für die Zwecke der Verarbeitung notwendige Maß beschränkt sein.

Sollte es nötig sein, Fingerabdrücke zu erfassen, stellt sich auch die Frage, warum es der Ablichtung des gesamten Abdrucks bedarf. Hierdurch wird zwar die Interoperabilität der verschiedenen Arten der Systeme, die Fingerabdrücke erkennen können, gefördert. Diese Systeme können in drei Unterkategorien eingeteilt werden. Zum einen gibt es die Systeme, die komplette Ablichtungen der Fingerabdrücke speichern und vergleichen. Andere Systeme verwenden so genannte Minuzien. Diese Minuzien beschreiben eine Teilmenge von Charakteristiken, die aus den Ablichtungen der Fingerabdrücke gewonnen werden. Die dritte Kategorie sind Systeme, die mit einzelnen Mustern, die aus Ablichtungen der Fingerabdrücke extrahiert werden, arbeiten. Falls lediglich eine Minuzie gespeichert würde, könnte ein Mitgliedstaat, der mit einem System arbeitet, das eine Ablichtung des gesamten Fingerabdrucks verwendet, diese nicht nutzen. Die Speicherung des gesamten Fingerabdrucks fördert die Interoperabilität, jedoch erhöht sie die Anzahl der gespeicherten persönlichen Daten und damit das Risiko des Identitätsdiebstahles, falls es zu einem Datenleck kommt (Stellungnahme des Europäischen Datenschutzbeauftragten zur geplanten Einführung der Speicherung von Fingerabdrücken in Personalausweisen vom 10.08.2018, abrufbar unter https://edps.europa.eu/sites/edp/files/publication/18-08-10_opinion_eid_en.pdf S. 14).

Die in den Personalausweisen verwendeten RFID-Chips lassen sich unter Umständen auch von nicht autorisierten Scannern auslesen. Dies liegt daran, dass sie über ein Funkfeld aktiviert werden und im Anschluss die Daten in verschlüsselter Form übertragen. Damit hängt die Sicherheit des Verfahrens letztlich an der Qualität der Übertragungs- und Verschlüsselungstechnologie. Gerade die Verwendung des gesamten Fingerabdrucks wirkt sich in diesem Zusammenhang risikoerhöhend aus (in diesem Zusammenhang zu elektronischen Aufenthaltstiteln: NK-AuslR/Schild, 2. Aufl. 2016, AufenthG § 78 Rn. 37).

Bei alledem ist auch zu beachten, dass es sich bei Fingerabdrücken um biometrische Daten handelt. Der Verordnungsgeber hat unter anderem durch die Einführung von Art. 9 DS-GVO gezeigt, dass diese einem besonderen Schutz unterliegen.

Selbst die verzichtet auf das "Sicherheitsmerkmal" des Fingerabdrucks bei Kindern unter 12 Jahren und befreit Kinder unter 6 Jahren vollständig von der Pflicht zur Abgabe, Art. 3 Abs. 7 . Viel wichtiger ist aber, dass bei Personen, denen eine Abnahme von Fingerabdrücken physisch nicht möglich ist (z.B. bei Adermatoglyphie), diese von der Pflicht zur Abgabe befreit sind. Wozu dann dieses Sicherheitsmerkmal noch dienen soll, bleibt in der ungeregelt und schlicht offen.

3. Der Europäische Datenschutzbeauftragte unterstreicht in seiner Stellungnahme vom 10.08.2018 ferner, dass Artikel 35 Abs. 10 DS-GVO auf die Erfassung und Verarbeitung der Fingerabdrücke Anwendung findet. Nach Artikel 35 Abs. 1 DS-GVO ist eine Datenschutz-Folgenabschätzung durchzuführen, bevor eine Verarbeitung erfolgt, die voraussichtlich ein hohes Risiko für die Rechte und Freiheiten natürlicher Personen zur Folge hat. Diese Datenschutz-Folgeabschätzung sollte sich insbesondere mit einer Beurteilung der Risiken für die Rechte und Freiheiten der betroffenen Personen sowie mit den Maßnahmen beschäftigen, mit denen gegen diese Risiken vorgegangen werden soll, wie Garantien und Sicherheitsvorkehrungen (Stellungnahme des Europäischen Datenschutzbeauftragten zur geplanten Einführung der Speicherung von Fingerabdrücken in Personalausweisen vom 10.08.2018, abrufbar unter https://edps.europa.eu/sites/edp/files/publication/18-08-10_opinion_eid_en.pdf, S. 12).

Da die Rechtsgrundlage auf Unionsrecht, dem der Verantwortliche unterliegt, beruht und da diese Rechtsvorschriften den konkreten Verarbeitungsvorgang regeln, hat die allgemeinen Folgenabschätzung im Zusammenhang mit dem Erlass dieser Rechtsgrundlage zu erfolgen (Art. 35 Abs. 10 DS-GVO). Eine solche Folgenabschätzung wäre daher bei Erlass der durchzuführen gewesen. Sie ist ausweislich der Erwägungsgründe nicht erfolgt.

Das Gericht ist, wie der Europäische Datenschutzbeauftragte in seiner Stellungnahme vom 10.08.2018, der Auffassung, dass die Folgenabschätzung die obligatorische Aufnahme sowohl von Gesichtsbildern als auch von (zwei) Fingerabdrücken in Personalausweise nicht tragen würde. Bereits in Gesetzgebungsverfahren hat der Europäische Datenschutzbeauftragte empfohlen, vor diesem Hintergrund die Notwendigkeit und Verhältnismäßigkeit der Verarbeitung biometrischer Daten (Gesichtsbild in Kombination mit Fingerabdrücken) erneut zu prüfen (ABl. C 338 vom 21.09.2018, S. 22).

Der Verordnungsgeber geht in Erwägungsgrund (40) auf diese Problematik in Bezug auf die DS-GVO nur sehr allgemein ein. Es verbleibt bei unbestimmten Aussagen, wie etwa, dass die Unionsbürger über das Speichermedium informiert werden solle und weiter präzisiert werden müsste, welche Garantien für die verarbeiteten personenbezogenen Daten sowie insbesondere für sensible Daten wie beispielsweise biometrische Identifikatoren gelten. Das Speichermedium sollte hochsicher sein, und die auf ihm gespeicherten personenbezogenen Daten sollten wirksam vor unbefugtem Zugriff geschützt sein. Es bleibt vage, was mit "hochsicher" gemeint ist und wie die Garantien und Schutzvorkehrungen ausgestaltet sein sollen. Insbesondere ist keine Abwägung mit den Risiken bei einem Datenleck des Chips und dem Eingriff in Art. 7 und 8 GrCh ersichtlich.

Es stellt sich daher die Frage, ob das Unterlassen einer verpflichtenden Risikofolgeabschätzung die Wirksamkeit einer Norm unberührt lassen kann oder nicht vielmehr bei zwingender Verpflichtung des Normgebers zur Durchführung einer Risikofolgeabschätzung sein Unterlassen zu einer Ungültigkeit der Norm führen muss. Andernfalls würde der Normgeber für sein Fehlverhalten belohnt werden.

Den Volltext der Entscheidung finden Sie hier: