Internet Explorer: Unsere Empfehlung

×
Sie nutzen noch den Interenet Explorer 11 (IE11) und wir empfehlen Ihnen, bis zum 15. Juni 2022 auf den neuen Browser „Microsoft Edge“ oder eine aktuelle Version eines anderen gängigen Internet-Browsers (Firefox, Chrome, usw.) umzusteigen. Wir folgen damit den Empfehlungen des Unternehmens Microsoft, das ebenfalls schrittweise begonnen hat, die Unterstützung dieser Browserversion einzustellen. Bei Fragen wenden Sie sich bitte an unsere Hotline unter der Telefonnummer 089-38189-421.
CHB_RSW_Logo_mit_Welle_trans
Zeitschrift für Datenschutz | Banner

DS-GVO-Vorlagefragen an den EuGH

Kevin Leibold, LL. M., ist Rechtsanwalt; auf Twitter unter: @kleibold23.
ZD-Aktuell 2023, 01380       Hier findet sich eine von Kevin Leibold, LL. M., erstellte Übersicht über die DS-GVO-Vorlagefragen an den EuGH mit dem aktuellen Stand vom 15.9.‌2023.

Vorabentscheidungsersuchen

Vorlagefragen

Vorlageersuchen des Marktgerichtshofs Brüssel (Az. unbekannt)

(Inoffizielle Übersetzung:)

1. a) Sollte Art. 4 Abs. 1 der VO (EU) 2016/679 des Europäischen Parlaments und des Rates v. 27.4.‌2016 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten, zum freien Datenverkehr und zur Aufhebung der RL 95/46/EG iVm den Art. 7 und 8 GRCh dahin ausgelegt werden, dass eine Zeichenkette, die in strukturierter und maschinenlesbarer Form die Präferenzen eines Internetnutzers in Bezug auf die Verarbeitung seiner personenbezogenen Daten erfasst, personenbezogene Daten iSd genannten Vorschrift darstellt, und zwar ggü. 1. einer Branchenorganisation, die ihren Mitgliedern einen Standard zur Verfügung stellt, indem sie ihnen vorschreibt, auf welche Weise diese Zeichenfolge praktisch und technisch zu erzeugen, zu speichern und/oder zu verbreiten ist, und 2. den Parteien, die diesen Standard auf ihren Websites oder in ihren Apps umgesetzt haben und auf diese Weise Zugang zu dieser Zeichenfolge haben?

b) Macht es einen Unterschied, ob die Umsetzung des Standards bedeutet, dass diese Zeichenfolge zusammen mit einer IP-Adresse verfügbar ist?

c) Führt die Antwort auf die Fragen a) und b) zu einer anderen Schlussfolgerung, wenn diese normgebende Branchenorganisation selbst keinen rechtlichen Zugang zu den personenbezogenen Daten hat, die von ihren Mitgliedern im Rahmen dieser Norm verarbeitet werden?

2. a) Sollten die Art. 4 Abs. 7 und 24 Abs. 1 der VO (EU) 2016/679 des Europäischen Parlaments und des Rates v. 27.4.‌2016 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten, zum freien Datenverkehr und zur Aufhebung der RL 95/46/EG iVm den Art. 7 und 8 GRCh dahingehend ausgelegt werden, dass eine standardsetzende Branchenorganisation als für die Verarbeitung Verantwortlicher zu qualifizieren ist, wenn sie ihren Mitgliedern einen Standard für den Umgang mit Einwilligungen anbietet, der neben der Bereitstellung eines verbindlichen technischen Rahmens auch Vorschriften darüber enthält, wie diese Einwilligungsdaten, bei denen es sich um personenbezogene Daten handelt, zu speichern und zu verbreiten sind?

b) Führt die Antwort auf Frage a) zu einer anderen Schlussfolgerung, wenn diese Branchenorganisation selbst keinen rechtlichen Zugang zu den personenbezogenen Daten hat, die von ihren Mitgliedern im Rahmen dieser Norm verarbeitet werden?

c) Wenn die normsetzende Branchenorganisation als für die Verarbeitung der Präferenzen von Internetnutzern Verantwortlicher oder Mitverantwortlicher zu qualifizieren ist, erstreckt sich diese (Mit-)Verantwortlichkeit der normsetzenden Branchenorganisation im europäischen Datenschutzrecht automatisch auch auf die nachfolgende Verarbeitung durch Dritte, für die die Präferenzen der Internetnutzer gewonnen wurden, wie zB gezielte Online-Werbung durch Verlage und Anbieter?

NEU EuGH – C-563/23 – Natsionalnata agentsia za prihodite, Vorabentscheidungsersuchen des Sofiyski rayonen sad (Bulgarien), eingereicht am 12.9.‌2023

 

NEU EuGH – C-507/23 – Patērētāju tiesību aizsardzības centrs, Vorabentscheidungsersuchen des Augstākā tiesa (Lettland), eingereicht am 8.8.‌2023

 

NEU EuGH – C-492/23, Russmedia Digital und Inform Media Press, Vorabentscheidungsersuchen des Curtea de Apel Cluj (Rumänien), eingereicht am 3.8.‌2023

 

NEU EuGH – C-416/23, Österreichische Datenschutzbehörde, Vorabentscheidungsersuchen des Verwaltungsgerichtshofs (Österreich), eingereicht am 6.7.‌2023

1. Ist der Begriff „Anfragen“ oder „Anfrage“ in Art. 57 Abs. 4 DS-GVO dahin auszulegen, dass darunter auch „Beschwerden“ nach Art. 77 Abs. 1 DS-GVO zu

verstehen sind?

Falls die Frage 1 bejaht wird:

2. Ist Art. 57 Abs. 4 DS-GVO so auszulegen, dass es für das Vorliegen von „exzessiven Anfragen“ bereits ausreicht, dass eine betroffene Person bloß innerhalb eines bestimmten Zeitraums eine bestimmte Zahl von Anfragen (Beschwerden nach Art. 77 Abs. 1 DS-GVO) an eine Aufsichtsbehörde gerichtet hat, unabhängig davon, ob es sich um unterschiedliche Sachverhalte handelt und/oder die Anfragen (Beschwerden) unterschiedliche Verantwortliche betreffen, oder bedarf es neben der häufigen Wiederholung von Anfragen (Beschwerden) auch einer Missbrauchsabsicht der betroffenen Person?

3. Ist Art. 57 Abs. 4 DS-GVO so auszulegen, dass die Aufsichtsbehörde bei Vorliegen einer „offenkundig unbegründeten“ oder „exzessiven“ Anfrage (Beschwerde) frei wählen kann, ob sie eine angemessene Gebühr auf der Grundlage der Verwaltungskosten für deren Bearbeitung verlangt oder deren Bearbeitung von vornherein verweigert; verneinendenfalls welche Umstände und welche Kriterien die Aufsichtsbehörde zu berücksichtigen hat, insbesondere ob die Aufsichtsbehörde verpflichtet ist, vorrangig als gelinderes Mittel eine angemessene Gebühr zu verlangen, und erst im Fall der Aussichtslosigkeit einer Gebühreneinhebung zur Hintanhaltung offenkundig unbegründeter oder exzessiver Anfragen (Beschwerden) berechtigt ist, deren Bearbeitung zu verweigern?

NEU EuGH – C-394/23 – Mousse, Vorabentscheidungsersuchen des Conseil d'État (Frankreich), eingereicht am 28.6.‌2023

1. Kann bei der Beurteilung der Angemessenheit, Erheblichkeit und Beschränkung auf das für die Zwecke der Verarbeitung der Daten notwendige Maß der Datenerhebung im Sinne der Bestimmungen von Art. 5 Abs. 1 Lit. c DS-GVO und der Erforderlichkeit ihrer Verarbeitung iSv Art. 6 Abs. 1 Lit. b und f DS-GVO die allgemeine Verkehrssitte in der Kommunikation auf Zivil-­, Handels- und Verwaltungsebene berücksichtigt werden, so dass die auf die Angaben „Herr“ oder „Frau“ beschränkte Erhebung von Daten hinsichtlich der Anrede der Kunden als erforderlich angesehen werden könnte, ohne dass der Grundsatz der Datenminimierung dem entgegenstünde?

2. Ist bei der Beurteilung, ob die verpflichtende Erhebung und Verarbeitung von Daten hinsichtlich der Anrede der Kunden erforderlich ist, in Anbetracht der Tatsache, dass einige Kunden der Ansicht sind, dass auf sie keine der beiden Anreden zutreffe und dass die Erhebung dieser Daten in Bezug auf sie nicht erheblich sei, zu berücksichtigen, dass die Kunden, nachdem sie dem Verantwortlichen diese Daten zur Verfügung gestellt haben, um die angebotene Dienstleistung in Anspruch zu nehmen, nach Art. 21 DS-GVO ihr Recht, der Verwendung und Speicherung dieser Daten zu widersprechen, unter Berufung auf ihre besondere Situation geltend machen könnten?

NEU EuGH – C-383/23 – ILVA, Vorabentscheidungsersuchen des Vestre Landsret (Dänemark), eingereicht am 21.6.‌2023

1. Ist der Begriff „Unternehmen“ in den Art. 83 Abs. 4 bis 6 der DS-GVO als ein Unternehmen im Sinne der Art. 101 und 102 AEUV iVm dem 150. Erwägungsgrund der Datenschutz-Grundverordnung und der Rechtsprechung des Gerichtshofs der Europäischen Union im Bereich des Wettbewerbsrechts der Union zu verstehen, so dass der Begriff „Unternehmen“ jede Einheit erfasst, die eine wirtschaftliche Tätigkeit ausübt, unabhängig von der Rechtsstellung dieser Einheit und der Art und Weise, in der sie finanziert wird?

2. Falls die erste Frage zu bejahen ist: Ist Art. 83 Abs. 4 bis 6 der DS-GVO dahin auszulegen, dass bei der Verhängung einer Geldbuße gegen ein Unternehmen der gesamte weltweit erzielte Jahresumsatz der wirtschaftlichen Einheit, zu der das Unternehmen gehört, zu berücksichtigen ist oder nur der gesamte weltweit erzielte Jahresumsatz des Unternehmens selbst?

NEU EuGH – C-332/23 – Inspektorat kam Visshia sadeben savet, Vorabentscheidungsersuchen des Sofiyski rayonen sad (Bulgarien), eingereicht am 25.5.‌2023

1. Ist Art. 19 Abs. 1 UAbs. 2 des [EUV] iVm Art. 47 Abs. 2 der Charta der Grundrechte der Europäischen Union dahin auszulegen, dass es an sich oder unter bestimmten Voraussetzungen eine Verletzung der Pflicht der Mitgliedstaaten, wirksame Rechtsbehelfe für eine unabhängige gerichtliche Überprüfung zu gewährleisten, darstellt, wenn die Funktionen einer Behörde, die Disziplinarstrafen gegen Richter verhängen kann und Befugnisse zur Erhebung von Daten in Bezug auf deren Vermögen hat, nach dem Ende der in der Verfassung festgelegten Amtszeit dieser Stelle auf unbestimmte Zeit verlängert werden? Wenn eine derartige Verlängerung dieser Befugnisse zulässig ist, dann unter welchen Voraussetzungen?

2. Ist Art. 2 Abs. 2 lit. a DS-GVO dahin auszulegen, dass es sich bei der Offenlegung des Bankgeheimnisses zum Zwecke der Überprüfung des Vermögens von Richtern und Staatsanwälten, welches anschließend öffentlich gemacht wird, um eine Tätigkeit handelt, die nicht in den Anwendungsbereich des Unionsrechts fällt? Ist die Antwort eine andere, wenn diese Tätigkeit auch die Offenlegung von Daten der Familienangehörigen der Richter und Staatsanwälte umfasst, die selbst keine Richter und Staatsanwälte sind?

3. Ist – falls die zweite Frage dahin beantwortet wird, dass Unionsrecht zur Anwendung kommt – Art. 4 Nr. 7 DS-GVO dahin auszulegen, dass eine Gerichtsbehörde, die einer anderen staatlichen Behörde den Zugang zu Daten über die Kontoguthaben der Richter und Staatsanwälte und deren Familienangehörigen gestattet, über die Zwecke oder Mittel der Verarbeitung von personenbezogenen Daten entscheidet und deshalb „Verantwortlicher“ für die Verarbeitung von personenbezogenen Daten ist?

4. Ist – falls die zweite Frage dahin beantwortet wird, dass Unionsrecht zur Anwendung kommt, und die dritte verneint wird – Art. 51 DS-GVO dahin auszulegen, dass eine Gerichtsbehörde, die einer anderen staatlichen Behörde den Zugang zu Daten über die Kontoguthaben der Richter und Staatsanwälte und deren Familienangehörigen gestattet, für die Überwachung [der Anwendung] dieser Verordnung verantwortlich ist und deshalb als „Aufsichtsbehörde“ in Bezug auf diese Daten zu qualifizieren ist?

5. Ist – falls die zweite Frage dahin beantwortet wird, dass Unionsrecht zur Anwendung kommt, und eine der Fragen drei oder vier bejaht wird – Art. 32 Abs. 1 lit. b DS-GVO, bzw. Art. 57 Abs. 1 lit. a DS-GVO, dahin auszulegen, dass eine Gerichtsbehörde, die einer anderen staatlichen Behörde den Zugang zu Daten über die Kontoguthaben der Richter und Staatsanwälte und deren Familienangehörigen gestattet, verpflichtet ist, bei Vorliegen von Daten über eine von der Behörde, der dieser Zugang gewährt werden soll, in der Vergangenheit begangenen Verletzung des Schutzes von personenbezogenen Daten, Informationen über die für den Schutz der Daten getroffenen Maßnahmen einzuholen und bei seiner Entscheidung über die Gestattung des Zugangs die Angemessenheit dieser Maßnahmen zu berücksichtigen?

6. Ist – falls die zweite Frage dahin beantwortet wird, dass Unionsrecht zur Anwendung kommt, und unabhängig von den Antworten auf die dritte und vierte Frage – Art. 79 Abs. 1 DS-GVO iVm Art. 47 der Charta der Grundrechte der Europäischen Union dahin auszulegen, dass wenn das nationale Recht eines Mitgliedstaats vorsieht, dass bestimmte Kategorien von Daten nur nach einer Gestattung durch ein Gericht offengelegt werden können, das hierfür zuständige Gericht den Personen, deren Daten offengelegt werden, von Amts wegen Rechtsschutz gewähren muss, indem es die Behörde, die den Zugang zu den Daten beantragt hat und von der bekannt ist, dass sie in der Vergangenheit Verletzungen des Schutzes von personenbezogenen Daten begangen hat, verpflichtet, Informationen zu den gem. Art. 33 Abs. 3 lit. d DS-GVO getroffenen Maßnahmen und deren wirksamen Anwendung zur Verfügung zu stellen?

NEU EuGH – C-316/23 – Inspektorat kam Visshia sadeben savet, Vorabentscheidungsersuchen des Sofiyski rayonen sad (Bulgarien), eingereicht am 23.5.‌2023

Der Sachverhalt und die Begründung entsprechen im Wesentlichen dem Vorabentscheidungsersuchen in der Rechtssache C-332/23; die zur Vorabentscheidung vorgelegten Fragen sind in beiden Rechtssachen identisch.

NEU EuGH – C-313/23 – Inspektorat kam Visshia sadeben savet, Vorabentscheidungsersuchen des Sofiyski rayonen sad (Bulgarien), eingereicht am 22.5.‌2023

Der Sachverhalt und die Begründung entsprechen im Wesentlichen dem Vorabentscheidungsersuchen in der Rechtssache C-332/23; die zur Vorabentscheidung vorgelegten Fragen sind in beiden Rechtssachen identisch.

NEU EuGH – C-312/23 – Addiko Bank, Vorabentscheidungsersuchen des Upravni sud u Zagrebu (Kroatien), eingereicht am 22.5.‌2023

 

NEU EuGH – C-247/23 – Deldits, Vorabentscheidungsersuchen des Fővárosi Törvényszék (Ungarn), eingereicht am 18.4.‌2023

1. Ist Art. 16 DS-GVO dahin auszulegen, dass die Behörde, die nach dem mitgliedstaatlichen Recht die Register führt, im Hinblick auf die Ausübung der Rechte der betroffenen Person verpflichtet ist, von ihr registrierte personenbezogene Daten betreffend das Geschlecht dieser Person zu berichtigen, wenn sich diese Daten seit ihrer Eintragung in das Register geändert haben und daher nicht dem in Art. 5 Abs. 1 lit. d DS-GVO niedergelegten Grundsatz der Richtigkeit entsprechen?

2. Falls Frage 1 bejaht wird: Ist Art. 16 DS-GVO dahin auszulegen, dass die Person, die die Berichtigung von Daten betreffend ihr Geschlecht beantragt, verpflichtet ist, Nachweise zur Begründung ihres Berichtigungsantrags vorzulegen?

3. Falls Frage 2 bejaht wird: Ist Art. 16 DS-GVO dahin auszulegen, dass die antragstellende Person nachweisen muss, dass sie sich einer geschlechtsangleichenden Operation unterzogen hat?

NEU EuGH – C-200/23 – Agentsia po vpisvaniyata, Vorabentscheidungsersuchen des Varhoven administrativen sad (Bulgarien), eingereicht am 28.3.‌2023

1. Kann Art. 4 Abs. 2 der Richtlinie 2009/101/EG dahin ausgelegt werden, dass er eine Verpflichtung des Mitgliedstaats aufstellt, die Offenlegung eines Gesellschaftsvertrags, der gem. Art 119 des Targovski zakon (Handelsgesetz) der Eintragung unterliegt, zuzulassen, wenn dieser neben den Namen der Gesellschafter, die gem. Art. 2 Abs. 2 des Zakon za targovskia registar i registara na yuriditcheskite litsa s nestopanska tsel (Gesetz über das Handelsregister und das Register der juristischen Personen ohne Erwerbszweck) der obligatorischen Bekanntmachung unterliegen, auch weitere personenbezogene Daten enthält? Bei der Beantwortung dieser Frage ist zu beachten, dass die Agentur für Eintragungen eine Einrichtung des öffentlichen Sektors ist, der gegenüber nach ständiger Rechtsprechung des Gerichtshofs die Vorschriften der Richtlinie, die unmittelbare Wirkung entfalten, geltend gemacht werden können (Urteil v. 7.9.‌2006, Vassallo, С-180/04, ECLI:EU:C:2006:518, Rn. 26 und die dort angeführte Rechtsprechung).

2. Kann – falls die erste Frage bejaht wird – angenommen werden, dass unter den Umständen, die den Rechtsstreit des Ausgangsverfahrens ausgelöst haben, die Verarbeitung personenbezogener Daten durch die Agentur für Eintragungen iSv Art. 6 Abs. 1 lit. e DS-GVO für die Wahrnehmung einer Aufgabe erforderlich ist, die im öffentlichen Interesse liegt oder in Ausübung öffentlicher Gewalt erfolgt, die dem Verantwortlichen übertragen wurde?

3. Kann – falls die ersten beiden Fragen bejaht werden – eine nationalen Regelung wie der in Art. 13 Abs. 9 des Zakon za targovskia registar i registara na yuriditcheskite litsa s nestopanska tsel (Gesetz über das Handelsregister und das Register der juristischen Personen ohne Erwerbszweck), nach der für den Fall, dass in einem Antrag oder in den Unterlagen zu diesem Antrag personenbezogene, nicht gesetzlich geforderte Daten angegeben sind, davon auszugehen ist, dass die Personen, die sie zur Verfügung gestellt haben, in die Verarbeitung dieser Daten durch die Agentur und in die Bereitstellung eines öffentlichen Zugangs zu ihnen eingewilligt haben, ungeachtet der Erwägungsgründe 32404243 und 50 DS-GVO als Klarstellung in Bezug auf die Möglichkeit einer iSd Art. 4 Abs. 2 der Richtlinie 2009/101/EG „freiwilligen Offenlegung“ auch personenbezogener Daten als zulässig angesehen werden?

4. Sind zur Umsetzung der Verpflichtung aus Art. 3 Abs. 7 der Richtlinie 2009/101/EG, wonach die Mitgliedstaaten die erforderlichen Maßnahmen treffen müssen, um zu verhindern, dass der Inhalt der nach Abs. 5 offen gelegten Informationen und der Inhalt des Registers oder der Akte voneinander abweichen und um die Interessen Dritter zu berücksichtigen, sich über die wesentlichen Urkunden der Gesellschaft sowie einige sie betreffende Angaben, die im dritten Erwägungsgrund dieser Richtlinie genannt werden, zu unterrichten, nationale Rechtsvorschriften zulässig, die eine Verfahrensregelung (Antragsformblätter, Einreichung von Kopien von Unterlagen, in denen personenbezogene Daten unkenntlich gemacht wurden) für die Ausübung des Rechts der natürlichen Person gem. Art. 17 DS-GVO, von dem Verantwortlichen zu verlangen, dass sie betreffende personenbezogene Daten unverzüglich gelöscht werden, vorsehen, wenn die personenbezogenen Daten, deren Löschung verlangt wird, Teil von öffentlich offen gelegten (bekannt gemachten) Unterlagen sind, die dem Verantwortlichen nach einer ähnlichen Verfahrensregelung von einer anderen Person zur Verfügung gestellt wurden, die mit dieser Handlung auch den Zweck der von ihr veranlassten Verarbeitung bestimmt hat?

5. Handelt die Agentur für Eintragungen in der dem Ausgangsrechtsstreit zugrunde liegenden Situation nur als Verantwortlicher in Bezug auf die personenbezogenen Daten oder ist sie auch deren Empfänger, wenn die Zwecke ihrer Verarbeitung als Teil der Unterlagen, die zur Bekanntmachung vorgelegt wurden, von einem anderen Verantwortlichen bestimmt wurden?

6. Stellt die eigenhändige Unterschrift einer natürlichen Person eine Information dar, die sich auf eine identifizierte natürliche Person bezieht, bzw. wird sie vom Begriff „personenbezogene Daten“ iSv Art. 4 Nr. 1 DS-GVO erfasst?

7. Ist der Begriff „immaterieller Schaden“ in Art. 82 Abs. 1 DS-GVO dahin auszulegen, dass die Annahme eines immateriellen Schadens einen spürbaren Nachteil und eine objektiv nachvollziehbare Beeinträchtigung persönlicher Belange erfordert oder genügt hierfür der bloße kurzfristige Verlust des Betroffenen über die Hoheit seiner Daten wegen der Veröffentlichung personenbezogener Daten im Handelsregister, der ohne jedwede spürbare bzw. nachteilige Konsequenzen für den Betroffenen blieb?

8. Kann die gem. Art. 58 Abs. 3 lit. b DS-GVO erlassene Stellungnahme der nationalen Aufsichtsbehörde, der Komisia za zashtita na lichnite danni (Kommission für den Schutz personenbezogener Daten), Nr. 01-116(20)/1.2.‌2021, wonach die Agentur für Eintragungen keine rechtliche Möglichkeit oder Befugnis hat, von Amts wegen oder auf Antrag der betroffenen Person, die Verarbeitung von bereits offen gelegten Daten einzuschränken, zulässigerweise als Nachweis iSv Art. 82 Abs. 3 DS-GVO dafür gelten, dass die Agentur für Eintragungen in keinerlei Hinsicht für den Umstand verantwortlich ist, durch den der Schaden bei der natürlichen Person eingetreten ist?

NEU EuGH – C-169/23 – Másdi, Vorabentscheidungsersuchen der Kúria (Ungarn), eingereicht am 17.3.‌2023

1. Ist Art. 14 Abs. 5 lit. c iVm Art. 14 Abs. 1 und Erwägungsgrund 62 DS-GVO dahin auszulegen, dass sich die in Art. 14 Abs. 5 lit. c vorgesehene Ausnahme nicht auf Daten bezieht, die im Verfahren des Verantwortlichen selbst erzeugt wurden, sondern nur auf Daten, die der Verantwortliche ausdrücklich von einer anderen Person erlangt hat?

2. Ist für den Fall, dass Art. 14 Abs. 5 lit. c DS-GVO auch für Daten gilt, die im Verfahren des Verantwortlichen selbst erzeugt wurden, das in Art. 77 Abs. 1 der DS-GVO verankerte Recht auf Beschwerde bei einer Aufsichtsbehörde so auszulegen, dass eine natürliche Person, die eine Verletzung der Informationspflicht geltend macht, in Ausübung ihres Beschwerderechts verlangen kann, dass geprüft wird, ob das Recht des Mitgliedstaats gem. Art. 14 Abs. 5 lit. c DS-GVO geeignete Maßnahmen zum Schutz der berechtigten Interessen der betroffenen Person vorsieht?

3. Falls die zweite Frage bejaht wird: Kann Art. 14 Abs. 5 lit. c DS-GVO dahin ausgelegt werden, dass die in dieser Bestimmung genannten „geeigneten Maßnahmen“ implizieren, dass der nationale Gesetzgeber die in Art. 32 DS-GVO vorgesehenen Maßnahmen in Bezug auf die Datensicherheit (mittels Rechtsvorschriften) umzusetzen hat?

EuGH C-65/23 – K GmbH, Vorabentscheidungsersuchen des BAG, eingereicht am 8.2.‌2023

1. Ist eine nach Art. 88 Abs. 1 DS-GVO erlassene nationale Rechtsvorschrift – wie etwa § 26 Abs. 4 BDSG – in der bestimmt ist, dass die Verarbeitung personenbezogener Daten – einschließlich besonderer Kategorien personenbezogener Daten – von Beschäftigten für Zwecke des Beschäftigungsverhältnisses auf der Grundlage von Kollektivvereinbarungen unter Beachtung von Art. 88 Abs. 2 DS-GVO zulässig ist, dahin auszulegen, dass stets auch die sonstigen Vorgaben der DS-GVO – wie etwa Art. 5, Art. 6 Abs. 1 und Art. 9 Abs. 1 und Abs. 2 DS-GVO – einzuhalten sind?

2. Sofern die Frage zu 1. bejaht wird: Darf eine nach Art. 88 Abs. 1 DS-GVO erlassene nationale Rechtsvorschrift – wie § 26 Abs. 4 BDSG – dahin ausgelegt werden, dass den Parteien einer Kollektivvereinbarung (hier den Parteien einer Betriebsvereinbarung) bei der Beurteilung der Erforderlichkeit der Datenverarbeitung iSd Art. 5, Art. 6 Abs. 1 und Art. 9 Abs. 1 und Abs. 2 DS-GVO ein Spielraum zusteht, der gerichtlich nur eingeschränkt überprüfbar ist?

3. Sofern die Frage zu 2. bejaht wird: Worauf darf in einem solchen Fall die gerichtliche Kontrolle beschränkt werden?

4. Ist Art. 82 Abs. 1 DS-GVO dahin auszulegen, dass Personen ein Recht auf Ersatz des immateriellen Schadens bereits dann haben, wenn ihre personenbezogenen Daten entgegen den Vorgaben der DS-GVO verarbeitet wurden oder setzt der Anspruch auf Ersatz des immateriellen Schadens darüber hinaus voraus, dass die betroffene Person einen von ihr erlittenen immateriellen Schaden – von einigem Gewicht – darlegt?

5. Hat Art. 82 Abs. 1 DS-GVO spezial- bzw. generalpräventiven Charakter und muss dies bei der Bemessung der Höhe des zu ersetzenden immateriellen Schadens auf der Grundlage von Art. 82 Abs. 1 DS-GVO zulasten des Verantwortlichen bzw. Auftragsverarbeiters berücksichtig werden?

6. Kommt es bei der Bemessung der Höhe des zu ersetzenden immateriellen Schadens auf der Grundlage von Art. 82 Abs. 1 DS-GVO auf den Grad des Verschuldens des Verantwortlichen bzw. Auftragsverarbeiters an? Insbesondere, darf ein nicht vorliegendes oder geringes Verschulden auf Seiten des Verantwortlichen bzw. Auftragsverarbeiters zu dessen Gunsten berücksichtigt werden?

EuGH C-46/23 – Újpesti Polgármesteri Hivatal, Vorabentscheidungsersuchen des Fővárosi Törvényszék (Ungarn), eingereicht am 31.1.‌2023

1. Ist Art. 58 Abs. 2, insb. lit. c, d und g der DS-GVO dahin auszulegen, dass die Aufsichtsbehörde eines Mitgliedstaats in Ausübung ihrer Abhilfebefugnisse auch ohne ausdrücklichen Antrag der betroffenen Person gem. Art. 17 Abs. 1 DS-GVO einen Verantwortlichen oder einen Auftragsverarbeiter anweisen kann, unrechtmäßig verarbeitete personenbezogene Daten zu löschen?

2. Wenn die Antwort auf die erste Frage lautet, dass die Aufsichtsbehörde einen Verantwortlichen oder einen Auftragsverarbeiter anweisen kann, unrechtmäßig verarbeitete personenbezogene Daten auch ohne Antrag der betroffenen Person zu löschen, ist dies dann unabhängig davon, ob die personenbezogenen Daten bei der betroffenen Person erhoben wurden oder nicht?

EuGH C-21/23 – Lindenapotheke, Vorabentscheidungsersuchen des BGH, eingereicht am 19.1.‌2023

Vorlagefragen noch nicht veröffentlicht. Es handelt sich vermutlich um das Vorlageersuchen des BGH v. 12.1.‌2023 – I ZR 222/19 u. I ZR 223/19:

1. Stehen die Regelungen in Kapitel VIII der Datenschutz-Grundverordnung nationalen Regelungen entgegen, die – neben den Eingriffsbefugnissen der zur Überwachung und Durchsetzung der Verordnung zuständigen Aufsichtsbehörden und den Rechtsschutzmöglichkeiten der betroffenen Personen – Mitbewerbern die Befugnis einräumen, wegen Verstößen gegen die Datenschutz-Grundverordnung gegen den Verletzer im Wege einer Klage vor den Zivilgerichten unter dem Gesichtspunkt des Verbots der Vornahme unlauterer Geschäftspraktiken vorzugehen?

2. Sind die Daten, die Kunden eines Apothekers, der auf einer Internet-Verkaufsplattform als Verkäufer auftritt, bei der Bestellung von zwar apothekenpflichtigen, nicht aber verschreibungspflichtigen Medikamenten auf der Verkaufsplattform eingeben (Name des Kunden, Lieferadresse und für die Individualisierung des bestellten apothekenpflichtigen Medikaments notwendige Informationen), Gesundheitsdaten iSv Art. 9 Abs. 1 DSGVO sowie Daten über Gesundheit iSv Art. 8 Abs. 1 DSRL?

EuGH C-757/22 – Meta Platforms Ireland, Vorabentscheidungsersuchen des BGH, eingereicht am 15.12.‌2022

Wird eine Rechtsverletzung „infolge einer Verarbeitung“ iSv Art. 80 Abs. 2 DS-GVO geltend gemacht, wenn ein Verband zur Wahrung von Verbraucherinteressen seine Klage darauf stützt, die Rechte einer betroffenen Person seien verletzt, weil die Informationspflichten gem. Art. 12 Abs. 1 S. 1 DS-GVO iVm Art. 13 Abs. 1 lit. c und e DS-GVO über den Zweck der Datenverarbeitung und den Empfänger der personenbezogenen Daten nicht erfüllt worden seien?

EuGH C-740/22 – Endemol Shine Finland, Vorabentscheidungsersuchen des Itä-Suomen hovioikeus (Finnland), eingereicht am 2.12.‌2022

1. Stellt eine mündliche Übermittlung personenbezogener Daten eine Verarbeitung personenbezogener Daten iSv Art. 2 Abs. 1 und Art. 4 Ziff. 2 DS-GVO dar?

2. Kann der Zugang der Öffentlichkeit zu amtlichen Dokumenten mit dem Recht auf Schutz personenbezogener Daten in der von Art. 86 der Verordnung genannten Weise dadurch in Einklang gebracht werden, dass aus dem Personenregister eines Gerichts unbeschränkt Informationen über Strafurteile oder Delikte einer natürlichen Person erhältlich sind, wenn beantragt wird, dem Antragsteller die Informationen mündlich zu übermitteln?

3. Ist für die Antwort auf Frage 2 von Bedeutung, ob es sich bei dem Antragsteller um eine Gesellschaft oder um eine Privatperson handelt?

EuGH C-693/22 – I, Vorabentscheidungsersuchen des Sąd Rejonowy dla m. st. Warszawy w Warszawie (Polen), eingereicht am 10.11.‌2022

Ist Art. 5 Abs. 1 lit. a iVm Art. 6 Abs. 1 lit. a, c und e sowie Abs. 3 der VO (EU) 2016/679 des Europäischen Parlaments und des Rates v. 27.4.‌2016 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten, zum freien Datenverkehr und zur Aufhebung der RL 95/46/EG (DS-GVO) (ABl. 2016, L 119, S. 1, in geänderter Fassung) dahin gehend auszulegen, dass er nationalen Rechtsvorschriften entgegensteht, die den Verkauf einer aus personenbezogenen Daten bestehenden Datenbank iSv Art. 1 Abs. 2 der RL 96/9/EG des Europäischen Parlaments und des Rates v. 11.3.‌1996 über den rechtlichen Schutz von Datenbanken (ABl. 1996, L 77, S. 20, in geänderter Fassung) iRe Vollstreckungsverfahrens zulassen, wenn die jeweils betroffenen Personen einem solchen Verkauf nicht zugestimmt haben?

EuGH C-672/22 – DKV, Vorabentscheidungsersuchen des OLG Koblenz, eingereicht am 27.10.‌2022

1. Ist Art. 15 Abs. 3 S. 1 DS-GVO iVm Art. 12 Abs. 5 DS-GVO dahin auszulegen, dass der Verantwortliche (hier: der Versicherer) auch dann verpflichtet ist, dem Betroffenen (hier: dem Versicherungsnehmer) eine erste Kopie seiner vom Verantwortlichen verarbeiteten personenbezogenen Daten unentgeltlich zur Verfügung zu stellen, wenn der Betroffene die Kopie nicht zur Verfolgung der in Erwägungsgrund 63 S. 1 zur DS-GVO genannten Zwecke begehrt, sich der Verarbeitung seiner personenbezogenen Daten bewusst zu werden und deren Rechtmäßigkeit überprüfen zu können, sondern einen anderen – datenschutzfremden, aber legitimen – Zweck (hier: die Prüfung der Wirksamkeit von Beitragserhöhungen zur privaten Krankenversicherung) verfolgt, und dies selbst dann, wenn Angaben gefordert werden, die dem Versicherten bereits im Rahmen des Beitragserhöhungsverfahrens nach § 203 VVG brieflich mitgeteilt wurden?

2. Falls die Frage 1 bejaht wird: Gehören zu den personenbezogenen Daten iSv Art. 4 Nr. 1 und Art. 15 Abs. 3 S. 1 DS-GVO die folgenden Angaben:

a) Angaben zu Beitragsanpassungen, die der Versicherer in der privaten Krankenversicherung im Verhältnis zum Versicherungsnehmer vorgenommen hat, insbesondere zum Betrag der vorgenommenen Anpassung und zu den betroffenen Versicherungstarifen und

b) der Wortlaut der Begründungen für die Beitragsanpassungen (§ 203 Abs. 5 VVG).

3. Falls die Frage 1 bejaht wird und auch Frage 2 ganz oder teilweise bejaht wird: Umfasst der Anspruch eines Versicherungsnehmers in der privaten Krankenversicherung auf Zurverfügungstellung einer Kopie der vom Versicherer verarbeiteten personenbezogenen Daten auch einen Anspruch auf Überlassung einer Kopie der Nachträge zum Versicherungsschein, die der Versicherer dem Versicherungsnehmer zur Mitteilung einer Beitragserhöhung übersendet hat, sowie der mitversendeten Anschreiben und Beiblätter oder ist er nur auf Herausgabe einer Kopie der personenbezogenen Daten des Versicherten als solche gerichtet, wobei es dem datenverarbeitenden Versicherer überlassen bleibt, in welcher Weise er dem betroffenen Versicherungsnehmer die Daten zusammenstellt?

EuGH C-659/22 – Ministerstvo zdravotnictví, Vorabentscheidungsersuchen des Nejvyšší správní soud (Tschechische Republik), eingereicht am 20.10.‌2022

Kommt es bei der Überprüfung interoperabler Impf-­, Test- und Genesungszertifikate in Bezug auf die COVID-19-Krankheit, die iRd VO (EU) 2021/953 des Europäischen Parlaments und des Rates v. 14.6.‌2021 über einen Rahmen für die Ausstellung, Überprüfung und Anerkennung interoperabler Zertifikate zur Bescheinigung von COVID-19-Impfungen und -Tests sowie der Genesung von einer COVID-19-Infektion (digitales COVID-Zertifikat der EU) mit der Zielsetzung der Erleichterung der Freizügigkeit während der COVID-19-Pandemie ausgestellt und von der Tschechischen Republik für nationale Zwecke verwendet werden, durch die nationale App „čTečka“ zu einer automatisierten Verarbeitung personenbezogener Daten iSv Art. 4 Abs. 2 der VO (EU) 2016/679 des Europäischen Parlaments und des Rates v. 27.4.‌2016 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten, zum freien Datenverkehr und zur Aufhebung der RL 95/46/EG (DS-GVO) und ist damit der sachliche Anwendungsbereich der Datenschutz-Grundverordnung gemäß deren Art. 2 Abs. 1 eröffnet?

EuGH C-621/22 – Koninklijke Nederlandse Lawn Tennisbond, Vorabentscheidungsersuchen des Gerichts Amsterdam (Niederlande), eingereicht am 29.9.‌2022

1. Wie muss die Rechtbank den Begriff „berechtigtes Interesse“ auslegen?

2. Ist dieser Begriff so auszulegen, wie die Beklagte ihn auslegt? Erfasst er ausschließlich zum Gesetz gehörende, gesetzliche und in einem Gesetz festgelegte Interessen? Oder:

3. Kann jedes Interesse ein berechtigtes Interesse sein, sofern es dem Gesetz nicht zuwiderläuft? Konkreter: Sind ein rein kommerzielles Interesse und das vorliegende Interesse, nämlich die entgeltliche Bereitstellung personenbezogener Daten ohne Zustimmung der betroffenen Person, unter bestimmten Umständen als ein berechtigtes Interesse einzustufen? Falls ja: Welche Umstände bestimmen, ob ein rein kommerzielles Interesse ein berechtigtes Interesse ist?

EuGH C-604/22 – IAB Europa, Vorabentscheidungsersuchen des Hof van beroep te Brussel (Belgien), eingereicht am 19.9.‌2022

1. Ist Art. 4 Nr. 1 DS-GVO iVm den Art. 7 und 8 GRCh dahin auszulegen, dass eine Zeichenfolge, die die Präferenzen eines Internetnutzers im Zusammenhang mit der Verarbeitung seiner personenbezogenen Daten auf strukturierte und maschinenlesbare Weise erfasst, aus Sicht (1) einer Branchenorganisation, die ihren Mitgliedern einen Standard bereitstellt, mit dem sie ihnen vorschreibt, auf welche Weise diese Zeichenfolge in praktischer und technischer Hinsicht generiert, gespeichert und/oder verbreitet werden muss, und (2) der Parteien, die diesen Standard auf ihren Websites oder in ihren Anwendungen implementiert und daher auf diese Weise Zugang zu dieser Zeichenfolge haben, ein personenbezogenes Datum iSd Bestimmung darstellt?

2. Macht es dabei einen Unterschied, wenn die Implementierung des Standards beinhaltet, dass diese Zeichenfolge zusammen mit einer IP-Adresse verfügbar ist?

3. Fällt die Antwort auf die Fragen a) + b) anders aus, wenn diese normierende Branchenorganisation selbst keinen gesetzlichen Zugang zu den personenbezogenen Daten hat, die im Rahmen dieses Standards von ihren Mitgliedern verarbeitet werden?

4. Sind Art. 4 Nr. 7 und Art. 24 Abs. 1 DS-GVO iVm den Art. 7 und 8 GRCh dahin auszulegen, dass eine normierende Branchenorganisation als Verantwortliche einzustufen ist, wenn sie ihren Mitgliedern einen Standard für die Verwaltung der Einwilligung anbietet, der neben einem verbindlichen technischen Rahmen Vorschriften enthält, die detailliert festlegen, wie diese Einwilligungsdaten, die personenbezogene Daten darstellen, gespeichert und verbreitet werden müssen?

5. Fällt die Antwort auf Frage a) anders aus, wenn diese Branchenorganisation selbst keinen gesetzlichen Zugang zu den personenbezogenen Daten hat, die im Rahmen dieses Standards von ihren Mitgliedern verarbeitet werden?

6. Falls die normierende Branchenorganisation als für die Verarbeitung der Präferenzen von Internetnutzern Verantwortliche oder als gemeinsam dafür Verantwortliche einzustufen ist, erstreckt sich diese (gemeinsame) Verantwortung der normierenden Branchenorganisation dann auch automatisch auf die anschließenden Verarbeitungen Dritter, für die die Präferenzen der Internetnutzer bereitgestellt wurden, wie gezielte Online-Werbung durch Verleger und Verkäufer?

EuGH C-590/22 – PS, Vorabentscheidungsersuchen des AG Wesel, eingereicht am 9.9.‌2022

1. Reicht es für die Begründung eines Anspruchs auf Schadensersatz gem. Art. 82 Abs. 1 VO (EU) 2016/679 des Europäischen Parlaments und des Rates v. 27.4.‌2016 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten, zum freien Datenverkehr und zur Aufhebung der RL 95/46/EG (DS-GVO) aus, dass eine die anspruchstellende Person schützende Bestimmung der DS-GVO verletzt worden ist oder ist es erforderlich, dass ein über die Verletzung der Bestimmungen als solche hinaus eine weitere Beeinträchtigung der anspruchstellenden Person eingetreten ist?

2. Ist es nach dem Unionsrecht zur Begründung eines Anspruchs auf immateriellen Schadensersatz gem. Art. 82 Abs. 1 DS-GVO erforderlich, dass eine Beeinträchtigung von gewissem Gewicht vorliegt?

3. Insbesondere: Reicht es zur Begründung eines Anspruchs auf immateriellen Schadensersatz gem. Art. 82 Abs. 1 DS-GVO aus, dass die anspruchstellende Person befürchtet, dass als Folge von Verletzungen der Bestimmungen der DS-GVO ihre personenbezogenen Daten in fremde Hände gelangt sind, ohne dass dies positiv festgestellt werden kann?

4. Entspricht es dem Unionsrecht, wenn das nationale Gericht bei der Bemessung eines immateriellen Schadensersatzes gem. Art. 82 Abs. 1 DS-GVO die dem Wortlaut nach lediglich für Geldbußen geltenden Kriterien des Art. 83 Abs. 2 S. 2 DS-GVO entsprechend heranzieht?

5. Ist die Höhe eines immateriellen Schadensersatzanspruchs gem. Art. 82 Abs. 1 DS-GVO auch danach zu bemessen, dass durch die Höhe des zugesprochenen Anspruchs eine Abschreckungswirkung erreicht und/oder eine „Kommerzialisierung“ (kalkuliertes Inkaufnehmen von Geldbußen/Schadensersatzzahlungen) von Verstößen unterbunden wird?

6. Entspricht es dem Unionsrecht, bei der Bemessung eines Anspruchs auf immateriellen Schadensersatz gem. Art. 82 Abs. 1 DS-GVO der Höhe nach zugleich verwirklichte Verstöße gegen nationale Vorschriften zu berücksichtigen, die den Schutz von personenbezogenen Daten zum Zweck haben, bei denen es sich aber nicht um nach Maßgabe der vorliegenden Verordnung erlassene delegierte Rechtsakte oder Durchführungsrechtsakte oder Rechtsvorschriften der Mitgliedstaaten zur Präzisierung von Bestimmungen der vorliegenden Verordnung handelt?

EuGH C-461/22 – MK, Vorabentscheidungsersuchen des LG Hannover, eingereicht am 12.7.‌2022

Ist der gesetzlich bestellte Betreuer, der diese Tätigkeit berufsmäßig ausübt, Verantwortlicher iSv Art. 4 Nr. 7 DS-GVO?

Muss dieser Auskunft nach Art. 15 DS-GVO erteilen?

EuGH C-456/22 – Gemeinde Ummendorf, Vorabentscheidungsersuchen des LG Ravensburg, eingereicht am 8.7.‌2022

Ist der Begriff des immateriellen Schadens in Art. 82 Abs. 1 DS-GVO dahin auszulegen, dass die Annahme eines immateriellen Schadens einen spürbaren Nachteil und eine objektiv nachvollziehbare Beeinträchtigung persönlichkeitsbezogener Belange erfordert oder genügt hierfür der bloße kurzfristige Verlust des Betroffenen über die Hoheit seiner Daten wegen der Veröffentlichung personenbezogener Daten im Internet für einen Zeitraum von wenigen Tagen, der ohne jedwede spürbare bzw. nachteilige Konsequenzen für den Betroffenen blieb?

EuGH C-307/22 – FT, Vorabentscheidungsersuchen des BGH (Deutschland), eingereicht am 10.5.‌2022

1. Ist Art. 15 Abs. 3 S. 1 DS-GVO iVm Art. 12 Abs. 5 DS-GVO dahingehend auszulegen, dass der Verantwortliche (hier: der behandelnde Arzt) nicht verpflichtet ist, dem Betroffenen (hier: dem Patienten) eine erste Kopie seiner vom Verantwortlichen verarbeiteten personenbezogenen Daten unentgeltlich zur Verfügung zu stellen, wenn der Betroffene die Kopie nicht zur Verfolgung der in Erwägungsgrund 63 S. 1 DS-GVO genannten Zwecke begehrt, sich der Verarbeitung seiner personenbezogenen Daten bewusst zu werden und deren Rechtmäßigkeit überprüfen zu können, sondern einen anderen – datenschutzfremden, aber legitimen – Zweck (hier: die Prüfung des Bestehens arzthaftungsrechtlicher Ansprüche) verfolgt?

2. Falls die Frage 1 verneint wird:

a) Kommt als Beschränkung des sich aus Art. 15 Abs. 3 S. 1 DS-GVO iVm Art. 12 Abs. 5 DS-GVO ergebenden Rechts auf eine unentgeltliche Zurverfügungstellung einer Kopie der vom Verantwortlichen verarbeiteten personenbezogenen Daten nach Art. 23 Abs. 1 lit. i DS-GVO auch eine nationale Vorschrift eines Mitgliedstaats in Betracht, die vor dem Inkrafttreten der DS-GVO erlassen wurde?

b) Falls die Frage 2a bejaht wird: Ist Art. 23 Abs. 1 lit. i DS-GVO dahingehend auszulegen, dass die dort genannten Rechte und Freiheiten anderer Personen auch deren Interesse an der Entlastung von mit der Erteilung einer Datenkopie nach Art. 15 Abs. 3 S. 1 DS-GVO verbundenen Kosten und sonstigem durch die Zurverfügungstellung der Kopie verursachten Aufwand umfassen?

c) Falls die Frage 2b bejaht wird: Kommt als Beschränkung der sich aus Art. 15 Abs. 3 S. 1 DS-GVO iVm Art. 12 Abs. 5 DS-GVO ergebenden Pflichten und Rechte nach Art. 23 Abs. 1 lit. i DS-GVO eine nationale Regelung in Betracht, die im Arzt-Patienten-Verhältnis bei Herausgabe einer Kopie der personenbezogenen Daten des Patienten aus der Patientenakte durch den Arzt an den Patienten stets und unabhängig von den konkreten Umständen des Einzelfalls einen Kostenerstattungsanspruch des Arztes gegen den Patienten vorsieht?

3. Falls die Frage 1 verneint und die Fragen 2a, 2b oder 2c verneint werden: Umfasst der Anspruch aus Art. 15 Abs. 3 S. 1 DS-GVO im Arzt-Patienten-Verhältnis einen Anspruch auf Überlassung von Kopien aller die personenbezogenen Daten des Patienten enthaltenden Teile der Patientenakte oder ist er nur auf Herausgabe einer Kopie der personenbezogenen Daten des Patienten als solche gerichtet, wobei es dem datenverarbeitenden Arzt überlassen bleibt, in welcher Weise er dem betroffenen Patienten die Daten zusammenstellt?

EuGH C-280/22 – Kinderrechtencoalitie Vlaanderen and Liga voor Mensenrechten, Vorabentscheidungsersuchen des Raad van State (Belgien), eingereicht am 25.4.‌2022

Sind Art. 3 Abs. 5 und 6 sowie Art. 14 der VO (EU) 2019/1157 des Europäischen Parlaments und des Rates v. 20.6.‌2019 zur Erhöhung der Sicherheit der Personalausweise von Unionsbürgern und der Aufenthaltsdokumente, die Unionsbürgern und deren Familienangehörigen ausgestellt werden, die ihr Recht auf Freizügigkeit ausüben iVm dem Durchführungsbeschluss C(2018) 7767 der Kommission v. 30.11.‌2018 zur Festlegung der technischen Spezifikationen für die einheitliche Gestaltung des Aufenthaltstitels für Drittstaatsangehörige und zur Aufhebung der Entscheidung K(2002) 3069 gültig und vereinbar mit Art. 16 AEUV und – in Bezug auf Art. 3 Abs. 5 und 6 – Art. 21 AEUV sowie mit den Art. 78 und 52 GRCh iVm

  • - Art. 1234569253235 und 36 der VO (EU) 2016/679 des Europäischen Parlaments und des Rates v. 27.4.‌2016 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten, zum freien Datenverkehr und zur Aufhebung der RL 95/46/EG,

  • - Art. 1234891027 und 28 der RL (EU) 2016/680 des Europäischen Parlaments und des Rates v. 27.4.‌2016 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten durch die zuständigen Behörden zum Zwecke der Verhütung, Ermittlung, Aufdeckung oder Verfolgung von Straftaten oder der Strafvollstreckung sowie zum freien Datenverkehr und zur Aufhebung des Rahmenbeschlusses 2008/977/JI des Rates und

  • - Art. 123451028 und 42 der Verordnung (EU) 2018/1725 des Europäischen Parlaments und des Rates v. 23.10.‌2018 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten durch die Organe, Einrichtungen und sonstigen Stellen der Union, zum freien Datenverkehr und zur Aufhebung der VO (EG) Nr. 45/2001 und des Beschlusses Nr. 1247/2002/EG,

sofern Art. 3 Abs. 5 und 6 der VO (EU) 2019/1157 vorschreibt, dass zwei Fingerabdrücke des Personalausweisinhabers in einem interoperablen digitalen Format auf einem Speichermedium, mit dem der Personalausweis versehen ist, zu speichern sind und sofern Art. 3 Abs. 5 und 6 sowie Art. 14 der VO 2019/1157 iVm Anhang III des Durchführungsbeschlusses C(2018) 7767 der Kommission v. 30.11.‌2018 vorschreiben, dass die Fingerabdruckdaten auf den in Art. 2 lit. a und c genannten Personalausweisen und Aufenthaltsdokumenten in der Form zu speichern sind, dass ein digitales Bild der Fingerabdrücke auf einem elektronischen Mikrochip, der die RFID-Technologie verwendet und drahtlos/kontaktlos ausgelesen werden kann, gespeichert wird?

EuGH C-203/22 – Dun & Bradstreet Austria, Vorabentscheidungsersuchen des Verwaltungsgericht Wien (Österreich), eingereicht am 16.3.‌2022

1. Welche inhaltlichen Erfordernisse muss eine erteilte Auskunft erfüllen, um als ausreichend „aussagekräftig“ iSd Art. 15 Abs. 1 lit. h DS-GVO eingestuft zu werden?

Sind – allenfalls unter Wahrung eines bestehenden Betriebsgeheimnisses – im Falle eines Profilings vom Verantwortlichen iRd Beauskunftung der „involvierten Logik“ grundsätzlich auch die für die Ermöglichung der Nachvollziehbarkeit des Ergebnisses der automatisierten Entscheidung im Einzelfall wesentlichen Informationen, worunter insbesondere 1) die Bekanntgabe der verarbeiteten Daten des Betroffenen, 2) die Bekanntgabe der für die Ermöglichung der Nachvollziehbarkeit erforderlichen Teile des dem Profiling zu Grunde gelegenen Algorithmus und 3) die maßgeblichen Informationen zur Erschließung des Zusammenhangs zwischen verarbeiteter Information und erfolgter Valuierung zählen, bekannt zu geben ?

Sind in Fällen, welche ein Profiling zum Gegenstand haben, dem Auskunftsberechtigten iSd Art. 15 Abs. 1 lit. h DS-GVO auch im Falle des Einwands eines Betriebsgeheimnisses jedenfalls nachfolgende Informationen zur konkreten ihn betreffenden Verarbeitung bekannt zu geben, um ihm die Wahrung seiner Rechte aus Art. 22 Abs. 3 DS-GVO zu ermöglichen:

a) Übermittlung aller allenfalls pseudoanonymisierter Informationen, insbesondere zur Weise der Verarbeitung der Daten des Betroffenen, die die Überprüfung der Einhaltung der DS-GVO erlauben,

b) Zurverfügungstellung der zur Profilerstellung verwendeten Eingabedaten,

c) die Parameter und Eingangsvariablen, welche bei der Bewertungsermittlung herangezogen wurden,

d) der Einfluss dieser Parameter und Eingangsvariablen auf die errechnete Bewertung,

e) Informationen zum Zustandekommen der Parameter bzw. Eingangsvariablen,

f) Erklärung, weshalb der Auskunftsberechtigte iSd Art. 15 Abs. 1 lit. h DS-GVO einem bestimmten Bewertungsergebnis zugeordnet wurde, und Darstellung, welche Aussage mit dieser Bewertung verbunden wurde,

g) Aufzählung der Profilkategorien und Erklärung, welche Bewertungsaussage mit jeder der Profilkategorien verbunden ist

2) Steht das durch Art. 15 Abs. 1 lit. h DS-GVO gewährte Auskunftsrecht mit den durch Art. 22 Abs. 3 DS-GVO garantierten Rechten auf Darlegung des eigenen Standpunkts und auf Bekämpfung einer erfolgten automatisierten Entscheidung iSd Art. 22 DS-GVO insofern in einem Zusammenhang, als der Umfang der auf Grund eines Auskunftsbegehrens iSd Art. 15 Abs. 1 lit. h DS-GVO zu erteilenden Informationen nur dann ausreichend „aussagekräftig“ ist, wenn der Auskunftsbegehrende und Betroffene iSd Art. 15 Abs. 1 lit. h DS-GVO in die Lage versetzt wird, die ihm durch Art. 22 Abs. 3 DS-GVO garantierten Rechte auf Darlegung seines eigenen Standpunkts und auf Bekämpfung der ihn betreffenden automatisierten Entscheidung iSd Art. 22 DS-GVO tatsächlich, profund und erfolgversprechend wahrzunehmen?

3 a) Ist Art. 15 Abs. 1 lit. h DS-GVO dahingehend auszulegen, dass nur dann von einer „aussagekräftigen Information“ iSd Bestimmung auszugehen ist, wenn diese Information so weitgehend ist, dass es dem Auskunftsberechtigten iSd Art. 15 Abs. 1 lit. h DS-GVO möglich ist festzustellen, ob diese erteilte Information auch den Tatsachen entspricht, daher ob der konkret angefragten automatisierten Entscheidung auch tatsächlich die bekannt gegebenen Informationen zugrunde gelegen sind?

3 b) Bejahendenfalls: Wie ist vorzugehen, wenn die Richtigkeit der von einem Verantwortlichen erteilten Information nur dadurch überprüft zu werden vermag, wenn auch von der DS-GVO geschützte Daten Dritter dem Auskunftsberechtigten iSd Art. 15 Abs. 1 lit. h DS-GVO zur Kenntnis gebracht werden müssen (Black-Box)?

Kann dieses Spannungsverhältnis zwischen dem Auskunftsrecht iSd Art. 15 Abs. 1 DS-GVO und dem Datenschutzrecht Dritter auch dadurch aufgelöst werden, indem die für die Richtigkeitsüberprüfung erforderlichen Daten Dritter, welche ebenfalls demselben Profiling unterzogen wurden, ausschließlich der Behörde oder dem Gericht offengelegt werden, sodass die Behörde oder das Gericht eigenständig zu überprüfen hat, ob die bekannt gegebenen Daten dieser dritten Personen den Tatsachen entsprechen?

3 c) Bejahendenfalls: Welche Rechte haben dem Auskunftsberechtigten iSd Art. 15 Abs. 1 lit. h DS-GVO im Falle der Gebotenheit der Gewährleistung des Schutzes fremder Rechte iSd Art. 15 Abs. 4 DS-GVO durch die Schaffung der unter Punkt 3 b) angesprochenen Black-Box jedenfalls eingeräumt zu werden?

Sind dem Auskunftsberechtigten iSd Art. 15 Abs. 1 lit. h DS-GVO in diesem Fall jedenfalls die für die Ermöglichung der Überprüfbarkeit der Richtigkeit der Entscheidungsfindung vom Verantwortlichen iSd Art. 15 Abs. 1 DS-GVO bekannt zu gebenden Daten anderer Personen in pseudoanonymisierter Form bekannt zu geben?

4 a) Wie ist vorzugehen, wenn die zu erteilende Information iSd Art. 15 Abs. 1 lit. h DS-GVO auch die Vorgaben eines Geschäftsgeheimnisses iSd Art. 2 S. 1 der RL (EU) 2016/943 v. 8.6.‌2016 über den Schutz vertraulichen Know-hows und vertraulicher Geschäftsinformationen (Geschäftsgeheimnisse) vor rechtswidrigem Erwerb sowie rechtswidriger Nutzung und Offenlegung, L 157/1 (Know-how-Richtlinie) erfüllt?

Kann das Spannungsverhältnis zwischen dem durch Art. 15 Abs. 1 lit. h DS-GVO garantierten Auskunftsrecht und dem durch die Know-how-Richtlinie geschützten Recht auf Nichtoffenlegung eines Geschäftsgeheimnisses dadurch aufgelöst werden, indem die als Geschäftsgeheimnis iSd Art. 2 S. 1 der Know-how-Richtlinie einzustufenden Informationen ausschließlich der Behörde oder dem Gericht offen gelegt werden, sodass die Behörde oder das Gericht eigenständig zu überprüfen haben, ob vom Vorliegen eines Geschäftsgeheimnisses iSd Art. 2 S. 1 der Know-how-Richtlinie auszugehen ist, und ob die vom Verantwortlichen iSd Art. 15 Abs. 1 DS-GVO erteilte Information den Tatsachen entspricht.

4 b) Bejahendenfalls: Welche Rechte haben dem Auskunftsberechtigten iSd Art. 15 Abs. 1 lit. h DS-GVO im Falle der Gebotenheit der Gewährleistung des Schutzes fremder Rechte iSd Art. 15 Abs. 4 DS-GVO durch die Schaffung der unter Punkt 4 a) angesprochenen Black-Box jedenfalls eingeräumt zu werden?

Sind (auch) in diesem Falle eines Auseinanderfallens der der Behörde bzw. dem Gericht bekannt zu gebenden Informationen und der dem Auskunftsberechtigten iSd Art. 15 Abs. 1 lit. h DS-GVO bekannt zu gebenden Informationen in Fällen, welche ein Profiling zum Gegenstand haben, dem Auskunftsberechtigten iSd Art. 15 Abs. 1 lit. h DS-GVO jedenfalls nachfolgende Informationen zur konkreten ihn betreffenden Verarbeitung bekannt zu geben, um ihm die Wahrung seiner Rechte aus Art. 22 Abs. 3 DS-GVO völlig zu ermöglichen:

a) Übermittlung aller allenfalls pseudoanonymisierter Informationen, insbesondere zur Weise der Verarbeitung der Daten des Betroffenen, die die Überprüfung der Einhaltung der DS-GVO erlauben,

b) Zurverfügungstellung der zur Profilerstellung verwendeten Eingabedaten,

c) die Parameter und Eingangsvariablen, welche bei der Bewertungsermittlung herangezogen wurden,

d) der Einfluss dieser Parameter und Eingangsvariablen auf die errechnete Bewertung,

e) Informationen zum Zustandekommen der Parameter bzw. Eingangsvariablen,

f) Erklärung, weshalb der Auskunftsberechtigte iSd Art. 15 Abs. 1 lit. h DS-GVO einem bestimmten Bewertungsergebnis zugeordnet wurde, und Darstellung, welche Aussage mit dieser Bewertung verbunden wurde,

g) Aufzählung der Profilkategorien und Erklärung, welche Bewertungsaussage mit jeder der Profilkategorien verbunden ist

5) Wird durch die Bestimmung des Art. 15 Abs. 4 DS-GVO in irgendeiner Weise der Umfang der gem. Art. 15 Abs. 1 lit. h DS-GVO zu erteilenden Auskunft beschränkt.

Bejahendenfalls, in welcher Weise wird dieses Auskunftsrecht durch Art. 15 Abs. 4 DS-GVO beschränkt, und wie ist im jeweiligen Fall dieser Umfang der Einschränkung zu ermitteln?

6) Ist die Bestimmung des § 4 Abs. 6 Datenschutzgesetz, wonach „das Recht auf Auskunft der betroffenen Person gem. Art. 15 DS-GVO ggü. einem Verantwortlichen unbeschadet anderer gesetzlicher Beschränkungen in der Regel dann nicht (besteht), wenn durch die Erteilung dieser Auskunft ein Geschäfts- oder Betriebsgeheimnis des Verantwortlichen bzw. Dritter gefährdet würde,“ mit den Vorgaben des Art. 15 Abs. 1 DS-GVO iVm Art. 22 Abs. 3 DS-GVO vereinbar. Bejahendenfalls, unter welchen Vorgaben liegt eine solche Vereinbarkeit vor?

EuGH C-189/22 – ED, Vorabentscheidungsersuchen des AG München, eingereicht am 11.3.‌2022

1. Ist Art. 82 DS-GVO dahin auszulegen, dass dem Schadensersatzanspruch auch iRd Bemessung seiner Höhe kein Sanktionscharakter, insb. keine generelle oder spezielle Abschreckungsfunktion zukommt, sondern der Anspruch auf Schadensersatz nur eine Ausgleichs- und uU Genugtuungsfunktion hat?

2.a Ist für die Bemessung des immateriellen Schadensersatzanspruchs als Verständnis davon auszugehen, dass der Schadensersatzanspruch auch eine individuelle Genugtuungsfunktion hat – hier verstanden als das im Privaten des Verletzten bleibende Interesse, das verursachende Verhalten geahndet zu sehen, oder kommt dem Schadensersatzanspruch nur eine Ausgleichsfunktion zu – hier verstanden als die Funktion, erlittene Beeinträchtigungen zu kompensieren?

2.b.1. Wenn davon auszugehen ist, dass dem immateriellen Schadenersatzanspruch sowohl Ausgleichs- als auch Genugtuungsfunktion zukommt: Ist bei seiner Bemessung davon auszugehen, dass die Ausgleichsfunktion einen strukturellen oder zumindest als Regel-Ausnahme-Verhältnis zu sehenden Vorrang vor der Genugtuungsfunktion hat? Führt dies dazu, dass eine Genugtuungsfunktion nur bei vorsätzlichen ober grob fahrlässigen Verletzungen in Betracht kommt?

2.b.2. Wenn dem immateriellen Schadensersatzanspruch keine Genugtuungsfunktion zukommt: Führen bei seiner Bemessung nur vorsätzliche oder grob fahrlässige Datenschutzverletzungen als Beurteilung von Verursachungsbeiträgen zu zusätzlichem Gewicht?

3. Ist für das Verständnis des immateriellen Schadensersatzes in seiner Bemessung von einem strukturellen Rangverhältnis oder zumindest Regel-Ausnahme-Rangverhältnis auszugehen, bei dem das von einer Datenverletzung ausgehende Beeinträchtigungserleben weniger Gewicht hat als das mit einer Körperverletzung verknüpfte Beeinträchtigungs- und Schmerzerleben?

4. Steht einem nationalen Gericht offen, wenn von einem Schaden auszugehen ist, angesichts fehlender Schwere einen materiell nur im Geringfügigen bleibenden und damit uU von Verletztenseite oder allgemein nur als symbolisch empfundenen Schadensersatz zuzusprechen?

5. Ist für das Verständnis des immateriellen Schadensersatzes in der Beurteilung seiner Folgen davon auszugehen, dass ein Identitätsdiebstahl iSd 75. Erwägungsgrunds der DS-GVO erst dann vorliegt, wenn tatsächlich ein Straftäter die Identität des Betroffenen angenommen hat, sich also in irgendeiner Form als der Betroffene ausgegeben hat, oder liegt schon im Umstand, dass inzwischen Straftäter über Daten verfügen, die den Betroffenen identifizierbar machen, ein solcher Identitätsdiebstahl?

EuGH C-182/22 – ED, Vorabentscheidungsersuchen des AG München, eingereicht am 10.3.‌2022

1. Ist Art. 82 DS-GVO dahin auszulegen, dass dem Schadensersatzanspruch auch iRd Bemessung seiner Höhe kein Sanktionscharakter, insb. keine generelle oder spezielle Abschreckungsfunktion zukommt, sondern der Anspruch auf Schadensersatz nur eine Ausgleichs- und uU Genugtuungsfunktion hat?

2.a Ist für die Bemessung des immateriellen Schadensersatzanspruchs als Verständnis davon auszugehen, dass der Schadensersatzanspruch auch eine individuelle Genugtuungsfunktion hat – hier verstanden als das im Privaten des Verletzten bleibende Interesse, das verursachende Verhalten geahndet zu sehen, oder kommt dem Schadensersatzanspruch nur eine Ausgleichsfunktion zu – hier verstanden als die Funktion, erlittene Beeinträchtigungen zu kompensieren?

2.b.1. Wenn davon auszugehen ist, dass dem immateriellen Schadensersatzanspruch sowohl Ausgleichs- als auch Genugtuungsfunktion zukommt: Ist bei seiner Bemessung davon auszugehen, dass die Ausgleichsfunktion einen strukturellen oder zumindest als Regel-Ausnahmeverhältnis zu sehenden Vorrang vor der Genugtuungsfunktion hat? Führt dies dazu, dass eine Genugtuungsfunktion nur bei vorsätzlichen ober grob fahrlässigen Verletzungen in Betracht kommt?

2.b.2. Wenn dem immateriellen Schadensersatzanspruch keine Genugtuungsfunktion zukommt: Führen bei seiner Bemessung nur vorsätzliche oder grob fahrlässige Datenschutzverletzungen als Beurteilung von Verursachungsbeiträgen zu zusätzlichem Gewicht?

3. Ist für das Verständnis des immateriellen Schadensersatzes in seiner Bemessung von einem strukturellen Rangverhältnis oder zumindest Regel-Ausnahme-Rangverhältnis auszugehen, bei dem das von einer Datenverletzung ausgehende Beeinträchtigungserleben weniger Gewicht hat als das mit einer Körperverletzung verknüpfte Beeinträchtigungs- und Schmerzerleben?

4. Steht einem nationalen Gericht offen, wenn von einem Schaden auszugehen ist, angesichts fehlender Schwere einen materiell nur im Geringfügigen bleibenden und damit uU von Verletztenseite oder allgemein nur als symbolisch empfundenen Schadensersatz zuzusprechen?

5. Ist für das Verständnis des immateriellen Schadensersatzes in der Beurteilung seiner Folgen davon auszugehen, dass ein Identitätsdiebstahl iSd 75. Erwägungsgrunds der DS-GVO erst dann vorliegt, wenn tatsächlich ein Straftäter die Identität des Betroffenen angenommen hat, sich also in irgendeiner Form als der Betroffene ausgegeben hat, oder liegt schon im Umstand, dass inzwischen Straftäter über Daten verfügen, die den Betroffenen identifizierbar machen, ein solcher Identitätsdiebstahl?

EuGH C-115/22 – NADA u. a., Vorabentscheidungsersuchen der Unabhängigen Schiedskommission Wien (Österreich), eingereicht am 17.2.‌2022

1. Handelt es sich bei der Information, dass eine bestimmte Person einen bestimmten Dopingverstoß begangen hat und wegen dieses Verstoßes an der Teilnahme an (nationalen und internationalen) Wettkämpfen gesperrt ist, um ein „Gesundheitsdatum“ iSd DS-GVO?

2. Steht die DS-GVO – insbesondere im Hinblick auf Art. 6 Abs. 3 UAbs. 2 DS-GVO – einer nationalen Regelung entgegen, welche die Veröffentlichung des Namens der von der Entscheidung der Unabhängigen Schiedskommission betroffenen Personen, der Dauer der Sperre und Gründe hierfür vorsieht, ohne dass auf Gesundheitsdaten der betroffenen Person rückgeschlossen werden kann? Spielt es dabei eine Rolle, dass eine Veröffentlichung dieser Informationen ggü. der Allgemeinheit laut der nationalen Regelung nur dann unterbleiben kann, wenn es sich beim Betroffenen um einen Freizeitsportler, eine minderjährige Person oder eine Person handelt, die durch die Bekanntgabe von Informationen oder sonstigen Hinweisen wesentlich an der Aufdeckung von potenziellen Anti-Doping-Verstößen beigetragen hat?

3. Verlangt die DS-GVO – insbesondere im Hinblick auf die Grundsätze des Art. 5 Abs. 1 lit. a und lit. c DS-GVO – vor der Veröffentlichung in jedem Fall eine Interessenabwägung der mit einer Veröffentlichung für den Betroffenen berührten Persönlichkeitsinteressen einerseits und dem Interesse der Allgemeinheit an der Information über den von einem Sportler begangenen Anti-Doping-Verstoß andererseits?

4. Handelt es sich bei der Information, dass eine bestimmte Person einen bestimmten Dopingverstoß begangen hat und wegen dieses Verstoßes an der Teilnahme an (nationalen und internationalen) Wettkämpfen gesperrt ist, um eine Verarbeitung persönlicher Daten über strafrechtliche Verurteilungen und Straftaten iSv Art. 10 DS-GVO?

5. Bei Bejahung der Frage 4: Handelt es sich bei der gem. § 8 Anti-Doping-Bundesgesetz 2021 eingerichteten Unabhängigen Schiedskommission um eine Behörde iSd Art. 10 DS-GVO?

EuGH C-64/22 – SCHUFA Holding, Vorabentscheidungsersuchen des VG Wiesbaden, eingereicht am 2.2.‌2022

1. Ist Art. 77 Abs. 1 DS-GVO iVm Art. 78 Abs. 1 DS-GVO dahingehend zu verstehen, dass das Ergebnis der Aufsichtsbehörde, welches diese dem Betroffenen auf Grund seiner Antragstellung mitgeteilt hat,

a) den Charakter der Bescheidung einer Petition hat?

Dies mit der Folge, dass die gerichtliche Kontrolle einer aufsichtsbehördlichen Beschwerdeentscheidung nach Art. 78 Abs. 1 DS-GVO sich grds. auf die Frage beschränkt, ob die Behörde sich mit der Beschwerde befasst, den Beschwerdegegenstand angemessen untersucht und den Beschwerdeführer über das Ergebnis der Prüfung unterrichtet hat, oder

b) als eine behördliche Sachentscheidung zu verstehen ist? Dies mit der Folge, dass eine aufsichtsbehördliche Beschwerdeentscheidung vollinhaltlich von dem Gericht nach Art. 78 Abs. 1 DS-GVO zu überprüfen ist, wobei im Einzelfall – zB bei einer Ermessensreduzierung auf Null – die Aufsichtsbehörde durch das Gericht auch zu einer konkreten Maßnahme iSd Art. 58 DS-GVO verpflichtet werden kann.

2. Ist eine Datenspeicherung bei einer privaten Wirtschaftsauskunftei, bei der personenbezogene Daten aus einem öffentlichen Register, wie den „nationalen Datenbanken“ iSd Art. 79 Abs. 4 und 5 der VO (EU) 2015/848 des Europäischen Parlaments und des Rates v. 20.5.‌2015 über Insolvenzverfahren (ABI. L 141/19v. 5.6.‌2015), ohne konkreten Anlass gespeichert werden, um im Falle einer Anfrage eine Auskunft erteilen zu können, mit Art. 7 und 8 GRCh vereinbar?

3a. Sind private Paralleldatenbanken (insb. Datenbanken einer Auskunftei), die neben den staatlichen Datenbanken errichtet werden, grds. zulässig?

3b. Falls Frage 3a zu bejahen ist, ergibt sich aus dem Recht auf Vergessen nach Art. 17 Abs. 1 lit d DS-GVO, dass diese Daten zu löschen sind, wenn die für das öffentliche Register vorgesehene Verarbeitungsdauer abgelaufen ist?

4. Soweit Art. 6 Abs. 1 UAbs. 1 lit. f DS-GVO als alleinige Rechtsgrundlage für eine Datenspeicherung bei privaten Wirtschaftsauskunfteien hinsichtlich der auch in öffentlichen Registern gespeicherten Daten in Betracht kommt, ist ein berechtigtes Interesse einer Wirtschaftsauskunftei schon dann zu bejahen, wenn diese Auskunftei die Daten aus dem öffentlichen Verzeichnis ohne konkreten Anlass übernimmt, damit diese Daten dann bei einer Anfrage zur Verfügung stehen?

5. Dürfen Verhaltensregeln, die von den Aufsichtsbehörden nach Art. 40 DS-GVO genehmigt worden sind und Prüf- und Löschfristen vorsehen, die über die Speicherfristen öffentlicher Register hinausgehen, die nach Art. 6 Abs. 1 UAbs. 1 lit. f DS-GVO vorgegebene Abwägung suspendieren?

EuGH C-63/22 – SCHUFA Holding, Vorabentscheidungsersuchen des VG Wiesbaden, eingereicht am 1.2.‌2022

Das VG Wiesbaden hat dieses Vorabentscheidungsersuchen zurückgenommen.

1. Ist eine nationale Rechtsvorschrift, wie § 31 BDSG, die die Einmeldung von „Negativ-Merkmalen“ (offene Forderungsbeträge) an eine Auskunftei durch einen Gläubiger für zulässig erklärt, mit Art. 6 Abs. 1 UAbs. 1 lit. f DS-GVO vereinbar, wenn die Rechtsvorschrift die Einmeldung von Daten zur Ermittlung eines Wahrscheinlichkeitswertes/Scorewerts über die Zahlungsfähigkeit und Zahlungswilligkeit einer natürlichen Person bei kumulativem Vorliegen abschließend aufgelisteter Voraussetzungen ohne weitere Abwägung und ohne Betrachtung des Einzelfalls für zulässig erklärt?

2. Sind die einmeldende Stelle und die Wirtschaftsauskunftei gemeinsam Verantwortliche iSv Art. 26 der VO (EU) 2016/679, wenn die Wirtschaftsauskunftei die von einem Kreditinstitut eingemeldeten Daten nach der vertraglichen Gestaltung zwischen einmeldender Stelle und einer Wirtschaftsauskunftei (hier der Schufa) nicht auf ihre Richtigkeit hin zu überprüfen hat?

EuGH C-61/22 – Landeshauptstadt Wiesbaden, Vorabentscheidungsersuchen des VG Wiesbaden, eingereicht am 1.2.‌2022

Verstößt die Verpflichtung zur Aufnahme und Speicherung von Fingerabdrücken in Personalausweisen gem. Art. 3 Abs. 5 der VO (EU) 2019/1157 des Europäischen Parlaments und des Rates v. 20.6.‌2019 zur Erhöhung der Sicherheit der Personalausweise von Unionsbürgern und der Aufenthaltsdokumente, die Unionsbürgern und deren Familienangehörigen ausgestellt werden, die ihr Recht auf Freizügigkeit ausüben (ABl. L 188v. 12.7.‌2019, 67) gegen höherrangiges Unionsrecht, insb.

a) gegen Art. 77 Abs. 3 AEUV

b) gegen Art. 7 und 8 GrCh

c) gegen Art. 35 Abs. 10 DS-GVO

und ist deshalb aus einem der Gründe ungültig?

EuGH C-33/22 – Österreichische Datenschutzbehörde, Vorabentscheidungsersuchen des VGH (Österreich), eingereicht am 14.1.‌2022

1. Fallen Tätigkeiten eines von einem Parlament eines Mitgliedstaats in Ausübung seines Kontrollrechts der Vollziehung eingesetzten Untersuchungsausschusses unabhängig vom Untersuchungsgegenstand in den Anwendungsbereich des Unionsrechts iSd Art. 16 Abs. 2 S. 1 AEUV, sodass die DS-GVO auf die Verarbeitung personenbezogener Daten durch einen parlamentarischen Untersuchungsausschuss eines Mitgliedstaats anwendbar ist?

Falls Frage 1 bejaht wird:

2. Fallen Tätigkeiten eines von einem Parlament eines Mitgliedstaats in Ausübung seines Kontrollrechts der Vollziehung eingesetzten Untersuchungsausschusses, der Tätigkeiten einer polizeilichen Staatsschutzbehörde, somit den Schutz der nationalen Sicherheit betreffende Tätigkeiten iSd 16. Erwägungsgrunds der DS-GVO zum Untersuchungsgegenstand hat, unter den Ausnahmetatbestand des Art. 2 Abs. 2 lit. a DS-GVO?

Falls Frage 2 verneint wird:

3. Sofern – wie vorliegend – ein Mitgliedstaat bloß eine einzige Aufsichtsbehörde nach Art. 51 Abs. 1 DS-GVO errichtet hat, ergibt sich deren Zuständigkeit für Beschwerden iSd Art. 77 Abs. 1 DS-GVO iVm Art. 55 Abs. 1 DS-GVO bereits unmittelbar aus der DS-GVO?

EuGH C-26/22 – SCHUFA Holding, Vorabentscheidungsersuchen des VG Wiesbaden, eingereicht am 11.1.‌2022

1. Ist Art. 77 Abs. 1 DS-GVO iVm Art. 78 Abs. 1 DS-GVO dahingehend zu verstehen, dass das Ergebnis der Aufsichtsbehörde, welches diese dem Betroffenen mitteilt,

a) den Charakter der Bescheidung einer Petition hat? Dies mit der Folge, dass die gerichtliche Kontrolle einer aufsichtsbehördlichen Beschwerdeentscheidung nach Art. 78 Abs. 1 DS-GVO sich grds. darauf beschränkt, ob die Behörde sich mit der Beschwerde befasst, den Beschwerdegegenstand angemessen untersucht und den Beschwerdeführer über das Ergebnis der Prüfung unterrichtet hat,

oder

b) als eine behördliche Sachentscheidung zu verstehen ist? Dies mit der Folge, dass eine aufsichtsbehördliche Beschwerdeentscheidung voll inhaltlich von dem Gericht nach Art. 78 Abs. 1 DS-GVO zu überprüfen ist, wobei im Einzelfall – zB bei einer Ermessensreduzierung auf Null – die Aufsichtsbehörde durch das Gericht auch zu einer konkreten Maßnahme iSd Art. 58 DS-GVO verpflichtet werden kann.

2. Ist eine Datenspeicherung bei einer privaten Wirtschaftsauskunftei, bei der personenbezogene Daten aus einem öffentlichen Register, wie den „nationalen Datenbanken“ iSd Art. 79 Abs. 4 und 5 der VO (EU) 2015/848 des Europäischen Parlaments und des Rates v. 20.5.‌2015 über Insolvenzverfahren (ABI. L 141/19v. 5.6.‌2015), ohne konkreten Anlass gespeichert werden, um im Falle einer Anfrage eine Auskunft erteilen zu können, mit Art. 7 und 8 GRCh vereinbar?

3a. Sind private Paralleldatenbanken (insb. Datenbanken einer Auskunftei), die neben den staatlichen Datenbanken errichtet werden und in denen die Daten aus den staatlichen Datenbanken (hier Insolvenzbekanntmachungen) länger gespeichert werden, als in dem engen Rahmen der VO (EU) 2015/848 iVm dem nationalen Recht geregelt, grds. zulässig?

3b. Falls Frage 3a zu bejahen ist, ergibt sich aus dem Recht auf Vergessen nach Art. 17 Abs. 1 lit. d DS-GVO, dass diese Daten zu löschen sind, wenn die für das öffentliche Register vorgesehene Verarbeitungsdauer abgelaufen ist?

4. Soweit Art. 6 Abs. 1 UAbs. 1 lit. f DS-GVO als alleinige Rechtsgrundlage für eine Datenspeicherung bei privaten Wirtschaftsauskunfteien hinsichtlich der auch in öffentlichen Registern gespeicherten Daten in Betracht kommt, ist ein berechtigtes Interesse einer Wirtschaftsauskunftei schon dann zu bejahen, wenn diese Auskunftei die Daten aus dem öffentlichen Verzeichnis ohne konkreten Anlass übernimmt, damit diese Daten dann bei einer Anfrage zur Verfügung stehen?

5. Dürfen Verhaltensregeln, die von den Aufsichtsbehörden nach Art. 40 DS-GVO genehmigt worden sind und Prüf- und Löschfristen vorsehen, die über die Speicherfristen öffentlicher Register hinausgehen, die nach des Art. 6 Abs. 1 UAbs. 1 lit. f DS-GVO vorgegebene Abwägung suspendieren?

EuGH C-18/22 – Ökorenta Neue Energien Ökostabil IV, Vorabentscheidungsersuchen des AG München, eingereicht am 7.1.‌2022

1.a. Ergibt sich bei Auslegung von Art. 6 Abs. 1 S. 1 lit. b und lit. f DS-GVO, dass bei einer Publikumspersonengesellschaft schon die Beteiligung an der Gesellschaft als nicht persönlich und nur gering haftender und nicht geschäftsführender Gesellschafter genügt, um „berechtigtes Interesse“ an Auskunft über alle mittelbar über einen Treuhänder beteiligten Gesellschafter, deren Erreichbarkeit und deren Beteiligung an der Publikumspersonengesellschaft zu bejahen und dem Gesellschaftsvertrag eine entsprechende vertragliche Verpflichtung zu entnehmen,

1.b. oder beschränkt sich unter solchen Bedingungen das berechtigte Interesse darauf, von der Gesellschaft Auskunft über diejenigen mittelbar Beteiligten zu erhalten, die nicht gering haften, sondern eine Mindestquote innehaben, die einen Einfluss auf die Geschicke der Gesellschaft zumindest in Betracht kommen lässt.

2.a Genügt, um bei einem solchen unbeschränkten Anspruch (1a) dessen immanente Grenze eines Rechtsmissbrauchs nicht zu überschreiten, oder von der Beschränkung eines beschränkten Auskunftsanspruch (1b) eine Ausnahme zu machen, eine Absicht der Kontaktaufnahme zu einem Kennenlernen, einem Meinungsaustausch oder Verhandlungen über den Abkauf von Gesellschaftsanteilen,

2.b oder kommt ein Interesse an Auskunft erst als relevant in Betracht, wenn eine Weitergabe unter der ausdrücklichen Absicht gefordert wird, um Kontakt zu anderen Gesellschaftern aufzunehmen, um von diesen wegen konkret benannter Anlässe, die eine Willensbildung iRv Beschlüssen der Gesellschafter erforderlich machen, Koordinierung einzufordern.

EuGH C-17/22 – HTB Neunte Immobilien Portfolio, Vorabentscheidungsersuchen des AG München, eingereicht am 7.1.‌2022

1.a. Ergibt sich bei Auslegung von Art. 6 Abs. 1 S. 1 lit. b und lit. f DS-GVO, dass bei einer Publikumspersonengesellschaft schon die Beteiligung an der Gesellschaft als nicht persönlich und nur gering haftender und nicht geschäftsführender Gesellschafter genügt, um „berechtigtes Interesse" an Auskunft über alle mittelbar über einen Treuhänder beteiligten Gesellschafter, deren Erreichbarkeit und deren Beteiligung an der Publikumspersonengesellschaft zu bejahen und dem Gesellschaftsvertrag eine entsprechende vertragliche Verpflichtung zu entnehmen,

1.b. oder beschränkt sich unter solchen Bedingungen das berechtigte Interesse darauf, von der Gesellschaft Auskunft über diejenigen mittelbar Beteiligten zu erhalten, die nicht gering haften, sondern eine Mindestquote innehaben, die einen Einfluss auf die Geschicke der Gesellschaft zumindest in Betracht kommen lässt.

2.a Genügt, um bei einem solchen unbeschränkten Anspruch (1a) dessen immanente Grenze eines Rechtsmissbrauchs nicht zu überschreiten, oder von der Beschränkung eines beschränkten Auskunftsanspruch (1b) eine Ausnahme zu machen, eine Absicht der Kontaktaufnahme zu einem Kennenlernen, einem Meinungsaustausch oder Verhandlungen über den Abkauf von Gesellschaftsanteilen,

2.b oder kommt ein Interesse an Auskunft erst als relevant in Betracht, wenn eine Weitergabe unter der ausdrücklichen Absicht gefordert wird, um Kontakt zu anderen Gesellschaftern aufzunehmen, um von diesen wegen konkret benannter Anlässe, die eine Willensbildung iRv Beschlüssen der Gesellschafter erforderlich machen, Koordinierung einzufordern.

EuGH C-807/21 – Deutsche Wohnen, Vorabentscheidungsersuchen des KG ZD 2022, 156 mAnm Petri, eingereicht am 21.12.‌2021

1. Ist Art. 83 Abs. 46 DS-GVO dahin auszulegen, dass es den Art. 101 und 102 AEUV zugeordneten funktionalen Unternehmensbegriff und das Funktionsträgerprinzip in das innerstaatliche Recht mit der Folge inkorporiert, dass unter Erweiterung des § 30 OWiG zu Grunde liegenden Rechtsträgerprinzips ein Bußgeldverfahren unmittelbar gegen ein Unternehmen geführt werden kann und die Bebußung nicht der Feststellung einer durch eine natürliche und identifizierte Person, gegebenenfalls volldeliktisch, begangenen Ordnungswidrigkeit bedarf?.

2. Wenn die Frage zu 1. bejaht werden sollte: Ist Art. 83 Abs. 46 DS-GVO dahin auszulegen, dass das Unternehmen den durch einen Mitarbeiter vermittelten Verstoß schuldhaft begangen haben muss (vgl. Art. 23 der VO (EG) Nr. 1/2003 des Rates v. 16.12.‌2002 zur Durchführung der in den Art. 81 und 82 des Vertrags niedergelegten Wettbewerbsregeln), oder reicht für eine Bebußung des Unternehmens im Grundsatz bereits ein ihm zuzuordnender objektiver Pflichtenverstoß aus („strict liability“)?

EuGH C-768/21 – Land Hessen, Vorabentscheidungsersuchen des VG Wiesbaden, eingereicht am 14.12.‌2021

Sind Art. 57 Abs. 1 lit. a, lit. f und Art. 58 Abs. 2 lit. a–j DS-GVO iVm Art. 77 Abs. 1 DS-GVO dahingehend auszulegen, dass in dem Fall, dass die Aufsichtsbehörde eine Datenverarbeitung feststellt, die den Betroffenen in seinen Rechten verletzt, die Aufsichtsbehörde stets verpflichtet ist, nach Art. 58 Abs. 2 DS-GVO einzuschreiten?

EuGH C-741/21 – juris, Vorabentscheidungsersuchen des LG Saarbrücken, eingereicht am 1.12.‌2021

1. Ist der Begriff des immateriellen Schadens in Art. 82 Abs. 1 DS-GVO im Hinblick auf den Erwägungsgrund 85 und den Erwägungsgrund 146 S. 3 VO (EU) 2016/679 in dem Sinne zu verstehen, dass er jede Beeinträchtigung der geschützten Rechtsposition erfasst, unabhängig von deren sonstigen Auswirkungen und deren Erheblichkeit?

2. Wird die Haftung auf Schadensersatz gem. Art. 82 Abs. 3 DS-GVO dadurch ausgeschlossen, dass der Rechtsverstoß auf menschliches Versagen im Einzelfall einer iSv Art. 29 DS-GVO unterstellten Person zurückgeführt wird?

3. Ist bei der Bemessung des immateriellen Schadensersatzes eine Orientierung an den in Art. 83 DS-GVO, insbesondere Art. 83 Abs. 2 und Abs. 5 DS-GVO genannten Zumessungskriterien erlaubt bzw. geboten?

4. Ist der Schadensersatz für jeden einzelnen Verstoß zu bestimmen oder werden mehrere – zumindest mehrere gleichgelagerte – Verstöße mit einer Gesamtentschädigung sanktioniert, die nicht durch eine Addition von Einzelbeträgen ermittelt wird, sondern auf einer wertenden Gesamtbetrachtung beruht?

EuGH C-687/21 – Saturn Electro, Vorabentscheidungsersuchen des AG Hagen, eingereicht am 16.11.‌2021

1. Ist die Schadensersatznorm in der europäischen DS-GVO (Art. 82 DS-GVO) mangels Bestimmtheit über die anzuordnenden Rechtsfolgen beim immateriellen Schadensersatz unwirksam?

2. Ist es für einen Schadensersatzanspruch erforderlich, dass außer dem unberechtigten Bekanntgeben der zu schützenden Daten an einen unberechtigten Dritten ein vom Anspruchsteller darzulegender immaterieller Schaden festzustellen ist?

3. Ist es für einen Verstoß gegen die Datenschutzgrundverordnung ausreichend, dass die Personendaten des Betroffenen (Name, Anschrift, Beruf, Einkommen, Arbeitgeber) durch ein Versehen von Mitarbeitern des tätigen Unternehmens irrtümlich in ausgedruckter Form, auf Papier, an einen Dritten auf einem Papierdokument weitergegeben werden?

4. Liegt eine illegale Weiterverarbeitung durch unbeabsichtigte Weitergabe (Offenlegung) an einen Dritten vor, wenn das Unternehmen durch seine Mitarbeiter versehentlich die Daten, die im Übrigen in die EDV-Anlage eingespeist werden, in ausgedruckter Form an einen unberechtigten Dritten weitergegeben hat (Art. 2 Abs. 1, Art. 5 Abs. 1f, Art. 6 Abs. 1, Art. 24 DS-GVO)?

5. Liegt ein immaterieller Schaden bereits dann iSd Art. 82 DS-GVO vor, wenn die Daten von dem Dritten[,] der das Dokument mit den persönlichen Daten erhalten hat, nicht zur Kenntnis genommen worden sind, bevor das Papier, auf dem die Informationen enthalten sind, zurückgegeben wurde, oder genügt für einen immateriellen Schaden iSd Art. 82 DS-GVO das Unbehagen desjenigen, dessen persönliche Daten illegal weitergegeben wurden, weil bei jeder unberechtigten Offenlegung von persönlichen Daten die nicht ausschließbare Möglichkeit besteht, dass die Daten doch ggü. einer unbekannten Vielzahl von Personen weiterverbreitet oder gar missbraucht werden könnten?

6. Als wie gravierend ist der Verstoß anzusehen, wenn die unbeabsichtigte Weitergabe an den Dritten durch bessere Kontrolle der bei dem Unternehmen tätigen Hilfsmitarbeiter und/oder durch bessere Organisation der Datensicherheit, etwa durch getrennte Handhabung der Warenausgabe und der Vertrags-­, vor allem der Finanzierungsdokumentation, mittels gesondertem Ausgabeschein oder durch Weiterleitung innerhalb des Unternehmens an die Warenausgabe-Mitarbeiter – ohne Zwischenschaltung des Kunden, dem die ausgedruckten Dokumente, einschließlich der Abholberechtigung[,] ausgehändigt worden sind, zu verhindern ist (Art. 32 Abs. 1 lit. b und 2 sowie Art. 4 Nr. 7 DS-GVO [)?]

7. Ist unter Ersatz für immateriellen Schaden die Zuerkennung einer Strafe wie bei einer Vertragsstrafe zu verstehen?

EuGH C-683/21 – Nacionalinis visuomenės sveikatos centras, Vorabentscheidungsersuchen des Vilniaus apygardos administracinis teismas (Litauen), eingereicht am 12.11.‌2021

1. Kann der in Art. 4 Nr. 7 DS-GVO genannte Begriff „Verantwortlicher“ dahin ausgelegt werden, dass auch eine Person als Verantwortliche anzusehen ist, die beabsichtigt, ein Datenerhebungstool (eine mobile Anwendung) im Wege der öffentlichen Auftragsvergabe zu erwerben, ungeachtet der Tatsache, dass kein öffentlicher Auftrag vergeben wurde und das geschaffene Produkt (die mobile Anwendung), für dessen Erwerb ein öffentliches Vergabeverfahren genutzt wurde, nicht übergeben wurde?

2. Kann der in Art. 4 Nr. 7 DS-GVO genannte Begriff „Verantwortlicher“ dahin ausgelegt werden, dass auch ein öffentlicher Auftraggeber als Verantwortlicher anzusehen ist, wenn dieser zwar kein Eigentumsrecht an dem erstellten IT-Produkt erworben und es nicht in Besitz genommen hat, aber in der endgültigen Version der erstellten Anwendung Links oder Schnittstellen zu dieser öffentlichen Einrichtung vorgesehen sind und/oder diese öffentliche Einrichtung in der Datenschutzerklärung, die von ihr nicht offiziell genehmigt oder anerkannt wurde, selbst als Verantwortliche angegeben wurde?

3. Kann der in Art. 4 Nr. 7 der DS-GVO genannte Begriff „Verantwortlicher“ dahin ausgelegt werden, dass auch eine Person als Verantwortliche anzusehen ist, die keine tatsächlichen Datenverarbeitungsvorgänge iSv Art. 4 Nr. 2 DS-GVO durchgeführt hat und/oder keine eindeutige Erlaubnis/Zustimmung zur Durchführung solcher Vorgänge erteilt hat? Ist der Umstand, dass das für die Verarbeitung personenbezogener Daten verwendete IT-Produkt gemäß dem vom öffentlichen Auftraggeber formulierten Auftrag erstellt wurde, für die Auslegung des Begriffs „Verantwortlicher“ von Bedeutung?

4. Sofern die Bestimmung der tatsächlichen Datenverarbeitungsvorgänge für die Auslegung des Begriffs „Verantwortlicher“ von Bedeutung ist, ist dann die Definition der „Verarbeitung“ personenbezogener Daten nach Art. 4 Nr. 2 DS-GVO dahin auszulegen, dass sie auch Sachverhalte erfasst, in denen Kopien personenbezogener Daten für das Testen von IT-Systemen iRd Erwerbs einer mobilen Anwendung verwendet wurden?

5. Kann die gemeinsame Verantwortlichkeit für die Verarbeitung von Daten gem. Art. 4 Nr. 7 und Art. 26 Abs. 1 DS-GVO ausschließlich dahin ausgelegt werden, dass sie bewusst koordinierte Handlungen in Bezug auf die Festlegung des Zwecks der und der Mittel zur Datenverarbeitung erfasst, oder kann dieser Begriff auch dahin ausgelegt werden, dass die gemeinsame Verantwortlichkeit auch Sachverhalte umfasst, in denen es keine eindeutige „Vereinbarung“ in Bezug auf den Zweck der und die Mittel zur Datenverarbeitung gibt und/oder die Handlungen zwischen den Einrichtungen nicht koordiniert werden? Sind die Umstände in Bezug auf die Phase der Schaffung der Mittel zur Verarbeitung personenbezogener Daten (der IT-Anwendung), in der personenbezogene Daten verarbeitet wurden, und der Zweck der Schaffung der Anwendung rechtlich für die Auslegung des Begriffs der gemeinsamen Verantwortlichkeit für die Daten von Bedeutung? Kann eine „Vereinbarung“ zwischen gemeinsam für die Verarbeitung Verantwortlichen ausschließlich als eine klare und definierte Festlegung von Bedingungen für die gemeinsame Verantwortlichkeit für die Verarbeitung von Daten verstanden werden?

6. Ist die Bestimmung in Art. 83 Abs. 1 DS-GVO, wonach „Geldbußen … wirksam, verhältnismäßig und abschreckend“ sein müssen, so auszulegen, dass sie auch Fälle der Haftung des „Verantwortlichen“ erfasst, wenn der Entwickler bei der Erstellung eines IT-Produkts auch Handlungen der personenbezogenen Datenverarbeitung durchführt, und führen die vom Auftragsverarbeiter vorgenommenen unzulässigen Verarbeitungen personenbezogener Daten immer automatisch zu einer rechtlichen Haftung des Verantwortlichen? Ist diese Bestimmung dahin auszulegen, dass sie auch Fälle der verschuldensunabhängigen Haftung des für die Verarbeitung Verantwortlichen erfasst?

EuGH C-667/21 – Krankenversicherung Nordrhein, Vorabentscheidungsersuchen des BAG, eingereicht am 8.11.‌2021

1. Ist Art. 9 Abs. 2 lit. h DS-GVO dahin auszulegen, dass es einem Medizinischen Dienst einer Krankenkasse untersagt ist, Gesundheitsdaten seines Arbeitnehmers, die Voraussetzung für die Beurteilung der Arbeitsfähigkeit dieses Arbeitnehmers sind, zu verarbeiten?

2. Für den Fall, dass der Gerichtshof die Frage zu 1. verneinen sollte mit der Folge, dass nach Art. 9 Abs. 2 lit. h DS-GVO eine Ausnahme von dem in Art. 9 Abs. 1 DS-GVO bestimmten Verbot der Verarbeitung von Gesundheitsdaten in Betracht käme: Sind in einem Fall wie hier über die in Art. 9 Abs. 3 DS-GVO bestimmten Maßgaben hinaus weitere, gegebenenfalls welche Datenschutzvorgaben zu beachten?

3. Für den Fall, dass der Gerichtshof die Frage zu 1. verneinen sollte mit der Folge, dass nach Art. 9 Abs. 2 lit. h DS-GVO eine Ausnahme von dem in Art. 9 Abs. 1 DS-GVO bestimmten Verbot der Verarbeitung von Gesundheitsdaten in Betracht käme: Hängt in einem Fall wie hier die Zulässigkeit bzw. Rechtmäßigkeit der Verarbeitung von Gesundheitsdaten zudem davon ab, dass mindestens eine der in Art. 6 Abs. 1 DS-GVO genannten Voraussetzungen erfüllt ist?

4. Hat Art. 82 Abs. 1 DS-GVO spezial- bzw. generalpräventiven Charakter und muss dies bei der Bemessung der Höhe des zu ersetzenden immateriellen Schadens auf der Grundlage von Art. 82 Abs. 1 DS-GVO zulasten des Verantwortlichen bzw. Auftragsverarbeiters berücksichtigt werden?

5. Kommt es bei der Bemessung der Höhe des zu ersetzenden immateriellen Schadens auf der Grundlage von Art. 82 Abs. 1 DS-GVO auf den Grad des Verschuldens des Verantwortlichen bzw. Auftragsverarbeiters an? Insbesondere, darf ein nicht vorliegendes oder geringes Verschulden auf Seiten des Verantwortlichen bzw. Auftragsverarbeiters zu dessen Gunsten berücksichtigt werden?

EuGH C-634/21 – SCHUFA Holding ua, Vorabentscheidungsersuchen des VG Wiesbaden ZD 2022, 121 mAnm Qasim, eingereicht am 15.10.‌2021

1. Ist Art. 22 Abs. 1 der VO (EU) 2016/679 des Europäischen Parlaments und des Rates v. 27.4.‌2016 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten, zum freien Datenverkehr und zur Aufhebung der RL 95/46/EG dahingehend auszulegen, dass bereits die automatisierte Erstellung eines Wahrscheinlichkeitswerts über die Fähigkeit einer betroffenen Person, künftig einen Kredit zu bedienen, eine ausschließlich auf einer automatisierten Verarbeitung – einschließlich Profiling – beruhende Entscheidung, die der betroffenen Person ggü. rechtliche Wirkung entfaltet oder sie in ähnlicher Weise erheblich beeinträchtigt, wenn dieser mittels personenbezogener Daten der betroffenen Person ermittelte Wert von dem Verantwortlichen an einen dritten Verantwortlichen übermittelt wird und jener Dritte diesen Wert seiner Entscheidung über die Begründung, Durchführung oder Beendigung eines Vertragsverhältnisses mit der betroffenen Person maßgeblich zu Grunde legt?

2. Falls die 1. Vorlagefrage zu verneinen ist: Sind Art. 6 Abs. 1 und Art. 22 VO (EU) 2016/679 dahingehend auszulegen, dass sie einer innerstaatlichen Regelung entgegenstehen, nach der die Verwendung eines Wahrscheinlichkeitswerts – vorliegend über die Zahlungsfähigkeit und Zahlungswilligkeit einer natürlichen Person bei der Einbeziehung von Informationen über Forderungen – über ein bestimmtes zukünftiges Verhalten einer natürlichen Person zum Zweck der Entscheidung über die Begründung, Durchführung oder Beendigung eines Vertragsverhältnisses mit dieser Person (Scoring) nur zulässig ist, wenn bestimmte weitere Voraussetzungen, die in der Vorlagebegründung näher ausgeführt sind, erfüllt sind?

EuGH C-552/21 – SCHUFA Holding ua, Vorabentscheidungsersuchen des VG Wiesbaden, eingereicht am 7.9.‌2021

Das VG Wiesbaden hat dieses Vorabentscheidungsersuchen zurückgenommen.

1. Ist Art. 77 Abs. 1 iVm Art. 78 Abs. 1 der VO (EU) 2016/679 des Europäische Parlaments und des Rates v. 27.4.‌2016 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten, zum freien Datenverkehr und zur Aufhebung der RL 95/46/EG (DS-GVO) dahingehend zu verstehen, dass das Ergebnis der Aufsichtsbehörde, welches diese dem Betroffenen mitteilt,

a) den Charakter der Bescheidung einer Petition hat?

Dies mit der Folge, dass die gerichtliche Kontrolle einer aufsichtsbehördlichen Beschwerdeentscheidung nach Art. 78 Abs. 1 DS-GVO sich grundsätzlich darauf beschränkt, ob die Behörde sich mit der Beschwerde befasst, den Beschwerdegegenstand angemessen untersucht und den Beschwerdeführer über das Ergebnis der Prüfung unterrichtet hat, oder

b) als eine behördliche Sachentscheidung zu verstehen ist?

Dies mit der Folge, dass die gerichtliche Kontrolle einer aufsichtsbehördlichen Beschwerdeentscheidung nach Art. 78 Abs. 1 DS-GVO dazu führt, dass die Sachenscheidung voll inhaltlich von dem Gericht zu überprüfen ist, wobei im Einzelfall – zB bei einer Ermessensreduzierung auf Null – die Aufsichtsbehörde durch das Gericht auch zu einer konkreten Maßnahme iSd Art. 58 DS-GVO verpflichtet werden kann.

2. Ist eine Datenspeicherung bei einer privaten Wirtschaftsauskunftei, bei der personenbezogene Daten aus einem öffentlichen Register, wie den „nationalen Datenbanken“ iSd Art. 79 Abs. 4 und 5 der VO (EU) 2015/848 des Europäischen Parlaments und des Rates v. 20.5.‌2015 über Insolvenzverfahren (ABl. L 141/19 v. 5.6.‌2015), ohne konkreten Anlass gespeichert werden, um im Falle einer Anfrage eine Auskunft erteilen zu können, mit Art. 7 und 8 GRCh vereinbar?

3. Sind private Paralleldatenbanken (insbesondere Datenbanken einer Auskunftei), die neben den staatlichen Datenbanken errichtet werden und in denen die Daten aus den staatlichen Datenbanken (hier Insolvenzbekanntmachungen) länger gespeichert werden, als in dem engen Rahmen der VO (EU) 2015/848 iVm dem nationalen Recht geregelt, grundsätzlich zulässig oder ergibt sich aus dem Recht auf Vergessen nach Art. 17 Abs. 1 lit. d DS-GVO, dass diese Daten zu löschen sind, wenn

a) eine mit dem öffentlichen Register identische Verarbeitungsdauer vorgesehen ist, oder

b) eine Speicherdauer vorgesehen ist, die über die für öffentliche Register vorgesehene Speicherfrist hinausgeht?

4. Soweit Art. 6 Abs. 1 UAbs. 1 lit. f DS-GVO als alleinige Rechtsgrundlage für eine Datenspeicherung bei privaten Wirtschaftsauskunfteien hinsichtlich der auch in öffentlichen Registern gespeicherten Daten in Betracht kommt, ist dann ein berechtigtes Interesse einer Wirtschaftsauskunftei schon dann zu bejahen, wenn diese Auskunftei die Daten aus dem öffentlichen Verzeichnis ohne konkreten Anlass übernimmt, damit diese Daten dann bei einer Anfrage zur Verfügung stehen?

5. Dürfen Verhaltensregeln, die von den Aufsichtsbehörden nach Art. 40 DS-GVO genehmigt worden sind und Prüf- und Löschfristen vorsehen, die über die Speicherfristen öffentlicher Register hinausgehen, die nach des Art. 6 Abs. 1 UAbs. 1 lit. f DS-GVO vorgegebene Abwägung suspendieren?

EuGH C-446/21 – Schrems, Vorabentscheidungsersuchen des ÖOGH (Österreich), eingereicht am 20.7.‌2021

1. Sind die Bestimmungen der Art. 6 Abs. 1 lit. a und lit. b DS-GVO dahingehend auszulegen, dass die Rechtmäßigkeit von Vertragsbestimmungen in allgemeinen Nutzungsbedingungen über Plattformverträge wie jenem im Ausgangsverfahren (insbesondere Vertragsbestimmungen wie: „Anstatt dafür zu zahlen … erklärst du dich durch Nutzung der Facebook-Produkte, für die diese Nutzungsbedingungen gelten, einverstanden, dass wir dir Werbeanzeigen zeigen dürfen … Wir verwenden deine personenbezogenen Daten … um dir Werbeanzeigen zu zeigen, die relevanter für dich sind.“), die die Verarbeitung von personenbezogenen Daten für Aggregation und Analyse von Daten zum Zwecke der personalisierten Werbung beinhalten, nach den Anforderungen des Art. 6 Abs. 1 lit. a DS-GVO iVm 7 DS-GVO zu beurteilen sind, die nicht durch die Berufung auf Art. 6 Abs. 1 lit. b DS-GVO ersetzt werden können?

2. Ist Art. 5 Abs. 1 lit. c DS-GVO (Datenminimierung) dahin auszulegen, dass alle personenbezogenen Daten, über die eine Plattform wie im Ausgangsverfahren verfügt (insbesondere durch den Betroffenen oder durch Dritte auf und außerhalb der Plattform), ohne Einschränkung nach Zeit oder Art der Daten für Zwecke der zielgerichteten Werbung aggregiert, analysiert und verarbeitet werden können?

3. Ist Art. 9 Abs. 1 DS-GVO dahin auszulegen, dass er auf die Verarbeitung von Daten anzuwenden ist, die eine gezielte Filterung von besonderen Kategorien personenbezogener Daten wie politische Überzeugung oder sexuelle Orientierung (etwa für Werbung) erlaubt, auch wenn der Verantwortliche zwischen diesen Daten nicht differenziert?

4. Ist Art. 5 Abs. 1 lit. b DS-GVO iVm Art. 9 Abs. 2 lit. e DS-GVO dahin auszulegen, dass eine Äußerung über die eigene sexuelle Orientierung für die Zwecke einer Podiumsdiskussion die Verarbeitung von anderen Daten zur sexuellen Orientierung für Zwecke der Aggregation und Analyse von Daten zum Zwecke der personalisierten Werbung erlaubt?

EuGH C-340/21 – Natsionalna agentsia za prihodite, Vorabentscheidungsersuchen des Varhoven administrativen sad (Bulgarien), eingereicht am 2.6.‌2021

1. Sind Art. 24 und Art. 32 VO (EU) 2016/679 dahin auszulegen, dass es ausreicht, wenn eine unbefugte Offenlegung von bzw. ein unbefugter Zugang zu personenbezogenen Daten iSv Art. 4 Nr. 12 VO (EU) 2016/679 durch Personen erfolgt ist, die keine Bediensteten der Verwaltung des Verantwortlichen sind und nicht seiner Kontrolle unterliegen, um anzunehmen, dass die getroffenen technischen und organisatorischen Maßnahmen nicht geeignet sind?

2. Falls die erste Frage verneint wird, welchen Gegenstand und Umfang sollte die gerichtliche Rechtmäßigkeitskontrolle bei der Prüfung haben, ob die vom Verantwortlichen getroffenen technischen und organisatorischen Maßnahmen nach Art. 32 VO (EU) 2016/679 geeignet sind?

3. Falls die erste Frage verneint wird, sind der Grundsatz der Rechenschaftspflicht nach Art. 5 Abs. 2 und Art. 24 iVm dem 74. Erwägungsgrund VO (EU) 2016/679 dahin auszulegen, dass im Klageverfahren nach Art. 82 Abs. 1 VO (EU) 2016/679 der Verantwortliche die Beweislast dafür trägt, dass die getroffenen technischen und organisatorischen Maßnahmen nach Art. 32 der VO geeignet sind? Kann die Einholung eines Sachverständigengutachtens als ein notwendiges und ausreichendes Beweismittel angesehen werden, um festzustellen, ob die vom Verantwortlichen getroffenen technischen und organisatorischen Maßnahmen in einem Fall wie dem vorliegenden geeignet waren, wenn der unbefugte Zugang zu und die unbefugte Offenlegung von personenbezogenen Daten Folge eines „Hackerangriffs“ sind?

4. Ist Art. 82 Abs. 3 VO (EU) 2016/679 dahin auszulegen, dass die unbefugte Offenlegung von oder der unbefugte Zugang zu personenbezogenen Daten iSv Art. 4 Nr. 12 VO (EU) 2016/679 wie vorliegend mittels eines „Hackerangriffs“ durch Personen, die keine Bediensteten der Verwaltung des Verantwortlichen sind und nicht seiner Kontrolle unterliegen, einen Umstand darstellt, für den der Verantwortliche in keinerlei Hinsicht verantwortlich ist und der zur Befreiung von der Haftung berechtigt?

5. Sind Art. 82 Abs. 1 und Abs. 2 iVm den Erwägungsgründen 85 und 146 VO (EU) 2016/679 dahin auszulegen, dass in einem Fall wie dem vorliegenden Fall einer Verletzung des Schutzes personenbezogener Daten, die sich in dem unbefugten Zugang zu und der Verbreitung von personenbezogenen Daten mittels eines „Hackerangriffs“ äußert, allein die von der betroffenen Person erlittenen Sorgen, Befürchtungen und Ängste vor einem möglichen künftigen Missbrauch personenbezogener Daten unter den weit auszulegenden Begriff des immateriellen Schadens fallen und zum Schadensersatz berechtigen, wenn ein solcher Missbrauch nicht festgestellt wurde und/oder kein weiterer Schaden der betroffenen Person entstanden ist?

EuGH C-701/20 – Avis Autovermietung Gesellschaft mbH gegen Verein für Konsumenteninformation, Vorabentscheidungsersuchen des ÖOGH (Österreich), eingereicht am 22.12.‌2020

Das ÖOGH hat dieses Vorabentscheidungsersuchen zurückgenommen.

Stehen die Regelungen in Kapitel VIII, insbesondere in Art. 80 Abs. 1 und 2 sowie 84 Abs. 1 der VO (EU) 2016/679 des Europäischen Parlaments und des Rates v. 27.4.‌2016 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten, zum freien Datenverkehr und zur Aufhebung der RL 95/46/EG (DS-GVO) nationalen Regelungen entgegen, die – neben den Eingriffsbefugnissen der zur Überwachung und Durchsetzung der VO zuständigen Aufsichtsbehörden und den Rechtsschutzmöglichkeiten der betroffenen Personen – einerseits Mitbewerbern und andererseits nach dem nationalen Recht berechtigten Verbänden, Einrichtungen und Kammern die Befugnis einräumen, wegen Verstößen gegen die DS-GVO unabhängig von der Verletzung konkreter Rechte einzelner betroffener Personen und ohne Auftrag einer betroffenen Person gegen den Verletzter im Wege einer Klage vor den Zivilgerichten unter den Gesichtspunkten des Verbots der Vornahme unlauterer Geschäftspraktiken oder des Verstoßes gegen ein Verbraucherschutzgesetz oder des Verbots der Verwendung unwirksamer Allgemeiner Geschäftsbedingungen vorzugehen?

 

Anzeigen:

ZD 4Wochen Testabonnement

beck-online DatenschutzR

Teilen:

Menü