Internet Explorer: Unsere Empfehlung

×
Sie nutzen noch den Interenet Explorer 11 (IE11) und wir empfehlen Ihnen, bis zum 15. Juni 2022 auf den neuen Browser „Microsoft Edge“ oder eine aktuelle Version eines anderen gängigen Internet-Browsers (Firefox, Chrome, usw.) umzusteigen. Wir folgen damit den Empfehlungen des Unternehmens Microsoft, das ebenfalls schrittweise begonnen hat, die Unterstützung dieser Browserversion einzustellen. Bei Fragen wenden Sie sich bitte an unsere Hotline unter der Telefonnummer 089-38189-421.
CHB_RSW_Logo_mit_Welle_trans
Zeitschrift für Datenschutz | Banner

DS-GVO-Vorlagefragen an den EuGH

Kevin Leibold, LL. M., ist Rechtsanwalt; auf Twitter unter: @kleibold23.

ZD-Aktuell 2024, 01538   Hier findet sich eine von Kevin Leibold, LL. M., erstellte Übersicht über die DS-GVO-Vorlagefragen an den EuGH mit dem aktuellen Stand vom 27.1.2024.

Vorabentscheidungs-ersuchen

Vorlagefragen

Vorlageersuchen des Marktgerichtshofs Brüssel (Az. unbekannt)

(Inoffizielle Übersetzung:)

1. a) Sollte Art. 4 Abs. 1 der VO (EU) 2016/679 des Europäischen Parlaments und des Rates v. 27.4.2016 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten, zum freien Datenverkehr und zur Aufhebung der RL 95/46/EG iVm den Art. 7 und 8 GRCh dahin ausgelegt werden, dass eine Zeichenkette, die in strukturierter und maschinenlesbarer Form die Präferenzen eines Internetnutzers in Bezug auf die Verarbeitung seiner personenbezogenen Daten erfasst, personenbezogene Daten iSd genannten Vorschrift darstellt, und zwar ggü. 1. einer Branchenorganisation, die ihren Mitgliedern einen Standard zur Verfügung stellt, indem sie ihnen vorschreibt, auf welche Weise diese Zeichenfolge praktisch und technisch zu erzeugen, zu speichern und/oder zu verbreiten ist, und 2. den Parteien, die diesen Standard auf ihren Websites oder in ihren Apps umgesetzt haben und auf diese Weise Zugang zu dieser Zeichenfolge haben?

b) Macht es einen Unterschied, ob die Umsetzung des Standards bedeutet, dass diese Zeichenfolge zusammen mit einer IP-Adresse verfügbar ist?

c) Führt die Antwort auf die Fragen a) und b) zu einer anderen Schlussfolgerung, wenn diese normgebende Branchenorganisation selbst keinen rechtlichen Zugang zu den personenbezogenen Daten hat, die von ihren Mitgliedern im Rahmen dieser Norm verarbeitet werden?

2. a) Sollten die Art. 4 Abs. 7 und 24 Abs. 1 der VO (EU) 2016/679 des Europäischen Parlaments und des Rates v. 27.4.2016 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten, zum freien Datenverkehr und zur Aufhebung der RL 95/46/EG iVm den Art. 7 und 8 GRCh dahingehend ausgelegt werden, dass eine standardsetzende Branchenorganisation als für die Verarbeitung Verantwortlicher zu qualifizieren ist, wenn sie ihren Mitgliedern einen Standard für den Umgang mit Einwilligungen anbietet, der neben der Bereitstellung eines verbindlichen technischen Rahmens auch Vorschriften darüber enthält, wie diese Einwilligungsdaten, bei denen es sich um personenbezogene Daten handelt, zu speichern und zu verbreiten sind?

b) Führt die Antwort auf Frage a) zu einer anderen Schlussfolgerung, wenn diese Branchenorganisation selbst keinen rechtlichen Zugang zu den personenbezogenen Daten hat, die von ihren Mitgliedern im Rahmen dieser Norm verarbeitet werden?

c) Wenn die normsetzende Branchenorganisation als für die Verarbeitung der Präferenzen von Internetnutzern Verantwortlicher oder Mitverantwortlicher zu qualifizieren ist, erstreckt sich diese (Mit-)Verantwortlichkeit der normsetzenden Branchenorganisation im europäischen Datenschutzrecht automatisch auch auf die nachfolgende Verarbeitung durch Dritte, für die die Präferenzen der Internetnutzer gewonnen wurden, wie zB gezielte Online-Werbung durch Verlage und Anbieter?

NEU EuGH – C-710/23 – Ministerstvo zdravotnictví II, Vorabentscheidungsersuchen des Nejvyšší správní soud (Tschechische Republik), eingereicht am 22.11.2023

1. Handelt es sich bei der Offenlegung des Vornamens, des Nachnamens, der Unterschrift und der Kontaktdaten einer natürlichen Person als Geschäftsführer oder verantwortlichem Vertreter einer juristischen Person, die ausschließlich zum Zweck der Identifizierung der (Person, die befugt ist, im Namen der bestimmten) juristischen Person (zu handeln) erfolgt, dennoch um die Verarbeitung „personenbezogener Daten“ über diese natürliche Person gem. Art. 4 Nr. 1 DS-GVO und fällt sie somit in den Anwendungsbereich der DSGVO?

2. Kann das nationale Recht, einschließlich der ständigen Rechtsprechung der Gerichte, die Anwendung einer unmittelbar anwendbaren EU-Verordnung durch eine Verwaltungsbehörde, konkret Art. 6 Abs. 1 lit. c oder e DSGVO, von der Erfüllung weiterer Bedingungen abhängig machen, die sich nicht aus dem Wortlaut der Verordnung selbst ergeben, die aber das Schutzniveau für die betroffenen Personen tatsächlich erhöhen, konkret von der Verpflichtung der Behörde, die betroffene Person im Voraus über einen Antrag auf Weitergabe ihrer personenbezogenen Daten an einen Dritten zu informieren?

NEU EuGH – C-683/23 – Encarna, Vorabentscheidungsersuchen des Juzgado de Primera Instancia de Barcelona (Spanien), eingereicht am 14.11.2023

1. Verstößt die Weitergabe der personenbezogenen Daten der Parteien sowie von Mädchen, Jungen und Jugendlichen durch das Gericht an den Elternbeistand und die Genehmigung des Zugangs zu ihren in Archiven Dritter (einschließlich Patientenakten) verarbeiteten personenbezogenen Daten ohne Rechtsvorschrift gegen Art. 6 Abs. 4 DS-GVO?

2. Wenn das Gericht die personenbezogenen Daten der Parteien und der Mädchen, Jungen und Jugendlichen weitergeben darf: Verstößt die Weitergabe dieser Daten durch das Gericht an den Elternbeistand gegen Art. 16 AEUV sowie Art. 7 (Achtung des Privat- und Familienlebens), Art. 8 (Schutz personenbezogener Daten) und Art. 52 (Tragweite und Auslegung der Rechte und Grundsätze) der Charta der Grundrechte der Europäischen Union?

3. Steht die Weitergabe von Daten an den Elternbeistand ohne vorherige Anhörung des Minderjährigen hierzu und ohne Würdigung des Kindeswohls im Einklang mit Art. 6 Abs. 4 DS-GVO in Verbindung mit Art. 24 der Charta der Grundrechte der Europäischen Union?

4. Verstößt es gegen Art. 48 Abs. 1 des Übereinkommens von Istanbul, der es untersagt, verpflichtende alternative Mittel der Streitbeilegung einzusetzen, in Verbindung mit den Art. 7 und 24 der Charta der Grundrechte der Europäischen Union, dass die Daten des Minderjährigen für Entscheidungen, die die Ausübung der elterlichen Verantwortung und/oder der Personensorge und/oder die Besuchsregelung betreffen, in Fällen, in denen eine Gewaltsituation vorliegt, an den Elternbeistand weitergegeben werden?

5. Verstößt es gegen Art. 47 der Charta der Grundrechte der Europäischen Union (Recht auf einen wirksamen Rechtsbehelf), wenn das Gericht die personenbezogenen Daten der Parteien weitergeben darf und infolge dieser Weitergabe die Kosten des Elternbeistands, weil sie vom Gericht auferlegt werden, zwangsläufig von den Parteien zu tragen sind, obwohl sie ein anerkanntes Recht auf Prozesskostenhilfe haben?

NEU EuGH – C-655/23 – Quirin Privatbank, Vorabentscheidungsersuchen des BGH, eingereicht am 7.11.2023

1.

a) Ist Art. 17 DS-GVO dahingehend auszulegen, dass der betroffenen Person, deren personenbezogene Daten von dem Verantwortlichen unrechtmäßig durch Weiterleitung offengelegt wurden, ein Anspruch gegen den Verantwortlichen auf Unterlassung einer erneuten unrechtmäßigen Weiterleitung dieser Daten zusteht, wenn sie vom Verantwortlichen keine Löschung der Daten verlangt?

b) Kann sich ein solcher Unterlassungsanspruch (auch) aus Art. 18 DS-GVO oder einer sonstigen Bestimmung der DS-GVO ergeben?

2. Falls Fragen 1 a) und/oder 1 b) bejaht werden:

a) Besteht der unionsrechtliche Unterlassungsanspruch nur dann, wenn künftig weitere Beeinträchtigungen der sich aus der DS-GVO ergebenden Rechte der betroffenen Person zu besorgen sind (Wiederholungsgefahr)?

b) Wird das Bestehen der Wiederholungsgefahr ggf. auf Grund des bereits vorliegenden Verstoßes gegen die DS-GVO vermutet?

3. Falls Fragen 1 a) und 1b) verneint werden:

Sind Art. 84i.V. m. Art. 79 DS-GVO dahingehend auszulegen, dass sie es dem nationalen Richter erlauben, der betroffenen Person, deren personenbezogene Daten von dem Verantwortlichen unrechtmäßig durch Weiterleitung offengelegt wurden, neben dem Ersatz des materiellen oder immateriellen Schadens nach Art. 82 DS-GVO und den sich aus Art. 17 und Art. 18 DS-GVO ergebenden Ansprüchen einen Anspruch gegen den Verantwortlichen auf Unterlassung einer erneuten unrechtmäßigen Weiterleitung dieser Daten nach den Bestimmungen des nationalen Rechts zuzusprechen?

4. Ist Art. 82 Abs. 1 DS-GVO dahingehend auszulegen, dass für die Annahme eines immateriellen Schadens im Sinne dieser Bestimmung bloße negative Gefühle wie zB Ärger, Unmut, Unzufriedenheit, Sorge und Angst, die an sich Teil des allgemeinen Lebensrisikos und oft des täglichen Erlebens sind, genügen? Oder ist für die Annahme eines Schadens ein über diese Gefühle hinausgehender Nachteil für die betroffene natürliche Person erforderlich?

5. Ist Art. 82 Abs. 1 DS-GVO dahingehend auszulegen, dass bei der Bemessung der Höhe des zu ersetzenden immateriellen Schadens der Grad des Verschuldens des Verantwortlichen oder Auftragsverarbeiters bzw. seiner Mitarbeiter ein relevantes Kriterium darstellt?

6. Falls Fragen 1 a), 1b) oder 3 bejaht werden: Ist Art. 82 Abs. 1 DS-GVO dahingehend auszulegen, dass bei der Bemessung der Höhe des zu ersetzenden immateriellen Schadens als anspruchsmindernd berücksichtigt werden kann, dass der betroffenen Person neben dem Anspruch auf Schadensersatz ein Unterlassungsanspruch zusteht?

NEU EuGH – C-654/23 – Inteligo Media, Vorabentscheidungsersuchen des Curtea de Apel Bucureşti (Rumänien), eingereicht am 2.11.2023

1. Falls ein Herausgeber eines Onlinemediums zur Information der breiten Öffentlichkeit, nicht eines Fachpublikums, über Gesetzesänderungen, die in Rumänien täglich bekannt gemacht werden, die E-­Mail-Adresse eines Nutzers erhält, sobald dieser unentgeltlich ein Benutzerkonto erstellt, das ihm das Recht verleiht, (i) kostenlosen Zugang zu einer zusätzlichen Anzahl von Artikeln des betreffenden Mediums zu bekommen; (ii) per E-­Mail einen täglichen Newsletter zu erhalten, der eine Zusammenfassung neuer Rechtsvorschriften, die in Artikeln innerhalb des Mediums behandelt werden, sowie Hyperlinks zu den jeweiligen Artikeln enthält; und (iii) gegen Bezahlung Zugang zu zusätzlichen und/oder im Verhältnis zur täglich kostenlos übermittelten Information ausführlichen Artikeln und Analysen des Mediums zu bekommen,

a) hat dann der Herausgeber des Onlinemediums die entsprechende E-­Mail-Adresse „im Zusammenhang mit dem Verkauf eines Produkts oder einer Dienstleistung“ iSv Art. 13 Abs. 2 der Richtlinie 2002/58/EG des Europäischen Parlaments und des Rates vom 12. Juli 2002 über die Verarbeitung personenbezogener Daten und den Schutz der Privatsphäre in der elektronischen Kommunikation (Datenschutzrichtlinie für elektronische Kommunikation) („Richtlinie 2002/58/EG“) erhalten?

b) stellt die Übermittlung eines Newsletters wie des unter Ziffer ii beschriebenen durch den Medienherausgeber „Direktwerbung für eigene ähnliche Produkte oder Dienstleistungen“ iSv Art. 13 Abs. 2 der Richtlinie 2002/58/EG dar?

2. Falls die Fragen 1 a und b bejaht werden, welche der in Art. 6 Abs. 1 lit. a bis f DS-GVO vorgesehenen Voraussetzungen sind dann als anwendbar auszulegen, wenn der Herausgeber die E-­Mail-Adresse des Nutzers zum Zweck der Übermittlung eines täglichen Newsletters wie des in Frage 1 Ziffer ii beschriebenen im Einklang mit den Erfordernissen des Art. 13 Abs. 2 der Richtlinie 2002/58/EG verwendet?

3. Ist Art. 13 Abs. 1 und 2 der Richtlinie 2002/58/EG dahin auszulegen, dass er einer nationalen Regelung entgegensteht, die den in Art. 2 lit. f der Richtlinie 2000/31/EG des Europäischen Parlaments und des Rates vom 8. Juni 2000 über bestimmte rechtliche Aspekte der Dienste der Informationsgesellschaft, insbesondere des elektronischen Geschäftsverkehrs, im Binnenmarkt („Richtlinie über den elektronischen Geschäftsverkehr“) („Richtlinie 2000/31/EG“) vorgesehenen Begriff „kommerzielle Kommunikation“ anstelle des in der Richtlinie 2002/58/EG vorgesehenen Begriffs „Direktmarketing“ verwendet?

Falls nein: Stellt ein Newsletter wie der in Frage 1 Ziffer ii beschriebene eine „kommerzielle Kommunikation“ iSv Art. 2 lit. f der Richtlinie 2000/31/EG dar?

4. Falls die Fragen 1 a und b verneint werden:

a) Handelt es sich bei der Übermittlung eines Newsletters wie des in Frage 1 Ziffer ii beschrieben per E-­Mail um eine „Verwendung von … elektronischer Post für die Zwecke der Direktwerbung“ iSv Art. 13 Abs. 1 der Richtlinie 2002/58/EG bzw.

b) ist Art. 95 DS-GVO i. V. m. Art. 15 Abs. 2 der Richtlinie 2002/58/EG dahin auszulegen, dass die Nichterfüllung der Voraussetzungen hinsichtlich der Einholung einer wirksamen Einwilligung des Nutzers iSv Art. 13 Abs. 1 der Richtlinie 2002/58/EG gem. Art. 83 DS-GVO oder gem. den nationalen Rechtsvorschriften in dem Rechtsakt zur Umsetzung der Richtlinie 2002/58/EG, der seinerseits spezifische anwendbare Sanktionen enthält, geahndet werden wird?

5. Ist Art. 83 Abs. 2 DS-GVO dahin auszulegen, dass eine Aufsichtsbehörde, die die Entscheidung über die Verhängung einer Geldbuße und über deren Betrag in jedem Einzelfall trifft, verpflichtet ist, in dem Verwaltungsakt, mit dem die Sanktion verhängt wird, die Auswirkungen jedes der unter den Buchstaben a bis k genannten Kriterien auf die Entscheidung über die Verhängung einer Geldbuße bzw. auf die Entscheidung über die Höhe der verhängten Geldbuße zu analysieren und zu erläutern?

NEU EuGH – C-638/23 – Amt der Tiroler Landesregierung, Vorabentscheidungsersuchen des Verwaltungsgerichtshofs (Österreich), eingereicht am 24.10.2023

Ist Art. 4 Z 7 DS-GVO dahingehend auszulegen, dass er der Anwendung einer Bestimmung des nationalen Rechts (wie vorliegend des § 2 Abs. 1 Tiroler Datenverarbeitungsgesetz) entgegensteht, in der zwar im Sinn des zweiten Halbsatzes des Art. 4 Z 7 DS-GVO ein bestimmter Verantwortlicher vorgesehen wird, aber

  • -dieser eine bloße Dienststelle (wie im vorliegenden Fall das Amt der Tiroler Landesregierung) ist, die zwar gesetzlich eingerichtet, aber keine natürliche oder juristische Person und im vorliegenden Fall auch keine Behörde ist, sondern nur als Hilfsapparat für diese auftritt und über keine eigene (Teil)Rechtsfähigkeit verfügt;

  • -dessen Benennung ohne Bezugnahme auf eine konkrete Verarbeitung personenbezogener Daten erfolgt und daher auch keine Zwecke und Mittel einer konkreten Verarbeitung personenbezogener Daten durch das Recht des Mitgliedstaats vorgegeben werden;

  • -dieser im konkreten Fall weder allein noch gemeinsam mit anderen über die Zwecke und Mittel der zugrundeliegenden Verarbeitung personenbezogener Daten entschieden hat?

NEU EuGH – C-599/23 – Obshtina Burgas u. a., Vorabentscheidungsersuchen des Rayonen sad Aytos (Bulgarien), eingereicht am 28.9.2023

NEU EuGH – C-563/23 – Natsionalnata agentsia za prihodite, Vorabentscheidungsersuchen des Sofiyski rayonen sad (Bulgarien), eingereicht am 12.9.2023

1. Ist Art. 4 Nr. 7 DS-GVO dahin auszulegen, dass eine Gerichtsbehörde, die einer anderen staatlichen Behörde den Zugang zu Daten über die Kontoguthaben steuerpflichtiger Personen gestattet, über die Zwecke oder Mittel der Verarbeitung von personenbezogenen Daten entscheidet und deshalb „Verantwortlicher“ für die Verarbeitung von personenbezogenen Daten ist?

2. Falls die erste Frage verneint wird, ist Art. 51 DS-GVO dahin auszulegen, dass eine Gerichtsbehörde, die einer anderen staatlichen Behörde den Zugang zu Daten über die Kontoguthaben steuerpflichtiger Personen gestattet, für die Überwachung [der Anwendung] dieser Verordnung verantwortlich ist und deshalb als „Aufsichtsbehörde“ in Bezug auf diese Daten zu qualifizieren ist?

3. Falls eine der vorstehenden Fragen bejaht wird, ist Art. 32 Abs. 1 lit. b DS-GVO bzw. Art. 57 Abs. 1 lit. a dieser Verordnung dahin auszulegen, dass eine Gerichtsbehörde, die einer anderen staatlichen Behörde den Zugang zu Daten über die Kontoguthaben steuerpflichtiger Personen gestattet, verpflichtet ist, bei Vorliegen von Daten über eine von der Stelle, der dieser Zugang gewährt werden soll, in der Vergangenheit begangene Verletzung des Schutzes personenbezogener Daten Informationen über die für den Schutz der Daten getroffenen Maßnahmen einzuholen und bei seiner Entscheidung über die Gestattung des Zugangs die Angemessenheit dieser Maßnahmen zu beurteilen?

4. Ist unabhängig von den Antworten auf die [zweite] und die [dritte] Frage Art. 79 Abs. 1 DS-GVO in Verbindung mit Art. 47 der Charta der Grundrechte der Europäischen Union dahin auszulegen, dass, wenn das nationale Recht eines Mitgliedstaats vorsieht, dass bestimmte Kategorien von Daten nur nach einer Gestattung durch ein Gericht offengelegt werden können, das hierfür zuständige Gericht den Personen, deren Daten offengelegt werden, von Amts wegen Rechtsschutz gewähren muss, indem es die Behörde, die den Zugang zu den Daten beantragt hat und von der bekannt ist, dass ihr nach einer Verletzung des Schutzes personenbezogener Daten verbindliche Anweisungen durch die Behörde nach Art. 51 Abs. 1 DS-GVO erteilt wurden, verpflichtet, Informationen zur Durchführung der ihr mit Verwaltungsentscheidung auferlegten Maßnahmen gem. Art. 58 Abs. 2 lit. d DS-GVO zur Verfügung zu stellen?

EuGH – C-507/23 – Patērētāju tiesību aizsardzības centrs, Vorabentscheidungsersuchen des Augstākā tiesa (Lettland), eingereicht am 8.8.2023

1. Ist Art. 82 Abs. 1 DS-GVO dahin auszulegen, dass die rechtswidrige Verarbeitung personenbezogener Daten als Verstoß gegen diese Verordnung für sich genommen einen ungerechtfertigten Eingriff in das subjektive Recht einer Person auf den Schutz ihrer Daten und einen dieser Person zugefügten Schaden darstellen kann?

2. Ist Art. 82 Abs. 1 DS-GVO dahin auszulegen, dass er gestattet, dass dann, wenn keine Möglichkeit zur Wiederherstellung des Zustands vor der Verursachung des Schadens besteht, als einziger Ersatz für den immateriellen Schaden die Verpflichtung auferlegt wird, sich zu entschuldigen?

3. Ist Art. 82 Abs. 1 DS-GVO dahin auszulegen, dass er gestattet, dass Umstände, die auf die Haltung und die Beweggründe der Person, die die Daten verarbeitet, hindeuten (zB die Notwendigkeit, einen im öffentlichen Interesse liegenden Auftrag zu erfüllen, das Fehlen einer Absicht, die betroffene Person zu schädigen, oder Schwierigkeiten, den rechtlichen Rahmen zu verstehen), die Festsetzung eines geringeren Ersatzes für diesen Schaden rechtfertigen?

EuGH – C-492/23, Russmedia Digital und Inform Media Press, Vorabentscheidungsersuchen des Curtea de Apel Cluj (Rumänien), eingereicht am 3.8.2023

1. Sind die Art. 12 bis 14 der Richtlinie 2000/31/EG auch auf einen Anbieter von Informationsdienstleistungen des Typs Hosting anwendbar, der den Nutzern eine Website zur Verfügung stellt, auf der kostenlos oder kostenpflichtig Anzeigen veröffentlicht werden können, und der angibt, dass seine Rolle bei der Veröffentlichung der Anzeigen der Nutzer rein technischer Natur sei (Bereitstellung der Plattform), in den allgemeinen Nutzungsbedingungen der Website aber darauf hinweist, dass er zwar kein Eigentumsrecht an den bereitgestellten oder veröffentlichten, hochgeladenen oder übermittelten Inhalten beanspruche, sich jedoch das Recht vorbehalte, die Inhalte zu nutzen, also auch zu kopieren, zu verbreiten, zu übermitteln, zu veröffentlichen, zu vervielfältigen, zu ändern, zu übersetzen, an Partner weiterzugeben und jederzeit zu entfernen, ohne dass es insoweit eines Grundes bedürfte?

2. Ist in Auslegung von Art. 2 Abs. 4, Art. 4 Nrn. 7 und 11, Art. 5 Abs. 1 lit. f, Art. 6 Abs. 1 lit. a und der Art. 724 und 25 DS-GVO sowie von Art. 15 der Richtlinie 2000/31/EG ein solcher Anbieter von Informationsdienstleistungen des Typs Hosting, der Verantwortlicher für die Verarbeitung personenbezogener Daten ist, verpflichtet, vor der Veröffentlichung einer Anzeige zu überprüfen, ob die Person, die die Anzeige veröffentlicht, mit dem Eigentümer der personenbezogenen Daten, auf den sich die Anzeige bezieht, identisch ist?

3. Ist in Auslegung von Art. 2 Abs. 4, Art. 4 Nrn. 7 und 11, Art. 5 Abs. 1 lit. f, Art. 6 Abs. 1 lit. a und der Art. 724 und 25 DS-GVO sowie von Art. 15 der Richtlinie 2000/31/EG ein solcher Anbieter von Informationsdienstleistungen des Typs Hosting, der Verantwortlicher für die Verarbeitung personenbezogener Daten ist, verpflichtet, den Inhalt der von den Nutzern übermittelten Anzeigen vorab zu überprüfen, um Anzeigen auszuschließen, die möglicherweise rechtswidrig sind oder das Privat- und Familienleben einer Person beeinträchtigen können?

4. Ist in Auslegung von Art. 5 Abs. 1 lit. b und f und der Art. 24 und 25 DS-GVO sowie von Art. 15 der Richtlinie 2000/31/EG ein solcher Anbieter von Informationsdienstleistungen des Typs Hosting, der Verantwortlicher für die Verarbeitung personenbezogener Daten ist, verpflichtet, Schutzmaßnahmen zu ergreifen, die das Kopieren und Weiterverbreitung des Inhalts der über ihn veröffentlichten Anzeigen verhindern oder einschränken?

EuGH – C-416/23, Österreichische Datenschutzbehörde, Vorabentscheidungsersuchen des Verwaltungsgerichtshofs (Österreich), eingereicht am 6.7.2023

1. Ist der Begriff „Anfragen“ oder „Anfrage“ in Art. 57 Abs. 4 DS-GVO dahin auszulegen, dass darunter auch „Beschwerden“ nach Art. 77 Abs. 1 DS-GVO zu

verstehen sind?

Falls die Frage 1 bejaht wird:

2. Ist Art. 57 Abs. 4 DS-GVO so auszulegen, dass es für das Vorliegen von „exzessiven Anfragen“ bereits ausreicht, dass eine betroffene Person bloß innerhalb eines bestimmten Zeitraums eine bestimmte Zahl von Anfragen (Beschwerden nach Art. 77 Abs. 1 DS-GVO) an eine Aufsichtsbehörde gerichtet hat, unabhängig davon, ob es sich um unterschiedliche Sachverhalte handelt und/oder die Anfragen (Beschwerden) unterschiedliche Verantwortliche betreffen, oder bedarf es neben der häufigen Wiederholung von Anfragen (Beschwerden) auch einer Missbrauchsabsicht der betroffenen Person?

3. Ist Art. 57 Abs. 4 DS-GVO so auszulegen, dass die Aufsichtsbehörde bei Vorliegen einer „offenkundig unbegründeten“ oder „exzessiven“ Anfrage (Beschwerde) frei wählen kann, ob sie eine angemessene Gebühr auf der Grundlage der Verwaltungskosten für deren Bearbeitung verlangt oder deren Bearbeitung von vornherein verweigert; verneinendenfalls welche Umstände und welche Kriterien die Aufsichtsbehörde zu berücksichtigen hat, insbesondere ob die Aufsichtsbehörde verpflichtet ist, vorrangig als gelinderes Mittel eine angemessene Gebühr zu verlangen, und erst im Fall der Aussichtslosigkeit einer Gebühreneinhebung zur Hintanhaltung offenkundig unbegründeter oder exzessiver Anfragen (Beschwerden) berechtigt ist, deren Bearbeitung zu verweigern?

EuGH – C-394/23 – Mousse, Vorabentscheidungsersuchen des Conseil d'État (Frankreich), eingereicht am 28.6.2023

1. Kann bei der Beurteilung der Angemessenheit, Erheblichkeit und Beschränkung auf das für die Zwecke der Verarbeitung der Daten notwendige Maß der Datenerhebung iSd Bestimmungen von Art. 5 Abs. 1 lit. c DS-GVO und der Erforderlichkeit ihrer Verarbeitung iSv Art. 6 Abs. 1 lit. b und f DS-GVO die allgemeine Verkehrssitte in der Kommunikation auf Zivil-­, Handels- und Verwaltungsebene berücksichtigt werden, so dass die auf die Angaben „Herr“ oder „Frau“ beschränkte Erhebung von Daten hinsichtlich der Anrede der Kunden als erforderlich angesehen werden könnte, ohne dass der Grundsatz der Datenminimierung dem entgegenstünde?

2. Ist bei der Beurteilung, ob die verpflichtende Erhebung und Verarbeitung von Daten hinsichtlich der Anrede der Kunden erforderlich ist, in Anbetracht der Tatsache, dass einige Kunden der Ansicht sind, dass auf sie keine der beiden Anreden zutreffe und dass die Erhebung dieser Daten in Bezug auf sie nicht erheblich sei, zu berücksichtigen, dass die Kunden, nachdem sie dem Verantwortlichen diese Daten zur Verfügung gestellt haben, um die angebotene Dienstleistung in Anspruch zu nehmen, nach Art. 21 DS-GVO ihr Recht, der Verwendung und Speicherung dieser Daten zu widersprechen, unter Berufung auf ihre besondere Situation geltend machen könnten?

EuGH – C-383/23 – ILVA, Vorabentscheidungsersuchen des Vestre Landsret (Dänemark), eingereicht am 21.6.2023

1. Ist der Begriff „Unternehmen“ in den Art. 83 Abs. 4 bis 6 der DS-GVO als ein Unternehmen iSd Art. 101 und 102 AEUV in Verbindung mit dem 150. Erwägungsgrund der Datenschutz-Grundverordnung und der Rechtsprechung des Gerichtshofs der Europäischen Union im Bereich des Wettbewerbsrechts der Union zu verstehen, so dass der Begriff „Unternehmen“ jede Einheit erfasst, die eine wirtschaftliche Tätigkeit ausübt, unabhängig von der Rechtsstellung dieser Einheit und der Art und Weise, in der sie finanziert wird?

2. Falls die erste Frage zu bejahen ist: Ist Art. 83 Abs. 4 bis 6 der DS-GVO dahin auszulegen, dass bei der Verhängung einer Geldbuße gegen ein Unternehmen der gesamte weltweit erzielte Jahresumsatz der wirtschaftlichen Einheit, zu der das Unternehmen gehört, zu berücksichtigen ist oder nur der gesamte weltweit erzielte Jahresumsatz des Unternehmens selbst?

EuGH – C-332/23 – Inspektorat kam Visshia sadeben savet, Vorabentscheidungsersuchen des Sofiyski rayonen sad (Bulgarien), eingereicht am 25.5.2023

1. Ist Art. 19 Abs. 1 UAbs. 2 EUV iVm Art. 47 Abs. 2 GRCh dahin auszulegen, dass es an sich oder unter bestimmten Voraussetzungen eine Verletzung der Pflicht der Mitgliedstaaten, wirksame Rechtsbehelfe für eine unabhängige gerichtliche Überprüfung zu gewährleisten, darstellt, wenn die Funktionen einer Behörde, die Disziplinarstrafen gegen Richter verhängen kann und Befugnisse zur Erhebung von Daten in Bezug auf deren Vermögen hat, nach dem Ende der in der Verfassung festgelegten Amtszeit dieser Stelle auf unbestimmte Zeit verlängert werden? Wenn eine derartige Verlängerung dieser Befugnisse zulässig ist, dann unter welchen Voraussetzungen?

2. Ist Art. 2 Abs. 2 lit. a DS-GVO dahin auszulegen, dass es sich bei der Offenlegung des Bankgeheimnisses zum Zwecke der Überprüfung des Vermögens von Richtern und Staatsanwälten, welches anschließend öffentlich gemacht wird, um eine Tätigkeit handelt, die nicht in den Anwendungsbereich des Unionsrechts fällt? Ist die Antwort eine andere, wenn diese Tätigkeit auch die Offenlegung von Daten der Familienangehörigen der Richter und Staatsanwälte umfasst, die selbst keine Richter und Staatsanwälte sind?

3. Ist – falls die zweite Frage dahin beantwortet wird, dass Unionsrecht zur Anwendung kommt – Art. 4 Nr. 7 DS-GVO dahin auszulegen, dass eine Gerichtsbehörde, die einer anderen staatlichen Behörde den Zugang zu Daten über die Kontoguthaben der Richter und Staatsanwälte und deren Familienangehörigen gestattet, über die Zwecke oder Mittel der Verarbeitung von personenbezogenen Daten entscheidet und deshalb „Verantwortlicher“ für die Verarbeitung von personenbezogenen Daten ist?

4. Ist – falls die zweite Frage dahin beantwortet wird, dass Unionsrecht zur Anwendung kommt, und die dritte verneint wird – Art. 51 DS-GVO dahin auszulegen, dass eine Gerichtsbehörde, die einer anderen staatlichen Behörde den Zugang zu Daten über die Kontoguthaben der Richter und Staatsanwälte und deren Familienangehörigen gestattet, für die Überwachung [der Anwendung] dieser Verordnung verantwortlich ist und deshalb als „Aufsichtsbehörde“ in Bezug auf diese Daten zu qualifizieren ist?

5. Ist – falls die zweite Frage dahin beantwortet wird, dass Unionsrecht zur Anwendung kommt, und eine der Fragen drei oder vier bejaht wird – Art. 32 Abs. 1 lit. b DS-GVO, bzw. Art. 57 Abs. 1 lit. a dieser Verordnung, dahin auszulegen, dass eine Gerichtsbehörde, die einer anderen staatlichen Behörde den Zugang zu Daten über die Kontoguthaben der Richter und Staatsanwälte und deren Familienangehörigen gestattet, verpflichtet ist, bei Vorliegen von Daten über eine von der Behörde, der dieser Zugang gewährt werden soll, in der Vergangenheit begangenen Verletzung des Schutzes von personenbezogenen Daten, Informationen über die für den Schutz der Daten getroffenen Maßnahmen einzuholen und bei seiner Entscheidung über die Gestattung des Zugangs die Angemessenheit dieser Maßnahmen zu berücksichtigen?

6. Ist – falls die zweite Frage dahin beantwortet wird, dass Unionsrecht zur Anwendung kommt, und unabhängig von den Antworten auf die dritte und vierte Frage – Art. 79 Abs. 1 DS-GVO in Verbindung mit Art. 47 der Charta der Grundrechte der Europäischen Union dahin auszulegen, dass wenn das nationale Recht eines Mitgliedstaats vorsieht, dass bestimmte Kategorien von Daten nur nach einer Gestattung durch ein Gericht offengelegt werden können, das hierfür zuständige Gericht den Personen, deren Daten offengelegt werden, von Amts wegen Rechtsschutz gewähren muss, indem es die Behörde, die den Zugang zu den Daten beantragt hat und von der bekannt ist, dass sie in der Vergangenheit Verletzungen des Schutzes von personenbezogenen Daten begangen hat, verpflichtet, Informationen zu den gem. Art. 33 Abs. 3 lit. d DS-GVO getroffenen Maßnahmen und deren wirksamen Anwendung zur Verfügung zu stellen?

EuGH – C-316/23 – Inspektorat kam Visshia sadeben savet, Vorabentscheidungsersuchen des Sofiyski rayonen sad (Bulgarien), eingereicht am 23.5.2023

Der Sachverhalt und die Begründung entsprechen im Wesentlichen dem Vorabentscheidungsersuchen in der Rechtssache C-332/23; die zur Vorabentscheidung vorgelegten Fragen sind in beiden Rechtssachen identisch.

EuGH – C-313/23 – Inspektorat kam Visshia sadeben savet, Vorabentscheidungsersuchen des Sofiyski rayonen sad (Bulgarien), eingereicht am 22.5.2023

Der Sachverhalt und die Begründung entsprechen im Wesentlichen dem Vorabentscheidungsersuchen in der Rechtssache C-332/23; die zur Vorabentscheidung vorgelegten Fragen sind in beiden Rechtssachen identisch.

EuGH – C-312/23 – Addiko Bank, Vorabentscheidungsersuchen des Upravni sud u Zagrebu (Kroatien), eingereicht am 22.5.2023

EuGH – C-247/23 – Deldits, Vorabentscheidungsersuchen des Fővárosi Törvényszék (Ungarn), eingereicht am 18.4.2023

1. Ist Art. 16 DS-GVO dahin auszulegen, dass die Behörde, die nach dem mitgliedstaatlichen Recht die Register führt, im Hinblick auf die Ausübung der Rechte der betroffenen Person verpflichtet ist, von ihr registrierte personenbezogene Daten betreffend das Geschlecht dieser Person zu berichtigen, wenn sich diese Daten seit ihrer Eintragung in das Register geändert haben und daher nicht dem in Art. 5 Abs. 1 lit. d DS-GVO niedergelegten Grundsatz der Richtigkeit entsprechen?

2. Falls Frage 1 bejaht wird: Ist Art. 16 DS-GVO dahin auszulegen, dass die Person, die die Berichtigung von Daten betreffend ihr Geschlecht beantragt, verpflichtet ist, Nachweise zur Begründung ihres Berichtigungsantrags vorzulegen?

3. Falls Frage 2 bejaht wird: Ist Art. 16 DS-GVO dahin auszulegen, dass die antragstellende Person nachweisen muss, dass sie sich einer geschlechtsangleichenden Operation unterzogen hat?

EuGH – C-200/23 – Agentsia po vpisvaniyata, Vorabentscheidungsersuchen des Varhoven administrativen sad (Bulgarien), eingereicht am 28.3.2023

1. Kann Art. 4 Abs. 2 RL 2009/101/EG dahin ausgelegt werden, dass er eine Verpflichtung des Mitgliedstaats aufstellt, die Offenlegung eines Gesellschaftsvertrags, der gem. Art 119 des Targovski zakon (Handelsgesetz) der Eintragung unterliegt, zuzulassen, wenn dieser neben den Namen der Gesellschafter, die gem. Art. 2 Abs. 2 des Zakon za targovskia registar i registara na yuriditcheskite litsa s nestopanska tsel (Gesetz über das Handelsregister und das Register der juristischen Personen ohne Erwerbszweck) der obligatorischen Bekanntmachung unterliegen, auch weitere personenbezogene Daten enthält? Bei der Beantwortung dieser Frage ist zu beachten, dass die Agentur für Eintragungen eine Einrichtung des öffentlichen Sektors ist, der gegenüber nach ständiger Rechtsprechung des Gerichtshofs die Vorschriften der Richtlinie, die unmittelbare Wirkung entfalten, geltend gemacht werden können (Urteil v. 7.9.2006, Vassallo, С-180/04, ECLI:EU:C:2006:518, Rn. 26 und die dort angeführte Rechtsprechung).

2. Kann – falls die erste Frage bejaht wird – angenommen werden, dass unter den Umständen, die den Rechtsstreit des Ausgangsverfahrens ausgelöst haben, die Verarbeitung personenbezogener Daten durch die Agentur für Eintragungen iSv Art. 6 Abs. 1 lit. e DS-GVO für die Wahrnehmung einer Aufgabe erforderlich ist, die im öffentlichen Interesse liegt oder in Ausübung öffentlicher Gewalt erfolgt, die dem Verantwortlichen übertragen wurde?

3. Kann – falls die ersten beiden Fragen bejaht werden – eine nationalen Regelung wie der in Art. 13 Abs. 9 des Zakon za targovskia registar i registara na yuriditcheskite litsa s nestopanska tsel (Gesetz über das Handelsregister und das Register der juristischen Personen ohne Erwerbszweck), nach der für den Fall, dass in einem Antrag oder in den Unterlagen zu diesem Antrag personenbezogene, nicht gesetzlich geforderte Daten angegeben sind, davon auszugehen ist, dass die Personen, die sie zur Verfügung gestellt haben, in die Verarbeitung dieser Daten durch die Agentur und in die Bereitstellung eines öffentlichen Zugangs zu ihnen eingewilligt haben, ungeachtet der Erwägungsgründe 32404243 und 50 DS-GVO als Klarstellung in Bezug auf die Möglichkeit einer iSd Art. 4 Abs. 2 der Richtlinie 2009/101/EG „freiwilligen Offenlegung“ auch personenbezogener Daten als zulässig angesehen werden?

4. Sind zur Umsetzung der Verpflichtung aus Art. 3 Abs. 7 der Richtlinie 2009/101/EG, wonach die Mitgliedstaaten die erforderlichen Maßnahmen treffen müssen, um zu verhindern, dass der Inhalt der nach Abs. 5 offen gelegten Informationen und der Inhalt des Registers oder der Akte voneinander abweichen und um die Interessen Dritter zu berücksichtigen, sich über die wesentlichen Urkunden der Gesellschaft sowie einige sie betreffende Angaben, die im dritten Erwägungsgrund dieser Richtlinie genannt werden, zu unterrichten, nationale Rechtsvorschriften zulässig, die eine Verfahrensregelung (Antragsformblätter, Einreichung von Kopien von Unterlagen, in denen personenbezogene Daten unkenntlich gemacht wurden) für die Ausübung des Rechts der natürlichen Person gem. Art. 17 DS-GVO, von dem Verantwortlichen zu verlangen, dass sie betreffende personenbezogene Daten unverzüglich gelöscht werden, vorsehen, wenn die personenbezogenen Daten, deren Löschung verlangt wird, Teil von öffentlich offen gelegten (bekannt gemachten) Unterlagen sind, die dem Verantwortlichen nach einer ähnlichen Verfahrensregelung von einer anderen Person zur Verfügung gestellt wurden, die mit dieser Handlung auch den Zweck der von ihr veranlassten Verarbeitung bestimmt hat?

5. Handelt die Agentur für Eintragungen in der dem Ausgangsrechtsstreit zugrunde liegenden Situation nur als Verantwortlicher in Bezug auf die personenbezogenen Daten oder ist sie auch deren Empfänger, wenn die Zwecke ihrer Verarbeitung als Teil der Unterlagen, die zur Bekanntmachung vorgelegt wurden, von einem anderen Verantwortlichen bestimmt wurden?

6. Stellt die eigenhändige Unterschrift einer natürlichen Person eine Information dar, die sich auf eine identifizierte natürliche Person bezieht, bzw. wird sie vom Begriff „personenbezogene Daten“ iSv Art. 4 Nr. 1 DS-GVO erfasst?

7. Ist der Begriff „immaterieller Schaden“ in Art. 82 Abs. 1 DS-GVO dahin auszulegen, dass die Annahme eines immateriellen Schadens einen spürbaren Nachteil und eine objektiv nachvollziehbare Beeinträchtigung persönlicher Belange erfordert oder genügt hierfür der bloße kurzfristige Verlust des Betroffenen über die Hoheit seiner Daten wegen der Veröffentlichung personenbezogener Daten im Handelsregister, der ohne jedwede spürbare bzw. nachteilige Konsequenzen für den Betroffenen blieb?

8. Kann die gem. Art. 58 Abs. 3 lit. b DS-GVO erlassene Stellungnahme der nationalen Aufsichtsbehörde, der Komisia za zashtita na lichnite danni (Kommission für den Schutz personenbezogener Daten), Nr. 01-116(20)/1.2.2021, wonach die Agentur für Eintragungen keine rechtliche Möglichkeit oder Befugnis hat, von Amts wegen oder auf Antrag der betroffenen Person, die Verarbeitung von bereits offen gelegten Daten einzuschränken, zulässigerweise als Nachweis iSv Art. 82 Abs. 3 DS-GVO dafür gelten, dass die Agentur für Eintragungen in keinerlei Hinsicht für den Umstand verantwortlich ist, durch den der Schaden bei der natürlichen Person eingetreten ist?

EuGH – C-169/23 – Másdi, Vorabentscheidungsersuchen der Kúria (Ungarn), eingereicht am 17.3.2023

1. Ist Art. 14 Abs. 5 lit. c in Verbindung mit Art. 14 Abs. 1 und dem 62. Erwägungsgrund DS-GVO dahin auszulegen, dass sich die in Art. 14 Abs. 5 lit. c vorgesehene Ausnahme nicht auf Daten bezieht, die im Verfahren des Verantwortlichen selbst erzeugt wurden, sondern nur auf Daten, die der Verantwortliche ausdrücklich von einer anderen Person erlangt hat?

2. Ist für den Fall, dass Art. 14 Abs. 5 lit. c DS-GVO auch für Daten gilt, die im Verfahren des Verantwortlichen selbst erzeugt wurden, das in Art. 77 Abs. 1 der DS-GVO verankerte Recht auf Beschwerde bei einer Aufsichtsbehörde so auszulegen, dass eine natürliche Person, die eine Verletzung der Informationspflicht geltend macht, in Ausübung ihres Beschwerderechts verlangen kann, dass geprüft wird, ob das Recht des Mitgliedstaats gem. Art. 14 Abs. 5 lit. c DS-GVO geeignete Maßnahmen zum Schutz der berechtigten Interessen der betroffenen Person vorsieht?

3. Falls die zweite Frage bejaht wird: Kann Art. 14 Abs. 5 lit. c DS-GVO dahin ausgelegt werden, dass die in dieser Bestimmung genannten „geeigneten Maßnahmen“ implizieren, dass der nationale Gesetzgeber die in Art. 32 DS-GVO vorgesehenen Maßnahmen in Bezug auf die Datensicherheit (mittels Rechtsvorschriften) umzusetzen hat?

EuGH C-65/23 – K GmbH, Vorabentscheidungsersuchen des BAG, eingereicht am 8.2.2023

1. Ist eine nach Art. 88 Abs. 1 DS-GVO erlassene nationale Rechtsvorschrift – wie etwa § 26 Abs. 4 BDSG – in der bestimmt ist, dass die Verarbeitung personenbezogener Daten – einschließlich besonderer Kategorien personenbezogener Daten – von Beschäftigten für Zwecke des Beschäftigungsverhältnisses auf der Grundlage von Kollektivvereinbarungen unter Beachtung von Art. 88 Abs. 2 DS-GVO zulässig ist, dahin auszulegen, dass stets auch die sonstigen Vorgaben der DS-GVO – wie etwa Art. 5, Art. 6 Abs. 1 und Art. 9 Abs. 1 und Abs. 2 DS-GVO – einzuhalten sind?

2. Sofern die Frage zu 1. bejaht wird: Darf eine nach Art. 88 Abs. 1 DS-GVO erlassene nationale Rechtsvorschrift – wie § 26 Abs. 4 BDSG – dahin ausgelegt werden, dass den Parteien einer Kollektivvereinbarung (hier den Parteien einer Betriebsvereinbarung) bei der Beurteilung der Erforderlichkeit der Datenverarbeitung iSd Art. 5, Art. 6 Abs. 1 und Art. 9 Abs. 1 und Abs. 2 DS-GVO ein Spielraum zusteht, der gerichtlich nur eingeschränkt überprüfbar ist?

3. Sofern die Frage zu 2. bejaht wird: Worauf darf in einem solchen Fall die gerichtliche Kontrolle beschränkt werden?

4. Ist Art. 82 Abs. 1 DS-GVO dahin auszulegen, dass Personen ein Recht auf Ersatz des immateriellen Schadens bereits dann haben, wenn ihre personenbezogenen Daten entgegen den Vorgaben der DS-GVO verarbeitet wurden oder setzt der Anspruch auf Ersatz des immateriellen Schadens darüber hinaus voraus, dass die betroffene Person einen von ihr erlittenen immateriellen Schaden – von einigem Gewicht – darlegt?

5. Hat Art. 82 Abs. 1 DS-GVO spezial- bzw. generalpräventiven Charakter und muss dies bei der Bemessung der Höhe des zu ersetzenden immateriellen Schadens auf der Grundlage von Art. 82 Abs. 1 DS-GVO zulasten des Verantwortlichen bzw. Auftragsverarbeiters berücksichtig werden?

6. Kommt es bei der Bemessung der Höhe des zu ersetzenden immateriellen Schadens auf der Grundlage von Art. 82 Abs. 1 DS-GVO auf den Grad des Verschuldens des Verantwortlichen bzw. Auftragsverarbeiters an? Insbesondere, darf ein nicht vorliegendes oder geringes Verschulden auf Seiten des Verantwortlichen bzw. Auftragsverarbeiters zu dessen Gunsten berücksichtigt werden?

EuGH C-46/23 – Újpesti Polgármesteri Hivatal, Vorabentscheidungsersuchen des Fővárosi Törvényszék (Ungarn), eingereicht am 31.1.2023

1. Ist Art. 58 Abs. 2, insb. lit. c, d und g der DS-GVO dahin auszulegen, dass die Aufsichtsbehörde eines Mitgliedstaats in Ausübung ihrer Abhilfebefugnisse auch ohne ausdrücklichen Antrag der betroffenen Person gem. Art. 17 Abs. 1 DS-GVO einen Verantwortlichen oder einen Auftragsverarbeiter anweisen kann, unrechtmäßig verarbeitete personenbezogene Daten zu löschen?

2. Wenn die Antwort auf die erste Frage lautet, dass die Aufsichtsbehörde einen Verantwortlichen oder einen Auftragsverarbeiter anweisen kann, unrechtmäßig verarbeitete personenbezogene Daten auch ohne Antrag der betroffenen Person zu löschen, ist dies dann unabhängig davon, ob die personenbezogenen Daten bei der betroffenen Person erhoben wurden oder nicht?

EuGH C-21/23 – Lindenapotheke, Vorabentscheidungsersuchen des BGH, eingereicht am 19.1.2023

Vorlagefragen noch nicht veröffentlicht. Es handelt sich vermutlich um das Vorlageersuchen des BGH v. 12.1.2023 – I ZR 222/19 u. I ZR 223/19:

1. Stehen die Regelungen in Kapitel VIII der Datenschutz-Grundverordnung nationalen Regelungen entgegen, die – neben den Eingriffsbefugnissen der zur Überwachung und Durchsetzung der Verordnung zuständigen Aufsichtsbehörden und den Rechtsschutzmöglichkeiten der betroffenen Personen – Mitbewerbern die Befugnis einräumen, wegen Verstößen gegen die Datenschutz-Grundverordnung gegen den Verletzer im Wege einer Klage vor den Zivilgerichten unter dem Gesichtspunkt des Verbots der Vornahme unlauterer Geschäftspraktiken vorzugehen?

2. Sind die Daten, die Kunden eines Apothekers, der auf einer Internet-Verkaufsplattform als Verkäufer auftritt, bei der Bestellung von zwar apothekenpflichtigen, nicht aber verschreibungspflichtigen Medikamenten auf der Verkaufsplattform eingeben (Name des Kunden, Lieferadresse und für die Individualisierung des bestellten apothekenpflichtigen Medikaments notwendige Informationen), Gesundheitsdaten iSv Art. 9 Abs. 1 DS-GVO sowie Daten über Gesundheit iSv Art. 8 Abs. 1 DSRL?

EuGH C-757/22 – Meta Platforms Ireland, Vorabentscheidungsersuchen des BGH, eingereicht am 15.12.2022

Wird eine Rechtsverletzung „infolge einer Verarbeitung“ iSv Art. 80 Abs. 2 DS-GVO geltend gemacht, wenn ein Verband zur Wahrung von Verbraucherinteressen seine Klage darauf stützt, die Rechte einer betroffenen Person seien verletzt, weil die Informationspflichten gem. Art. 12 Abs. 1 S. 1 DS-GVO iVm Art. 13 Abs. 1 lit. c und e DS-GVO über den Zweck der Datenverarbeitung und den Empfänger der personenbezogenen Daten nicht erfüllt worden seien?

EuGH C-740/22 – Endemol Shine Finland, Vorabentscheidungsersuchen des Itä-Suomen hovioikeus (Finnland), eingereicht am 2.12.2022

1. Stellt eine mündliche Übermittlung personenbezogener Daten eine Verarbeitung personenbezogener Daten iSv Art. 2 Abs. 1 und Art. 4 Ziff. 2 DS-GVO dar?

2. Kann der Zugang der Öffentlichkeit zu amtlichen Dokumenten mit dem Recht auf Schutz personenbezogener Daten in der von Art. 86 der Verordnung genannten Weise dadurch in Einklang gebracht werden, dass aus dem Personenregister eines Gerichts unbeschränkt Informationen über Strafurteile oder Delikte einer natürlichen Person erhältlich sind, wenn beantragt wird, dem Antragsteller die Informationen mündlich zu übermitteln?

3. Ist für die Antwort auf Frage 2 von Bedeutung, ob es sich bei dem Antragsteller um eine Gesellschaft oder um eine Privatperson handelt?

EuGH C-693/22 – I, Vorabentscheidungsersuchen des Sąd Rejonowy dla m. st. Warszawy w Warszawie (Polen), eingereicht am 10.11.2022

Ist Art. 5 Abs. 1 lit. a iVm Art. 6 Abs. 1 lit. a, c und e sowie Abs. 3 DS-GVO dahin gehend auszulegen, dass er nationalen Rechtsvorschriften entgegensteht, die den Verkauf einer aus personenbezogenen Daten bestehenden Datenbank iSv Art. 1 Abs. 2 RL 96/9/EG (Datenbank-RL) iRe Vollstreckungsverfahrens zulassen, wenn die jeweils betroffenen Personen einem solchen Verkauf nicht zugestimmt haben?

EuGH C-672/22 – DKV, Vorabentscheidungsersuchen des OLG Koblenz, eingereicht am 27.10.2022

Das OLG Koblenz (Deutschland) hat dem Gerichtshof am 5.4.2023 über e-Curia mitgeteilt, dass der bei ihm anhängige Rechtsstreit beendet sei. Unter diesen Umständen ist gem. Art. 100 der Verfahrensordnung des Gerichtshofs die Streichung der vorliegenden Rechtssache im Register des Gerichtshofs anzuordnen. Für die Beteiligten des Ausgangsverfahrens ist das Verfahren Teil des bei dem nationalen Gericht anhängigen Verfahrens; die Kostenentscheidung ist daher Sache dieses Gerichts. Aus diesen Gründen hat der Präsident des Gerichtshofs beschlossen: Die Rechtssache C-672/22 wird im Register des Gerichtshofs gestrichen.

1. Ist Art. 15 Abs. 3 S. 1 DS-GVO iVm Art. 12 Abs. 5 DS-GVO dahin auszulegen, dass der Verantwortliche (hier: der Versicherer) auch dann verpflichtet ist, dem Betroffenen (hier: dem Versicherungsnehmer) eine erste Kopie seiner vom Verantwortlichen verarbeiteten personenbezogenen Daten unentgeltlich zur Verfügung zu stellen, wenn der Betroffene die Kopie nicht zur Verfolgung der in Erwägungsgrund 63 S. 1 zur DS-GVO genannten Zwecke begehrt, sich der Verarbeitung seiner personenbezogenen Daten bewusst zu werden und deren Rechtmäßigkeit überprüfen zu können, sondern einen anderen – datenschutzfremden, aber legitimen – Zweck (hier: die Prüfung der Wirksamkeit von Beitragserhöhungen zur privaten Krankenversicherung) verfolgt, und dies selbst dann, wenn Angaben gefordert werden, die dem Versicherten bereits iRd Beitragserhöhungsverfahrens nach § 203 VVG brieflich mitgeteilt wurden?

2. Falls die Frage 1 bejaht wird: Gehören zu den personenbezogenen Daten iSv Art. 4 Nr. 1 und Art. 15 Abs. 3 S. 1 DS-GVO die folgenden Angaben:

a) Angaben zu Beitragsanpassungen, die der Versicherer in der privaten Krankenversicherung im Verhältnis zum Versicherungsnehmer vorgenommen hat, insbesondere zum Betrag der vorgenommenen Anpassung und zu den betroffenen Versicherungstarifen und

b) der Wortlaut der Begründungen für die Beitragsanpassungen (§ 203 Abs. 5 VVG).

3. Falls die Frage 1 bejaht wird und auch Frage 2 ganz oder teilweise bejaht wird: Umfasst der Anspruch eines Versicherungsnehmers in der privaten Krankenversicherung auf Zurverfügungstellung einer Kopie der vom Versicherer verarbeiteten personenbezogenen Daten auch einen Anspruch auf Überlassung einer Kopie der Nachträge zum Versicherungsschein, die der Versicherer dem Versicherungsnehmer zur Mitteilung einer Beitragserhöhung übersendet hat, sowie der mitversendeten Anschreiben und Beiblätter oder ist er nur auf Herausgabe einer Kopie der personenbezogenen Daten des Versicherten als solche gerichtet, wobei es dem datenverarbeitenden Versicherer überlassen bleibt, in welcher Weise er dem betroffenen Versicherungsnehmer die Daten zusammenstellt?

EuGH C-621/22 – Koninklijke Nederlandse Lawn Tennisbond, Vorabentscheidungsersuchen des Gerichts Amsterdam (Niederlande), eingereicht am 29.9.2022

1. Wie muss die Rechtbank den Begriff „berechtigtes Interesse“ auslegen?

2. Ist dieser Begriff so auszulegen, wie die Beklagte ihn auslegt? Erfasst er ausschließlich zum Gesetz gehörende, gesetzliche und in einem Gesetz festgelegte Interessen? Oder:

3. Kann jedes Interesse ein berechtigtes Interesse sein, sofern es dem Gesetz nicht zuwiderläuft? Konkreter: Sind ein rein kommerzielles Interesse und das vorliegende Interesse, nämlich die entgeltliche Bereitstellung personenbezogener Daten ohne Zustimmung der betroffenen Person, unter bestimmten Umständen als ein berechtigtes Interesse einzustufen? Falls ja: Welche Umstände bestimmen, ob ein rein kommerzielles Interesse ein berechtigtes Interesse ist?

EuGH C-604/22 – IAB Europa, Vorabentscheidungsersuchen des Hof van beroep te Brussel (Belgien), eingereicht am 19.9.2022

1. Ist Art. 4 Nr. 1 DS-GVO iVm den Art. 7 und 8 GRCh dahin auszulegen, dass eine Zeichenfolge, die die Präferenzen eines Internetnutzers im Zusammenhang mit der Verarbeitung seiner personenbezogenen Daten auf strukturierte und maschinenlesbare Weise erfasst, aus Sicht (1) einer Branchenorganisation, die ihren Mitgliedern einen Standard bereitstellt, mit dem sie ihnen vorschreibt, auf welche Weise diese Zeichenfolge in praktischer und technischer Hinsicht generiert, gespeichert und/oder verbreitet werden muss, und (2) der Parteien, die diesen Standard auf ihren Websites oder in ihren Anwendungen implementiert und daher auf diese Weise Zugang zu dieser Zeichenfolge haben, ein personenbezogenes Datum iSd Bestimmung darstellt?

2. Macht es dabei einen Unterschied, wenn die Implementierung des Standards beinhaltet, dass diese Zeichenfolge zusammen mit einer IP-Adresse verfügbar ist?

3. Fällt die Antwort auf die Fragen a) + b) anders aus, wenn diese normierende Branchenorganisation selbst keinen gesetzlichen Zugang zu den personenbezogenen Daten hat, die im Rahmen dieses Standards von ihren Mitgliedern verarbeitet werden?

4. Sind Art. 4 Nr. 7 und Art. 24 Abs. 1 DS-GVO iVm den Art. 7 und 8 GRCh dahin auszulegen, dass eine normierende Branchenorganisation als Verantwortliche einzustufen ist, wenn sie ihren Mitgliedern einen Standard für die Verwaltung der Einwilligung anbietet, der neben einem verbindlichen technischen Rahmen Vorschriften enthält, die detailliert festlegen, wie diese Einwilligungsdaten, die personenbezogene Daten darstellen, gespeichert und verbreitet werden müssen?

5. Fällt die Antwort auf Frage a) anders aus, wenn diese Branchenorganisation selbst keinen gesetzlichen Zugang zu den personenbezogenen Daten hat, die im Rahmen dieses Standards von ihren Mitgliedern verarbeitet werden?

6. Falls die normierende Branchenorganisation als für die Verarbeitung der Präferenzen von Internetnutzern Verantwortliche oder als gemeinsam dafür Verantwortliche einzustufen ist, erstreckt sich diese (gemeinsame) Verantwortung der normierenden Branchenorganisation dann auch automatisch auf die anschließenden Verarbeitungen Dritter, für die die Präferenzen der Internetnutzer bereitgestellt wurden, wie gezielte Online-Werbung durch Verleger und Verkäufer?

EuGH C-590/22 – PS, Vorabentscheidungsersuchen des AG Wesel, eingereicht am 9.9.2022

1. Reicht es für die Begründung eines Anspruchs auf Schadensersatz gem. Art. 82 Abs. 1 DS-GVO aus, dass eine die anspruchstellende Person schützende Bestimmung der DS-GVO verletzt worden ist oder ist es erforderlich, dass ein über die Verletzung der Bestimmungen als solche hinaus eine weitere Beeinträchtigung der anspruchstellenden Person eingetreten ist?

2. Ist es nach dem Unionsrecht zur Begründung eines Anspruchs auf immateriellen Schadensersatz gem. Art. 82 Abs. 1 DS-GVO erforderlich, dass eine Beeinträchtigung von gewissem Gewicht vorliegt?

3. Insbesondere: Reicht es zur Begründung eines Anspruchs auf immateriellen Schadensersatz gem. Art. 82 Abs. 1 DS-GVO aus, dass die anspruchstellende Person befürchtet, dass als Folge von Verletzungen der Bestimmungen der DS-GVO ihre personenbezogenen Daten in fremde Hände gelangt sind, ohne dass dies positiv festgestellt werden kann?

4. Entspricht es dem Unionsrecht, wenn das nationale Gericht bei der Bemessung eines immateriellen Schadensersatzes gem. Art. 82 Abs. 1 DS-GVO die dem Wortlaut nach lediglich für Geldbußen geltenden Kriterien des Art. 83 Abs. 2 S. 2 DS-GVO entsprechend heranzieht?

5. Ist die Höhe eines immateriellen Schadensersatzanspruchs gem. Art. 82 Abs. 1 DS-GVO auch danach zu bemessen, dass durch die Höhe des zugesprochenen Anspruchs eine Abschreckungswirkung erreicht und/oder eine „Kommerzialisierung“ (kalkuliertes Inkaufnehmen von Geldbußen/Schadensersatzzahlungen) von Verstößen unterbunden wird?

6. Entspricht es dem Unionsrecht, bei der Bemessung eines Anspruchs auf immateriellen Schadensersatz gem. Art. 82 Abs. 1 DS-GVO der Höhe nach zugleich verwirklichte Verstöße gegen nationale Vorschriften zu berücksichtigen, die den Schutz von personenbezogenen Daten zum Zweck haben, bei denen es sich aber nicht um nach Maßgabe der vorliegenden Verordnung erlassene delegierte Rechtsakte oder Durchführungsrechtsakte oder Rechtsvorschriften der Mitgliedstaaten zur Präzisierung von Bestimmungen der vorliegenden Verordnung handelt?

EuGH C-461/22 – MK, Vorabentscheidungsersuchen des LG Hannover, eingereicht am 12.7.2022

Ist der gesetzlich bestellte Betreuer, der diese Tätigkeit berufsmäßig ausübt, Verantwortlicher iSv Art. 4 Nr. 7 DS-GVO?

Muss dieser Auskunft nach Art. 15 DS-GVO erteilen?

EuGH C-280/22 – Kinderrechtencoalitie Vlaanderen and Liga voor Mensenrechten, Vorabentscheidungsersuchen des Raad van State (Belgien), eingereicht am 25.4.2022

Sind Art. 3 Abs. 5 und 6 sowie Art. 14 der VO (EU) 2019/1157 des Europäischen Parlaments und des Rates v. 20.6.2019 zur Erhöhung der Sicherheit der Personalausweise von Unionsbürgern und der Aufenthaltsdokumente, die Unionsbürgern und deren Familienangehörigen ausgestellt werden, die ihr Recht auf Freizügigkeit ausüben in Verbindung mit dem Durchführungsbeschluss C(2018) 7767 der Kommission v. 30.11.2018 zur Festlegung der technischen Spezifikationen für die einheitliche Gestaltung des Aufenthaltstitels für Drittstaatsangehörige und zur Aufhebung der Entscheidung K(2002) 3069 gültig und vereinbar mit Art. 16 AEUV und – in Bezug auf Art. 3 Abs. 5 und 6 – Art. 21 AEUV sowie mit den Art. 78 und 52 GRCh iVm

  • -Art. 1234569253235 und 36 der VO (EU) 2016/679 des Europäischen Parlaments und des Rates v. 27.4.2016 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten, zum freien Datenverkehr und zur Aufhebung der RL 95/46/EG,

  • -Art. 1234891027 und 28 der RL (EU) 2016/680 des Europäischen Parlaments und des Rates v. 27.4.2016 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten durch die zuständigen Behörden zum Zwecke der Verhütung, Ermittlung, Aufdeckung oder Verfolgung von Straftaten oder der Strafvollstreckung sowie zum freien Datenverkehr und zur Aufhebung des Rahmenbeschlusses 2008/977/JI des Rates und

  • -Art. 123451028 und 42 der Verordnung (EU) 2018/1725 des Europäischen Parlaments und des Rates v. 23.10.2018 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten durch die Organe, Einrichtungen und sonstigen Stellen der Union, zum freien Datenverkehr und zur Aufhebung der VO (EG) Nr. 45/2001 und des Beschlusses Nr. 1247/2002/EG,

sofern Art. 3 Abs. 5 und 6 der VO (EU) 2019/1157 vorschreibt, dass zwei Fingerabdrücke des Personalausweisinhabers in einem interoperablen digitalen Format auf einem Speichermedium, mit dem der Personalausweis versehen ist, zu speichern sind und sofern Art. 3 Abs. 5 und 6 sowie Art. 14 der VO 2019/1157 iVm Anhang III des Durchführungsbeschlusses C(2018) 7767 der Kommission v. 30.11.2018 vorschreiben, dass die Fingerabdruckdaten auf den in Art. 2 lit. a und c genannten Personalausweisen und Aufenthaltsdokumenten in der Form zu speichern sind, dass ein digitales Bild der Fingerabdrücke auf einem elektronischen Mikrochip, der die RFID-Technologie verwendet und drahtlos/kontaktlos ausgelesen werden kann, gespeichert wird?

EuGH C-203/22 – Dun & Bradstreet Austria, Vorabentscheidungsersuchen des Verwaltungsgericht Wien (Österreich), eingereicht am 16.3.2022

1. Welche inhaltlichen Erfordernisse muss eine erteilte Auskunft erfüllen, um als ausreichend „aussagekräftig“ iSd Art. 15 Abs. 1 lit. h DS-GVO eingestuft zu werden?

Sind – allenfalls unter Wahrung eines bestehenden Betriebsgeheimnisses – im Falle eines Profilings vom Verantwortlichen iRd Beauskunftung der „involvierten Logik“ grundsätzlich auch die für die Ermöglichung der Nachvollziehbarkeit des Ergebnisses der automatisierten Entscheidung im Einzelfall wesentlichen Informationen, worunter insbesondere 1) die Bekanntgabe der verarbeiteten Daten des Betroffenen, 2) die Bekanntgabe der für die Ermöglichung der Nachvollziehbarkeit erforderlichen Teile des dem Profiling zu Grunde gelegenen Algorithmus und 3) die maßgeblichen Informationen zur Erschließung des Zusammenhangs zwischen verarbeiteter Information und erfolgter Valuierung zählen, bekannt zu geben ?

Sind in Fällen, welche ein Profiling zum Gegenstand haben, dem Auskunftsberechtigten iSd Art. 15 Abs. 1 lit. h DS-GVO auch im Falle des Einwands eines Betriebsgeheimnisses jedenfalls nachfolgende Informationen zur konkreten ihn betreffenden Verarbeitung bekannt zu geben, um ihm die Wahrung seiner Rechte aus Art. 22 Abs. 3 DS-GVO zu ermöglichen:

a) Übermittlung aller allenfalls pseudoanonymisierter Informationen, insbesondere zur Weise der Verarbeitung der Daten des Betroffenen, die die Überprüfung der Einhaltung der DS-GVO erlauben,

b) Zurverfügungstellung der zur Profilerstellung verwendeten Eingabedaten,

c) die Parameter und Eingangsvariablen, welche bei der Bewertungsermittlung herangezogen wurden,

d) der Einfluss dieser Parameter und Eingangsvariablen auf die errechnete Bewertung,

e) Informationen zum Zustandekommen der Parameter bzw. Eingangsvariablen,

f) Erklärung, weshalb der Auskunftsberechtigte iSd Art. 15 Abs. 1 lit. h DS-GVO einem bestimmten Bewertungsergebnis zugeordnet wurde, und Darstellung, welche Aussage mit dieser Bewertung verbunden wurde,

g) Aufzählung der Profilkategorien und Erklärung, welche Bewertungsaussage mit jeder der Profilkategorien verbunden ist

2) Steht das durch Art. 15 Abs. 1 lit. h DS-GVO gewährte Auskunftsrecht mit den durch Art. 22 Abs. 3 DS-GVO garantierten Rechten auf Darlegung des eigenen Standpunkts und auf Bekämpfung einer erfolgten automatisierten Entscheidung iSd Art. 22 DS-GVO insofern in einem Zusammenhang, als der Umfang der auf Grund eines Auskunftsbegehrens iSd Art. 15 Abs. 1 lit. h DS-GVO zu erteilenden Informationen nur dann ausreichend „aussagekräftig“ ist, wenn der Auskunftsbegehrende und Betroffene iSd Art. 15 Abs. 1 lit. h DS-GVO in die Lage versetzt wird, die ihm durch Art. 22 Abs. 3 DS-GVO garantierten Rechte auf Darlegung seines eigenen Standpunkts und auf Bekämpfung der ihn betreffenden automatisierten Entscheidung iSd Art. 22 DS-GVO tatsächlich, profund und erfolgversprechend wahrzunehmen?

3a) Ist Art. 15 Abs. 1 lit. h DS-GVO dahingehend auszulegen, dass nur dann von einer „aussagekräftigen Information“ iSd Bestimmung auszugehen ist, wenn diese Information so weitgehend ist, dass es dem Auskunftsberechtigten iSd Art. 15 Abs. 1 lit. h DS-GVO möglich ist festzustellen, ob diese erteilte Information auch den Tatsachen entspricht, daher ob der konkret angefragten automatisierten Entscheidung auch tatsächlich die bekannt gegebenen Informationen zugrunde gelegen sind?

3b) Bejahendenfalls: Wie ist vorzugehen, wenn die Richtigkeit der von einem Verantwortlichen erteilten Information nur dadurch überprüft zu werden vermag, wenn auch von der DS-GVO geschützte Daten Dritter dem Auskunftsberechtigten iSd Art. 15 Abs. 1 lit. h DS-GVO zur Kenntnis gebracht werden müssen (Black-Box)?

Kann dieses Spannungsverhältnis zwischen dem Auskunftsrecht iSd Art. 15 Abs. 1 DS-GVO und dem Datenschutzrecht Dritter auch dadurch aufgelöst werden, indem die für die Richtigkeitsüberprüfung erforderlichen Daten Dritter, welche ebenfalls demselben Profiling unterzogen wurden, ausschließlich der Behörde oder dem Gericht offengelegt werden, sodass die Behörde oder das Gericht eigenständig zu überprüfen hat, ob die bekannt gegebenen Daten dieser dritten Personen den Tatsachen entsprechen?

3c) Bejahendenfalls: Welche Rechte haben dem Auskunftsberechtigten iSd Art. 15 Abs. 1 lit. h DS-GVO im Falle der Gebotenheit der Gewährleistung des Schutzes fremder Rechte iSd Art. 15 Abs. 4 DS-GVO durch die Schaffung der unter Punkt 3 b) angesprochenen Black-Box jedenfalls eingeräumt zu werden?

Sind dem Auskunftsberechtigten iSd Art. 15 Abs. 1 lit. h DS-GVO in diesem Fall jedenfalls die für die Ermöglichung der Überprüfbarkeit der Richtigkeit der Entscheidungsfindung vom Verantwortlichen iSd Art. 15 Abs. 1 DS-GVO bekannt zu gebenden Daten anderer Personen in pseudoanonymisierter Form bekannt zu geben?

4a) Wie ist vorzugehen, wenn die zu erteilende Information iSd Art. 15 Abs. 1 lit. h DS-GVO auch die Vorgaben eines Geschäftsgeheimnisses iSd Art. 2 S. 1 der RL (EU) 2016/943v. 8.6.2016 über den Schutz vertraulichen Know-hows und vertraulicher Geschäftsinformationen (Geschäftsgeheimnisse) vor rechtswidrigem Erwerb sowie rechtswidriger Nutzung und Offenlegung, L 157/1 (Know-How-Richtlinie) erfüllt?

Kann das Spannungsverhältnis zwischen dem durch Art. 15 Abs. 1 lit. h DS-GVO garantierten Auskunftsrecht und dem durch die Know-How-Richtlinie geschützten Recht auf Nichtoffenlegung eines Geschäftsgeheimnisses dadurch aufgelöst werden, indem die als Geschäftsgeheimnis iSd Art. 2 S. 1 der Know-How-Richtlinie einzustufenden Informationen ausschließlich der Behörde oder dem Gericht offen gelegt werden, sodass die Behörde oder das Gericht eigenständig zu überprüfen haben, ob vom Vorliegen eines Geschäftsgeheimnisses iSd Art. 2 S. 1 der Know-How-Richtlinie auszugehen ist, und ob die vom Verantwortlichen iSd Art. 15 Abs. 1 DS-GVO erteilte Information den Tatsachen entspricht.

4b) Bejahendenfalls: Welche Rechte haben dem Auskunftsberechtigten iSd Art. 15 Abs. 1 lit. h DS-GVO im Falle der Gebotenheit der Gewährleistung des Schutzes fremder Rechte iSd Art. 15 Abs. 4 DS-GVO durch die Schaffung der unter Punkt 4 a) angesprochenen Black-Box jedenfalls eingeräumt zu werden?

Sind (auch) in diesem Falle eines Auseinanderfallens der der Behörde bzw. dem Gericht bekannt zu gebenden Informationen und der dem Auskunftsberechtigten iSd Art. 15 Abs. 1 lit. h DS-GVO bekannt zu gebenden Informationen in Fällen, welche ein Profiling zum Gegenstand haben, dem Auskunftsberechtigten iSd Art. 15 Abs. 1 lit. h DS-GVO jedenfalls nachfolgende Informationen zur konkreten ihn betreffenden Verarbeitung bekannt zu geben, um ihm die Wahrung seiner Rechte aus Art. 22 Abs. 3 DS-GVO völlig zu ermöglichen:

a) Übermittlung aller allenfalls pseudoanonymisierter Informationen, insbesondere zur Weise der Verarbeitung der Daten des Betroffenen, die die Überprüfung der Einhaltung der DS-GVO erlauben,

b) Zurverfügungstellung der zur Profilerstellung verwendeten Eingabedaten,

c) die Parameter und Eingangsvariablen, welche bei der Bewertungsermittlung herangezogen wurden,

d) der Einfluss dieser Parameter und Eingangsvariablen auf die errechnete Bewertung,

e) Informationen zum Zustandekommen der Parameter bzw. Eingangsvariablen,

f) Erklärung, weshalb der Auskunftsberechtigte iSd Art. 15 Abs. 1 lit. h DS-GVO einem bestimmten Bewertungsergebnis zugeordnet wurde, und Darstellung, welche Aussage mit dieser Bewertung verbunden wurde,

g) Aufzählung der Profilkategorien und Erklärung, welche Bewertungsaussage mit jeder der Profilkategorien verbunden ist

5) Wird durch die Bestimmung des Art. 15 Abs. 4 DS-GVO in irgendeiner Weise der Umfang der gem. Art. 15 Abs. 1 lit. h DS-GVO zu erteilenden Auskunft beschränkt.

Bejahendenfalls, in welcher Weise wird dieses Auskunftsrecht durch Art. 15 Abs. 4 DS-GVO beschränkt, und wie ist im jeweiligen Fall dieser Umfang der Einschränkung zu ermitteln?

6) Ist die Bestimmung des § 4 Abs. 6 Datenschutzgesetz, wonach „das Recht auf Auskunft der betroffenen Person gem. Art. 15 DS-GVO ggü. einem Verantwortlichen unbeschadet anderer gesetzlicher Beschränkungen in der Regel dann nicht (besteht), wenn durch die Erteilung dieser Auskunft ein Geschäfts- oder Betriebsgeheimnis des Verantwortlichen bzw. Dritter gefährdet würde,“ mit den Vorgaben des Art. 15 Abs. 1 DS-GVO iVm Art. 22 Abs. 3 DS-GVO vereinbar. Bejahendenfalls, unter welchen Vorgaben liegt eine solche Vereinbarkeit vor?

EuGH C-189/22 – ED, Vorabentscheidungsersuchen des AG München, eingereicht am 11.3.2022

1. Ist Art. 82 DS-GVO dahin auszulegen, dass dem Schadensersatzanspruch auch iRd Bemessung seiner Höhe kein Sanktionscharakter, insb. keine generelle oder spezielle Abschreckungsfunktion zukommt, sondern der Anspruch auf Schadensersatz nur eine Ausgleichs- und uU Genugtuungsfunktion hat?

2.a Ist für die Bemessung des immateriellen Schadensersatzanspruchs als Verständnis davon auszugehen, dass der Schadensersatzanspruch auch eine individuelle Genugtuungsfunktion hat – hier verstanden als das im Privaten des Verletzten bleibende Interesse, das verursachende Verhalten geahndet zu sehen, oder kommt dem Schadensersatzanspruch nur eine Ausgleichsfunktion zu – hier verstanden als die Funktion, erlittene Beeinträchtigungen zu kompensieren?

2.b.1. Wenn davon auszugehen ist, dass dem immateriellen Schadenersatzanspruch sowohl Ausgleichs- als auch Genugtuungsfunktion zukommt: Ist bei seiner Bemessung davon auszugehen, dass die Ausgleichsfunktion einen strukturellen oder zumindest als Regel-Ausnahme-Verhältnis zu sehenden Vorrang vor der Genugtuungsfunktion hat? Führt dies dazu, dass eine Genugtuungsfunktion nur bei vorsätzlichen ober grob fahrlässigen Verletzungen in Betracht kommt?

2.b.2. Wenn dem immateriellen Schadensersatzanspruch keine Genugtuungsfunktion zukommt: Führen bei seiner Bemessung nur vorsätzliche oder grob fahrlässige Datenschutzverletzungen als Beurteilung von Verursachungsbeiträgen zu zusätzlichem Gewicht?

3. Ist für das Verständnis des immateriellen Schadensersatzes in seiner Bemessung von einem strukturellen Rangverhältnis oder zumindest Regel-Ausnahme-Rangverhältnis auszugehen, bei dem das von einer Datenverletzung ausgehende Beeinträchtigungserleben weniger Gewicht hat als das mit einer Körperverletzung verknüpfte Beeinträchtigungs- und Schmerzerleben?

4. Steht einem nationalen Gericht offen, wenn von einem Schaden auszugehen ist, angesichts fehlender Schwere einen materiell nur im Geringfügigen bleibenden und damit uU von Verletztenseite oder allgemein nur als symbolisch empfundenen Schadensersatz zuzusprechen?

5. Ist für das Verständnis des immateriellen Schadensersatzes in der Beurteilung seiner Folgen davon auszugehen, dass ein Identitätsdiebstahl iSd 75. Erwägungsgrunds der DS-GVO erst dann vorliegt, wenn tatsächlich ein Straftäter die Identität des Betroffenen angenommen hat, sich also in irgendeiner Form als der Betroffene ausgegeben hat, oder liegt schon im Umstand, dass inzwischen Straftäter über Daten verfügen, die den Betroffenen identifizierbar machen, ein solcher Identitätsdiebstahl?

EuGH C-182/22 – ED, Vorabentscheidungsersuchen des AG München, eingereicht am 10.3.2022

1. Ist Art. 82 DS-GVO dahin auszulegen, dass dem Schadensersatzanspruch auch iRd Bemessung seiner Höhe kein Sanktionscharakter, insb. keine generelle oder spezielle Abschreckungsfunktion zukommt, sondern der Anspruch auf Schadensersatz nur eine Ausgleichs- und uU Genugtuungsfunktion hat?

2.a Ist für die Bemessung des immateriellen Schadensersatzanspruchs als Verständnis davon auszugehen, dass der Schadensersatzanspruch auch eine individuelle Genugtuungsfunktion hat – hier verstanden als das im Privaten des Verletzten bleibende Interesse, das verursachende Verhalten geahndet zu sehen, oder kommt dem Schadensersatzanspruch nur eine Ausgleichsfunktion zu – hier verstanden als die Funktion, erlittene Beeinträchtigungen zu kompensieren?

2.b.1. Wenn davon auszugehen ist, dass dem immateriellen Schadensersatzanspruch sowohl Ausgleichs- als auch Genugtuungsfunktion zukommt: Ist bei seiner Bemessung davon auszugehen, dass die Ausgleichsfunktion einen strukturellen oder zumindest als Regel-Ausnahmeverhältnis zu sehenden Vorrang vor der Genugtuungsfunktion hat? Führt dies dazu, dass eine Genugtuungsfunktion nur bei vorsätzlichen ober grob fahrlässigen Verletzungen in Betracht kommt?

2.b.2. Wenn dem immateriellen Schadensersatzanspruch keine Genugtuungsfunktion zukommt: Führen bei seiner Bemessung nur vorsätzliche oder grob fahrlässige Datenschutzverletzungen als Beurteilung von Verursachungsbeiträgen zu zusätzlichem Gewicht?

3. Ist für das Verständnis des immateriellen Schadensersatzes in seiner Bemessung von einem strukturellen Rangverhältnis oder zumindest Regel-Ausnahme-Rangverhältnis auszugehen, bei dem das von einer Datenverletzung ausgehende Beeinträchtigungserleben weniger Gewicht hat als das mit einer Körperverletzung verknüpfte Beeinträchtigungs- und Schmerzerleben?

4. Steht einem nationalen Gericht offen, wenn von einem Schaden auszugehen ist, angesichts fehlender Schwere einen materiell nur im Geringfügigen bleibenden und damit uU von Verletztenseite oder allgemein nur als symbolisch empfundenen Schadensersatz zuzusprechen?

5. Ist für das Verständnis des immateriellen Schadensersatzes in der Beurteilung seiner Folgen davon auszugehen, dass ein Identitätsdiebstahl iSd 75. Erwägungsgrunds der DS-GVO erst dann vorliegt, wenn tatsächlich ein Straftäter die Identität des Betroffenen angenommen hat, sich also in irgendeiner Form als der Betroffene ausgegeben hat, oder liegt schon im Umstand, dass inzwischen Straftäter über Daten verfügen, die den Betroffenen identifizierbar machen, ein solcher Identitätsdiebstahl?

EuGH C-115/22 – NADA u. a., Vorabentscheidungsersuchen der Unabhängigen Schiedskommission Wien (Österreich), eingereicht am 17.2.2022

1. Handelt es sich bei der Information, dass eine bestimmte Person einen bestimmten Dopingverstoß begangen hat und wegen dieses Verstoßes an der Teilnahme an (nationalen und internationalen) Wettkämpfen gesperrt ist, um ein „Gesundheitsdatum“ iSd DS-GVO?

2. Steht die DS-GVO – insbesondere im Hinblick auf Art. 6 Abs. 3 UAbs. 2 DS-GVO – einer nationalen Regelung entgegen, welche die Veröffentlichung des Namens der von der Entscheidung der Unabhängigen Schiedskommission betroffenen Personen, der Dauer der Sperre und Gründe hierfür vorsieht, ohne dass auf Gesundheitsdaten der betroffenen Person rückgeschlossen werden kann? Spielt es dabei eine Rolle, dass eine Veröffentlichung dieser Informationen ggü. der Allgemeinheit laut der nationalen Regelung nur dann unterbleiben kann, wenn es sich beim Betroffenen um einen Freizeitsportler, eine minderjährige Person oder eine Person handelt, die durch die Bekanntgabe von Informationen oder sonstigen Hinweisen wesentlich an der Aufdeckung von potenziellen Anti-Doping-Verstößen beigetragen hat?

3. Verlangt die DS-GVO – insbesondere im Hinblick auf die Grundsätze des Art. 5 Abs. 1 lit. a und lit. c DS-GVO – vor der Veröffentlichung in jedem Fall eine Interessenabwägung der mit einer Veröffentlichung für den Betroffenen berührten Persönlichkeitsinteressen einerseits und dem Interesse der Allgemeinheit an der Information über den von einem Sportler begangenen Anti-Doping-Verstoß andererseits?

4. Handelt es sich bei der Information, dass eine bestimmte Person einen bestimmten Dopingverstoß begangen hat und wegen dieses Verstoßes an der Teilnahme an (nationalen und internationalen) Wettkämpfen gesperrt ist, um eine Verarbeitung persönlicher Daten über strafrechtliche Verurteilungen und Straftaten iSv Art. 10 DS-GVO?

5. Bei Bejahung der Frage 4: Handelt es sich bei der gem. § 8 Anti-Doping-Bundesgesetz 2021 eingerichteten Unabhängigen Schiedskommission um eine Behörde iSd Art. 10 DS-GVO?

EuGH C-63/22 – SCHUFA Holding, Vorabentscheidungsersuchen des VG Wiesbaden, eingereicht am 1.2.2022

Das VG Wiesbaden hat dieses Vorabentscheidungsersuchen zurückgenommen.

1. Ist eine nationale Rechtsvorschrift, wie § 31 BDSG, die die Einmeldung von „Negativ-Merkmalen“ (offene Forderungsbeträge) an eine Auskunftei durch einen Gläubiger für zulässig erklärt, mit Art. 6 Abs. 1 UAbs. 1 lit. f DS-GVO vereinbar, wenn die Rechtsvorschrift die Einmeldung von Daten zur Ermittlung eines Wahrscheinlichkeitswertes/Scorewerts über die Zahlungsfähigkeit und Zahlungswilligkeit einer natürlichen Person bei kumulativem Vorliegen abschließend aufgelisteter Voraussetzungen ohne weitere Abwägung und ohne Betrachtung des Einzelfalls für zulässig erklärt?

2. Sind die einmeldende Stelle und die Wirtschaftsauskunftei gemeinsam Verantwortliche iSv Art. 26 der VO (EU) 2016/679, wenn die Wirtschaftsauskunftei die von einem Kreditinstitut eingemeldeten Daten nach der vertraglichen Gestaltung zwischen einmeldender Stelle und einer Wirtschaftsauskunftei (hier der Schufa) nicht auf ihre Richtigkeit hin zu überprüfen hat?

EuGH C-61/22 – Landeshauptstadt Wiesbaden, Vorabentscheidungsersuchen des VG Wiesbaden, eingereicht am 1.2.2022

Verstößt die Verpflichtung zur Aufnahme und Speicherung von Fingerabdrücken in Personalausweisen gem. Art. 3 Abs. 5 der VO (EU) 2019/1157 des Europäischen Parlaments und des Rates v. 20.6.2019 zur Erhöhung der Sicherheit der Personalausweise von Unionsbürgern und der Aufenthaltsdokumente, die Unionsbürgern und deren Familienangehörigen ausgestellt werden, die ihr Recht auf Freizügigkeit ausüben (ABl. L 188 v. 12.7.2019, 67) gegen höherrangiges Unionsrecht, insb.

a) gegen Art. 77 Abs. 3 AEUV

b) gegen Art. 7 und 8 GrCh

c) gegen Art. 35 Abs. 10 DS-GVO

und ist deshalb aus einem der Gründe ungültig?

EuGH C-18/22 – Ökorenta Neue Energien Ökostabil IV, Vorabentscheidungsersuchen des AG München, eingereicht am 7.1.2022

1.a. Ergibt sich bei Auslegung von Art. 6 Abs. 1 S. 1 lit. b und lit. f DS-GVO, dass bei einer Publikumspersonengesellschaft schon die Beteiligung an der Gesellschaft als nicht persönlich und nur gering haftender und nicht geschäftsführender Gesellschafter genügt, um „berechtigtes Interesse“ an Auskunft über alle mittelbar über einen Treuhänder beteiligten Gesellschafter, deren Erreichbarkeit und deren Beteiligung an der Publikumspersonengesellschaft zu bejahen und dem Gesellschaftsvertrag eine entsprechende vertragliche Verpflichtung zu entnehmen,

1.b. oder beschränkt sich unter solchen Bedingungen das berechtigte Interesse darauf, von der Gesellschaft Auskunft über diejenigen mittelbar Beteiligten zu erhalten, die nicht gering haften, sondern eine Mindestquote innehaben, die einen Einfluss auf die Geschicke der Gesellschaft zumindest in Betracht kommen lässt.

2.a Genügt, um bei einem solchen unbeschränkten Anspruch (1a) dessen immanente Grenze eines Rechtsmissbrauchs nicht zu überschreiten, oder von der Beschränkung eines beschränkten Auskunftsanspruch (1b) eine Ausnahme zu machen, eine Absicht der Kontaktaufnahme zu einem Kennenlernen, einem Meinungsaustausch oder Verhandlungen über den Abkauf von Gesellschaftsanteilen,

2.b oder kommt ein Interesse an Auskunft erst als relevant in Betracht, wenn eine Weitergabe unter der ausdrücklichen Absicht gefordert wird, um Kontakt zu anderen Gesellschaftern aufzunehmen, um von diesen wegen konkret benannter Anlässe, die eine Willensbildung iRv Beschlüssen der Gesellschafter erforderlich machen, Koordinierung einzufordern.

EuGH C-17/22 – HTB Neunte Immobilien Portfolio, Vorabentscheidungsersuchen des AG München, eingereicht am 7.1.2022

1.a. Ergibt sich bei Auslegung von Art. 6 Abs. 1 S. 1 lit. b und lit. f DS-GVO, dass bei einer Publikumspersonengesellschaft schon die Beteiligung an der Gesellschaft als nicht persönlich und nur gering haftender und nicht geschäftsführender Gesellschafter genügt, um „berechtigtes Interesse" an Auskunft über alle mittelbar über einen Treuhänder beteiligten Gesellschafter, deren Erreichbarkeit und deren Beteiligung an der Publikumspersonengesellschaft zu bejahen und dem Gesellschaftsvertrag eine entsprechende vertragliche Verpflichtung zu entnehmen,

1.b. oder beschränkt sich unter solchen Bedingungen das berechtigte Interesse darauf, von der Gesellschaft Auskunft über diejenigen mittelbar Beteiligten zu erhalten, die nicht gering haften, sondern eine Mindestquote innehaben, die einen Einfluss auf die Geschicke der Gesellschaft zumindest in Betracht kommen lässt.

2.a Genügt, um bei einem solchen unbeschränkten Anspruch (1a) dessen immanente Grenze eines Rechtsmissbrauchs nicht zu überschreiten, oder von der Beschränkung eines beschränkten Auskunftsanspruch (1b) eine Ausnahme zu machen, eine Absicht der Kontaktaufnahme zu einem Kennenlernen, einem Meinungsaustausch oder Verhandlungen über den Abkauf von Gesellschaftsanteilen,

2.b oder kommt ein Interesse an Auskunft erst als relevant in Betracht, wenn eine Weitergabe unter der ausdrücklichen Absicht gefordert wird, um Kontakt zu anderen Gesellschaftern aufzunehmen, um von diesen wegen konkret benannter Anlässe, die eine Willensbildung iRv Beschlüssen der Gesellschafter erforderlich machen, Koordinierung einzufordern.

EuGH C-768/21 – Land Hessen, Vorabentscheidungsersuchen des VG Wiesbaden, eingereicht am 14.12.2021

Sind Art. 57 Abs. 1 lit. a, lit. f und Art. 58 Abs. 2 lit. a–j DS-GVO iVm Art. 77 Abs. 1 DS-GVO dahingehend auszulegen, dass in dem Fall, dass die Aufsichtsbehörde eine Datenverarbeitung feststellt, die den Betroffenen in seinen Rechten verletzt, die Aufsichtsbehörde stets verpflichtet ist, nach Art. 58 Abs. 2 DS-GVO einzuschreiten?

EuGH C-741/21 – juris, Vorabentscheidungsersuchen des LG Saarbrücken, eingereicht am 1.12.2021

1. Ist der Begriff des immateriellen Schadens in Art. 82 Abs. 1 DS-GVO im Hinblick auf den Erwägungsgrund 85 und den Erwägungsgrund 146 S. 3 VO (EU) 2016/679 in dem Sinne zu verstehen, dass er jede Beeinträchtigung der geschützten Rechtsposition erfasst, unabhängig von deren sonstigen Auswirkungen und deren Erheblichkeit?

2. Wird die Haftung auf Schadensersatz gem. Art. 82 Abs. 3 DS-GVO dadurch ausgeschlossen, dass der Rechtsverstoß auf menschliches Versagen im Einzelfall einer iSv Art. 29 DS-GVO unterstellten Person zurückgeführt wird?

3. Ist bei der Bemessung des immateriellen Schadensersatzes eine Orientierung an den in Art. 83 DS-GVO, insbesondere Art. 83 Abs. 2 und Abs. 5 DS-GVO genannten Zumessungskriterien erlaubt bzw. geboten?

4. Ist der Schadensersatz für jeden einzelnen Verstoß zu bestimmen oder werden mehrere – zumindest mehrere gleichgelagerte – Verstöße mit einer Gesamtentschädigung sanktioniert, die nicht durch eine Addition von Einzelbeträgen ermittelt wird, sondern auf einer wertenden Gesamtbetrachtung beruht?

EuGH C-667/21 – Krankenversicherung Nordrhein, Vorabentscheidungsersuchen des BAG, eingereicht am 8.11.2021, = ZD 2024, 146

1. Ist Art. 9 Abs. 2 lit. h DS-GVO dahin auszulegen, dass es einem Medizinischen Dienst einer Krankenkasse untersagt ist, Gesundheitsdaten seines Arbeitnehmers, die Voraussetzung für die Beurteilung der Arbeitsfähigkeit dieses Arbeitnehmers sind, zu verarbeiten?

2. Für den Fall, dass der Gerichtshof die Frage zu 1. verneinen sollte mit der Folge, dass nach Art. 9 Abs. 2 lit. h DS-GVO eine Ausnahme von dem in Art. 9 Abs. 1 DS-GVO bestimmten Verbot der Verarbeitung von Gesundheitsdaten in Betracht käme: Sind in einem Fall wie hier über die in Art. 9 Abs. 3 DS-GVO bestimmten Maßgaben hinaus weitere, ggf. welche Datenschutzvorgaben zu beachten?

3. Für den Fall, dass der Gerichtshof die Frage zu 1. verneinen sollte mit der Folge, dass nach Art. 9 Abs. 2 lit. h DS-GVO eine Ausnahme von dem in Art. 9 Abs. 1 DS-GVO bestimmten Verbot der Verarbeitung von Gesundheitsdaten in Betracht käme: Hängt in einem Fall wie hier die Zulässigkeit bzw. Rechtmäßigkeit der Verarbeitung von Gesundheitsdaten zudem davon ab, dass mindestens eine der in Art. 6 Abs. 1 DS-GVO genannten Voraussetzungen erfüllt ist?

4. Hat Art. 82 Abs. 1 DS-GVO spezial- bzw. generalpräventiven Charakter und muss dies bei der Bemessung der Höhe des zu ersetzenden immateriellen Schadens auf der Grundlage von Art. 82 Abs. 1 DS-GVO zulasten des Verantwortlichen bzw. Auftragsverarbeiters berücksichtigt werden?

5. Kommt es bei der Bemessung der Höhe des zu ersetzenden immateriellen Schadens auf der Grundlage von Art. 82 Abs. 1 DS-GVO auf den Grad des Verschuldens des Verantwortlichen bzw. Auftragsverarbeiters an? Insbesondere, darf ein nicht vorliegendes oder geringes Verschulden auf Seiten des Verantwortlichen bzw. Auftragsverarbeiters zu dessen Gunsten berücksichtigt werden?

EuGH C-552/21 – SCHUFA Holding ua, Vorabentscheidungsersuchen des VG Wiesbaden, eingereicht am 7.9.2021

Das VG Wiesbaden hat dieses Vorabentscheidungsersuchen zurückgenommen.

1. Ist Art. 77 Abs. 1 iVm Art. 78 Abs. 1 der VO (EU) 2016/679 des Europäische Parlaments und des Rates v. 27.4.2016 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten, zum freien Datenverkehr und zur Aufhebung der RL 95/46/EG (DS-GVO) dahingehend zu verstehen, dass das Ergebnis der Aufsichtsbehörde, welches diese dem Betroffenen mitteilt,

a) den Charakter der Bescheidung einer Petition hat?

Dies mit der Folge, dass die gerichtliche Kontrolle einer aufsichtsbehördlichen Beschwerdeentscheidung nach Art. 78 Abs. 1 DS-GVO sich grundsätzlich darauf beschränkt, ob die Behörde sich mit der Beschwerde befasst, den Beschwerdegegenstand angemessen untersucht und den Beschwerdeführer über das Ergebnis der Prüfung unterrichtet hat, oder

b) als eine behördliche Sachentscheidung zu verstehen ist?

Dies mit der Folge, dass die gerichtliche Kontrolle einer aufsichtsbehördlichen Beschwerdeentscheidung nach Art. 78 Abs. 1 DS-GVO dazu führt, dass die Sachenscheidung voll inhaltlich von dem Gericht zu überprüfen ist, wobei im Einzelfall – zB bei einer Ermessensreduzierung auf Null – die Aufsichtsbehörde durch das Gericht auch zu einer konkreten Maßnahme iSd Art. 58 DS-GVO verpflichtet werden kann.

2. Ist eine Datenspeicherung bei einer privaten Wirtschaftsauskunftei, bei der personenbezogene Daten aus einem öffentlichen Register, wie den „nationalen Datenbanken“ iSd Art. 79 Abs. 4 und 5 der VO (EU) 2015/848 des Europäischen Parlaments und des Rates v. 20.5.2015 über Insolvenzverfahren (ABl. L 141/19v. 5.6.2015), ohne konkreten Anlass gespeichert werden, um im Falle einer Anfrage eine Auskunft erteilen zu können, mit Art. 7 und 8 GRCh vereinbar?

3. Sind private Paralleldatenbanken (insbesondere Datenbanken einer Auskunftei), die neben den staatlichen Datenbanken errichtet werden und in denen die Daten aus den staatlichen Datenbanken (hier Insolvenzbekanntmachungen) länger gespeichert werden, als in dem engen Rahmen der VO (EU) 2015/848 iVm dem nationalen Recht geregelt, grundsätzlich zulässig oder ergibt sich aus dem Recht auf Vergessen nach Art. 17 Abs. 1 lit. d DS-GVO, dass diese Daten zu löschen sind, wenn

a) eine mit dem öffentlichen Register identische Verarbeitungsdauer vorgesehen ist, oder

b) eine Speicherdauer vorgesehen ist, die über die für öffentliche Register vorgesehene Speicherfrist hinausgeht?

4. Soweit Art. 6 Abs. 1 UAbs. 1 lit. f DS-GVO als alleinige Rechtsgrundlage für eine Datenspeicherung bei privaten Wirtschaftsauskunfteien hinsichtlich der auch in öffentlichen Registern gespeicherten Daten in Betracht kommt, ist dann ein berechtigtes Interesse einer Wirtschaftsauskunftei schon dann zu bejahen, wenn diese Auskunftei die Daten aus dem öffentlichen Verzeichnis ohne konkreten Anlass übernimmt, damit diese Daten dann bei einer Anfrage zur Verfügung stehen?

5. Dürfen Verhaltensregeln, die von den Aufsichtsbehörden nach Art. 40 DS-GVO genehmigt worden sind und Prüf- und Löschfristen vorsehen, die über die Speicherfristen öffentlicher Register hinausgehen, die nach des Art. 6 Abs. 1 UAbs. 1 lit. f DS-GVO vorgegebene Abwägung suspendieren?

EuGH C-446/21 – Schrems, Vorabentscheidungsersuchen des ÖOGH (Österreich), eingereicht am 20.7.2021

1. Sind die Bestimmungen der Art. 6 Abs. 1 lit. a und lit. b DS-GVO dahingehend auszulegen, dass die Rechtmäßigkeit von Vertragsbestimmungen in allgemeinen Nutzungsbedingungen über Plattformverträge wie jenem im Ausgangsverfahren (insbesondere Vertragsbestimmungen wie: „Anstatt dafür zu zahlen … erklärst du dich durch Nutzung der Facebook-Produkte, für die diese Nutzungsbedingungen gelten, einverstanden, dass wir dir Werbeanzeigen zeigen dürfen … Wir verwenden deine personenbezogenen Daten … um dir Werbeanzeigen zu zeigen, die relevanter für dich sind.“), die die Verarbeitung von personenbezogenen Daten für Aggregation und Analyse von Daten zum Zwecke der personalisierten Werbung beinhalten, nach den Anforderungen des Art. 6 Abs. 1 lit. a DS-GVO iVm 7 DS-GVO zu beurteilen sind, die nicht durch die Berufung auf Art. 6 Abs. 1 lit. b DS-GVO ersetzt werden können?

2. Ist Art. 5 Abs. 1 lit. c DS-GVO (Datenminimierung) dahin auszulegen, dass alle personenbezogenen Daten, über die eine Plattform wie im Ausgangsverfahren verfügt (insbesondere durch den Betroffenen oder durch Dritte auf und außerhalb der Plattform), ohne Einschränkung nach Zeit oder Art der Daten für Zwecke der zielgerichteten Werbung aggregiert, analysiert und verarbeitet werden können?

3. Ist Art. 9 Abs. 1 DS-GVO dahin auszulegen, dass er auf die Verarbeitung von Daten anzuwenden ist, die eine gezielte Filterung von besonderen Kategorien personenbezogener Daten wie politische Überzeugung oder sexuelle Orientierung (etwa für Werbung) erlaubt, auch wenn der Verantwortliche zwischen diesen Daten nicht differenziert?

4. Ist Art. 5 Abs. 1 lit. b DS-GVO iVm Art. 9 Abs. 2 lit. e DS-GVO dahin auszulegen, dass eine Äußerung über die eigene sexuelle Orientierung für die Zwecke einer Podiumsdiskussion die Verarbeitung von anderen Daten zur sexuellen Orientierung für Zwecke der Aggregation und Analyse von Daten zum Zwecke der personalisierten Werbung erlaubt?

EuGH C-701/20 – Avis Autovermietung Gesellschaft mbH gegen Verein für Konsumenteninformation, Vorabentscheidungsersuchen des ÖOGH (Österreich), eingereicht am 22.12.2020

Das ÖOGH hat dieses Vorabentscheidungsersuchen zurückgenommen.

Stehen die Regelungen in Kapitel VIII, insbesondere in Art. 80 Abs. 1 und 2 sowie 84 Abs. 1 der VO (EU) 2016/679 des Europäischen Parlaments und des Rates v. 27.4.2016 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten, zum freien Datenverkehr und zur Aufhebung der RL 95/46/EG (DS-GVO) nationalen Regelungen entgegen, die – neben den Eingriffsbefugnissen der zur Überwachung und Durchsetzung der VO zuständigen Aufsichtsbehörden und den Rechtsschutzmöglichkeiten der betroffenen Personen – einerseits Mitbewerbern und andererseits nach dem nationalen Recht berechtigten Verbänden, Einrichtungen und Kammern die Befugnis einräumen, wegen Verstößen gegen die DS-GVO unabhängig von der Verletzung konkreter Rechte einzelner betroffener Personen und ohne Auftrag einer betroffenen Person gegen den Verletzter im Wege einer Klage vor den Zivilgerichten unter den Gesichtspunkten des Verbots der Vornahme unlauterer Geschäftspraktiken oder des Verstoßes gegen ein Verbraucherschutzgesetz oder des Verbots der Verwendung unwirksamer Allgemeiner Geschäftsbedingungen vorzugehen?

 

Anzeigen:

ZD 4Wochen Testabonnement

beck-online DatenschutzR

Teilen:

Menü