Tag: EuGH

EuGH erachtet Verbandsklagen bei Verstoß gegen Informationspflichten für zulässig

Der EuGH hat im Verfahren des deutschen Bundesverbandes der Verbraucherzentralen und Verbraucherverbände gegen Meta entschieden (C‑757/22), dass Verbandsklagen gemäß Art 80 DSGVO zulässig sind, wenn dieRechte einer betroffenen Person durch die Verarbeitung verletzt  worden sind. Die Verletzung kann auch durch Misachtung der Informationspflichten gemäß Art 12 und 13 ergeben.

EuGH zu DSGVO Verstößen in Wettbewerbsverfahren

Im Urteil vom 4.6.203 (C-252/21) hat der EuGH festgestellt, das eine Behörde oder Gericht das über Wettbewerbs- und Kartellrechtsfragen entscheidet, auch Verstöße gegen die DSGVO als Tatbestandsmerkmal für den Missbrauch einer marktbeherrschenden Stellung heranziehen kann. Es hat sich aber etwaige Untersuchungen oder Entscheidungen der für die DSGVO zuständigen Behörden und Gerichten zu berücksichtigen. Im konkreten Fall geht es um ein Verfahren in Deutschland gegen Meta, indem Meta Einspruch gegen das Urteil des deutschen Bundeskartellamtes eingelegt hat.
Das deutsche Bundeskartellamt verbot es insbesondere, in den Allgemeinen Nutzungsbedingungen die Nutzung des sozialen Netzwerks Facebook durch in Deutschland wohnhafte private Nutzer von der Verarbeitung ihrer Off-Facebook-Daten abhängig zu machen und diese Daten ohne ihre Einwilligung zu verarbeiten. Es begründete seinen Beschluss damit, dass diese Verarbeitung, da sie nicht mit der Datenschutz-Grundverordnung (DSGVO) im Einklang stehe, eine missbräuchliche Ausnutzung der beherrschenden Stellung von Meta Platforms Ireland auf dem deutschen Markt für soziale Online-Netzwerke darstelle.

Der EuGH hat festgehalten, dass das berechtigte Interesse nicht ausreicht, insbesondere da es sich auch um besondere Kategorien von Daten handeln kann. Da es an einer gültigen Einwilligung für besondere Kategorien von Daten mangelt, liegt ein Verstoß gegen die DSGVO vor, wenn die Offenlegung dieser ermöglicht wird.

Der EuGH stellt hinsichtlich einer möglichen Offenlegung oder öffentlich Machung durch die Benutzer klar, dass der bloße Besuch von Webseiten die Rückschluss über besondere Kategorien von Daten ermöglichen, nicht dadurch besteht, auch dann nicht wenn auf dieser Seite ein “Like” Button gedrückt wird oder ähnliche Eingaben gemacht werden. Dies wäre nur der Fall, wenn der Benutzer zuvor explizit seine Entscheidung zum Ausdruck bringt, diese einer unbegrenzten Anzahl von Personen offenlegen zu wollen.

Der EuGH hat auch, vorbehaltlich der Entscheidung nationaler Gerichte, Zweifel, ob die Verarbeitung auch nicht sensibler Daten auf die Rechtsgrundlage eines Vertragsverhältnisses gestützt werden kann, da die Verknüpfung mit anderen Daten, die personalisierte Werbung und anderes nicht zum Hauptgegenstand des Vertrages gehört.

Schließlich bringt der EuGH zum Ausdruck, dass auch das berechtigte Interesse in diesem Fall keine ausreichende Rechtsgrundlage sein könnte.

Bezüglich der Möglichkeit eine Einwilligung als Rechtsgrundlage heranzuziehen, macht der EuGH darauf aufmerksam, dass deren Gültigkeit gemäß DSGVO, aufgrund des Ungleichgewichts der Vertragspartner in Zweifel gezogen werden könnte. Die Beweislast liegt in diesem Fall beim Betreiber und nicht beim Benutzer.

EuGH zu Auskunftsrecht: Daten Dritter

Der EuGH hat in einem Urteil zum Auskunftsrecht entschieden, dass wenn Abfragen einer Datenbank Gegenstand des Auskunftsbegehrens sind, das Recht auf Auskunft den Zeitpunkt und Zweck der Abfrage, nicht aber die Identität der abfragenden Person umfasst. Is jedoch die Identität der abfragenden Person Vorraussetzung damit die betroffene Person ihre Rechte gemäß DSGVO wahrnehmen kann, ist unter weitesgehdner Wahrung der Privatsphäre der Abfragenden Person auch die Identität dieser bekannt zu geben.

Außerdem erstreckt sich das Recht auf Auskunft auch auf Vorfälle vor in Geltung treten der DSGVO, sofern das Ansuchen nach 28.5.2018 eingebracht wurde.

Datenübermittlung in die USA: Position des EU Parlaments

Das europäische Parlament hat einen Beschluss über seine Position um Entwurf des Angemessenheitsbeschlusses der EU-Kommission zu Data Privacy Framework beschlossen. Dabei hat es auch die Meinung des EDSA berücksichtigt. Auch das Parlament äußerte sich kritisch, ob damit ein ausreichender Rechtsschutz von betroffenen Personen der EU in den USA erreicht werden kann. Es bleibt abzuwarten, ob die anstehenden Verhandlungen zwischen Kommission und Parlament noch diese Jahr zu eunem Ergebnis führen und die Bedenken die der EuGH hinsichtlich des Privacy Shield Abkommens hatte ausgeräumt werden können.

EuGH zum Begriff Kopie bei Auskunftsbegehren

In senem Urteil zum Vorabentscheidungsersuchen des BVwG hat der EuGH festgestellt, dass der Begriff Kopie so auszulegen ist, dass darunter eine originalgetreue und verständliche Reproduktion der Daten  zu verstehen ist. Dies umfasst auch Kopien oder Auszüge aus Dokumenten und Datenbanken, wenn die Kopie unerlässlich ist um derbetroffenen Person die Ausübung ihrer Rechte zu ermöglichen.

Eine bloße zur Verfügungstellung aggregierter Daten wird daher nur in Ausnahmefällen ausreichen, wenn explizit eine Kopie angefordert wurde.

EuGH zu Schadenersatz

In seinem Urteil zum Vorabentscheidungsansuchen des OGH hat der EuGH festgestellt, dass die bloße Verletzung einer Vorschrift der DSGVO, nicht ausreicht um einen Schadenersatz einklagen zu können. Es muss auch tatsächlich ein Schaden eingetreten sein. Eine nationale Bestimmung oder Praxis, die den Schadenersatzanspruch an eine gewisse Erheblichkeit knüpft, widersprich jedoch dem Unionsrecht und hat daher unangewndet zu bleiben. Es sind daher lediglich die Grundsätze der Effektivität und Äquivalenz der Union zu berücksichtigen.

Damit wird es in Deutschland möglicherweise schwieriger werden einen Schadenersatz einzuklagen, gingen doch manche Gerichte bisher davon aus, dass ein Verstoß gegen die DSGVO auch zu einen immateriellen Schaden führt. In Österreich wird es für die Betroffenen jedoch einfacher werden ihre Ansprüche einzuklagen, da die chwelle, dass der Schaden erheblich sein müsse fällt.

EuGH Urteil zu Vorratsdatenspeicherung

Der EuGH in in seinen Urteilen zu drei Rechtssachen in denen es um die Zulässigkeit Vorratsdatenspeicherung im Lichte der Datenchutzrichtlinie für ektronische Kommunikation (RL2002/58/EG) ging.

Erneut stellte der EuGH fest, dass eine ansatzlose und unbeschränkte Vorratsdaenspeicherung aufgrund des Interesse der nationalen Sicherheit nicht EU rechtskonform ist. Art 23 DSGVO ist dabei so auszulegen, dass die darin enthaltenen Beschränkungen nur zulässig sind, wenn eine ausreichende Bestimmbarkeit vorliegt, eine allgemeine und undifferenzierte Speicherung dadurch jedoch nicht gedeckt ist.

Der EuGH verweist erneut auf die Notwendigkeit eines ausreichenden Rechtsschutzes.

Allerdings ist eine anlassbezogene Speicherung die den Kriterien dieser Urteile entscpricht sehr wohl zulässig, was den Mitgliedsstaaten entsprechende Möglichkeiten zur gesetzlichen Regelung eröffnet.

Die Presseaussendung des EuGH findet sich hier.

EuGH zu Privacy Shield

Am 16.7. hat der EuGH das Urteil in der Rechtssache C-311/18 betreffend des Vorabentscheidungsansuchens des Hohen Gerichtshof Irlands gefällt. Dem Verfahren liegt die Beschwerde von Max Schrems zugrunde, dass aufgrund der Gesetze der Vereingten Staaten (FISA), kein ausreichender Schutz der personenbezogenen Daten bei der Übermittlung von Facebook Ireland an Facebook US bestehe.

Der Hohe Gerichtshof Irland wollte im wesentlichen wissen, ob

  1. EU Recht in diesem Fall anwendbar ist,
  2. der Angemessenheitsbeschluss der Kommission bezüglich des Privacy Shield Abkommens gültig in dem Sinne ist, das  ein ausreichendes Schutzniveau besteht und
  3. über Auslegung und Gültigkeit des Beschlusses über die Standardvertragsklauseln.

Der EuGh bejahte die erste Frage hinsichtlich der Anwendbarkeit der DSGVO. Den Beschluss hinsichtlich des Privacy Shield Abkommens erklärte er jedoch für ungültig. Hinsichtlich der Standardvertragsklauseln  hob er den Beschluss nicht auf, jedoch müsse dies im Einzelfall geprüft werden.