Am 09. und 10. Oktober 2025 lädt die Redaktion der PinG – Privacy in Germany junge Wissenschaftler*innen, Referendar*innen, Berufsanfänger*innen und Interessierte zum siebten Mal nach Berlin ein, um gemeinsam über aktuelle Themen des Daten(schutz)rechts zu diskutieren. Es erwartet euch ein spannendes, zweitägiges Rahmenprogramm mit genügend Möglichkeiten zum Austausch in den Räumlichkeiten der Kanzlei Härting Rechtsanwälte.
Um eine vielfältige Diskussion zu ermöglichen, seid ihr gefragt: Ihr möchtet einen Vortrag vor einem jungen Fachpublikum halten? Thesen aus eurem Dissertationsprojekt zur Diskussion stellen oder eine Forschungsfrage beleuchten, um sie zu einem Aufsatz fortzuentwickeln? Ihr habt Lust, neben fachlichem Input neue Kontakte zu anderen Nachwuchswissenschaftler*innen zu knüpfen? Dann freuen wir uns auf euren Beitrag zu dem Nachwuchsworkshop. Gute Beiträge können im Anschluss an den Workshop gerne in der PinG veröffentlicht werden.
Unser diesjähriger Themenschwerpunkt lautet:

Auf Daten müssen Worte folgen
Der Einfluss der Rechtsprechung des EuGH auf die Entwicklung des Daten(schutz)rechts

Ob ihr eine einzelne EuGH-Entscheidung analysiert, eine Rechtsprechungslinie beleuchtet oder eure Thesen zu einem Thema mit den Thesen des EuGH kontrastiert, steht euch völlig frei. Mögliche Fragestellungen sind beispielsweise:

• DSGVO-Konkurrentenklagen: Ebnet der EuGH den Weg für eine neue Abmahnwelle?
• EuGH und KI: Welche Auswirkungen haben bisherige Entscheidungen des EuGH für den rechtskonformen Einsatz Künstlicher Intelligenz?
• Drittstaatentransfer: Kippt das EU-U.S. Data Privacy Framework bereits auf politischer Ebene oder erst vor dem EuGH – und gibt es Auswege aus der Rechtsunsicherheit?
• Immaterieller Schadensersatz: Welche Grundlinien der Rechtsprechung sind nach den zahlreichen Entscheidungen zu Art. 82 DSGVO erkennbar und wie sind diese zu bewerten?
• Plattformökonomie: Welche Kontinuitäten und Brüche in der EuGH-Rechtsprechung sind durch das Inkrafttreten des Digital Services Act zu erwarten?
• Datenschutz und Unionsgrundrechte: Welche Rolle spielen Art. 7, 8 GRCh in der EuGH-Rechtsprechung zu datenbezogenen Rechtsakten?
• EuGH und EGMR: Eine Geschichte der Synergieeffekte oder ein historisches Spannungsverhältnis in Fragen des Datenschutzes?

Diese Fragestellungen sollen eine grobe Orientierung bieten, euch aber selbstverständlich nicht einschränken. Eure Themenvorschläge sind herzlich willkommen.
Wenn ihr einen Vortrag halten möchtet, dann schreibt uns bitte bis zum 20.08.2025 eine E-Mail mit eurem geplanten Vortragsthema nebst kurzer Inhaltsbeschreibung an mail@haerting.de. Ihr erhaltet dann zeitnah eine Rückmeldung von der Redaktion. Eine Teilnahme ohne Vortrag ist ebenfalls möglich.
Die Teilnahme an dem Workshop ist kostenfrei.

Man kann die DSGVO so auslegen, dass sie Digitalisierung ermöglicht. Man kann aber auch jegliches Augenmaß verlieren und die DSGVO als Digitalisierungsbremse missverstehen. Dies zeigt eine neuere Entscheidung aus dem hohen Norden. Ein Gericht aus Schleswig hält die vordigitale Briefpost auch heute noch für das Maß aller Dinge, für das „Mittel der Wahl“.

Wir schreiben das Jahr 2025. Und viele von uns erhalten und versenden jeden Tag Rechnungen, dies nur noch sehr selten auf Papier, meist per E-Mail als PDF. Die Mails werden fast durchgängig mit Transportverschlüsselung versandt, nur ganz selten Ende-zu-Ende verschlüsselt. Das OLG Schleswig hält den Verzicht auf eine Ende-zu-Ende-Verschlüsselung jetzt für datenschutzwidrig und bezeichnet den „Versand von Rechnungen per Post“ als „Mittel der Wahl“ (OLG Schleswig vom 18.12.2024, Az. 12 U 9/24, Rn. 93).

In dem Fall, den das OLG zu entscheiden hatte, ging es um eine Handwerkerrechnung in Höhe von rund 15.000 EUR. Ein Bauunternehmen hatte die Rechnung einem Bauingenieur geschickt, der für den Bauherrn tätig war. Bei dem Ingenieur ging eine gefälschte Version der Rechnung ein mit Bankdaten eines unbekannten Dritten. Die Überweisung ging heraus an das falsche Konto, das Geld verschwand. Wie genau es zu der Fälschung gekommen war, wer auf welchem Server oder Rechner Hacking betrieben hatte, blieb in erster wie zweiter Instanz unklar. Eine Beweisaufnahme, die Anhörung von Zeugen oder gar ein Sachverständigengutachten hielt das Schleswiger OLG offenkundig für entbehrlich.

Das OLG Schleswig bejahte stattdessen einen Datenschutzverstoß des klägerischen Bauunternehmens und einen Schadenersatzanspruch des Bauherrn aus Art. 82 DSGVO. Dass es die Bankdaten der Klägerin waren, die manipuliert wurden, und keine personenbezogenen Daten des Bauherrn störte das OLG nicht. Mit schlanker Hand schloss das Gericht vom konkreten Fall auf die DSGVO und meinte, „der zu entscheidende Fall“ zeige deutlich, dass „hier keine ‚Verarbeitungssituation mit normalen Risiken‘ vorliegt“ und Art. 32 DSGVO daher eine Ende-zu-Ende-Verschlüsselung jedweder Rechnungsmails verlange (a.a.O., Rn. 91).

An der Entscheidung aus Schleswig ist so ziemlich alles verkehrt. Art. 32 DSGVO schreibt die „Sicherheit der Verarbeitung“ und keinen idealen Schutz, sondern ein „angemessenes Schutzniveau“ vor. Die Vorschrift will digitale Kommunikation nicht übermäßig erschweren oder verhindern. Sie verlangt somit genau das Augenmaß, das die norddeutschen Richter vermissen lassen. Und welches “Schutzniveau“ angemessen ist, hängt natürlich ab von den Personendaten, um deren Schutz es der DSGVO geht. Da ist es schlechterdings nicht nachvollziehbar, warum die eigenen Kontodaten des Rechnungsstellers so schützenswert sein sollen, dass er sie gegen seinen eigenen Willen nur Ende-zu-Ende verschlüsselt versenden darf, wie das OLG Schleswig meint. Art. 32 DSGVO ist gewiss nicht als Allheilnorm gedacht, die einen Rechnungsempfängern vor kriminellen Hackern beschützen soll.

Das OLG Schleswig hat die Revision zugelassen. Es bleibt zu hoffen, dass die Klägerin Revision einlegt und der BGH dem OLG die rote Karte zeigt.

Seit 2019 stritt sich ein unzufriedener Kunde mit einem Mobilfunkanbieter, dem er vorwarf, zu Unrecht einen SCHUFA-Eintrag veranlasst zu haben. Der Kunde auf Zahlung „eines Teilbetrags in Höhe von 6.000 EUR des angemessenen immateriellen Schadensersatzes nach Art. 82 DSGVO“ und bekam 2022 vom OLG Karlsruhe 500 EUR zugesprochen. Damit gab sich der Kunde nicht zufrieden und zog vor den Bundesgerichtshof (BGH). Ohne Erfolg. In einem äußerst knapp gefassten Urteil gaben die Karlsruher Richter dem Kläger jetzt zu verstehen, dass er mit den bereits zugesprochenen 500 EUR mehr als gut bedient ist (BGH vom 28.1.2025, Az. VI ZR 183/22).

Nach den Feststellungen der Vorinstanzen hatte der Mobilfunkanbieter die SCHUFA zwar wenige Tage nach dem Eintrag bereits um Löschung gebeten. Dennoch dauerte es fast zwei Jahre, bis der SCHUFA-Eintrag tatsächlich gelöscht war. Dem OLG Koblenz hatte dies in der Vorinstanz ausgereicht, um einen immateriellen Schaden zu bejahen:

„Bereits diese allgemein vorgetragenen potentiellen Schwierigkeiten bei der Teilhabe am Wirtschaftsleben in Form des Abschlusses von Internetkäufen sind ausreichend, einen
ihr bereits entstandenen – und nicht erst zu befürchtenden … – immateriellen Schaden im Sinne der Ausgleichsfunktion darzulegen. .“

(OLG Koblenz vom 18.5.2022 5 U 2141/21, Rn. 85)

Dieser Satz wird nicht jeden überzeugen. Art. 82 DSGVO verpflichtet zum Ersatz des materiellen und des immateriellen Schadens. Der Kläger hatte nicht behauptet, einen in Geld messbaren (und damit materiellen) Schaden erlitten zu haben. Aber stellt es per se bereits einen immateriellen Schaden da, wenn man wirtschaftliche Nachteile befürchten muss? Oder geht es bei einem immateriellen Schaden nicht eher um einen Schaden auf der emotionalen Ebene, um reale Ängste und Sorgen? Um etwas, was man – wie etwa den „Kontrollverlust“, der beim EuGH und beim BGH wiederholt Thema war – tatsächlich befürchtet und nicht nur „befürchten muss“?

Den BGH brauchte all dies nicht zu beschäftigen, da auschließlich der Kunde Revision eingelegt hatte und es somit nicht mehr um die bereits zugesprochenen 500 EUR ging, sondern ausschließlich darum, ob es noch einen kräftigen Nachschlag auf diesen Betrag geben musste. Einen solchen Nachschlag hat der BGH recht kaltschnäuzig verweigert und mit einer verbal schallenden Ohrfeige an die Anwälte verbunden, die die Revision geführt haben:

„Die Revision hat weder geltend gemacht noch ist ersichtlich, dass der vom Berufungsgericht zuerkannte Betrag von 500 EUR nicht ausreichend wäre, um den immateriellen Schaden der Beklagten auszugleichen.“

(BGH vom 28.1.2025, Az. VI ZR 183/22, Rn. 13)

„Weder geltend gemacht noch ersichtlich“: Kein Anwalt, der sich der Mühe einer Rechtsmittelbegründung unterzogen hat, liest eine solche Formulierung gerne.

Am Schluss betont der BGH dann noch, dass sich der Schadensersatzanspruch nach Art. 82 DSGVO ausschließlich an der Höhe des Schadens bemisst (auch wenn natürlich bei einem nicht in Geld messbaren Schaden eine Bezifferung schwerfällt). Das Koblenzer OLG hatte die 500 EUR mit der Begrüdung zugesprochen, die Anspruchshöhe müsse abschreckend bemessen werden und zudem zur „Genugtuung“ beitragen. Dies ist mit der restriktiven Rechtsprechung des EuGH zu Art. 82 DSGVO nicht vereinbar:

„Soweit das Berufungsgericht die Höhe des zuerkannten Schadensersatzes rechtsfehlerhaft auch mit einer Genugtuungs- und generalpräventiven Funktion des Schadensersatzes begründet hat, ist nicht ersichtlich, dass sich dieser Rechtsfehler zum Nachteil der Beklagten ausgewirkt hätte.“

(BGH vom 28.1.2025, Az. VI ZR 183/22, Rn. 14)

Fazit: Das Ende der Fahnenstange war nach Ansicht des BGH offenkundig bereits unterhalb der zugesprochenen 500 EUR erreicht. Bedenkt man den Aufwand und die Kosten, die mit einem solchen Prozess über mehrere Instanzen verbunden ist, kann man keinem Kläger und keiner Klägerin ernsthaft zu einem solchen Gang durch die Instanzen raten.

Erlässt eine Datenschutzbehörde einen Bußgeldbescheid gegen ein Unternehmen, kann das Unternehmen sich auf zwei Gleisen gegen den Bescheid wehren. Zum einen steht es dem Unternehmen frei, Einspruch gegen das Bußgeld einzulegen. Über den Einspruch entscheidet dann – je nach Bußgeldhöhe – das zuständige Amts- oder Landgericht (§ 41 Abs. 1 Satz 3 BDSG). Zugleich kann das Unternehmen Feststellungsklage beim zuständigen Verwaltungsgericht erheben (§ 43 Abs. 1 VwGO). Eine solche (negative) Feststellungsklage wird durch das parallele Bußgeldverfahren nicht ausgeschlossen. Dies hat das OVG Bremen unlängst bestätigt (OVG Bremen vom 2.1.2025, 1 S 395/24).

Die umtriebige Datenschutzbehörde des Landes Bremen hatte gegen ein Unternehmen ein Bußgeld verhängt, weil das Unternehmen seine Mitarbeiter nicht dazu verpflichtet hatte, Corona-Impfzertifikate per E-Mail ausschließlich mit Transportverschlüsselung zu versenden. Dem Bußgeld lag eine anonyme Anzeige bei der Datenschutzbehörde zugrunde. Nähere Einzelheiten zum Sachverhalt sind der Entscheidung des OVG Bremen nicht zu entnehmen.

Art. 32 DSGVO verpflichtet den Datenverarbeiter zur Sicherheit der Verarbeitung. Unter welchen Umständen sich aus Art. 32 DSGVO Pflichten zur Verschlüsselung ableiten lassen, lässt sich der Norm ebenso wenig entnehmen wie nähere technische Anfoderungen an die Verschlüsselungstechnik. Gerichtliche Entscheidungen, die Klarheit schaffen, gibt es nicht. In der Kommentarliteratur findet sich zu Art. 32 DSGVO ein breites Meinungsspektrum.

Im November 2023 rief das betroffene Unternehmen das VG Bremen an mit einer als „vorbeugend“ bezeichneten Feststellungsklage, um klären zu lassen, ob ein Verstoß gegen die Verpflichtung zur Datensicherheit vorlag. „Schnee von gestern“, sagte das Verwaltungsgericht zunächst und zweifelte an einem Feststellungsinteresse. Es gehe um Vorgänge aus der Corona-Zeit. Und die liege bekanntlich „vollständig in der Vergangenheit“. Da mittlerweile jedoch ein Bußgeldbescheid der Bremer Datenschützer vorlag, hielt das klägerische Unternehmen an seiner Klage fest. Das VG Bremen wies die Klage dennoch als unzulässig ab. Der Streitgegenstand sei identisch mit dem inzwischen anhängigen Einspruchsverfahren gegen das Bußgeld. Die Zuständigkeitsbestimmungen des Bußgeldrechts (§§ 62 und 67 OWiG) ließen ein paralleles verwaltungsgerichtliches Streitverfahren nicht zu.

Damit hatte es sich das Verwaltungsgericht jedoch viel zu einfach gemacht. Das OVG Bremen hob die Entscheidung auf und erklärte die (negative) Feststellungsklage zurecht für zulässig, sodass das VG Bremen jetzt über die Begründetheit entscheiden muss und nicht umhin kommt, sich mit Art. 32 DSGVO intensiv zu beschäftigen. Denn nach der „Damokles-Rechtsprechung“ des BVerfG (BVerfG vom 7.4.2003, 1 BvR 2129/02) und des BVerwG ist ein laufendes Bußgeldverfahren kein Hindernis für eine verwaltungsgerichtliche Feststellungsklage. Ganz im Gegenteil begründet bereits ein laufendes Verfahren (auch ohne abschließenden Bescheid) ein Feststellungsinteresse, das eine Zulässigkeit der Klage nach § 43 Abs. 1 VwGO begründet. Denn niemanden (ob Unternehmer oder Privatperson) ist es zuzumuten, eine Rechtsfrage ausschließlich „von der Anklagebank“ aus zu führen – als Beschuldiger in einem Straf- oder Bußgeldverfahren (ausführlich Härting/Konrad, DSGVO im Praxistest 2020, Rn. 434 ff.).

Renate Künast ist für ihren langen Atem bekannt. Und langen Atem braucht eine Klägerin beim langen Weg durch die Gerichtsinstanzen. Heute hat der BGH einen „Künast ./. Facebook“-Fall nach § 148 ZPO ausgesetzt. Der BGH ist der Auffassung, er müsse die Entscheidung des EuGH zu einem rumänischen Fall abwarten. Dort geht es um das komplizierte Verhältnis zwischen der DSGVO und den Haftungsprivilegien der Internetprovider, die ursprünglich in der E-Commerce-Richtlinie und jetzt im Digital Services Act (DSA) geregelt sind.

Es geht in dem Künast-Fall um geschmacklose Memes, in denen ein Foto der Grünen-Politikerin mit der Aussage „Integration fängt damit an, dass Sie als Deutscher mal türkisch lernen“ verbunden wurde. Eine Aussage, die nicht von Künast stammt und frei erfunden ist. Der Meta-Konzern wurde als Betreiber von Facebook erst- und zweitinstanzlich nicht nur zur Löschung „identischer“ Memes, sondern auch zur Löschung „kerngleicher Memes“ verurteilt. Gegen das Berufungsurteil des OLG Frankfurt richtete sich die Revision des US-Konzerns. Die Argumentation der Revision überrascht wenig. Man wendet ein, das Auffinden „kerngleicher“ Memes sei weder möglich noch zumutbar. Um einer solchen Verpflichtung nachzukommen, genüge eine automatisierte Suche nicht. Zu einer manuellen Suche sei ein Plattformbetreiber europarechtlich nicht verpflichtet.

Das LG Frankfurt/Main und das OLG Frankfurt hatten den Fall anhand der §§ 1004, 823 BGB geprüft – nach den Grundsätzen des allgemeinen Persönlichkeitsrecht. Falsch, so der BGH, denn eine Anwendung der DSGVO komme in Betracht – eine Anwendung des Art. 17 DSGVO (Löschung) und des Art. 82 DSGVO (Schadensersatz), da Künast auch (in zweiter Instanz erfolglos) „Schmerzensgeld“ eingeklagt hatte und in die Anschlussrevision gegangen war.

Nun aber stellt sich die spannende Frage, wie sich Verpflichtungen und Ansprüche nach der DSGVO zu den Haftungsprivilegien der Plattformbetreiber verhalten. Um dieses schwierige Verhältnis geht es in dem rumänischen Fall, den der EuGH demnächst entscheiden wird. Erst vor wenigen Tagen legte der Generalanwalt beim EuGH seine Schlussanträge vor. Nach Auffassung des Generalanwalts verläuft die Scheidelinie zwischen Verantwortlichem und Auftragsverarbeiter. Der Verantwortliche könnennicht zugleich „neutraler“ Host Provider und damit haftungsprivilegiert sein. Beim Auftragsverarbeiter verhalte sich dies anders. Er sei als „neutraler“ Host Provider durch Art. 6 DSA (vormals Art. 14 E-Commerce-Richtlinie) von Haftung befreit. Dies bedeutet insbesondere, dass nach Auffassung des EuGH-Generalanwalts der Auftragsverarbeiter als „neutraler“ Host Provider keinen Schadensersatz leisten muss, auch wenn alle Voraussetzungen des Art. 82 DSGVO erfüllt sind.

Prognose für den Künast-Fall? Dass Meta bei der Facebook-Plattform „neutraler“ Host Provider ist, lässt sich kaum ernsthaft bezweifeln. Schlechte Aussichten somit für ein Schmerzensgeld, wenn der EuGH dem Generalanwalt folgen sollte. Zur Störerhaftung und damit zu den Unterlassungs- bzw. Löschpflichten des Meta-Konzerns wird man vom EuGH wenig Hilfreiches erwarten dürfen, da sich in dem rumänischen Fall keine entsprechenden Fragen stellen. Renate Künast wird daher noch eine ganze Weile warten müssen, bis der BGH sich die selbst gestellten Fragen zu Art. 17 DSGVO noch einmal vorlegt.

BGH: https://juris.bundesgerichtshof.de/cgi-bin/rechtsprechung/document.py?Gericht=bgh&Art=pm&Datum=2025&nr=140708&anz=35&pos=0 und https://juris.bundesgerichtshof.de/cgi-bin/rechtsprechung/document.py?Gericht=bgh&Art=pm&Datum=2025&nr=140538&anz=35&pos=8

OLG Frankfurt: https://www.jurpc.de/jurpc/show?id=20240027

LG Frankfurt/Main: https://www.rv.hessenrecht.hessen.de/bshe/document/LARE220002783

EuGH-Generalanwalt: https://curia.europa.eu/juris/document/document.jsf?text=&docid=295080&pageIndex=0&doclang=DE&mode=req&dir=&occ=first&part=1

Das Urteil des EuGH zur Datenerhebung durch die französische Bahngesellschaft SNCF (EuGH vom 9.1.2025, C-394/23, https://curia.europa.eu/juris/document/document.jsf?text=&docid=294110&pageIndex=0&doclang=DE&mode=req&dir=&occ=first&part=1&cid=10404346) ist Wasser auf die Mühlen aller Datenschutzskeptiker. In diesem Urteil hat der EuGH entschieden, dass die französische Bahn nicht abfragen darf, ob der Kunde ein „Herr“, eine „Frau“ oder divers ist. Die Bahngesellschaft wandte vergeblich ein, sie wolle ihre Kundinnen gerne höflich anreden. Nichts da, sagt der Gerichtshof in Luxemburg. Eine solche Anrede sei nicht „unbedingt notwendig“. Zudem verstoße die Erfassung des Geschlechts gegen den Grundsatz der Datenminimierung.

SNCF hatte sich darauf gestützt, dass Art. 6 Abs. 1 Satz 1 lit. b DSGVO die Datenerfassung erlaubt, wenn Personendaten zur Vertragserfüllung „erforderlich“ sind. Der Bahnkunde dürfe Höflichkeit erwarten. Daher sei es „erforderlich“, das Geschlecht des Kunden abzufragen, um die Person – wie üblich – mit „Herr“ oder „Frau“ (oder auch divers) anzureden. Der EuGH sah dies anders. Seit der Meta/Kartellamt-Entscheidung vom 4.7.2023 (C-252/21, https://curia.europa.eu/juris/document/document.jsf?text=&docid=275125&pageIndex=0&doclang=DE&mode=req&dir=&occ=first&part=1) legen die Luxemburger Richterinnen und Richter die DSGVO an dieser Stelle recht eigenwillig aus. „Erforderlich“ für den Vertrag ist nach der Auffassung des EuGH längst nicht alles, was die Vertragspartner vereinbaren. Weit gefehlt: Der EuGH verlangt eine Prüfung, ob die Datenerfassung nicht nur „erforderlich“ ist, sondern „objektiv unerlässlich“. Der Anwendungsbereicht des Art. 6 Abs. 1 Satz 1 lit. b DSGVO wird hierdurch erheblich eingeengt.

Höflichkeit im Bahnverkehr mag für manche Kundin und manchen Kunden „unerlässlich“ erscheinen, nicht jedoch für den EuGH, der meint, es sei „weniger einschneidend“, den Kunden „geschlechtsneutral“ mit „allgemeinen und inklusiven Höflichkeitsformeln“ anzureden:

„Es scheint nämlich eine praktikable und weniger einschneidende Lösung zu geben, da sich das betreffende Unternehmen – sei es gegenüber Kunden, die ihre Anrede nicht angeben möchten, sei es generell – für eine Kommunikation entscheiden könnte, die auf allgemeinen und inklusiven Höflichkeitsformeln beruht, die in keinem Zusammenhang mit der angenommenen Geschlechtsidentität dieser Kunden stehen.“

Was genau mit „allgemeinen und inklusiven Höflichkeitsformeln“ gemeint sein soll, sagt der EuGH nicht. „Liebe/r Kundin/Kunde“?, „Sehr geehrte Reisende (m/w/d)“?, „Hallo Du“ oder „Hallo Sie“? Dass eine solche Anrede, die mehr „Formel“ als Anrede ist, denselben Zweck der Höflichkeit erfüllt, darf bezweifelt werden. Noch stärker muss jedoch bezweifelt werden, dass es richtig ist, wenn wir Juristinnen und Juristen – sei es in Paris oder Berlin oder auch in Luxemburg – uns Sachkunde anmaßen, die wir nicht haben. Welche Regeln der Höflichkeit im Kundenverkehr gelten, wissen wir Datenschützer und Juristinnen nicht besser als die Expertinnen und Experten, die in einem Serviceunternehmen arbeiten. Die SNCF-Entscheidung des EuGH ist daher nicht nur schlecht begründet. Sie ist übergriffig.

Stefan Brink und ich besprechen die Entscheidung in der neuesten Folge von „Follow the Rechtsstaat“, https://ping.podigee.io/209-new-episode.

Eine neue EuGH-Entscheidung zeigt den Datenschutzbehörden neue Wege auf, mit der großen Zahl von Beschwerden umzugehen. Der EuGH vertritt die Auffassung, bei missbräuchlichen oder offensichtlich unbegründeten Beschwerden könnten und sollten die Behörden Gebühren erheben und erst dann tätig werden, wenn die Gebühren bezahlt worden sind.

Art. 57 Abs. 4 DSGVO räumt den Datenschutzbehörden das Recht ein, bei offenkundig unbegründeten oder exzessiven Anfragen für ihr Tätigwerden eine Gebühr zu verlangen oder ihr Tätigwerden zu verweigern. Obwohl man immer wieder hört, dass es bei den Behörden zahlreiche „Stammkunden“ gibt, die von ihrem Beschwerderecht in ganz „besonderem“ Umfang Gebrauch machen, nutzen die Behörden kaum die Möglichkeit eines Gebührenbescheids aus Art. 57 Abs. 4 DSGVO.

In einem jüngst ergangenen Urteil beschäftigte sich der EuGH mit einem Aktivisten aus Österreich (EuGH vom 9.1.2025, Az. C-416/23). Dieser hatte systematisch auf Grundlage von Art. 15 DSGVO von verschiedenen Verantwortlichen Auskunft über die Verarbeitung der ihn betreffenden personenbezogenen Daten verlangt. Immer dann, wenn diese Auskunft unbeantwortet blieb oder verweigert wurde, beschwerte er sich bei der Österreichischen Datenschutzbehörde (im Folgenden: DSB) auf der Grundlage seines in Art. 77 Abs. 1 DSGVO verbrieften Beschwerderechts. Dieses ermöglicht es jeder betroffenen Person, sich bei einer Aufsichtsbehörde über einen Datenschutzverstoß zu beschweren. Bei der DSB reichte er auf diesem Wege innerhalb eines Zeitraums von 20 Monaten 77 Beschwerden gegen verschiedene Verantwortliche ein.

Bei einer im Februar 2020 eingereichten Beschwerde war die Geduld der DSB am Ende, die kurzum auf Grundlage von Art. 57 Abs. 4 DSGVO die Behandlung der Beschwerde verweigerte. In erster Instanz gab das Bundesverwaltungsgericht, welches in Österreich die zentrale Anlaufstelle für Beschwerden gegen Entscheidungen der Bundesbehörden ist, der Beschwerde statt. Der mit der Revision befasste Verwaltungsgerichtshof legte dem EuGH dann drei Fragen vor, von denen vor allem die letzteren beiden große Relevanz aufweisen: Reicht für das Vorliegen von „exzessiven Anfragen“ bereits eine bestimmte Zahl von Anfragen an die Behörde innerhalb eines bestimmten Zeitraums aus? Und weiter: Kann die Behörde zwischen den Handlungsmöglichkeiten – Gebührenerhebung und Verweigerung der Anfrage – frei wählen, oder ist eine Alternative vorrangig zu berücksichtigen?

In seinem Urteil legt der EuGH fest, dass eine hohe Zahl der Beschwerden zwar ein Indiz für exzessive Anfragen ist (Rn. 57), jedoch für sich genommen noch nicht das Vorliegen exzessiver Anfragen beweist (Rn. 55). Stattdessen sei es Aufgabe der Behörde, eine Missbrauchsabsicht nachzuweisen bei der Anwendung des Art. 57 Abs. 4 DSGVO (Rn. 59). Wann im Detail eine Missbrauchsabsicht anzunehmen ist, lässt das Gericht jedoch offen. Dies wird Datenschutzbehörden enttäuschen, da ihnen kein Maßstab an die Hand gegeben wird, um über das Vorliegen von Rechtsmissbrauch im konkreten Fall zu entscheiden.

Mit noch weniger Konkretheit beleuchtet der EuGH das genaue Verhältnis zwischen den Handlungsoptionen der Behörden. Unter Hinweis auf EG 129 DSGVO hält das Gericht fest, dass die Behörden ein Wahlrecht zwischen den beiden Optionen haben (Rn. 70). In verklausulierter Form legt der EuGH den Behörden zugleich nahe, vorrangig eine Gebühr zu verlangen, da diese zum einen eine abschreckende Wirkung habe und zum anderen die Rechte der betroffenen Person in geringerem Maße beeinträchtige (Rn. 68 f.). Anhand der Verwendung des Konjunktivs („In diesem Zusammenhang könnte es eine Aufsichtsbehörde für angebracht halten“, Rn. 68) zeigt sich die Zurückhaltung des Gerichts.

Zur Höhe der Gebühr, die eine Behörde im Einzelfall erheben kann, äußert sich der EuGH auch. Ihm zufolge sei die Gebühr „auf der Grundlage der Verwaltungskosten für den durch exzessive Beschwerden verursachten Mehraufwand zu verlangen“.

Das BVerfG hat am heutigen Tage seine Leitsatzentscheidung vom 8.10.2024 in der Sache rundum die Bekämpfung von s.g. „Cybergefahren“ durch den Bundesnachrichtendienst (BND) nach dem Gesetz zur Beschränkung des Brief-, Post- und Fernmeldegeheimnisses (Artikel 10-Gesetz G 10) veröffentlicht. § 5 Abs. 1 Satz 3 Nr. 8 G 10, der die Abwehr dieses neuen Gefahrenbereichs regelt, ist nicht mit dem Grundgesetz vereinbar und muss vom Gesetzgeber überarbeitet werden (Beschluss v. 8.10.2024, 1 BvR 1743/16 – 1 BvR 2539/16 und 1 BvR 2539/16). Eine der beiden Verfassungsbeschwerden, über die der BVerfG entschieden hat, wurde von HÄRTING Rechtsanwälte erwirkt.

Weiterlesen

Der EuGH hat in seinem neuesten Schrems-Urteil entschieden, dass Informationen über die eigene sexuelle Orientierung auch dann als „besonders sensibel“ gelten, wenn der Betroffene aus seiner Orientierung kein Geheimnis macht (EuGH vom 4.10.2024, Az. C-446/21).

Zum ersten, zum zweiten, zum dritten: Max Schrems – Europas wohl bekanntester Datenschutz-Aktivist – ist wieder einmal erfolgreich gegen Facebook vor den EuGH gezogen. Im Mittelpunkt der Debatte steht Artikel 9 der DSGVO, gegen welchen Meta Platforms Ireland, Bereitsteller der Dienste von Facebook in der Europäischen Union, nach Ansicht von Schrems und jener des EuGH verstoßen haben soll. Konkret legte der Oberste Gerichtshof aus Österreich dem EuGH die Frage vor, ob Meta berechtigt war, „andere Daten“ zur sexuellen Orientierung von Schrems zu verarbeiten, nachdem sich Schrems bei einer öffentlich zugänglichen Podiumsdiskussion im Februar 2019 über seine Homosexualität geäußert hatte (s. Rn. 42). Anlass zu dieser Frage gab die auf ein homosexuelles Zielpublikum gerichtete Werbung, welche Schrems auf Facebook erhielt. Da er auf seinem Facebook-Profil keine sensiblen Daten angegeben und auch eine Verwendung seines Profils durch Meta für gezielte Werbung abgelehnt hatte (s. Rn. 88), störte er sich am Erhalt jener Werbung. Um welche Werbung es sich dabei genau handelt und welche Daten von Meta über ihn erhoben wurden, geht jedoch aus dem Urteil nicht hervor.

Ein genauerer Blick auf die Ausführungen des EuGH erweist sich als erforderlich für die weitere Analyse. In einem ersten Schritt stellt dieser die Verarbeitung von personenbezogenen Daten zur sexuellen Orientierung durch Meta fest. Fraglich blieb damit, ob durch die Äußerungen von Schrems zu seiner Sexualität bei einer öffentlichen Podiumsdiskussion der Ausnahmetatbestand des Art. 9 Abs. 2 e) DSGVO erfüllt ist (s. Rn. 42). Dieser erlaubt eine Verarbeitung sensibler Daten, die die betroffene Person öffentlich gemacht hat.

Nun würde man unbefangen eigentlich meinen, dass jemand, der offen schwul ist und in der Öffentlichkeit kein Geheimnis daraus macht, ein Paradefall dieses Erlaubnistatbestands ist. Nicht so jedoch der EuGH. Zwar erkennt dieser an, dass Schrems mit seiner Äußerung seine sexuelle Orientierung öffentlich gemacht hat. Jedoch bleibe der Schutz vor einer Verarbeitung „anderer Daten“ zur sexuellen Orientierung von Schrems unberührt (s. Rn. 55 f.). Welche anderen Daten der EuGH hiermit meint, bleibt offen. Nebulös heißt es, es gehe um Daten, die Meta von „Anwendungen und Websites Dritter“ erhalten hat (s. Rn. 59). Folgt man dieser knappen und nicht sehr eingängigen Begründung, kommt man zu der Erkenntnis, dass der EuGH die Verarbeitung der öffentlichen Äußerungen, die Schrems getätigt hat, aber auch nur diese Äußerungen, gestattet. Hingegen dürfte jedes andere Datum, welches Schrems‘ Homosexualität bestätigt, wie etwa die auf einer Dating-Website eingestellten Präferenzen zum Geschlecht der vorgeschlagenen Partner, nicht verwertet werden. Warum eine Information, die bereits von der betroffenen Person öffentlich preisgegeben wurde, nun nicht dazu führt, dass andere Daten, welche die bereits offengelegte Orientierung allenfalls bestätigen können, verarbeitet werden dürfen, bleibt auch nach eingängiger Lektüre des Urteils rätselhaft.

The Institute for Information Law at the University of Amsterdam announces the 11th edition of the Annual IViR Summer Course on Privacy Law and Policy. The course will extend over a five-day period from July 1 to 5, 2024, at de Burcht, a historic building in the center of Amsterdam. This year the summer course will focus on the rules which apply to data-driven digital technologies and AI in both the EU and the US. Think of the requisite data to train machine learning algorithms, algorithms which personalize content for users and prediction algorithms which can affect people in various ways. Privacy law and policy already apply to many of the data-driven processes at a time when the EU and the US adopt new rules to govern risky AI. Weiterlesen