Schlagwort: EuGH

Datenschutzverstöße von Unternehmen: EuGH verhandelt

24. Januar 2023

Am Dienstag, den 17. Januar 2023, fand vor dem Europäischen Gerichtshof die mündliche Verhandlung im Fall “Deutsche Wohnen” (C-807/21) statt. Das Unternehmen war von der Berliner Beauftragten für Datenschutz und Informationsfreiheit mit einem Bußgeld von 14,5 Millionen Euro wegen der unangemessenen Speicherung von Mieterdaten bestraft worden. Der EuGH wird sich nun mit der Frage beschäftigen, ob eine juristische Person in Deutschland nach EU-Recht direkt für Verstöße gegen die Datenschutz-Grundverordnung (DSGVO) bestraft werden kann, ohne dass eine Verletzung durch eine identifizierte natürliche Person festgestellt werden muss. Diese Anforderungen sind in der DSGVO nicht vorgesehen.

Der Europäische Gerichtshof hat in der mündlichen Verhandlung ein besonderes Interesse daran gezeigt, wie die Regelungen in Deutschland die europäische Harmonisierung beeinflussen. Da der Fall von großer Bedeutung ist, hat sich die Konferenz der unabhängigen Datenschutzaufsichtsbehörden des Bundes und der Länder (DSK) vor der Verhandlung mit einer rechtlichen Stellungnahme positioniert.

Marit Hansen, Landesbeauftragte für Datenschutz Schleswig-Holstein und Vorsitzende der Datenschutzkonferenz für das Jahr 2023: „Die Entscheidung in diesem Verfahren wird für Deutschland eine grundlegende Weichenstellung bedeuten. Sie wird daher von den deutschen Datenschutzaufsichtsbehörden mit Spannung erwartet.“

Meike Kamp, Berliner Beauftragte für Datenschutz und Informationsfreiheit: „Die Sanktionierung von Datenschutzverstößen durch Unternehmen ist in Deutschland gegenüber anderen EU-Mitgliedstaaten derzeit deutlich erschwert. Dies widerspricht dem Ziel einer einheitlichen Durchsetzung europäischen Rechts und steht nicht im Einklang mit der DSGVO. Gerade bei großen Konzernen ist der Nachweis einer persönlichen Verursachung in der Unternehmensleitung häufig kaum zu führen. Das Verfahren vor dem EuGH wird hoffentlich in dieser Frage die erforderliche Rechtssicherheit für Unternehmen und Aufsichtsbehörden schaffen.“

EuGH: Zivil- und verwaltungsrechtliche Rechtsbehelfe können nebeneinander und unabhängig voneinander eingelegt werden

17. Januar 2023

Mit Urteil vom 12. Januar 2023 hat der Europäische Gerichtshof (EuGH) entschieden, dass die in der Datenschutz-Grundverordnung (DSGVO) vorgesehenen verwaltungs- und zivilrechtlichen Rechtsbehelfe nebeneinander und unabhängig voneinander eingelegt werden können (C-132/21).

Hintergrund

Grundlage der Entscheidung war die Vorlage des Hauptstädtischen Stuhlgerichts Budapests. Die betroffene Person „BE“ hatte zum einen gegen eine Entscheidung der Datenschutzaufsichtsbehörde vor dem vorlegenden Gericht geklagt, welches der Verwaltungsgerichtsbarkeit angehört. Zum anderen hatte er vor dem Zivilgericht Klage gegen den datenschutzrechtlichen Verantwortlichen erhoben, über dessen Verarbeitung er sich bei der Aufsichtsbehörde beschwert hatte.

Beide Rechtswege sind in der DSGVO vorgesehen. Gegen den Verantwortlichen können betroffene Personen nach Art. 79 DSGVO vorgehen. Gegen Entscheidungen der Aufsichtsbehörde gewährt ihnen Art. 78 DSGVO den Rechtsweg.

Das vorlegende Gericht störte sich daran, dass es „denselben Sachverhalt und dieselbe Behauptung eines Verstoßes gegen die Verordnung 2016/679 prüfen müsse, über die das Fővárosi Ítélőtábla (Hauptstädtisches Tafelgericht, Ungarn) bereits rechtskräftig entschieden habe.“ Daher wollte es wissen, „in welchem Verhältnis die von einem Zivilgericht vorgenommene Beurteilung der Rechtmäßigkeit einer Entscheidung des Verantwortlichen für die Verarbeitung personenbezogener Daten zu dem Verwaltungsverfahren steht“. Es sei nämlich möglich, dass widersprüchliche Entscheidungen erlassen würden.

Entscheidung des EuGH

Der EuGH betonte, dass die von der DSGVO vorgesehenen Rechtsbehelfe gleichwertig nebeneinander stehen. Die DSGVO sehe weder „weder eine vorrangige oder ausschließliche Zuständigkeit vor[sieht] noch einen Vorrang der Beurteilung der genannten Behörde oder des genannten Gerichts zum Vorliegen einer Verletzung der durch diese Verordnung verliehenen Rechte.“ Aus diesem Grund könnten die Rechtsbehelfe „nebeneinander und unabhängig voneinander eingelegt werden.“

Es obliege „den Mitgliedstaaten, im Einklang mit dem Grundsatz der Verfahrensautonomie die Modalitäten des Zusammenspiels dieser Rechtsbehelfe zu regeln“. Dabei sei die effektive Umsetzung der DSGVO zu berücksichtigen, um die Rechte betroffener Personen effektiv zu schützen und die DSGVO einheitlich anzuwenden.

Mehraufwand für Unternehmen bei Auskunftsanspruch

13. Januar 2023

Verantwortliche sind verpflichtet, betroffenen Personen auf Anfrage die Identität der Empfänger, gegenüber welchen personenbezogene Daten offengelegt wurden, mitzuteilen. Dies hat der Europäische Gerichtshof (EuGH) nun in einem Urteil (Urt. v. 12.01.2023 – Rs. C-154/21) entschieden.

Sachverhalt

Dem Urteil vorausgegangen war die Klage eines Österreichers, welcher gegenüber der Österreichischen Post sein Auskunftsrecht nach Art. 15 Abs. 1 lit. c DSGVO geltend machte. Auf die Anfrage, welchen Empfängern gegenüber die Post seine personenbezogenen Daten offengelegt habe, beschränkte sich die Österreichische Post zunächst auf die Auskunft, sie verwende personenbezogene Daten im Rahmen ihrer Tätigkeit als Herausgeberin von Telefonbüchern und stelle die Daten darüber hinaus Geschäftskunden für Marketingzwecke zur Verfügung. Darunter befanden sich unter anderem werbetreibende Händler, IT-Unternehmen, NGOs und Parteien.

Das Auskunftsrecht nach Art. 15 DSGVO

Gemäß Art. 15 DSGVO haben betroffene Personen das Recht, von dem Verantwortlichen eine Bestätigung darüber zu verlangen, ob sie betreffende personenbezogene Daten verarbeitet werden. Ist dies der Fall, so haben sie ein Recht auf Auskunft über diese personenbezogenen Daten und auf folgende Informationen:

  • Die Verarbeitungszwecke;
  • die Kategorien personenbezogener Daten, die verarbeitet werden;
  • die Empfänger oder Kategorien von Empfängern, gegenüber denen die personenbezogenen Daten offengelegt worden sind oder noch offengelegt werden, insbesondere bei Empfängern in Drittländern oder bei internationalen Organisationen;
  • falls möglich die geplante Dauer, für die die personenbezogenen Daten gespeichert werden, oder, falls dies nicht möglich ist, die Kriterien für die Festlegung dieser Dauer;
  • das Bestehen eines Rechts auf Berichtigung oder Löschung der sie betreffenden personenbezogenen Daten oder auf Einschränkung der Verarbeitung durch den Verantwortlichen oder eines Widerspruchsrechts gegen diese Verarbeitung;
  • das Bestehen eines Beschwerderechts bei einer Aufsichtsbehörde;
  • wenn die personenbezogenen Daten nicht bei der betroffenen Person erhoben werden, alle verfügbaren Informationen über die Herkunft der Daten;
  • das Bestehen einer automatisierten Entscheidungsfindung einschließlich Profiling gemäß Artikel 22 Absätze 1 und 4 und – zumindest in diesen Fällen – aussagekräftige Informationen über die involvierte Logik sowie die Tragweite und die angestrebten Auswirkungen einer derartigen Verarbeitung für die betroffene Person.

Das Urteil eindeutig

Mit seiner Vorlagefrage wollte das vorlegende Gericht im Wesentlichen festgestellt wissen, ob Art. 15 Abs. 1 Buchst. c DSGVO dahin auszulegen ist, dass das in dieser Bestimmung vorgesehene Recht der betroffenen Person auf Auskunft über die sie betreffenden personenbezogenen Daten bedingt, dass der Verantwortliche, wenn diese Daten gegenüber Empfängern offengelegt worden sind oder noch offengelegt werden, verpflichtet ist, der betroffenen Person die konkrete Identität der Empfänger mitzuteilen.

Das Auskunftsrecht eines Betroffenen nach Art. 15 DSGVO gilt im Allgemeinen als sehr weitgehend, die Grenzen sind aus wissenschaftlicher Sicht noch nicht abschließend ausdiskutiert. Problematisch ist dabei, dass die in Art. 15 enthaltenen Begriffe „Empfänger“ und „Kategorien von Empfängern“ nebeneinander aufgeführt sind, ohne dass daraus geschlossen werden kann, dass zwischen ihnen ein Vorrangverhältnis besteht

Der EuGH urteilte nun, dass dem Betroffenen die konkrete Identität der Empfänger grundsätzlich mitzuteilen sei. Ausnahmen von dem Umfang der Auskunft können jedoch dann bestehen, wenn der Empfänger (noch) nicht identifiziert werden kann oder der Antrag offenkundig unbegründet beziehungsweise exzessiv ist. In diesen Fällen könne sich die Mitteilung auf die Kategorie der Empfänger beschränken.

„(…) Nach alledem ist auf die Vorlagefrage zu antworten, dass Art. 15 Abs. 1 Buchst. c DSGVO dahin auszulegen ist, dass das in dieser Bestimmung vorgesehene Recht der betroffenen Person auf Auskunft über die sie betreffenden personenbezogenen Daten bedingt, dass der Verantwortliche, wenn diese Daten gegenüber Empfängern offengelegt worden sind oder noch offengelegt werden, verpflichtet ist, der betroffenen Person die Identität der Empfänger mitzuteilen, es sei denn, dass es nicht möglich ist, die Empfänger zu identifizieren, oder dass der Verantwortliche nachweist, dass die Anträge auf Auskunft der betroffenen Person offenkundig unbegründet oder exzessiv im Sinne von Art. 12 Abs. 5 DSGVO sind; in diesem Fall kann der Verantwortliche der betroffenen Person lediglich die Kategorien der betreffenden Empfänger mitteilen. (…)“

Bedeutung für die Praxis

In der Praxis stellt sich nun die Frage, wie Verantwortliche auf das Urteil reagieren sollten.

  • Nach Art. 12 Abs. 1 DSGVO können die Informationen schriftlich, auf elektronischem Wege oder, auf Verlangen der betroffenen Person, mündlich erteilt werden
  • Bei elektronischer Antragsstellung: Informationen gem. Art. 15 Abs. 3 DSGVO in einem gängigen elektronischen Format zur Verfügung zu stellen
  • Informationen gemäß Art. 12 Abs. 3 DSGVO unverzüglich, in jedem Fall aber innerhalb eines Monats nach Eingang des Antrags zur Verfügung zu stellen (Frist kann in komplexen Fällen um zwei Monate verlängert werden)
  • Informationen sind grundsätzlich kostenlos zur Verfügung zu stellen
  • Neu ist, dass nun jeder einzelne Empfänger der Daten offengelegt werden muss, es sei denn, die betroffene Person entscheidet sich für eine bloße Offenlegung der Empfängerkategorien
  • Ausnahmen: Anträge auf Auskunft der betroffenen Person offenkundig unbegründet oder exzessiv im Sinne von Art. 12 Abs. 5 DSGVO

Was für Strafen drohen Unternehmen, die der spezifischen Auskunftspflicht nicht nachkommen?

  • Bußgelder: DSGVO droht mit einer Geldbuße von bis zu 20 Millionen EUR oder bis zu 4 % des weltweit erwirtschafteten Jahresumsatzes im vorangegangenen Geschäftsjahr (angewendet wird der Wert, der höher ist)
  • Materieller und immaterieller Schadensersatz (Art. 82 DSGVO): Das Arbeitsgericht Düsseldorf (ArbG Düsseldorf, Urteil vom 5. März 2020, Az. 9 Ca 6557/18) hatte beispielsweise einen Schadenersatz in Höhe von 5.000 Euro wegen verspäteter und unzureichender Auskunftserteilung zugesprochen

Ausblick

Ob dieses Urteil auch Auswirkungen auf die Gestaltung der Informationspflichten im Sinne von Art. 13 Abs. 1 lit. e DSGVO beziehungsweise Art. 14 Abs. 1 lit. e DSGVO haben wird, bleibt noch abzuwarten. Aufgrund der kurzen Reaktionszeit auf Auskunftsersuchen nach Art. 12 Abs. 3 DSGVO sollten Unternehmen aber in jedem Falle vorbereitet sein, die nun erforderlichen Informationen bereitzuhalten.

Rechtsanwalt Dr. Karsten Kinast, Geschäftsführer der KINAST Rechtsanwaltsgesellschaft mbH, hat diese Woche im ARD-Morgenmagazin ein kurzes Interview zu dem Urteil gegeben. Hier geht es zum Bericht des Morgenmagazins.

Der Datenschutz beim Verkauf von Arzneimittel auf Amazon

12. Januar 2023

Mit einem Beschluss (Az. I ZR 222/19 und I ZR 223/19) vom 12. Januar 2023 hat der Bundesgerichtshof (BGH) entschieden, den Gerichtshof der Europäischen Union (EuGH) im Rahmen des Vorabentscheidungsverfahrens anzurufen. Der BGH möchte geklärt wissen, „(…) ob ein Apotheker, der auf einer Internet-Verkaufsplattform Arzneimittel vertreibt, gegen die für Gesundheitsdaten geltenden datenschutzrechtlichen Bestimmungen verstößt (…)“.

Hintergründe

Hintergrund des Verfahrens ist die Klage eines Apothekers gegen zwei weitere Apotheker. Die beiden beklagten Apotheker vertrieben, so der BGH, über die Internetplattform Amazon verschiedene apotheken- aber nicht verschreibungspflichtige Medikamente. Im Rahmen der erstinstanzlichen Klage habe der klagende Apotheker u.a. wissen wollen, ob die beklagten Apotheker mit dem Vorgehen gegen die Datenschutz-Grundverordnung (DSGVO) verstoßen.

Hinsichtlich der datenschutzrechtlichen Bestimmungen habe sich die Frage gestellt, ob die Beklagten im Rahmen des Bestellvorgangs personenbezogene Daten der Kunden verarbeiten. Dabei sei für den Bestellvorgang, neben dem Namen und der Lieferadresse, eine Information zur „(…) Individualisierung des bestellten apothekenpflichtigen Medikaments (…)“ notwendig. Bei diesen Informationen könne es sich um sog. Gesundheitsdaten, d.h. personenbezogene Daten besonderer Kategorie im Sinne des Art. 9 Abs. 1 DSGVO handeln. Der klagende Apotheker habe außerdem moniert, dass die Beklagten keine Einwilligung zur Datenverarbeitung eingeholt hätten.

Vorlagefragen

Der BGH legte fest, dass der EuGH hinsichtlich der datenschutzrechtlich relevanten Bestimmungen anzurufen sei. Insoweit sei es fraglich, ob der Beklagte mit dem Verkauf der Arzneimittel gegen die DSGVO verstoße.

Außerdem entschied der BGH, dass dem EuGH eine weitere Vorlagefrage vorgelegt werden müsse. Demnach möchte der BGH wissen, ob der in Frage stehende Verstoß gegen die DSGVO „(…) mit einer wettbewerbsrechtlichen Klage vor den Zivilgerichten verfolgt werden kann.“ Es sei dementsprechend zu klären, ob hinsichtlich Kapitel VIII DSGVO die Grundverordnung nationalen Regelungen vorgehe. Folglich sei es fraglich, ob dem Mitbewerber ein Klagerecht gegen den Konkurrenten zustehe.

Recht auf Vergessenwerden: Löschpflicht ja, Nachforschungspflicht nein

13. Dezember 2022

Der Europäische Gerichtshof (EuGH) entschied am 8 Dezember 2022, dass Suchmaschinenbetreiber nachweislich unrichtige Informationen auslisten müssen.

Der Sachverhalt

Hintergrund der Entscheidung war die Vorlage des Bundesgerichtshofs (BGH) im Rahmen des Vorabentscheidungsverfahrens.

Der Geschäftsführer mehrerer Finanzdienstleistungsunternehmen und die Prokuristin eines dieser Unternehmen hatten gegen Google geklagt. Der Suchmaschinenbetreiber hatte sich geweigert, kritische Artikel auf der Seite eines New Yorker Unternehmens aus seinen Suchergebnissen und Vorschaubildern auszulisten. Dieses Unternehmen stand laut verschiedener Veröffentlichungen unter dem Verdacht, Unternehmen mit negativen Berichten zu erpressen, die es nur gegen Geldzahlung löschte.

Zudem hatte Google Fotos als Vorschaubilder (sogenannte Thumbnails) in der Suchergebnisliste angezeigt, ohne den ursprünglichen Kontext der Veröffentlichung zu benennen. Diese Fotos zeigten die Kläger mit Luxusfahrzeugen, im Innenraum eines Hubschraubers und vor einem Flugzeug.

Datenschutz vs. Informationsrecht

Der EuGH betonte, dass das Recht auf Schutz personenbezogener Daten stets unter Wahrung des Verhältnismäßigkeitsprinzips mit anderen Grundrechten abgewogen werden müsse. So stünde es insbesondere im Spannungsverhältnis mit dem berechtigten Interesse der Internetnutzer am Zugang zu Informationen. Ausdruck finde dieses Spannungsverhältnis auch in Art. 17 Abs. 3 DSGVO, der das Recht auf Löschung ausschließe, wenn die Verarbeitung erforderlich zur Ausübung des Rechts auf freie Information sei. Privatsphäre und Datenschutz seien besonders schützenswert und könnten durch Suchmaschinen erheblich beeinträchtigt werden. Daher überwögen diese Rechte im Allgemeinen gegenüber Informations- und Meinungsäußerungsrechten. Doch gerade eine Person des öffentlichen Lebens müsse „ein höheres Maß an Toleranz aufbringen, da sie zwangsläufig und bewusst im Blick der Öffentlichkeit steht“.

Allerdings zog der EuGH eine klare Grenze bei unwahren Tatsachenbehauptungen. Diese seien keineswegs geschützt und in diesem Falle trete das Recht auf freie Information hinter dem Datenschutzrecht zurück. Voraussetzung sei, dass „zumindest ein für den gesamten Inhalt nicht unbedeutender Teil der Information, um die es in dem Auslistungsantrag geht, unrichtig“ sei.

Beweislast liegt bei betroffener Person – Keine Nachforschungspflicht der Suchmaschinenbetreiber

Um eine Auslistung zu erreichen, sei es laut EuGH erforderlich, dass die betroffene Person die Unrichtigkeit eines aufgelisteten Inhalts beweise. Sie dürfe jedoch nicht übermäßig belastet werden. Darum habe sie „lediglich die Nachweise beizubringen, die unter Berücksichtigung der Umstände des Einzelfalls von ihr vernünftigerweise verlangt werden können, um diese offensichtliche Unrichtigkeit festzustellen.“ Insbesondere könne der Suchmaschinenbetreiber nicht von ihr erwarten, eine gerichtliche Entscheidung als Beweis vorzulegen. Sollte sie jedoch eine solche vorlegen können, genüge dies den Nachweispflichten. Im Gegenzug müsse sich bei Nichtvorliegen einer gerichtlichen Entscheidung die Unrichtigkeit aus den gewählten Nachweisen offensichtlich ergeben. Sofern dem Suchmaschinenbetreiber ein Verfahren bekannt ist, das die Richtigkeit der Information anzweifelt, müsse dieser Internetnutzer in den Suchergebnissen darüber informieren.

Entgegen der Ansicht des Generalanwalts lehnte der EuGH eine aktive Nachforschungspflicht des Suchmaschinenbetreibers ab. Eine solche Verpflichtung bringe die Gefahr mit sich, „dass Inhalte, die einem schutzwürdigen und überwiegenden Informationsbedürfnis der Öffentlichkeit dienen, ausgelistet würden und es somit schwierig würde, sie im Internet zu finden. Insoweit bestünde die reale Gefahr einer abschreckenden Wirkung für die Ausübung der Freiheit der Meinungsäußerung und der Informationsfreiheit, wenn der Betreiber der Suchmaschine eine solche Auslistung nahezu systematisch vornähme, um zu vermeiden, dass er die Last der Ermittlung der Tatsachen zu tragen hat, die für die Feststellung der Richtigkeit oder Unrichtigkeit des aufgelisteten Inhalts relevant sind.“

Fotos auf Thumbnails als besonders starker Eingriff in die Rechte der betroffenen Person

Zudem wies der EuGH darauf hin, dass die Thumbnails der Bildersuche einen schwerer wiegenden Grundrechtseingriff darstellen können als die Veröffentlichung durch den Herausgeber der Internetseite selbst. Dies gelte insbesondere bei der Anzeige von Fotos bei der namensbezogenen Suche. Das Bild einer Person sei „nämlich eines der Hauptmerkmale seiner Persönlichkeit, da es seine Einmaligkeit zum Ausdruck bringt und es erlaubt, ihn von anderen Personen zu unterscheiden.“ Daher müssten Personen Kontrolle über Bilder von sich haben. Dazu gehöre die Möglichkeit, die Verbreitung zu untersagen. Im Falle eines Auslistungsantrags müsse der Suchmaschinenbetreiber beachten, ob der Kontext, in dem die Suchmaschine das Bild anzeige, mit dem Kontext der ursprünglichen Veröffentlichung übereinstimme. Auch hier sei eine Abwägung der widerstreitenden Interessen erforderlich. Man müsse unabhängig vom Text prüfen, „ob die Anzeige der fraglichen Fotos erforderlich ist, um das Recht auf freie Information auszuüben“.

Auswirkungen auf die Praxis

Die Entscheidung des EuGH bekräftigt erneut das Recht auf Vergessenwerden. Er präzisiert sein Urteil von 2014, in dem er dieses Recht ausformuliert hatte, und konkretisiert die Pflichten sowohl des Suchmaschinenbetreibers als auch der betroffenen Person. In der Praxis wird sich zeigen, inwieweit Suchmaschinenbetreiber wie Google die Nachweispflicht der betroffenen Person auslegen werden, wenn diese keine gerichtliche Entscheidung vorlegen kann.

 

Innenministerkonferenz spricht sich für die Vorratsdatenspeicherung aus

6. Dezember 2022

Auf der diesjährigen Herbstkonferenz der Innenminister und -senatoren (Innenministerkonferenz) sprachen sich die Innenminister des Bundes und der Länder für eine umfassende Speicherung von IP-Adressen zur Strafverfolgung aus. Damit widersprach das Ergebnis dem nur wenige Wochen zuvor ergangenen Beschluss der Justizminister, die mit knapper Mehrheit der anlasslosen Vorratsdatenspeicherung eine Absage erteilt hatten.

EuGH-Urteil erfordert eine Neuregelung

Grund der Debatte war das Urteil des Europäischen Gerichtshofs (EuGH) vom 20. September 2022, worin dieser die deutsche Regelung der Vorratsdatenspeicherung als unvereinbar mit dem EU-Recht erklärt hatte. Das deutsche Telekommunikationsgesetz (TKG) sieht vor, dass Verkehrs- und Standortdaten zehn bzw. vier Wochen lang gespeichert werden müssen. Der EuGH befand, dass sich daraus sehr genaue Rückschlüsse auf das Leben von Privatpersonen ziehen ließen. Laut EuGH ist daher eine Vorratsdatenspeicherung von IP-Adressen nur in engen Grenzen, beispielsweise zum Schutz der nationalen Sicherheit oder zur Bekämpfung schwerer Kriminalität möglich.

Gegenentwurf zum sogenannten Quick-Freeze-Verfahren

Die Innenminister waren sich einig, dass das von Bundesjustizminister Marco Buschmann vorgeschlagene sogenannte „Quick-Freeze-Verfahren“ (wir berichteten) nicht ausreichend sei. Laut Hessens Innenminister Peter Beuth (CDU) seien längere IP-Speicherfristen dringend erforderlich, um Kindesmissbrauch im Internet wirksam zu bekämpfen. Auch Bundesinnenministerin Nancy Faeser zeigte sich erfreut von den Ergebnissen der Innenministerkonferenz.

BGH legt EuGH erneut Frage zu Klagerechten von Verbraucherschützern vor

11. November 2022

Mit Beschluss vom 10.11.2022 (Az. I ZR 186/17) hat der Bundesgerichtshof (BGH) entschieden, dem  Europäischen Gerichtshof (EuGH) die Frage zur Vorabentscheidung vorzulegen, ob eine Rechtsverletzung „infolge einer Verarbeitung“ im Sinne von Art. 80 Abs. 2 DSGVO geltend gemacht wird, wenn ein Verband zur Wahrung von Verbraucherinteressen seine Klage darauf stützt, die Rechte einer betroffenen Person seien verletzt, weil die Informationspflichten gemäß Art. 12 Abs. 1 Satz 1 DSGVO in Verbindung mit Art. 13 Abs. 1 Buchst. c und e DSGVO über den Zweck der Datenverarbeitung und den Empfänger der personenbezogenen Daten nicht erfüllt worden seien.

Sachverhalt

In dem Verfahren, das durch den BGH nun bis zur Entscheidung des EuGHs über die Vorlagefrage ausgesetzt wurde, geht es um eine Auseinandersetzung zwischen der Meta Platform Ireland Limited (Meta) und dem Dachverband der Verbraucherzentralen der Bundesländer (VZBV). Meta betreibt das soziale Netzwerk „Facebook“. Dieses hat in seinem Netzwerk im Jahr 2012 ein sog. „App-Zentrum“ installiert, über welches Nutzer Online-Spiele anderer Anbieter spielen können. In diesem Rahmen wurde auch auf die erfolgende Datenverarbeitung hingewiesen und eine Einwilligung der Nutzer eingeholt. Unter dem Button „Sofort spielen“ waren folgende Hinweise zu lesen: „Durch das Anklicken von Spiel spielen (oben) erhält diese Anwendung: Deine allgemeinen Informationen, Deine-Mail-Adresse, Über Dich, Deine Statusmeldungen. Diese Anwendung darf in deinem Namen posten, einschließlich dein Punktestand und mehr.“ Bei einem Spiel endeten die Hinweise mit dem Satz: „Diese Anwendung darf Statusmeldungen, Fotos und mehr in deinem Namen posten.“ Die Einwilligung beurteilte der Verbraucherschutzverband als nicht datenschutzkonform und machte wegen des Vergehens wettbewerbsrechtliche Unterlassungsansprüche gemäß § 8 Abs. 3 Nr. 3 UWG und § 3 Abs. 1 Satz 1 Nr. 1 UKlaG geltend. Auch sei der abschließende Hinweis bei einem Spiel eine den Nutzer unangemessen benachteiligende Allgemeine Geschäftsbedingung (AGB).

Unterlassungsansprüche und Betroffenheit für den BGH problematisch

Das Verfahren beschäftige sich mit der grundsätzlichen Frage, ob ein Verstoß des Betreibers eines sozialen Netzwerks gegen die datenschutzrechtliche Informationspflicht, die Nutzer dieses Netzwerks über Umfang und Zweck der Erhebung und Verwendung ihrer Daten zu unterrichten, wettbewerbsrechtliche Unterlassungsansprüche begründen kann. Des Weiteren stelle sich die Frage, ob Verbraucherschützer auch ohne einen Auftrag konkret Betroffener vor Gericht ziehen dürften. Der BGH zieht in dieser Sache nun zum zweiten Mal den EuGH zurate. 

Erste Vorlage an den EuGH (wir berichteten)

Mit Beschluss vom 28.05.2020 (Az. I ZR 186/17) hatte der BGH ursprünglich entschieden, dem EuGH die Frage zur Vorabentscheidung vorzulegen, ob unter Anderem Verbraucherschutzverbände berechtigt seien, Datenschutzverstöße gerichtlich geltend machen zu können. Der EuGH hatte dann entschieden, dass Verbraucherzentralen auch ohne Auftrag und unabhängig von der Verletzung konkreter Rechte betroffener Personen klagen können.

Neue Entscheidung für BGH „unerwartet“

Der BGH vertrete die Ansicht, dass Verbraucherschutzverbände nicht automatisch klagebefugt seien. Man wolle konkret wissen, ob in dem Fall aus Sicht des EuGHs die Voraussetzung erfüllt sei, dass die Rechte einer betroffenen Person gemäß der DSGVO „infolge einer Verarbeitung“ verletzt worden seien. Es sei fraglich, ob diese Voraussetzung erfüllt sei, wenn – wie im Streitfall – die sich aus Art. 12 Abs. 1 Satz 1, Art. 13 Abs. 1 Buchst. c und e DSGVO ergebenden Informationspflichten verletzt worden seien. Die Entscheidung sei wichtig für eine Fülle anhängiger Verfahren.  

„Angesichts der massenhaften Datenschutzverstöße auf den großen Digitalplattformen sei es enttäuschend, dass sich dieses schon sehr lange laufende Grundsatzverfahren wieder verzögere“, so der Leiter des Teams Rechtsdurchsetzung beim VZBV, Heiko Dünkel.

Meta gab bisher noch kein offizielles Statement zu der erneuten Vorlage ab. Der Anwalt des Konzerns, Christian Rohnke, hatte bei der Verhandlung am BGH jedoch betont, dass Facebook das fragliche Vorgehen inzwischen geändert habe.

EuGH zur Verantwortlichkeit bei Einwilligungswiderruf nach Datenweitergabe

3. November 2022

Der Europäische Gerichtshof (EuGH) hat entschieden, dass der Widerruf gegen eine einheitliche Einwilligung, aufgrund derer mehrere Verantwortliche personenbezogene Daten zum selben Zweck verarbeiten dürfen, nur gegen einen dieser Verantwortlichen erfolgen muss.  

Sachverhalt

Der Beschwerdeführer wendete sich gegen den belgischen Telefonanbieter Proximus, der unter anderem öffentlich zugängliche Telefonverzeichnisse und Telefonauskunftsdienste anbietet. Darin sind Namen, Adressen und Telefonnummern enthalten, die von Anbietern öffentlich zugänglicher Telefondienste an Proximus übermittelt und auch von Proximus an andere Anbieter und Suchmaschinen wie Google weitergeleitet werden.

Nachdem seine wiederholte Aufforderung, seine Daten nicht in solchen Verzeichnissen zu führen, erfolglos waren, legte der Beschwerdeführer Beschwerde bei der belgischen Datenschutzbehörde ein. Die Datenschutzbehörde verhängte daraufhin ein Bußgeld in Höhe von 20.000 Euro und gab Proximus unter anderem auf, „dem Widerruf der Einwilligung des fraglichen Teilnehmers unverzüglich in angemessener Weise Rechnung zu tragen und den Aufforderungen dieses Teilnehmers, mit denen er sein Recht auf Löschung der ihn betreffenden Daten ausüben wolle, Folge zu leisten“.

Hiergegen klagte Proximus mit der Begründung, eine Einwilligung im Sinne der DSGVO sei nicht erforderlich. Vielmehr müssten Teilnehmer im Wege eines Opt-out selbst beantragen, nicht im Verzeichnis geführt zu werden.

Entscheidung

Der EuGH bestätigte in seiner Entscheidung zunächst das Einwilligungserfordernis bei der Veröffentlichung personenbezogener Daten in einem öffentlichen Teilnehmerverzeichnis. Sofern dritte Anbieter solcher Verzeichnisse denselben Zweck verfolgen, erstreckt sich diese Einwilligung auf jede weitere Verarbeitung der Daten. Dazu muss die betroffene Person nicht zwangsläufig zum Zeitpunkt der Einwilligung sämtliche Anbieter kennen. Allerdings genügt dann im Umkehrschluss eine einzige Widerrufserklärung gegenüber irgendeinem der Verantwortlichen. Der muss sämtliche anderen Verantwortlichen eigenständig über den Widerruf informieren.

Fazit

Die Entscheidung wird sich voraussichtlich auch auf andere Bereiche auswirken, in denen sich Verantwortliche auf eine einheitliche Einwilligung stützen. Für Betroffene bedeutet es eine erhebliche Erleichterung, den Widerruf nur an einen einer gegebenenfalls unbekannten Anzahl von Verantwortlichen richten zu müssen.  

EuGH: deutsche Vorratsdatenspeicherung verstößt gegen EU-Recht

21. September 2022

Der Europäische Gerichtshof (EuGH) enschied am 20.09.2022 wie bereits erwartet, dass die deutsche Vorratsdatenspeicherung nicht mit EU-Recht vereinbar sei (Rs. C-793/19, C-794/19). Der EuGH bestätigt mit diesem Urteil seine bisherige Rechtsprechung und folgt den Anträgen des Generalanwaltes.

Konkret bestätigte das Gericht, dass eine allgemeine und unterschiedslose Vorratsspeicherung von Verkehrs- und Standortdaten nicht mit dem europäischen Recht vereinbar sei. Der EuGH führt dazu aus, dass die Vorratsdaten “in Anbetracht ihrer Menge und Vielfalt es in ihrer Gesamtheit ermöglichen, sehr genaue Schlüsse auf das Privatleben der Person bzw. der Personen zu ziehen, deren Daten gespeichert wurden, und insbesondere die Erstellung eines Profils der betroffenen Person bzw. der betroffenen Personen ermöglichen, das im Hinblick auf das Recht auf Achtung des Privatlebens eine ebenso sensible Information darstellt wie der Inhalt der Kommunikationen selbst.” (Rn. 87). Gleichzeitig räumt der EuGH aber ein, dass eine Speicherung von Vorratsdaten unter ganz bestimmten Voraussetzungen mit dem EU-Recht vereinbar sei. Gründe hierfür könnten der Schutz der nationalen Sicherheit, die Bekämpfung von Kriminalität und der Schutz der öffentlichen Sicherheit eines Mitgliedsstaates sein. Insbesondere die Verhältnismäßigkeit müsste dann aber bedacht werden.

Die Regelungen zur Vorratsdatenspeicherung befinden sich in § 113a Abs. 1 in Verbindung mit § 113b des TKG (Telekommunikationsgesetz). Hiergegen klagten Spacenet und die Telekom zunächst vor dem VG Köln. Schließlich landete das Verfahren vor dem Bundesverwaltungsgericht, welches dem EuGH das Verfahren dann vorlegte und nach der Vereinbarkeit dieser Regelungen mit EU-Recht fragte. Die Pflicht zur Vorratsdatenspeicherung ist seit dem Urteil des VG Köln im Jahr 2017 ausgesetzt gewesen.

Die Bundesregierung hatte bereits vor der Urteilverkündung angekündigt, die Regelungen zur Vorratsdatenspeicherung reformieren zu wollen. Was Einzelheiten angeht ist man sich aber bisher nicht einig.

EuGH zur Auslegung von Art. 6 und 9 der DSGVO

10. August 2022

In seinem Urteil (EuGH, Urteil v. 01.08.2022 – EuGH AZ: C-184/20) hatte sich der Europäische Gerichtshof mit zwei Vorlagefragen bezüglich der Auslegung der DSGVO zu befassen.

Ausgangsrechtsstreit

Am 07. Februar 2018 entschied die Oberste Ethikkommission, dass ein Leiter einer Einrichtung litauischen Rechts aus dem Bereich des Umweltschutzes, die öffentliche Mittel erhält, gegen Art. 3 Abs. 2 und Art. 4 Abs. 1 des litauischen Gesetzes über den Interessenausgleich verstoßen habe, indem er keine Erklärung über private Interessen vorgelegt habe. Gegen diese Entscheidung erhob dieser Leiter beim litauischen Gericht Anfechtungsklage. Er war der Ansicht, ihn treffe keine Pflicht zur Erklärung privater Interessen. Jedenfalls verletze die Veröffentlichung dieser Erklärung sowohl sein eigenes Recht auf Achtung seines Privatlebens als auch das der anderen Personen, die er in seiner Erklärung angeben müsste. Das litauische Regionalverwaltungsgericht Vilnius hat sodann beschlossen, das Verfahren auszusetzen und dem Europäischen Gerichtshof (EuGH) zwei Fragen zur Vorabentscheidung vorzulegen:

  • Ist die in Art. 6 Abs. 1 Unterabs. 1 Buchst. c der DSGVO festgelegte Bedingung im Hinblick auf die in Art. 6 Abs. 3 der DSGVO festgelegten Anforderungen und ferner im Hinblick auf die Art. 7 und 8 der Charta dahin auszulegen, dass das nationale Recht nicht die Offenlegung der in Erklärungen über private Interessen enthaltenen Daten und deren Veröffentlichung auf der Website des Verantwortlichen verlangen darf, wodurch allen Personen, die Zugang zum Internet haben, Zugang zu diesen Daten gewährt wird?
  • Ist das in Art. 9 Abs. 1 der DSGVO normierte Verbot der Verarbeitung besonderer Kategorien personenbezogener Daten unter Berücksichtigung der in Art. 9 Abs. 2 der DSGVO festgelegten Bedingungen, einschließlich der in Buchst. g genannten Bedingung, auch in Hinblick auf die Art. 7 und 8 der Charta dahin auszulegen, dass das nationale Recht nicht die Offenlegung von Daten in Erklärungen über private Interessen verlangen darf, durch die personenbezogene Daten offenbart werden können, einschließlich solcher Daten, die Rückschlüsse auf politische Ansichten, Gewerkschaftszugehörigkeit, sexuelle Orientierung oder andere persönliche Informationen zulassen, und auch nicht ihre Veröffentlichung auf der Website des Verantwortlichen, wodurch allen Personen mit Zugang zum Internet Zugang zu diesen Daten gewährt wird?

Zu Art. 6 Abs. 1 Unterabs. 1 Buchst. c und Abs. 3 DSGVO

In dem vorgelegten Fall diente die Datenverarbeitung durch Veröffentlichung der Inhalte einer Erklärung über private Interessen auf der Website der Ethikkommission der Erfüllung einer rechtlichen Verpflichtung aus Art. 10 des litauischen Gesetzes über den Interessenausgleich. Somit fällt die Datenverarbeitung unter Art. 6 Abs. 1 Unterabs. 1 Buchst. c der DSGVO. Dieser Art. 10 des Gesetzes über den Interessenausgleich muss als Rechtsgrundlage der Datenverarbeitung dann ebenfalls den Anforderungen aus Art. 52 Abs. 1 der Charta und Art. 6 Abs. 3 der DSGVO genügen.

Im Rahmen dieser Verhältnismäßigkeitsprüfung hatte der EuGH zum Schluss die Schwere des Eingriffs in die Grundrechte der Art. 7 und 8 der Charta gegen die Bedeutung der Ziele des Gesetzes über den Interessenausgleich, nämlich die Verhütung von Interessenkonflikten und von Korruption im öffentlichen Sektor, abzuwägen. Hierbei seien die konkreten Ausprägungen und das Ausmaß der Korruption im öffentlichen Dienst des betreffenden Mitgliedstaats zu berücksichtigen, sodass das Ergebnis der Abwägung nicht unbedingt für alle Mitgliedstaaten gleich ausfallen würde. Zudem ist ebenfalls zu berücksichtigen, dass das Allgemeininteresse an der Veröffentlichung personenbezogener Daten aus einer Erklärung über private Interessen je nach Bedeutung der Aufgaben der erklärungspflichtigen Person variieren kann. Eine Online-Veröffentlichung von Daten, die geeignet sind, Informationen über bestimmte sensible Aspekte des Privatlebens der betroffenen Personen und ihm nahestehende Personen, wie z.B. ihre sexuelle Orientierung, zu offenbaren, sei als schwerwiegender Eingriff in die Grundrechte auf Achtung des Privatlebens und auf Schutz der personenbezogenen Daten anzusehen. Aber auch die Korruptionsbekämpfung sei in der Union von großer Bedeutung.

Zur Abwägung führte der EuGH aus: “Im Vergleich zu einer Erklärungspflicht in Verbindung mit einer von der Obersten Ethikkommission ausgeübten Inhaltskontrolle, deren Wirksamkeit der betreffende Mitgliedstaat zu gewährleisten hat, indem er diese Behörde mit den dafür erforderlichen Mitteln ausstattet, stellt eine solche Veröffentlichung einen erheblich schwereren Eingriff in die durch die Art. 7 und 8 der Charta verbürgten Grundrechte dar, ohne dass diese zusätzliche Schwere durch etwaige Vorteile kompensiert werden könnte, die sich hinsichtlich der Verhütung von Interessenkonflikten und der Bekämpfung von Korruption aus der Veröffentlichung aller dieser Daten ergeben könnten.” (EuGH, Urt. v. 1.8.22, AZ: C-184/20, Rn. 112).

Zu Art. 9 Abs. 1 der DSGVO

Der EuGH wurde des Weiteren vor die Frage gestellt, ob auch Daten, aus denen mittels gedanklicher Kombination oder Ableitung auf die sexuelle Orientierung einer Person geschlossen werden kann, ebenfalls unter die besonderen Kategorien personenbezogener Daten nach Art. 9 DSGVO fallen, obwohl die verarbeiteten Daten ihrer Natur nach nicht direkt sensible Daten darstellen. Der EuGH führt dazu aus, dass eine Auslegung des Wortlauts des Art. 9 Abs. 1 DSGVO (“zu”, “über”) dahingehend, dass eine direktere Verbindung zwischen der Verarbeitung und den betreffenden Daten bestehen muss und nicht bereits ein indirektes Schließen auf sensible Informationen ausreicht, nicht im Einklang mit einer kontextbezogenen Analyse der Vorschriften stehen würde. Insbesondere der Normzweck der Gewährleistung eines erhöhten Schutzes vor Datenverarbeitungen, die aufgrund besonderer Sensibilität einen besonders schweren Eingriff in die Grundrechte aus Art. 7 und 8 der Charta darstellen können, spreche für eine weite Auslegung der Begriffe des Art. 9 Abs. 1 DSGVO.

Die Entscheidung zeigt, dass sich der EuGH für den Datenschutz ausspricht und dieser auch im Rahmen wichtiger Themen wie Korruption im öffentlichen Sektor noch großen Einfluss hat und im Einzelfall überwiegen kann. Auch zeigt die weite Auslegung des Begriffs der sensiblen Daten, dass diese auch vorliegen, obwohl es auf den ersten Blick nicht danach aussieht.