Schlagwort: EuGH

EuGH: Verstoß gegen Art. 26 und 30 DSGVO unrechtmäßige Verarbeitung?

8. Mai 2023

Vergangene Woche traf der Gerichtshof der Europäischen Union (EuGH) mehrere Entscheidungen im Rahmen eines Vorabentscheidungsverfahrens, die die Auslegung der Datenschutz-Grundverordnung (DSGVO) betrafen (Urteil immaterieller Schadensersatz bei DSGVO-Verstößen- wir berichteten -).

Unter anderem entschied der EuGH (Rs. Az. C-60/22) über die Frage, ob ein unrechtmäßige Datenverarbeitung iSd Art. 17 Abs. 1 lit. d und Art. 18 Abs. 1 lit. b DSGVO vorliege, soweit ein Verantwortlicher seiner Rechenschaftspflicht nach Art. 5 Abs. 2 DSGVO nicht nachkomme. Dabei sei der Rechenschaftspflicht unzureichend nachgekommen worden, aufgrund einer fehlenden Vereinbarung über die gemeinsame Verantwortlichkeit (Art. 26 DSGVO) und einem unvollständigen Verzeichnis für Verarbeitungstätigkeiten (Art. 30 DSGVO).

Die Hintergründe

Dem Ausgangsverfahren lag der Antrag des Klägers auf internationalen Schutz beim zuständigen Bundesamt zu Grunde. Seine Entscheidung traf das Bundesamt unter Verwendung einer elektronischen Akten. Anschließend klagte der Betroffene vor dem Verwaltungsgericht gegen die Ablehnung auf internationalen Schutz. Im Rahmen des Prozesse übermittelte das Bundesamt dem Verwaltungsgericht die elektronische Akte des betroffenen Klägers, sodass Bundesamt und Verwaltungsgericht gemeinsam verantwortlich nach Art. 26 DSGVO waren. Aus Sicht des Klägers verstieß das Verwaltungsgericht gegen seine Rechenschaftspflicht aus der DSGVO, indem es weder einen Vertrag über die gemeinsame Verantwortlichkeit vorlegen konnte noch die Übermittlung in das Verzeichnis für Verarbeitungstätigkeiten aufgenommen hatte.

Keine unrechtmäßige Verarbeitung

Der EuGH äußerte sich dazu, ob die fehlende Vereinbarung über eine gemeinsame Verantwortlichkeit und das lückenhaft Verzeichnis für Verarbeitungstätigkeiten eine unrechtmäßige Verarbeitung iSd DSGVO sei. Danach richte sich, ob die betroffene Person ein Recht auf Löschung der verarbeiteten personenbezogenen Daten nach Art. 17 Abs. 1 lit. d und ein Recht auf Einschränkung der Verarbeitung nach Art. 18 Abs. 1 lit. b DSGVO habe.

Dazu führte der Gerichtshof erstens aus, dass ein Verantwortlicher nach Art. 5 Abs. 1 und 2 DSGVO sicherstellen müsse, dass die Datenverarbeitung rechtmäßig sei. Die Rechtmäßigkeit der Datenverarbeitung regele die DSGVO nach Art. 6. Demnach müsse eine der nach Abs. 1 lit. a bis f DSGVO alternativ aufgeführten Bedingungen erfüllt sein. Die nach Art. 26 und 30 DSGVO vorgesehenen Pflichten seien aber „(…) nicht zu den in nach Art. 6 Abs. 1 Unterabs. 1 genannten Gründen für die Rechtmäßigkeit der Verarbeitung [zu] zählen.“ (EuGH, Urteil vom 4.5.2023, C-60/22 Rn. 59) Die Pflichten nach Art. 26 und 30 DSGVO seien nicht dafür gedacht die Anforderungen an eine rechtmäßige Verarbeitung iSd nach Art. 6 Abs. 1 DSGVO genauer zu bestimmen.

Zweitens führte das Gerichts aus, dass die Rechtmäßigkeit zu den Grundsätzen der Datenverarbeitung zähle. Stattdessen seien die Vereinbarung über die gemeinsame Verantwortlichkeit und das Verzeichnis über Verarbeitungstätigkeiten allgemeine Pflichten des Verantwortlichen.

Außerdem führte der Gerichtshof drittens aus, dass bei einem Verstoß gegen Art. 26 und 30 DSGVO noch keine Verletzung des Grundrechts auf den Schutz personenbezogener Daten vorliege.

Fazit

Abschließend stellte der Gerichtshof fest, dass der Verstoß gegen Art. 26 und 30 DSGVO keine unrechtmäßige Verarbeitung nach Art. 17 Abs. I lit. d und Art. 18 Abs. 1 lit. b DSGVO sei. Da das Urteil erst vor kurzem erschienen ist, bleiben Reaktionen der Aufsichtsbehörden noch abzuwarten.

Aus für § 26 BDSG?

11. April 2023

Der Gerichtshof der Europäischen Union (EuGH) entschied (Rs. C-34/21) vor rund 2 Wochen, dass der § 23 Abs. 1 S. 1 HDSIG nicht die Anforderungen einer spezifischeren Vorschrift iSd Art. 88 DSGVO erfülle. Die Entscheidung über diese landesrechtliche Norm wirft für die Anwendung des gleichlautenden § 26 Abs. 1 S. 1 BDSG einige Fragen auf.

Hintergründe

Grundlage des Verfahrens vor dem EuGH war eine Klage des Hauptpersonalrates der Lehrerinnen und Lehrer beim Hessischen Kultusministerium beim Verwaltungsgericht Wiesbaden. Dabei war fraglich, ob im Rahmen des Unterrichtes per Videokonferenz eine Einwilligung der Lehrkräfte erforderlich sei. Zwecks Unterricht per Videokonferenz habe das Hessische Kultusministerium für die erfolgende Datenverarbeitung die Einwilligung aller betroffenen Schülerinnen und Schülern eingeholt. Für die betroffenen Lehrkräfte habe das Einwilligungserfordernis nicht gegolten. Stattdessen sei die Verarbeitung ihrer personenbezogenen Daten auf Grundlage des § 23 HDSIG erfolgt.

Was ist eine “Spezifischere Norm”?

Im Rahmen des Vorabentscheidungsverfahrens vor dem EuGH stand nun in Frage, welche Voraussetzungen eine spezifischere Vorschrift iSd Art. 88 DSGVO erfüllen müsse.

Art. 88 DSGVO enthält eine sog. Öffnungsklausel. Die DSGVO erlaubt den Mitgliedstaaten der europäischen Union demnach eine nationale Vorschrift zu erlassen, die der Verarbeitung personenbezogener Beschäftigtendaten im Beschäftigungskontext dient. § 23 HDSIG und § 26 BDSG sollen eine solche nationale, spezifische Regelung sein.

Aus Sicht des Gerichtshof sei bei der Umsetzung der Öffnungsklausel in nationales Recht Art. 88 Abs. 2 DSGVO zu beachten. Demnach setzte die DSGVO der nationalen Norm eine Grenze. Sie müsse geeignete und besondere Maßnahmen zur Wahrung der menschlichen Würde, der berechtigten Interessen und der Grundrechte der betroffenen Person umfassen. Außerdem sei es erforderlich, dass der Regelungsgehalt der nationalen Norm auf „(…) den Schutz der Rechte und Freiheiten von Beschäftigten bei der Verarbeitung ihrer personenbezogene Daten im Beschäftigtenkontext abziele (…)“ (EuGH, Urteil vom 30.03.2023, C-23/21, Rn. 65).

Zusätzlich könne die spezifischere Norm nicht lediglich die Vorgaben der DSGVO wiederholen. Sie müsse eine Regelung aufstellen, die eine Konkretisierung im vorgesehenen Bereich darstelle.

Anwendbarkeit des § 23 HDSIG

Darüber hinaus war es fraglich, welcher Folge eintrete, wenn eine nationale Norm die Anforderungen der DSGVO nicht erfülle. Aus Sicht des Gerichtshof sei dies insbesondere im Hinblick auf § 23 HDSIG fraglich. Dieser setzte voraus, dass ein Verantwortlicher personenbezogene Daten zum Zwecke des Beschäftigtenverhältnisses verarbeite. Dies entspräche der Verarbeitung zur Erfüllung eines Vertrages nach Art. 6 Abs. 1 lit. b DSGVO.

Demnach sei eine Norm, die die Voraussetzungen des Art. 88 Abs. 1 und 2 DSGVO nicht erfülle nicht anzuwenden. Alternativ könne die nationale Norm lediglich eine Rechtsgrundlage nach Art. 6 Abs. 3 DSGVO darstellen. Ob dies der Fall ist, prüfte der EuGH nicht.

Fazit

Nach der Entscheidung des EuGH muss nun das VG Wiesbaden die Vorgaben des EuGH umsetzen. Für die Entscheidung ist § 26 Abs. 1 S. 1 BDSG grundsätzlich nicht relevant. Ob die Rechtsmäßigkeit dieser Norm künftig aber tangiert wird, bleibt abzuwarten.

Sind IP-Adressen immer personenbeziehbar?

7. März 2023

Der Schutz von IP-Adressen gewinnt in der datenschutzrechtlichen Praxis zunehmend an Bedeutung, insbesondere bei der Einbindung von Drittdiensten in Webseiten und der Nutzung von IP-Adressen im Zensus 2022. Es wird jedoch oft pauschal angenommen, dass dynamische IP-Adressen personenbeziehbar sind, was nicht zwingend der Fall ist. Es wird unterstellt, dass dynamische IP-Adressen personenbeziehbar nach Art. 4 Nr. 1 DS-GVO seien. Findet sich eine Begründung, wird auf das Urteil des EuGH in der Rs. Breyer verwiesen.

Da IP-Adressen bei jeder Internet-Kommunikation unvermeidlich sind und ihre Bedeutung mit dem Auslaufen von cookiebasiertem Tracking weiter zunehmen wird, ist es wichtig, den angeblichen Personenbezug von dynamischen IP-Adressen kritisch zu hinterfragen.

Was steht in der DS-GVO?

Im Gesetzestext der DS-GVO wird nicht explizit auf IP-Adressen eingegangen, jedoch werden sie im Erwägungsgrund 30 erwähnt, wo deutlich wird, dass sie nur in Kombination mit anderen Informationen einen Personenbezug ermöglichen können. Nach Erwägungsgrund 26 sollen dabei nur Zusatzinformationen berücksichtigt werden, die “nach allgemeinem Ermessen wahrscheinlich genutzt werden”, wobei objektive Faktoren wie Kosten und Zeitaufwand zu berücksichtigen sind. Der europäische Verordnungsgeber betrachtet den möglichen Personenbezug von IP-Adressen also differenziert.

Rechtsprechung und Aufsichtsbehörden undifferenziert

In einigen Fällen gehen Gerichte und Datenschutzaufsichtsbehörden reflexartig davon aus, dass eine IP-Adresse einen Personenbezug hat. Zum Beispiel hat das LG München I in einem Fall, der die Google-Fonts-Abmahnwelle ausgelöst hat, entschieden, dass die dynamische IP-Adresse für einen Webseitenbetreiber ein personenbezogenes Datum darstelle, unabhängig davon, ob auch Google die konkrete Möglichkeit hat, die IP-Adresse mit dem Kläger zu verknüpfen. Ähnlich haben auch andere Gerichte im Zusammenhang mit dem Zensus 2022 entschieden. Deutsche Datenschutzaufsichtsbehörden haben seit vielen Jahren die Ansicht vertreten, dass IP-Adressen stets personenbezogene Daten darstellen, und geben in der Regel keine Begründung dafür an. Dies ist auch in der finalen Fassung der DSK-Orientierungshilfe Telemedien der Fall.

Das Breyer-Urteil des EuGH

Das Urteil des EuGH in der Rs. Breyer aus dem Jahr 2016 wurde von vielen als bahnbrechend angesehen, da es den Personenbezug von IP-Adressen anerkannte. Dieses Urteil wurde jedoch oft missverstanden und es ist weniger klar und differenzierter, als es oft angenommen wurde. Der EuGH wurde von der Vorlagefrage des BGH geleitet, die sich auf die Verarbeitung von IP-Adressen durch Webseitenbetreiber bezieht. Der BGH wollte wissen, ob eine IP-Adresse, die von einem Webseitenbetreiber im Zusammenhang mit einem Zugriff auf seine Webseite gespeichert wird, als personenbezogenes Datum anzusehen ist, wenn der Internetzugangsanbieter über das zur Identifizierung der betroffenen Person erforderliche Zusatzwissen verfügt.

Die Vorlagefrage des BGH war relativ eng und bezog sich nur auf die Verarbeitung von IP-Adressen durch Webseitenbetreiber, die diese selbst erhoben haben. Es wurde unterstellt, dass der Internetzugangsanbieter über das erforderliche Zusatzwissen verfügt, um die betroffene Person zu identifizieren. Allerdings blieb die Vorlagefrage unklar, da es unklar war, ob mit der “betroffenen Person” der Inhaber des Internetanschlusses oder der konkrete Nutzer gemeint war, der die betreffende Webseite aufgerufen hatte. In der Praxis fallen diese Gruppen oft auseinander, zum Beispiel bei offenen WLAN-Netzwerken oder wenn sich mehrere Familienmitglieder oder WG-Bewohner einen Internetanschluss teilen.

Es war unklar, ob der BGH den Anschlussinhaber oder den konkreten Nutzer im Sinn hatte, was zu einer Uneinigkeit zwischen dem BGH und dem EuGH führte. Der EuGH interpretierte die Vorlagefrage offenbar dahingehend, dass die “betroffene Person” der Nutzer sei, der die Webseite abgerufen hat. Es scheint, als hätten der BGH in seinem Vorlagebeschluss und der EuGH in seinem Urteil in dieser entscheidenden Frage aneinander “vorbeigeredet”.

Die Frage der Zugänglichkeit der Zusatzinformationen war ebenfalls ein strittiger Punkt zwischen dem BGH und dem EuGH. Der BGH erwähnte in seinem Vorlagebeschluss, dass dem Webseitenbetreiber kein direkter Auskunftsanspruch gegenüber dem Internetzugangsbetreiber zustehe und dass die Zusatzinformationen des Internetzugangsanbieters für den Webseitenbetreiber als nicht zugänglich anzusehen seien. Der EuGH war jedoch der Ansicht, dass es für den Anbieter von Online-Mediendiensten rechtliche Möglichkeiten gebe, um die fraglichen Informationen vom Internetzugangsanbieter zu erlangen und die Strafverfolgung einzuleiten. Das Urteil des EuGH betont, dass die Identifizierung “praktisch durchführbar” sein müsse.

Insgesamt war das Urteil des EuGH in der Rs. Breyer weniger klar und differenzierter als oft angenommen. Es gibt immer noch offene Fragen bezüglich des Personenbezugs von IP-Adressen und der Zugänglichkeit von Zusatzinformationen.

Fazit

Das Breyer-Urteil des Europäischen Gerichtshofs (EuGH) hat zu einer umfangreichen Diskussion darüber geführt, ob dynamische IP-Adressen als personenbezogene Daten zu betrachten sind. In diesem Zusammenhang ist es wichtig zu betonen, dass das Urteil des EuGH auf den Kontext des Vorlagebeschlusses beschränkt ist und lediglich eines von vielen praktischen Szenarien betrifft, in denen IP-Adressen eine Rolle spielen. Die Entscheidung ist somit mit Vorsicht zu genießen. Eine Übertragung auf die Identifizierbarkeit des konkreten Nutzers erscheint zweifelhaft, wenn dieser nicht zugleich der Anschlussinhaber ist.

Das Urteil ist nicht ohne Einzelfallprüfung auf Situationen übertragbar, in denen IP-Adressen von anderen Verantwortlichen als dem Webseitenbetreiber verarbeitet werden. Ob auch Drittanbietern nach deutschem Recht die rechtlichen Auskunftsansprüche zustehen, haben weder der Bundesgerichtshof noch der EuGH entschieden. Auch die Frage, ob derartige Ansprüche nach anderen anwendbaren Rechtsordnungen bestehen, wenn die Drittanbieter außerhalb Deutschlands sitzen, ist offen. Die Möglichkeit für Drittanbieter, den Personenbezug auf Grundlage eigener Zusatzinformationen herzustellen, kann nicht einfach unterstellt werden, sondern muss im Einzelfall begründet werden. Erhebliche Zweifel am Personenbezug von IP-Adressen bestehen daher auch beim sog. „Server Side Tracking“.

In Konstellationen, in denen IP-Adressen in anderem Kontext als einem http-Request verarbeitet werden, liegt ein Personenbezug noch ferner. Eine Identifizierbarkeit ist kaum mehr denkbar, wenn die Stelle, die IP-Adressen verarbeitet, nicht über die bei einem http-Request übermittelten weiteren Informationen verfügt. Somit ist eine fundierte Begründung notwendig ist, um festzustellen, ob dynamische IP-Adressen personenbezogene Daten darstellen. Ohne eine solche erscheint die Wertung in vielen Fällen rechtlich angreifbar.

Klar ist, dass die Frage, ob dynamische IP-Adressen personenbezogene Daten darstellen, stets einer fundierten Begründung bedarf. Ohne eine solche erscheint die Wertung in vielen Fällen rechtlich angreifbar.

EU-Kommission verklagt Deutschland – Whistleblowing Gesetz

22. Februar 2023

Brüssel. Die EU-Kommission klagt vor dem EuGH wegen unzureichendem Schutz für Hinweisgeber. Dieses Vorgehen gegen Deutschland lässt sich auf eine fehlende Umsetzung einer im Jahr 2019 geschaffenen Richtlinie rückführen. In deutsches Recht hätte die Richtline bereits im Dezember 2021 umgesetzt werden sollen. Sogenannten Whistleblowern sollten damit das Aufdecken und Weitergeben von Missständen oder kriminellen Machenschaften in Unternehmen erleichtert werden.

Hinweisgeberschutzgesetz auf der Zielgeraden blockiert

Der Bundesregierung ist grundsätzlich kein Untätig werden vorzuwerfen. Vielmehr ist das entworfene neue Gesetz zum Schutz von Hinweisgebern auf den letzten Metern der Gesetzgebung gescheitert. Durch das Gegenstimmen der Bundesländer, in denen die Union regiert, wurde das Gesetz nun doch noch gekippt. Mit 38 von 69 Stimmen hat die Union mit einer Blockademehrheit dafür gesorgt, dass ein Schutz von Whistleblowern weiterhin nur wünschenswert bleibt. Dieses Vorgehen wird auf das Argument einer möglichen Regulierung über die von der Kommission geforderten Standards bezogen. Die Union wünschte sich aus Angst vor Missbrauch von Meldungen eine Nachbesserung des Gesetzes.

Ampel über die Blockade empört

SPD und Grüne beharren auf dem Gesetzesentwurf und wollen keine Änderungen. SPD-Innenpolitiker Sebastian Fiedler erklärt in einem Interview einen möglichen Plan B. Demnach könnte ein inhaltlich gleicher Gesetzesentwurf in den Bundestag eingebracht werden. Einziger Unterschied wäre eine nicht zustimmungsbedürftige Form.

Fazit

Der Pyrrhussieg der Union durch die Blockade des Gesetzes könnte für die Bundesrepublik nun eine Strafe nach sich ziehen. Durch das Kippen des Gesetzesentwurfes gehen leider mehrere Parteien als Verlierer heraus. Doch neben einer möglichen Sanktionierung des Staates sind die wahren Opfer Hinweisgeber, welche dennoch mit großem Mut auf Missstände aufmerksam machen.

Abberufung des Datenschutzbeauftragten europarechtskonform

16. Februar 2023

Mit seinem Urteil vom 09. Februar 2023 (Rs. C-453/21) entschied der Gerichtshof der Europäischen Union (EuGH), dass die deutsche Regelung zur Abberufung des Datenschutzbeauftragten europarechtskonform sei. Demnach sei eine Abberufung aus wichtigem Grund iSd § 626 BGB möglich.

Sachverhalt

Hintergrund der Entscheidung war die Klage eines Datenschutzbeauftragten. Er sei aufgrund der Gefahr eines Interessenkonfliktes abberufen worden. Der Datenschutzbeauftragte habe nämlich neben der datenschutzrechtlichen Funktion das Amt des Betriebsratsvorsitzenden bekleidet. Sein Arbeitgeber sei allerdings der Auffassung gewesen, dass nicht dieselbe Person die Ämter des Betriebsratsvorsitzenden und Datenschutzbeauftragten zeitgleich ausüben könne.

Das vorlegende Gericht stellte fest, dass die Abberufung eines Datenschutzbeauftragten nach § 6 Abs. 4 S. 1 BDSG das Vorliegen eines wichtigen Grundes voraussetze. Insoweit stelle sich die Frage, ob die Abberufung des Datenschutzbeauftragten nach nationalen Vorgaben strengeren Voraussetzungen unterstellt werden könne, als sie das Unionsrecht vorsehe.

Entscheidung

Nach Art. 38 Abs. 3 S. 2 DSGVO dürfe der Verantwortliche oder Auftragsverarbeiter den Datenschutzbeauftragte nicht „wegen der Erfüllung seiner Aufgabe abberufen oder benachteilig[en]“. Demnach habe, so der EuGH, der europäische Gesetzgeber eine Grenze zur Abberufung des Datenschutzbeauftragten festgelegt. Es bestehe ein Verbot, den Datenschutzbeauftragten aus Gründen abzuberufen, die sich aus seinen Aufgaben ergeben. Zu diesen Aufgaben zähle nach Art. 39 Abs. 1 lit. b DSGVO unter anderem, die Einhaltung der datenschutzrechtlichen Regelungen zu überwachen. Diese Regelung gelte für den externen Datenschutzbeauftragten, der auf Grundlage eines Dienstvertrages tätig werde. Daneben gelte die Regelung auch für einen beim Verantwortlichen oder Auftragsverarbeiter angestellten Datenschutzbeauftragten.

Laut EuGH sei das Ziel des Abberufungsverbotes, die Unabhängigkeit jedes Datenschutzbeauftragten zu wahren. Insoweit sei diese Unabhängigkeit notwendig, damit der Datenschutzbeauftragte seine „Aufgaben im Einklang mit dem Ziel der DSGVO“ (EuGH, Urteil vom 9.2.2023, C-453/21, Rn. 25) ausüben könne.

Demnach könne die nationale Norm grundsätzlich strengere Voraussetzungen an die Abberufung stellen. Allerdings dürfe „ein strengerer Schutz die Verwirklichung der Ziele der DSGVO nicht beeinträchtigen.“ (EuGH, Urteil vom 9.2.2023, C-453/21, Rn. 25) Insbesondere die Unabhängigkeit des Datenschutzbeauftragten dürfe die strengere Norm nicht tangieren.

Fazit

Im Ergebnis stellte der EuGH folglich fest, dass eine nationale Norm festlegen könne, dass der Datenschutzbeauftragte nur aus wichtigem Grund abberufen werden kann. Allerdings dürfe die nationale Regelung die Umsetzung der DSGVO nicht beeinträchtigen.

Datenschutzverstöße von Unternehmen: EuGH verhandelt

24. Januar 2023

Am Dienstag, den 17. Januar 2023, fand vor dem Europäischen Gerichtshof die mündliche Verhandlung im Fall “Deutsche Wohnen” (C-807/21) statt. Das Unternehmen war von der Berliner Beauftragten für Datenschutz und Informationsfreiheit mit einem Bußgeld von 14,5 Millionen Euro wegen der unangemessenen Speicherung von Mieterdaten bestraft worden. Der EuGH wird sich nun mit der Frage beschäftigen, ob eine juristische Person in Deutschland nach EU-Recht direkt für Verstöße gegen die Datenschutz-Grundverordnung (DSGVO) bestraft werden kann, ohne dass eine Verletzung durch eine identifizierte natürliche Person festgestellt werden muss. Diese Anforderungen sind in der DSGVO nicht vorgesehen.

Der Europäische Gerichtshof hat in der mündlichen Verhandlung ein besonderes Interesse daran gezeigt, wie die Regelungen in Deutschland die europäische Harmonisierung beeinflussen. Da der Fall von großer Bedeutung ist, hat sich die Konferenz der unabhängigen Datenschutzaufsichtsbehörden des Bundes und der Länder (DSK) vor der Verhandlung mit einer rechtlichen Stellungnahme positioniert.

Marit Hansen, Landesbeauftragte für Datenschutz Schleswig-Holstein und Vorsitzende der Datenschutzkonferenz für das Jahr 2023: „Die Entscheidung in diesem Verfahren wird für Deutschland eine grundlegende Weichenstellung bedeuten. Sie wird daher von den deutschen Datenschutzaufsichtsbehörden mit Spannung erwartet.“

Meike Kamp, Berliner Beauftragte für Datenschutz und Informationsfreiheit: „Die Sanktionierung von Datenschutzverstößen durch Unternehmen ist in Deutschland gegenüber anderen EU-Mitgliedstaaten derzeit deutlich erschwert. Dies widerspricht dem Ziel einer einheitlichen Durchsetzung europäischen Rechts und steht nicht im Einklang mit der DSGVO. Gerade bei großen Konzernen ist der Nachweis einer persönlichen Verursachung in der Unternehmensleitung häufig kaum zu führen. Das Verfahren vor dem EuGH wird hoffentlich in dieser Frage die erforderliche Rechtssicherheit für Unternehmen und Aufsichtsbehörden schaffen.“

EuGH: Zivil- und verwaltungsrechtliche Rechtsbehelfe können nebeneinander und unabhängig voneinander eingelegt werden

17. Januar 2023

Mit Urteil vom 12. Januar 2023 hat der Europäische Gerichtshof (EuGH) entschieden, dass die in der Datenschutz-Grundverordnung (DSGVO) vorgesehenen verwaltungs- und zivilrechtlichen Rechtsbehelfe nebeneinander und unabhängig voneinander eingelegt werden können (C-132/21).

Hintergrund

Grundlage der Entscheidung war die Vorlage des Hauptstädtischen Stuhlgerichts Budapests. Die betroffene Person „BE“ hatte zum einen gegen eine Entscheidung der Datenschutzaufsichtsbehörde vor dem vorlegenden Gericht geklagt, welches der Verwaltungsgerichtsbarkeit angehört. Zum anderen hatte er vor dem Zivilgericht Klage gegen den datenschutzrechtlichen Verantwortlichen erhoben, über dessen Verarbeitung er sich bei der Aufsichtsbehörde beschwert hatte.

Beide Rechtswege sind in der DSGVO vorgesehen. Gegen den Verantwortlichen können betroffene Personen nach Art. 79 DSGVO vorgehen. Gegen Entscheidungen der Aufsichtsbehörde gewährt ihnen Art. 78 DSGVO den Rechtsweg.

Das vorlegende Gericht störte sich daran, dass es „denselben Sachverhalt und dieselbe Behauptung eines Verstoßes gegen die Verordnung 2016/679 prüfen müsse, über die das Fővárosi Ítélőtábla (Hauptstädtisches Tafelgericht, Ungarn) bereits rechtskräftig entschieden habe.“ Daher wollte es wissen, „in welchem Verhältnis die von einem Zivilgericht vorgenommene Beurteilung der Rechtmäßigkeit einer Entscheidung des Verantwortlichen für die Verarbeitung personenbezogener Daten zu dem Verwaltungsverfahren steht“. Es sei nämlich möglich, dass widersprüchliche Entscheidungen erlassen würden.

Entscheidung des EuGH

Der EuGH betonte, dass die von der DSGVO vorgesehenen Rechtsbehelfe gleichwertig nebeneinander stehen. Die DSGVO sehe weder „weder eine vorrangige oder ausschließliche Zuständigkeit vor[sieht] noch einen Vorrang der Beurteilung der genannten Behörde oder des genannten Gerichts zum Vorliegen einer Verletzung der durch diese Verordnung verliehenen Rechte.“ Aus diesem Grund könnten die Rechtsbehelfe „nebeneinander und unabhängig voneinander eingelegt werden.“

Es obliege „den Mitgliedstaaten, im Einklang mit dem Grundsatz der Verfahrensautonomie die Modalitäten des Zusammenspiels dieser Rechtsbehelfe zu regeln“. Dabei sei die effektive Umsetzung der DSGVO zu berücksichtigen, um die Rechte betroffener Personen effektiv zu schützen und die DSGVO einheitlich anzuwenden.

Mehraufwand für Unternehmen bei Auskunftsanspruch

13. Januar 2023

Verantwortliche sind verpflichtet, betroffenen Personen auf Anfrage die Identität der Empfänger, gegenüber welchen personenbezogene Daten offengelegt wurden, mitzuteilen. Dies hat der Europäische Gerichtshof (EuGH) nun in einem Urteil (Urt. v. 12.01.2023 – Rs. C-154/21) entschieden.

Sachverhalt

Dem Urteil vorausgegangen war die Klage eines Österreichers, welcher gegenüber der Österreichischen Post sein Auskunftsrecht nach Art. 15 Abs. 1 lit. c DSGVO geltend machte. Auf die Anfrage, welchen Empfängern gegenüber die Post seine personenbezogenen Daten offengelegt habe, beschränkte sich die Österreichische Post zunächst auf die Auskunft, sie verwende personenbezogene Daten im Rahmen ihrer Tätigkeit als Herausgeberin von Telefonbüchern und stelle die Daten darüber hinaus Geschäftskunden für Marketingzwecke zur Verfügung. Darunter befanden sich unter anderem werbetreibende Händler, IT-Unternehmen, NGOs und Parteien.

Das Auskunftsrecht nach Art. 15 DSGVO

Gemäß Art. 15 DSGVO haben betroffene Personen das Recht, von dem Verantwortlichen eine Bestätigung darüber zu verlangen, ob sie betreffende personenbezogene Daten verarbeitet werden. Ist dies der Fall, so haben sie ein Recht auf Auskunft über diese personenbezogenen Daten und auf folgende Informationen:

  • Die Verarbeitungszwecke;
  • die Kategorien personenbezogener Daten, die verarbeitet werden;
  • die Empfänger oder Kategorien von Empfängern, gegenüber denen die personenbezogenen Daten offengelegt worden sind oder noch offengelegt werden, insbesondere bei Empfängern in Drittländern oder bei internationalen Organisationen;
  • falls möglich die geplante Dauer, für die die personenbezogenen Daten gespeichert werden, oder, falls dies nicht möglich ist, die Kriterien für die Festlegung dieser Dauer;
  • das Bestehen eines Rechts auf Berichtigung oder Löschung der sie betreffenden personenbezogenen Daten oder auf Einschränkung der Verarbeitung durch den Verantwortlichen oder eines Widerspruchsrechts gegen diese Verarbeitung;
  • das Bestehen eines Beschwerderechts bei einer Aufsichtsbehörde;
  • wenn die personenbezogenen Daten nicht bei der betroffenen Person erhoben werden, alle verfügbaren Informationen über die Herkunft der Daten;
  • das Bestehen einer automatisierten Entscheidungsfindung einschließlich Profiling gemäß Artikel 22 Absätze 1 und 4 und – zumindest in diesen Fällen – aussagekräftige Informationen über die involvierte Logik sowie die Tragweite und die angestrebten Auswirkungen einer derartigen Verarbeitung für die betroffene Person.

Das Urteil eindeutig

Mit seiner Vorlagefrage wollte das vorlegende Gericht im Wesentlichen festgestellt wissen, ob Art. 15 Abs. 1 Buchst. c DSGVO dahin auszulegen ist, dass das in dieser Bestimmung vorgesehene Recht der betroffenen Person auf Auskunft über die sie betreffenden personenbezogenen Daten bedingt, dass der Verantwortliche, wenn diese Daten gegenüber Empfängern offengelegt worden sind oder noch offengelegt werden, verpflichtet ist, der betroffenen Person die konkrete Identität der Empfänger mitzuteilen.

Das Auskunftsrecht eines Betroffenen nach Art. 15 DSGVO gilt im Allgemeinen als sehr weitgehend, die Grenzen sind aus wissenschaftlicher Sicht noch nicht abschließend ausdiskutiert. Problematisch ist dabei, dass die in Art. 15 enthaltenen Begriffe „Empfänger“ und „Kategorien von Empfängern“ nebeneinander aufgeführt sind, ohne dass daraus geschlossen werden kann, dass zwischen ihnen ein Vorrangverhältnis besteht

Der EuGH urteilte nun, dass dem Betroffenen die konkrete Identität der Empfänger grundsätzlich mitzuteilen sei. Ausnahmen von dem Umfang der Auskunft können jedoch dann bestehen, wenn der Empfänger (noch) nicht identifiziert werden kann oder der Antrag offenkundig unbegründet beziehungsweise exzessiv ist. In diesen Fällen könne sich die Mitteilung auf die Kategorie der Empfänger beschränken.

„(…) Nach alledem ist auf die Vorlagefrage zu antworten, dass Art. 15 Abs. 1 Buchst. c DSGVO dahin auszulegen ist, dass das in dieser Bestimmung vorgesehene Recht der betroffenen Person auf Auskunft über die sie betreffenden personenbezogenen Daten bedingt, dass der Verantwortliche, wenn diese Daten gegenüber Empfängern offengelegt worden sind oder noch offengelegt werden, verpflichtet ist, der betroffenen Person die Identität der Empfänger mitzuteilen, es sei denn, dass es nicht möglich ist, die Empfänger zu identifizieren, oder dass der Verantwortliche nachweist, dass die Anträge auf Auskunft der betroffenen Person offenkundig unbegründet oder exzessiv im Sinne von Art. 12 Abs. 5 DSGVO sind; in diesem Fall kann der Verantwortliche der betroffenen Person lediglich die Kategorien der betreffenden Empfänger mitteilen. (…)“

Bedeutung für die Praxis

In der Praxis stellt sich nun die Frage, wie Verantwortliche auf das Urteil reagieren sollten.

  • Nach Art. 12 Abs. 1 DSGVO können die Informationen schriftlich, auf elektronischem Wege oder, auf Verlangen der betroffenen Person, mündlich erteilt werden
  • Bei elektronischer Antragsstellung: Informationen gem. Art. 15 Abs. 3 DSGVO in einem gängigen elektronischen Format zur Verfügung zu stellen
  • Informationen gemäß Art. 12 Abs. 3 DSGVO unverzüglich, in jedem Fall aber innerhalb eines Monats nach Eingang des Antrags zur Verfügung zu stellen (Frist kann in komplexen Fällen um zwei Monate verlängert werden)
  • Informationen sind grundsätzlich kostenlos zur Verfügung zu stellen
  • Neu ist, dass nun jeder einzelne Empfänger der Daten offengelegt werden muss, es sei denn, die betroffene Person entscheidet sich für eine bloße Offenlegung der Empfängerkategorien
  • Ausnahmen: Anträge auf Auskunft der betroffenen Person offenkundig unbegründet oder exzessiv im Sinne von Art. 12 Abs. 5 DSGVO

Was für Strafen drohen Unternehmen, die der spezifischen Auskunftspflicht nicht nachkommen?

  • Bußgelder: DSGVO droht mit einer Geldbuße von bis zu 20 Millionen EUR oder bis zu 4 % des weltweit erwirtschafteten Jahresumsatzes im vorangegangenen Geschäftsjahr (angewendet wird der Wert, der höher ist)
  • Materieller und immaterieller Schadensersatz (Art. 82 DSGVO): Das Arbeitsgericht Düsseldorf (ArbG Düsseldorf, Urteil vom 5. März 2020, Az. 9 Ca 6557/18) hatte beispielsweise einen Schadenersatz in Höhe von 5.000 Euro wegen verspäteter und unzureichender Auskunftserteilung zugesprochen

Ausblick

Ob dieses Urteil auch Auswirkungen auf die Gestaltung der Informationspflichten im Sinne von Art. 13 Abs. 1 lit. e DSGVO beziehungsweise Art. 14 Abs. 1 lit. e DSGVO haben wird, bleibt noch abzuwarten. Aufgrund der kurzen Reaktionszeit auf Auskunftsersuchen nach Art. 12 Abs. 3 DSGVO sollten Unternehmen aber in jedem Falle vorbereitet sein, die nun erforderlichen Informationen bereitzuhalten.

Rechtsanwalt Dr. Karsten Kinast, Geschäftsführer der KINAST Rechtsanwaltsgesellschaft mbH, hat diese Woche im ARD-Morgenmagazin ein kurzes Interview zu dem Urteil gegeben. Hier geht es zum Bericht des Morgenmagazins.

Der Datenschutz beim Verkauf von Arzneimittel auf Amazon

12. Januar 2023

Mit einem Beschluss (Az. I ZR 222/19 und I ZR 223/19) vom 12. Januar 2023 hat der Bundesgerichtshof (BGH) entschieden, den Gerichtshof der Europäischen Union (EuGH) im Rahmen des Vorabentscheidungsverfahrens anzurufen. Der BGH möchte geklärt wissen, „(…) ob ein Apotheker, der auf einer Internet-Verkaufsplattform Arzneimittel vertreibt, gegen die für Gesundheitsdaten geltenden datenschutzrechtlichen Bestimmungen verstößt (…)“.

Hintergründe

Hintergrund des Verfahrens ist die Klage eines Apothekers gegen zwei weitere Apotheker. Die beiden beklagten Apotheker vertrieben, so der BGH, über die Internetplattform Amazon verschiedene apotheken- aber nicht verschreibungspflichtige Medikamente. Im Rahmen der erstinstanzlichen Klage habe der klagende Apotheker u.a. wissen wollen, ob die beklagten Apotheker mit dem Vorgehen gegen die Datenschutz-Grundverordnung (DSGVO) verstoßen.

Hinsichtlich der datenschutzrechtlichen Bestimmungen habe sich die Frage gestellt, ob die Beklagten im Rahmen des Bestellvorgangs personenbezogene Daten der Kunden verarbeiten. Dabei sei für den Bestellvorgang, neben dem Namen und der Lieferadresse, eine Information zur „(…) Individualisierung des bestellten apothekenpflichtigen Medikaments (…)“ notwendig. Bei diesen Informationen könne es sich um sog. Gesundheitsdaten, d.h. personenbezogene Daten besonderer Kategorie im Sinne des Art. 9 Abs. 1 DSGVO handeln. Der klagende Apotheker habe außerdem moniert, dass die Beklagten keine Einwilligung zur Datenverarbeitung eingeholt hätten.

Vorlagefragen

Der BGH legte fest, dass der EuGH hinsichtlich der datenschutzrechtlich relevanten Bestimmungen anzurufen sei. Insoweit sei es fraglich, ob der Beklagte mit dem Verkauf der Arzneimittel gegen die DSGVO verstoße.

Außerdem entschied der BGH, dass dem EuGH eine weitere Vorlagefrage vorgelegt werden müsse. Demnach möchte der BGH wissen, ob der in Frage stehende Verstoß gegen die DSGVO „(…) mit einer wettbewerbsrechtlichen Klage vor den Zivilgerichten verfolgt werden kann.“ Es sei dementsprechend zu klären, ob hinsichtlich Kapitel VIII DSGVO die Grundverordnung nationalen Regelungen vorgehe. Folglich sei es fraglich, ob dem Mitbewerber ein Klagerecht gegen den Konkurrenten zustehe.

Recht auf Vergessenwerden: Löschpflicht ja, Nachforschungspflicht nein

13. Dezember 2022

Der Europäische Gerichtshof (EuGH) entschied am 8 Dezember 2022, dass Suchmaschinenbetreiber nachweislich unrichtige Informationen auslisten müssen.

Der Sachverhalt

Hintergrund der Entscheidung war die Vorlage des Bundesgerichtshofs (BGH) im Rahmen des Vorabentscheidungsverfahrens.

Der Geschäftsführer mehrerer Finanzdienstleistungsunternehmen und die Prokuristin eines dieser Unternehmen hatten gegen Google geklagt. Der Suchmaschinenbetreiber hatte sich geweigert, kritische Artikel auf der Seite eines New Yorker Unternehmens aus seinen Suchergebnissen und Vorschaubildern auszulisten. Dieses Unternehmen stand laut verschiedener Veröffentlichungen unter dem Verdacht, Unternehmen mit negativen Berichten zu erpressen, die es nur gegen Geldzahlung löschte.

Zudem hatte Google Fotos als Vorschaubilder (sogenannte Thumbnails) in der Suchergebnisliste angezeigt, ohne den ursprünglichen Kontext der Veröffentlichung zu benennen. Diese Fotos zeigten die Kläger mit Luxusfahrzeugen, im Innenraum eines Hubschraubers und vor einem Flugzeug.

Datenschutz vs. Informationsrecht

Der EuGH betonte, dass das Recht auf Schutz personenbezogener Daten stets unter Wahrung des Verhältnismäßigkeitsprinzips mit anderen Grundrechten abgewogen werden müsse. So stünde es insbesondere im Spannungsverhältnis mit dem berechtigten Interesse der Internetnutzer am Zugang zu Informationen. Ausdruck finde dieses Spannungsverhältnis auch in Art. 17 Abs. 3 DSGVO, der das Recht auf Löschung ausschließe, wenn die Verarbeitung erforderlich zur Ausübung des Rechts auf freie Information sei. Privatsphäre und Datenschutz seien besonders schützenswert und könnten durch Suchmaschinen erheblich beeinträchtigt werden. Daher überwögen diese Rechte im Allgemeinen gegenüber Informations- und Meinungsäußerungsrechten. Doch gerade eine Person des öffentlichen Lebens müsse „ein höheres Maß an Toleranz aufbringen, da sie zwangsläufig und bewusst im Blick der Öffentlichkeit steht“.

Allerdings zog der EuGH eine klare Grenze bei unwahren Tatsachenbehauptungen. Diese seien keineswegs geschützt und in diesem Falle trete das Recht auf freie Information hinter dem Datenschutzrecht zurück. Voraussetzung sei, dass „zumindest ein für den gesamten Inhalt nicht unbedeutender Teil der Information, um die es in dem Auslistungsantrag geht, unrichtig“ sei.

Beweislast liegt bei betroffener Person – Keine Nachforschungspflicht der Suchmaschinenbetreiber

Um eine Auslistung zu erreichen, sei es laut EuGH erforderlich, dass die betroffene Person die Unrichtigkeit eines aufgelisteten Inhalts beweise. Sie dürfe jedoch nicht übermäßig belastet werden. Darum habe sie „lediglich die Nachweise beizubringen, die unter Berücksichtigung der Umstände des Einzelfalls von ihr vernünftigerweise verlangt werden können, um diese offensichtliche Unrichtigkeit festzustellen.“ Insbesondere könne der Suchmaschinenbetreiber nicht von ihr erwarten, eine gerichtliche Entscheidung als Beweis vorzulegen. Sollte sie jedoch eine solche vorlegen können, genüge dies den Nachweispflichten. Im Gegenzug müsse sich bei Nichtvorliegen einer gerichtlichen Entscheidung die Unrichtigkeit aus den gewählten Nachweisen offensichtlich ergeben. Sofern dem Suchmaschinenbetreiber ein Verfahren bekannt ist, das die Richtigkeit der Information anzweifelt, müsse dieser Internetnutzer in den Suchergebnissen darüber informieren.

Entgegen der Ansicht des Generalanwalts lehnte der EuGH eine aktive Nachforschungspflicht des Suchmaschinenbetreibers ab. Eine solche Verpflichtung bringe die Gefahr mit sich, „dass Inhalte, die einem schutzwürdigen und überwiegenden Informationsbedürfnis der Öffentlichkeit dienen, ausgelistet würden und es somit schwierig würde, sie im Internet zu finden. Insoweit bestünde die reale Gefahr einer abschreckenden Wirkung für die Ausübung der Freiheit der Meinungsäußerung und der Informationsfreiheit, wenn der Betreiber der Suchmaschine eine solche Auslistung nahezu systematisch vornähme, um zu vermeiden, dass er die Last der Ermittlung der Tatsachen zu tragen hat, die für die Feststellung der Richtigkeit oder Unrichtigkeit des aufgelisteten Inhalts relevant sind.“

Fotos auf Thumbnails als besonders starker Eingriff in die Rechte der betroffenen Person

Zudem wies der EuGH darauf hin, dass die Thumbnails der Bildersuche einen schwerer wiegenden Grundrechtseingriff darstellen können als die Veröffentlichung durch den Herausgeber der Internetseite selbst. Dies gelte insbesondere bei der Anzeige von Fotos bei der namensbezogenen Suche. Das Bild einer Person sei „nämlich eines der Hauptmerkmale seiner Persönlichkeit, da es seine Einmaligkeit zum Ausdruck bringt und es erlaubt, ihn von anderen Personen zu unterscheiden.“ Daher müssten Personen Kontrolle über Bilder von sich haben. Dazu gehöre die Möglichkeit, die Verbreitung zu untersagen. Im Falle eines Auslistungsantrags müsse der Suchmaschinenbetreiber beachten, ob der Kontext, in dem die Suchmaschine das Bild anzeige, mit dem Kontext der ursprünglichen Veröffentlichung übereinstimme. Auch hier sei eine Abwägung der widerstreitenden Interessen erforderlich. Man müsse unabhängig vom Text prüfen, „ob die Anzeige der fraglichen Fotos erforderlich ist, um das Recht auf freie Information auszuüben“.

Auswirkungen auf die Praxis

Die Entscheidung des EuGH bekräftigt erneut das Recht auf Vergessenwerden. Er präzisiert sein Urteil von 2014, in dem er dieses Recht ausformuliert hatte, und konkretisiert die Pflichten sowohl des Suchmaschinenbetreibers als auch der betroffenen Person. In der Praxis wird sich zeigen, inwieweit Suchmaschinenbetreiber wie Google die Nachweispflicht der betroffenen Person auslegen werden, wenn diese keine gerichtliche Entscheidung vorlegen kann.