Die einzelnen News

EuGH: Datenschutzbehörde kann autonom Löschung rechtswidrig erlangter Daten anordnen, auch ohne Antrag des Betroffenen

Die Aufsichtsbehörde eines Mitgliedstaats kann selbst dann die Löschung unrechtmäßig verarbeiteter Daten anordnen, wenn die betroffene Person zuvor keinen entsprechenden Antrag gestellt hat

Eine solche Löschung kann sich sowohl auf bei der betroffenen Person erhobene als auch auf aus einer anderen Quelle stammende Daten beziehen

2020 beschloss die Kommunalverwaltung Üjpest (Ungarn), Personen, die zu einer von der Covid-19-Pandemie gefährdeten Gruppe gehörten, finanziell zu unterstützen. Sie ersuchte deshalb die ungarische Staatskasse und die Regierungsbehörde des IV. Bezirks der Hauptstadt Budapest, ihr die zur Prüfung der Anspruchsvoraussetzungen erforderlichen personenbezogenen Daten zu übermitteln.

Aufgrund eines Hinweises stellte die zuständige ungarische Datenschutzbehörde (im Folgenden: Aufsichtsbehörde) fest, dass sowohl die Verwaltung Üjpest als auch die ungarische Staatskasse und die Regierungsbehörde gegen Regelungen der DSGVO  verstoßen hatten. Entsprechende Geldbußen wurden verhängt.

Die Aufsichtsbehörde stellte fest, dass die Verwaltung Üjpest die betroffenen Personen innerhalb der dafür geltenden Frist von einem Monat weder über die Verwendung ihrer Daten und den Zweck dieser Verarbeitung noch über ihre Datenschutzrechte informiert hatte. Zudem wies sie die Verwaltung Üjpest an, die Daten anspruchsberechtigter Personen, die keine Unterstützung beantragt hatten, zu löschen.

Die Verwaltung Üjpest hat diese Entscheidung beim Hauptstädtischen Stuhlgericht (Ungarn) angefochten und macht geltend, die Aufsichtsbehörde sei nicht befugt, die Löschung personenbezogener Daten anzuordnen, wenn die betroffene Person zuvor keinen entsprechenden Antrag gestellt habe.

Das ungarische Gericht ersucht den Gerichtshof um Auslegung der DSGVO.

Mit seinem heutigen Urteil antwortet der Gerichtshof, dass die Aufsichtsbehörde eines Mitgliedstaats von Amts wegen die Löschung unrechtmäßig verarbeiteter Daten anordnen darf, also selbst dann, wenn die betroffene Person zuvor keinen entsprechenden Antrag gestellt hat, falls eine solche Maßnahme zur Erfüllung ihrer Aufgabe erforderlich ist, die darin besteht, über die umfassende Einhaltung der DSGVO zu wachen.

Erkennt die Aufsichtsbehörde, dass eine Datenverarbeitung nicht der DSGVO entspricht, so muss sie dem festgestellten Verstoß abhelfen, und zwar auch dann, wenn die betroffene Person zuvor keinen Antrag gestellt hat. 
Denn das Erfordernis einer solchen Antragstellung würde bedeuten, dass der Verantwortliche bei fehlendem Antrag die betreffenden personenbezogenen Daten weiterhin speichern und unrechtmäßig verarbeiten dürfte.

Außerdem kann die Aufsichtsbehörde eines Mitgliedstaats die Löschung unrechtmäßig verarbeiteter Daten unabhängig davon anordnen, ob sie unmittelbar bei der betroffenen Person erhoben wurden oder aus einer anderen 
Quelle stammen.

Urteil des Gerichtshofs in der Rechtssache C-46/23 | Üjpesti Polgarmesteri Hivatal

Quelle: Pressemitteilung des EuGH v. 14.03.2024

EuGH: Unter welchen Bedingungen ein Online-Verkauf von Arzneimitteln verboten werden kann

Verkauf von rezeptfreien Arzneimitteln im Fernabsatz: Der Gerichtshof erläutert die Voraussetzungen, unter denen ein Mitgliedstaat einen Dienst, der in der Zusammenführung von Apothekern und Kunden für den Online-Verkauf von Arzneimitteln besteht, verbieten kann.

Die Gesellschaft Doctipharma betreibt eine Website, auf der es bis 20161 möglich war, über Websites von Apotheken rezeptfrei erhältliche pharmazeutische Erzeugnisse und Arzneimittel zu kaufen. Konkret stellte die Website von Doctipharma die Waren mittels eines vorgespeicherten Katalogs zur Verfügung, der Kunde wählte die Arzneimittel aus und seine Bestellung wurde anschließend an die Apotheken weitergeleitet, deren Websites Doctipharma hostete. Die Zahlung des Kaufpreises erfolgte über ein für alle Apotheken anwendbares einheitliches Zahlungssystem von einem dafür vorgesehenen Konto.

Die Union des Groupements de pharmaciens d’officine (UDGPO) stellte die Rechtmäßigkeit dieser Website in Frage: Durch den Dienst, den Doctipharma mittels ihrer Website erbringe, nehme sie am elektronischen Arzneimittelhandel teil und verstoße daher gegen die nationalen Rechtsvorschriften, die den Verkauf von Arzneimitteln durch Personen, die nicht die Eigenschaft eines Apothekers hätten, verböten.

Die Cour d’appel de Paris (Berufungsgericht Paris, Frankreich) fragt den Gerichtshof zum einen, ob es sich bei der Tätigkeit von Doctipharma um einen Dienst der Informationsgesellschaft handelt, und zum anderen, ob das Unionsrecht es den Mitgliedstaaten erlaubt, die Erbringung eines solchen Dienstes zu verbieten, der darin besteht, mittels einer Website Apotheker und Kunden für den Verkauf nicht verschreibungspflichtiger Arzneimittel über Websites von Apotheken zusammenzuführen, die diesen Dienst abonniert haben.

Der Gerichtshof stellt insoweit klar, dass der Dienst, der in der Zusammenführung von Apothekern und potenziellen Patienten für den Verkauf von Arzneimitteln besteht, unter den Begriff „Dienst der Informationsgesellschaft“ im Sinne des Unionsrechts fällt.

Mit seinem Urteil entscheidet der Gerichtshof wie folgt:

1. Wird der Anbieter, der keine Apothekereigenschaft besitzt, selbst als Verkäufer der nicht verschreibungspflichtigen Arzneimittel angesehen, kann der Mitgliedstaat, in dem er niedergelassen ist, die Erbringung dieses Dienstes verbieten.

2. Beschränkt sich der betreffende Anbieter hingegen durch eine eigene und vom Verkauf unabhängige Leistung darauf, Verkäufer und Kunden zusammenzuführen, dürfen die Mitgliedstaaten diesen Dienst nicht mit der Begründung verbieten, dass die betreffende Gesellschaft am elektronischen Handel mit Arzneimitteln beteiligt sei, ohne die Eigenschaft eines Apothekers zu haben.

Zwar sind allein die Mitgliedstaaten dafür zuständig, die Personen zu bestimmen, die zum Verkauf nicht verschreibungspflichtiger Arzneimittel an die Öffentlichkeit im Fernabsatz durch Dienste der Informationsgesellschaft ermächtigt oder befugt sind, doch müssen sie auch sicherstellen, dass der Öffentlichkeit Arzneimittel zum Verkauf im Fernabsatz durch Dienste der Informationsgesellschaft angeboten werden und dürfen folglich einen solchen Dienst für nicht verschreibungspflichtige Arzneimittel nicht verbieten.

Urteil des Gerichtshofs in der Rechtssache C-606/21 | Doctipharma

Quelle: Pressemitteilung des EuGH v. 29.02.2023
 

BGH: Art. 15 DSGVO gibt keinen Anspruch auf Abschriften von Begründungsschreiben samt Anlagen zu PKV-Prämienanpassungen

Aus Art. 15 DSGVO lässt kein Anspruch herleiten, die Begründungsschreiben samt Anlagen zu Prämienanpassungen in der privaten Krankenversicherung zu erhalten (BGH, Urt. v. 06.02.2024 - Az.: VI ZR 15/23).

Der Kläger klagte gegen seine private Krankenversicherung, weil diese mehrfach Prämienerhöhungen durchgeführt hatte. Im Rahmen seines Anspruchs verlangte er - unter Hinweis auf Art. 15 DSGVO - auch weitere, bereits im Jahr 2016 erfolgte Beitragserhöhungen Auskunft zu erteilen und ihm dabei die Anschreiben, Begründungen nebst Beiblättern zur Beitragsanpassung sowie die Nachträge zum Versicherungsschein zur Verfügung zu stellen. 

Der BGH lehnte diesen Anspruch ab.

"Der geltend gemachte Anspruch lässt sich, wie der Bundesgerichtshof nach Erlass des Berufungsurteils entschieden hat (Urteil vom 27. September 2023 - IV ZR 177/22, NJW 2023, 3490 Rn. 45 ff.), nicht auf Art. 15 Abs. 1 und Abs. 3 DSGVO stützen. (...)

Der klägerische Antrag zielt auf die Übermittlung einer Abschrift der gesamten Begründungsschreiben des Beklagten zur im Jahr 2016 erfolgten Beitragserhöhung samt Anlagen ab. Einzelne Teile dieser Schreiben und Anlagen enthalten zwar einzelne personenbezogene Daten des Klägers als Versicherungsnehmer des Beklagten, es handelt sich aber weder bei den Anschreiben des Beklagten selbst noch bei den beigefügten Anlagen (Beiblätter, Nachtrag zum Versicherungsschein) in ihrer Gesamtheit um personenbezogene Daten des Klägers.

Eine Beschränkung des geltend gemachten Anspruchs und seines Antrags auf die in den Schreiben enthaltenen personenbezogenen Daten hat der Kläger jedoch nicht vorgenommen (vgl. BGH, Urteil vom 27. September 2023 - IV ZR 177/22, NJW 2023, 3490 Rn.46 ff.).

Auch aus Art. 15 Abs. 3 DSGVO kann der Kläger keinen Anspruch auf Ausfolgung einer Kopie der Begründungsschreiben samt Anlagen herleiten. Art. 15 Abs. 3 DSGVO legt die praktischen Modalitäten für die Erfüllung des Anspruchs aus Art. 15 Abs. 1 DSGVO fest, gewährt aber keinen weitergehenden eigenen Anspruch. Der Begriff "Kopie" in Art. 15 Abs. 3 DSGVO bezieht sich nicht auf ein Dokument als solches, sondern auf die personenbezogenen Daten, die es enthält.

Die Kopie muss daher alle personenbezogenen Daten enthalten, die Gegenstand der Verarbeitung sind. Die Reproduktion von Auszügen aus Dokumenten oder gar von ganzen Dokumenten oder auch von Auszügen aus Datenbanken kann sich aber dann als unerlässlich erweisen, wenn die Kontextualisierung der verarbeiteten Daten erforderlich ist, um ihre Verständlichkeit zu gewährleisten und der betroffenen Person die wirksame Ausübung ihrer Rechte zu gewährleisten (vgl. EuGH, Urteile vom 4. Mai 2023 - C-487/21, NJW 2023, 2253 Rn. 31 f., 41, 45; vom 22. Juni 2023 - C-579/21, NJW 2023, 2555 Rn. 66; vom 26. Oktober 2023 - C-307/22, NJW 2023, 3481 Rn. 74 f.; BGH, Urteil vom 27. September 2023 - IV ZR 177/22, NJW 2023, 3490 Rn. 51 ff.)."

OLG Brandenburg: Pauschales Behaupten von "Ärger, Unwohlsein und Stress" begründet keinen DSGVO-Schadensersatzanspruch

In einer aktuellen Entscheidung hat das OLG Brandenburg noch einmal klargestellt, dass auch nach der neuesten EuGH-Rechtsprechung das pauschales Behaupten von "Ärger, Unwohlsein und Stress" noch keinen DSGVO-Schadensersatzanspruch nach Art. 82 DSGVO begründet (OLG Brandenburg, Beschl. v. 05.03.2023 - Az.: 12 U 132/23).

Der Kläger begehrte Schadensersatz wegen einer angeblich verspäteten DSGVO-Auskunft iHv. 8.000,- EUR, da er hierdurch "Ärger, Unwohlsein und Stress" erlitten habe.

Das OLG Brandenburg lehnte das Begehren mit deutlichen Worten ab:

"Zwar ist der Ersatz eines immateriellen Schadens nach der Rechtsprechung des Europäischen Gerichtshofs (Urt. v. 4.5.2023 - C-300/21, NJW 2023, 1930) nicht davon abhängig, dass dieser Schaden eine bestimmte Erheblichkeitsschwelle überschreitet. Diese Verneinung einer solchen Erheblichkeitsschwelle bedeutet jedoch nach den Ausführungen des EuGH in der vorzitierten Entscheidung nicht, dass eine Person, die von einem Verstoß gegen die DSGVO betroffen ist, der für sie negative Folgen gehabt haben soll, vom Nachweis befreit wäre, dass diese Folgen einen immateriellen Schaden im Sinne von Art. 82 DSGVO darstellen. 

An einem solchen Nachweis fehlt es jedoch nach wie vor. Der nur pauschal behauptete Kontrollverlust als solcher stellt schon per se keinen immateriellen Schaden dar. 

Soweit der Kläger „Ärger, Unwohlsein und Stress“ geltend macht, handelt es sich um persönliche oder psychische Beeinträchtigungen, hinsichtlich derer es erforderlich ist, dass der Kläger konkrete Indizien vortragen und unter Beweis stellen muss, die eine solche psychische Beeinträchtigung stützen können. Für einen vom Kläger behaupteten immateriellen Schaden in Form von Ärger, Unwohlsein und Stress müssen demnach jedenfalls auch objektive Beweisanzeichen vorhanden sein, da andernfalls die bloße Bekundung des Betroffenen, einen immateriellen Schaden in Form belastender Gefühle erlitten zu haben, für einen Ersatzanspruch ausreichen würde (…). 

Solche konkreten Umstände hat der Kläger jedoch nicht vorgetragen. Es bleibt auch unklar, über welche personenbezogenen Daten er die Kontrolle verloren haben will."

Und weiter:

"Etwas anderes ergibt sich auch nicht aus der Entscheidung des EuGH vom 14.12.2023 (C-340/21, juris). Der EuGH hat darin entschieden, dass Art. 82 Abs. 1 DS-GVO dahin auszulegen ist, dass der Umstand, dass eine betroffene Person infolge eines Verstoßes gegen die DS-GVO befürchtet, dass ihre personenbezogenen Daten durch Dritte missbräuchlich verwendet werden können, einen immateriellen Schaden darstellen kann. 

Danach ist das angerufene nationale Gericht, wenn sich eine Person auf die Befürchtung beruft, dass ihre personenbezogenen Daten in Zukunft aufgrund eines solchen Verstoßes missbräuchlich verwendet werden, gehalten zu prüfen, ob diese Befürchtung unter den gegebenen besonderen Umständen und im Hinblick auf die betroffene Person als begründet angesehen werden kann. Eine solche Befürchtung macht der Kläger im Streitfall jedoch nicht geltend; er hat zudem keine Umstände vorgetragen, die eine solche Prüfung ermöglichen würden. Der EuGH hat darüber hinaus bestätigt, dass die betroffene Person einen immateriellen Schaden nachweisen muss."

OVG Münster: Online-Spiel nur dann Glücksspiel, wenn Verlust von mehr als 10 EUR/Stunde

Ein Online-Spiel ist nur dann ein Glücksspiel iSd. des GlüStV, wenn pro Stunde ein Verlust von mehr als 10,- EUR eintritt. Andernfalls handelt es sich um kein Glücksspiel (OVG Münster, Beschl. v. 11.03.2024 - Az.: 13 B 1047/22).

Inhaltlich ging es um eine glücksspielrechtliche Untersagungsverfügung gegen die Klägerin.

Die Klägerin betrieb auf ihrer Internetseite seit 2016 verschiedene Spiele unterschiedlicher Fernsehsender. Soweit die Teilnahme an einem Gewinnspiel zum damaligen Zeitpunkt kostenpflichtig war, betrug die Gebühr für die einmalige Teilnahme an einem Gewinnspiel 0,50 EUR. Daneben wurden ein Monatsabonnement mit monatlichen Kosten von 4,99 EUR sowie ein Jahrespaket zum Preis von 49,90 EUR angeboten, die jeweils zur einmaligen Teilnahme an allen dort angebotenen Gewinnspielen berechtigten. Zu gewinnen gab es sowohl Geld- als auch Sachpreise.

Die zuständige Behörde untersagte ihr das weitere Betreiben, da es sich angeblich um unerlaubtes Glücksspiel handeln würde.

1. Keine erlaubten Gewinnspiele nach § 11 MStV:

Das Gericht prüfte zunächst, ob die Untersagungsverfügung möglicherweise bereits deshalb rechtswidrig war, weil die Aktivitäten nach § 11 MStV erlaubt waren. 

Danach dürfen Gewinnspiele veranstaltet werden, wenn sie einen Einsatz von 0,50 EUR nicht überschreiten.

Im vorliegenden Fall lehnte das Gericht jedoch ab, weil durch die Kombination der Entgelte diese Grenze überschritten werde:

"Diese strenge Grenze hält das Angebot der Antragstellerin nicht ein. 

Zunächst beschränkt sich das Angebot zur Teilnahme an den angebotenen Gewinnspielen nicht lediglich auf einen Betrag von 0,50 Euro. 

Denn die Antragstellerin bietet neben der Möglichkeit zur Einzelteilnahme, für die ein Entgelt von 0,50 Euro verlangt wird, nach wie vor ein Monatsabonnement an, für das Kosten von 4,99 Euro anfallen. 

Unerheblich ist insoweit, dass der Monatsbeitrag von 4,99 Euro die Möglichkeit einer einmaligen Teilnahme an allen auf der Website der Antragstellerin verfügbaren Gewinnspielen eröffnet, also sich nicht lediglich auf die einmalige Teilnahme an einem Spiel bezieht. Denn der Teilnehmer ist im Fall des Abschlusses eines Monatsabonnements verpflichtet, bereits für das erste Spiel einen Betrag von 4,99 Euro aufzuwenden und damit deutlich mehr als das in § 11 Abs. 1 Satz 6 MStV genannte Maximalentgelt „für die Teilnahme“ von 0,50 Euro. Erst soweit sich der Teilnehmer entschließen sollte, im Anschluss daran innerhalb des laufenden Monats an (mindestens) neun weiteren – jeweils anderen – Gewinnspielen auf der Internetseite der Antragstellerin teilzunehmen, würden „im Mittel“ Teilnahmekosten von dann weniger als 0,50 Euro pro Spiel entstehen.

Auf diesen „Mittelwert“ bezieht sich jedoch die Regelung des § 11 Abs. 1 Satz 6 MStV nicht. Vielmehr sollte bereits die Vorgängerregelung des § 8a RStV die sogenannten Call-in-Gewinnspiele in Rundfunk und Fernsehen für den Fall legalisieren, dass nur ein Entgelt von maximal 0,50 Euro pro Teilnahme verlangt wird."

2. Aktivitäten der Klägerin jedoch gar kein Glücksspiel:

Das Gericht misst dann die Handlung an den Vorschriften des GlüStV und kommt zu dem Ergebnis, dass kein Glücksspiel vorliegt. Denn ein Verlust von mehr als zehn Euro pro Stunde würde nicht überschritten.

a. Erheblichkeitsgrenze gilt auch im GlüStV:

Nach Ansicht des OVG Münster gelte ein einheitlicher Glücksspielbegriff. Maßgeblich dabei seien die Vorgaben des § 284 StGB:

"Die auf die Bestimmung des § 9 Abs. 1 Satz 2 und Satz 3 Nr. 3 GlüStV 2021 gestützte Untersagungsverfügung ist jedoch aller Voraussicht nach rechtswidrig, weil es sich bei den von der Antragstellerin angebotenen Gewinnspielen nicht um Glücksspiele im Sinne des § 3 Abs. 1 Satz 1 GlüStV 2021 handelt. Denn die von den Teilnehmern zu leistenden Spieleinsätze überschreiten nicht die auch dem Entgeltbegriff des § 3 Abs. 1 Satz 1 GlüStV 2021 immanente Erheblichkeitsschwelle.

aa) Zwar lässt sich dem Wortlaut des § 3 GlüStV 2021 nicht unmittelbar eine Bagatellgrenze bzw. Erheblichkeitsschwelle eines Entgelts entnehmen. Nach der Legaldefinition des § 3 Abs. 1 Satz 1 GlüStV 2021 liegt ein Glücksspiel vor, wenn im Rahmen eines Spiels für den Erwerb einer Gewinnchance ein Entgelt verlangt wird und die Entscheidung über den Gewinn ganz oder überwiegend vom Zufall abhängt. § 3 Abs. 1 Satz 2 GlüStV 2021 stellt klar, dass die Entscheidung über den Gewinn in jedem Fall vom Zufall abhängt, wenn dafür der ungewisse Eintritt oder Ausgang zukünftiger Ereignisse maßgeblich ist. (Weitere) Bestimmungen zur Höhe des Entgelts treffen weder § 3 GlüStV 2021 noch die sonstigen Vorschriften des Glücksspielstaatsvertrages. § 6j GlüStV 2021 enthält lediglich Regelungen betreffend unentgeltliche Unterhaltungsangebote, für die kein Entgelt zu entrichten ist und bei denen ein Geldgewinn fehlt.

bb) Indes folgt eine solche Erheblichkeitsschwelle auch für den glücksspielrechtlichen Entgeltbegriff aus dem systematischen Zusammenhang der glücksspielrechtlichen Regelung mit § 33h Nr. 3 GewO, der seinerseits auf § 284 StGB Bezug nimmt.

§ 33h GewO normiert das Verhältnis der gewerberechtlichen Vorschriften, die Gewinnspiele betreffen, zu den landesrechtlichen, ordnungsrechtlichen Glücksspielregelungen. Im Rahmen seiner konkurrierenden Gesetzgebungskompetenz für das Recht der Wirtschaft gemäß Art. 74 Nr. 11 GG hat der Bundesgesetzgeber das gewerbliche Aufstellen von Spielgeräten mit Gewinnmöglichkeit (§ 33c GewO) sowie das gewerbliche Veranstalten anderer Spiele mit Gewinnmöglichkeit (§ 33d GewO) unter Erlaubnisvorbehalt gestellt und in §§ 33c ff. GewO näher geregelt. § 33g Nr. 2 GewO normiert einen Vorbehalt, die Erlaubnispflicht auf bestimmte nicht gewerbsmäßig betriebene Gewinnspiele auszudehnen. §§ 33c bis 33g GewO sind nach § 33h Nr. 1 und 2 GewO jedoch nicht auf die dort aufgeführten Spielbanken, Lotterien und Ausspielungen anzuwenden. Nach § 33h Nr. 3 GewO gelten sie auch nicht für diejenigen „anderen“ Spiele im Sinne des § 33d Abs. 1 Satz 1 GewO, die Glücksspiele im Sinne des § 284 StGB sind. Diese – und nur diese – „anderen“ Spiele bleiben der Regelung durch den Landesgesetzgeber im Rahmen seiner Kompetenz für das Ordnungsrecht überlassen. Die Übrigen, die nicht unter § 284 StGB fallen, sind in § 33d Abs. 1 Satz 1 GewO detailliert und abschließend geregelt. Diese Abgrenzung des Anwendungsbereichs der Gewerbeordnung vollzieht die Abgrenzung zwischen der Bundesgesetzgebungskompetenz für das Wirtschaftsrecht und der Landesgesetzgebungskompetenz für das Ordnungsrecht nach.

Sie steht nicht zur Disposition des Landesgesetzgebers. Er darf den ordnungsrechtlichen Begriff des Glücksspiels bei „anderen“ Spielen mit Gewinnmöglichkeit nicht weiter fassen als den Glücksspielbegriff des § 284 StGB. Das Tatbestandsmerkmal des für den Erwerb einer Gewinnchance verlangten Entgelts im Sinne des § 3 Abs. 1 Satz 1 GlüStV darf deshalb nicht weiter ausgelegt werden als der Begriff des Einsatzes, der Bestandteil der Definition des Glücksspiels im Sinne des § 284 StGB ist."

b. Es gilt Erheblichkeitsgrenze von 10,- EUR Verlust/Stunde:

Auf Basis dieser Ausführungen kommen die Verwaltungsrichter zu dem Schluss, dass ein Glücksspiel nur dann vorliegt, wenn das Spiel einen Verlust von mehr als 10,- EUR/Stunde vorsieht:

"Ob im Rahmen des § 284 StGB ein Einsatz als nicht ganz unbeträchtlich einzuordnen ist, bestimmt sich jedenfalls bei jedermann offenstehenden Glücksspielen nach den gesellschaftlichen Anschauungen. Dabei kann das Kriterium des erforderlichen Aufwands für eine anderweitige unterhaltende Veranstaltung zur Orientierung herangezogen werden.

BGH, Urteil vom 8. August 2017 - 1 StR 519/16 -, juris, Rn. 13, unter Bezugnahme auf Reichsgericht, Urteil vom 28. Mai 1889 - Rep. 1039/89 -, RGSt 19, 253 f., und OLG Köln, Urteil vom 19. Februar 1957 ‑ Ss 417/56 -, NJW 1957, 721; vgl. ferner Heine/Hecker in Schönke/Schröder, StGB, 30. Aufl. 2019, a. a. O.; Hohmann/Schreiner in Münchener Kommentar zum StGB, 4. Aufl. 2022, § 284 Rn. 12; Krehl/Börner in Leipziger Kommentar zum StGB, a. a. O.

Nach Ansicht des Bundesgerichtshofs dürfte derzeit ein möglicher Verlust von mehr als zehn Euro in der Stunde auf ein Glücksspiel im Sinne des § 284 StGB hindeuten. So BGH, Urteil vom 8. August 2017 - 1 StR 519/16 -, juris, Rn. 13."

Auf die Aktivitäten der Klägerin liege damit kein erheblicher Einsatz und damit auch kein Glücksspiel vor:

"Nach den oben stehenden Grundsätzen ist bei dem Angebot der Antragstellerin die Erheblichkeitsschwelle unter den derzeitigen Spielbedingungen nicht überschritten. Der Senat sieht als maßgeblich hinsichtlich der relevanten Entgelthöhe die durch die Rechtsprechung des Bundesgerichtshofs definierte Verlustschwelle von (derzeit) zehn Euro in der Stunde an.

Hier liegt die für die Teilnehmer der Online-Gewinnspiele der Antragstellerin zu leistende maximale Einmalzahlung mit 4,99 Euro für ein Monatsabo unterhalb dieser Erheblichkeitsschwelle. Auch bei einer Aufsummierung mit den nach Abschluss eines Monatsabos weiter in einem Zug durchspielbaren maximal zehn Spielen pro Tag à 0,50 Euro fallen insgesamt höchstens 9,99 Euro an, die die Zehn-Euro-Grenze (auch in einer Stunde) nicht übersteigen. Das Jahrespaket für einen Betrag von 49,90 Euro bietet die Antragstellerin bereits seit Juni 2022 nicht mehr an.

Mangels Überschreiten der Erheblichkeitsschwelle liegt kein „Entgelt“ im Sinne des § 3 Abs. 1 Satz 1 GlüStV 2021 und damit auch kein Glücksspiel vor. 

Die Antragsgegnerin konnte damit die gegenständliche Untersagungsverfügung nicht auf die Bestimmungen des § 9 Abs. 1 Satz 2 und Satz 3 Nr. 3 GlüStV 2021 stützen, die das Vorliegen eines öffentlichen Glücksspiels im Sinne des § 3 Abs. 1 Satz 1 GlüStV 2021 voraussetzen."

Anmerkung von RA Dr. Bahr:
Eine lesenswerte Entscheidung des OVG Münster, die noch für viel Aufsehen in der Glücksspiel-Branche sorgen wird.

Es bleibt aber abzuwarten, ob sich andere Gerichte dieser Meinung anschließen werden.

OLG Zweibrücken: Online-Zeitung darf über Verurteilung eines lokalen Bauunternehmers im Rahmen einer Kommunalwahl berichten

Das Pfälzische Oberlandesgerichts bestätigte, dass in einer Tageszeitung anlässlich einer damals anstehenden Neuwahl des Ortsvorstehers zulässig über die erstinstanzliche strafrechtliche Verurteilung eines lokalen Bauunternehmers berichtet worden sei, der mit zwei der Kandidaten verwandt ist.

Eine große pfälzische Tageszeitung berichtete in ihrer Online-Ausgabe vom 30.06.2023 und ihrer Print-Ausgabe vom 01.07.2023 über die damals anstehende Neuwahl eines Ortsvorstehers. 

Diese war notwendig geworden, weil der bisherige Ortsvorsteher nach diversen Anfeindungen zurückgetreten war. Im Artikel wurden die drei Kandidaten vorgestellt und dabei erwähnt, dass zwei der Kandidaten mit einem lokalen Bauunternehmer und Landwirt verwandt seien, dem Anwohner vorwerfen, für den stark angestiegenen Lkw-Verkehr im Ort verantwortlich zu sein. Dabei wurde auch berichtet, dass der Bauunternehmer erstinstanzlich zu einer Freiheitsstrafe auf Bewährung u.a. wegen Beleidigung, Nötigung, Bedrohung und versuchter gefährlicher Körperverletzung von Anwohnern verurteilt worden sei.

 Auf eine Abmahnung des Bauunternehmers hin schwärzte die Zeitung das E-Paper und ergänzte den Online-Beitrag um den Hinweis, dass das Urteil noch nicht rechtskräftig sei. 

Der Bauunternehmer verlangte hierauf im gerichtlichen Eilverfahren den Erlass einer einstweiligen Verfügung gegen die Zeitung, wonach sie den ihn betreffenden Bericht unterlassen sollte. Das Landgericht Kaiserslautern wies den Antrag zurück. Hiergegen hat der Bauunternehmer sofortige Beschwerde eingelegt. Die sofortige Beschwerde des Bauunternehmers wies der 4. Zivilsenat des Pfälzischen Oberlandesgerichts zurück. 

Der 4. Zivilsenat hat zur Begründung ausgeführt, dass es schon an der erforderlichen Eilbedürftigkeit für das beschrittene gerichtliche Eilverfahren fehle. Der Bauunternehmer habe mehr als 5 Wochen mit der Stellung seines Antrags gewartet und die Zeitung habe den Online-Artikel um den Zusatz, wonach das strafrechtliche Urteil noch nicht rechtskräftig sei, bereits ergänzt. 

Unabhängig davon handele es sich um eine zulässige Verdachtsberichterstattung. 

Zwar könnten anhand der im Artikel genannten Einzelinformationen zumindest die Einwohner des betroffenen Ortsteils den Bauunternehmer identifizieren. Der Bericht beruhe aber auf wahren Tatsachen, nämlich die tatsächliche Verurteilung des Bauunternehmers. Außerdem werde zumindest durch den Zusatz klar, dass die Verurteilung auch noch nicht rechtskräftig sei. 

Die Beeinträchtigung des Persönlichkeitsrechts des Bauunternehmers stehe nicht außer Verhältnis zum Informationsbedürfnis der Öffentlichkeit. Es gehöre gerade zu den Aufgaben der Presse, in Zusammenhang mit demokratischen Prozessen zu berichten. 

Hierzu gehöre auch die Berichterstattung über den Hintergrund der Kandidaten, insbesondere deren verwandtschaftliche Beziehungen, da diese möglicherweise Einfluss auf zukünftige Entscheidungen der Kandidaten haben könnten. Sowohl der erhöhte Lkw-Verkehr im Ort, als auch die erstinstanzlich abgeurteilten Straftaten des Antragstellers zu Lasten der Anwohner seien jedenfalls von lokalem Interesse.

Verfahrensgang:
Landgericht Kaiserslautern, Beschluss vom 11.08.2023, Az. 2 O 504/23
Pfälzisches Oberlandesgericht  Zweibrücken, Beschluss vom 26.10.2023, Az. 4 W 23/23

Quelle: Pressemitteilung des OLG Zweibrücken v. 11.03.2024

LG Darmstadt: PAngVO gilt bei allgemein abrufbaren Online-Shops auch dann, wenn Verkäufer nur an Unternehmer veräußern wollte

Die PAngVO gilt bei einem Online-Shop, der von jedermann ohne Einschränkung abgerufen werden kann, auch dann, wenn der Verkäufer nur an Unternehmer verkaufen will (LG Darmstadt, Urt. v. 19.02.2024 - Az.: 18 O 18/23).

Die Beklagte hatte auf einer Online-Plattform ein Angebot eingestellt, dabei jedoch keinen Grundpreis iSv. § 4 PAngVO angegeben. Auf die Abmahnung hin verteidigte sich die Beklagte mit dem Argument, dass das Angebot sich nur an Unternehmer richte. 

Dies ließ das Gericht nicht gelten. Aufgrund der Tatsache, dass das Angebot von jedermann einsehbar gewesen sei, richte sich auch an Verbraucher:

"Dass der Zeuge (…) ausgesagt hat, dass er der Überzeugung ist, dass der Artikel nicht von einer Privatperson hätte gekauft werden können, ist unerheblich. 

Denn bei Internetangeboten, die für jedermann zugänglich sind, ist davon auszugehen, dass sie zumindest auch Privatkunden ansprechen, wenn sie nicht eindeutig und unmissverständlich eine Beschränkung auf Wiederverkäufer enthalten (…). Der Werbende kann sich in diesem Fall nicht darauf berufen, dass er mit Verbrauchern keine Verträge schließt, um die Anwendung der PAngV auszuschließen (…). 

Unter Zugrundelegung dieser Maßstäbe ist bei dem in Rede stehenden Angebot eine Beschränkung auf Wiederverkäufer nicht ersichtlich. Insbesondere führt die Angabe einer Mindestbestellmenge von „6“ nicht dazu, dass der durchschnittliche Privatkunde, der auf das Angebot der Beklagten stößt, davon ausgeht, dass sich dieses Angebot ausschließlich an Wiederverkäufer richtet (…), zumal auch ausdrücklich darauf hingewiesen wird, dass sich die Preisangabe von 5,69 € inklusive Umsatzsteuer versteht."

Daran änderten auch nichts etwaige technische Unzulänglichkeiten der eingesetzten Online-Plattform:

“Der Hinweis der Beklagten, dass es für den […]-Marketplace-Verkäufer keinen Schalter gebe, mit dem man festlegen könne, ob ein Grundpreis anzuzeigen ist oder nicht, verfängt nicht. Denn grundsätzlich darf eine Plattform, bei der nicht sichergestellt ist, dass ein (auch) Privatkunden ansprechendes Angebot den Grundpreis enthält, nicht verwendet werden (…)”

LG Freiburg: 100,- EUR DSGVO-Schadenersatz gegen Twitter bzw. X wegen API-Bug

Ein Betroffener des sogenannten API-Bugs bei Twitter hat gegen den Social Media-Dienst einen DSGVO-Schadensersatzanspruch iHv. 100,- EUR (LG Freiburg, Urt. v. 08.02.2024 -Az.: 8 O 212/23).

Inhaltlich stritten die Parteien um den sogenannten API-Bug bei Twitter. 

Der Kläger war Twitter-User und nutzte den Dienst. Die Beklagte war das soziale Netzwerk Twitter bzw. X und betrieb die Webseite twitter.com.

1. Inhalt des API-Bugs:

Im Juni 2021 kam es bei der Beklagten zu einem Fehler in der API-Schnittstelle:

"Dieser bestand darin, dass es nach einem Update für eine bestimmte Zeit über eine nicht durch Sicherheitsmaßnahmen eingeschränkte API-Schnittstelle Dritten, die sich bereits im Besitz der E-Mail-Adresse oder Telefonnummer eines Nutzers befanden, möglich war, mittels Eingabe dieser Daten die Twitter-ID ebenjenes Nutzers zu erhalten und dann mit der schon vorhandenen E-Mailadresse / Telefonnummer zu verknüpfen. Ebenso war dies einem Dritten möglich, wenn willkürlich E-Mail-Adressen und Handynummern – beispielsweise bezogen auf Handynummer mit Rufnummernaufzählung - durchprobiert wurden. 

Ergab der dann nachfolgende Abgleich zwischen den eingespeisten Daten und der bei Twitter vorhandenen Nutzer- Datenbank über die API-Schnittstelle einen Treffer, wurde die Twitter-ID des Nutzers übermittelt und dem Dritten bekannt gegeben. Aufgrund der vorübergehenden Programmierung der API-Schnittstelle war es möglich, mithilfe der E-Mail-Adresse oder Telefonnummer die Nutzer auch dann aufzufinden, wenn dies – wie bei der Klagepartei – aufgrund der standardisierten Einstellungen hätte ausgeschlossen sein sollen. 

Mit Hilfe der so erlangten Twitter-ID konnten kriminelle Akteure im Wege des Daten-Scrapings die im Account hinterlegten öffentlich zugänglichen Stammdaten des jeweiligen Nutzers visualisieren und abgreifen und die in Summe abgegriffenen Daten in einen einheitlichen Datensatz konvertieren."

Und weiter:

"Welche Datenpunkte in dem so zusammengestellten Datensatz enthalten waren, war dabei jeweils davon abhängig, wie viele Daten der Nutzer in seinem Twitter Profil angegeben hat. Grundsätzlich konnten es sein: E-Mail-Adresse, Telefonnummer, Twitter-ID, Namen des Nutzers (wenn im Profil eingegeben), Accountnamen des Nutzers (wenn im Profil eingegeben), Verifizierungsstatus des Nutzers (wenn im Profil eingegeben), Wohnort des Nutzers (wenn im Profil eingegeben), Anzahl der Freunde des Twitter Nutzers (wenn im Profil eingegeben), Favoritenlisten des Nutzers (wenn im Profil eingegeben), URLs zu dem Profilbild des Nutzers (wenn im Profil eingegeben), Geburtstag des Nutzers (wenn im Profil eingegeben).

Im Juni 2022 wurde, weil die abgegriffenen Daten in einem bekannten Hacker-Forum zum Download angeboten wurden, bekannt, dass unbefugte Dritte in einer Vielzahl von Fällen den API-Bug dazu genutzt hatten, Twitter-ID von Nutzern in Erfahrung zu bringen, mit der eingegebenen Handynummer oder E-Mail-Adresse zu verknüpfen und dann im Profil als öffentlich eingestellte Daten abzurufen. In einer allgemeinen Pressemitteilung vom 05.08.2022 führte die Beklagte dazu folgendes aus:"

2. Ansprüche des Users: Auskunft, Unterlassung und Schadensersatz:

Der User machte daraufhin umfangreiche Ansprüche geltend, u.a. Unterlassung und Schadensersatz.

Das Gericht sprach dem Kläger jedoch nur einen sehr geringen Teil zu, so u.a. nur 100,- EUR DSGVO-Schadensersatz.

a. Unterlassung:

Das Gericht lehnte den Unterlassungsanspruch insbesondere deshalb weil, weil er prozessual nicht hinreichend bestimmt gestellt worden sei, so die Richter.

Das gerichtlich geltend gemachte Begehren lautete wörtlich:

“Die Beklagte wird verurteilt, für jeden Fall der Zuwiderhandlung ein vom Gericht festzusetzenden Ordnungsgeldes bis zu € 250.000,00 (…) zu unterlassen, personenbezogene Daten der Klägerseite, namentlich Telefonnummer und Mailadresse sowie die Twitter-ID Dritten über eine API-Schnittstelle zugänglich zu machen, ohne die nach dem Stand der Technik möglichen Sicherheitsmaßnahmen vorzunehmen.”

Das Gericht war der Ansicht, dass der Begriff “Stand der Technik” nicht ausreichend bestimmt und die Klage daher bereits unzulässig sei:

"Das mit der Unterlassungsverpflichtung Begehrte ließe sich vorliegend insbesondere im späteren Vollstreckungsverfahren im tatsächlichen nicht im ausreichenden Maße durch Auslegung unter Heranziehung des Sachvortrags der Klagepartei entnehmen. 

Die tatsächliche Gestaltung der Sicherheitsmaßnahmen und die Frage, was Stand der Technik ist, steht vorliegend zwischen den Parteien gerade nicht außer Frage. Ihr Streit würde sich deshalb gerade nicht lediglich auf die rechtliche Qualifizierung der angegriffenen Verhaltensweise beschränken lassen. 

Die Klagepartei hat ihren Unterlassungsantrag trotz entsprechenden Hinweises nicht auf die konkrete Verletzungshandlung beschränkt (…)."

Aber auch aus inhaltlichen Gründen lehnten die Robenträger den Anspruch ab. Denn es bestünde nach der DSGVO nur die Pflicht auf ein angemessenes Datenschutzniveau:

"Denn die Beklagte trifft als Verantwortliche keine Verpflichtung, die nach dem Stand der Technik möglichen Sicherheitsmaßnahmen vorzusehen.

1. Zwar folgt aus Art. 32 Abs. 1 und 2 DSGVO, dass der Verantwortliche ein dem Risiko eines unbefugten Zugangs zu personenbezogenen Daten angemessenes Schutzniveau zu gewährleisten hat. Dabei liegt es im Ermessen des Verantwortlichen, aus der Vielzahl möglicher Maßnahmen, die das Risiko der Datenverarbeitung reduzieren können, konkrete Maßnahmen auszuwählen, durch die nach seiner Einschätzung ein angemessenes Schutzniveau erreicht wird (…). 

Allerdings ist wesentlich, dass nicht alle möglichen Maßnahmen zur Gewährleistung von Datensicherheit zu ergreifen sind, sondern nur solche, die unter Abwägung zwischen Schutzzweck und Aufwand unter Berücksichtigung der Arten der Daten, dem Stand der Technik und den anfallenden Kosten als verhältnismäßig anzusehen sind (…). Denn die DSGVO verlangt keine Datensicherheit um jeden Preis und verpflichtet den Verantwortlichen nicht zu einem absoluten Schutz der personenbezogenen Daten; vielmehr muss das Schutzniveau dem jeweiligen Einzelfall angemessen sein, wobei Risiken nicht gänzlich ausgeschlossen werden können (…).

2. Die Klagepartei kann daher lediglich ein angemessenes Schutzniveau bzw. die Unterlassung einer Datenverarbeitung ohne dieses verlangen. Darauf, dass eines der Abwägungskriterien in den Vordergrund gestellt wird, hat sie ebenso wenig Anspruch wie auf das Ergreifen konkreter Maßnahmen (…)."

b. DSGVO-Schadensersatz:

Das Gericht sah es als erwiesen an, dass durch den API-Fehler der Kläger einen Schaden erlitten habe:

"Im streitgegenständlichen Fall ist das Gericht davon überzeugt, dass dem Kläger nach Maßgabe dessen ein kausal auf die Verstöße der Beklagten zurückzuführender immaterieller Schaden zugefügt wurde.

(aa) Der Kläger hat in seiner informatorischen Anhörung erklärt, dass er seit ungefähr einem Jahr stark vermehrt Spam-E-Mails erhalte. Derzeit erhalte er ungefähr 100 Spam-E-Mails pro Monat. Vor zwei oder drei Jahren habe er sich ein Ersatz-E-Mail-Konto eingerichtet, auf dem er nie Spam-E-Mails erhalte. Der Spam-Ordner in seinem ursprünglichen E-Mail-Konto sei immer proppenvoll. Er habe auch schon einmal wichtige Nachrichten verpasst, weil der Spam-Filter von googlemail sie aus Versehen in den Spam-Ordner einsortiert habe.

Er empfinde es als sehr lästig, so viele Spam-E-Mails zu erhalten. Er habe außerdem Angst, versehentlich einmal auf einen Viren-Link zu klicken, wodurch auf seinem – auch dienstlich genutzten – Computer ein Bot installiert werden könnte. Er habe auch Angst davor, was passiert, wenn jemand mit seiner E-Mail-Adresse und in seinem Namen etwas rausschickt an seine Kontakte. Die Frage seines Prozessbevollmächtigten, ob er Angst vor Missbrauch seiner Daten habe, bejahte er. Er hätte beispielsweise Angst davor, dass jemand unter seinem Namen etwas verschickt. Er habe es selbst schon erlebt, dass er E-Mails bekomme von Leuten, die er tatsächlich kenne. Er hätte eben Angst, dass jemand etwas Ähnliches mit seiner E-Mail-Adresse täte, beispielsweise auch, dass jemand Geschäfte mit seiner E-Mail-Adresse mache oder mit seiner E-Mail-Adresse im Darknet unterwegs sei."

Das Gericht wertete dies als ausreichend, um einen Schaden zu bejahen:

"Der Schaden des Klägers liegt nicht in dem vermehrten Aufkommen an Spam-E-Mails. Die damit einhergehenden Beeinträchtigungen erschöpfen sich in einer Verärgerung über den Mehraufwand für das Aussortieren unerwünschten Spam-E-Mails. Ebenfalls kein kausaler Schaden liegt darin, dass der Kläger in der Vergangenheit vereinzelt wichtige Nachrichten verpasst hat. (…)

Der Schaden des Klägers liegt aber in seiner konkret-individuell und damit glaubhaft geschilderten Angst vor einer missbräuchlichen Verwendung seiner E-Mail-Adresse durch Dritte. Der Kläger hat zunächst spontan berichtet, dass er Angst davor hätte, dass unter seiner E-Mail-Adresse Nachrichten an seine Kontakte verschickt würden. Darauf kam er auf konkrete Nachfrage seines Prozessbevollmächtigten noch einmal zurück. Diese Sorge vor einem Missbrauch kann unter den gegebenen Umständen auch als begründet angesehen werden, weil nicht ausgeschlossen werden kann, dass die E-Mail-Adresse des Klägers missbräuchlich verwendet wird (…)."

Ohne wirkliche Begründung, sondern vielmehr mit allgemeinen Ausführungen bestimmte das Gericht dann eine Schadenshöhe von 100,- EUR:

“Im streitgegenständlichen Fall hält das Gericht unter Berücksichtigung der Ausgleichs- und Genugtuungsfunktion sowie der generalpräventiven Funktion des immateriellen Schadenersatzes einen Betrag in Höhe von 100 € erforderlich, aber auch ausreichend. Dabei fließt anspruchserhöhend ein, dass der Beklagten mehrere schadensursächliche Verstöße gegen die DSGVO zur Last zu legen sind. Anspruchsmindernd ist zu berücksichtigen, dass es sich bei den gescrapten Daten lediglich um die E-Mail-Adresse, nicht jedoch um besonders sensible Informationen wie Gesundheits- oder Kontodaten handelt.”

AG Karlsruhe: Vertragsklausel der EnBW zu Ladesäulenblockiergebühr wirksam

Das Amtsgericht Karlsruhe hat die Klage eines E-Autofahrers gegen die EnBW auf Rückzahlung von Blockiergebühren abgewiesen. 

Die Blockiergebühren in Höhe von insgesamt 19,80 EUR waren wegen Überschreitung der zulässigen Höchststandzeit an Ladesäulen der EnBW an drei verschiedenen Terminen im März 2022 angefallen. 

Die Blockiergebühr ist nach den Bedingungen des ADAC e-Charge Tarifs, der von der EnBW angeboten wird, ab einer Standzeit von mehr als 240 Minuten fällig. Ab diesem Zeitpunkt sind 12 Cent pro Minute zu zahlen, maximal jedoch 12 EUR. Auf die Blockiergebühr wird sowohl beim Abschluss des Tarifs als auch beim Start des Ladevorgangs hingewiesen. Der Kläger hatte diesen Bedingungen bei Nutzung der App zugestimmt. 

Der Kläger hatte argumentiert die Klausel sei unwirksam. Im Übrigen verlangten andere Anbieter keine Blockiergebühr. 

Nach Auffassung des Amtsgerichts ist die Klausel wirksam, da das Interesse der EnBW die Ladesäule zeitnah weiteren Kunden zur Verfügung stellen zu können, berechtigt ist. 

Die Entscheidung erging ohne mündliche Verhandlung. Sie ist rechtskräftig.

Amtsgericht Karlsruhe, Urteil vom 04.01.2024, 6 C 184/23

Quelle: Pressemitteilung des AG Karlsruhe v. 24.01.2024

EU-Datenschutzbeauftragter: EU-Kommission verstößt mit Einsatz von Microsoft 365 gegen DSGVO

Der Europäische Datenschutzbeauftragte teilt in einer aktuellen Pressemitteilung mit, dass die Europäische Kommissionbei der Nutzung von Microsoft 365 gegen mehrere wichtige Regelungen der DSGVO verstoßen hat.

Im Mittelpunkt stehen zwei Vorwürfe: Erstens habe die EU-Kommission eine unsichere Datenübermittlung in ein Drittland nicht unterbunden. Und zweitens sei nicht ermittelt worden, welche Daten genau erhoben werden:

“In particular, the Commission has failed to provide appropriate safeguards to ensure that personal data transferred outside the EU/EEA are afforded an essentially equivalent level of protection as guaranteed in the EU/EEA Furthermore, in its contract with Microsoft, the Commission did not sufficiently specify what types of personal data are to be collected and for which explicit and specified purposes when using Microsoft 365. The Commission’s infringements as data controller also relate to data processing, including transfers of personal data, carried out on its behalf.”

Konsequenz dieser Verstöße ist nun, dass der EU-Datenschutzbeauftragte mit Wirkung zum 09.12.2024 der EU-Kommission zahlreiche Abhilfemaßnahmen auferlegt hat. Es handelt sich dabei um einen umfangreichen Katalog, der im Anhang zur Pressemitteilung abgedruckt ist.

“The EDPS has therefore decided to order the Commission, effective on 9 December 2024, to suspend all data flows resulting from its use of Microsoft 365 to Microsoft and to its affiliates and sub-processors located in countries outside the EU/EEA not covered by an adequacy decision. The EDPS has also decided to order the Commission to bring the processing operations resulting from its use of Microsoft 365 into compliance with Regulation (EU) 2018/1725. The Commission must demonstrate compliance with both orders by 9 December 2024.”

Anmerkung von RA Dr. Bahr:

Diese aktuelle Entscheidung zeigt deutlich die Ambivalenz des gesamten Datenschutzrechts.

Denn die EU-Kommission verstößt selbst gegen die Regeln der DSGVO. Praktische Konsequenz: Sie muss (nur) nachbessern, muss aber nicht wie jedes privatwirtschaftliche Unternehmen DSGVO-Bußgelder fürchten, weil es diese im öffentlichen Bereich eben nicht gibt.

Man darf gespannt sein, wie die Europäische Kommission die Forderungen des Europäischen Datenschutzbeauftragten umsetzen will. 

Beispielweise lautet eine Pflicht.

“to order the Commission, under Article 58(2)(j) of Regulation (EU) 2018/1 725 and with effect from 9 December 2024, to suspend all data flows resulting from its use of Microsoft 365 to Microsoft and to its affiliates and sub-processors, located in third countries not covered by an adequacy decision as referred to in Article 47(1) of the Regulation, and to demonstrate the effective implementation of such suspension (infringements setoutin paragraphs 3.a and b, first indent, and 4 below)”

Eine andere:

“carrying out a transfer-mapping exercise identifying what personal data are transferred to which recipients in which third countries, for which purposes and subject to which safeguards, including an onward transfers (infringements listed in paragraph 3.a and b, first indent, below);”

Ob die EU-Kommission hier die notwendigen Informationen von Microsoft bekommen wird?