Kevin Leibold

DS-GVO-Vorlagefragen an den EuGH – Übersicht


ZD-Aktuell 2021, 05544     Der EuGH hatte schon in verschiedenen Verfahren die Möglichkeit über die Auslegung der DS-GVO zu befinden (vgl. etwa EuGH ZD 2020, 511 mAnm Moos/Rothkegel = MMR 2020, 597 mAnm Hoeren – Schrems II; EuGH ZD 2019, 556 mAnm Hanloser = MMR 2019, 732 mAnm Moos/Rothkegel – Planet49). Mittlerweile wurden noch viele weitere Fragen rund um die Auslegung der DS-GVO von nationalen Gerichten vorgelegt.

Nachfolgend werden die derzeit noch beim EuGH anhängigen Vorlagefragen aufgeführt (vgl. dazu auch Koglin/Leibold, Datenschutzrecht – DSGVO, BDSG und TTDSG, 6. Aufl. 2021, S. 36 ff.).

 

Vorabentscheidungsersuchen

Vorlagefragen

EuGH C-741/21 – juris, Vorabentscheidungsersuchen des LG Saarbrücken, eingereicht am 1.12.2021

Vorlagefragen sind noch nicht öffentlich (es handelt sich vermutlich um das Vorlageersuchen des LG Saarbrücken B. v. 22.11.2021 – 5 O 151/19):

1. Ist der Begriff des immateriellen Schadens in Art. 82 Abs. 1 DS-GVO im Hinblick auf den Erwägungsgrund 85 und den Erwägungsgrund 146 S. 3 VO (EU) 2016/679 in dem Sinne zu verstehen, dass er jede Beeinträchtigung der geschützten Rechtsposition erfasst, unabhängig von deren sonstigen Auswirkungen und deren Erheblichkeit?

2. Wird die Haftung auf Schadensersatz gem. Art. 82 Abs. 3 DS-GVO dadurch ausgeschlossen, dass der Rechtsverstoß auf menschliches Versagen im Einzelfall einer iSv Art. 29 DS-GVO unterstellten Person zurückgeführt wird?

3. Ist bei der Bemessung des immateriellen Schadensersatzes eine Orientierung an den in Art. 83 DS-GVO, insbesondere Art. 83 Abs. 2 und Abs. 5 DSGVO genannten Zumessungskriterien erlaubt bzw. geboten?

4. Ist der Schadensersatz für jeden einzelnen Verstoß zu bestimmen oder werden mehrere – zumindest mehrere gleichgelagerte – Verstöße mit einer Gesamtentschädigung sanktioniert, die nicht durch eine Addition von Einzelbeträgen ermittelt wird, sondern auf einer wertenden Gesamtbetrachtung beruht?

EuGH C-687/21 – Saturn Electro, Vorabentscheidungsersuchen des AG Hagen, eingereicht am 16.11.2021

Vorlagefragen sind noch nicht öffentlich.

EuGH C-683/21 – Nacionalinis visuomenes sveikatos centras, Vorabentscheidungsersuchen des Vilniaus apygardos administracinis teismas (Litauen), eingereicht am 12.11.2021

Vorlagefragen sind noch nicht öffentlich.

EuGH C-667/21 – Krankenversicherung Nordrhein, Vorabentscheidungsersuchen des BAG, eingereicht am 8.11.2021

Vorlagefragen sind noch nicht öffentlich (es handelt sich vermutlich um das Vorlageersuchen des BAG ZD 2022, 56 mAnm Leibold – erscheint in ZD 1/2022):

1. Ist Art. 9 Abs. 2 lit. h DS-GVO dahin auszulegen, dass es einem Medizinischen Dienst einer Krankenkasse untersagt ist, Gesundheitsdaten seines Arbeitnehmers, die Voraussetzung für die Beurteilung der Arbeitsfähigkeit dieses Arbeitnehmers sind, zu verarbeiten?

2. Für den Fall, dass der Gerichtshof die Frage zu 1. verneinen sollte mit der Folge, dass nach Art. 9 Abs. 2 lit. h DS-GVO eine Ausnahme von dem in Art. 9 Abs. 1 DS-GVO bestimmten Verbot der Verarbeitung von Gesundheitsdaten in Betracht käme: Sind in einem Fall wie hier über die in Art. 9 Abs. 3 DS-GVO bestimmten Maßgaben hinaus weitere, gegebenenfalls welche Datenschutzvorgaben zu beachten?

3. Für den Fall, dass der Gerichtshof die Frage zu 1. verneinen sollte mit der Folge, dass nach Art. 9 Abs. 2 lit. h DS-GVO eine Ausnahme von dem in Art. 9 Abs. 1 DS-GVO bestimmten Verbot der Verarbeitung von Gesundheitsdaten in Betracht käme: Hängt in einem Fall wie hier die Zulässigkeit bzw. Rechtmäßigkeit der Verarbeitung von Gesundheitsdaten zudem davon ab, dass mindestens eine der in Art. 6 Abs. 1 DS-GVO genannten Voraussetzungen erfüllt ist?

4. Hat Art. 82 Abs. 1 DS-GVO spezial- bzw. generalpräventiven Charakter und muss dies bei der Bemessung der Höhe des zu ersetzenden immateriellen Schadens auf der Grundlage von Art. 82 Abs. 1 DS-GVO zulasten des Verantwortlichen bzw. Auftragsverarbeiters berücksichtigt werden?

5. Kommt es bei der Bemessung der Höhe des zu ersetzenden immateriellen Schadens auf der Grundlage von Art. 82 Abs. 1 DS-GVO auf den Grad des Verschuldens des Verantwortlichen bzw. Auftragsverarbeiters an? Insbesondere, darf ein nicht vorliegendes oder geringes Verschulden auf Seiten des Verantwortlichen bzw. Auftragsverarbeiters zu dessen Gunsten berücksichtigt werden?

EuGH C-634/21 – SCHUFA Holding ua, Vorabentscheidungsersuchen des VG Wiesbaden (erscheint in ZD 2/2022 mAnm Quasim), eingereicht am 15.10.2021

1. Ist Art. 22 Abs. 1 der VO (EU) 2016/679 des Europäischen Parlaments und des Rates v. 27.4.2016 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten, zum freien Datenverkehr und zur Aufhebung der RL 95/46/EG dahingehend auszulegen, dass bereits die automatisierte Erstellung eines Wahrscheinlichkeitswerts über die Fähigkeit einer betroffenen Person, künftig einen Kredit zu bedienen, eine ausschließlich auf einer automatisierten Verarbeitung – einschließlich Profiling – beruhende Entscheidung, die der betroffenen Person gegenüber rechtliche Wirkung entfaltet oder sie in ähnlicher Weise erheblich beeinträchtigt, wenn dieser mittels personenbezogener Daten der betroffenen Person ermittelte Wert von dem Verantwortlichen an einen dritten Verantwortlichen übermittelt wird und jener Dritte diesen Wert seiner Entscheidung über die Begründung, Durchführung oder Beendigung eines Vertragsverhältnisses mit der betroffenen Person maßgeblich zu Grunde legt?

2. Falls die 1. Vorlagefrage zu verneinen ist: Sind Art. 6 Abs. 1 und Art. 22 VO (EU) 2016/679 dahingehend auszulegen, dass sie einer innerstaatlichen Regelung entgegenstehen, nach der die Verwendung eines Wahrscheinlichkeitswerts – vorliegend über die Zahlungsfähigkeit und Zahlungswilligkeit einer natürlichen Person bei der Einbeziehung von Informationen über Forderungen – über ein bestimmtes zukünftiges Verhalten einer natürlichen Person zum Zweck der Entscheidung über die Begründung, Durchführung oder Beendigung eines Vertragsverhältnisses mit dieser Person (Scoring) nur zulässig ist, wenn bestimmte weitere Voraussetzungen, die in der Vorlagebegründung näher ausgeführt sind, erfüllt sind?

EuGH C-579/21 – Pankki S, Vorabentscheidungsersuchen des Itä-Suomen hallinto-oikeus (Finnland), eingereicht am 22.9.2021

1. Ist das der betroffenen Person gem. Art. 15 Abs. 1 DS-GVO zustehende Auskunftsrecht iVm dem [Begriff] „personenbezogene Daten“ iSv Art. 4 Nr. 1 der VO so auszulegen, dass von dem Verantwortlichen erhobene Informationen, aus denen hervorgeht, wer die personenbezogenen Daten der betroffenen Person wann und zu welchem Zweck verarbeitet hat, keine Informationen darstellen, zu denen die betroffene Person ein Zugangsrecht hat, insbesondere weil es sich um Daten handelt, die Arbeitnehmer des Verantwortlichen betreffen?

2. Falls die Antwort auf Frage 1 „ja“ lautet und die betroffene Person auf Grund von Art. 15 Abs. 1 DS-GVO kein Recht auf Zugang zu den in dieser Frage genannten Informationen hat, weil sie keine „personenbezogenen Daten“ der betroffenen Person gem. Art. 4 Nr. 1 DS-GVO darstellen, sind im vorliegenden Fall noch die Informationen in Betracht zu ziehen, zu denen die betroffene Person gem. Art. 15 Abs. 1 lit. [a bis h] DS-GVO ein Zugangsrecht hat:

a. Wie ist der Verarbeitungszweck iSv Art. 15 Abs. 1 lit. a DS-GVO im Hinblick auf den Umfang des Auskunftsrechts der betroffenen Person auszulegen, dh kann der Verarbeitungszweck ein Recht auf Auskunft über die Benutzerprotokolldaten begründen, die der Verantwortliche erhoben hat, wie etwa Informationen zu personenbezogenen Daten der Verarbeitenden, den Zeitpunkt sowie den Zweck der Verarbeitung der personenbezogenen Daten?

b. Können die Personen, die die Kundendaten von J.M. verarbeitet haben, in diesem Zusammenhang unter bestimmten Kriterien als Empfänger der personenbezogenen Daten gem. Art. 15 Abs. 1 lit. c DS-GVO angesehen werden, über die die betroffene Person berechtigt wäre, Auskunft zu erhalten?

3. Ist es für das Verfahren von Bedeutung, dass es sich um eine Bank handelt, die eine reglementierte Tätigkeit ausübt, oder dass J.M. gleichzeitig sowohl für die Bank gearbeitet hat als auch deren Kunde war?

4. Ist es für die Bewertung der oben gestellten Fragen relevant, dass die Daten von J.M. vor Inkrafttreten der Datenschutz-Grundverordnung verarbeitet wurden?

EuGH C-560/21 – KISA, Vorabentscheidungsersuchen des BAG, eingereicht am 13.9.2021

1. Ist Art. 38 Abs. 3 S. 2 der VO (EU) 2016/679 (Datenschutz-Grundverordnung; im Folgenden DS-GVO) dahin auszulegen, dass er einer Bestimmung des nationalen Rechts, wie hier § 6 Abs. 4 S. 1 BDSG, entgegensteht, die die Abberufung des Datenschutzbeauftragten durch den Verantwortlichen, der sein Arbeitgeber ist, an die dort genannten Voraussetzungen knüpft, unabhängig davon, ob sie wegen der Erfüllung seiner Aufgaben erfolgt?

Falls die erste Frage bejaht wird:

2. Beruht Art. 38 Abs. 3 S. 2 DS-GVO auf einer ausreichenden Ermächtigungsgrundlage, insbesondere soweit die Bestimmung Datenschutzbeauftragte erfasst, die in einem Arbeitsverhältnis zum Verantwortlichen stehen?

EuGH C-552/21 – SCHUFA Holding ua, Vorabentscheidungsersuchen des VG Wiesbaden, eingereicht am 7.9.2021

1. Ist Art. 77 Abs. 1 iVm Art. 78 Abs. 1 der VO (EU) 2016/679 des Europäische Parlaments und des Rates v. 27.4.2016 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten, zum freien Datenverkehr und zur Aufhebung der RL 95/46/EG (DS-GVO) dahingehend zu verstehen, dass das Ergebnis der Aufsichtsbehörde, welches diese dem Betroffenen mitteilt,

a) den Charakter der Bescheidung einer Petition hat?

Dies mit der Folge, dass die gerichtliche Kontrolle einer aufsichtsbehördlichen Beschwerdeentscheidung nach Art. 78 Abs. 1 DS-GVO sich grundsätzlich darauf beschränkt, ob die Behörde sich mit der Beschwerde befasst, den Beschwerdegegenstand angemessen untersucht und den Beschwerdeführer über das Ergebnis der Prüfung unterrichtet hat, oder

b) als eine behördliche Sachentscheidung zu verstehen ist?

Dies mit der Folge, dass die gerichtliche Kontrolle einer aufsichtsbehördlichen Beschwerdeentscheidung nach Art. 78 Abs. 1 DS-GVO dazu führt, dass die Sachenscheidung voll inhaltlich von dem Gericht zu überprüfen ist, wobei im Einzelfall – zB bei einer Ermessensreduzierung auf Null – die Aufsichtsbehörde durch das Gericht auch zu einer konkreten Maßnahme iSd Art. 58 DS-GVO verpflichtet werden kann.

2. Ist eine Datenspeicherung bei einer privaten Wirtschaftsauskunftei, bei der personenbezogene Daten aus einem öffentlichen Register, wie den „nationalen Datenbanken“ iSd Art. 79 Abs. 4 und 5 der VO (EU) 2015/848 des Europäischen Parlaments und des Rates v. 20.5.2015 über Insolvenzverfahren (ABl. L 141/19 v. 5.6.2015), ohne konkreten Anlass gespeichert werden, um im Falle einer Anfrage eine Auskunft erteilen zu können, mit Art. 7 und 8 GRCh vereinbar?

3. Sind private Paralleldatenbanken (insbesondere Datenbanken einer Auskunftei), die neben den staatlichen Datenbanken errichtet werden und in denen die Daten aus den staatlichen Datenbanken (hier Insolvenzbekanntmachungen) länger gespeichert werden, als in dem engen Rahmen der VO (EU) 2015/848 iVm dem nationalen Recht geregelt, grundsätzlich zulässig oder ergibt sich aus dem Recht auf Vergessen nach Art. 17 Abs. 1 lit. d DS-GVO, dass diese Daten zu löschen sind, wenn

a) eine mit dem öffentlichen Register identische Verarbeitungsdauer vorgesehen ist, oder

b) eine Speicherdauer vorgesehen ist, die über die für öffentliche Register vorgesehene Speicherfrist hinausgeht?

4. Soweit Art. 6 Abs. 1 UAbs. 1 lit. f DS-GVO als alleinige Rechtsgrundlage für eine Datenspeicherung bei privaten Wirtschaftsauskunfteien hinsichtlich der auch in öffentlichen Registern gespeicherten Daten in Betracht kommt, ist dann ein berechtigtes Interesse einer Wirtschaftsauskunftei schon dann zu bejahen, wenn diese Auskunftei die Daten aus dem öffentlichen Verzeichnis ohne konkreten Anlass übernimmt, damit diese Daten dann bei einer Anfrage zur Verfügung stehen?

5. Dürfen Verhaltensregeln, die von den Aufsichtsbehörden nach Art. 40 DS-GVO genehmigt worden sind und Prüf- und Löschfristen vorsehen, die über die Speicherfristen öffentlicher Register hinausgehen, die nach des Art. 6 Abs. 1 UAbs. 1 lit. f DS-GVO vorgegebene Abwägung suspendieren?

EuGH C-487/21 – Österreichische Datenschutzbehörde and CRIF, Vorabentscheidungsersuchen des ÖBVerwG, eingereicht am 9.8.2021

1. Ist der Begriff der „Kopie“ in Art. 15 Abs. 3 DS-GVO dahingehend auszulegen, dass damit eine Fotokopie bzw. ein Faksimile oder eine elektronische Kopie eines (elektronischen) Datums gemeint ist, oder fällt dem Begriffsverständnis deutscher, französischer und englischer Wörterbücher folgend unter den Begriff auch eine „Abschrift“, un „double“ („duplicata“) oder ein „transcript“?

2. Ist Art. 15 Abs. 3 S. 1 DS-GVO, wonach „der Verantwortliche eine Kopie der personenbezogenen Daten, die Gegenstand der Verarbeitung sind“, zur Verfügung stellt, dahingehend auszulegen, dass darin ein allgemeiner Rechtsanspruch einer betroffenen Person auf Ausfolgung einer Kopie – auch – gesamter Dokumente enthalten ist, in denen personenbezogene Daten der betroffenen Person verarbeitet werden, bzw. auf Ausfolgung einer Kopie eines Datenbankauszugs bei Verarbeitung der personenbezogenen Daten in einer solchen, oder besteht damit – nur – ein Rechtsanspruch für die betroffene Person auf originalgetreue Reproduktion der nach Art. 15 Abs. 1 DS-GVO zu beauskunftenden personenbezogenen Daten?

3. Für den Fall, dass die Frage 2. dahingehend beantwortet wird, dass nur ein Rechtsanspruch für die betroffene Person auf originalgetreue Reproduktion der nach Art. 15 Abs. 1 DS-GVO zu beauskunftenden personenbezogenen Daten besteht, ist Art. 15 Abs. 3 S. 1 DS-GVO dahingehend auszulegen, dass es bedingt durch die Art der verarbeiteten Daten (zB in Bezug auf die im Erwägungsgrund 63 DS-GVO angeführten Diagnosen, Untersuchungsergebnisse, Befunde oder auch Unterlagen im Zusammenhang mit einer Prüfung iSd Urteils des EuGH v. 20.12.2017 – C-434/16 [= ZD 2018, 113]) und das Transparenzgebot in Art. 12 Abs. 1 DS-GVO im Einzelfall dennoch erforderlich sein kann, auch Textpassagen oder ganze Dokumente der betroffenen Person zur Verfügung zu stellen?

4. Ist der Begriff „Informationen“, die nach Art. 15 Abs. 3 S. 3 DS-GVO der betroffenen Person dann, wenn diese den Antrag elektronisch stellt, „in einem gängigen elektronischen Format zur Verfügung zu stellen“ sind, „sofern sie nichts anderes angibt“, dahingehend auszulegen, dass damit allein die in Art. 15 Abs. 3 S. 1 DS-GVO genannten „personenbezogenen Daten, die Gegenstand der Verarbeitung sind“ gemeint sind?

a. Falls die Frage 4. verneint wird: Ist der Begriff „Informationen“, die nach Art. 15 Abs. 3 S. 3 DS-GVO der betroffenen Person dann, wenn diese den Antrag elektronisch stellt, „in einem gängigen elektronischen Format zur Verfügung zu stellen“ sind, „sofern sie nichts anderes angibt“, dahingehend auszulegen, dass darüber hinaus auch die Informationen gem. Art. 15 Abs. 1 lit. a bis lit. h DS-GVO gemeint sind?

b. Falls auch die Frage 4.a. verneint wird: Ist der Begriff „Informationen“, die nach Art. 15 Abs. 3 S. 3 DS-GVO der betroffenen Person dann, wenn diese den Antrag elektronisch stellt, „in einem gängigen elektronischen Format zur Verfügung zu stellen“ sind, „sofern sie nichts anderes angibt“, dahingehend auszulegen, dass damit über die „personenbezogenen Daten, die Gegenstand der Verarbeitung sind“ sowie über die in Art. 15 Abs. 1 lit. a–h DS-GVO genannten Informationen hinaus beispielsweise dazugehörende Metadaten gemeint sind?

EuGH C-453/21 – X-FAB Dresden, Vorabentscheidungsersuchen des BAG, eingereicht am 21.7.2021

1. Ist Art. 38 Abs. 3 S. 2 VO (EU) 2016/679 (DS-GVO) dahin auszulegen, dass er einer Bestimmung des nationalen Rechts, wie hier § 38 Abs. 1 und Abs. 2 BDSG iVm § 6 Abs. 4 S. 1 BDSG, entgegensteht, die die Abberufung des Datenschutzbeauftragten durch den Verantwortlichen, der sein Arbeitgeber ist, an die dort genannten Voraussetzungen knüpft, unabhängig davon, ob sie im Wege der Erfüllung seiner Aufgaben erfolgt?

Falls die erste Frage bejaht wird:

2. Steht Art. 38 Abs. 3 S. 2 DS-GVO einer solchen Bestimmung des nationalen Rechts auch dann entgegen, wenn die Benennung des Datenschutzbeauftragten nicht nach Art. 37 Abs. 1 DS-GVO verpflichtend ist, sondern nur nach dem Recht des Mitgliedstaats?

Falls die erste Frage bejaht wird:

3. Beruht Art. 38 Abs. 3 S. 2 DS-GVO auf einer ausreichenden Ermächtigungsgrundlage, insbesondere soweit er Datenschutzbeauftragte erfasst, die in einem Arbeitsverhältnis zum Verantwortlichen stehen?

Falls die erste Frage verneint wird:

4. Liegt ein Interessenkonflikt iSv Art. 38 Abs. 6 S. 2 DS-GVO vor, wenn der Datenschutzbeauftragte zugleich das Amt des Vorsitzenden des in der verantwortlichen Stelle gebildeten Betriebsrats innehat? Bedarf es für die Annahme eines solchen Interessenkonflikts einer besonderen Aufgabenzuweisung innerhalb des Betriebsrats?

EuGH C-446/21 – Schrems, Vorabentscheidungsersuchen des ÖOGH, eingereicht am 20.7.2021

1. Sind die Bestimmungen der Art. 6 Abs. 1 lit. a und lit. b DS-GVO dahingehend auszulegen, dass die Rechtmäßigkeit von Vertragsbestimmungen in allgemeinen Nutzungsbedingungen über Plattformverträge wie jenem im Ausgangsverfahren (insbesondere Vertragsbestimmungen wie: „Anstatt dafür zu zahlen ... erklärst du dich durch Nutzung der Facebook-Produkte, für die diese Nutzungsbedingungen gelten, einverstanden, dass wir dir Werbeanzeigen zeigen dürfen ... Wir verwenden deine personenbezogenen Daten ... um dir Werbeanzeigen zu zeigen, die relevanter für dich sind.“), die die Verarbeitung von personenbezogenen Daten für Aggregation und Analyse von Daten zum Zwecke der personalisierten Werbung beinhalten, nach den Anforderungen des Art. 6 Abs. 1 lit. a DS-GVO iVm 7 DS-GVO zu beurteilen sind, die nicht durch die Berufung auf Art. 6 Abs. 1 lit. b DS-GVO ersetzt werden können?

2. Ist Art. 5 Abs. 1 lit. c DS-GVO (Datenminimierung) dahin auszulegen, dass alle personenbezogenen Daten, über die eine Plattform wie im Ausgangsverfahren verfügt (insbesondere durch den Betroffenen oder durch Dritte auf und außerhalb der Plattform), ohne Einschränkung nach Zeit oder Art der Daten für Zwecke der zielgerichteten Werbung aggregiert, analysiert und verarbeitet werden können?

3. Ist Art. 9 Abs. 1 DS-GVO dahin auszulegen, dass er auf die Verarbeitung von Daten anzuwenden ist, die eine gezielte Filterung von besonderen Kategorien personenbezogener Daten wie politische Überzeugung oder sexuelle Orientierung (etwa für Werbung) erlaubt, auch wenn der Verantwortliche zwischen diesen Daten nicht differenziert?

4. Ist Art. 5 Abs. 1 lit. b DS-GVO iVm Art. 9 Abs. 2 lit. e DS-GVO dahin auszulegen, dass eine Äußerung über die eigene sexuelle Orientierung für die Zwecke einer Podiumsdiskussion die Verarbeitung von anderen Daten zur sexuellen Orientierung für Zwecke der Aggregation und Analyse von Daten zum Zwecke der personalisierten Werbung erlaubt?

EuGH C-340/21 – Natsionalna agentsia za prihodite, Vorabentscheidungsersuchen des Varhoven administrativen sad (Bulgarien), eingereicht am 2.6.2021

1. Sind Art. 24 und Art. 32 VO (EU) 2016/679 dahin auszulegen, dass es ausreicht, wenn eine unbefugte Offenlegung von bzw. ein unbefugter Zugang zu personenbezogenen Daten iSv Art. 4 Nr. 12 VO (EU) 2016/679 durch Personen erfolgt ist, die keine Bediensteten der Verwaltung des Verantwortlichen sind und nicht seiner Kontrolle unterliegen, um anzunehmen, dass die getroffenen technischen und organisatorischen Maßnahmen nicht geeignet sind?

2. Falls die erste Frage verneint wird, welchen Gegenstand und Umfang sollte die gerichtliche Rechtmäßigkeitskontrolle bei der Prüfung haben, ob die vom Verantwortlichen getroffenen technischen und organisatorischen Maßnahmen nach Art. 32 VO (EU) 2016/679 geeignet sind?

3. Falls die erste Frage verneint wird, sind der Grundsatz der Rechenschaftspflicht nach Art. 5 Abs. 2 und Art. 24 iVm dem 74. Erwägungsgrund VO (EU) 2016/679 dahin auszulegen, dass im Klageverfahren nach Art. 82 Abs. 1 VO (EU) 2016/679 der Verantwortliche die Beweislast dafür trägt, dass die getroffenen technischen und organisatorischen Maßnahmen nach Art. 32 der VO geeignet sind? Kann die Einholung eines Sachverständigengutachtens als ein notwendiges und ausreichendes Beweismittel angesehen werden, um festzustellen, ob die vom Verantwortlichen getroffenen technischen und organisatorischen Maßnahmen in einem Fall wie dem vorliegenden geeignet waren, wenn der unbefugte Zugang zu und die unbefugte Offenlegung von personenbezogenen Daten Folge eines „Hackerangriffs“ sind?

4. Ist Art. 82 Abs. 3 VO (EU) 2016/679 dahin auszulegen, dass die unbefugte Offenlegung von oder der unbefugte Zugang zu personenbezogenen Daten iSv Art. 4 Nr. 12 VO (EU) 2016/679 wie vorliegend mittels eines „Hackerangriffs“ durch Personen, die keine Bediensteten der Verwaltung des Verantwortlichen sind und nicht seiner Kontrolle unterliegen, einen Umstand darstellt, für den der Verantwortliche in keinerlei Hinsicht verantwortlich ist und der zur Befreiung von der Haftung berechtigt?

5. Sind Art. 82 Abs. 1 und Abs. 2 iVm den Erwägungsgründen 85 und 146 VO (EU) 2016/679 dahin auszulegen, dass in einem Fall wie dem vorliegenden Fall einer Verletzung des Schutzes personenbezogener Daten, die sich in dem unbefugten Zugang zu und der Verbreitung von personenbezogenen Daten mittels eines „Hackerangriffs“ äußert, allein die von der betroffenen Person erlittenen Sorgen, Befürchtungen und Ängste vor einem möglichen künftigen Missbrauch personenbezogener Daten unter den weit auszulegenden Begriff des immateriellen Schadens fallen und zum Schadensersatz berechtigen, wenn ein solcher Missbrauch nicht festgestellt wurde und/oder kein weiterer Schaden der betroffenen Person entstanden ist?

EuGH C-306/21 – Koalitsia „Demokratichna Bulgaria – Obedinenie“, Vorabentscheidungsersuchen des Varhoven administrativen sad (Bulgarien), eingereicht am 12.5.2021

Ist Art. 2 Abs. 2 lit. a DS-GVO dahin auszulegen, dass er der Anwendung dieser VO auf einen scheinbar rein internen Sachverhalt wie die Durchführung von Wahlen zur Nationalversammlung entgegensteht, wenn Schutzgegenstand die personenbezogenen Daten von Personen – Bürgern der Europäischen Union – sind und die Datenverarbeitungsvorgänge sich nicht auf die Erhebung der Daten iRd betreffenden Tätigkeit beschränken?

Falls die erste Frage bejaht wird: Befreit der Abschluss der Durchführung der Wahlen zur Nationalversammlung, die scheinbar nicht in den Anwendungsbereich des Unionsrechts fallen, die Verantwortlichen, Auftragsverarbeiter und personenbezogene Daten speichernden Personen von ihren Verpflichtungen aus der VO als dem einzigen Mittel zum Schutz personenbezogener Daten der Unionsbürger auf Unionsebene? Hängt die Anwendbarkeit der VO allein von der Tätigkeit ab, für die die personenbezogenen Daten erzeugt bzw. erhoben wurden, was auch zu dem Schluss führt, dass ihre spätere Anwendbarkeit ausgeschlossen ist?

Falls die erste Frage verneint wird: Stehen Art. 6 [Abs. 1] lit. e DS-GVO und der in ihren Erwägungsgründen 4 und 129 DS-GVO verankerte Grundsatz der Verhältnismäßigkeit einer nationalen Regelung zur Durchführung der VO wie der in Rede stehenden entgegen, die von vornherein die Möglichkeit ausschließt und beschränkt, dass bei der Erfassung der Wahlergebnisse in den Wahllokalen irgendwelche Videoaufzeichnungen gemacht werden, keine Differenzierung und Regelung einzelner Bestandteile des Aufzeichnungsverfahrens zulässt und die Möglichkeit ausschließt, die Ziele der VO – den Schutz der personenbezogenen Daten von Personen – mit anderen Mitteln zu erreichen?

Alternativ und im Kontext des Anwendungsbereichs des Unionsrechts – bei der Durchführung von Kommunalwahlen und Wahlen zum Europäischen Parlament –: Stehen Art. 6 [Abs. 1] lit. e DS-GVO und der in ihren Erwägungsgründen 4 und 129 DS-GVO verankerte Grundsatz der Verhältnismäßigkeit einer nationalen Regelung zur Durchführung der VO wie der in Rede stehenden entgegen, die von vornherein die Möglichkeit ausschließt und beschränkt, dass bei der Erfassung der Wahlergebnisse in den Wahllokalen irgendwelche Videoaufzeichnungen gemacht werden, eine Differenzierung und Regelung einzelner Bestandteile des Aufzeichnungsverfahrens weder vornimmt noch auch nur zulässt und die Möglichkeit ausschließt, die Ziele der VO – den Schutz der personenbezogenen Daten von Personen – mit anderen Mitteln zu erreichen?

Steht Art. 6 Abs. 1 lit. e DS-GVO einer Einstufung der Tätigkeiten der Feststellung der rechtmäßigen Durchführung und Erfassung der Ergebnisse abgehaltener Wahlen als einer im öffentlichen Interesse liegenden Aufgabe entgegen, die einen bestimmten, dem Verhältnismäßigkeitserfordernis unterliegenden Eingriff in Bezug auf die persönlichen Daten der in den Wahllokalen anwesenden Personen rechtfertigt, wenn diese eine amtliche, öffentliche, gesetzlich geregelte Aufgabe erfüllen?

Falls die vorstehende Frage bejaht wird: Steht der Schutz personenbezogener Daten der Einführung eines nationalen rechtlichen Verbots der Erhebung und Verarbeitung personenbezogener Daten entgegen, das die Möglichkeit beschränkt, begleitende Tätigkeiten der Videoaufzeichnung von Materialien, Objekten oder Gegenständen, die keine personenbezogenen Daten enthalten, vorzunehmen, wenn im Aufzeichnungsverfahren potenziell die Möglichkeit besteht, dass bei der Videoaufzeichnung von im Wahllokal anwesenden Personen, die zu dem betreffenden Zeitpunkt eine Tätigkeit im öffentlichen Interesse ausüben, auch personenbezogene Daten erhoben werden?

EuGH C-300/21 – Österreichische Post, Vorabentscheidungsersuchen des ÖOGH, eingereicht am 12.5.2021

1. Erfordert der Zuspruch von Schadensersatz nach Art. 82 DS-GVO neben einer Verletzung von Bestimmungen der DS-GVO auch, dass der Kläger einen Schaden erlitten hat, oder reicht bereits die Verletzung von Bestimmungen der DS-GVO als solche für die Zuerkennung von Schadensersatz aus?

2. Bestehen für die Bemessung des Schadensersatzes neben den Grundsätzen der Effektivität und Äquivalenz weitere Vorgaben des Unionsrechts?

3. Ist die Auffassung mit dem Unionsrecht vereinbar, dass Voraussetzung für den Zuspruch immateriellen Schadens ist, dass eine Konsequenz oder Folge der Rechtsverletzung von zumindest einigem Gewicht vorliegt, die über den durch die Rechtsverletzung hervorgerufenen Ärger hinausgeht?

EuGH C-252/21 – Facebook ua, Vorabentscheidungsersuchen des OLG Düsseldorf, eingereicht am 22.4.2021

1a. Ist es mit Art. 51 ff. DS-GVO vereinbar, wenn eine nationale Kartellbehörde eines Mitgliedstaats, wie das Bundeskartellamt, die nicht Aufsichtsbehörde iSd Art. 51 ff. DS-GVO ist und in deren Mitgliedstaat ein außerhalb der EU ansässiges Unternehmen eine Niederlassung unterhält, die die in einem anderen Mitgliedstaat belegene Hauptniederlassung dieses Unternehmens, welcher die ausschließliche Verantwortung für die Verarbeitung personenbezogener Daten für das gesamte Gebiet der EU obliegt, im Bereich Werbung, Kommunikation und Öffentlichkeitsarbeit unterstützt, für die kartellrechtliche Missbrauchsaufsicht einen Verstoß von Vertragsbedingungen der Hauptniederlassung zur Datenverarbeitung und von deren Durchführung gegen die DS-GVO feststellt und eine Verfügung zur Abstellung dieses Verstoßes erlässt?

1b. Wenn ja: Ist dies mit Art. 4 Abs. 3 EUV vereinbar, wenn gleichzeitig die federführende Aufsichtsbehörde im Mitgliedstaat der Hauptniederlassung iSd Art. 56 Abs. 1 DS-GVO deren Vertragsbedingungen zur Datenverarbeitung einem Untersuchungsverfahren unterzieht? Wenn Frage 1 zu bejahen ist:

2a. Handelt es sich dann, wenn ein Internetnutzer Webseiten oder Apps, die Bezug zu den Kriterien des Art. 9 Abs. 1 DS-GVO haben, wie etwa Flirting-Apps, Homosexuellen-Partnerbörsen, Webseiten politischer Parteien, gesundheitsbezogene Webseiten, entweder nur aufruft oder dort auch Eingaben tätigt, etwa bei Registrierung oder Bestellungen, und ein anderes Unternehmen, wie Facebook Ireland, über in die Webseiten und Apps eingebundene Schnittstellen, wie „Facebook Business Tools“, oder über auf dem Computer oder mobilen Endgerät des Internetnutzers eingesetzte Cookies oder ähnliche Speichertechnologien die Daten über den Aufruf der Webseiten und Apps durch den Nutzer und über dort getätigte Eingaben des Nutzers erfasst, mit den Daten des Facebook.com-Kontos des Nutzers verknüpft und verwendet, bei der Erfassung und/oder der Verknüpfung und/oder der Verwendung um die Verarbeitung sensibler Daten iSd Norm?

2b. Wenn ja: Stellt der Aufruf dieser Webseiten und Apps und/oder die Tätigung von Eingaben und/oder die Betätigung der in diese Webseiten oder Apps eingebundenen Schaltflächen („soziale Plugins“ wie „Gefällt mir“, „Teilen“ oder „Facebook Login“ oder „Account Kit“) eines Anbieters wie Facebook Ireland ein offensichtliches Öffentlichmachen der Daten über den Aufruf als solches und/oder die Eingaben durch den Nutzer iSd Art. 9 Abs. 2 lit. e DS-GVO dar?

3. Kann ein Unternehmen wie Facebook Ireland, das ein werbefinanziertes, digitales soziales Netzwerk betreibt und in seinen Nutzungsbedingungen die Personalisierung der Inhalte und der Werbung, Netzwerksicherheit, Produktverbesserung und durchgängige und nahtlose Nutzung aller konzerneigenen Produkte anbietet, sich auf den Rechtfertigungsgrund der Erforderlichkeit zur Vertragserfüllung gem. Art. 6 Abs. 1 lit. b DS-GVO oder der Wahrnehmung berechtigter Interessen gem. Art. 6 Abs. 1 lit. f DS-GVO berufen, wenn es zu diesen Zwecken Daten aus anderen konzerneigenen Diensten und aus dritten Webseiten und Apps über in diese eingebundene Schnittstellen, wie „Facebook Business Tools“, oder über auf dem Computer oder mobilen Endgerät des Internetnutzers eingesetzte Cookies oder ähnliche Speichertechnologien erfasst, mit dem Facebook.com-Konto des Nutzers verknüpft und verwendet?

4. Können in einem solchen Fall auch

- die Minderjährigkeit der Nutzer für die Personalisierung von Inhalten und Werbung, Produktverbesserung, Netzwerksicherheit und Nicht-Marketing-Kommunikation mit dem Nutzer,

- die Bereitstellung von Messungen, Analysen und sonstigen Unternehmens-Services an Werbekunden, Entwickler und sonstige Partner, damit diese ihre Leistungen bewerten und verbessern können,

- die Bereitstellung von Marketing-Kommunikation mit dem Nutzer, damit das Unternehmen seine Produkte verbessern und Direktmarketing durchführen kann,

- Forschung und Innovation für soziale Zwecke, um den Stand der Technik bzw. das wissenschaftliche Verständnis bezüglich wichtiger sozialer Themen zu fördern und um die Gesellschaft und Welt positiv zu beeinflussen,

- die Information von Strafverfolgungs- und Vollstreckungsbehörden und die Antwort auf rechtliche Anfragen, um Straftaten, unberechtigte Nutzung, Verstöße gegen die Nutzungsbedingungen und Richtlinien und sonstige schädliche Verhaltensweisen zu verhindern, aufzudecken und zu verfolgen, berechtigte Interessen iSd Art. 6 Abs. 1 lit. f DS-GVO sein, wenn das Unternehmen zu diesen Zwecken Daten aus anderen konzerneigenen Diensten und aus dritten Webseiten und Apps über in diese eingebundene Schnittstellen, wie „Facebook Business Tools“, oder über auf dem Computer oder mobilen Endgerät des Internetnutzers eingesetzte Cookies oder ähnliche Speichertechnologien erfasst, mit dem Facebook.com-Konto des Nutzers verknüpft und verwendet?

5. Kann in einem solchen Fall die Erfassung von Daten aus anderen konzerneigenen Diensten und aus dritten Webseiten und Apps über in diese eingebundene Schnittstellen, wie „Facebook Business Tools“, oder über auf dem Computer oder mobilen Endgerät des Internetnutzers eingesetzte Cookies oder ähnliche Speichertechnologien, die Verknüpfung mit dem Facebook.com-Konto des Nutzers und die Verwendung oder die Verwendung bereits anderweit rechtmäßig erfasster und verknüpfter Daten im Einzelfall auch gem. Art. 6 Abs. 1 lit. c, lit. d und lit. e DS-GVO gerechtfertigt sein, um etwa eine rechtsgültige Anfrage für bestimmte Daten zu beantworten (lit. c), um schädliches Verhalten zu bekämpfen und die Sicherheit zu fördern (lit. d), zur Forschung zum Wohle der Gesellschaft und zur Förderung von Schutz, Integrität und Sicherheit (lit. e)?

6. Kann gegenüber einem marktbeherrschenden Unternehmen wie Facebook Ireland eine wirksame, insbesondere nach Art. 4 Nr. 11 DS-GVO freiwillige, Einwilligung iSd Art. 6 Abs. 1 lit. a, 9 Abs. 2 lit. a DS-GVO erklärt werden?

Wenn Frage 1. zu verneinen ist:

7a. Kann eine nationale Kartellbehörde eines Mitgliedstaats, wie das Bundeskartellamt, die nicht Aufsichtsbehörde iSd Art. 51 ff. DS-GVO ist und die einen Verstoß eines marktbeherrschenden Unternehmens gegen das kartellrechtliche Missbrauchsverbot prüft, der nicht in einem Verstoß von dessen Datenverarbeitungsbedingungen und ihrer Durchführung gegen die DS-GVO besteht, etwa iRd Interessenabwägung Feststellungen dazu treffen, ob die Datenverarbeitungsbedingungen dieses Unternehmens und ihre Durchführung der DS-GVO entsprechen?

7b. Wenn ja: Gilt dies im Hinblick auf Art. 4 Abs. 3 EUV auch dann, wenn gleichzeitig die gem. Art. 56 Abs. 1 DS-GVO zuständige federführende Aufsichtsbehörde die Datenverarbeitungsbedingungen dieses Unternehmens einem Untersuchungsverfahren unterzieht?

Wenn Frage 7 zu bejahen ist, bedarf es der Beantwortung der Fragen 3 bis 5 in Bezug auf die Daten aus der Nutzung des konzerneigenen Dienstes Instagram.

EuGH C-268/21 – Norra Stockholm Bygg AB/Per Nycander AB, Vorabentscheidungsverfahren des Högsta domstolen (Schweden), eingereicht am 23.4.2021

Sind Art. 6 Abs. 3 und Abs. 4 DS-GVO auch Anforderungen an das nationale Verfahrensrecht in Bezug auf die Vorlegungspflicht zu entnehmen?

Falls Frage 1 zu bejahen ist: Sind nach der DS-GVO auch die Interessen der betroffenen Personen zu berücksichtigen, wenn über die Vorlegung von Unterlagen mit personenbezogenen Daten entschieden wird? Enthält das Unionsrecht in einem solchen Fall Vorgaben dafür, wie im Einzelnen diese Entscheidung zu treffen ist?

EuGH C-205/21 – Ministerstvo na vatreshnite raboti, Glavna direktsia za borba s organiziranata prestapnost (Innenministerium, Generaldirektion für die Bekämpfung der organisierten Kriminalität) gegen B.C., Vorabentscheidungsersuchen des Spetsializiran nakazatelen sad (Bulgarien), eingereicht am 31.3.2021

Wird Art. 10 RL 2016/680 durch Bezugnahme auf die ähnliche Vorschrift des Art. 9 der VO 2016/679 im nationalen Gesetz – Art. 25 Abs. 3 und Art. 25a des Zakon za ministerstvo na vatreshnite raboti [Gesetz über das Innenministerium] – wirksam umgesetzt?

EuGH C-180/21 – VS/Inspektor v Inspektorata kam Visshia sadeben savet, Vorabentscheidungsersuchen des Administrativen sad Blagoevgrad (Bulgarien), eingereicht am 23.3.2021

2. Sind die Bestimmungen der VO (EU) 2016/679 (2) des Europäischen Parlaments und des Rates v. 27.4.2016 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten, zum freien Datenverkehr und zur Aufhebung der RL 95/46/EG auf die Staatsanwaltschaft der Republik Bulgarien im Hinblick darauf anwendbar, dass Informationen über eine Person, die die Staatsanwaltschaft in ihrer Eigenschaft als „Verantwortlicher“ gem. Art. 3 Nr. 8 RL (EU) 2016/680 zu einer über diese Person angelegten Handakte zur Überprüfung eines Verdachts auf Begehung einer Straftat erhoben hat, iRd gerichtlichen Verteidigung der Staatsanwaltschaft als Partei eines Zivilverfahrens – durch die Angabe, dass diese Akte angelegt wurde, oder durch die Überlassung des Akteninhalts – verwendet wurden?

2.1. Bei Bejahung dieser Frage:

Ist der Ausdruck „berechtigte Interessen“ in Art. 6 Abs. 1 lit. f der VO (EU) 2016/679 des Europäischen Parlaments und des Rates v. 27.4.2016 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten, zum freien Datenverkehr und zur Aufhebung der RL 95/46/EG dahin auszulegen, dass er die vollständige oder teilweise Offenlegung von Informationen über eine Person umfasst, die zu einer über diese Person zum Zwecke der Verhütung, Ermittlung, Aufdeckung oder Verfolgung von Straftaten angelegten Handakte der Staatsanwaltschaft erhoben wurden, wenn dies zur Verteidigung des Verantwortlichen als Partei eines Zivilverfahrens geschieht, und wird die Einwilligung der betroffenen Person ausgeschlossen?

EuGH C-154/21 – RW gegen Österreichische Post AG, Vorabentscheidungsersuchen des ÖOGH, eingereicht am 9.3.2021

Ist Art. 15 Abs. 1 lit. c VO (EU) 2016/679 dahingehend auszulegen, dass sich der Anspruch auf die Auskunft über Empfängerkategorien beschränkt, wenn konkrete Empfänger bei geplanten Offenlegungen noch nicht feststehen, der Auskunftsanspruch sich aber zwingend auch auf Empfänger dieser Offenlegungen erstrecken muss, wenn Daten bereits offengelegt worden sind?

EuGH C-129/21 – Proximus NV/Gegevensbeschermingsautoriteit, Vorabentscheidungsersuchen des Hof van beroep te Brussel (Belgien), eingereicht am 2.3.2021

1. Ist Art. 12 [Abs. 2] RL 2002/58 iVm Art. 2 [lit. f] dieser RL und Art. 95 DS-GVO dahin auszulegen, dass es zulässig ist, dass eine nationale Aufsichtsbehörde mangels anderslautender nationaler Rechtsvorschriften eine „Einwilligung“ des Teilnehmers iSd DS-GVO als Grundlage für die Veröffentlichung seiner personenbezogenen Daten in öffentlich zugänglichen Teilnehmerverzeichnissen und Telefonauskunftsdiensten, die vom Betreiber selbst oder von Drittanbietern herausgegeben werden, verlangt?

2. Ist das Recht auf Löschung nach Art. 17 DS-GVO dahin auszulegen, dass es dem entgegensteht, dass eine nationale Aufsichtsbehörde einen Antrag eines Teilnehmers auf Löschung aus öffentlich zugänglichen Teilnehmerverzeichnissen und Telefonauskunftsdiensten als einen Antrag auf Löschung iSv Art. 17 DS-GVO einstuft?

3. Sind Art. 24 und Art. 5 [Abs. 2] DS-GVO dahin auszulegen, dass sie dem entgegenstehen, dass eine nationale Aufsichtsbehörde aus der darin verankerten Rechenschaftspflicht ableitet, dass der Verantwortliche die geeigneten technischen und organisatorischen Maßnahmen umsetzen muss, um weitere Verantwortliche, nämlich den Telefondienstanbieter und andere Anbieter von Teilnehmerverzeichnissen und Telefonauskunftsdiensten, die Daten von dem erstgenannten Verantwortlichen empfangen haben, über den Widerruf der Einwilligung durch die betroffene Person gem. Art. 6 DS-GVO iVm Art. 7 DS-GVO zu informieren?

4. Ist Art. 17 [Abs. 2] DS-GVO dahin auszulegen, dass er dem entgegensteht, dass eine nationale Aufsichtsbehörde gegenüber einem Anbieter öffentlich zugänglicher Teilnehmerverzeichnisse und Telefonauskunftsdienste, von dem verlangt wird, die Daten einer Person nicht mehr zu veröffentlichen, anordnet, angemessene Maßnahmen zu treffen, um Suchmaschinen über den Antrag auf Löschung zu informieren?

EuGH C-132/21 – NSV, NM/BT, Vorabentscheidungsersuchen der Curtea de Apel Cluj (Rumänien), eingereicht am 11.2.2021

1. Sind die Art. 77 Abs. 1 und Art. 79 Abs. 1 [VO 2016/679] dahin auszulegen, dass der in Art. 77 DS-GVO vorgesehene verwaltungsrechtliche Rechtsbehelf ein Instrument zur Ausübung öffentlicher Rechte und die in Art. 79 DS-GVO vorgesehene gerichtliche Klage ein Instrument zur Ausübung privater Rechte ist? Falls die Frage bejaht wird: Folgt daraus, dass die Aufsichtsbehörde, die über die verwaltungsrechtlichen Rechtsbehelfe zu entscheiden hat, die vorrangige Zuständigkeit für die Feststellung hat, ob ein Verstoß vorliegt?

2. Kann, falls die betroffene Person – nach deren Auffassung die Verarbeitung der sie betreffenden personenbezogenen Daten gegen die VO 2016/679 verstoßen hat – gleichzeitig ihr Recht auf Beschwerde nach Art. 77 Abs. 1 dieser VO und ihr Recht auf Erhebung einer gerichtlichen Klage nach Art. 79 Abs. 1 derselben VO ausübt, davon ausgegangen werden, dass eine Auslegung im Einklang mit Art. 47 GRCh bedeutet, dass

a) die Aufsichtsbehörde und das Gericht verpflichtet sind, das Vorliegen eines Verstoßes unabhängig zu prüfen, und dass sie daher sogar zu unterschiedlichen Ergebnissen kommen können; oder dass

b) die Entscheidung der Aufsichtsbehörde, soweit sie sich auf das Vorliegen eines Verstoßes bezieht, angesichts der in Art. 51 Abs. 1 der VO 2016/679 genannten Rechte und der durch Art. 58 Abs. 2 lit. b und lit. d der VO eingeräumten Befugnisse Vorrang hat?

3. Ist die durch die Art. 51 Abs. 1 und 52 Abs. 1 VO 2016/679 garantierte Unabhängigkeit der Aufsichtsbehörde dahin auszulegen, dass die Aufsichtsbehörde bei der Durchführung und Entscheidung des Beschwerdeverfahrens nach Art. 77 DS-GVO von einem rechtskräftigen Urteil des zuständigen Gerichts nach Art. 79 DS-GVO unabhängig ist, sodass sie auch eine abweichende Entscheidung in Bezug auf ein und denselben mutmaßlichen Verstoß treffen kann?

EuGH C-77/21 – Digi Távközlési és Szolgáltató Kft gegen Nemzeti Adatvédelmi és Információszabadság Hatóság (Nationale Behörde für Datenschutz und Informationsfreiheit), Vorabentscheidungsersuchen des Fovárosi Törvényszék (Hauptstädtischer Gerichtshof, Ungarn), eingereicht am 8.2.2021

1. Ist die „Zweckbindung“ iSv Art. 5 Abs. 1 lit. b der VO (EU) Nr. 2016/679 des Europäischen Parlaments und des Rates v. 27.4.2016 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten, zum freien Datenverkehr und zur Aufhebung der RL 95/46/EG dahin auszulegen, dass ihr auch dann weiterhin entsprochen wird, wenn der Verantwortliche personenbezogene Daten, die im Übrigen zu einem begrenzten legitimen Zweck erhoben und gespeichert wurden, parallel in einer anderen Datenbank speichert, oder gilt der begrenzte legitime Zweck der Datenerhebung für die parallele Datenbank nicht mehr?

2. Sollte die erste Frage dahin beantwortet werden, dass die parallele Speicherung von Daten für sich genommen mit dem Grundsatz der „Zweckbindung“ unvereinbar ist, ist es dann mit dem in Art. 5 Abs. 1 lit. e der VO niedergelegten Grundsatz der „Speicherbegrenzung“ vereinbar, wenn der Verantwortliche personenbezogene Daten, die im Übrigen zu einem begrenzten legitimen Zweck erhoben und gespeichert wurden, parallel in einer anderen Datenbank speichert?

EuGH C-34/21 – Hauptpersonalrat der Lehrerinnen und Lehrer, Vorabentscheidungsersuchen des VG Wiesbaden, eingereicht am 20.1.2021

1. Ist Art. 88 Abs. 1 der VO (EU) 2016/679 des Europäischen Parlaments und des Rates v. 27.4.2016 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten, zum freien Datenverkehr und zur Aufhebung der RL 95/46/EG (DS-GVO) dahin auszulegen, dass eine Rechtsvorschrift, um eine spezifischere Vorschrift zur Gewährleistung des Schutzes der Rechte und Freiheiten hinsichtlich der Verarbeitung personenbezogener Beschäftigtendaten im Beschäftigungskontext iSd Art. 88 Abs. 1 VO (EU) 2016/679 zu sein, die an solche Vorschriften nach Art. 88 Abs. 2 VO (EU) 2016/679 gestellten Anforderungen erfüllen muss.

2. Kann eine nationale Norm, wenn diese die Anforderungen nach Art. 88 Abs. 2 der VO (EU) 2016/679 des Europäischen Parlaments und des Rates v. 27.4.2016 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten, zum freien Datenverkehr und zur Aufhebung der RL 95/46/EG offensichtlich nicht erfüllt, trotzdem noch anwendbar bleiben.

EuGH C-701/20 – Avis Autovermietung Gesellschaft mbH gegen Verein für Konsumenteninformation, Vorabentscheidungsersuchen des ÖOGH, eingereicht am 22.12.2020

Stehen die Regelungen in Kapitel VIII, insbesondere in Art. 80 Abs. 1 und 2 sowie 84 Abs. 1 der VO (EU) 2016/679 des Europäischen Parlaments und des Rates v. 27.4.2016 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten, zum freien Datenverkehr und zur Aufhebung der RL 95/46/EG (DS-GVO) nationalen Regelungen entgegen, die – neben den Eingriffsbefugnissen der zur Überwachung und Durchsetzung der VO zuständigen Aufsichtsbehörden und den Rechtsschutzmöglichkeiten der betroffenen Personen – einerseits Mitbewerbern und andererseits nach dem nationalen Recht berechtigten Verbänden, Einrichtungen und Kammern die Befugnis einräumen, wegen Verstößen gegen die DS-GVO unabhängig von der Verletzung konkreter Rechte einzelner betroffener Personen und ohne Auftrag einer betroffenen Person gegen den Verletzter im Wege einer Klage vor den Zivilgerichten unter den Gesichtspunkten des Verbots der Vornahme unlauterer Geschäftspraktiken oder des Verstoßes gegen ein Verbraucherschutzgesetz oder des Verbots der Verwendung unwirksamer Allgemeiner Geschäftsbedingungen vorzugehen?

EuGH C-601/20 – Sovim SA/Luxembourg Business Registers, Vorabentscheidungsersuchen des Tribunal d’arrondissement (Luxemburg), eingereicht am 13.11.2020

 

 

1. Ist Art. 5 Abs. 1 lit. a der VO (EU) 2016/679 (3) des Europäischen Parlaments und des Rates v. 27.4.2016 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten, zum freien Datenverkehr und zur Aufhebung der RL 95/46/EG (DS-GVO), der zu einer Verarbeitung der Daten auf rechtmäßige Weise, nach Treu und Glauben und in einer für die betroffene Person nachvollziehbaren Weise verpflichtet, dahin auszulegen, dass er weder dem entgegensteht,

a) dass die personenbezogenen Daten eines wirtschaftlichen Eigentümers, die in einem gem. Art. 30 RL 2015/849 in der durch Art. 1 [Nr.] 15 RL 2018/843 geänderten Fassung eingerichteten Register der wirtschaftlichen Eigentümer eingetragen sind, jedermann ohne Kontrolle und ohne Rechtfertigung öffentlich zugänglich sind und ohne dass die betroffene Person (wirtschaftlicher Eigentümer) Kenntnis davon haben kann, wer zu diesen personenbezogenen Daten, die sie betreffen, Zugang hatte; noch dem entgegensteht,

b) dass der Verantwortliche eines solchen Registers der wirtschaftlichen Eigentümer einem unbeschränkten und nicht bestimmbaren Personenkreis Zugang zu den personenbezogenen Daten der wirtschaftlichen Eigentümer gibt?

2. Ist Art. 5 Abs. 1 lit. b DS-GVO, der zur Zweckbindung verpflichtet, dahin auszulegen, dass er nicht daran hindert, dass die personenbezogenen Daten eines wirtschaftlichen Eigentümers, die in einem gem. Art. 30 RL 2015/849 in der durch Art. 1 [Nr.] 15 RL 2018/843 geänderten Fassung eingerichteten Register der wirtschaftlichen Eigentümer eingetragen sind, öffentlich zugänglich sind, ohne dass der für die Verarbeitung dieser Daten Verantwortliche gewährleisten kann, dass diese Daten ausschließlich zu dem Zweck, zu dem sie erhoben wurden, nämlich im Wesentlichen zur Bekämpfung der Geldwäsche und der Terrorismusfinanzierung, einem Zweck, für dessen Einhaltung die Öffentlichkeit nicht zuständig ist, verwendet werden?

3. Ist Art. 5 Abs. 1 lit. c DS-GVO, der zur Datenminimierung verpflichtet, dahin auszulegen, dass er nicht daran hindert, dass die Öffentlichkeit über ein gem. Art. 30 RL 2015/849 in der durch Art. 1 [Nr.] 15 RL 2018/843 geänderten Fassung eingerichtetes Register der wirtschaftlichen Eigentümer nicht nur zum Namen, dem Geburtsmonat und -jahr, der Staatsangehörigkeit und dem Wohnsitzstaat eines wirtschaftlichen Eigentümers sowie zu Art und Umfang seines wirtschaftlichen Interesses, sondern auch zu seinem Geburtstag und -ort Zugang hat?

4. Steht Art. 5 Abs. 1 lit. f DS-GVO, der dazu verpflichtet, Daten in einer Weise zu verarbeiten, die eine angemessene Sicherheit der personenbezogenen Daten gewährleistet, einschließlich Schutz vor unbefugter oder unrechtmäßiger Verarbeitung, wodurch die Integrität und die Vertraulichkeit dieser Daten gewährleistet wird, dem unbeschränkten und unbedingten Zugang ohne Vertraulichkeitsverpflichtung zu den personenbezogenen Daten von wirtschaftlichen Eigentümern, die in dem gem. Art. 30 RL 2015/849 in der durch Art. 1 [Nr.] 15 RL [2018/843] geänderten Fassung eingerichteten Register der wirtschaftlichen Eigentümer verfügbar sind, nicht entgegen?

5. Ist Art. 25 Abs. 2 DS-GVO, der den Datenschutz durch Voreinstellung gewährleistet und nach dem insbesondere personenbezogene Daten durch Voreinstellungen nicht ohne Eingreifen der Person einer unbestimmten Zahl von natürlichen Personen zugänglich gemacht werden dürfen, dahin auszulegen, dass er weder dem entgegensteht,

a) dass ein gem. Art. 30 RL 2015/849 in der durch Art. 1 [Nr.] 15 RL 2018/843 geänderten Fassung eingerichtetes Register der wirtschaftlichen Eigentümer keine Anmeldung auf der Webseite dieses Registers seitens der öffentlichen Nutzer, die die personenbezogenen Daten eines wirtschaftlichen Eigentümers abfragen, verlangt; noch dem entgegensteht,

b) dass keinerlei Informationen über die Abfrage der in einem solchen Register eingetragenen personenbezogenen Daten eines wirtschaftlichen Eigentümers an diesen übermittelt werden; und auch nicht dem entgegensteht,

c) dass keinerlei Einschränkung des Umfangs und der Zugänglichkeit der betreffenden personenbezogenen Daten im Hinblick auf den Zweck ihrer Verarbeitung zur Anwendung kommt?

6. Sind die Art. 44 bis 50 DS-GVO, die die Übermittlung personenbezogener Daten an ein Drittland an strenge Voraussetzungen knüpfen, dahin auszulegen, dass sie nicht daran hindern, dass solche Daten eines wirtschaftlichen Eigentümers, die in einem gem. Art. 30 RL 2015/849 in der durch Art. 1 [Nr.] 15 RL [2018/843] geänderten Fassung eingerichteten Register der wirtschaftlichen Eigentümer eingetragen sind, in allen Fällen allen Mitgliedern der Öffentlichkeit ohne Nachweis eines berechtigten Interesses und ohne Beschränkungen hinsichtlich der Lokalisierung dieser Öffentlichkeit zugänglich sind?

EuGH C-460/20 – TU, RE gegen Google LLC, Vorabentscheidungsersuchen des BGH (Deutschland), eingereicht am 24.9.2020

 

 

1. Ist es mit dem Recht des Betroffenen auf Achtung seines Privatlebens (Art. 7 GRCh) und auf Schutz der ihn betreffenden personenbezogenen Daten (Art. 8 der Charta) vereinbar, bei der iRd Prüfung seines Auslistungsbegehrens gegen den Verantwortlichen eines Internet-Suchdienstes gem. Art. 17 Abs. 3 lit. a VO (EU) 2016/679 vorzunehmenden Abwägung der widerstreitenden Rechte und Interessen aus Art. 7, 8, 11 und 16 der Charta dann, wenn der Link, dessen Auslistung beantragt wird, zu einem Inhalt führt, der Tatsachenbehauptungen und auf Tatsachenbehauptungen beruhende Werturteile enthält, deren Wahrheit der Betroffene in Abrede stellt, und dessen Rechtmäßigkeit mit der Frage der Wahrheitsgemäßheit der in ihm enthaltenen Tatsachenbehauptungen steht und fällt, maßgeblich auch darauf abzustellen, ob der Betroffene in zumutbarer Weise – zB durch eine einstweilige Verfügung – Rechtsschutz gegen den Inhalteanbieter erlangen und damit die Frage der Wahrheit des vom Suchmaschinenverantwortlichen nachgewiesenen Inhalts einer zumindest vorläufigen Klärung zuführen könnte?

2. Ist im Falle eines Auslistungsbegehrens gegen den Verantwortlichen eines Internet-Suchdienstes, der bei einer Namenssuche nach Fotos von natürlichen Personen sucht, die Dritte im Zusammenhang mit dem Namen der Person ins Internet eingestellt haben, und der die von ihm aufgefundenen Fotos in seiner Ergebnisübersicht als Vorschaubilder („thumbnails“) zeigt, iRd nach Art. 12 lit. b und 14 Abs. 1 lit. a RL 95/46/EG/Art. 17 Abs. 3 lit. a VO 2016/679 vorzunehmenden Abwägung der widerstreitenden Rechte und Interessen aus Art. 7, 8, 11 und 16 der Charta der Kontext der ursprünglichen Veröffentlichung des Dritten maßgeblich zu berücksichtigen, auch wenn die Webseite des Dritten bei Anzeige des Vorschaubilds durch die Suchmaschine zwar verlinkt, aber nicht konkret benannt und der sich hieraus ergebende Kontext vom Internet-Suchdienst nicht mit angezeigt wird?

EuGH C-534/20 – Leistritz AG gegen LH, Vorabentscheidungsersuchen des BAG (Deutschland), eingereicht am 21.10.2020

1. Ist Art. 38 Abs. 3 S. 2 VO (EU) 2016/679 (DS-GVO) dahin auszulegen, dass er einer Bestimmung des nationalen Rechts, wie hier § 38 Abs. 1 und Abs. 2 BDSG iVm § 6 Abs. 4 S. 2 BDSG, entgegensteht, die die ordentliche Kündigung des Arbeitsverhältnisses des Datenschutzbeauftragten durch den Verantwortlichen, der sein Arbeitgeber ist, für unzulässig erklärt, unabhängig davon, ob sie wegen der Erfüllung seiner Aufgaben erfolgt?

Falls die erste Frage bejaht wird:

2. Steht Art. 38 Abs. 3 S. 2 DS-GVO einer solchen Bestimmung des nationalen Rechts auch dann entgegen, wenn die Benennung des Datenschutzbeauftragten nicht nach Art. 37 Abs. 1 DS-GVO verpflichtend ist, sondern nur nach dem Recht des Mitgliedstaats?

Falls die erste Frage bejaht wird:

3. Beruht Art. 38 Abs. 3 S. 2 DS-GVO auf einer ausreichenden Ermächtigungsgrundlage, insbesondere soweit er Datenschutzbeauftragte erfasst, die in einem Arbeitsverhältnis zum Verantwortlichen stehen?

EuGH C-319/20 – Facebook Ireland, Vorabentscheidungsersuchen des BGH (Deutschland), eingereicht am 15.7.2020

Stehen die Regelungen in Kapitel VIII, insbesondere in Art. 80 Abs. 1 und 2 sowie 84 Abs. 1 VO (EU) 2016/679 nationalen Regelungen entgegen, die – neben den Eingriffsbefugnissen der zur Überwachung und Durchsetzung der VO zuständigen Aufsichtsbehörden und den Rechtsschutzmöglichkeiten der betroffenen Personen – einerseits Mitbewerbern und andererseits nach dem nationalen Recht berechtigten Verbänden, Einrichtungen und Kammern die Befugnis einräumen, wegen Verstößen gegen die VO (EU) 2016/679 unabhängig von der Verletzung konkreter Rechte einzelner betroffener Personen und ohne Auftrag einer betroffenen Person gegen den Verletzer im Wege einer Klage vor den Zivilgerichten unter den Gesichtspunkten des Verbots der Vornahme unlauterer Geschäftspraktiken oder des Verstoßes gegen ein Verbraucherschutzgesetz oder des Verbots der Verwendung unwirksamer Allgemeiner Geschäftsbedingungen vorzugehen?

EuGH C-245/20 – X, Z/Autoriteit Persoonsgegevens, Vorabentscheidungsersuchen der Rechtbank Midden-Nederland (Niederlande), eingereicht am 29.5.2020

1. Ist Art. 55 Abs. 3 DS-GVO (1) dahin auszulegen, dass unter der Wendung „die von Gerichten im Rahmen ihrer justiziellen Tätigkeit vorgenommenen Verarbeitungen“ die Gewährung von Einsicht in Verfahrensunterlagen mit personenbezogenen Daten durch eine Justizbehörde verstanden werden kann, wobei diese Einsicht durch die Bereitstellung von Kopien dieser Verfahrensunterlagen an einen Journalisten, wie in der Vorlageentscheidung ausgeführt, gewährt wird?

1.a. Ist es für die Beantwortung dieser Frage von Bedeutung, ob die Ausübung der Aufsicht über diese Art der Datenverarbeitung durch die nationale Aufsichtsbehörde das unabhängige richterliche Urteilen im Hinblick auf einzelne Rechtssachen beeinträchtigt?

1.b. Ist es für die Beantwortung dieser Frage von Bedeutung, dass die Art und das Ziel der Datenverarbeitung der Justizbehörde zufolge darin besteht, einen Journalisten zu informieren und es ihm dadurch zu ermöglichen, besser über die öffentliche Sitzung in einem Gerichtsverfahren zu berichten, was dem Grundsatz der Öffentlichkeit und Transparenz von Gerichtsverfahren dienen soll?

1.c. Ist es für die Beantwortung dieser Frage von Bedeutung, ob die Datenverarbeitung auf einer ausdrücklichen nationalen Rechtsgrundlage beruht?

EuGH C-184/20 – OT gegen Vyriausioji tarnybines etikos komisija (Oberste Offizielle Ethikkommission), Vorabentscheidungsersuchen der Vilniaus apygardos administracinis teismas (Litauen), eingereicht am 28.4.2020

1. Ist die in Art. 6 Abs. 1 lit. e der VO festgelegte Bedingung, dass die Verarbeitung für die Wahrnehmung einer Aufgabe erforderlich ist, die im öffentlichen Interesse liegt oder in Ausübung öffentlicher Gewalt erfolgt, die dem für die Verarbeitung Verantwortlichen übertragen wurde, im Hinblick auf die in Art. 6 Abs. 3 der VO festgelegten Anforderungen, einschließlich der Anforderung, dass das Recht des Mitgliedstaats ein im öffentlichen Interesse liegendes Ziel verfolgen und in einem angemessenen Verhältnis zu dem verfolgten legitimen Zweck stehen muss, und ferner im Hinblick auf die Art. 7 und 8 der Charta dahin auszulegen, dass das nationale Recht nicht die Offenlegung von Erklärungen über private Interessen und ihre Veröffentlichung auf der Website des Verantwortlichen, der Vyriausioji tarnybines etikos komisija (Oberste Offizielle Ethikkommission) verlangen darf, wodurch allen Personen, die Zugang zum Internet haben, Zugang zu diesen Daten gewährt wird?

2. Ist das in Art. 9 Abs. 1 der VO normierte Verbot der Verarbeitung besonderer Kategorien personenbezogener Daten unter Berücksichtigung der in Art. 9 Abs. 2 der VO festgelegten Bedingungen, einschließlich der in lit. g dieser Bestimmung genannten Bedingung, dass die Verarbeitung auf der Grundlage des Unionsrechts oder des Rechts eines Mitgliedstaats, das in angemessenem Verhältnis zu dem verfolgten Ziel steht, den Wesensgehalt des Rechts auf Datenschutz wahrt und angemessene und spezifische Maßnahmen zur Wahrung der Grundrechte und Interessen der betroffenen Person vorsieht, aus Gründen eines erheblichen öffentlichen Interesses erforderlich sein muss, auch im Hinblick auf die Art. 7 und 8 der Charta dahin auszulegen, dass das nationale Recht nicht die Offenlegung von Daten zu Erklärungen über private Interessen verlangen darf, die personenbezogene Daten offenlegen können, einschließlich solcher Daten, die Rückschlüsse auf die politischen Ansichten, die Gewerkschaftszugehörigkeit, die sexuelle Orientierung und andere persönliche Informationen zulassen, und auch nicht ihre Veröffentlichung auf der Website des für die Verarbeitung Verantwortlichen, der Vyriausioji tarnybines etikos komisija (der Obersten Offiziellen Ethikkommission), die allen Personen, die Zugang zum Internet haben, Zugang zu diesen Daten gewährt?

EuGH C-175/20 – SIA SS gegen Valsts ienemumu dienests (Steuerverwaltung, Lettland), Vorabentscheidungsersuchen der Administrativa apgabaltiesa (Regionales Verwaltungsgericht, Lettland), eingereicht am 14.4.2020

1. Sind die Anforderungen der DS-GVO dahin auszulegen, dass ein Auskunftsersuchen der Steuerverwaltung wie das im vorliegenden Fall in Rede stehende, in dem um Informationen ersucht wird, die große Mengen personenbezogener Daten enthalten, den Anforderungen der DS-GVO (insbesondere ihrem Art. 5 Abs. 1 DS-GVO) entsprechen muss?

2. Sind die Anforderungen der DS-GVO dahin auszulegen, dass die Steuerverwaltung von Art. 5 Abs. 1 dieser VO abweichen kann, auch wenn ihr die in der Republik Lettland geltenden Rechtsvorschriften keine solche Befugnis einräumen?

3. Kann in Auslegung der Anforderungen der DS-GVO davon ausgegangen werden, dass es ein legitimes Ziel gibt, das die durch ein Auskunftsersuchen wie das im vorliegenden Fall in Rede stehende auferlegte Verpflichtung rechtfertigt, alle angeforderten Informationen in einer unbegrenzten Menge und für einen unbegrenzten Zeitraum zu erteilen, ohne dass eine Frist für die Erledigung dieses Auskunftsersuchens gesetzt wird?

4. Kann in Auslegung der Anforderungen der DS-GVO davon ausgegangen werden, dass es ein legitimes Ziel gibt, das die durch ein Auskunftsersuchen wie das im vorliegenden Fall in Rede stehende auferlegte Verpflichtung, alle angeforderten Informationen zu erteilen, rechtfertigt, auch wenn das Auskunftsersuchen den Zweck der Übermittlung der Informationen nicht (oder nur unvollständig) angibt?

5. Kann in Auslegung der Anforderungen der DS-GVO davon ausgegangen werden, dass es ein legitimes Ziel gibt, das die durch ein Auskunftsersuchen wie das im vorliegenden Fall in Rede stehende auferlegte Verpflichtung, alle angeforderten Informationen zu erteilen, rechtfertigt, auch wenn sich diese Verpflichtung in der Praxis ausnahmslos auf alle betroffenen Personen bezieht, die Inserate in der Rubrik „Pkw“ einer Website geschaltet haben?

6. Anhand welcher Kriterien ist zu prüfen, ob die Steuerverwaltung als für die Verarbeitung Verantwortliche ordnungsgemäß sicherstellt, dass die Datenverarbeitung (einschließlich der Sammlung von Informationen) den Anforderungen der DS-GVO entspricht?

7. Anhand welcher Kriterien ist zu prüfen, ob ein Auskunftsersuchen wie das im vorliegenden Fall in Rede stehende ordnungsgemäß mit Gründen versehen ist und gelegentlichen Charakter hat?

8. Anhand welcher Kriterien ist zu prüfen, ob die Verarbeitung personenbezogener Daten im erforderlichen Umfang und in einer Weise erfolgt, die mit den Anforderungen der DS-GVO vereinbar ist?

9. Anhand welcher Kriterien ist zu prüfen, ob die Steuerverwaltung als für die Verarbeitung Verantwortliche sicherstellt, dass die Datenverarbeitung im Einklang mit den Anforderungen nach Art. 5 Abs. 1 DS-GVO erfolgt (Rechenschaftspflicht)?

EuGH C-817/19 – Ligue des droits humains/Conseil des ministres, Vorabentscheidungsersuchen der Cour constitutionnelle (Belgien), eingereicht am 31.10.2019

Ist Art. 23 der VO (EU) 2016/679 des Europäischen Parlaments und des Rates v. 27.4.2016 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten, zum freien Datenverkehr und zur Aufhebung der RL 95/46/EG (DS-GVO) iVm Art. 2 Abs. 2 lit. d dieser VO so auszulegen, dass er auf einzelstaatliche Rechtsvorschriften wie das Gesetz v. 25.12.2016 über die Verarbeitung von Passagierdaten, mit dem die RL (EU) 2016/681 des Europäischen Parlaments und des Rates v. 27.4.2016 über die Verwendung von Fluggastdatensätzen (PNR-Daten) zur Verhütung, Aufdeckung, Ermittlung und Verfolgung von terroristischen Straftaten und schwerer Kriminalität, sowie die RL 2004/82/EG des Rates v. 29.4.2004 über die Verpflichtung von Beförderungsunternehmen, Angaben über die beförderten Personen zu übermitteln, und die RL 2010/65/EU des Europäischen Parlaments und des Rates v. 20.10.2010 über Meldeformalitäten für Schiffe beim Einlaufen in und/oder Auslaufen aus Häfen der Mitgliedstaaten und zur Aufhebung der RL 2002/6/EG umgesetzt wird, anwendbar ist?

 

Die Übersicht zeigt, dass der EuGH in vielen umstrittenen Themen die Gelegenheit erhält, wesentliche Fragen hinsichtlich der Auslegung der DS-GVO zu beantworten. Die verbindliche Auslegung des EuGH wird in der datenschutzrechtlichen Praxis für Rechtssicherheit sorgen. Es ist daher zu begrüßen, dass bereits so viele Vorlageersuchen an den EuGH gestellt wurden. Festzuhalten bleibt jedoch, dass die vorliegende Übersicht nur eine Momentaufnahme darstellen kann. Auch in der Zukunft werden weiterhin Fragen an das europäisch höchste Gericht herangetragen werden.

Kevin Leibold, LL.M., ist Rechtsreferendar am Saarländischen Oberlandesgericht und Doktorand an der Universität des Saarlandes; auf Twitter unter: @kleibold23.