EuGH-Generalanwalt zur Frage des anwendbaren Datenschutzrechts und der Zuständigkeit von Datenschutzbehörden

Heute hat der Generalanwalt („GA“) am Europäischen Gerichtshof, Pedro Cruz Villalón, seine Schlussanträge in der Sache „Weltimmo“ (C-230/14) vorgelegt. In diesem Vorabentscheidungsersuchen geht es um zwei wichtige Fragen des europäischen Datenschutzrechts:

  1. Welches Recht ist innerhalb der EU anwendbar auf ein Unternehmen, mit alleinigem Sitz in einem Mitgliedstaat, das jedoch über Internetseiten Dienstleistungen auch in anderen Ländern anbietet?
  2. Welche Kompetenzen besitzen Datenschutzbehörden, wenn es darum geht, gegen Unternehmen vorzugehen, die nicht im Mitgliedstaat der Behörde niedergelassen sind und wenn nicht das Datenschutzrecht des Mitgliedstaates dieser Behörde anwendbar ist?

Zu der Vorlagefrage selbst und auch zu dem Sachverhalt habe ich bereits ausführlich berichtet. Ich möchte mich daher nachfolgend auf eine kurze Zusammenfassung der Feststellungen des Generalanwalts beschränken.

Zum anwendbaren Recht und zum Begriff der Niederlassung (Nr. 1)

In dem Verfahren geht es hinsichtlich des anwendbaren Rechts um Art. 4 Abs. 1 lit. a) der Datenschutz-Richtlinie (RL 95/46/EG, „DS-RL“) in dem es heißt:

Jeder Mitgliedstaat wendet die Vorschriften, die er zur Umsetzung dieser Richtlinie erlässt, auf alle Verarbeitungen personenbezogener Daten an: a) die im Rahmen der Tätigkeiten einer Niederlassung ausgeführt werden, die der für die Verarbeitung Verantwortliche im Hoheitsgebiet dieses Mitgliedstaats besitzt.

Zunächst stellt der GA fest, dass diese Vorschrift als Norm fungiert, die im Verhältnis der Mitgliedstaaten zueinander das anwendbare Recht bestimmt. Art. 4 Abs. 1 lit. a ist daher die entscheidende Vorschrift, die als Kollisionsnorm zwischen den Rechtsordnungen der verschiedenen Mitgliedstaaten das anwendbare Recht bestimmt. Mit dieser Aussage des GA wird meines Erachtens auch deutlich, dass eine Rechtswahl des Datenschutzrechts derzeit gerade nicht möglich ist. Welches nationale Datenschutzrecht bindend gilt, ergibt sich eben gerade aus der oben bezeichneten Kollisionsnorm.

Für die korrekte Anwendung von Art. 4 Abs. 1 lit. a DS-RL kommt es entscheidend darauf an, wie der Begriff der „Niederlassung“ ausgelegt wird. So prüft dann auch der GA zunächst, ob Weltimmo eine Niederlassung auf ungarischem Staatsgebiet besitzt. In einem zweiten Schritt wird es um das Merkmal „im Rahmen der Tätigkeit“ gehen und die Frage zu beantworten sein, ob die Datenverarbeitung im Bereich der Tätigkeit dieser Niederlassung stattgefunden hat.

Zunächst geht der GA darauf ein, dass das Unionsrecht besonderen Wert auf einen Begriff der Niederlassung legt, die sich auf die effektive Ausübung der wirtschaftlichen Tätigkeiten und auf einen gewissen Grad an Beständigkeit stützt. Der GA schlägt vor, den Grad an Beständigkeit der Einrichtung als auch die effektive Ausübung der wirtschaftlichen Tätigkeiten unter Beachtung des besonderen Charakters dieser Tätigkeiten und der in Rede stehenden Dienstleistungen auszulegen.

Danach geht der GA speziell auf die Situation eines ausschließlich über das Internet tätigen Unternehmens ein.

Nach Ansicht des GA kann unter bestimmten Umständen ein Vertreter eines Unternehmens mit dauerhafter Präsenz und wenig mehr als einem tragbaren Computer eine ausreichende Struktur darstellen, um eine effektive, tatsächliche Tätigkeit mit einem ausreichenden Grad an Beständigkeit in einem anderen Mitgliedstaat durchzuführen, als jenem der Hauptniederlassung des Unternehmens. Daher sei es, laut dem GA, notwendig, bei der Bewertung dieser personellen und technischen Mittel sorgfältig die Eigenheiten von Unternehmen zu berücksichtigen, die Leistungen über das Internet anbieten, wobei auf die Besonderheiten der jeweiligen konkreten Situation einzugehen ist.

Zudem macht der GA weitere wichtige Anmerkungen, zu den gerade nicht mit in die Prüfung des anwendbaren Rechts einzubeziehenden Faktoren. So haben, meines Erachtens richtigerweise,

„der Ort, von dem aus die Daten eingegeben wurden, der Mitgliedstaat, auf den die Dienstleistungen ausgerichtet sind, die Staatsangehörigkeit der Betroffenen oder der Ort, an dem die Eigentümer des Unternehmens ihren Wohnsitz haben“

keinen direkten und entscheidenden Einfluss auf die Bestimmung des anzuwendenden Rechts.

Hinsichtlich des weiteren Merkmals von Art. 4 Abs. 1 lit. a DS-RL („im Rahmen der Tätigkeit“), verweist der AG vor allem auf das Urteil des EuGH in Sachen „Google Spain“ (C-131/12).

Für den GA ist jedoch klar, dass wenn die tatsächlichen Feststellungen ergeben sollten, dass Weltimmo ausschließlich in der Slowakei niedergelassen ist, auch nicht ungarisches Datenschutzrecht gelten kann. Selbst wenn Dienstleistungen in der Slowakei angeboten werden. Der GA dazu:

… in dem Sinne zu beantworten, dass Art. 4 Abs. 1 Buchst. a der Richtlinie 95/46 es der ungarischen Datenschutzbehörde verwehrt, das ungarische Recht auf einen für die Datenverarbeitung Verantwortlichen anzuwenden, der ausschließlich in einem anderen Mitgliedstaat niedergelassen ist.

Diese Aussage, so sie denn der EuGH in seinem späteren Urteil bestätigen sollte, wäre für in der EU niedergelassene Unternehmen, die ihre relevante Hauptniederlassung in einem Land konzentrieren, besonders relevant.

Zur zuständigen Aufsichtsbehörde und zu den möglichen Aufsichtsmaßnahmen (Nr. 2)

Sodann geht der GA auf die Vorlagefrage ein, ob es denn möglich wäre, dass zwar slowakisches Datenschutzrecht anwendbar wäre, die ungarische Datenschutzbehörde dennoch Sanktionen verhängen oder die Rechtswidrigkeit der Datenverarbeitung feststellen könnte.

Bereits vorweg: der GA verneint diese Möglichkeit.

Der Kern der Frage, welche Kompetenzen mitgliedstaatliche Aufsichtsbehörden innerhalb der EU über Landesgrenzen hinweg ausüben können, ist von besonderer Praxisrelevanz und spielt auch im Rahmen der finalen Verhandlungen zur Datenschutz-Grundverordnung und dem sog. One stop shop eine wichtige Rolle. Immerhin geht es um das Handeln staatlicher Institutionen und die Ausübung hoheitlicher Befugnisse in anderen Mitgliedstaaten. So führt auch der GA aus:

In der Tat ist im Zusammenhang mit der Zuständigkeit öffentlicher Stellen und folglich mit der Ausübung öffentlich-rechtlicher Hoheitsbefugnisse, insbesondere der Sanktionsbefugnis, unbedingt von den Anforderungen auszugehen, die sich aus den Grundsätzen der territorialen Souveränität des Staates, der Gesetzmäßigkeit der Verwaltung und damit letztlich dem Begriff des Rechtsstaats ergeben.

Die Ausübung von Sanktionsgewalt kann, so der GA, grundsätzlich nicht außerhalb der gesetzlichen Grenzen stattfinden, in denen eine Behörde nach ihrem nationalen Recht ermächtigt ist. Eine Abweichung von dieser Regel scheint zumindest eine spezielle gesetzliche Grundlage zu erfordern, die die Anwendung des öffentlichen Rechts eines anderen Mitgliedstaats erlaubt und abgrenzt. Eine solche gesetzliche Regelung existiert derzeit jedoch nicht. Zu untersuchen ist hier insbesondere Art. 28 Abs. 6 S. 1 DS-RL. Dieser lautet:

Jede Kontrollstelle ist im Hoheitsgebiet ihres Mitgliedstaats für die Ausübung der ihr gemäß Absatz 3 übertragenen Befugnisse zuständig, unabhängig vom einzelstaatlichen Recht, das auf die jeweilige Verarbeitung anwendbar ist.

Der referenzierte Art. 28 Abs. 3 DS-RL listet verschiedene Rechte der Aufsichtsbehörde auf (Untersuchungsbefugnis, Einwirkungsbefugnis und Klagebefugnis). Jedoch gerade nicht die Sanktionsbefugnis. Zwar erlauben die Vorschriften der DS-RL nach Ansicht des GA, dass die Behörde eines Mitgliedstaats die in ihrem Hoheitsgebiet ausgeübten Tätigkeiten überwacht, und zwar auch dann, wenn das Recht eines anderen Mitgliedstaats anwendbar ist. Letztlich besitzen die Aufsichtsbehörden unabhängig vom im Einzelfall anzuwendenden Recht die Untersuchungs- und Einwirkungsbefugnisse, die in Art. 28 Abs. 3 DS-RL genannt sind, allerdings allein in der in ihrem nationalen Recht geregelten Form, im Bereich ihrer geografischen Zuständigkeit.

Möchte also eine Aufsichtsbehörde eines Mitgliedstaates, dessen Datenschutzrecht auf die betreffende Datenverarbeitung nicht anwendbar ist, auch Sanktionen gegen den Verantwortlichen verhängen, so kann sie dies nicht selbst tun. Jedoch hat sie die Möglichkeit, unter Berücksichtigung der Verpflichtung zur Zusammenarbeit der Datenschutzbehörden nach Art. 28 Abs. 6 DS-RL die Behörde des Mitgliedstaats, dessen Recht auf die Datenverarbeitung anwendbar ist, zu ersuchen, die eventuelle Feststellung eines Verstoßes gegen das anwendbare Recht und die eventuelle Verhängung von Sanktionen auf der Grundlage der eingeholten Informationen vorzunehmen. Die unzuständige Behörde besitzt nach Ansicht des GA also durchaus ein Grundgerüst an möglichen Handlungen, jedoch steht ihr nicht die Befugnis zu, eine Datenverarbeitung eines Verantwortlichen aus einem anderen Mitgliedstaat offiziell als rechtswidrig zu bescheiden oder etwa ein Bußgeld zu verhängen.

In Deutschland dürften diese Ausführungen insbesondere für Verfahren gegen Facebook interessant sein. Denn wenn irisches Datenschutzrecht gilt (also keine relevante Niederlassung in Deutschland existiert), so ist die irische Datenschutzbehörde nach Ansicht des GA zumindest für Sanktionen und die Feststellung von rechtswidrigen Verarbeitungen allein verantwortlich.

Der GA führt abschließend aus:

Insbesondere müssen eine eventuelle Feststellung der Rechtswidrigkeit der Datenverarbeitung und die gleichfalls eventuelle Verhängung von Sanktionen, die sich daraus ergibt, in jedem Fall durch die Behörde des Staates erfolgen, dessen materielles Recht nach dem Anknüpfungskriterium von Art. 4 Abs. 1 Buchst. a der Richtlinie auf die Datenverarbeitung anwendbar ist.

All diese Fragen sind hiermit freilich nicht final entschieden. Das Urteil des EuGH steht noch aus. Die Thematik ist jedoch, wie erwähnt, von besonderer Praxisrelevanz und dürfte gerade auch im Trilog zur Datenschutz-Grundverordnung auf den Tisch kommen.

Gericht: Namen und Kontaktdaten von Amtsmitarbeitern dürfen nicht im Internet veröffentlicht werden

Der Bayerische Verwaltungsgerichtshof hat mit Urteil vom 25.03.2015 (Az. 5 B 14.2164) entschieden, dass personenbezogene Daten von Behördenmitarbeitern (etwa Name, Telefon- und Faxnummer) nicht einfach öffentlich im Internet von Dritten zum Abruf bereitgehalten werden dürfen. Es fehle diesbezüglich an einem berechtigten Interesse des Veröffentlichenden und auch das schutzwürdige Interesse des Betroffenen würde, wenn die Informationen ansonsten nicht öffentlich verfügbar sind, überwiegen.

Der Fall
Eine kommunale Wählervereinigung in der Rechtsform eines eingetragenen Vereins, deren Zweck die Teilnahme an Kommunalwahlen ist, wendete sich gegen eine Anordnung des Bayerischen Landesamts für Datenschutzaufsicht (LDA) zur Löschung personenbezogener Daten. Grundlage dieser verwaltungsrechtlichen Anordnung gegen den Verein war, dass dieser auf seiner Homepage den E-Mail-Verkehr zwischen dem Vorstand und einer Angestellten im öffentlichen Dienst im Bürgerbüro des Umweltministeriums veröffentlichte. In der von dem Verein veröffentlichten Adresszeile und in der Signatur der E-Mails waren der Anfangsbuchstabe des Vornamens der Angestellten, ihr Nachname, ihre dienstliche E-Mailadresse, die um die letzten beiden Ziffern gekürzte Telefonnummer, die dienstliche Faxnummer und die Dienstadresse angegeben.

Die Entscheidung
Das Gericht entschied, dass sich der Kläger nicht auf das sogenannte Medienprivileg nach § 41 BDSG berufen kann und dass auch sonst keine Rechtsvorschrift ersichtlich sei, die die Nennung personenbezogener Daten Dritter auf der Homepage erlauben würde.

Veröffentlichung der Daten
Nach Ansicht des Gerichts wurden durch die Veröffentlichung des Mail-Verkehrs und der darin enthaltenen Informationen auf der Homepage die personenbezogenen Daten der Behördenmitarbeiterin in der Weise verarbeitet, das Dritte diese Daten einsehen oder abrufen konnten. Damit lag nach Auffassung des Gerichts eine Datenübermittlung nach § 3 Abs. 4 S. 2 Nr. 3 b) BDSG vor. Was das Gericht hier jedoch unbeachtet lässt ist, dass nach dem Gesetz diese Daten auch tatsächlich eingesehen oder abgerufen werden müssen („einsieht oder abruft“). Im Ergebnis liegt freilich dennoch eine Datenverarbeitung vor, sei es als Speicherung (§ 3 Abs. 4 S. 2 Nr. 1 BDSG) oder in der Form der Weitergabe (§ 3 Abs. 4 S. 2 Nr. 3 a) BDSG), denn für die Weitergabe reicht die Möglichkeit der Kenntnisnahme der Informationen durch einen Dritten aus. Mit Blick auf die Veröffentlichung von Daten auf einer Internetseite entscheid dies der EuGH im Jahre 2003 (C-101/01) noch anders, wobei dieser Entscheidung wohl auch andere Erwägungen zugrundlagen. In der Google-Entscheidung (C-131/12) ging der EuGH jüngst relativ unproblematisch davon aus, dass die Darstellung von Ergebnislisten mit personenbezogenen Daten im Internet eine Weitergabe dieser Daten an Dritte darstellt.

Kein Medienprivileg
Der Verein brachte zu seiner Verteidigung unter anderem vor, dass sein Handeln unter das sog. Medienprivileg (§ 41 BDSG) fallen würde und er daher die Vorgaben des BDSG weitestgehend nicht zu beachten habe. Nach § 41 BDSG werden Unternehmen oder Hilfsunternehmen der Presse von den Bestimmungen des BDSG weitgehend freigestellt, soweit sie personenbezogene Daten ausschließlich zu eigenen journalistisch-redaktionellen oder literarischen Zwecken erheben, verarbeiten oder nutzen. Dieser Auffassung folgte das Gericht nicht:

Bei der vom Kläger durch seinen Vorstand betriebenen Webseite handelt es sich, wie ein Blick auf den in der Satzung des Vereins beschriebenen Vereinszweck eindeutig zeigt, nicht um eine Tätigkeit im Pressewesen, sondern um eine Tätigkeit in der kommunalen Parteipolitik.

Das Berichten zu einem bestimmten politischen Thema auf der Homepage über eigene Aktivitäten sei für den Verein daher nicht Zweck, sondern nur das Mittel zum eigentlichen Zweck des politisch tätigen Vereins gewesen. Einer Verarbeitung von Daten zu ausschließlich journalistisch-redaktionellen Zwecken fand daher nicht statt.

Auch hier könnte man die Wertung des Gerichts zumindest kritisch hinterfragen. Die im Datenschutzrecht vorgesehene Privilegierung von Datenverarbeitungen für ausschließlich journalistische Zwecke ist nämlich durchaus nicht im Sinne klassischer Pressearbeit zu verstehen. So hat bereits der EuGH festgestellt (C-73/07), dass Handlungen als journalistische Tätigkeiten eingestuft werden können,

wenn sie zum Zweck haben, Informationen, Meinungen oder Ideen, mit welchem Übertragungsmittel auch immer, in der Öffentlichkeit zu verbreiten. Journalistische Tätigkeiten sind nicht Medienunternehmen vorbehalten und können mit der Absicht verbunden sein, Gewinn zu erzielen.

Der EuGH legt die das Medienprivileg also durchaus weit aus. Dies ändert freilich nichts an der Voraussetzung, die Datenverarbeitung ausschließlich zu einem journalistischen Zweck, wie etwa die Verbreitung von Meinungen, vorzunehmen.

Keine gesetzliche Erlaubnis
Damit war klar, dass die Datenverarbeitung vollumfänglich in den Anwendungsbereich des BDSG fiel. Nach § 4 Abs. 1 BDSG war somit eine gesetzliche Erlaubnis oder die Einwilligung der Betroffenen erforderlich. Eine Einwilligung lag freilich nicht vor. Auch § 28 Abs. 1 S. 1 Nr. 2 BDSG, wonach das Übermitteln personenbezogener Daten als Mittel für die Erfüllung eigener Geschäftszwecke zulässig ist, soweit es zur Wahrung berechtigter Interessen der verantwortlichen Stelle erforderlich ist und kein Grund zu der Annahme besteht, dass das schutzwürdige Interesse des Betroffenen an dem Ausschluss der Verarbeitung oder Nutzung überwiegt, konnte vorliegend nicht zu einer Rechtmäßigkeit der Verarbeitung führen.

Das Gericht verneinte bereits das Vorliegen eines Interesses des Vereins, den Namen und die Kontaktdaten der Betroffenen konkret zu benennen. Eine solche Einschätzung hängt freilich immer sehr stark von den Umständen des Einzelfalls ab. Vorliegend besaß die Betroffene ersichtlich keine sachbearbeitende oder sonstwie herausgehobene Funktion. Sie hatte lediglich Fachinformationen von der zuständigen Fachabteilung an den Verein weitergeleitet. Es bestehe schlicht kein Zusammenhang zwischen dem veröffentlichten Inhalt der E-Mails und der Person der Betroffenen.

Das Gericht stellt zum Schluss zudem fest, dass selbst für den Fall, dass ein berechtigtes Interesse des Vereins bestanden hätte, das schutzwürdige Interesse der Betroffenen vorliegend überwogen hätte. Die Begründung ähnelt ein wenig derjenigen, die wir aus dem bereits oben einmal zitierten Google-Urteil des EuGH kennen. Nach dem Gericht handelte es sich insofern um einen nicht ganz unerheblichen Eingriff in das Persönlichkeitsrecht der Betroffenen, deren Daten zudem gerade nicht allgemein zugänglich waren. Diese Feststellung gelte auch für die im öffentlichen Dienst tätigen Mitarbeiter, die ohne ein überwiegendes berechtigtes Interesse mit ihren personenbezogenen Daten nicht einfach im Internet benannt werden dürften. Der für den Verein relevante Verwaltungsvorgang als solcher ließe sich zudem problemlos und ohne sachlichen Informationsverlust auch ohne Nennung personenbezogener Daten darstellen. So stellt das Gericht letztendlich fest:

Zusammengefasst wäre bei einer Interessenabwägung daher dem Interesse der Beigeladenen, ihre personenbezogenen Daten nicht weltweit abrufbar im Internet veröffentlicht zu sehen, der Vorrang einzuräumen.

Fazit
In der Sache und auf der Grundlage der in diesem Einzelfall vorliegenden Umstände, ist das Urteil durchaus vertretbar. Insbesondere im Rahmen der Abwägung der Interessen der Beteiligten steckt jedoch oft ein gewisser Spielraum für Argumentationen, so dass ein Ergebnis kaum per se vorhersehbar erscheint.

Markenrecht: Schützt das Bankgeheimnis vor Ansprüchen des Rechteinhabers?

In Deutschland existiert kein (zumindest kein unmittelbar) gesetzlich festgeschriebenes Bankgeheimnis. Nach § 383 Abs. 1 Nr. 6 ZPO sind jedoch Bankinstitute unter Umständen berechtigt, in Zivilprozesse die Auskunft über bestimmt Informationen zu verweigern (den Bankinstituten steht ein Zeugnisverweigerungsrecht zu). Daher spricht man zumindest von einem „mittelbar“ existierenden Bankgeheimnis.
Doch wie verhält sich das Bankgeheimnis zu Rechtsansprüchen von Dritten, die diese gegenüber Kunden der Bank besitzen und durchsetzen möchten, dazu jedoch Gewissheit erlangen müssen, wer der Inhaber eines Bankkontos ist?

Einen solchen Fall hat der Bundesgerichtshof (BGH) im Jahre 2013 dem Europäischen Gerichtshof (EuGH) zur Beantwortung vorgelegt (Rechtssache C-580/13). Hierüber hatte der Kollege Thomas Stadler in seinem Blog berichtet.

Worum geht es: Der exklusive Lizenzinhaber einer Marke (an dem Parfum „Davidoff Hot Water“) kaufte auf einer Internetauktionsplattform einen gefälschten Parfumflakon. Den Preis hierfür zahlte der Lizenzinhaber auf ein Bankkonto bei einer Sparkasse ein. Nachdem der Inhaber des Verkäuferkontos angab, nicht den in Rede stehenden Verkauf getätigt zu haben, wandte sich der Lizenzinhaber an die Sparkasse, um zu erfahren, wer denn hinter dem Bankkonto steckt. Damit machte der Lizenzinhaber einen gesetzlich in § 19 Abs. 2 MarkenG festgeschriebenen Auskunftsanspruch geltend, der wiederum auf Art. 8 der europäischen Richtlinie 2004/48 (PDF) beruht. Die Sparkasse weigerte sich, mit Verweis auf § 383 Abs. 1 Nr. 6 ZPO, die Auskunft zu erteilen.

Das Urteil des EuGH steht noch aus, jedoch hat nun der zuständige Generalanwalt am EuGH seine Stellungnahme abgegeben und seine Entscheidungsempfehlung ausgesprochen. Kurz gesagt: die vorbehaltlose Verweigerung der Auskunftserteilung mit Verweis auf das Bankgeheimnis ist ohne eine gerichtliche Prüfung nicht mit EU-Recht vereinbar.

Art. 8 RL 2004/48 sieht vor, dass die Mitgliedstaaten sicherstellen müssen, „dass die zuständigen Gerichte im Zusammenhang mit einem Verfahren wegen Verletzung eines Rechts des geistigen Eigentums auf einen begründeten und die Verhältnismäßigkeit wahrenden Antrag des Klägers hin anordnen können, dass Auskünfte über den Ursprung und die Vertriebswege von Waren oder Dienstleistungen, die ein Recht des geistigen Eigentums verletzen, von dem Verletzer und/oder jeder anderen Person erteilt werden“. Diese Auskunft erstreckt sich auch auf Namen und Adresse der Vertreiber und Verkaufsstellen.

Nach Ansicht des Generalanwalts hat die Weigerung der Auskunftserteilung durch die Sparkasse die Einschränkung von zwei europäischen Grundrechten zur Folge: das Recht auf geistiges Eigentum (Art. 17 Abs. 2 der Charta der Grundrechte der Europäischen Union) und das Recht auf einen wirksamen Rechtsbehelf nach Art. 47 der Charta, welches gerade ein notwendiges Instrument zum Schutz des ersteren Grundrechts darstellt. Auf Seiten des Bankinstituts stehe hingegen das Recht der Bankkunden auf Schutz personenbezogener Daten (Art. 8 der Charta), welches die Bank durch das Bankgeheimnis zumindest mittelbar zu schätzen versuche.

Art. 52 Abs. 1 der Charta enthält die Voraussetzungen, unter denen die Einschränkung eines Grundrechts rechtmäßig erfolgen kann. Die Grundrechtseinschränkung muss gesetzlich vorgesehen sein, den Wesensgehalt der betroffenen Rechte und Freiheiten achten und schließlich geeignet und erforderlich sein, um die verfolgte Zielsetzung zu erreichen, sowie dem Grundsatz der Verhältnismäßigkeit entsprechen.

Art. 52 Abs. 1 der Charta bestimmt außerdem, dass die Grundrechtseinschränkung den „Wesensgehalt“ des oder der betroffenen Grundrechte achten muss. Hier bestehen für den Generalanwalt „die größten Zweifel“ vor allem hinsichtlich des Rechts des Lizenznehmers auf einen wirksamen Rechtsbehelf.

Die Wirksamkeit des Rechtsschutzes, den die Lizenznehmerin der verletzten Marke verlangt, scheint in Deutschland unter Umständen wie im vorliegenden Fall ausschließlich davon abzuhängen, dass das Bankinstitut, von dem die Auskunft begehrt wird und das vertraglich gegenüber seinen Kunden zur Verschwiegenheit verpflichtet ist, aus welchem Grund auch immer darauf verzichtet, vom Zeugnisverweigerungsrecht nach § 383 Abs. 1 Nr. 6 ZPO Gebrauch zu machen.

Des Weiteren prüft der Generalanwalt, ob es unter den Umständen des vorliegenden Falles geeignet, erforderlich und verhältnismäßig ist, den Lizenznehmer unter Hinweis auf das Bankgeheimnis die Ausübung seines Rechts auf einen wirksamen Rechtsbehelf zu versagen.

Von besonderer Bedeutung ist für den Generalanwalt die Frage, ob die Einschränkung der Grundrechte erforderlich ist. Die Einschränkung der Grundrechte sei hier nur dann erforderlich, wenn der verfolgte Zweck (Schutz der Kundendaten durch die Bank) nicht auch durch eine Maßnahme erreicht werden kann, die diese Rechte in geringerem Maß einschränkt. Insoweit müsse nach dem Generalanwalt geprüft werden, ob die Daten, die von der Sparkasse verlangt werden, möglicherweise auf einem anderen Weg oder aus einer anderen Quelle als über das Bankinstitut erlangt werden können. In jedem Fall müsse das nationale Gericht im Rahmen dieser Verhältnismäßigkeitsprüfung alle betroffenen Grundrechte berücksichtigen und in der Folge eine Abwägung kollidierender Grundrechte vornehmen.

Gutachten des Europäischen Parlaments: Voraussetzungen für eine zulässige Vorratsdatenspeicherung

Wie geht es weiter mit einer Vorratsdatenspeicherung in Deutschland? Welche Möglichkeiten bestehen für den nationalen Gesetzgeber, neue Gesetze zu erlassen, nachdem der Gerichtshof der Europäischen Union (EuGH) im April 2014 die EU-Richtlinie zur Vorratsdatenspeicherung für unwirksam erklärt hat (C 293/12)? Ist eine nationale „VDS“ überhaupt möglich?

Antworten auf einige dieser Fragen versucht ein Gutachten des juristischen Dienstes des Europäischen Parlaments aus dem Dezember 2014 (PDF) zu geben. Das Gutachten wurde aufgrund von mehreren Fragen des Ausschusses für Bürgerliche Freiheiten, Justiz und Inneres (LIBE) verfasst. Das Gutachten hat einen Umfang von 27 Seiten und soll hier nicht in Gänze besprochen werden. Nachfolgend nur zu einigen, gerade aus der Sicht des deutschen Gesetzgebers relevanten, Aussagen.

Vorschriften zur Speicherung von Daten bei der Nutzung öffentlich zugänglicher elektronischer Kommunikationsdienste auf Vorrat fallen in den Anwendungsbereich von Art. 15 Abs. 1 der RL 2002/58/EG (in der Fassung der RL 2009/136/EG, PDF) und müssen zunächst die gesetzlichen Vorgaben dieser Vorschrift erfüllen. Ein durch gesetzliche Vorschriften zur Speicherung von Daten stattfindender Eingriff in die Rechte der Betroffenen ist danach dann erlaubt,

sofern eine solche Beschränkung gemäß Artikel 13 Absatz 1 der Richtlinie 95/46/EG für die nationale Sicherheit, (d. h. die Sicherheit des Staates), die Landesverteidigung, die öffentliche Sicherheit sowie die Verhütung, Ermittlung, Feststellung und Verfolgung von Straftaten oder des unzulässigen Gebrauchs von elektronischen Kommunikationssystemen in einer demokratischen Gesellschaft notwendig, angemessen und verhältnismäßig ist.

Zudem setzen nationale Vorschriften, die sich auf die Erlaubnis des Art. 15 Abs. 1 der RL 2002/58/EG stützen, europäisches Recht um. Als Folge müssen sich die nationalen Regelungen an den Vorgaben der Charta der Grundrechte der Europäischen Union (EU-Charta, PDF) messen lassen. Insbesondere Art. 7 (Achtung des Privat- und Familienlebens) und 8 (Schutz personenbezogener Daten) sowie Art. 52 Abs. 1 (Tragweite und Auslegung der Rechte und Grundsätze) der EU-Charta sind insofern durch den nationalen Gesetzgeber zu beachten. Bei der Auslegung dieser Artikel ist dann auch das Urteil des EuGH zur Unwirksamkeit der Richtlinie zur Vorratsdatenspeicherung und sind die konkreten Vorgaben des Gerichtshofs zu beachten. Hierzu gehören insbesondere:

  • klare und präzise Regeln für die Tragweite und die Anwendung der fraglichen Maßnahme vorsehen und
  • Mindestanforderungen aufstellen, so dass die Personen, deren Daten auf Vorrat gespeichert wurden, über ausreichende Garantien verfügen, die einen wirksamen Schutz ihrer personenbezogenen Daten vor Missbrauchsrisiken sowie vor jedem unberechtigten Zugang zu diesen Daten und jeder unberechtigten Nutzung ermöglichen und
  • Bestimmungen zu entwickeln, die zu gewährleisten vermögen, dass sich der Eingriff tatsächlich auf das absolut Notwendige beschränkt.

Das Gutachten des juristischen Dienstes geht jedoch nicht davon aus, dass nationale Regelungen zur Vorrastdatenspeicherung per se unzulässig wären. Die Verfasser gehen ausdrücklich davon aus, dass bestehende Regelungen zur Vorratsdatenspeicherung durchaus beibehalten werden können, wenn sie denn die Vorgaben der jeweiligen europäischen Richtlinie und der EU-Charta (unter Berücksichtigung der Auslegung durch den EuGH) erfüllen.

Das Gutachten geht zudem auf die Frage ein, inwieweit das Urteil sowohl bestehende internationale Abkommen zum Datenaustausch oder zur Datenspeicherung berührt und wie die Vorgaben des EuGH bei sich derzeit in Verhandlung befindenden Gesetzesvorhaben (Stichwort „Fluggastdaten“) zu berücksichtigen sind. Das Gutachten ist durchaus lesenswert und zeigt außerdem interessante Parallelen zur Rechtsprechung des Europäischen Gerichtshofs für Menschenrechte auf.

Berliner Datenschutzbeauftragter: Safe Harbor am Ende?

Am 28. Januar 2015 wurde der 9. Europäische Datenschutztag gefeiert. Die deutschen Datenschutzaufsichtsbehörden nahmen dies bei der von Ihnen gemeinsam in Berlin initiieren Veranstaltung zum Anlass, um zuvor auf einer Pressekonferenz Kritik an der derzeitigen Praxis von Datentransfers in die USA zu üben (vgl. die Meldung bei heise online).

Nach Auffassung der deutschen Behörden können Datenübermittlungen in die USA nicht mehr ohne weiteres auf das bestehende Instrument „Safe Harbor“ gestützt werden. Hierbei handelt es sich um eine Entscheidung der Europäischen Kommission, die Unternehmen, welche sich einem freiwilligen Selbstzertifizierungssystem unterwerfen, ein angemessenes Datenschutzniveau bescheinigt und damit auch Übermittlungen personenbezogener Daten an diese Unternehmen aus der Europäischen Union gestattet (zu Safe Harbor hatte ich bereits früher einmal gebloggt).

Die deutschen Behörden haben nach der Safe Harbor Entscheidung unter bestimmten Voraussetzungen die Befugnis, einzelne Datenübermittlungen in die USA zu untersagen, insbesondere wenn die Vorgaben der Entscheidung systematisch verletzt werden würden. Aus Sicht der deutschen Aufsichtsbehörden sind die Voraussetzungen derzeit erfüllt. Aus diesem Grund wurden in Berlin und Bremen auch entsprechende Verwaltungsverfahren eingeleitet, die konkrete und laufende Datenübermittlungen unterbinden sollen. Diese laufen gegenwärtig noch und sind nicht abgeschlossen.

Der Berliner Datenschutzbeauftragte, Dr. Dix, hat im Rahmen der Veranstaltung am 28. Januar 2015 in Berlin einen Vortrag zum gegenwärtigen Stand von Safe Harbor aus Sicht der Aufsichtsbehörden gehalten. Dieser Vortrag ist nun kostenlos abrufbar (PDF) und durchaus interessant zu lesen, auch wenn man freilich nicht jeder in dem Beitrag vertretenen Ansichten folgen muss.

Wie es mit Safe Harbor weitergeht, bleibt abzuwarten. Das Vorabentscheidungsersuchen des irischen High Court an den EuGH im Verfahren zwischen Max Schrems und der irischen Datenschutzbehörde, dürfte die nächste wichtige Wegmarke darstellen.

Verbandsklagerecht bei Datenschutzverstößen: Geplante Änderungen und offene Fragen

Gestern hat das Bundeskabinett den Entwurf für ein Gesetz zur Verbesserung der zivilrechtlichen Durchsetzung von verbraucherschützenden Vorschriften des Datenschutzrechts (PDF) beschlossen. Nach der Gesetzesbegründung soll durch eine geplante Neuregelung des § 2 Abs. 2 UKlaG ausdrücklich geregelt werden, dass datenschutzrechtliche Vorschriften, welche die Zulässigkeit der Erhebung, Verarbeitung und Nutzung von personenbezogenen Daten eines Verbrauchers durch einen Unternehmer zu Zwecken der Werbung, der Markt- und Meinungsforschung, des Betreibens von Auskunfteien, des Erstellens von Persönlichkeits- und Nutzungsprofilen, des Adresshandels, des sonstigen Datenhandels oder zu vergleichbaren kommerziellen Zwecken regeln, Verbraucherschutzgesetze im Sinne des § 2 Abs. 1 UKlaG sind (neuer § 2 Abs. 2 S. 1 Nr. 11 UKlaG-E). Als Folge können dann anspruchsberechtigte Stellen (§ 3 UKlaG), wie etwa Verbraucherschutzverbände, Unterlassungs- und (ebenfalls neu geplant) Beseitigungsansprüche gegen Unternehmen geltend machen, die gegen Datenschutzvorschriften verstoßen, welche eine Datenverarbeitung zu oben benannten Zwecken regeln.

Zwei wichtige Änderungen
Einen ersten Referentenentwurf des Bundesministeriums für Justiz und Verbraucherschutz hatte ich hier im Blog bereits im Juni 2014 veröffentlicht und umfassend besprochen.

Der nun verabschiedete Entwurf ist vor allem in zwei Punkten angepasst worden:

  • Die datenschutzrechtlichen Vorschriften, gegen die verstoßen werden muss, um anspruchsberechtigten Stellen eine Klagemöglichkeit zu eröffnen, wurden thematisch eingeschränkt. Ob diese Beschränkung ausreicht bzw. wie diese Beschränkung grundsätzlich zu beurteilen ist, kann man noch einmal vertiefter erörtern. Gerade der Begriff „zu vergleichbaren kommerziellen Zwecken“ dürfte aufgrund seiner Unschärfe in der Praxis auf erhebliche Anwendungsschwierigkeiten stoßen.
  • Zudem soll ein neuer § 12a UKlaG-E eingeführt werden, der die Beteiligung der zuständigen Landesdatenschutzbehörden sicherstellen soll. Das Gericht hat nach dem Entwurf vor einer Entscheidung in einem Verfahren über einen Anspruch nach § 2 UKlaG, das eine Zuwiderhandlung gegen ein Verbraucherschutzgesetz nach § 2 Abs. 2 S. 1 Nr. 11 UKlaG-E zum Gegenstand hat, die zuständige inländische Datenschutzbehörde zu hören.

Konformität mit Europarecht
Ich möchte mich nachfolgend noch kurz einer möglichen Europarechtswidrigkeit des Gesetzesentwurfs widmen. Bereits in meinem Beitrag zu dem ersten Entwurf, habe ich hier Probleme mit der Vereinbarkeit europäischen Rechts gesehen. Die Begründung zum neuen Gesetzesentwurf sieht diesen mit europäischem Recht vereinbar. Insbesondere weißt die Gesetzesbegründung darauf hin, dass mit Blick auf die Datenschutzrichtlinie 95/46/EG der Europäische Gerichtshof zwar grundsätzlich von einer vollständigen Harmonisierung ausgehe. Dies beziehe sich allerdings nur auf das materielle Datenschutzrecht und nicht auf die Rechtsbehelfe und Sanktionen (Kapitel III). Der deutsche Gesetzgeber sieht konkret Kapitel III der Richtlinie 95/46/EG als nicht abschließend an. Die Mitgliedstaaten könnten daneben auch noch weitere Rechtsbehelfe zur Durchsetzung des Datenschutzrechts, insbesondere auch Verbandsklagen vorsehen.

Ob diese Ansicht zutreffend ist, möchte ich zumindest hinterfragen. So hat der Europäische Gerichtshof nämlich gerade mit Blick auf die benannten „Rechte“ und damit auch Rechtsbehelfe (also Instrumente, um diese Rechte durchzusetzen) ausdrücklich entscheiden (Urt. v. 6.11.2003, C-101/01, Rz. 95):

Wie sich insbesondere aus ihrer achten Begründungserwägung ergibt, bezweckt die Richtlinie 95/46, hinsichtlich der Rechte und Freiheiten von Personen bei der Verarbeitung personenbezogener Daten in allen Mitgliedstaaten ein gleichwertiges Schutzniveau herzustellen. (Hervorhebung durch mich)

Und weiter geht der EuGH darauf ein, dass Mitgliedstaaten durchaus in bestimmten Bereichen die Möglichkeit besitzen, besondere Regelungen zu schaffen. Jedoch stellt er auch klar (Rz. 97):

Von diesen Möglichkeiten muss aber in der in der Richtlinie 95/46 vorgesehenen Art und Weise und im Einklang mit ihrem Ziel Gebrauch gemacht werden“

Für mich jedoch besonders relevant in Bezug auf die Frage der Europarechtskonformität der geplanten Übertragung von Klagemöglichkeiten auf Verbände ist Art. 28 Abs. 4 DS-RL. Danach kann sich jede Person oder ein sie vertretender Verband zum Schutz der die Person betreffenden Rechte und Freiheiten bei der Verarbeitung personenbezogener Daten an jede Kontrollstelle mit einer Eingabe wenden (Hervorhebung durch den Autor). Verbände, die betroffene Personen vertreten, können sich also an die Datenschutzbehörden wenden. Dieses Recht steht auch den Betroffenen selbst zu.

Und die Datenschutzrichtlinie sieht eben eine solche Möglichkeit für Mitgliedstaaten nicht vor. Nach Art. 22 Richtlinie 95/46/EG haben Betroffene auch das Recht, bei der Verletzung der Rechte, die ihnen durch die für die betreffende Verarbeitung geltenden einzelstaatlichen Rechtsvorschriften garantiert sind, bei Gericht einen Rechtsbehelf einzulegen. Der Verband oder eine Vertretung der Betroffenen ist in diesem Zusammenhang in der Richtlinie 95/46/EG aber gerade nicht aufgeführt und die Möglichkeit für Mitgliedstaaten, ein Verbandsklagerecht zu schaffen, ist nicht vorgesehen. Dass eine solche Möglichkeit über die Vorgaben der Richtlinie 95/46/EG hinausgeht, kann man meines Erachtens auch daraus ableiten, dass Art. 28 Abs. 4 Richtlinie 95/46/EG die Verbände ausdrücklich anspricht und ihre Tätigkeit regelt. Danach kann sich jede Person oder ein sie vertretender Verband sich zum Schutz der die Person betreffenden Rechte und Freiheiten bei der Verarbeitung personenbezogener Daten an jede Kontrollstelle mit einer Eingabe wenden. Der Richtliniengeber hat also gerade nur einen Fall der Beteiligung von Verbänden geregelt und zwar jenen, dass diese Betroffene gegenüber einer Behörde vertreten. Nicht jedoch gegenüber einem Gericht.

Fazit
Man wird abwarten müssen, wie der Gesetzentwurf im ordentlichen Gesetzgebungsverfahren noch angepasst wird. Meines Erachtens bestehen jedoch nicht unbegründete Bedenken, dass hier eine Kollision mit europäischen Vorgaben existiert. Vielleicht muss diese Frage am Ende auch der Europäische Gerichtshof selbst entscheiden. Die Thematik an sich wird uns jedoch weiter beschäftigen, da die geplante Datenschutz-Grundverordnung ein Verbandsklagerecht vorsieht.

IT-Sicherheitsgesetz: Bundesrat übt Kritik und sieht Gefahr der Vorratsdatenspeicherung

Im Dezember 2014 hat die Bundesregierung den Entwurf für das sog. IT-Sicherheitsgesetz beschlossen. Der Gesetzesentwurf (PDF) sieht vor allem Änderungen im BSI-Gesetz vor und möchte den Betreibern „kritischer Infrastrukturen“ gewisse Pflichten zum Schutz der informationstechnischen Systeme auferlegen. In diesem Zuge werden jedoch auch Vorschriften des Telekommunikationsgesetzes (TKG) und des Telemediengesetzes (TMG) geändert. Zu den möglichen Änderungen für Webseitenbetreiber hatte ich bereits einen Beitrag geschrieben.

Nun hat der für das IT-Sicherheitsgesetz im Bundesrat federführend zuständige Ausschuss für Innere Angelegenheiten seine Empfehlungen zu möglichen Anpassungen des Gesetzesentwurfs vorgelegt (PDF).

Präzisierung für mehr Rechtssicherheit
Laut der Beschlussempfehlung begrüßt der Bundesrat die „Initiative der Bundesregierung zur Verbesserung der IT-Sicherheit von Unternehmen und zum verstärkten Schutz der Bürgerinnen und Bürger im Internet“. Jedoch sieht die Empfehlung des Ausschusses auch vor, dass der Bundesrat im weiteren Gesetzgebungsverfahren dafür Sorge tragen soll, dass zur Schaffung von Planungs- und auch Rechtssicherheit eine weitere Konkretisierung von unbestimmten Rechtsbegriffen erfolgt. Laut der Empfehlung gilt dies vor allem für die Begriffe „Kritische Infrastrukturen“, die Definition der Meldeschwelle für Telekommunikationsunternehmen und den Begriff „Stand der Technik“. Gerade eine Einstufung als Betreiber einer kritischen Infrastruktur könne nämlich gravierend wirtschaftliche Folgen nach sich ziehen.

Regelungen zum Schutz der Meldedaten

Zudem sieht die Empfehlung vor, dass der Bundesrat darauf achten möge, „dass eindeutige und transparente Regelungen getroffen werden, die einen angemessenen Schutz und eine sinnvolle Verwendung der umfangreichen Datenmengen sicherstellen“, die das BSI aufgrund der vorgesehenen Meldepflicht erhält. Laut der vorgeschlagenen Begründung des Ausschusses zu seiner Empfehlung beantwortet der Gesetzentwurf nicht die Frage, wie das BSI mit diesen Datenmengen in Zukunft umgehen will.

Gefahr der Vorratsdatenspeicherung
Nach dem im Gesetzentwurf vorgeschlagenen § 100 Abs. 1 TKG-E sollen Telekommunikationsanbieter die gesetzliche Erlaubnis erhalten, Nutzungsdaten „zum Erkennen, Eingrenzen und Beseitigen von Störungen sowie von Missbrauch seiner für Zwecke seines Telemedienangebots genutzten technischen Einrichtungen“ zu erheben und zu verwenden. Der federführende Ausschuss ist hier in seiner Empfehlung klar:

Bei der damit eingeführten Speicherbefugnis handelt es sich im Kern um eine weitreichende Vorratsdatenspeicherung, für die unter anderem das Bundesverfassungsgericht und der Europäische Gerichtshof enge Grenzen gesetzt haben.

(Hervorhebung durch mich)

Der Ausschuss erkennt in dieser Möglichkeit der Speicherung von Nutzungsdaten jedoch keine Verbesserung der Informationssicherheit. Vielmehr geht er davon aus, dass die Speicherung

zu einer weiteren Gefahrenquelle werden

könnte.

Neues Urteil des EuGH zur internationalen Zuständigkeit bei Urheberrechtsverletzungen im Internet

Mit Urteil vom 22. Januar 2015 (C-441/13) hat der Europäische Gerichtshof (EuGH) über die Auslegung von Art. 5 Abs. 3 der Verordnung 44/2001 (EuGVVO) zur internationalen Zuständigkeit von Gerichten bei Urheberrechtsverletzungen entschieden, dass im Fall der Geltendmachung einer Verletzung von Urheber? und verwandten Schutzrechten durch die Veröffentlichung von geschützten Lichtbildern auf einer Website, das Gericht zuständig ist, in dessen Bezirk diese Website zugänglich ist.

Sachverhalt
Frau Hejduk (die Klägerin des Ausgangsverfahrens), eine professionelle Architektur-Fotografin und Urheberin von Lichtbildwerken, hatte Bauten des österreichischen Architekten Georg W. Reinberg abgelichtet. Herr Reinberg soll im Rahmen einer von EnergieAgentur (ein deutsches Unternehmen; die Beklagte des Ausgangsverfahrens) veranstalteten Tagung diese Fotografien zur Illustration seiner Bauten verwendet haben, wozu er aufgrund einer Vereinbarung mit Frau Hejduk auch berechtigt war. EnergieAgentur soll jedoch anschließend diese Bilder ohne Zustimmung von Frau Hejduk und ohne Anführung einer Urheberbezeichnung auf ihrer Website (einer deutschen Homepage mit einer „.de“ Kennung) zum Abruf und Download bereitgehalten haben. Frau Hejduk verklagte das Unternehmen nun vor den österreichischen Gerichten, welche dem EuGH die Frage vorlegten, ob sie in dieser Situation überhaupt zuständig seien.

Entscheidung
Der EuGH stellt zunächst fest, dass Art. 5 Abs. 3 EuGVVO grundsätzlich eng auszulegen sei. Es handele sich um eine Ausnahme von dem in Art. 2 Abs. 1 EuGVVO aufgestellten Grundsatz, der die Zuständigkeit den Gerichten des Mitgliedstaats zuweist, in dessen Hoheitsgebiet der Beklagte seinen Wohnsitz hat. Danach führt das Gericht aus, dass nach seiner Rechtsprechung mit der Wendung „Ort, an dem das schädigende Ereignis eingetreten ist oder einzutreten droht“ in Art. 5 Nr. 3 EuGVVO sowohl der Ort der Verwirklichung des Schadenserfolgs als auch der Ort des für den Schaden ursächlichen Geschehens gemeint ist. Im Ergebnis kann der Beklagte nach Wahl des Klägers vor dem Gericht eines dieser beiden Orte verklagt werden kann.

Daneben muss beachtet werden, dass Urheberrechte zwar einheitlich in Europa in allen Mitgliedstaaten zu schützen sind, dass sie jedoch dem sog. Territorialitätsprinzip unterliegen. Dies bedeutet, dass Urheberrechte in jedem der Mitgliedstaaten nach dem dort anwendbaren materiellen Recht verletzt werden.

Ort des für den Schaden ursächlichen Geschehens
Danach macht sich der EuGH an die genauere Auslegung von Art. 5 Abs. 3 EuGVVO. Zunächst befasst sich der Gerichtshof mit dem zweiten möglichen Anknüpfungspunkt einer gerichtlichen Zuständigkeit, dem Ort des für den Schaden ursächlichen Geschehens. Dieses ist in dem vorliegenden Fall jedoch für die Begründung der Zuständigkeit des österreichischen Gerichts nicht maßgeblich. Denn in einem Fall wie dem des Ausgangsverfahrens, in dem die Verletzung von Urheberrechten durch die ohne Zustimmung des Urhebers erfolgte Veröffentlichung von Lichtbildern auf einer bestimmten Website im Raum steht, ist als das entscheidende „ursächliche Geschehen“ das Auslösen des technischen Vorgangs anzusehen, der zum Erscheinen der Lichtbilder auf dieser Website führt. Der EuGH führt aus, dass eine etwaige Verletzung der Urheberrechte durch das Verhalten des Inhabers dieser Website ausgelöst wird. Hieraus folge, dass das ursächliche Geschehen am Sitz des Unternehmens eintritt (hier: Deutschland) und damit keine Zuständigkeit des angerufenen Gerichts begründet werden konnte.

Ort der Verwirklichung des Schadenserfolgs
Danach prüft das Gericht die zweite Alternative für eine internationale Zuständigkeit, ob nämlich das österreichische Gericht über eine Anknüpfung an die Verwirklichung des geltend gemachten Schadenserfolgs zuständig sein kann. Hierfür muss bestimmt werden, wann ein Schaden in einem anderen Mitgliedstaat als dem verwirklicht oder zu verwirklichen droht, in dem das deutsche Unternehmen die Entscheidung, die Fotografien auf seiner Website zu veröffentlichen, getroffen und durchgeführt hat. Die Klägerin machte geltend, dass ihre Urheberrechte durch die Veröffentlichung ihrer Lichtbilder auf der Website von EnergieAgentur verletzt worden seien.

Der EuGH bestätigt zunächst, dass die von Frau Hejduk geltend gemachten Rechte in Österreich geschützt sind. Das beklagte deutsche Unternehmen führte jedoch in Bezug auf die Gefahr, dass der Schadenserfolg in einem anderen Mitgliedstaat als dem seines Sitzes eintritt, aus, dass seine Website, auf der die streitigen Lichtbilder veröffentlicht worden seien und die unter einem nationalen deutschen Top-Level-Domain-Namen, d. h. „.de“, betrieben werde, nicht auf Österreich ausgerichtet sei, so dass der Schadenserfolg nicht in diesem Mitgliedstaat eingetreten sei.

Diesem Argument stellt sich der EuGH jedoch entgegen. Es ergebe sich aus der Rechtsprechung des Gerichtshofs, dass Art. 5 Nr. 3 EuGVVO nicht verlangt, dass die fragliche Website auf den Mitgliedstaat des angerufenen Gerichts „ausgerichtet“ ist.

Unter Umständen wie denen des Ausgangsverfahrens ergibt sich der Schadenserfolg bzw. die Gefahr seiner Verwirklichung somit daraus, dass die Lichtbilder, an denen die von Frau Hejduk geltend gemachten Rechte bestehen, über die Website von EnergieAgentur in dem Mitgliedstaat des vorlegenden Gerichts zugänglich sind.

(Hervorhebung durch mich)

Zuletzt stellt der Gerichtshof klar, dass das angerufene österreichische Gericht in Anknüpfung an den Ort der Verwirklichung des Schadenserfolgs nur für die Entscheidung über den Schaden zuständig ist, der im Hoheitsgebiet des Mitgliedstaats verursacht worden ist, zu dem es gehört.

NRW-Justizminister fordert „Recht auf digitalen Neustart“ für Jugendliche

Der Justizminister des Landes Nordrhein-Westfalen, Thomas Kutschaty, möchte sich laut dem Spiegel für eine Bundesratsinitiative einsetzen, um Internetnutzern die gesetzlich verankerte Möglichkeit zu geben, Suchmaschinenbetreibern in bestimmten Fällen die Löschung von Daten abzuverlangen. Im Blick hat Kutschaty bei seinem Vorschlag vor allem Jugendliche. Seiner Ansicht nach machten sich nämlich zu wenige von ihnen Gedanken über das, was sie ins Internet stellen. Jahre später könnte es dann zu Problemen, etwa bei Bewerbungen kommen.

Recht auf Vergessenwerden?
Der Vorschlag des Ministers (und gerade der Verweis auf Suchmaschinen) klingt nach dem Wunsch einer gesetzlichen Verankerung des sog. Rechts auf Vergessenwerden, wie es der Europäische Gerichtshof (EuGH) im Mai 2014 in seinem Google-Urteil aus der geltenden EU-Datenschutzrichtlinie entwickelte. Da jedoch das Recht von Betroffenen, Verweise auf Internetseiten unter bestimmten Voraussetzungen aus den Suchergebnislisten löschen zu lassen, nach dem EuGH bereits derzeit gesetzlich verankert (bzw. aus den Vorgaben der EU-Datenschutzrichtlinie mindestens ableitbar) ist, muss man sich fragen, welche gesetzlichen Neuregelungen der Justizminister konkret anstrebt? Denn diese wären ja eigentlich nicht erforderlich, sollte es sich allein um das Löschen (oder anders: Unterdrücken) von Links in Ergebnislisten handeln.

Bestehende Vorgaben
Die Intention scheint mehr in die Richtung des allgemeinen Schutzes von Jugendlichen und Kindern im Internet zu gehen und ihnen die Möglichkeit zu geben, dass sich ihre digitale Vergangenheit auf Knopfdruck in Luft auflösen lässt. Dies würde auch zu dem Begriff „digitaler Neustart“ passen. Insofern stellt sich dann jedoch die Frage, welche gesetzlichen Voraussetzungen erfüllt sein müssten, um Bilder, Informationen und Texte, die man als Jugendlicher veröffentlicht hat, zu löschen?

Soll es sich etwa nur um personenbezogene Daten handeln? Hier gilt bereits das Datenschutzrecht, welches nicht nach Erwachsenen und Kindern unterscheidet. Die geltenden Gesetze stellen zum einen gewisse Voraussetzungen an die Verarbeitung personenbezogener Daten an sich, wenn also etwa ein Internetdienst die Daten eines Jugendlichen eigenverantwortlich verwendet. Zudem sehen die Gesetze Löschpflichten für verantwortliche Stellen vor, die nicht nur von dem Ablauf einer gewissen Zeit, sondern auch der Unvereinbarkeit der weiteren Verwendung der Daten mit den Interessen des Jugendlichen abhängen können. Wozu also neue Regelungen?

Digitale Generalamnestie?
Eventuell steckt hinter dem Vorschlag daher eher der Gedanke einer „digitalen Generalamnestie“. Nach dem Motto: bis zum 18. Lebensjahr dürfen sich Jugendlichen im Netz austoben und ihre Jugendsünden dann auch löschen lassen. Ein solcher Vorschlag birgt jedoch meines Erachtens einige Risiken (etwa kollidierende Grundrechte Dritter) und ist natürlich gleichzeitig auch eine Art Schuldeingeständnis, nämlich dass man als Staat noch nicht die (richtigen) Mittel und Wege gefunden hat, um Kinder und Jugendliche auf die unbestreitbar bestehenden Risiken beim Umgang mit dem Internet vorzubereiten und sie aufzuklären.

Beispielhaft sei auf die USA und dort auf ein am 1.1.2015 in Kalifornien in Kraft getretenes Gesetz (Privacy Rights for California Minors in the Digital World) verwiesen. Dieses Gesetz sieht in seinem Abschnitt 22581 nämlich in der Tat eine Art „digitalen Neustart“ für Kinder im Internet (darüber hinausgehend aber etwa auch für Anbieter von Apps) vor. Die Möglichkeit für Jugendliche, bei einem Dienst oder Anbieter eingegeben Informationen (es muss sich nicht um personenbezogene Daten handeln) zu löschen bzw. löschen zu lassen, wird dort jedoch nicht pauschal gewährt, sondern enthält bestimmte Einschränkungen. So etwa eine Speicherpflicht des Anbieters aufgrund anderer Gesetze oder wenn die Informationen anonymisiert werden.

Fazit
Die Beweggründe des Justizministers sind jedoch vielleicht auch noch von einer anderen Natur. Laut dem Spiegel hält es Herr Kutschaty „für problematisch, wenn es keine gesetzliche Regelung gibt und wir uns in Fragen von Persönlichkeitsrechten auf ein Entgegenkommen von Google verlassen müssen“. Den Minister scheint also gerade die mangelnde Durchsetzung der (meines Erachtens bereits bestehenden) gesetzlichen Regelungen bzw. die tatsächlichen Probleme bei der Durchsetzbarkeit (mangelndes Personal und fehlende finanzielle Mittel in den zuständigen Behörden) zu treiben. Dazu bedarf es aber nicht noch eines „neuen“ Rechts, welches dann auch nicht durchsetzbar ist und am Ende einen reinen Placeboeffekt hervorruft.

EuGH: Öffentliche Videoüberwachung durch Private – nicht per se verboten!

Heute hat der Europäische Gerichtshof (EuGH) sein Urteil in der Sache C-212/13 gesprochen, in der es um die öffentliche Videoüberwachung durch private Personen zum Schutz ihres Lebens, Eigentums und ihrer Familie geht. Eine Darstellung des Sachverhaltes und eine Besprechung der Schlussanträge des Generalanwaltes findet sich hier bei mir im Blog.
Entgegen anderslautenden Einschätzungen, die kurz nach dem Richterspruch bereits durch die Medien geisterten, hat der EuGH die Videoüberwachung jedoch nicht für unzulässig erklärt. Er hat sich in seinem Urteil allein darauf beschränkt festzustellen, dass für die stattfindende Datenverarbeitung durch die die Videokamera betreibende Person, die Vorschriften des europäischen Datenschutzrechts (Richtlinie 95/46/EG) Anwendung finden.

Der EuGH stellt fest:

Soweit sich eine Videoüberwachung wie die im Ausgangsverfahren in Rede stehende auch nur teilweise auf den öffentlichen Raum erstreckt und dadurch auf einen Bereich außerhalb der privaten Sphäre desjenigen gerichtet ist, der die Daten auf diese Weise verarbeitet, kann sie nicht als eine ausschließlich „persönliche oder familiäre“ Tätigkeit

angesehen werden.

Damit ist aber noch nichts darüber gesagt, ob die Datenverarbeitung rechtmäßig oder rechtswidrig erfolgt. Dieser Prüfungsschritt schließt sich erst nachfolgend an, nämlich wenn nun feststeht, dass das Datenschutzrecht überhaupt anwendbar ist.

Und diesbezüglich ist der EuGH deutlich:

Zugleich ermöglicht die Anwendung der Bestimmungen der Richtlinie 95/46, gegebenenfalls die berechtigten Interessen des für die Verarbeitung Verantwortlichen insbesondere auf der Grundlage von Art. 7 Buchst. f, Art. 11 Abs. 2 und Art. 13 Abs. 1 Buchst. d und g dieser Richtlinie zu berücksichtigen.

Wenn die Videoüberwachung per se rechtswidrig wäre, dann müsste man auch keine berechtigten Interessen berücksichtigen. Das Gericht stellt zudem fest, dass unter diese „berechtigten Interessen“ des Betreibers der Videokamera unter anderem „der Schutz des Eigentums, der Gesundheit und des Lebens des für die Verarbeitung Verantwortlichen und seiner Familie“ fallen. Ob dies im konkreten Fall zur Rechtmäßig- oder Rechtswidrigkeit der Datenverarbeitung führt, hat nun das nationale Gericht zu entscheiden. Der EuGH deutet auf jeden Fall an, dass es durchaus beachtlichen Auslegungsspielraum dafür gibt, dass die Videoaufzeichnung in diesem Fall rechtmäßig sein kann.