CHB_RSW_Logo_mit_Welle_trans
Zeitschrift für Datenschutz | Banner

DS-GVO-Vorlagefragen an den EuGH

Dr. Kevin Leibold, LL. M., ist Rechtsanwalt; auf Twitter/X unter: @kleibold23.
ZD-Aktuell 2024, 01770   Hier findet sich eine von Dr. Kevin Leibold, LL. M., erstellte Übersicht über die DS-GVO-Vorlagefragen an den EuGH mit Stand vom 8.6.2024.

Vorabentscheidungs-ersuchen

Vorlagefragen

NEU: AG Arnsberg Beschl. v. 2.5.2024 – 42 C 434/23

1. Ist Art. 12 Abs. 5 S. 2 DS-GVO dahingehend auszulegen, dass ein exzessiver Antrag auf Auskunft durch den Betroffenen nicht bei der ersten Antragstellung gegenüber dem Verantwortlichen vorliegen kann?

2. Ist Art. 12 Abs. 5 S. 2 DS-GVO dergestalt auszulegen, dass der Verantwortliche ein Auskunftsersuchen des Betroffenen verweigern kann, wenn der Betroffene beabsichtigt, mit dem Auskunftsersuchen Schadenersatzansprüche gegen den Verantwortlichen zu provozieren.

3. Ist Art. 12 Abs. 5 S. 2 DS-GVO dahingehend auszulegen, dass öffentlich zugängliche Informationen über den Betroffenen, die den Schluss zulassen, dass dieser in einer Vielzahl von Fällen bei Datenschutzverstößen Schadenersatzansprüche gegen Verantwortliche geltend macht, die Verweigerung der Auskunft rechtfertigen können?

4. Ist Art. 4 Nr. 2 DS-GVO dergestalt auszulegen, dass das Auskunftsersuchen eines Betroffenen gegenüber dem Verantwortlichen gem. Art. 15 Abs. 1 DS-GVO und/oder dessen Beantwortung eine Verarbeitung iSv Art. 4 Nr. 2 DS-GVO darstellt?

5. Ist Art. 82 Abs. 1 DS-GVO in Ansehung von Erwägungsgrund 146 S. 1 DS-GVO dahingehend auszulegen, dass lediglich diejenigen Schäden ersatzfähig sind, die dem Betroffenen aufgrund einer Verarbeitung entstehen bzw. entstanden sind? Bedeutet dies, dass für einen Schadenersatzanspruch nach Art. 82 Abs. 1 DS-GVO — das Vorliegen eines kausalen Schadens des Betroffenen unterstellt — zwingend eine Verarbeitung der personenbezogenen Daten des Betroffenen vorgelegen haben muss?

6. Falls Frage 5 bejaht wird: Führt dies dazu, dass dem Betroffenen — das Vorliegen eines kausalen Schadens unterstellt — allein aus der Verletzung seines Auskunftsrechts nach Art. 15 Abs. 1 DS-GVO kein Schadenersatzanspruch nach Art. 82 Abs. 1 DS-GVO zusteht?

7. Ist Art. 82 Abs. 1 DS-GVO dergestalt auszulegen, dass der Rechtsmissbrauchseinwand des Verantwortlichen in Bezug auf ein Auskunftsersuchen des Betroffenen in Ansehung des Unionsrechts nicht darin bestehen kann, dass der Betroffene die Verarbeitung seiner personenbezogenen Daten allein oder unter anderem deswegen herbeigeführt hat, um Schadenersatzansprüche geltend zu machen?

8. Falls die Fragen 5 und 6 verneint werden: Stellt allein der mit einem Verstoß gegen Art. 15 Abs. 1 DS-GVO einhergehende Kontrollverlust und/oder die Ungewissheit über die Verarbeitung der personenbezogenen Daten des Betroffenen einen immateriellen Schaden des Betroffenen iSd Art. 82 Abs. 1 DS-GVO dar oder bedarf es darüber hinaus einer weiteren (objektiven oder subjektiven) Einschränkung und/oder (spürbaren) Beeinträchtigung des Betroffenen?

NEU: EuGH – C-345/24 – AGCOM, Vorabentscheidungsersuchen des Consiglio di Stato (Italien), eingereicht am 10.5.2024

 

NEU: EuGH – C-312/24 – Darashev, Vorabentscheidungsersuchen des Sofiyski rayonen sad (Bulgarien), eingereicht am 29.4.2024

 

NEU: EuGH – C-199/24 – ND/Garrapatica AB, Vorabentscheidungsersuchen des Attunda tingsrätt (Schweden), eingereicht am 13.3.2024

1. Ermöglicht Art. 85 Abs. 1 der DS-GVO es den Mitgliedstaaten, über die ihnen gem. Art. 85 Abs. 2 DS-GVO obliegenden Aufgaben hinaus Gesetzgebungsmaßnahmen in Bezug auf die Verarbeitung personenbezogener Daten zu erlassen, die zu anderen als journalistischen Zwecken oder zu wissenschaftlichen, künstlerischen oder literarischen Zwecken erfolgt?

2. Falls die vorstehende Frage zu bejahen ist: Erlaubt Art. 85 Abs. 1 DS-GVO, das Recht auf den Schutz personenbezogener Daten gemäß dieser Verordnung dadurch mit dem Recht auf freie Meinungsäußerung und Informationsfreiheit in Einklang zu bringen, dass Personen, deren personenbezogenen Daten in der Form verarbeitet werden, dass Angaben zu strafrechtlichen Verurteilungen dieser Personen der Öffentlichkeit gegen Entgelt im Internet zugänglich gemacht werden, sich hiergegen rechtlich nur dadurch wehren können, dass sie Strafanzeige wegen Verleumdung stellen oder Schadensersatz wegen Verleumdung verlangen?

3. Falls die erste Frage oder die zweite Frage verneint wird: Kann eine Tätigkeit, die darin besteht, ohne Anpassung oder redaktionelle Überarbeitung öffentliche Dokumente, nämlich strafrechtliche Verurteilungen, der Öffentlichkeit gegen Entgelt im Internet zugänglich zu machen, als Verarbeitung personenbezogener Daten angesehen werden, die zu den in Art. 85 Abs. 2 DS-GVO genannten Zwecken erfolgt?

EuGH – C-710/23 – Ministerstvo zdravotnictví II, Vorabentscheidungsersuchen des Nejvyšší správní soud (Tschechische Republik), eingereicht am 22.11.2023

1. Handelt es sich bei der Offenlegung des Vornamens, des Nachnamens, der Unterschrift und der Kontaktdaten einer natürlichen Person als Geschäftsführer oder verantwortlichem Vertreter einer juristischen Person, die ausschließlich zum Zweck der Identifizierung der (Person, die befugt ist, im Namen der bestimmten) juristischen Person (zu handeln) erfolgt, dennoch um die Verarbeitung „personenbezogener Daten“ über diese natürliche Person gem. Art. 4 Ziff. 1 DS-GVO und fällt sie somit in den Anwendungsbereich der DS-GVO?

2. Kann das nationale Recht, einschließlich der ständigen Rechtsprechung der Gerichte, die Anwendung einer unmittelbar anwendbaren EU-Verordnung durch eine Verwaltungsbehörde, konkret Art. 6 Abs. 1 lit. c oder lit. e DS-GVO, von der Erfüllung weiterer Bedingungen abhängig machen, die sich nicht aus dem Wortlaut der Verordnung selbst ergeben, die aber das Schutzniveau für die betroffenen Personen tatsächlich erhöhen, konkret von der Verpflichtung der Behörde, die betroffene Person im Voraus über einen Antrag auf Weitergabe ihrer personenbezogenen Daten an einen Dritten zu informieren?

EuGH – C-683/23 – Encarna, Vorabentscheidungsersuchen des Juzgado de Primera Instancia de Barcelona (Spanien), eingereicht am 14.11.2023

1. Verstößt die Weitergabe der personenbezogenen Daten der Parteien sowie von Mädchen, Jungen und Jugendlichen durch das Gericht an den Elternbeistand und die Genehmigung des Zugangs zu ihren in Archiven Dritter (einschließlich Patientenakten) verarbeiteten personenbezogenen Daten ohne Rechtsvorschrift gegen Art. 6 Abs. 4 DS-GVO?

2. Wenn das Gericht die personenbezogenen Daten der Parteien und der Mädchen, Jungen und Jugendlichen weitergeben darf: Verstößt die Weitergabe dieser Daten durch das Gericht an den Elternbeistand gegen Art. 16 AEUV sowie Art. 7 GRCh (Achtung des Privat- und Familienlebens), Art. 8 GRCh (Schutz personenbezogener Daten) und Art. 52 GRCh (Tragweite und Auslegung der Rechte und Grundsätze) der Charta der Grundrechte der Europäischen Union?

3. Steht die Weitergabe von Daten an den Elternbeistand ohne vorherige Anhörung des Minderjährigen hierzu und ohne Würdigung des Kindeswohls im Einklang mit Art. 6 Abs. 4 DS-GVO iVm Art. 24 GRCh?

4. Verstößt es gegen Art. 48 Abs. 1 des Übereinkommens von Istanbul, der es untersagt, verpflichtende alternative Mittel der Streitbeilegung einzusetzen, in Verbindung mit den Art. 7 und 24 GRCh, dass die Daten des Minderjährigen für Entscheidungen, die die Ausübung der elterlichen Verantwortung und/oder der Personensorge und/oder die Besuchsregelung betreffen, in Fällen, in denen eine Gewaltsituation vorliegt, an den Elternbeistand weitergegeben werden?

5. Verstößt es gegen Art. 47 GRCh (Recht auf einen wirksamen Rechtsbehelf), wenn das Gericht die personenbezogenen Daten der Parteien weitergeben darf und infolge dieser Weitergabe die Kosten des Elternbeistands, weil sie vom Gericht auferlegt werden, zwangsläufig von den Parteien zu tragen sind, obwohl sie ein anerkanntes Recht auf Prozesskostenhilfe haben?

NEU: EuGH – C-655/23 – Quirin Privatbank, Vorabentscheidungsersuchen des BGH, eingereicht am 7.11.2023

1.

a) Ist Art. 17 DS-GVO dahingehend auszulegen, dass der betroffenen Person, deren personenbezogene Daten von dem Verantwortlichen unrechtmäßig durch Weiterleitung offengelegt wurden, ein Anspruch gegen den Verantwortlichen auf Unterlassung einer erneuten unrechtmäßigen Weiterleitung dieser Daten zusteht, wenn sie vom Verantwortlichen keine Löschung der Daten verlangt?

b) Kann sich ein solcher Unterlassungsanspruch (auch) aus Art. 18 DS-GVO oder einer sonstigen Bestimmung der DS-GVO ergeben?

2. Falls Fragen 1 a) und/oder 1 b) bejaht werden:

a) Besteht der unionsrechtliche Unterlassungsanspruch nur dann, wenn künftig weitere Beeinträchtigungen der sich aus der DS-GVO ergebenden Rechte der betroffenen Person zu besorgen sind (Wiederholungsgefahr)?

b) Wird das Bestehen der Wiederholungsgefahr gegebenenfalls aufgrund des bereits vorliegenden Verstoßes gegen die DS-GVO vermutet?

3. Falls Fragen 1 a) und 1b) verneint werden:

Sind Art. 84 iVm Art. 79 DS-GVO dahingehend auszulegen, dass sie es dem nationalen Richter erlauben, der betroffenen Person, deren personenbezogene Daten von dem Verantwortlichen unrechtmäßig durch Weiterleitung offengelegt wurden, neben dem Ersatz des materiellen oder immateriellen Schadens nach Art. 82 DS-GVO und den sich aus Art. 17 und Art. 18 DS-GVO ergebenden Ansprüchen einen Anspruch gegen den Verantwortlichen auf Unterlassung einer erneuten unrechtmäßigen Weiterleitung dieser Daten nach den Bestimmungen des nationalen Rechts zuzusprechen?

4. Ist Art. 82 Abs. 1 DS-GVO dahingehend auszulegen, dass für die Annahme eines immateriellen Schadens im Sinne dieser Bestimmung bloße negative Gefühle wie zB Ärger, Unmut, Unzufriedenheit, Sorge und Angst, die an sich Teil des allgemeinen Lebensrisikos und oft des täglichen Erlebens sind, genügen? Oder ist für die Annahme eines Schadens ein über diese Gefühle hinausgehender Nachteil für die betroffene natürliche Person erforderlich?

5. Ist Art. 82 Abs. 1 DS-GVO dahingehend auszulegen, dass bei der Bemessung der Höhe des zu ersetzenden immateriellen Schadens der Grad des Verschuldens des Verantwortlichen oder Auftragsverarbeiters bzw. seiner Mitarbeiter ein relevantes Kriterium darstellt?

6. Falls Fragen 1 a), 1b) oder 3 bejaht werden: Ist Art. 82 Abs. 1 DS-GVO dahingehend auszulegen, dass bei der Bemessung der Höhe des zu ersetzenden immateriellen Schadens als anspruchsmindernd berücksichtigt werden kann, dass der betroffenen Person neben dem Anspruch auf Schadensersatz ein Unterlassungsanspruch zusteht?

EuGH – C-654/23 – Inteligo Media, Vorabentscheidungsersuchen des Curtea de Apel Bucureşti (Rumänien), eingereicht am 2.11.2023

1. Falls ein Herausgeber eines Onlinemediums zur Information der breiten Öffentlichkeit, nicht eines Fachpublikums, über Gesetzesänderungen, die in Rumänien täglich bekannt gemacht werden, die E-­Mail-Adresse eines Nutzers erhält, sobald dieser unentgeltlich ein Benutzerkonto erstellt, das ihm das Recht verleiht, (i) kostenlosen Zugang zu einer zusätzlichen Anzahl von Artikeln des betreffenden Mediums zu bekommen; (ii) per E-­Mail einen täglichen Newsletter zu erhalten, der eine Zusammenfassung neuer Rechtsvorschriften, die in Artikeln innerhalb des Mediums behandelt werden, sowie Hyperlinks zu den jeweiligen Artikeln enthält; und (iii) gegen Bezahlung Zugang zu zusätzlichen und/oder im Verhältnis zur täglich kostenlos übermittelten Information ausführlichen Artikeln und Analysen des Mediums zu bekommen,

a) hat dann der Herausgeber des Onlinemediums die entsprechende E-­Mail-Adresse „im Zusammenhang mit dem Verkauf eines Produkts oder einer Dienstleistung“ iSv Art. 13 Abs. 2 RL 2002/58/EG des Europäischen Parlaments und des Rates v. 12.7.2002 über die Verarbeitung personenbezogener Daten und den Schutz der Privatsphäre in der elektronischen Kommunikation (Datenschutzrichtlinie für elektronische Kommunikation) („RL 2002/58/EG“) erhalten?

b) stellt die Übermittlung eines Newsletters wie des unter Ziffer ii beschriebenen durch den Medienherausgeber „Direktwerbung für eigene ähnliche Produkte oder Dienstleistungen“ iSv Art. 13 Abs. 2 RL 2002/58/EG dar?

2. Falls die Fragen 1 a und b bejaht werden, welche der in Art. 6 Abs. 1 lit. a bis f DS-GVO vorgesehenen Voraussetzungen sind dann als anwendbar auszulegen, wenn der Herausgeber die E-­Mail-Adresse des Nutzers zum Zweck der Übermittlung eines täglichen Newsletters wie des in Frage 1 Ziffer ii beschriebenen im Einklang mit den Erfordernissen des Art. 13 Abs. 2 RL 2002/58/EG verwendet?

3. Ist Art. 13 Abs. 1 und 2 RL 2002/58/EG dahin auszulegen, dass er einer nationalen Regelung entgegensteht, die den in Art. 2 lit. f RL 2000/31/EG des Europäischen Parlaments und des Rates v. 8.6.2000 über bestimmte rechtliche Aspekte der Dienste der Informationsgesellschaft, insbesondere des elektronischen Geschäftsverkehrs, im Binnenmarkt („Richtlinie über den elektronischen Geschäftsverkehr“) („RL 2000/31/EG“) vorgesehenen Begriff „kommerzielle Kommunikation“ anstelle des in der RL 2002/58/EG vorgesehenen Begriffs „Direktmarketing“ verwendet?

Falls nein: Stellt ein Newsletter wie der in Frage 1 Ziffer ii beschriebene eine „kommerzielle Kommunikation“ iSv Art. 2 lit. f RL 2000/31/EG dar?

4. Falls die Fragen 1 a und b verneint werden:

a) Handelt es sich bei der Übermittlung eines Newsletters wie des in Frage 1 Ziffer ii beschrieben per E-­Mail um eine „Verwendung von … elektronischer Post für die Zwecke der Direktwerbung“ iSv Art. 13 Abs. 1 RL 2002/58/EG bzw.

b) ist Art. 95 DS-GVO iVm Art. 15 Abs. 2 RL 2002/58/EG dahin auszulegen, dass die Nichterfüllung der Voraussetzungen hinsichtlich der Einholung einer wirksamen Einwilligung des Nutzers iSv Art. 13 Abs. 1 RL 2002/58/EG gem. Art. 83 DS-GVO oder gem. den nationalen Rechtsvorschriften in dem Rechtsakt zur Umsetzung der RL 2002/58/EG, der seinerseits spezifische anwendbare Sanktionen enthält, geahndet werden wird?

5. Ist Art. 83 Abs. 2 DS-GVO dahin auszulegen, dass eine Aufsichtsbehörde, die die Entscheidung über die Verhängung einer Geldbuße und über deren Betrag in jedem Einzelfall trifft, verpflichtet ist, in dem Verwaltungsakt, mit dem die Sanktion verhängt wird, die Auswirkungen jedes der unter den Buchstaben a bis k genannten Kriterien auf die Entscheidung über die Verhängung einer Geldbuße bzw. auf die Entscheidung über die Höhe der verhängten Geldbuße zu analysieren und zu erläutern?

EuGH – C-638/23 – Amt der Tiroler Landesregierung, Vorabentscheidungsersuchen des Verwaltungsgerichtshofs (Österreich), eingereicht am 24.10.2023

Ist Art. 4 Ziff. 7 DS-GVO dahingehend auszulegen, dass er der Anwendung einer Bestimmung des nationalen Rechts (wie vorliegend des § 2 Abs. 1 Tiroler Datenverarbeitungsgesetz) entgegensteht, in der zwar im Sinn des zweiten Halbsatzes des Art. 4 Ziff. 7 DS-GVO ein bestimmter Verantwortlicher vorgesehen wird, aber

- dieser eine bloße Dienststelle (wie im vorliegenden Fall das Amt der Tiroler Landesregierung) ist, die zwar gesetzlich eingerichtet, aber keine natürliche oder juristische Person und im vorliegenden Fall auch keine Behörde ist, sondern nur als Hilfsapparat für diese auftritt und über keine eigene (Teil)Rechtsfähigkeit verfügt;

- dessen Benennung ohne Bezugnahme auf eine konkrete Verarbeitung personenbezogener Daten erfolgt und daher auch keine Zwecke und Mittel einer konkreten Verarbeitung personenbezogener Daten durch das Recht des Mitgliedstaats vorgegeben werden;

- dieser im konkreten Fall weder allein noch gemeinsam mit anderen über die Zwecke und Mittel der zugrundeliegenden Verarbeitung personenbezogener Daten entschieden hat?

EuGH – C-599/23 – Obshtina Burgas u. a., Vorabentscheidungsersuchen des Rayonen sad Aytos (Bulgarien), eingereicht am 28.9.2023

 

EuGH – C-563/23 – Natsionalnata agentsia za prihodite, Vorabentscheidungsersuchen des Sofiyski rayonen sad (Bulgarien), eingereicht am 12.9.2023

1. Ist Art. 4 Ziff. 7 DS-GVO dahin auszulegen, dass eine Gerichtsbehörde, die einer anderen staatlichen Behörde den Zugang zu Daten über die Kontoguthaben steuerpflichtiger Personen gestattet, über die Zwecke oder Mittel der Verarbeitung von personenbezogenen Daten entscheidet und deshalb „Verantwortlicher“ für die Verarbeitung von personenbezogenen Daten ist?

2. Falls die erste Frage verneint wird, ist Art. 51 DS-GVO dahin auszulegen, dass eine Gerichtsbehörde, die einer anderen staatlichen Behörde den Zugang zu Daten über die Kontoguthaben steuerpflichtiger Personen gestattet, für die Überwachung [der Anwendung] dieser Verordnung verantwortlich ist und deshalb als „Aufsichtsbehörde“ in Bezug auf diese Daten zu qualifizieren ist?

3. Falls eine der vorstehenden Fragen bejaht wird, ist Art. 32 Abs. 1 lit. b DS-GVO bzw. Art. 57 Abs. 1 lit. a DS-GVO dahin auszulegen, dass eine Gerichtsbehörde, die einer anderen staatlichen Behörde den Zugang zu Daten über die Kontoguthaben steuerpflichtiger Personen gestattet, verpflichtet ist, bei Vorliegen von Daten über eine von der Stelle, der dieser Zugang gewährt werden soll, in der Vergangenheit begangene Verletzung des Schutzes personenbezogener Daten Informationen über die für den Schutz der Daten getroffenen Maßnahmen einzuholen und bei seiner Entscheidung über die Gestattung des Zugangs die Angemessenheit dieser Maßnahmen zu beurteilen?

4. Ist unabhängig von den Antworten auf die [zweite] und die [dritte] Frage Art. 79 Abs. 1 DS-GVO iVm Art. 47 GRCh dahin auszulegen, dass, wenn das nationale Recht eines Mitgliedstaats vorsieht, dass bestimmte Kategorien von Daten nur nach einer Gestattung durch ein Gericht offengelegt werden können, das hierfür zuständige Gericht den Personen, deren Daten offengelegt werden, von Amts wegen Rechtsschutz gewähren muss, indem es die Behörde, die den Zugang zu den Daten beantragt hat und von der bekannt ist, dass ihr nach einer Verletzung des Schutzes personenbezogener Daten verbindliche Anweisungen durch die Behörde nach Art. 51 Abs. 1 DS-GVO erteilt wurden, verpflichtet, Informationen zur Durchführung der ihr mit Verwaltungsentscheidung auferlegten Maßnahmen gem. Art. 58 Abs. 2 lit. d DS-GVO zur Verfügung zu stellen?

EuGH – C-507/23 – Patērētāju tiesību aizsardzības centrs, Vorabentscheidungsersuchen des Augstākā tiesa (Lettland), eingereicht am 8.8.2023

1. Ist Art. 82 Abs. 1 DS-GVO dahin auszulegen, dass die rechtswidrige Verarbeitung personenbezogener Daten als Verstoß gegen diese Verordnung für sich genommen einen ungerechtfertigten Eingriff in das subjektive Recht einer Person auf den Schutz ihrer Daten und einen dieser Person zugefügten Schaden darstellen kann?

2. Ist Art. 82 Abs. 1 DS-GVO dahin auszulegen, dass er gestattet, dass dann, wenn keine Möglichkeit zur Wiederherstellung des Zustands vor der Verursachung des Schadens besteht, als einziger Ersatz für den immateriellen Schaden die Verpflichtung auferlegt wird, sich zu entschuldigen?

3. Ist Art. 82 Abs. 1 DS-GVO dahin auszulegen, dass er gestattet, dass Umstände, die auf die Haltung und die Beweggründe der Person, die die Daten verarbeitet, hindeuten (zB die Notwendigkeit, einen im öffentlichen Interesse liegenden Auftrag zu erfüllen, das Fehlen einer Absicht, die betroffene Person zu schädigen, oder Schwierigkeiten, den rechtlichen Rahmen zu verstehen), die Festsetzung eines geringeren Ersatzes für diesen Schaden rechtfertigen?

EuGH – C-492/23, Russmedia Digital und Inform Media Press, Vorabentscheidungsersuchen des Curtea de Apel Cluj (Rumänien), eingereicht am 3.8.2023

1. Sind die Art. 12 bis 14 RL 2000/31/EG auch auf einen Anbieter von Informationsdienstleistungen des Typs Hosting anwendbar, der den Nutzern eine Website zur Verfügung stellt, auf der kostenlos oder kostenpflichtig Anzeigen veröffentlicht werden können, und der angibt, dass seine Rolle bei der Veröffentlichung der Anzeigen der Nutzer rein technischer Natur sei (Bereitstellung der Plattform), in den allgemeinen Nutzungsbedingungen der Website aber darauf hinweist, dass er zwar kein Eigentumsrecht an den bereitgestellten oder veröffentlichten, hochgeladenen oder übermittelten Inhalten beanspruche, sich jedoch das Recht vorbehalte, die Inhalte zu nutzen, also auch zu kopieren, zu verbreiten, zu übermitteln, zu veröffentlichen, zu vervielfältigen, zu ändern, zu übersetzen, an Partner weiterzugeben und jederzeit zu entfernen, ohne dass es insoweit eines Grundes bedürfte?

2. Ist in Auslegung von Art. 2 Abs. 4, Art. 4 Nrn. 7 und 11, Art. 5 Abs. 1 lit. f, Art. 6 Abs. 1 lit. a und der Art. 724 und 25 DS-GVO sowie von Art. 15 RL 2000/31/EG ein solcher Anbieter von Informationsdienstleistungen des Typs Hosting, der Verantwortlicher für die Verarbeitung personenbezogener Daten ist, verpflichtet, vor der Veröffentlichung einer Anzeige zu überprüfen, ob die Person, die die Anzeige veröffentlicht, mit dem Eigentümer der personenbezogenen Daten, auf den sich die Anzeige bezieht, identisch ist?

3. Ist in Auslegung von Art. 2 Abs. 4, Art. 4 Nrn. 7 und 11, Art. 5 Abs. 1 lit. f, Art. 6 Abs. 1 lit. a und der Art. 724 und 25 DS-GVO sowie von Art. 15 RL 2000/31/EG ein solcher Anbieter von Informationsdienstleistungen des Typs Hosting, der Verantwortlicher für die Verarbeitung personenbezogener Daten ist, verpflichtet, den Inhalt der von den Nutzern übermittelten Anzeigen vorab zu überprüfen, um Anzeigen auszuschließen, die möglicherweise rechtswidrig sind oder das Privat- und Familienleben einer Person beeinträchtigen können?

4. Ist in Auslegung von Art. 5 Abs. 1 lit. b und f und der Art. 24 und 25 DS-GVO sowie von Art. 15 RL 2000/31/EG ein solcher Anbieter von Informationsdienstleistungen des Typs Hosting, der Verantwortlicher für die Verarbeitung personenbezogener Daten ist, verpflichtet, Schutzmaßnahmen zu ergreifen, die das Kopieren und Weiterverbreitung des Inhalts der über ihn veröffentlichten Anzeigen verhindern oder einschränken?

EuGH – C-416/23, Österreichische Datenschutzbehörde, Vorabentscheidungsersuchen des Verwaltungsgerichtshofs (Österreich), eingereicht am 6.7.2023

1. Ist der Begriff „Anfragen“ oder „Anfrage“ in Art. 57 Abs. 4 DS-GVO dahin auszulegen, dass darunter auch „Beschwerden“ nach Art. 77 Abs. 1 DS-GVO zu

verstehen sind?

Falls die Frage 1 bejaht wird:

2. Ist Art. 57 Abs. 4 DS-GVO so auszulegen, dass es für das Vorliegen von „exzessiven Anfragen“ bereits ausreicht, dass eine betroffene Person bloß innerhalb eines bestimmten Zeitraums eine bestimmte Zahl von Anfragen (Beschwerden nach Art. 77 Abs. 1 DS-GVO) an eine Aufsichtsbehörde gerichtet hat, unabhängig davon, ob es sich um unterschiedliche Sachverhalte handelt und/oder die Anfragen (Beschwerden) unterschiedliche Verantwortliche betreffen, oder bedarf es neben der häufigen Wiederholung von Anfragen (Beschwerden) auch einer Missbrauchsabsicht der betroffenen Person?

3. Ist Art. 57 Abs. 4 DS-GVO so auszulegen, dass die Aufsichtsbehörde bei Vorliegen einer „offenkundig unbegründeten“ oder „exzessiven“ Anfrage (Beschwerde) frei wählen kann, ob sie eine angemessene Gebühr auf der Grundlage der Verwaltungskosten für deren Bearbeitung verlangt oder deren Bearbeitung von vornherein verweigert; verneinendenfalls welche Umstände und welche Kriterien die Aufsichtsbehörde zu berücksichtigen hat, insbesondere ob die Aufsichtsbehörde verpflichtet ist, vorrangig als gelinderes Mittel eine angemessene Gebühr zu verlangen, und erst im Fall der Aussichtslosigkeit einer Gebühreneinhebung zur Hintanhaltung offenkundig unbegründeter oder exzessiver Anfragen (Beschwerden) berechtigt ist, deren Bearbeitung zu verweigern?

EuGH – C-394/23 – Mousse, Vorabentscheidungsersuchen des Conseil d'État (Frankreich), eingereicht am 28.6.2023

1. Kann bei der Beurteilung der Angemessenheit, Erheblichkeit und Beschränkung auf das für die Zwecke der Verarbeitung der Daten notwendige Maß der Datenerhebung iSd Bestimmungen von Art. 5 Abs. 1 lit. c DS-GVO und der Erforderlichkeit ihrer Verarbeitung iSv Art. 6 Abs. 1 lit. b und f DS-GVO die allgemeine Verkehrssitte in der Kommunikation auf Zivil-­, Handels- und Verwaltungsebene berücksichtigt werden, so dass die auf die Angaben „Herr“ oder „Frau“ beschränkte Erhebung von Daten hinsichtlich der Anrede der Kunden als erforderlich angesehen werden könnte, ohne dass der Grundsatz der Datenminimierung dem entgegenstünde?

2. Ist bei der Beurteilung, ob die verpflichtende Erhebung und Verarbeitung von Daten hinsichtlich der Anrede der Kunden erforderlich ist, in Anbetracht der Tatsache, dass einige Kunden der Ansicht sind, dass auf sie keine der beiden Anreden zutreffe und dass die Erhebung dieser Daten in Bezug auf sie nicht erheblich sei, zu berücksichtigen, dass die Kunden, nachdem sie dem Verantwortlichen diese Daten zur Verfügung gestellt haben, um die angebotene Dienstleistung in Anspruch zu nehmen, nach Art. 21 DS-GVO ihr Recht, der Verwendung und Speicherung dieser Daten zu widersprechen, unter Berufung auf ihre besondere Situation geltend machen könnten?

EuGH – C-383/23 – ILVA, Vorabentscheidungsersuchen des Vestre Landsret (Dänemark), eingereicht am 21.6.2023

1. Ist der Begriff „Unternehmen“ in den Art. 83 Abs. 4 bis 6 der DS-GVO als ein Unternehmen iSd Art. 101 und 102 AEUV iVm Erwägungsgrund 150 DS-GVO und der Rspr. des EuGH im Bereich des Wettbewerbsrechts der Union zu verstehen, so dass der Begriff „Unternehmen“ jede Einheit erfasst, die eine wirtschaftliche Tätigkeit ausübt, unabhängig von der Rechtsstellung dieser Einheit und der Art und Weise, in der sie finanziert wird?

2. Falls die erste Frage zu bejahen ist: Ist Art. 83 Abs. 4 bis 6 DS-GVO dahin auszulegen, dass bei der Verhängung einer Geldbuße gegen ein Unternehmen der gesamte weltweit erzielte Jahresumsatz der wirtschaftlichen Einheit, zu der das Unternehmen gehört, zu berücksichtigen ist oder nur der gesamte weltweit erzielte Jahresumsatz des Unternehmens selbst?

EuGH – C-332/23 – Inspektorat kam Visshia sadeben savet, Vorabentscheidungsersuchen des Sofiyski rayonen sad (Bulgarien), eingereicht am 25.5.2023

1. Ist Art. 19 Abs. 1 UAbs. 2 EUV iVm Art. 47 Abs. 2 GRCh dahin auszulegen, dass es an sich oder unter bestimmten Voraussetzungen eine Verletzung der Pflicht der Mitgliedstaaten, wirksame Rechtsbehelfe für eine unabhängige gerichtliche Überprüfung zu gewährleisten, darstellt, wenn die Funktionen einer Behörde, die Disziplinarstrafen gegen Richter verhängen kann und Befugnisse zur Erhebung von Daten in Bezug auf deren Vermögen hat, nach dem Ende der in der Verfassung festgelegten Amtszeit dieser Stelle auf unbestimmte Zeit verlängert werden? Wenn eine derartige Verlängerung dieser Befugnisse zulässig ist, dann unter welchen Voraussetzungen?

2. Ist Art. 2 Abs. 2 lit. a DS-GVO dahin auszulegen, dass es sich bei der Offenlegung des Bankgeheimnisses zum Zwecke der Überprüfung des Vermögens von Richtern und Staatsanwälten, welches anschließend öffentlich gemacht wird, um eine Tätigkeit handelt, die nicht in den Anwendungsbereich des Unionsrechts fällt? Ist die Antwort eine andere, wenn diese Tätigkeit auch die Offenlegung von Daten der Familienangehörigen der Richter und Staatsanwälte umfasst, die selbst keine Richter und Staatsanwälte sind?

3. Ist – falls die zweite Frage dahin beantwortet wird, dass Unionsrecht zur Anwendung kommt – Art. 4 Ziff. 7 DS-GVO dahin auszulegen, dass eine Gerichtsbehörde, die einer anderen staatlichen Behörde den Zugang zu Daten über die Kontoguthaben der Richter und Staatsanwälte und deren Familienangehörigen gestattet, über die Zwecke oder Mittel der Verarbeitung von personenbezogenen Daten entscheidet und deshalb „Verantwortlicher“ für die Verarbeitung von personenbezogenen Daten ist?

4. Ist – falls die zweite Frage dahin beantwortet wird, dass Unionsrecht zur Anwendung kommt, und die dritte verneint wird – Art. 51 DS-GVO dahin auszulegen, dass eine Gerichtsbehörde, die einer anderen staatlichen Behörde den Zugang zu Daten über die Kontoguthaben der Richter und Staatsanwälte und deren Familienangehörigen gestattet, für die Überwachung [der Anwendung] dieser Verordnung verantwortlich ist und deshalb als „Aufsichtsbehörde“ in Bezug auf diese Daten zu qualifizieren ist?

5. Ist – falls die zweite Frage dahin beantwortet wird, dass Unionsrecht zur Anwendung kommt, und eine der Fragen drei oder vier bejaht wird – Art. 32 Abs. 1 lit. b DS-GVO, bzw. Art. 57 Abs. 1 lit. a DS-GVO, dahin auszulegen, dass eine Gerichtsbehörde, die einer anderen staatlichen Behörde den Zugang zu Daten über die Kontoguthaben der Richter und Staatsanwälte und deren Familienangehörigen gestattet, verpflichtet ist, bei Vorliegen von Daten über eine von der Behörde, der dieser Zugang gewährt werden soll, in der Vergangenheit begangenen Verletzung des Schutzes von personenbezogenen Daten, Informationen über die für den Schutz der Daten getroffenen Maßnahmen einzuholen und bei seiner Entscheidung über die Gestattung des Zugangs die Angemessenheit dieser Maßnahmen zu berücksichtigen?

6. Ist – falls die zweite Frage dahin beantwortet wird, dass Unionsrecht zur Anwendung kommt, und unabhängig von den Antworten auf die dritte und vierte Frage – Art. 79 Abs. 1 DS-GVO iVm Art. 47 GRCh dahin auszulegen, dass wenn das nationale Recht eines Mitgliedstaats vorsieht, dass bestimmte Kategorien von Daten nur nach einer Gestattung durch ein Gericht offengelegt werden können, das hierfür zuständige Gericht den Personen, deren Daten offengelegt werden, von Amts wegen Rechtsschutz gewähren muss, indem es die Behörde, die den Zugang zu den Daten beantragt hat und von der bekannt ist, dass sie in der Vergangenheit Verletzungen des Schutzes von personenbezogenen Daten begangen hat, verpflichtet, Informationen zu den gem. Art. 33 Abs. 3 lit. d DS-GVO getroffenen Maßnahmen und deren wirksamen Anwendung zur Verfügung zu stellen?

EuGH – C-316/23 – Inspektorat kam Visshia sadeben savet, Vorabentscheidungsersuchen des Sofiyski rayonen sad (Bulgarien), eingereicht am 23.5.2023

Der Sachverhalt und die Begründung entsprechen im Wesentlichen dem Vorabentscheidungsersuchen in der Rs. C-332/23; die zur Vorabentscheidung vorgelegten Fragen sind in beiden Rechtssachen identisch.

EuGH – C-313/23 – Inspektorat kam Visshia sadeben savet, Vorabentscheidungsersuchen des Sofiyski rayonen sad (Bulgarien), eingereicht am 22.5.2023

Der Sachverhalt und die Begründung entsprechen im Wesentlichen dem Vorabentscheidungsersuchen in der Rs. C-332/23; die zur Vorabentscheidung vorgelegten Fragen sind in beiden Rechtssachen identisch.

EuGH – C-312/23 – Addiko Bank, Vorabentscheidungsersuchen des Upravni sud u Zagrebu (Kroatien), eingereicht am 22.5.2023

 

EuGH – C-247/23 – Deldits, Vorabentscheidungsersuchen des Fővárosi Törvényszék (Ungarn), eingereicht am 18.4.2023

1. Ist Art. 16 DS-GVO dahin auszulegen, dass die Behörde, die nach dem mitgliedstaatlichen Recht die Register führt, im Hinblick auf die Ausübung der Rechte der betroffenen Person verpflichtet ist, von ihr registrierte personenbezogene Daten betreffend das Geschlecht dieser Person zu berichtigen, wenn sich diese Daten seit ihrer Eintragung in das Register geändert haben und daher nicht dem in Art. 5 Abs. 1 lit. d DS-GVO niedergelegten Grundsatz der Richtigkeit entsprechen?

2. Falls Frage 1 bejaht wird: Ist Art. 16 DS-GVO dahin auszulegen, dass die Person, die die Berichtigung von Daten betreffend ihr Geschlecht beantragt, verpflichtet ist, Nachweise zur Begründung ihres Berichtigungsantrags vorzulegen?

3. Falls Frage 2 bejaht wird: Ist Art. 16 DS-GVO dahin auszulegen, dass die antragstellende Person nachweisen muss, dass sie sich einer geschlechtsangleichenden Operation unterzogen hat?

EuGH – C-200/23 – Agentsia po vpisvaniyata, Vorabentscheidungsersuchen des Varhoven administrativen sad (Bulgarien), eingereicht am 28.3.2023

1. Kann Art. 4 Abs. 2 RL 2009/101/EG dahin ausgelegt werden, dass er eine Verpflichtung des Mitgliedstaats aufstellt, die Offenlegung eines Gesellschaftsvertrags, der gem. Art 119 des Targovski zakon (Handelsgesetz) der Eintragung unterliegt, zuzulassen, wenn dieser neben den Namen der Gesellschafter, die gem. Art. 2 Abs. 2 des Zakon za targovskia registar i registara na yuriditcheskite litsa s nestopanska tsel (Gesetz über das Handelsregister und das Register der juristischen Personen ohne Erwerbszweck) der obligatorischen Bekanntmachung unterliegen, auch weitere personenbezogene Daten enthält? Bei der Beantwortung dieser Frage ist zu beachten, dass die Agentur für Eintragungen eine Einrichtung des öffentlichen Sektors ist, der gegenüber nach ständiger Rechtsprechung des Gerichtshofs die Vorschriften der Richtlinie, die unmittelbare Wirkung entfalten, geltend gemacht werden können (Urteil v. 7.9.2006, Vassallo, С-180/04, ECLI:EU:C:2006:518, Rn. 26 und die dort angeführte Rechtsprechung).

2. Kann – falls die erste Frage bejaht wird – angenommen werden, dass unter den Umständen, die den Rechtsstreit des Ausgangsverfahrens ausgelöst haben, die Verarbeitung personenbezogener Daten durch die Agentur für Eintragungen iSv Art. 6 Abs. 1 lit. e DS-GVO für die Wahrnehmung einer Aufgabe erforderlich ist, die im öffentlichen Interesse liegt oder in Ausübung öffentlicher Gewalt erfolgt, die dem Verantwortlichen übertragen wurde?

3. Kann – falls die ersten beiden Fragen bejaht werden – eine nationalen Regelung wie der in Art. 13 Abs. 9 des Zakon za targovskia registar i registara na yuriditcheskite litsa s nestopanska tsel (Gesetz über das Handelsregister und das Register der juristischen Personen ohne Erwerbszweck), nach der für den Fall, dass in einem Antrag oder in den Unterlagen zu diesem Antrag personenbezogene, nicht gesetzlich geforderte Daten angegeben sind, davon auszugehen ist, dass die Personen, die sie zur Verfügung gestellt haben, in die Verarbeitung dieser Daten durch die Agentur und in die Bereitstellung eines öffentlichen Zugangs zu ihnen eingewilligt haben, ungeachtet der Erwägungsgründe 32404243 und 50 DS-GVO als Klarstellung in Bezug auf die Möglichkeit einer iSd Art. 4 Abs. 2 RL 2009/101/EG „freiwilligen Offenlegung“ auch personenbezogener Daten als zulässig angesehen werden?

4. Sind zur Umsetzung der Verpflichtung aus Art. 3 Abs. 7 RL 2009/101/EG, wonach die Mitgliedstaaten die erforderlichen Maßnahmen treffen müssen, um zu verhindern, dass der Inhalt der nach Abs. 5 offen gelegten Informationen und der Inhalt des Registers oder der Akte voneinander abweichen und um die Interessen Dritter zu berücksichtigen, sich über die wesentlichen Urkunden der Gesellschaft sowie einige sie betreffende Angaben, die im dritten Erwägungsgrund dieser Richtlinie genannt werden, zu unterrichten, nationale Rechtsvorschriften zulässig, die eine Verfahrensregelung (Antragsformblätter, Einreichung von Kopien von Unterlagen, in denen personenbezogene Daten unkenntlich gemacht wurden) für die Ausübung des Rechts der natürlichen Person gem. Art. 17 DS-GVO, von dem Verantwortlichen zu verlangen, dass sie betreffende personenbezogene Daten unverzüglich gelöscht werden, vorsehen, wenn die personenbezogenen Daten, deren Löschung verlangt wird, Teil von öffentlich offen gelegten (bekannt gemachten) Unterlagen sind, die dem Verantwortlichen nach einer ähnlichen Verfahrensregelung von einer anderen Person zur Verfügung gestellt wurden, die mit dieser Handlung auch den Zweck der von ihr veranlassten Verarbeitung bestimmt hat?

5. Handelt die Agentur für Eintragungen in der dem Ausgangsrechtsstreit zugrunde liegenden Situation nur als Verantwortlicher in Bezug auf die personenbezogenen Daten oder ist sie auch deren Empfänger, wenn die Zwecke ihrer Verarbeitung als Teil der Unterlagen, die zur Bekanntmachung vorgelegt wurden, von einem anderen Verantwortlichen bestimmt wurden?

6. Stellt die eigenhändige Unterschrift einer natürlichen Person eine Information dar, die sich auf eine identifizierte natürliche Person bezieht, bzw. wird sie vom Begriff „personenbezogene Daten“ iSv Art. 4 Ziff. 1 DS-GVO erfasst?

7. Ist der Begriff „immaterieller Schaden“ in Art. 82 Abs. 1 DS-GVO dahin auszulegen, dass die Annahme eines immateriellen Schadens einen spürbaren Nachteil und eine objektiv nachvollziehbare Beeinträchtigung persönlicher Belange erfordert oder genügt hierfür der bloße kurzfristige Verlust des Betroffenen über die Hoheit seiner Daten wegen der Veröffentlichung personenbezogener Daten im Handelsregister, der ohne jedwede spürbare bzw. nachteilige Konsequenzen für den Betroffenen blieb?

8. Kann die gem. Art. 58 Abs. 3 lit. b DS-GVO erlassene Stellungnahme der nationalen Aufsichtsbehörde, der Komisia za zashtita na lichnite danni (Kommission für den Schutz personenbezogener Daten), Nr. 01-116(20)/1.2.2021, wonach die Agentur für Eintragungen keine rechtliche Möglichkeit oder Befugnis hat, von Amts wegen oder auf Antrag der betroffenen Person, die Verarbeitung von bereits offen gelegten Daten einzuschränken, zulässigerweise als Nachweis iSv Art. 82 Abs. 3 DS-GVO dafür gelten, dass die Agentur für Eintragungen in keinerlei Hinsicht für den Umstand verantwortlich ist, durch den der Schaden bei der natürlichen Person eingetreten ist?

EuGH – C-169/23 – Másdi, Vorabentscheidungsersuchen der Kúria (Ungarn), eingereicht am 17.3.2023

1. Ist Art. 14 Abs. 5 lit. c iVm Art. 14 Abs. 1 DS-GVO und Erwägungsgrund 62 DS-GVO dahin auszulegen, dass sich die in Art. 14 Abs. 5 lit. c DS-GVO vorgesehene Ausnahme nicht auf Daten bezieht, die im Verfahren des Verantwortlichen selbst erzeugt wurden, sondern nur auf Daten, die der Verantwortliche ausdrücklich von einer anderen Person erlangt hat?

2. Ist für den Fall, dass Art. 14 Abs. 5 lit. c DS-GVO auch für Daten gilt, die im Verfahren des Verantwortlichen selbst erzeugt wurden, das in Art. 77 Abs. 1 DS-GVO verankerte Recht auf Beschwerde bei einer Aufsichtsbehörde so auszulegen, dass eine natürliche Person, die eine Verletzung der Informationspflicht geltend macht, in Ausübung ihres Beschwerderechts verlangen kann, dass geprüft wird, ob das Recht des Mitgliedstaats gem. Art. 14 Abs. 5 lit. c DS-GVO geeignete Maßnahmen zum Schutz der berechtigten Interessen der betroffenen Person vorsieht?

3. Falls die zweite Frage bejaht wird: Kann Art. 14 Abs. 5 lit. c DS-GVO dahin ausgelegt werden, dass die in dieser Bestimmung genannten „geeigneten Maßnahmen“ implizieren, dass der nationale Gesetzgeber die in Art. 32 DS-GVO vorgesehenen Maßnahmen in Bezug auf die Datensicherheit (mittels Rechtsvorschriften) umzusetzen hat?

EuGH C-65/23 – K GmbH, Vorabentscheidungsersuchen des BAG, eingereicht am 8.2.2023

1. Ist eine nach Art. 88 Abs. 1 DS-GVO erlassene nationale Rechtsvorschrift – wie etwa § 26 Abs. 4 BDSG – in der bestimmt ist, dass die Verarbeitung personenbezogener Daten – einschließlich besonderer Kategorien personenbezogener Daten – von Beschäftigten für Zwecke des Beschäftigungsverhältnisses auf der Grundlage von Kollektivvereinbarungen unter Beachtung von Art. 88 Abs. 2 DS-GVO zulässig ist, dahin auszulegen, dass stets auch die sonstigen Vorgaben der DS-GVO – wie etwa Art. 5, Art. 6 Abs. 1 und Art. 9 Abs. 1 und Abs. 2 DS-GVO – einzuhalten sind?

2. Sofern die Frage zu 1. bejaht wird: Darf eine nach Art. 88 Abs. 1 DS-GVO erlassene nationale Rechtsvorschrift – wie § 26 Abs. 4 BDSG – dahin ausgelegt werden, dass den Parteien einer Kollektivvereinbarung (hier den Parteien einer Betriebsvereinbarung) bei der Beurteilung der Erforderlichkeit der Datenverarbeitung iSd Art. 5, Art. 6 Abs. 1 und Art. 9 Abs. 1 und Abs. 2 DS-GVO ein Spielraum zusteht, der gerichtlich nur eingeschränkt überprüfbar ist?

3. Sofern die Frage zu 2. bejaht wird: Worauf darf in einem solchen Fall die gerichtliche Kontrolle beschränkt werden?

Die Vorlagefragen 4-6 wurden mit Beschluss des BAG v. 25.4.2024 – 8 AZR 209/21 (B) aufgehoben:

4. Ist Art. 82 Abs. 1 DS-GVO dahin auszulegen, dass Personen ein Recht auf Ersatz des immateriellen Schadens bereits dann haben, wenn ihre personenbezogenen Daten entgegen den Vorgaben der DS-GVO verarbeitet wurden oder setzt der Anspruch auf Ersatz des immateriellen Schadens darüber hinaus voraus, dass die betroffene Person einen von ihr erlittenen immateriellen Schaden – von einigem Gewicht – darlegt?

5. Hat Art. 82 Abs. 1 DS-GVO spezial- bzw. generalpräventiven Charakter und muss dies bei der Bemessung der Höhe des zu ersetzenden immateriellen Schadens auf der Grundlage von Art. 82 Abs. 1 DS-GVO zulasten des Verantwortlichen bzw. Auftragsverarbeiters berücksichtig werden?

6. Kommt es bei der Bemessung der Höhe des zu ersetzenden immateriellen Schadens auf der Grundlage von Art. 82 Abs. 1 DS-GVO auf den Grad des Verschuldens des Verantwortlichen bzw. Auftragsverarbeiters an? Insbesondere, darf ein nicht vorliegendes oder geringes Verschulden auf Seiten des Verantwortlichen bzw. Auftragsverarbeiters zu dessen Gunsten berücksichtigt werden?

EuGH C-21/23 – Lindenapotheke, Vorabentscheidungsersuchen des BGH, eingereicht am 19.1.2023

1. Stehen die Regelungen in Kapitel VIII der DS-GVO nationalen Regelungen entgegen, die – neben den Eingriffsbefugnissen der zur Überwachung und Durchsetzung der Verordnung zuständigen Aufsichtsbehörden und den Rechtsschutzmöglichkeiten der betroffenen Personen – Mitbewerbern die Befugnis einräumen, wegen Verstößen gegen die Datenschutz-Grundverordnung gegen den Verletzer im Wege einer Klage vor den Zivilgerichten unter dem Gesichtspunkt des Verbots der Vornahme unlauterer Geschäftspraktiken vorzugehen?

2. Sind die Daten, die Kunden eines Apothekers, der auf einer Internet-Verkaufsplattform als Verkäufer auftritt, bei der Bestellung von zwar apothekenpflichtigen, nicht aber verschreibungspflichtigen Medikamenten auf der Verkaufsplattform eingeben (Name des Kunden, Lieferadresse und für die Individualisierung des bestellten apothekenpflichtigen Medikaments notwendige Informationen), Gesundheitsdaten iSv Art. 9 Abs. 1 DS-GVO sowie Daten über Gesundheit iSv Art. 8 Abs. 1 DSRL?

EuGH C-757/22 – Meta Platforms Ireland, Vorabentscheidungsersuchen des BGH, eingereicht am 15.12.2022

Wird eine Rechtsverletzung „infolge einer Verarbeitung“ iSv Art. 80 Abs. 2 DS-GVO geltend gemacht, wenn ein Verband zur Wahrung von Verbraucherinteressen seine Klage darauf stützt, die Rechte einer betroffenen Person seien verletzt, weil die Informationspflichten gem. Art. 12 Abs. 1 S. 1 DS-GVO iVm Art. 13 Abs. 1 lit. c und e DS-GVO über den Zweck der Datenverarbeitung und den Empfänger der personenbezogenen Daten nicht erfüllt worden seien?

EuGH C-693/22 – I, Vorabentscheidungsersuchen des Sąd Rejonowy dla m. st. Warszawy w Warszawie (Polen), eingereicht am 10.11.2022

Ist Art. 5 Abs. 1 lit. a iVm Art. 6 Abs. 1 lit. a, c und e sowie Abs. 3 DS-GVO dahin gehend auszulegen, dass er nationalen Rechtsvorschriften entgegensteht, die den Verkauf einer aus personenbezogenen Daten bestehenden Datenbank iSv Art. 1 Abs. 2 RL 96/9/EG (Datenbank-RL) iRe Vollstreckungsverfahrens zulassen, wenn die jeweils betroffenen Personen einem solchen Verkauf nicht zugestimmt haben?

EuGH C-672/22 – DKV, Vorabentscheidungsersuchen des OLG Koblenz, eingereicht am 27.10.2022

Das OLG Koblenz (Deutschland) hat dem Gerichtshof am 5.4.2023 über e-Curia mitgeteilt, dass der bei ihm anhängige Rechtsstreit beendet sei. Unter diesen Umständen ist gem. Art. 100 der Verfahrensordnung des Gerichtshofs die Streichung der vorliegenden Rechtssache im Register des Gerichtshofs anzuordnen. Für die Beteiligten des Ausgangsverfahrens ist das Verfahren Teil des bei dem nationalen Gericht anhängigen Verfahrens; die Kostenentscheidung ist daher Sache dieses Gerichts. Aus diesen Gründen hat der Präsident des Gerichtshofs beschlossen: Die Rechtssache C-672/22 wird im Register des Gerichtshofs gestrichen.

1. Ist Art. 15 Abs. 3 S. 1 DS-GVO iVm Art. 12 Abs. 5 DS-GVO dahin auszulegen, dass der Verantwortliche (hier: der Versicherer) auch dann verpflichtet ist, dem Betroffenen (hier: dem Versicherungsnehmer) eine erste Kopie seiner vom Verantwortlichen verarbeiteten personenbezogenen Daten unentgeltlich zur Verfügung zu stellen, wenn der Betroffene die Kopie nicht zur Verfolgung der in Erwägungsgrund 63 S. 1 DS-GVO genannten Zwecke begehrt, sich der Verarbeitung seiner personenbezogenen Daten bewusst zu werden und deren Rechtmäßigkeit überprüfen zu können, sondern einen anderen – datenschutzfremden, aber legitimen – Zweck (hier: die Prüfung der Wirksamkeit von Beitragserhöhungen zur privaten Krankenversicherung) verfolgt, und dies selbst dann, wenn Angaben gefordert werden, die dem Versicherten bereits iRd Beitragserhöhungsverfahrens nach § 203 VVG brieflich mitgeteilt wurden?

2. Falls die Frage 1 bejaht wird: Gehören zu den personenbezogenen Daten iSv Art. 4 Nr. 1 und Art. 15 Abs. 3 S. 1 DS-GVO die folgenden Angaben:

a) Angaben zu Beitragsanpassungen, die der Versicherer in der privaten Krankenversicherung im Verhältnis zum Versicherungsnehmer vorgenommen hat, insbesondere zum Betrag der vorgenommenen Anpassung und zu den betroffenen Versicherungstarifen und

b) der Wortlaut der Begründungen für die Beitragsanpassungen (§ 203 Abs. 5 VVG).

3. Falls die Frage 1 bejaht wird und auch Frage 2 ganz oder teilweise bejaht wird: Umfasst der Anspruch eines Versicherungsnehmers in der privaten Krankenversicherung auf Zurverfügungstellung einer Kopie der vom Versicherer verarbeiteten personenbezogenen Daten auch einen Anspruch auf Überlassung einer Kopie der Nachträge zum Versicherungsschein, die der Versicherer dem Versicherungsnehmer zur Mitteilung einer Beitragserhöhung übersendet hat, sowie der mitversendeten Anschreiben und Beiblätter oder ist er nur auf Herausgabe einer Kopie der personenbezogenen Daten des Versicherten als solche gerichtet, wobei es dem datenverarbeitenden Versicherer überlassen bleibt, in welcher Weise er dem betroffenen Versicherungsnehmer die Daten zusammenstellt?

EuGH C-621/22 – Koninklijke Nederlandse Lawn Tennisbond, Vorabentscheidungsersuchen des Gerichts Amsterdam (Niederlande), eingereicht am 29.9.2022

1. Wie muss die Rechtbank den Begriff „berechtigtes Interesse“ auslegen?

2. Ist dieser Begriff so auszulegen, wie die Beklagte ihn auslegt? Erfasst er ausschließlich zum Gesetz gehörende, gesetzliche und in einem Gesetz festgelegte Interessen? Oder:

3. Kann jedes Interesse ein berechtigtes Interesse sein, sofern es dem Gesetz nicht zuwiderläuft? Konkreter: Sind ein rein kommerzielles Interesse und das vorliegende Interesse, nämlich die entgeltliche Bereitstellung personenbezogener Daten ohne Zustimmung der betroffenen Person, unter bestimmten Umständen als ein berechtigtes Interesse einzustufen? Falls ja: Welche Umstände bestimmen, ob ein rein kommerzielles Interesse ein berechtigtes Interesse ist?

EuGH C-590/22 – PS, Vorabentscheidungsersuchen des AG Wesel, eingereicht am 9.9.2022

1. Reicht es für die Begründung eines Anspruchs auf Schadensersatz gem. Art. 82 Abs. 1 DS-GVO aus, dass eine die anspruchstellende Person schützende Bestimmung der DS-GVO verletzt worden ist oder ist es erforderlich, dass ein über die Verletzung der Bestimmungen als solche hinaus eine weitere Beeinträchtigung der anspruchstellenden Person eingetreten ist?

2. Ist es nach dem Unionsrecht zur Begründung eines Anspruchs auf immateriellen Schadensersatz gem. Art. 82 Abs. 1 DS-GVO erforderlich, dass eine Beeinträchtigung von gewissem Gewicht vorliegt?

3. Insbesondere: Reicht es zur Begründung eines Anspruchs auf immateriellen Schadensersatz gem. Art. 82 Abs. 1 DS-GVO aus, dass die anspruchstellende Person befürchtet, dass als Folge von Verletzungen der Bestimmungen der DS-GVO ihre personenbezogenen Daten in fremde Hände gelangt sind, ohne dass dies positiv festgestellt werden kann?

4. Entspricht es dem Unionsrecht, wenn das nationale Gericht bei der Bemessung eines immateriellen Schadensersatzes gem. Art. 82 Abs. 1 DS-GVO die dem Wortlaut nach lediglich für Geldbußen geltenden Kriterien des Art. 83 Abs. 2 S. 2 DS-GVO entsprechend heranzieht?

5. Ist die Höhe eines immateriellen Schadensersatzanspruchs gem. Art. 82 Abs. 1 DS-GVO auch danach zu bemessen, dass durch die Höhe des zugesprochenen Anspruchs eine Abschreckungswirkung erreicht und/oder eine „Kommerzialisierung“ (kalkuliertes Inkaufnehmen von Geldbußen/Schadensersatzzahlungen) von Verstößen unterbunden wird?

6. Entspricht es dem Unionsrecht, bei der Bemessung eines Anspruchs auf immateriellen Schadensersatz gem. Art. 82 Abs. 1 DS-GVO der Höhe nach zugleich verwirklichte Verstöße gegen nationale Vorschriften zu berücksichtigen, die den Schutz von personenbezogenen Daten zum Zweck haben, bei denen es sich aber nicht um nach Maßgabe der vorliegenden Verordnung erlassene delegierte Rechtsakte oder Durchführungsrechtsakte oder Rechtsvorschriften der Mitgliedstaaten zur Präzisierung von Bestimmungen der vorliegenden Verordnung handelt?

EuGH C-461/22 – MK, Vorabentscheidungsersuchen des LG Hannover, eingereicht am 12.7.2022

Ist der gesetzlich bestellte Betreuer, der diese Tätigkeit berufsmäßig ausübt, Verantwortlicher iSv Art. 4 Nr. 7 DS-GVO?

Muss dieser Auskunft nach Art. 15 DS-GVO erteilen?

EuGH C-280/22 – Kinderrechtencoalitie Vlaanderen and Liga voor Mensenrechten, Vorabentscheidungsersuchen des Raad van State (Belgien), eingereicht am 25.4.2022

Sind Art. 3 Abs. 5 und 6 sowie Art. 14 VO (EU) 2019/1157 des Europäischen Parlaments und des Rates v. 20.6.2019 zur Erhöhung der Sicherheit der Personalausweise von Unionsbürgern und der Aufenthaltsdokumente, die Unionsbürgern und deren Familienangehörigen ausgestellt werden, die ihr Recht auf Freizügigkeit ausüben in Verbindung mit dem Durchführungsbeschluss C(2018) 7767 der Kommission v. 30.11.2018 zur Festlegung der technischen Spezifikationen für die einheitliche Gestaltung des Aufenthaltstitels für Drittstaatsangehörige und zur Aufhebung der Entscheidung K(2002) 3069 gültig und vereinbar mit Art. 16 AEUV und – in Bezug auf Art. 3 Abs. 5 und 6 – Art. 21 AEUV sowie mit den Art. 78 und 52 GRCh iVm – Art. 1, 2, 3, 4, 5, 6, 9, 25, 32, 35 und 36 VO (EU) 2016/679 des Europäischen Parlaments und des Rates v. 27.4.2016 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten, zum freien Datenverkehr und zur Aufhebung der RL 95/46/EG,

- Art. 1, 2, 3, 4, 8, 9, 10, 27 und 28 RL (EU) 2016/680 des Europäischen Parlaments und des Rates v. 27.4.2016 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten durch die zuständigen Behörden zum Zwecke der Verhütung, Ermittlung, Aufdeckung oder Verfolgung von Straftaten oder der Strafvollstreckung sowie zum freien Datenverkehr und zur Aufhebung des Rahmenbeschlusses 2008/977/JI des Rates und

- Art. 123451028 und 42 der Verordnung (EU) 2018/1725 des Europäischen Parlaments und des Rates v. 23.10.2018 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten durch die Organe, Einrichtungen und sonstigen Stellen der Union, zum freien Datenverkehr und zur Aufhebung der VO (EG) Nr. 45/2001 und des Beschlusses Nr. 1247/2002/EG, sofern Art. 3 Abs. 5 und 6 der VO (EU) 2019/1157 vorschreibt, dass zwei Fingerabdrücke des Personalausweisinhabers in einem interoperablen digitalen Format auf einem Speichermedium, mit dem der Personalausweis versehen ist, zu speichern sind und sofern Art. 3 Abs. 5 und 6 sowie Art. 14 der VO 2019/1157 iVm Anhang III des Durchführungsbeschlusses C(2018) 7767 der Kommission v. 30.11.2018 vorschreiben, dass die Fingerabdruckdaten auf den in Art. 2 lit. a und c genannten Personalausweisen und Aufenthaltsdokumenten in der Form zu speichern sind, dass ein digitales Bild der Fingerabdrücke auf einem elektronischen Mikrochip, der die RFID-Technologie verwendet und drahtlos/kontaktlos ausgelesen werden kann, gespeichert wird?

EuGH C-203/22 – Dun & Bradstreet Austria, Vorabentscheidungsersuchen des Verwaltungsgericht Wien (Österreich), eingereicht am 16.3.2022

1. Welche inhaltlichen Erfordernisse muss eine erteilte Auskunft erfüllen, um als ausreichend „aussagekräftig“ iSd Art. 15 Abs. 1 lit. h DS-GVO eingestuft zu werden?

Sind – allenfalls unter Wahrung eines bestehenden Betriebsgeheimnisses – im Falle eines Profilings vom Verantwortlichen iRd Beauskunftung der „involvierten Logik“ grundsätzlich auch die für die Ermöglichung der Nachvollziehbarkeit des Ergebnisses der automatisierten Entscheidung im Einzelfall wesentlichen Informationen, worunter insbesondere 1) die Bekanntgabe der verarbeiteten Daten des Betroffenen, 2) die Bekanntgabe der für die Ermöglichung der Nachvollziehbarkeit erforderlichen Teile des dem Profiling zu Grunde gelegenen Algorithmus und 3) die maßgeblichen Informationen zur Erschließung des Zusammenhangs zwischen verarbeiteter Information und erfolgter Valuierung zählen, bekannt zu geben ?

Sind in Fällen, welche ein Profiling zum Gegenstand haben, dem Auskunftsberechtigten iSd Art. 15 Abs. 1 lit. h DS-GVO auch im Falle des Einwands eines Betriebsgeheimnisses jedenfalls nachfolgende Informationen zur konkreten ihn betreffenden Verarbeitung bekannt zu geben, um ihm die Wahrung seiner Rechte aus Art. 22 Abs. 3 DS-GVO zu ermöglichen:

a) Übermittlung aller allenfalls pseudoanonymisierter Informationen, insbesondere zur Weise der Verarbeitung der Daten des Betroffenen, die die Überprüfung der Einhaltung der DS-GVO erlauben,

b) Zurverfügungstellung der zur Profilerstellung verwendeten Eingabedaten,

c) die Parameter und Eingangsvariablen, welche bei der Bewertungsermittlung herangezogen wurden,

d) der Einfluss dieser Parameter und Eingangsvariablen auf die errechnete Bewertung,

e) Informationen zum Zustandekommen der Parameter bzw. Eingangsvariablen,

f) Erklärung, weshalb der Auskunftsberechtigte iSd Art. 15 Abs. 1 lit. h DS-GVO einem bestimmten Bewertungsergebnis zugeordnet wurde, und Darstellung, welche Aussage mit dieser Bewertung verbunden wurde,

g) Aufzählung der Profilkategorien und Erklärung, welche Bewertungsaussage mit jeder der Profilkategorien verbunden ist

2) Steht das durch Art. 15 Abs. 1 lit. h DS-GVO gewährte Auskunftsrecht mit den durch Art. 22 Abs. 3 DS-GVO garantierten Rechten auf Darlegung des eigenen Standpunkts und auf Bekämpfung einer erfolgten automatisierten Entscheidung iSd Art. 22 DS-GVO insofern in einem Zusammenhang, als der Umfang der auf Grund eines Auskunftsbegehrens iSd Art. 15 Abs. 1 lit. h DS-GVO zu erteilenden Informationen nur dann ausreichend „aussagekräftig“ ist, wenn der Auskunftsbegehrende und Betroffene iSd Art. 15 Abs. 1 lit. h DS-GVO in die Lage versetzt wird, die ihm durch Art. 22 Abs. 3 DS-GVO garantierten Rechte auf Darlegung seines eigenen Standpunkts und auf Bekämpfung der ihn betreffenden automatisierten Entscheidung iSd Art. 22 DS-GVO tatsächlich, profund und erfolgversprechend wahrzunehmen?

3a) Ist Art. 15 Abs. 1 lit. h DS-GVO dahingehend auszulegen, dass nur dann von einer „aussagekräftigen Information“ iSd Bestimmung auszugehen ist, wenn diese Information so weitgehend ist, dass es dem Auskunftsberechtigten iSd Art. 15 Abs. 1 lit. h DS-GVO möglich ist festzustellen, ob diese erteilte Information auch den Tatsachen entspricht, daher ob der konkret angefragten automatisierten Entscheidung auch tatsächlich die bekannt gegebenen Informationen zugrunde gelegen sind?

3b) Bejahendenfalls: Wie ist vorzugehen, wenn die Richtigkeit der von einem Verantwortlichen erteilten Information nur dadurch überprüft zu werden vermag, wenn auch von der DS-GVO geschützte Daten Dritter dem Auskunftsberechtigten iSd Art. 15 Abs. 1 lit. h DS-GVO zur Kenntnis gebracht werden müssen (Black-Box)?

Kann dieses Spannungsverhältnis zwischen dem Auskunftsrecht iSd Art. 15 Abs. 1 DS-GVO und dem Datenschutzrecht Dritter auch dadurch aufgelöst werden, indem die für die Richtigkeitsüberprüfung erforderlichen Daten Dritter, welche ebenfalls demselben Profiling unterzogen wurden, ausschließlich der Behörde oder dem Gericht offengelegt werden, sodass die Behörde oder das Gericht eigenständig zu überprüfen hat, ob die bekannt gegebenen Daten dieser dritten Personen den Tatsachen entsprechen?

3c) Bejahendenfalls: Welche Rechte haben dem Auskunftsberechtigten iSd Art. 15 Abs. 1 lit. h DS-GVO im Falle der Gebotenheit der Gewährleistung des Schutzes fremder Rechte iSd Art. 15 Abs. 4 DS-GVO durch die Schaffung der unter Punkt 3 b) angesprochenen Black-Box jedenfalls eingeräumt zu werden?

Sind dem Auskunftsberechtigten iSd Art. 15 Abs. 1 lit. h DS-GVO in diesem Fall jedenfalls die für die Ermöglichung der Überprüfbarkeit der Richtigkeit der Entscheidungsfindung vom Verantwortlichen iSd Art. 15 Abs. 1 DS-GVO bekannt zu gebenden Daten anderer Personen in pseudoanonymisierter Form bekannt zu geben?

4a) Wie ist vorzugehen, wenn die zu erteilende Information iSd Art. 15 Abs. 1 lit. h DS-GVO auch die Vorgaben eines Geschäftsgeheimnisses iSd Art. 2 S. 1 RL (EU) 2016/943v. 8.6.2016 über den Schutz vertraulichen Know-hows und vertraulicher Geschäftsinformationen (Geschäftsgeheimnisse) vor rechtswidrigem Erwerb sowie rechtswidriger Nutzung und Offenlegung, L 157/1 (Know-How-Richtlinie) erfüllt?

Kann das Spannungsverhältnis zwischen dem durch Art. 15 Abs. 1 lit. h DS-GVO garantierten Auskunftsrecht und dem durch die Know-How-Richtlinie geschützten Recht auf Nichtoffenlegung eines Geschäftsgeheimnisses dadurch aufgelöst werden, indem die als Geschäftsgeheimnis iSd Art. 2 S. 1 der Know-how-RL einzustufenden Informationen ausschließlich der Behörde oder dem Gericht offen gelegt werden, sodass die Behörde oder das Gericht eigenständig zu überprüfen haben, ob vom Vorliegen eines Geschäftsgeheimnisses iSd Art. 2 S. 1 der Know-how-RL auszugehen ist, und ob die vom Verantwortlichen iSd Art. 15 Abs. 1 DS-GVO erteilte Information den Tatsachen entspricht.

4b) Bejahendenfalls: Welche Rechte haben dem Auskunftsberechtigten iSd Art. 15 Abs. 1 lit. h DS-GVO im Falle der Gebotenheit der Gewährleistung des Schutzes fremder Rechte iSd Art. 15 Abs. 4 DS-GVO durch die Schaffung der unter Punkt 4 a) angesprochenen Black-Box jedenfalls eingeräumt zu werden?

Sind (auch) in diesem Falle eines Auseinanderfallens der der Behörde bzw. dem Gericht bekannt zu gebenden Informationen und der dem Auskunftsberechtigten iSd Art. 15 Abs. 1 lit. h DS-GVO bekannt zu gebenden Informationen in Fällen, welche ein Profiling zum Gegenstand haben, dem Auskunftsberechtigten iSd Art. 15 Abs. 1 lit. h DS-GVO jedenfalls nachfolgende Informationen zur konkreten ihn betreffenden Verarbeitung bekannt zu geben, um ihm die Wahrung seiner Rechte aus Art. 22 Abs. 3 DS-GVO völlig zu ermöglichen:

a) Übermittlung aller allenfalls pseudoanonymisierter Informationen, insbesondere zur Weise der Verarbeitung der Daten des Betroffenen, die die Überprüfung der Einhaltung der DS-GVO erlauben,

b) Zurverfügungstellung der zur Profilerstellung verwendeten Eingabedaten,

c) die Parameter und Eingangsvariablen, welche bei der Bewertungsermittlung herangezogen wurden,

d) der Einfluss dieser Parameter und Eingangsvariablen auf die errechnete Bewertung,

e) Informationen zum Zustandekommen der Parameter bzw. Eingangsvariablen,

f) Erklärung, weshalb der Auskunftsberechtigte iSd Art. 15 Abs. 1 lit. h DS-GVO einem bestimmten Bewertungsergebnis zugeordnet wurde, und Darstellung, welche Aussage mit dieser Bewertung verbunden wurde,

g) Aufzählung der Profilkategorien und Erklärung, welche Bewertungsaussage mit jeder der Profilkategorien verbunden ist

5) Wird durch die Bestimmung des Art. 15 Abs. 4 DS-GVO in irgendeiner Weise der Umfang der gem. Art. 15 Abs. 1 lit. h DS-GVO zu erteilenden Auskunft beschränkt.

Bejahendenfalls, in welcher Weise wird dieses Auskunftsrecht durch Art. 15 Abs. 4 DS-GVO beschränkt, und wie ist im jeweiligen Fall dieser Umfang der Einschränkung zu ermitteln?

6) Ist die Bestimmung des § 4 Abs. 6 Datenschutzgesetz, wonach „das Recht auf Auskunft der betroffenen Person gem. Art. 15 DS-GVO ggü. einem Verantwortlichen unbeschadet anderer gesetzlicher Beschränkungen in der Regel dann nicht (besteht), wenn durch die Erteilung dieser Auskunft ein Geschäfts- oder Betriebsgeheimnis des Verantwortlichen bzw. Dritter gefährdet würde,“ mit den Vorgaben des Art. 15 Abs. 1 DS-GVO iVm Art. 22 Abs. 3 DS-GVO vereinbar. Bejahendenfalls, unter welchen Vorgaben liegt eine solche Vereinbarkeit vor?

EuGH C-189/22 – ED, Vorabentscheidungsersuchen des AG München, eingereicht am 11.3.2022

1. Ist Art. 82 DS-GVO dahin auszulegen, dass dem Schadensersatzanspruch auch iRd Bemessung seiner Höhe kein Sanktionscharakter, insb. keine generelle oder spezielle Abschreckungsfunktion zukommt, sondern der Anspruch auf Schadensersatz nur eine Ausgleichs- und uU Genugtuungsfunktion hat?

2.a Ist für die Bemessung des immateriellen Schadensersatzanspruchs als Verständnis davon auszugehen, dass der Schadensersatzanspruch auch eine individuelle Genugtuungsfunktion hat – hier verstanden als das im Privaten des Verletzten bleibende Interesse, das verursachende Verhalten geahndet zu sehen, oder kommt dem Schadensersatzanspruch nur eine Ausgleichsfunktion zu – hier verstanden als die Funktion, erlittene Beeinträchtigungen zu kompensieren?

2.b.1. Wenn davon auszugehen ist, dass dem immateriellen Schadenersatzanspruch sowohl Ausgleichs- als auch Genugtuungsfunktion zukommt: Ist bei seiner Bemessung davon auszugehen, dass die Ausgleichsfunktion einen strukturellen oder zumindest als Regel-Ausnahme-Verhältnis zu sehenden Vorrang vor der Genugtuungsfunktion hat? Führt dies dazu, dass eine Genugtuungsfunktion nur bei vorsätzlichen ober grob fahrlässigen Verletzungen in Betracht kommt?

2.b.2. Wenn dem immateriellen Schadensersatzanspruch keine Genugtuungsfunktion zukommt: Führen bei seiner Bemessung nur vorsätzliche oder grob fahrlässige Datenschutzverletzungen als Beurteilung von Verursachungsbeiträgen zu zusätzlichem Gewicht?

3. Ist für das Verständnis des immateriellen Schadensersatzes in seiner Bemessung von einem strukturellen Rangverhältnis oder zumindest Regel-Ausnahme-Rangverhältnis auszugehen, bei dem das von einer Datenverletzung ausgehende Beeinträchtigungserleben weniger Gewicht hat als das mit einer Körperverletzung verknüpfte Beeinträchtigungs- und Schmerzerleben?

4. Steht einem nationalen Gericht offen, wenn von einem Schaden auszugehen ist, angesichts fehlender Schwere einen materiell nur im Geringfügigen bleibenden und damit uU von Verletztenseite oder allgemein nur als symbolisch empfundenen Schadensersatz zuzusprechen?

5. Ist für das Verständnis des immateriellen Schadensersatzes in der Beurteilung seiner Folgen davon auszugehen, dass ein Identitätsdiebstahl iSd 75. Erwägungsgrunds der DS-GVO erst dann vorliegt, wenn tatsächlich ein Straftäter die Identität des Betroffenen angenommen hat, sich also in irgendeiner Form als der Betroffene ausgegeben hat, oder liegt schon im Umstand, dass inzwischen Straftäter über Daten verfügen, die den Betroffenen identifizierbar machen, ein solcher Identitätsdiebstahl?

EuGH C-182/22 – ED, Vorabentscheidungsersuchen des AG München, eingereicht am 10.3.2022

1. Ist Art. 82 DS-GVO dahin auszulegen, dass dem Schadensersatzanspruch auch iRd Bemessung seiner Höhe kein Sanktionscharakter, insb. keine generelle oder spezielle Abschreckungsfunktion zukommt, sondern der Anspruch auf Schadensersatz nur eine Ausgleichs- und uU Genugtuungsfunktion hat?

2.a Ist für die Bemessung des immateriellen Schadensersatzanspruchs als Verständnis davon auszugehen, dass der Schadensersatzanspruch auch eine individuelle Genugtuungsfunktion hat – hier verstanden als das im Privaten des Verletzten bleibende Interesse, das verursachende Verhalten geahndet zu sehen, oder kommt dem Schadensersatzanspruch nur eine Ausgleichsfunktion zu – hier verstanden als die Funktion, erlittene Beeinträchtigungen zu kompensieren?

2.b.1. Wenn davon auszugehen ist, dass dem immateriellen Schadensersatzanspruch sowohl Ausgleichs- als auch Genugtuungsfunktion zukommt: Ist bei seiner Bemessung davon auszugehen, dass die Ausgleichsfunktion einen strukturellen oder zumindest als Regel-Ausnahmeverhältnis zu sehenden Vorrang vor der Genugtuungsfunktion hat? Führt dies dazu, dass eine Genugtuungsfunktion nur bei vorsätzlichen ober grob fahrlässigen Verletzungen in Betracht kommt?

2.b.2. Wenn dem immateriellen Schadensersatzanspruch keine Genugtuungsfunktion zukommt: Führen bei seiner Bemessung nur vorsätzliche oder grob fahrlässige Datenschutzverletzungen als Beurteilung von Verursachungsbeiträgen zu zusätzlichem Gewicht?

3. Ist für das Verständnis des immateriellen Schadensersatzes in seiner Bemessung von einem strukturellen Rangverhältnis oder zumindest Regel-Ausnahme-Rangverhältnis auszugehen, bei dem das von einer Datenverletzung ausgehende Beeinträchtigungserleben weniger Gewicht hat als das mit einer Körperverletzung verknüpfte Beeinträchtigungs- und Schmerzerleben?

4. Steht einem nationalen Gericht offen, wenn von einem Schaden auszugehen ist, angesichts fehlender Schwere einen materiell nur im Geringfügigen bleibenden und damit uU von Verletztenseite oder allgemein nur als symbolisch empfundenen Schadensersatz zuzusprechen?

5. Ist für das Verständnis des immateriellen Schadensersatzes in der Beurteilung seiner Folgen davon auszugehen, dass ein Identitätsdiebstahl iSd 75. Erwägungsgrunds der DS-GVO erst dann vorliegt, wenn tatsächlich ein Straftäter die Identität des Betroffenen angenommen hat, sich also in irgendeiner Form als der Betroffene ausgegeben hat, oder liegt schon im Umstand, dass inzwischen Straftäter über Daten verfügen, die den Betroffenen identifizierbar machen, ein solcher Identitätsdiebstahl?

EuGH C-63/22 – SCHUFA Holding, Vorabentscheidungsersuchen des VG Wiesbaden, eingereicht am 1.2.2022

Das VG Wiesbaden hat dieses Vorabentscheidungsersuchen zurückgenommen.

1. Ist eine nationale Rechtsvorschrift, wie § 31 BDSG, die die Einmeldung von „Negativ-Merkmalen“ (offene Forderungsbeträge) an eine Auskunftei durch einen Gläubiger für zulässig erklärt, mit Art. 6 Abs. 1 UAbs. 1 lit. f DS-GVO vereinbar, wenn die Rechtsvorschrift die Einmeldung von Daten zur Ermittlung eines Wahrscheinlichkeitswertes/Scorewerts über die Zahlungsfähigkeit und Zahlungswilligkeit einer natürlichen Person bei kumulativem Vorliegen abschließend aufgelisteter Voraussetzungen ohne weitere Abwägung und ohne Betrachtung des Einzelfalls für zulässig erklärt?

2. Sind die einmeldende Stelle und die Wirtschaftsauskunftei gemeinsam Verantwortliche iSv Art. 26 der VO (EU) 2016/679, wenn die Wirtschaftsauskunftei die von einem Kreditinstitut eingemeldeten Daten nach der vertraglichen Gestaltung zwischen einmeldender Stelle und einer Wirtschaftsauskunftei (hier der Schufa) nicht auf ihre Richtigkeit hin zu überprüfen hat?

EuGH C-18/22 – Ökorenta Neue Energien Ökostabil IV, Vorabentscheidungsersuchen des AG München, eingereicht am 7.1.2022

1.a. Ergibt sich bei Auslegung von Art. 6 Abs. 1 S. 1 lit. b und lit. f DS-GVO, dass bei einer Publikumspersonengesellschaft schon die Beteiligung an der Gesellschaft als nicht persönlich und nur gering haftender und nicht geschäftsführender Gesellschafter genügt, um „berechtigtes Interesse“ an Auskunft über alle mittelbar über einen Treuhänder beteiligten Gesellschafter, deren Erreichbarkeit und deren Beteiligung an der Publikumspersonengesellschaft zu bejahen und dem Gesellschaftsvertrag eine entsprechende vertragliche Verpflichtung zu entnehmen,

1.b. oder beschränkt sich unter solchen Bedingungen das berechtigte Interesse darauf, von der Gesellschaft Auskunft über diejenigen mittelbar Beteiligten zu erhalten, die nicht gering haften, sondern eine Mindestquote innehaben, die einen Einfluss auf die Geschicke der Gesellschaft zumindest in Betracht kommen lässt.

2.a Genügt, um bei einem solchen unbeschränkten Anspruch (1a) dessen immanente Grenze eines Rechtsmissbrauchs nicht zu überschreiten, oder von der Beschränkung eines beschränkten Auskunftsanspruch (1b) eine Ausnahme zu machen, eine Absicht der Kontaktaufnahme zu einem Kennenlernen, einem Meinungsaustausch oder Verhandlungen über den Abkauf von Gesellschaftsanteilen,

2.b oder kommt ein Interesse an Auskunft erst als relevant in Betracht, wenn eine Weitergabe unter der ausdrücklichen Absicht gefordert wird, um Kontakt zu anderen Gesellschaftern aufzunehmen, um von diesen wegen konkret benannter Anlässe, die eine Willensbildung iRv Beschlüssen der Gesellschafter erforderlich machen, Koordinierung einzufordern.

EuGH C-17/22 – HTB Neunte Immobilien Portfolio, Vorabentscheidungsersuchen des AG München, eingereicht am 7.1.2022

1.a. Ergibt sich bei Auslegung von Art. 6 Abs. 1 S. 1 lit. b und lit. f DS-GVO, dass bei einer Publikumspersonengesellschaft schon die Beteiligung an der Gesellschaft als nicht persönlich und nur gering haftender und nicht geschäftsführender Gesellschafter genügt, um „berechtigtes Interesse" an Auskunft über alle mittelbar über einen Treuhänder beteiligten Gesellschafter, deren Erreichbarkeit und deren Beteiligung an der Publikumspersonengesellschaft zu bejahen und dem Gesellschaftsvertrag eine entsprechende vertragliche Verpflichtung zu entnehmen,

1.b. oder beschränkt sich unter solchen Bedingungen das berechtigte Interesse darauf, von der Gesellschaft Auskunft über diejenigen mittelbar Beteiligten zu erhalten, die nicht gering haften, sondern eine Mindestquote innehaben, die einen Einfluss auf die Geschicke der Gesellschaft zumindest in Betracht kommen lässt.

2.a Genügt, um bei einem solchen unbeschränkten Anspruch (1a) dessen immanente Grenze eines Rechtsmissbrauchs nicht zu überschreiten, oder von der Beschränkung eines beschränkten Auskunftsanspruch (1b) eine Ausnahme zu machen, eine Absicht der Kontaktaufnahme zu einem Kennenlernen, einem Meinungsaustausch oder Verhandlungen über den Abkauf von Gesellschaftsanteilen,

2.b oder kommt ein Interesse an Auskunft erst als relevant in Betracht, wenn eine Weitergabe unter der ausdrücklichen Absicht gefordert wird, um Kontakt zu anderen Gesellschaftern aufzunehmen, um von diesen wegen konkret benannter Anlässe, die eine Willensbildung iRv Beschlüssen der Gesellschafter erforderlich machen, Koordinierung einzufordern.

EuGH C-768/21 – Land Hessen, Vorabentscheidungsersuchen des VG Wiesbaden, eingereicht am 14.12.2021

Sind Art. 57 Abs. 1 lit. a, lit. f und Art. 58 Abs. 2 lit. a–j DS-GVO iVm Art. 77 Abs. 1 DS-GVO dahingehend auszulegen, dass in dem Fall, dass die Aufsichtsbehörde eine Datenverarbeitung feststellt, die den Betroffenen in seinen Rechten verletzt, die Aufsichtsbehörde stets verpflichtet ist, nach Art. 58 Abs. 2 DS-GVO einzuschreiten?

EuGH C-552/21 – SCHUFA Holding ua, Vorabentscheidungsersuchen des VG Wiesbaden, eingereicht am 7.9.2021

Das VG Wiesbaden hat dieses Vorabentscheidungsersuchen zurückgenommen.

1. Ist Art. 77 Abs. 1 iVm Art. 78 Abs. 1d DS-GVO dahingehend zu verstehen, dass das Ergebnis der Aufsichtsbehörde, welches diese dem Betroffenen mitteilt,

a) den Charakter der Bescheidung einer Petition hat?

Dies mit der Folge, dass die gerichtliche Kontrolle einer aufsichtsbehördlichen Beschwerdeentscheidung nach Art. 78 Abs. 1 DS-GVO sich grundsätzlich darauf beschränkt, ob die Behörde sich mit der Beschwerde befasst, den Beschwerdegegenstand angemessen untersucht und den Beschwerdeführer über das Ergebnis der Prüfung unterrichtet hat, oder

b) als eine behördliche Sachentscheidung zu verstehen ist?

Dies mit der Folge, dass die gerichtliche Kontrolle einer aufsichtsbehördlichen Beschwerdeentscheidung nach Art. 78 Abs. 1 DS-GVO dazu führt, dass die Sachenscheidung voll inhaltlich von dem Gericht zu überprüfen ist, wobei im Einzelfall – zB bei einer Ermessensreduzierung auf Null – die Aufsichtsbehörde durch das Gericht auch zu einer konkreten Maßnahme iSd Art. 58 DS-GVO verpflichtet werden kann.

2. Ist eine Datenspeicherung bei einer privaten Wirtschaftsauskunftei, bei der personenbezogene Daten aus einem öffentlichen Register, wie den „nationalen Datenbanken“ iSd Art. 79 Abs. 4 und 5 der VO (EU) 2015/848 des Europäischen Parlaments und des Rates v. 20.5.2015 über Insolvenzverfahren (ABl. L 141/19v. 5.6.2015), ohne konkreten Anlass gespeichert werden, um im Falle einer Anfrage eine Auskunft erteilen zu können, mit Art. 7 und 8 GRCh vereinbar?

3. Sind private Paralleldatenbanken (insbesondere Datenbanken einer Auskunftei), die neben den staatlichen Datenbanken errichtet werden und in denen die Daten aus den staatlichen Datenbanken (hier Insolvenzbekanntmachungen) länger gespeichert werden, als in dem engen Rahmen der VO (EU) 2015/848 iVm dem nationalen Recht geregelt, grundsätzlich zulässig oder ergibt sich aus dem Recht auf Vergessen nach Art. 17 Abs. 1 lit. d DS-GVO, dass diese Daten zu löschen sind, wenn

a) eine mit dem öffentlichen Register identische Verarbeitungsdauer vorgesehen ist, oder

b) eine Speicherdauer vorgesehen ist, die über die für öffentliche Register vorgesehene Speicherfrist hinausgeht?

4. Soweit Art. 6 Abs. 1 UAbs. 1 lit. f DS-GVO als alleinige Rechtsgrundlage für eine Datenspeicherung bei privaten Wirtschaftsauskunfteien hinsichtlich der auch in öffentlichen Registern gespeicherten Daten in Betracht kommt, ist dann ein berechtigtes Interesse einer Wirtschaftsauskunftei schon dann zu bejahen, wenn diese Auskunftei die Daten aus dem öffentlichen Verzeichnis ohne konkreten Anlass übernimmt, damit diese Daten dann bei einer Anfrage zur Verfügung stehen?

5. Dürfen Verhaltensregeln, die von den Aufsichtsbehörden nach Art. 40 DS-GVO genehmigt worden sind und Prüf- und Löschfristen vorsehen, die über die Speicherfristen öffentlicher Register hinausgehen, die nach des Art. 6 Abs. 1 UAbs. 1 lit. f DS-GVO vorgegebene Abwägung suspendieren?

EuGH C-446/21 – Schrems, Vorabentscheidungsersuchen des ÖOGH (Österreich), eingereicht am 20.7.2021

1. Sind die Bestimmungen der Art. 6 Abs. 1 lit. a und lit. b DS-GVO dahingehend auszulegen, dass die Rechtmäßigkeit von Vertragsbestimmungen in allgemeinen Nutzungsbedingungen über Plattformverträge wie jenem im Ausgangsverfahren (insbesondere Vertragsbestimmungen wie: „Anstatt dafür zu zahlen … erklärst du dich durch Nutzung der Facebook-Produkte, für die diese Nutzungsbedingungen gelten, einverstanden, dass wir dir Werbeanzeigen zeigen dürfen … Wir verwenden deine personenbezogenen Daten … um dir Werbeanzeigen zu zeigen, die relevanter für dich sind.“), die die Verarbeitung von personenbezogenen Daten für Aggregation und Analyse von Daten zum Zwecke der personalisierten Werbung beinhalten, nach den Anforderungen des Art. 6 Abs. 1 lit. a DS-GVO iVm 7 DS-GVO zu beurteilen sind, die nicht durch die Berufung auf Art. 6 Abs. 1 lit. b DS-GVO ersetzt werden können?

2. Ist Art. 5 Abs. 1 lit. c DS-GVO (Datenminimierung) dahin auszulegen, dass alle personenbezogenen Daten, über die eine Plattform wie im Ausgangsverfahren verfügt (insbesondere durch den Betroffenen oder durch Dritte auf und außerhalb der Plattform), ohne Einschränkung nach Zeit oder Art der Daten für Zwecke der zielgerichteten Werbung aggregiert, analysiert und verarbeitet werden können?

3. Ist Art. 9 Abs. 1 DS-GVO dahin auszulegen, dass er auf die Verarbeitung von Daten anzuwenden ist, die eine gezielte Filterung von besonderen Kategorien personenbezogener Daten wie politische Überzeugung oder sexuelle Orientierung (etwa für Werbung) erlaubt, auch wenn der Verantwortliche zwischen diesen Daten nicht differenziert?

4. Ist Art. 5 Abs. 1 lit. b DS-GVO iVm Art. 9 Abs. 2 lit. e DS-GVO dahin auszulegen, dass eine Äußerung über die eigene sexuelle Orientierung für die Zwecke einer Podiumsdiskussion die Verarbeitung von anderen Daten zur sexuellen Orientierung für Zwecke der Aggregation und Analyse von Daten zum Zwecke der personalisierten Werbung erlaubt?

EuGH C-701/20 – Avis Autovermietung Gesellschaft mbH gegen Verein für Konsumenteninformation, Vorabentscheidungsersuchen des ÖOGH (Österreich), eingereicht am 22.12.2020

Das ÖOGH hat dieses Vorabentscheidungsersuchen zurückgenommen.

Stehen die Regelungen in Kapitel VIII, insbesondere in Art. 80 Abs. 1 und 2 sowie 84 Abs. 1 der VO (EU) 2016/679 des Europäischen Parlaments und des Rates v. 27.4.2016 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten, zum freien Datenverkehr und zur Aufhebung der RL 95/46/EG (DS-GVO) nationalen Regelungen entgegen, die – neben den Eingriffsbefugnissen der zur Überwachung und Durchsetzung der VO zuständigen Aufsichtsbehörden und den Rechtsschutzmöglichkeiten der betroffenen Personen – einerseits Mitbewerbern und andererseits nach dem nationalen Recht berechtigten Verbänden, Einrichtungen und Kammern die Befugnis einräumen, wegen Verstößen gegen die DS-GVO unabhängig von der Verletzung konkreter Rechte einzelner betroffener Personen und ohne Auftrag einer betroffenen Person gegen den Verletzter im Wege einer Klage vor den Zivilgerichten unter den Gesichtspunkten des Verbots der Vornahme unlauterer Geschäftspraktiken oder des Verstoßes gegen ein Verbraucherschutzgesetz oder des Verbots der Verwendung unwirksamer Allgemeiner Geschäftsbedingungen vorzugehen?

 

Anzeigen:

ZD 4Wochen Testabonnement

beck-online DatenschutzR

Teilen:

Menü