Podcast appearances and mentions of stefan brink

Schwarz-Rote Koalition: Datenschutz im Umbruch Im c't-Datenschutz-Podcast diskutieren Holger Bleich, Joerg Heidrich und Ex-Landesdatenschützer Stefan Brink über die geplante Neuausrichtung des Datenschutzes unter der schwarz-roten Koalition. Droht ein Abschied vom föderalen Modell? Die neue Regierungskoalition hat sich einiges vorgenommen, um den Datenschutz in Deutschland neu auszurichten. Im Koalitionsvertrag ist von "Entbürokratisierung" und "Zentralisierung" die Rede. Doch was bedeutet das konkret? Droht ein Abschied vom föderalen Modell der Datenschutzaufsicht? Und welche Rolle spielt dabei das neue Bundesministerium für Digitalisierung und Verwaltungsmondernisierung (BMDV) und dessen Quereinsteiger-Chef, der neue Bundesminister Karsten Wildberger? Diesen Fragen gehen c't-Redakteur Holger Bleich, Verlagsjustiziar Joerg Heidrich und der ehemalige Landesdatenschutzbeauftragte von Baden-Württemberg, Dr. Stefan Brink, in der aktuellen Episode des c't-Datenschutz-Podcasts nach. Brink warnt davor, den Datenschutz vorschnell als "Bürokratie" abzustempeln. Vielmehr gehe es um ein Grundrecht, das in Einklang mit anderen Interessen wie der Datennutzung gebracht werden müsse. Eine Zentralisierung der Datenschutzaufsicht beim Bund, wie im Koalitionsvertrag angedeutet, sieht Brink kritisch. Ihm zufolge würde sie einen massiven Umbau bedeuten: Drei Viertel der Stellen in den Ländern würden wegfallen. Brink sieht die Gefahr, dass dadurch die Beratung vor Ort leidet und das Datenschutzniveau sinkt. Auch das neue Digitalministerium wird diskutiert: Es übernimmt viele Kompetenzen, die bislang auf verschiedene Ressorts verteilt waren, doch der Datenschutz bleibt beim Innenministerium. Brink sieht das als verpasste Chance, den Datenschutz stärker mit der Digitalpolitik zu verzahnen. Zudem kritisiert er, dass die Bundesregierung der Bundesdatenschutzbeauftragten eine neue Rolle als "Beauftragte für Datennutzung, Datenschutz und Informationsfreiheit" zuschreiben will. Beim Thema Informationsfreiheit herrscht Ernüchterung: Ein modernes Transparenzgesetz, wie es der Ampelkoalition vorschwebte, ist nun nicht mehr in Sicht, stattdessen ist laut Brink "vier Jahre Winter" angesagt. Am Ende steht das Bild einer komplexen Gemengelage: Datenschutz bleibt ein zentrales Grundrecht, steht aber unter politischem und wirtschaftlichem Druck.

Der Datentransfer zwischen der EU und den USA steht erneut auf wackeligen Beinen. Nachdem der Europäische Gerichtshof (EuGH) bereits die Vorgängerabkommen "Safe Harbor" und "Privacy Shield" gekippt hatte, droht nun auch dem aktuellen "Transatlantic Data Privacy Framework" (TADPF) ein jähes Ende. Im c't-Datenschutz-Podcast erläutern Holger und Joerg Heidrich zusammen mit Dr. Stefan Brink die komplexe Gemengelage. Brink war bis Ende 2022 Landesdatenschutzbeauftragter in Baden-Württemberg, leitet nun das Wissenschaftliche Institut für die Digitalisierung der Arbeitswelt (wida) und kennt die Problematik aus nächster Nähe. Das TADPF sollte den Datentransfer eigentlich endlich auf eine solide Basis stellen. US-Präsident Biden erließ dazu 2022 die Executive Order 14086, die den Zugriff von US-Geheimdiensten auf EU-Bürgerdaten einschränken und Beschwerdemöglichkeiten schaffen sollte. Doch die Umsetzung ist fragil. Brink erläutert, dass die Executive Order jederzeit von US-Präsident Donald Trump wieder einkassiert werden könnte. Zudem ist das vorgesehene Kontrollgremium PCLOB faktisch lahmgelegt, da ihm die Mitglieder fehlen. Die EU-Kommission versucht nach Beobachtung von Holger, die Probleme auszusitzen, doch im EU-Parlament wachse der Druck, den Angemessenheitsbeschluss aufzuheben. Auch sogenannte Standardvertragsklauseln als Alternative stehen auf tönernen Füßen, da der EuGH hohe Anforderungen an "Transfer Impact Assessments" stellt. US-Gesetze wie der CLOUD Act ermöglichen weiterhin den Zugriff auf Daten bei US-Anbietern. Für EU-Unternehmen ist es kaum leistbar, sich komplett von US-Diensten zu lösen, da eine digitale Souveränität Europas fehlt. Die Aufsichtsbehörden in Deutschland und Europa sitzen nach Brinks Schilderung zwischen den Stühlen: Sie wissen um die rechtlichen Mängel, schrecken aber vor harten Maßnahmen zurück – auch aus Furcht vor wirtschaftlichem Chaos. Stattdessen setzen sie auf Dialog und hoffen, dass Unternehmen zumindest Alternativen prüfen. Die Diskutanten sehen die Gefahr, dass der Datentransfer zum Spielball im Handelskonflikt zwischen den USA und der EU werden könnte. Am Ende bleibt die Erkenntnis: Der transatlantische Datenverkehr ist in schwere See geraten, und Unternehmen täten gut daran, sich nach Alternativen umzusehen.

Im neuen Podcast mit Stefan Brink und Niko Härting zeigt sich einmal mehr, dass Gerichte und Gesetzgeber immer wieder „Luft nach oben“ lassen, was die Überzeugungskraft ihrer Entscheidungen angeht: Zunächst (ab Minute 00:46) werfen wir in Querbeet einen Blick auf die erfolglose Verfassungsbeschwerde einer Offizierin gegen die disziplinarrechtliche Ahndung der Gestaltung ihres privaten Tinder-Profils (BVerfG Beschluss vom 20. März 2025 - 2 BvR 110/23). Karlsruhe meint, die Verfassungsbeschwerde sei unzulässig, sie genüge nicht den Darlegungs- und Substantiierungsanforderungen des BVerfGG. Letztlich verneint das BVerfG die Beschwer, die von einer zwar in der Personalakte nicht getilgten, aber tilgungsreifen Disziplinarstrafe ausgeht. Naja. Sodann geht es (ab Minute 11:51) um die Entscheidung des Bundesverwaltungsgerichts (Beschluss vom 14. April 2025 BVerwG 10 VR 3.25), wonach kein presserechtlicher Auskunftsanspruch gegen den BND zu Erkenntnissen zum Ursprung der COVID-19-Pandemie besteht. Der BND habe plausibel dargelegt, dass die Auskünfte seine Funktionsfähigkeit und die auswärtigen Interessen der Bundesrepublik Deutschland beeinträchtigen könnten. Auch schade. Keinen Widerspruch sah der BGH (ab Minute 22:02) – Beschluss vom 22. Januar 2025, II ZB 18/23 – zu der einschlägigen Vorentscheidung des EuGH, als er dem Auskunftsersuchen eines Gesellschafters, das auch dem Ziel diente, die Namen, Anschriften und Beteiligungshöhen der Mitgesellschafter dazu zu verwenden, diesen Kaufangebote für ihre Anteile zu unterbreiten, stattgab. Der Kläger begehrte von der Treuhänderin vergeblich Auskunft über persönliche Daten sowie die Beteiligungshöhen der an den Fondsgesellschaften beteiligten Gesellschafter. Zu Recht, sagt der BGH, das auf Kenntnis seiner Mitgesellschafter gerichtete Auskunftsbegehren des Gesellschafters sei lediglich durch das Verbot der unzulässigen Rechtsausübung (§ 242 BGB) und das Schikaneverbot gemäß § 226 BGB begrenzt. In seinem Urteil vom 12. September 2024 hatte der Europäische Gerichtshof offenbar zu viel Spielraum gelassen. Sodann analysieren Niko und Stefan (ab Minute 28:16) den Koalitionsvertrag von CDU/CSU/SPD in Sachen Datenschutz, der nun „entbürokratisiert“ werden soll. Die Datenschutzaufsicht soll bei der Bundesdatenschutzbeauftragten „gebündelt“ werden, alle vorhandenen Spielräume der DSGVO wollen die Koalitionäre nutzen, um beim Datenschutz für Kohärenz, einheitliche Auslegungen und Vereinfachungen für kleine und mittlere Unternehmen, Beschäftigte und das Ehrenamt zu sorgen. Und die Vorratsdatenspeicherung wird auch eingeführt, die dreimonatige Speicherpflicht für IP-Adressen und Portnummern kommt. In Sachen Informationsfreiheit bleibt der Koalitionsvertrag kryptisch: „Das Informationsfreiheitsgesetz in der bisherigen Form wollen wir mit einem Mehrwert für Bürgerinnen und Bürger und Verwaltung reformieren.“ Was immer das nun bedeutet … da bleibt viel Luft nach oben!

Im neuen Podcast mit Stefan Brink und Niko Härting gilt der Hinweis (ab Minute 00:50) einer Vortragsveranstaltung der Stiftung Datenschutz, bei der Stefan zur Reform der DS-GVO spricht – der Vortrag ist dann unter https://294210.seu2.cleverreach.com/m/16049313/0-ade6065a5d75f15408ac75fd80a424e57cdaad9056497821bc9844cf6b3b8354148633b9b361312f04a0013bb7faca84 abrufbar. International geht es (ab Minute 02:45) los, und zwar um den Schuldspruch des Pariser Tribunal Correctionnel in der Affäre um Scheinbeschäftigungen von Mitarbeitern im Europaparlament; das das Gericht verhängte gegen Marine Le Pen mit sofortiger Wirkung die Strafe der befristeten Unwählbarkeit für politische Ämter für fünf Jahre. Außerdem wurde Le Pen (Vorsitzende der Partei Rassemblement National) zu vier Jahren Freiheitsstrafe, davon zwei Jahre Haft mit Fußfessel verurteilt und es wurde eine Geldstrafe in Höhe von 100.000 Euro verhängt. Das Gericht begründete das sofortige Amtsverbot mit einem drohenden "Rückfallrisiko". Die französische Politikerin kann aller Voraussicht nach nicht bei der Präsidentschaftswahl 2027 kandidieren, die politischen Reaktionen in Frankreich sind durchwachsen. So etwas kann auch in Deutschland passieren, der Verlust des passiven Wahlrechts ist Nebenstrafe nach § 45 Abs. 1 StGB. Ur-deutsch ist hingegen (ab Minute 12:56) die Entscheidung des VGH München (Beschluss v. 21.02.2025 – 7 ZB 24.651), wonach die Einsichtnahme in einen Auftragsverarbeitungsvertrag im Rundfunkbeitragsrecht sich weder aus dem Rundfunkbeitrag-Staatsvertrag, noch aus der DS-GVO oder § 29 VwVfG herleiten lässt. Sehr deutsch (ab Minute 24:18) ist auch das Thema sog. „Neugierabfragen“ aus staatlichen Informationsregistern. Das OLG Stuttgart (25.2.2025, 2 ORbs 16 Ss 336/24) bestätigte, dass die nicht dienstlich veranlasste Datenbankabfrage durch Behördenmitarbeiter (hier: Polizeiauskunftssystem "POLAS") eine Verantwortlichkeit gem. Art. 4 Nr. 7 DS-GVO begründet. Der Polizist bekam eine 1.500 € Geldbuße für den Abruf von Daten über einen damaligen Kollegen, der sich zu dieser Zeit in Untersuchungshaft befand. Sehr europäisch sind hingegen (ab Minute 33:01) die Entscheidungen des BGH (Urteile vom 27. März 2025 - I ZR 186/17; I ZR 222/19 und ZR 223/19) zur Befugnis der Verbraucherschutzverbände und Mitbewerber, Verstöße gegen das Datenschutzrecht im Wege einer wettbewerbsrechtlichen Klage vor den Zivilgerichten zu verfolgen (zu Facebook online-Spielen) bzw. zum Vertrieb von Medikamenten via Amazon. In allen Fällen lagen Vorlageentscheidungen des EuGH vor, welche der BGH brav umsetzte. Damit ist das Zusammenspiel von DS-GVO und UWG so ziemlich geklärt – im Wege der deutsch-europäischen Zusammenarbeit.

In Brüssel zeichnen sich die digitalpolitischen Schwerpunkte der neuen Kommission und des Parlaments ab. (Ab 03:40) Parlamentarier aller demokratischen Fraktionen schauen besorgt in die USA und halten „digitale Souveränität“ für das Gebot der Stunde. Der Weg dorthin wird jedoch steinig bleiben. Zugleich ist eine mögliche DSGVO-Reform in aller Munde. Dass es gerade bei den Sprachmodellen und allgemein bei KI etliche datenschutzrechtliche Stolpersteine gibt, ist allen Akteuren bewusst. Auch möchte man die Rechtsdurchsetzung verbessern und Erleichterungen für kleine und mittelständische Unternehmen schaffen. In einem „Omnibus“-Paket sollen manche Ungereimtheiten im Zusammenspiel der verschiedenen neuen Digitalrechtsakte beseitig werden. 18:48 Derweil schreitet die Arbeit an einem Koalitionsvertrag in Berlin weiter voran. Man diskutiert über ein Digitalministerium und deutlich erweiterte Zuständigkeiten der Bundesbeauftragten für Datenschutz und Informationsfreiheit. Wenn es nach CDU und CSU ginge, verlöre die BfDI zudem ihr „I“. Ausgerechnet Philipp Amthor soll die treibende Kraft bei Forderungen nach einer Abschaffung der Informationsfreiheit sein. Die Kettensäge lässt grüßen. 38:00 In Luxemburg produziert der EuGH gleichzeitig weiter DSGVO-Entscheidungen am Fließband. Stefan Brink und Niko Härting sprechen über einen österreichischen Scoringfall, in dem der EuGH die Auffassung vertritt, eine Auskunftei müsse den Aufsichtsbehörden und Gerichten gegebenenfalls die verwendeten Algorithmen offenlegen und könne sich dabei nicht auf den Schutz ihrer Geschäftsgeheimnisse berufen (EuGH vom 27.2.2025, Az. C-2043/““).

Im neuen Podcast mit Niko Härting und Stefan Brink geht es um Falsches, das berichtigt werden soll: Zunächst (ab Minute 00:50) berichtet Niko in Querbeet von den Versuchen der Trump-Administration, Maßnahmen der Gleichstellung (am Exempel großer US Law Firms) als Diskriminierung hinzustellen. Sodann geht es (ab Minute 06:21) um die Stellungnahme der Landesdatenschutzbeauftragten (ohne die BfDI) zum Data Act Durchführungsgesetz: Die LfD sprechen sich bei der Umsetzung des Data Acts für eine föderale Aufsicht aus, die Europa- und Verfassungsrecht beachtet und Doppelstrukturen vermeidet. Keinen Berichtigungsbedarf sah das BVerfG (ab Minute 12:49) - 2 BvE 4/25, Beschluss vom 13.3.2025 – anlässlich einer Organklage der fraktionslosen Abgeordneten des 20. Deutschen Bundestages Joana Cotar. Sie wendete sich ihren Anträgen auf Erlass einer einstweiligen Anordnung gegen die Anberaumung von Sondersitzungen des 20. Deutschen Bundestages - nach der bereits erfolgten Wahl zum 21. Deutschen Bundestag - in denen über die Schuldenbremse beraten werden sollte. Das BVerfG lehnte mit einer schlichten Folgenabwägung ab. Als berichtigungsbedürftig sieht die „Initiative für einen handlungsfähigen Staat“ (ab Minute 19:30) aus den vier Aktivisten Julia Jäkel (Managerin und Verlegerin, ehem. Vorstandsvorsitzende Gruner und Jahr), den ehemaligen Bundesministern Thomas de Maizière und Peer Steinbrück sowie Ex-BVerfG-Präsident Andreas Voßkuhle, die „Blockaden und Selbstblockaden staatlichen Handelns“, besonders beim Datenschutz: Die Datenschutzgrundverordnung werde in Deutschland strenger angewendet als in anderen EU-Staaten (soso), der Persönlichkeitsschutz sei gerade mit Hilfe digitaler Technologie leichter und besser umzusetzen (aha). Deswegen solle künftig Opt-Out statt Einwilligung herrschen, kleine und mittlere Unternehmen sollten über keinen Datenschutzbeauftragten mehr verfügen müssen. Und ach ja: Die Aufsicht über den nichtöffentlichen Bereich (Unternehmen), die heute durch die Datenschutzaufsichtsbehörden der Länder ausgeübt wird, sollte bei der Bundesbeauftragten erfolgen, um eine uneinheitliche Rechtsauslegung zu vermeiden. Nichts zu berichtigen hatte schließlich das BVerwG (10 VR 2.25 am 13. Februar 2025 – ab Minute 29:09) und lehnte den Antrag des Redakteurs einer Tageszeitung ab, der im Wege der einstweiligen Anordnung Auskünfte vom Bundesnachrichtendienst (BND) begehrte. Dieser wollte anlässlich der Münchner Sicherheitskonferenz vertrauliche Hintergrundgesprächen mit Journalisten führen – das BVerwG fand das nicht spannend genug und ließ offen, ob der BND richtig oder falsch damit liegt. Mit einem Anspruch auf Berichtigung nach Art. 16 DS-GVO befasste sich der EuGH (Urteil vom 13.3.25 C-247/23 – ab Minute 39:38). Ein transsexueller iranischer Geflüchteter bat die ungarische Ausländerbehörde um die Berichtigung von Daten betreffend seine Geschlechtsidentität in einem von dieser Behörde geführten öffentlichen Register. Die Behörde lehnte das ab, da er keinen Nachweis einer geschlechtsangleichenden Operation geführt hatte. Dem trat der EuGH auf Basis der DS-GVO (!) entgegen und befand, dass eine nationale Regelung, die es verhindert, dass eine transgeschlechtliche Person wegen fehlender Anerkennung ihrer neuen Geschlechtsidentität eine notwendige Voraussetzung erfüllen kann, um in den Genuss eines unionsrechtlich geschützten Anspruchs – wie im vorliegenden Fall des in Art. 16 DS-GVO konkretisierten Rechts – zu gelangen, grundsätzlich als mit dem Unionsrecht unvereinbar anzusehen sei. Wer hätte gedacht, dass die DS-GVO wirklich alles regelt … aber vielleicht bedürfte auch diese richterliche Auffassung der Berichtigung …

Niko Härting und Stefan Brink werfen zunächst (ab Minute 01:06) einen Blick auf den Fall Perkins Coie, der die Anwaltschaft weltweit schockiert. Der US-Präsident entzog mittels einer Executive Order der Wirtschaftskanzlei Perkins Coie LLP alle Mandate. Die Bundesbehörden wurden angewiesen, alle Dienstleister zur Offenlegung von Geschäftsbeziehungen mit Perkins Cole aufzufordern. Zudem lässt Trump untersuchen, ob amerikanische Großkanzleien gegen Antidiskriminierungsrecht verstoßen, indem sie weiße heterosexuelle Männer diskriminieren. Ab Minute 13:25 geht es um ein viel beachtetes BGH-Urteil zum immateriellen Schaden nach Art. 82 DSGVO bei Spam-Mails (BGH v. 28.1.2025 - VI ZR 109/23). Der BGH verneint das Erfordernis einer ,,Erheblichkeitsschwelle“ für einen immateriellen Schaden, verlangt allerdings eine konkrete Darlegung des Schadens. Im Anschluss (ab Minute 21:59) diskutieren Härting und Brink eine Entscheidung des AG München über das (nach Auffassung des Gerichts fehlende) Recht einer Gerichtsvollzieherin zur Befragung der Nachbarn eines Schuldners nach dessen Aufenthaltsort. Siegeszug der DSGVO oder ärgerliches Missverständnis? Abschließend (ab Minute 32:14) wird eine Entscheidung des Bundesfinanzhofs zum Auskunftsanspruch gemäß Art. 15 DSGVO thematisiert (BFH v. 14.1.2025 – IX R 25/22). Dieser besteht auch gegen Finanzämter, einen unverhältnismäßigen Aufwand kann die Behörde dem Anspruch nach Auffassung des BFH in aller Regel nicht entgegenhalten.

Im neuen Podcast mit Stefan Brink und Niko Härting dreht sich alles um Allianzen im Datenschutz: Zunächst (ab Minute 00:40) geht es in Querbeet um die Frage, ob der unberechenbare US-Präsident Trump das EU-US Data Privacy Framework zu Fall bringen könnte – aus dem Jahr 2023, als die Allianz zwischen EU und USA noch stand. Stefan erklärte in einem Beitrag für das „Handelsblatt“, warum es sich jetzt rächen könnte, dass der Angemessenheitsbeschluss der EU-Kommission nur mit einer Executive Order des Präsidenten Biden und nicht wie von Datenschützern verlangt durch ein Parlamentsgesetz umgesetzt und abgesichert wurde: Jeder Präsident der USA hat es nun selbst in der Hand, das Abkommen wieder scheitern zu lassen. Sodann geht es (ab Minute 13:21) beim Referentenentwurf zum Data Act-Durchführungsgesetz und die bröckelnde Allianz der Datenschutz-Aufsichtsbehörden der Länder und des Bundes: Der EU-DA, der eine faire Verteilung des Datenwertes vernetzter Produkte anstrebt, bekommt in Deutschland mit der Bundesnetzagentur eine zentrale Aufsichtsbehörde für die Durchsetzung und Überwachung der Verordnung (EU) 2023/2854. Ergänzend wird eine Sonderzuständigkeit für die Bundesbeauftragte für den Datenschutz und die Informationsfreiheit geschaffen – interessanterweise an den Aufsichtsbehörden der Länder vorbei. Aufgrund seiner Gesetzgebungskompetenz aus Artikel 74 Absatz 1 Nummer 11 Grundgesetz (Recht der Wirtschaft) begründet der Bund diese Sonderzuständigkeit der BfDI mit Artikel 87 Absatz 3 Satz 1 Grundgesetz. Die BfDI verfüge über das für eine zügige Identifizierung und Bewertung von Datenschutzfragen sowie die Aufbereitung von Sachverhalten notwendige Fachwissen und könne somit erheblich zu einer raschen Beurteilung der datenschutzrechtlichen Fragestellungen beitragen. Brechen da alte Allianzen zwischen der deutschen Datenschutzaufsichtsbehörden von Bund und Ländern? Haben wir es hier mit der Blaupause für Zentralisierung der Aufsicht über private Unternehmen beim Bund (BfDI) zu tun? Schließlich (ab Minute 29:02) gibt es offenbar eine denkwürdige Allianz zwischen Axel Voss (MdEP der EVP-Fraktion) und Max Schrems von der Datenschutz-Organisation NOYB. Voss präsentiert seinen Plan zur Revision der DS-GVO, er will in einem 3-Schichten-Modell eine Differenzierung der Pflichten der DS-GVO abhängig von der nach Unternehmensgröße (vgl. DSA zu very large online platforms VLOP) vornehmen. Schrems stimmt insoweit zu, das „one size fits all“ der DS-GVO sei schon immer verrückt gewesen. Allerdings korreliert ein an der Unternehmensgröße ausgerichteter asymmetrischer Ansatz keineswegs mit dem risikobasierten Ansatz der DS-GVO: Risiken ergeben sich aus Datenmenge, Datenarten (Art. 9-Daten) und TOMs als risikomindernden Maßnahmen – nicht zwingend aus der Unternehmensgröße. Ehemalige, bröckelnde und denkwürdige Allianzen im Datenschutz also…

Im Mittelpunkt dieser Podcastfolge steht (ab Minute 16:17) eine Entscheidung des Europäischen Gerichtshofs (EuGH), die sich an der Schnittstelle zwischen dem Datenschutzrecht und dem Gesellschaftsrecht bewegt und die von den Datenschützern bislang viel zu wenig beachtet wurde (EuGH vom 12.9.2024 – Az. C-17/22 und C-18/22). Zwei deutsche Fälle zu Publikumsgesellschaften (Treuhandfonds) und zu der umstrittenen Frage, ob ein Anleger Auskunft über die weiteren Mitgesellschafter und Treugeber verlangen kann. Nach der ständigen Rechtsprechung des Bundesgerichtshofs (BGH) kann ein solcher Anspruch vertraglich nicht ausgeschlossen werden; „das Recht, seine Vertragspartner zu kennen, ist in jedem Vertragsverhältnis selbstverständlich“ (BGH vom 19.11.2019, Az. II ZR 263/18, Rn. 13). Die Entscheidung des EuGH hinterlässt Stefan Brink und Niko Härting weitgehend ratlos. Der EuGH misstraut erneut jeder Datenverarbeitung, die sich nicht auf Einwilligungen stützt. Die Rechtfertigungsgründe des Art. 6 Abs. 1 Satz 1 lit. b bis f DSGVO sind für den EuGH ersichtlich Normen der zweiten Wahl: „In diesem Zusammenhang sind die in Art. 6 Abs. 1 Unterabs. 1 Buchst. b bis f DSGVO vorgesehenen Rechtfertigungsgründe eng auszulegen, da sie dazu führen können, dass eine Verarbeitung personenbezogener Daten trotz fehlender Einwilligung der betroffenen Person rechtmäßig ist“ (a.a.O., Rn. 37). Eine höchst eigenwillige Interpretation des Art. 6 DSGVO. Was für den BGH „selbstverständlich“ und unabdingbar ist, sieht der EuGH ganz anders: „Vorbehaltlich einer Überprüfung durch das vorlegende Gericht ist daher eine Verarbeitung personenbezogener Daten, die in der Weitergabe von Informationen in Bezug auf Gesellschafter besteht, die über eine Treuhandgesellschaft mittelbar an einer Publikumsfondsgesellschaft beteiligt sind, nicht als im Sinne von Art. 6 Abs. 1 Unterabs. 1 Buchst. b DSGVO ‚für die Erfüllung eines Vertrags … erforderlich‘ anzusehen, wenn der Vertrag, der dem Erwerb einer solchen Beteiligung zugrunde liegt, die Weitergabe dieser Daten an Mitanteilseigner ausdrücklich ausschließt“ (a.a.O., Rn. 47). Mit einer erstaunlichen Volte eröffnet der EuGH den deutschen Gerichte dann jedoch über Art. 6 Abs. 1 Satz 1 lit. c DSGVO eine Hintertür, die es dem BGH mit großer Wahrscheinlichkeit ermöglicht, an seiner bisherigen Rechtsprechung festzuhalten. Letztendlich wird wohl alles beim Alten bleiben… Ein Glanzstück des Kompliziert-Verästelten sind auch die Guidelines des Europäischen Datenschutzausschusses zur Pseudonymisierung (ab Minute 7:24). Und auch das jüngste Urteil des EuGH zur Bemessung von Bußgeldern bei Konzernunternehmen (EuGH vom 13.2.2025, Az. 383/23) kommt nicht ohne Kapriolen aus (ab Minute 36:36). Umso klarer und entschiedener reagiert Apple auf alles Bestrebungen, staatlichen Behörden Hintertürchen in die iCloud zu öffnen (ab Minute 1:00).

Im neuen Podcast sprechen Stefan Brink und Niko Härting zunächst (ab Minute 01:01) in Querbeet über die chinesische KI DeepSeek, welche in der Kritik steht: Die Verarbeitung von Nutzerdaten (Eingabe von Prompts/Nutzungsdaten/Profile) widerspreche dem EU-Datenschutz, Zugriff auf diese Nutzerdaten hätten auch staatliche Stellen in China. Zudem ließe sich die App für kriminelle Zwecke nutzen. Die italienische Aufsichtsbehörde hat die App bereits verboten. Sodann geht es (ab Minute 09:51) um einen befürchteten „bürokratischen Staatsstreich“ in den USA, das „Department of Government Efficiency“ der Trump-Administration richtet unter Elon Musk (Tesla/X/SpaceX) bereits massiven Schaden an. Mit der Begründung, gegen Verschwendung, Korruption und „Bürokratie“ vorgehen zu wollen, sichert sich Musk den Zugriff auf sensible Personaldaten. US-AID, die Behörde für internationale Entwicklungshilfe, wird de facto aufgelöst, von 10.000 Mitarbeitenden sollen noch 300 bleiben. Erste Gerichte greifen ein und versuchen, eine Aushöhlung des Rechtsstaats zu verhindern. Auch kurz angesprochen (ab Minute 15:30) wird eine Vorlageentscheidung des BGH an den EuGH vor: Zu klären ist der Umfang der Geschäftsführerhaftung für Kartellbußgelder – hier am Beispiel von Kartellabsprachen in der Stahlindustrie, gegen die das Bundeskartellamt Bußgelder in Höhe von 4,1 Millionen Euro gegen die GmbH und in Höhe von 126.000 Euro gegen den Geschäftsführer persönlich verhängte. Schließlich (ab Minute 19:26) stehen Grundfragen des Datenschutzes vor dem Europäischen Gerichtshofs zur Debatte (Rechtssache C-413/23): Der Generalanwalt legte am 6.2.2025 seinen Schlussantrag vor, verhandelt wird über das Urteil des EuG 1. Instanz vom 26.4.2023. In der Sache wirft der Europäische Datenschutzbeauftragte EDSB dem SRB (Single Resolution Board, einheitlicher Abwicklungsausschuss), der als Bankenaufsicht bei der Abwicklung von Kreditinstituten tätig wird, die Verletzung datenschutzrechtlicher Informationspflichten vor (vgl. Art. 13 DS-GVO, hier jedoch: Verordnung 2018/1725 zur Datenverarbeitung durch EU-Organe). In einem denkbar einfach gelagerten Fall – ein Dienstleister erhält pseudonymisierte Daten – entwickelt das EuG die Theorie, dass der Personenbezug nicht absolut, sondern je nach Empfänger der Daten relativ festzustellen sei – und beruft sich dabei auf den EuGH (Breyer-Entscheidung vom 19.10.2016 zum Personenbezug von IP-Adressen). In seinem Schlussantrag geht der GA ebenfalls davon aus, dass pseudonyme Daten für den Datenverarbeiter anonym sein können – was wohl mit dem Wortlaut von ErwGr 26 DS-GVO kollidiert. Zur Krönung dieser Verwirrung geht der GA auch noch davon aus, dass Informationspflichten des Verantwortlichen nicht deswegen entfallen, weil die Daten für den Empfänger anonym sind (anders als Art. 4 Nr. 9 DS-GVO). Handlungen des Verantwortlichen, die keine Beeinträchtigung des Betroffenen auslösen können, sollen also keinen Einfluss auf seine Pflichten haben? Na prima … Grundfragen des Datenschutzes sind offensichtlich unklar und ungeklärt – man möchte mit Dante angesichts dieses Blicks in den Höllenschlund ausrufen: „Lasciate ogni speranza“ – Lasst alle Hoffnung fahren …

Was sagen eigentlich die Parteien in ihren Programmen zum Datenschutz, zu Bürgerrechten, zur Informationsfreiheit. Stefan Brink und Niko Härting haben sich eingelesen.

In diesem Podcast sprechen Stefan Brink und Niko Härting zunächst (ab Minute 00:59) über das Gutachten des Netzwerks Datenschutzexpertise zur Frage: Unter welchen Voraussetzungen besteht ein Anspruch auf eine analoge Alternative zum digitalen Service? Bei immer mehr Dienstleistungen von Staat und Wirtschaft werden solche Alternativen nicht mehr angeboten. So z. B. wenn der Kauf günstiger Bahnfahrkarten, die Abholung von Postpaketen oder der Eintritt zu Kultur- oder Sportveranstaltungen ohne Smartphone nicht mehr möglich ist. Auch die öffentliche Verwaltung setzt immer öfter auf „digital only“. Dadurch werden Menschen regelmäßig ausgeschlossen und diskriminiert, weil sie sich die benötigten Digitalgeräte und Anschlüsse nicht leisten können, weil sie nicht über die nötige Medienkompetenz verfügen oder weil sie wegen einer Beeinträchtigung einen Dienst faktisch nicht nutzen können. Viele Menschen versuchen auch, digitale Angebote – insbesondere im Internet – zu vermeiden, weil sie befürchten, dass ihre dadurch erlangten Daten missbraucht werden. Ein Anspruch auf alternativen analogen Zugang lässt sich möglicherweise aus der Verfassung herleiten, gerade gegen öffentliche Stellen. Das Gutachten mündet in die Forderung, ein Verbot digitaler Diskriminierung verfassungsrechtlich zu fixieren. Sodann wird (ab Minute 10:16) das Urteil des Bundesverfassungsgerichts zur Erhebung einer Gebühr für den polizeilichen Mehraufwand bei „Hochrisikospielen“ der Fußball-Bundesliga besprochen (Urteil vom 14.1.2025 1 BvR 548/22). Die Verfassungsbeschwerde der DFL Deutsche Fußball Liga GmbH blieb erfolglos, das BVerfG prüft mustergültig den gesetzlichen Eingriff in die Berufsausübungsfreiheit des Art. 12 GG und beurteilt diesen als formell und materiell verfassungskonform. Zweifel bestehen allenfalls an der Trennschärfe der angelegten gesetzlichen Kriterien für eine Kostenbeteiligung (polizeilicher Mehraufwand bei gewinnorientierten, erfahrungsgemäß gewaltgeneigten Großveranstaltungen mit mehr als 5.000 Personen). Schließlich wird (ab Minute 21:34) ein Urteil des Europäischen Gerichtshofs vom 9.1.2025 (Rechtssache C-416/23) analysiert: Es geht um die Pflicht der Aufsichtsbehörde zur Bescheidung exzessiver Anträge nach Art. 57 Abs. 4 DS-GVO. Ganze 77 Mal beschwerte sich ein Österreicher bei der örtlichen Datenschutzbehörde über mögliche Verstöße gegen die Datenschutz-Grundverordnung, etwa die Verletzung von Art. 15 DS-GVO - in weniger als zwei Jahren. Die österreichische Behörde weigerte sich, die Beschwerden noch zu bearbeiten. Der Bürger habe exzessiv Beschwerden eingereicht und es damit übertrieben. Der EuGH macht den Aufsichtsbehörden das Leben nicht leichter: Anfragen seien nicht allein aufgrund ihrer Zahl während eines bestimmten Zeitraums als „exzessiv“ im Sinne dieser Bestimmung einzustufen, die Aufsichtsbehörde müsse zusätzlich das Vorliegen einer Missbrauchsabsicht der anfragenden Person nachweisen. Das Wahlrecht der Aufsichtsbehörde (Nicht-Behandlung der exzessiven Anfrage oder Erhebung einer Gebühr) müsse zudem verhältnismäßig ausgeübt werden. Aufsichtsbehörde zu sein macht auch nicht immer Spaß …

Niko Härting und Stefan Brink werten zunächst die Grundgesetzänderung zum Schutz des Bundesverfassungsgerichts aus. Die Struktur und Zusammensetzung sowie die Bindungswirkung der Entscheidungen des Bundesverfassungsgerichts sind nun im Grundgesetz festgeschrieben. Somit wurden einige Regelungen aus dem einfachen Gesetz (Bundesverfassungsgerichtsgesetz), welche jederzeit mit einfacher Mehrheit geändert werden können, durch die Hürde der 2/3-Mehrheit zur Veränderung des Grundgesetz geschützt. Transparenzregelungen in Bezug auf die Wahl der Richter des Bundesverfassungsgerichts, welche das Vertrauen in unsere Verfassungshüter stärken würden, wurden bedauerlicherweise nicht beschlossen. Ab Minute 13:47 werden zwei Entscheidungen zum Datenschutz, insbesondere zum Thema der Datenminimierung besprochen. In Polen konnten Erziehungsberechtigte der Verarbeitung eines Fingerabdrucks zwecks Identitätsfeststellung bei der Essensausgabe einwilligen. Andernfalls musste die Identität der Schülerin analog über eine Liste in einer separaten Schlange festgestellt werden. Die polnische Datenschutzbehörde bezweifelte die Wirksamkeit der Einwilligung mangels Freiwilligkeit. Das Verwaltungsgericht in Polen widersprach der Behörde. Trägt die Entscheidung den besonderen Anforderungen für biometrische Daten des Art. 9 DSGVO hinreichend Rechnung? Ab Minute 27:52 geht es um die EuGH-Entscheidung vom 9.1.2025 (Az. C-394/23) in der das Gericht entschied, dass die Erhebung der Geschlechtsangabe für die französische Bahngesellschaft SNCF nicht erforderlich sei. Härting und Brink beschäftigen sich genauer mit der Auslegung des Art. 6 Abs. 1 lit. a bis f DSGVO (Rechtsgrundlagen für die Datenverarbeitung), insbesondere wird die Anwendung des EuGH der Datenverarbeitung zwecks der Vertragsdurchführung (Art. 6 Abs. 1 lit. b DSGVO) kritisiert. Last but not least setzt der EuGH im Rahmen des Art. 6 Abs. 1 lit. f DSGVO einen strengen Maßstab fest: Aus dem Erforderlichkeitsgrundsatz wird das Erfordernis einer ,,unbedingten Notwendigkeit“.

Im neuen Podcast sprechen Stefan Brink und Niko Härting zunächst (ab Minute 01:06) über Mark Zuckerbergs Kehrtwende: Er ändert (in den USA) die Moderation von Posts auf Facebook und Instagram zugunsten von Free Speech, die Bekämpfung von Fake News und Hate Speech hat das Nachsehen. Hatte sich der Facebook-Mutterkonzern Meta nach dem ersten US-Wahlsieg von Donald Trump im Jahr 2016 noch bemüht, Fehlinformationen und Hetze auf seinen Plattformen einzuschränken, will Zuckerberg Facebook und Instagram jetzt nach dem Vorbild von X umgestalten. Auf Faktenchecks soll auf seinen Plattformen verzichtet werden, deutlich „einfachere Regeln“ und „weniger Restriktionen“ soll es geben - und weniger „institutionelle Zensur“. Auswirkungen auf die EU sind wohl vorerst nicht zu erwarten, da der Digital Services Act DSA (seit 2/24 für VLOP) verbindliche Vorgaben gegen Fake News und Hate Speech macht und Faktenchecker (Art. 22 DSA „vertrauenswürdige Hinweisgeber“) installiert. Sodann erläutert Niko (ab Minute 25:08) die Stellungnahme des Deutschen Anwaltvereins zu einer delegierten Verordnung zum DSA – bei welcher der Datenschutz offensichtlich unter die Räder gerät (https://www.google.com/url?sa=t&source=web&rct=j&opi=89978449&url=https://anwaltverein.de/de/newsroom/sn-85-24-eu-konsultation-verordnung-digital-services-act-dsa%3Ffile%3Dfiles/anwaltverein.de/downloads/newsroom/stellungnahmen/dav-sn-85-24-dsa-konsultation.pdf&ved=2ahUKEwjT98DL9uqKAxVayAIHHX7PHhUQFnoECBwQAQ&usg=AOvVaw2XV13A0V0BivJY2Ptyr0ZC). Schließlich wird (ab Minute 32:07) ein Hyperlink zu Facebook der EU-Kommission zum Verhängnis: Mit Urteil des Europäischen Gerichts 1.Instanz in der Rechtssache T-354/22 | Bindl / Kommission vom 8.1.2025 wird sie zu Schadenersatz in Höhe von 400 € verurteilt. Das kam so: Ein in Deutschland lebender Bürger wirft der Kommission vor, sein Recht auf Schutz seiner personenbezogenen Daten verletzt zu haben, als er 2021 und 2022 die von der Kommission betriebene Website der „Konferenz zur Zukunft Europas“ besucht habe. Er hatte sich über diese Website zu einer Veranstaltung angemeldet und hierzu den Authentifizierungsdienst „EU Login“ der Kommission verwendet, bei dem er sich für die Anmeldeoption „Mit Facebook anmelden“ entschieden hatte. Der Betroffene meint, bei seinen Besuchen der Website der Konferenz zur Zukunft Europas seien ihn betreffende personenbezogene Daten an Empfänger in den Vereinigten Staaten übermittelt worden, insbesondere seine IP- Adresse sowie Browser- und Geräteinformationen. Die Vereinigten Staaten hätten aber (zu diesem Zeitpunkt) kein angemessenes Schutzniveau aufgewiesen. Die ihn betreffenden personenbezogenen Daten seien deshalb der Gefahr eines Zugriffs durch die Sicherheits- und Nachrichtendienste der Vereinigten Staaten ausgesetzt gewesen. Dem stimmt das EuG (teilweise) zu, der Betroffene habe einen immateriellen Schaden erlitten: Er befinde sich nämlich in einer Lage, in der er nicht sicher sei, wie die ihn betreffenden personenbezogenen Daten, insbesondere seine IP-Adresse, verarbeitet werden (Kontrollverlust) – weswegen das Gericht die Kommission verurteilt, an den Betroffenen 400 Euro zu zahlen. Meta-Morphosen wohin man schaut …

Im neuen Podcast sprechen Stefan Brink und Niko Härting mit der Berliner Landesbeauftragten für Datenschutz und Informationsfreiheit Meike Kamp. Zunächst geht es (ab Minute 02:30) um die Situation des Datenschutzes in Berlin und Deutschland, auch die Lage der Konferenz der Datenschutzbeauftragten der Länder und des Bundes wird kritisch hinterfragt. Meike Kamp betont dabei die erzielten Fortschritte und verweist auf die erhebliche Beschwerdelast der Aufsicht. Dann geht der Blick auf die europäische Ebene (ab Minute 28:50), der Europäische Datenschutzausschuss EDSA ist ebenso wie der Europäische Gerichtshof EuGH ein zentraler Player im „neuen Datenschutz“ der DS-GVO. Aus Sicht von Meike Kamp haben die Institutionen ihre Rolle inzwischen gefunden – es bleint also spannend. Abschließend (ab Minute 44:21) stellt Meike Kamp die Schwerpunkte ihres Vorsitzjahres 2025 bei der DSK vor – lauter Neuigkeiten also von der Berliner Aufsicht!

Im neuen Podcast sprechen Stefan Brink und Niko Härting in Querbeet (ab Minute 00:42) zunächst über ein Gespräch von Stefan mit Netzpolitik.org zur Informationsfreiheit: Moderne Verwaltung ist transparent ( https://netzpolitik.org/2024/ex-datenschutzbeauftragter-im-interview-moderne-verwaltung-ist-transparent/). Was steht Transparenz der Verwaltung eigentlich entgegen? Welche Rolle spielt die „Fachlichkeit“ der Verwaltung? Und warum ist nicht wirtschaftliche Effizienz, sondern Rechtstaatlichkeit ausschlaggebend? Dann betrachten bei die Pressemitteilung des Bundesverwaltungsgerichts (ab Minute 12:46) zur „Pegasus“-Entscheidung (https://www.bverwg.de/071124U10A5.23.0): Der Bundesnachrichtendienst (BND) ist danach nicht verpflichtet, einem Journalisten von FragDenStaat Auskünfte über den Erwerb und Einsatz der Software "Pegasus" zu erteilen. Diese Software ist eine israelische Spyware, mit der mobile Endgeräte mit den Betriebssystemen iOS oder Android ausgespäht werden (Zugriff auf Daten sowie die Aktivierung von integrierten Mikrofonen und Kameras). Zwar gelte – so das BVerwG in seiner noch nicht veröffentlichten Entscheidung - Pressefreiheit auch für digitale Medien. Den erbetenen Auskünften stünden aber überwiegende öffentliche Interessen entgegen: Der BND habe plausibel dargelegt, dass diese Auskünfte seine Funktionsfähigkeit beeinträchtigen könnten. Die journalistischen Fragen zielten auf die Offenlegung seiner aktuellen nachrichtendienstlichen Arbeitsweise und Methodik ab. Dies könnte mittelbar auch operative Vorgänge gefährden. Zudem wären die Informationen für ausländische Geheim- und Nachrichtendienste und andere mögliche Aufklärungsziele von bedeutendem Interesse. Auch der Schutz der Zusammenarbeit des BND mit solchen Diensten wäre bei Erteilung der Auskünfte beeinträchtigt. Man wundert sich demnach, was ausländische Nachrichtendienste alle nicht wissen … Dann geht es (ab Minute 22:08) um die Frage, was der Verfassungsschutz in den Sozialen Medien zu suchen hat: der Thüringer Verfassungsgerichtshof stärkt das Fragerecht von Abgeordneten (Urteil vom 20.11.2024, https://verfassungsgerichtshof.thueringen.de/media/tmmjv_verfassungsgerichtshof/Entscheidungen/23-00021_Urteil_nicht_barrierefrei.pdf) und tritt der Argumentation der Landesregierung entgegen, bei einer nachrichtendienstlichen Tätigkeit ergebe sich das Bedürfnis nach Geheimhaltung bereits aus der Natur der Sache. Im Organstreitverfahren zweier AfD-Abgeordneter zum Umgang des Thüringer Verfassungsschutzes mit Fake-Accounts in den sozialen Netzwerken bekräftigt das Gericht, dass die Landesregierung zumindest allgemeine Informationen hätte geben müssen, etwa die Angabe, wie viele (Fake-)Accounts der Verfassungsschutz in den sozialen Netzwerken nutzt. Angaben darüber, welche Chatgruppen der Verfassungsschutz in der Vergangenheit möglicherweise selbst erstellt habe, seien dagegen nicht vom parlamentarischen Fragerecht umfasst, da die Funktionsfähigkeit des Verfassungsschutzes ein in der Verfassung verankertes Schutzgut sei. Informationsfreiheit aus Bürgersicht, aus Journalistensicht und aus Sicht des Parlaments – so viel Transparenz war selten …

Wer hätte gedacht, dass der Datenschutz dem BGH Anlass gibt, seine erste Leitentscheidung zu treffen? Seit dem 18.11.2024 wissen wir, dass „der bloße und kurzzeitige Verlust der Kontrolle über eigene personenbezogene Daten“ bereits ein Schaden sein kann, der einen Schadensersatzanspruch begründen kann. Dies allerdings nur „in einer Größenordnung von 100 EUR“ (BGH vom 18.11.2024, Az. VI ZR 10/24). Stefan Brink und Niko Härting sprechen über die BGH-Entscheidung und über deren Folgen für Tausende Facebook-Scraping-Verfahren, die noch an Gerichten in der ganzen Republik anhängig sind. Ob es sich für Betroffene und deren Anwälte noch lohnt, Prozesse zu führen, wenn es nur noch um symbolische „Größenordnungen“ geht? 33:45 Die Leitentscheidung des BGH wird auch für andere Fälle Bedeutung haben, in denen es um Schadensersatz nach der DSGVO geht. Brink und Härting erörtern dies anhand einer sehr ausführlichen, frischen Entscheidung des OLG Dresden zum Fall Deezer (Urteil vom 15.10.2024, Az. 4 U 940/24). Die Zurückhaltung des OLG beim Schadensersatz wegen „Kontrollverlusts“ wird nach der BGH-Entscheidung nicht mehr haltbar sein. Spannend bleibt allerdings die weitere Entwicklung des Erfüllungseinwands bei der datenschutzrechtlichen Auskunft (Art. 15 DSGVO). Zivilrechtlich kann eine unrichtige Auskunft den Auskunftsanspruch nach § 362 BGB erfüllen. Einen Anspruch auf eine „richtige“ Auskunft gibt es im Zivilprozess nicht, dies hat das OLG Dresden sehr ausführlich und schlüssig begründet. Aber könnte der Betroffene jetzt bei der Datenschutzbehörde auf dem Beschwerdeweg eine vollständige und richtige Auskunft erwirken? Oder müsste es auch dort heißen: „Njet, 362 BGB“?

Im neuen Podcast sprechen Stefan Brink und Niko Härting in Querbeet (ab Minute 00:45) zunächst über den Beschluss des Bundesverfassungsgerichts vom 8.10.24 (1 BvR 1743/16), mit dem die Ausgestaltung der strategischen Fernmeldeüberwachung des Bundesnachrichtendienstes BND teilweise für verfassungswidrig erklärt wurde. Nach mehr als acht (!) Jahren wurde Verfassungsbeschwerden stattgegeben, die sich gegen umfangreiche heimliche Eingriffe in Art. 10 GG wehrten. Nun befand auch das BVerfG, dass inländische Kommunikation aussortiert werden muss, der Schutz des Kernbereichs privater Lebensgestaltung auch für ausländische Personen gewährleistet und die unabhängigen objektivrechtlichen Kontrolle durch die G 10-Kommission besser ausgestaltet werden muss. Dann geht es (ab Minute 19:34) um den Beschluss des Bundesverwaltungsgerichts vom 12.9.24 (6 A 2.24), in dem er sich mit der Besorgnis der Befangenheit einer Richterin auseinandersetzt (https://www.bverwg.de/de/120924B6A2.24). Im Verfahren begehrte der Bundesdatenschutzbeauftragte Einsicht in Unterlagen des BND, den er von Amts wegen kontrolliert. Die Richterin am Bundesverwaltungsgericht ist Mitglied des 6. Revisionssenats und war von 2021 bis 2024 als Kontrollbeauftragte Mitglied des gerichtsähnlichen Kontrollorgans des Unabhängigen Kontrollrats (UKR), sie zeigte mit dienstlicher Erklärung an, dass sie infolge grundlegender fachlicher Differenzen auf ihren eigenen Antrag hin aus dem Amt einer Kontrollbeauftragten entlassen worden und in ihr Amt als Richterin am Bundesverwaltungsgericht zurückgekehrt sei. Sie sei als Mitglied des gerichtsähnlichen Kontrollorgans des UKR in quasi-richterlicher Funktion auch zur Vorabkontrolle der von dem BND vorgelegten Anordnungen berufen gewesen, das könne Misstrauen gegen ihre Unparteilichkeit rechtfertigen. Da es gilt, bereits den bösen Schein, das heißt den möglichen Eindruck fehlender Unvoreingenommenheit und mangelnder Objektivität zu vermeiden, wurde die Richterin am Bundesverwaltungsgericht in dem anhängigen Verfahren ausgeschlossen. So funktioniert der Rechtsstaat. Dann wirft Stefan einen Blick zurück (ab Minute 23:33) auf die Anhörung des Europäischen Datenschutz-Ausschusses (EDSA) zu Trainingsdaten für KI, an der er am 5.11.24 teilnehmen konnte. Vor dem Hintergrund einer Anfrage der irischen DPC zum KI-Training bei Meta befasst sich der EDSA nun mit den Fragen: Finden sich in KI-Modellen personenbezogene Daten? Genügt für deren Verarbeitung die Rechtsgrundlage Art. 6 Abs. 1 lit. f DS-GVO? Wie sieht die dort vorgesehene Abwägung aus und wer prüft sie wie? Und schließlich: Gibt es eine „Infektion“ des rechtswidrig trainierten KI-Modells zu Lasten der Anwendung des KI-Systems? Spannende Fragen, wir erwarten die Antwort des EDSA Mitte Dezember.

Im neuen Podcast erörtern Niko Härting und Stefan Brink in Querbeet (ab Minute 05:45) zunächst den geleakten Entwurf zu einem Beschäftigtendatengesetz. Einige Vorschläge waren zu erwarten, etwa zum Einsatz von KI-Systemen (§ 10) oder zu einem Verwertungsverbot (§ 11 – entgegen BAG Urteil vom 29. Juni 2023 - 2 AZR 296/22), andere wie das Mitbestimmungsrecht des Betriebsrats bei der Bestellung des internen oder externen Datenschutzbeauftragten (§ 12) überraschen. Eine deutliche Verschlechterung der Beschäftigtenrechte stellt die zulässige verdeckte Überwachung dar (§ 20), die aber DS-GVO widrig sein könnte. Dann werfen wir einen Blick (ab Minute 16:25) auf den BGH, der im Verfahren zum Meta Scraping ein Leitentscheidungsverfahren bestimmt hat (https://www.bundesgerichtshof.de/SharedDocs/Pressemitteilungen/DE/2024/2024206.html). Auf Basis des neuen § 552 b ZPO soll eine zügige höchstrichterliche Klärung trotz der Rücknahme von Revisionen aus prozesstaktischen Gründen oder aufgrund eines Vergleichs ermöglicht werden. Dann geht es (ab Minute 27:17) um das BKA Urteil des BVerfG vom 01. Oktober 2024 (1 BvR 1160/19). Hier waren die Verfassungsbeschwerden der GFF, verschiedener Rechtsanwälte und Fußball-Ultras gegen das BKA-Gesetz recht erfolgreich. Teilweise setzte das Gericht die Anforderungen an Zulässigkeit von Verfassungsbeschwerden (zu) hoch an, etwa wenn es in dieser komplizierten Materie auf der „hinreichenden Auseinandersetzung mit dem einschlägigen Fachrecht bezüglich der Trennung der Datenbestände im Informationssystem des Bundeskriminalamts und im polizeilichen Informationsverbund sowie der damit einhergehenden unterschiedlichen Gewichtung des Eingriffs und möglichen korrespondierenden Rechtfertigungsanforderungen“ besteht. Das kann kein Beschwerdeführer liefern. In der Sache erklärte Karlsruhe gesetzliche Befugnisse des BKA zur Datenerhebung (§ 45 Abs. 1 Satz 1 Nr. 4 BKAG) und Datenspeicherung (§ 18 Abs. 1 Nr. 2 BKAG) in Teilen für verfassungswidrig wegen Verstoß gegen das Grundrecht (!) auf informationelle Selbstbestimmung. Gesetzlich vorgesehene Einzelfallprüfungen von Behörden oder Gerichten genügten mangels eines gesetzlichen Regelungskonzepts nicht. Kritisch sehen die Hosts, das das BVerfG einmal mehr zum „Reparaturbetrieb“ verkommt, zu einer „Anstalt zur Optimierung von Grundrechtsbeschränkungen“ – und das ist sicherlich keine gute Nachricht.

Follow the Rechtsstaat Folge 100 Viel hilft viel!? Im neuen Podcast schauen Niko Härting und Stefan Brink in Querbeet (ab Minute 00:40) zunächst auf einen Beitrag Hans Peter Bull in der FAZ zum Thema Verfassungsschutz und AfD. Er sieht die Politiker in der Bürokratiefalle, denn anstatt eine politisch-moralische Auseinandersetzung zu führen sollen jetzt die Verfassungsschutzbehörden „liefern“. Die bedrohe nicht nur die Meinungsfreiheit, amtliche „Verrufserklärungen“ hätten auch keine gesetzliche Grundlage. Letztlich fordert Bull eine gesetzliche Neuformulierung ihres Auftrags als Inlandsnachrichtendienste für Vorfeldermittlungen – das lässt sich hören. Dann werfen wir (mal wieder) einen Blick (ab Minute 14:50) auf die KollegInnen der LTO, die haben ein Interview mit Professor Friedrich Schoch geführt (12.10., Transparenz und Demokratie, https://www.lto.de/recht/hintergruende/h/informationsfreiheit-ifg-schoch-interview). Schoch analysiert die deutsche "Arkantradition", bei der Verwaltungsinformationen grundsätzlich geheim waren. Dabei spiele Transparenz für die Demokratie eine entscheidende Rolle. Es reiche nicht aus, dass die Verwaltung nur parlamentarisch kontrolliert werde, angebracht sei eine zusätzliche Kontrolle durch die Öffentlichkeit, die schließlich umfassend informiert sein sollte, um zum Beispiel fundierte Wahlentscheidungen treffen zu können. Bravo. Dann geht es (ab Minute 18:19) um das Lindenapotheken-Urteil des EuGH (Urteil vom 4.10.24 C-21/23). Zugrunde liegt eine Wettbewerbsklage zwischen zwei Apotheken mit dem Ziel zu verbieten, apothekenpflichtige Arzneimittel über Amazon zu vertreiben, solange nicht sichergestellt sei, dass Kunden vorab die Möglichkeit hätten, in die Verarbeitung von Gesundheitsdaten einzuwilligen. Der EuGH hält fest: Die DS-GVO steht anderen Klagemöglichkeiten (hier: Wettbewerbsrecht) nicht entgegen, wenn sich diese auf einen Verstoß gegen DS-GVO berufen – mal wieder ein langer Streit in Fachkreisen beendet nach dem Motto: viel hilft viel! Interessant auch die Auslegung des EuGH zu Art. 9 Daten: Daten, die Kunden bei der Onlinebestellung von Arzneimitteln eingeben müssen (wie z. B. Name, Lieferadresse und für die Individualisierung der Arzneimittel notwendige Informationen), stellten Gesundheitsdaten im Sinne dieser Bestimmungen dar, auch wenn diese Arzneimittel nur mit einer gewissen Wahrscheinlichkeit und nicht mit absoluter Sicherheit für den bestellenden Kunden bestimmt seien. Zentrales Argument – wie immer – das Ziel der DS-GVO, ein hohes Datenschutz-Niveau zu garantieren. Na denn …

Im neuen Podcast blicken Stefan Brink und Niko Härting in Querbeet (ab Minute 03:33) in die USA und stellen fest, dass die Handelskommission FTC in Sachen Datenschutz klare Ansagen an die großen Plattformen macht (https://www.ftc.gov/reports/look-behind-scenes-examining-data-practices-social-media-video-streaming-services) und ein Bundes-Datenschutzgesetz einfordert. Sodann (ab Minute 06:10) betrachten sie eine Entscheidung des EuGH zur Sanktionspflicht der Aufsicht (EuGH Urteil vom 26.9.24 C-768/21). Zur Erleichterung der Datenschutzaufsicht stellt der EuGH fest, dass die Aufsichtsbehörde nicht verpflichtet ist, in jedem Fall eines Verstoßes eine Abhilfemaßnahme zu ergreifen und insbesondere eine Geldbuße zu verhängen, etwa wenn der Verantwortlicher bereits für Abhilfe gesorgt hat. Das soll aber nur eine Ausnahme sein … Dann geht es (mal wieder) um Max Schrems vs. Meta (ab Minute 15:58): Im Wege der Vorabentscheidung klärt der EuGH (Urteil vom 4.10.2024 C-446/21) wie Meta mit besonderen Arten personenbezogener Daten (Art. 9 DS-GVO) im Werbekontext umzugehen hat. Schrems hatte in einer öffentlichen Podiumsdiskussion seine sexuelle Orientierung angesprochen, Meta hat dieses Datum genutzt, um ihm personalisierte Werbung anzubieten, obwohl er seine sexuelle Orientierung nicht in seinem Facebook-Profil angegeben hat. Hiergegen klagte Schrems u.a. wegen Verstoßes von Meta gegen den Grundsatz der Datenminimierung Art. 5 Abs. 1 lit. c DS-GVO. Etwas kryptisch meint dazu der EuGH, das die unbegrenzte Speicherung der Daten unzulässig sei (ohne eine Löschfrist vorzugeben) und führt zu Art. 9 Abs. 2 Buchst. e DSGVO (Daten, die „die betroffene Person offensichtlich öffentlich gemacht hat“) aus, dass solche Daten keinen Schutz mehr nach Art. 9 Abs. 1 DS-GVO beanspruchen können; dies gelte allerdings nicht für Art. 9-Daten „aus anderen Quellen“. Etwas ratlos bleiben Niko und Stefan zurück …

In dieser Folge von „Follow the Rechtsstaat“ besprechen Dr. Stefan Brink und Max Adamek aktuelle Rechtsprechung: vom AfD-Beschluss des BVerfG betreffend einen Streit um den Vorsitz des Rechtsausschusses im Deutschen Bundestag, über das BVerwG, welches im Zwischenstreit mittels in-camera-Verfahrens nach § 99 VwGO über Informantenschutz zwischen Nachbarn zu entscheiden hatte, bis hin zum Amtsgericht Hanau, wo es um die verbotene Eigenmacht an einem übergewichtigen Kater durch großspurig auftretende Tierheimangestellte ging. Ab Minute 2:05: Das Bundesverfassungsgericht hat mit Beschluss vom 18.9.2024 (2 BvE 1/20, 2 BvE 10/21) die zulässige Organklage der AfD-Fraktion im Deutschen Bundestag wegen der Abwahl des Vorsitzenden des Rechtsausschusses, Stephan Brandner (AfD) im Jahr 2019 und der geheim durchgeführten Neuwahl im Jahr 2021 zurückgewiesen. Brandner sah sich dadurch ungerechtfertigt ungleichbehandelt. Brink und Adamek sind sich zwar einig, dass das Ergebnis des BVerfG demokratisch und nachvollziehbar ist: wieso sollte es keine Wahlen für den Ausschussvorsitz geben? Trotzdem kann Adamek den Ursprung des Streits gut nachvollziehen: Die Geschäftsordnung des Bundestages (GOBT) sieht eine Wahl des Ausschussvorsitzes jedenfalls ausdrücklich nicht vor. Und auch die seit der ersten Wahlperiode gewahrte Tradition hielt eine solche nie vor, sondern verfuhr nach dem s.g. „Zugreifverfahren“. Die maßgeblichen §§ 12 und 58 GOBT hat das BVerfG zwar methodisch zutreffend und ausführlich ausgelegt. Adamek wundert sich jedoch über lediglich vier Zeilen zum Wortlaut dieser Normen, welcher in Anbetracht der an anderen Stellen der GOBT klar vorgesehenen Durchführung von Wahlen auch eine detailliertere Auseinandersetzung fordern könne. Brink sieht als streitentscheidend auch den Zweck der Geschäftsführungsautonomie in der Entscheidung des BVerfG verwirklicht: Das Abwenden von Rufschädigung sowie einer Verletzung der Würde des Bundestags durch die nicht unproblematischen Aussagen des Brandners im Internet. Auch hebt Brink den vom BVerfG gewählten Prüfungsmaßstab hervor, der sich in dieser Sache lediglich in einer Willkürprüfung erschöpfte. Was sowohl davon, als auch von dem in der GOBT vorgesehenen s.g. „Zugreifverfahren“ zu halten ist, und Weiteres hören Sie im Podcast. Ab Minute 26:37: Weiter geht es mit der Entscheidung des BVerwG zu § 99 VwGO, dem durchgeführten in-camera-Verfahren betreffend den Auskunftsanspruch eines Nachbarn gegen eine Sozialpsychiatrische Anstalt (Beschluss vom 27.6.2024 - 20 F 26.22). Anlass des Rechtsstreits war eine polizeiliche Mitteilung über Nachbarstreitigkeit von einem Nachbarn, der im Vertrauen auf Geheimhaltung dem Sozialpsychiatrischen Dienst Notiz gemacht über mögliches geistiges Unwohlsein seines Nachbarn. Das Hessische Gesundheitsministerium hat zum Schutze des Nachbarn als Informanten, auf den der Staat zur Erfüllung seiner Aufgaben angewiesen ist, eine Sperrerklärung über die Akte erlassen. Was sollte wohl überwiegen: das – nachvollziehbare – Interesse des Nachbarn an der Information darüber, welcher seiner Nachbarn ihn denn „angeschwärzt“ hat oder doch das Interesse des meldenden Nachbarn, der eine fachmännische Behandlung seines Nachbarn gewährleisten, diese Nachbarhilfe aber verdeckt ermöglichen möchte? Oder ist das Interesse des Staates entscheidend an einem umfassenden Informantenschutz, um dadurch die Erfüllung seiner Aufgaben zukünftig sicherstellen zu können? Bürger, die das Offenlegen ihrer Identität fürchten, könnten weniger gern kooperieren wollen. Klar ist laut BVerwG grundsätzlich jedoch: bei unzutreffenden Hinweisen (Fehleinschätzungen), oder bei bewusst oder grob fahrlässig unwahren Angaben werden die Informationen offengelegt. Den Abschluss (Min. 38:24) macht ein tierischer Fall: Das AG Hanau hat entschieden (Az. 98 C 98/23), ein Tierheim darf keine Katzen sicherstellen. Tut es das trotzdem, begeht es verbotene Eigenmacht (§ 858 Abs. 1 BGB).

Im neuen Podcast werfen Stefan Brink und Niko Härting in Querbeet (ab Minute 01:06) einen Blick auf die ablehnende AfD-Entscheidung des BVerfG (https://www.bundesverfassungsgericht.de/SharedDocs/Pressemitteilungen/DE/2024/bvg24-079.html;jsessionid=BE701844D0B821CB32BE66961315558B.internet981). Die AfD-Fraktion im Bundestag rügte die Abwahl des ihrer Fraktion angehörenden Vorsitzenden des Rechtsausschusses des Deutschen Bundestages sowie die Ablehnungen weiterer Ausschussvorsitzender. Das BVerfG betrachtet die Abwahl – gemessen am alleinigen verfassungsrechtlichen Prüfungsmaßstab des Willkürverbots – als nicht willkürlich. Ein Anspruch auf ein positives Wahlergebnis bestehe ebenfalls nicht. Sodann gilt ein kurzer Blick (ab Minute 08:03) der Unzufriedenheit mit der Ampel-Regierung, die Stefan in einem Beitrag auf Netzpolitik.org zum Ausdruck brachte (https://netzpolitik.org/2024/ampel-koalition-keine-ueberzeugung-nirgends/). Mangelnde Überzeugung und Orientierungslosigkeit der Ampel zeigt sich nicht nur bei der Migrationspolitik, wo Narrative der AfD übernommen werden, sondern auch beim sog. Sicherheitspaket. Im Mittelpunkt steht dann (ab Minute 12:58) die Entscheidung des BVerfG (1. Senat), mit dem das Hessische Verfassungsschutzgesetz teilweise für verfassungswidrig erklärt wird (Beschluss vom 17. Juli 2024 1 BvR 2133/22, https://www.bundesverfassungsgericht.de/SharedDocs/Pressemitteilungen/DE/2024/bvg24-078.html). Im Hessischen Verfassungsschutzgesetz (HVSG) geregelte Datenerhebungs- und Übermittlungsbefugnisse des Landesamts für Verfassungsschutz sind mit dem Grundgesetz unvereinbar, weil sie in unverhältnismäßiger Weise in das allgemeine Persönlichkeitsrecht und das Grundrecht auf informationelle Selbstbestimmung eingreifen. Dann folgt ein kurzer Blick auf das Bundesverwaltungsgericht (ab Minute 19:58), das in seinem Urteil vom 13.6.2024 (1 C 2.23; https://www.bverwg.de/de/130624U1C2.23.0) anlässlich einer coronabedingten Einreiseverweigerung seine Rechtsprechung zum Fortsetzungsfeststellungsinteresse fortsetzt. Dieser waren wir schon in FTR Folge 84 begegnet (BVerwG 6 C 2.22 Urteil vom 24.04.2024), dort hatte sich ein Fußball-Ultra vor dem Revierderby ein befristetes Betretungs- und Aufenthaltsverbot gefangen. Ganz schön engherzig, dieser Rechtsstaat. Betrachtenswert dann (ab Minute 28:35) die Entscheidung des EuGH im Vorlageverfahren des Amtsgerichts München (EuGH 12.9.2024 Rechtssachen C 17/22 und C 18/22; https://curia.europa.eu/juris/document/document.jsf?text=&docid=290003&pageIndex=0&doclang=DE&mode=req&dir=&occ=first&part=1). Es geht um die Reichweite des gesellschaftsrechtlichen Auskunftsanspruchs und dabei um die Frage, ob der Name von Mitgesellschaftern über Art. 6 Abs. 1 lit. b DS-GVO (was der EuGH in diesem Fall verneint) oder lit. f DS-GVO (was der EuGH bezweifelt, aber offenlässt) genannt werden kann – vor dem Hintergrund der Rechtsprechung des BGH, der in der Kenntnis von Namen und Anschrift seiner Mitgesellschafter einen „unverzichtbarer Kernbereich der Gesellschafterrechte“ sieht.

Dr. Stefan Brink und Max Adamek diskutieren über die Vorschläge von Oracle-Chef Larry Ellison zur Eindämmung von Polizeigewalt und Kriminalität im Allgemeinen. Ellison schlug kürzlich vor, Schulen könne man „absolut abriegeln“, und sowohl Bürger als auch Polizisten sollten im öffentlichen Raum unter einer allgegenwärtigen Dauerüberwachung leben. Polizisten müssten sogar ihren Toilettengang von einer KI-gesteuerten Kamera aufzeichnen lassen. Ellisons Ideen berühren, wie so oft bei dieser Thematik, das zivilisatorische „Sicherheit-Freiheit“-Dilemma. Was sagen eigentlich der Datenschutz, unsere Freiheitsrechte und der gesunde Menschenverstand dazu? Weiterhin besprechen Brink und Adamek die aus dem australischen Parlament kommende Idee eines gesetzlichen Mindestalters für die Nutzung von Social Media. Welche Gründe könnten dafürsprechen? Stellen sich hier nicht auch Datenschutzfragen, insbesondere im Hinblick auf Minderjährige, die ihre Altersangaben auf Plattformen verifizieren müssten (Art. 8 DSGVO)? Kann ein pauschales Verbot der Social-Media-Nutzung für Menschen unterhalb einer bestimmten Altersgrenze überhaupt eine tragfähige Lösung sein? Diese und weitere Fragen werden in der aktuellen Folge von "Follow the Rechtsstaat" erörtert.

Im neuen Podcast werfen Niko Härting und Stefan Brink in Querbeet (ab Minute 01:25) einen Blick auf die Cookie-Verordnung der Bundesregierung vom 4.9.24: Die „VO über Dienste der Einwilligungsverwaltung“ will das Banner-Unwesen beseitigen und durch die Speicherung der Präferenzen des Betroffenen hinsichtlich Cookies das lästige wiederholte Wegklicken des Banners beenden. Ob das eine gute Idee ist oder eine europäische Lösung vorzugswürdig gewesen wäre, wird erörtert. Sodann gilt ein kurzer Blick (ab Minute 11:20) der Neugierde deutscher Behörden: Kein EU-Land fragt mehr Nutzerdaten bei Anbietern wie Apple, Meta, Google und Microsoft ab als Deutschland, hinter den USA sind unsere offenbar durchaus digitalaffinen Strafverfolger, aber auch Finanz- und Verwaltungsbehörden sogar Vizeweltmeister (pro Kopf der Bevölkerung). Ein interessanter Bericht von https://www.heise.de/news/Ueberwachung-Deutschland-fragt-europaweit-die-meisten-Nutzerdaten-ab-9860933.html Einen kurzen Blick (ab Minute 14:44) lohnt auch der Bericht zur Wettbewerbsfähigkeit der EU (https://commission.europa.eu/topics/strengthening-european-competitiveness/eu-competitiveness-looking-ahead_en). Ex EZB Präsident Mario Draghi legte im Auftrag der Kommissionspräsidentin von der Leyen einen Bericht vor, der sich auch mit der Datenschutz-Grundverordnung (DSGVO) und dem AI Act befasst. Interessant: Die EU soll prüfen, ob kleine Unternehmen von ihren Digitalregulierungen ausgenommen werden können. Schließlich schauen Stefan und Niko (ab Minute 18:54) auf die Schlussanträge des Generalanwalts beim EuGH in der Sache C-394/23: Die französische CNIL lehnte es ab, die Abfrage nach der Anrede („Herr“ oder „Frau“) beim Erwerb von Bahnfahrkarten über die SNCF App als Datenschutzverstoß zu verfolgen. Auf Vorlage des Conseil d'Etat entscheidet nun der EuGH darüber. Im Mittelpunkt steht dann (ab Minute 26:28) eine Entscheidung des Verwaltungsgerichts Schleswig-Holstein (8 A 159/20 vom 7.8.2024): Die Aufsichtsbehörde verlangte vom Kläger, der Filme von Autofahrten erstellt und diese auf der Website youtube.com veröffentlicht (und das für Kunst hält) die Verpixelung von Fußgängern und Kfz-Kennzeichen, soweit sie „im Vordergrund“ stehen. Das VG fand den Bescheid weitgehend ok, die Verpixelung sei geboten und zumutbar, und stelle nur einen geringen Eingriff in Kunstfreiheit dar. Interessant auch die Verortung der Informationspflichten in Art. 13 Abs. 1 lit. d DS-GVO (und nicht in Art. 14), essentielle Informationen (Verantwortlicher, Kontaktdaten, Zweck) müssten ohne Medienbruch am Kfz erfolgen. Filmen im Freien also nur gemäß DS-GVO – and cut!

Im neuen Podcast betrachten Niko Härting und Stefan Brink in Querbeet (ab Minute 01:18) den Referentenentwurf des Innenministeriums IM, der insbesondere das heimliche Betreten von Wohnungen durchs BKA, die Zusammenführung von Datenbeständen und deren automatisierte Analyse sowie die biometrische Rasterfahndung im Internet erlauben will – kritische Beurteilung garantiert (https://netzpolitik.org/2024/bka-gesetz-anwaltverein-sieht-verfassungsbeschwerde-garantiert/). Sodann (ab Minute 15:47) erläutert Niko, der im Juni zum Vielfaltsbeauftragten des DAV gewählt wurde, warum Vielfalt als selbstverständlich sichtbar gemacht werden sollte (https://rsw.beck.de/aktuell/daily/magazin/detail/interview-njw-2024-35-vielfaeltige-anwaltschaft). Schließlich gilt ein kurzer Blick (ab Minute 20:19) dem gescheiterten Versuch der FDP, den eigenen Spitzenkandidaten in den RBB Kandidatencheck vor der LT-Wahl hineinzubringen – was das VG Potsdam lehnt mit Beschluss vom 4.9.24 unter Berufung auf § 5 ParteienG ablehnte. Das Prinzip der „abgestuften Chancengleichheit“ von Parteien verdient eine kritische Würdigung. Und natürlich schauen Stefan und Niko auf die gerade ernannte neue BfDI Louisa Specht-Riemenschneider (ab Minute 28:15), die in ihrer ersten Pressekonferenz ihre Schwerpunktthemen (KI, Gesundheit und Innere Sicherheit) vorstellte und ihre „roten Linien“ deutlich machte. Im Mittelpunkt steht dann (ab Minute 34:00) eine stattgebende Entscheidung des BVerfG, das in das endlose Spiel um die Besetzung der Stelle des OVG-Präsidenten NRW eingriff (https://www.bundesverfassungsgericht.de/SharedDocs/Entscheidungen/DE/2024/08/rk20240807_2bvr041824.html).

Daten der Kinder - Dies ist das Thema eines gesamten PinG-Hefts, das Stefan Brink und Niko Härting (ab Minute 00:36) vorstellen. Betriebliche Datenschutzbeauftragte abschaffen (ab Minute 06:51) - das Murmeltier der Datenschutzkritiker, jetzt aufgewärmt im Europäischen Parlament. Messenger und Informationsfreiheit (ab Minute 15:05) - Gehören WhatsApps und andere Messenger-Daten in die Behördenakte, sodass der Bürger Einblick nehmen kann? Mit dieser Frage muss sich im Fall Stark-Watzinger das VG Köln befassen. In einem „Eilverfahren im Eilverfahren“ untersagten ihr die Richter die Löschung von Nachrichten (VG Köln vom 3.7.2024 - 13 L 1211/24j. Dürfen Datenschützer freundlich auffordern oder müssen sie förmlich handeln (ab Minute 22:03)? Das VG Ansbach hat die bayerische Datenaufsicht jüngst gerügt und es für unzureichend erachtet, dass Fehler bei einer Datenauskunft (Art. 15 DSGVO) nicht per Verwaltungsakt sanktioniert wurden (VG Ansbach vom 12.6.2024 -14 K 20.00941).

Im neuen Podcast betrachten Niko Härting und Stefan Brink die Lage unserer Verfassung, unserer Regierung und die Auskunftslage in einem spannenden zivilrechtlichen Fall. In Querbeet (ab Minute 01:13) blicken beide auf einen Artikel von Gabriele Britz in der FAZ vom 25.7.2024: Dort warnt die ehemalige Richterin der BVerfG (von 2011 – 2023) davor, dass bei Konflikten zwischen Freiheitsrechten – etwa zwischen der Meinungsfreiheit und dem Allgemeinen Persönlichkeitsrecht - der Ausgleich zwischen den Grundrechten (praktische Konkordanz) an seine Grenzen stößt, wenn in einer polarisierten Gesellschaft die gemeinsamen Wertgrundlagen schwinden. Am Beispiel der Kritik an staatlichen Stellen und von ambivalenten Aussagen („Migration tötet“) erklärt sie, warum das BVerfG stärker gegen „Silencing“ vorgehen und den Zugang zum „Meinungskampf“ offen halten sollte. Das verdient klare Kritik. Sodann (ab Minute 22:33) stellt Stefan das RdÖ-Positionspapier zum Beschäftigten-Datenschutz vor: Der Rat für digitale Ökologie um Harald Welzer hat untersucht, wie die Digitalisierung die Arbeitsverhältnisse verändert: An die Stelle persönlicher, stichprobenartiger, offener und erfahrungsbasierter Kontrolle tritt zunehmend eine automatisierte, allumfassende, heimliche und algorithmenbasierte Kontrolle. Deswegen empfiehlt der RdÖ (dem auch Stefan angehört) eine gesetzliche Regulierung im Beschäftigten-Datenschutzgesetz entlang der Maßstäbe Verhältnismäßigkeit und Fairness – allerdings hat auch hier die Ampel trotz klarer Vereinbarung im Koalitionsvertrag (noch) nicht geliefert. Im Mittelpunkt (ab Minute 33:01) steht dann eine Entscheidung des OLG Oldenburg vom 9.4.24 (13 U 48/23) zum Auskunftsrecht nach Art. 15 DSGVO beim Einsatz eines Privatdetektivs: Nach Verkehrsunfall mit Personenschaden schaltete der Haftpflichtversicherer einen Detektiv zur Prüfung der Unfallfolgen beim Geschädigten ein. Der Geschädigte verlangte daraufhin Akteneinsicht nach Art. 15 DSGVO. Während das LG ein überwiegendes Geheimhaltungsinteresse des Versicherers an erkannte, entschied das OLG anders und verurteilte den Versicherer, „dem Kläger jeweils eine Kopie der beiden Berichte über die in Auftrag gegebene Observation des Klägers zur Verfügung zu stellen.“ Die Gründe hierfür wollen ausführlich erörtert sein – denn offensichtlich haben noch nicht alle die Auskunft, die sie erstreben …

Stefan Brink und Niko Härting sprechen (ab Minute 01:03) über den überraschend schnellen Beschluss des Bundesverwaltungsgerichts (BVerwG) in Sachen COMPACT (Beschluss vom 14.8.2024, Az. 6 VR 1.24). Der ansonsten als durchaus staatstragend bekannte 6. Senat setzte das Vereinsverbot außer Vollzug und meldete in einer Pressemitteilung deutliche Zweifel an der Rechtmäßigkeit des Vereinsverbots an. Ein Eigentor der Bundesinnenministerin mit Ansage, denn es gibt kaum einen Verfassungsrechtler, den die Entscheidung des BVerwG überrascht. Die TAZ berichtet über einen Gesetzesentwurf aus dem Hause Faeser (ab Minute 10:07), dem gleichfalls die Verfassungswidrigkeit auf die Stirn geschrieben ist. BKA-Beamten soll es erleichtert werden, Computer, Tablets und Smartphones mit Überwachungssoftware auszuspionieren. Statt mühsam und oft ohne Erfolg Endgeräte mit „Staatstrojanern“ zu infizieren, sollen die Beamten befugt sein, heimlich in Wohnungen einzubrechen. Gut dass wir nicht nur einen grünen Innenpolitiker haben, der sich zu Faesers Plänen sogleich recht wohlwollend äußerte, sondern auch einen Marco Buschmann, der Faesers Überwachungsphantasien sogleich widersprach. Durch Verfahren um „RKI Files“ und andere Unterlagen aus der Corona-Zeit hat die Informationsfreiheit Hochkonjunktur (ab Minute 19:41). Oft sind die Verfahren sehr mühsam, dauern viel zu lang und sind sehr kostspielig. Die Verwaltungsgerichte haben zudem zahlreiche Schlupflöcher eröffnet, an denen viele Kläger scheitern. Stefan Brink und Niko Härting sprechen über Reformvorschläge de Deutschen Anwaltverein (DAV) und über das überfällige Transparenzgesetz, das die Ampel in ihrem Koalitionsvertrag einst versprach.

Im neuen Podcast betrachten Niko Härting und Stefan Brink kritisch aktuelle Behörden- und Gerichtsentscheidungen. In Querbeet (ab Minute 00:56) blicken beide auf das Verbot des Magazins Compact nach § 3 Vereinsgesetz durch das Bundes-Innenministerium. Ob sich dieses auf Art. 9 Abs. 2 des GG stützen lässt, wird mit guten Gründen bezweifelt. Der Vorwurf einer Medienzensur über den Umweg des Vereinsverbots wiegt schwer. Sodann (ab Minute 10:06) hat der EuGH sich erneut zum Klagerecht von Verbraucherschützern bei Verstößen von Unternehmen geäußert (Urteil in der Rechtssache C-319/20 vom 28.4.2024). Die Vorlagefrage des BGH, ob einem Verband zur Wahrung von Verbraucherinteressen wie dem Bundesverband vzbv die Befugnis zustehe, wegen Verstößen gegen die DSGVO unabhängig von der konkreten Verletzung von Rechten einzelner betroffener Personen und ohne deren Auftrag im Wege einer Klage vor den Zivilgerichten vorzugehen, beantwortet der EuGH unter weitere Auslegung des Art. 80 Abs. 2 DS-GVO) mit Ja. Schließlich (ab Minute 17:44) rügt des Europäische Gericht 1. Instanz die EU-KOM wegen Zugangsverweigerung zu Impfstoff-Deals. Antworten auf parlamentarische Anfragen und Bürgerbegehren hatte die Kommission z.T. geschwärzt. Das EuG kam nun zum Schluss, dass der Zugang zu Informationen zum Verhandlungsteam der EU und zu Entschädigungsbestimmungen zu Unrecht verweigert wurden. Im Zentrum des Podcasts (ab Minute 25:55) steht ein Beschluss des BVerwG (2 B 24.23 vom 2.5.24). Danach können Beamte sich hinsichtlich ihrer dienstlichen Tätigkeit nicht auf die Grundrechte berufen. Sie dürfen ihre private Auffassung nicht als dienstliche Stellungnahme kennzeichnen. Im Fall hatte ein Beamter des Bundes-Innenministeriums kritische Beurteilungen der Corona-Politik des Hauses intern und extern verbreitet. Im Mai 2020 untersagte das BMI dem Beamten die Führung der Dienstgeschäfte und erteilte ihm ein Hausverbot, 2022 folgte Entfernung aus dem Dienst. Klagen hiergegen blieben ohne Erfolg, das BVerwG hält fest: „Die mit der Ausübung von Hoheitsgewalt verbundene Rechtsmacht wird dem Beamten nicht zur Verwirklichung eigener Vorstellungen oder Grundrechte verliehen; er nimmt die ihm übertragenen Aufgaben nicht als Privatperson, sondern als Amtsträger wahr. Das trifft sicher zu – ob die Entfernung aus dem Dienst verhältnismäßig war, ist schwerer zu beurteilen.

Der neue Podcast mit Stefan Brink und Niko Härting blickt auf aktuelle Gerichtsentscheidungen zur Informationsfreiheit. In Querbeet blicken beide kurz auf die Position der EU Kommission (ab Minute 00:58), Meta wegen eines Wettbewerbsverstoßes auf die Pelle zu rücken: Pay or OK verstoße gegen den Digital Markets Act DMA, wie bereits der EDSA fordert nun auch die Kommission ein „Zwischenmodell“ mit weniger Zugriff auf personenbezogene Daten. Bemerkenswert ist auch (ab Minute 11:48) ein vor dem VG Köln laufendes Verfahren von FragDenStaat, dort wurde Bildungsministerin Stark-Watzinger in der „Fördergeldaffäre“ untersagt, im Amt gewechselte Kurznachrichten zu löschen, solange über die Herausgabepflicht noch nicht entschieden wurde. Im Zentrum des Podcasts (ab Minute 19:06) steht ein Urteil des 6. Senats des Bundesverwaltungsgerichts vom 20. März 2024 (BVerwG 6 C 8.22), das eine Verwarnung des Bundesbeauftragten für Informationsfreiheit gegenüber dem Bundesministerium des Innern (BMI) aufhebt: Der BfDI hatte gerügt, dass das BMI im Rahmen eines Informationsfreiheitsverfahrens Adressdaten des Antragstellern (Postanschrift bzw. eine persönliche E-Mailadresse) anforderte – ohne datenschutzrechtliche Grundlage, wie der BfDI meinte. Anders als das OVG Münster meint nun das BVerwG, als eine solche Rechtsgrundlage käme die Generalklausel des § 3 BDSG in Betracht, diese subsidiäre allgemeine Norm reiche für die Verarbeitung personenbezogener Daten durch öffentliche Stellen mit geringer Eingriffsintensität aus – es gehe ja nur um weniger sensible Daten. Zwar enthalte das Informationsfreiheitsgesetz keine ausdrückliche Rechtsgrundlage zur Klärung der Identität eines Antragstellers. Allerdings sei die Kenntnis seiner Person für die sachgerechte Bearbeitung erforderlich, zu der der Name und – jedenfalls bei einer elektronischen Antragstellung – auch die Anschrift gehörten. Eine Vorlagepflicht aus Art. 267 AEUV an den EuGH wird ebenfalls verneint. Das kann man sicher kritisieren, und so tun das Niko Härting und Stefan Brink auch ausführlich.

Im neuen Podcast wandern Stefan Brink und Niko Härting zunächst (ab Minute 00:46) ausführlich Querbeet: Niko setzte sich in der WELT mit der neuen Zielgruppe des Bundesamtes für Verfassungsschutz auseinander, nämlich jenen, welche die „Delegitimierung des Staates“ betreiben – jedenfalls aus der sehr eigenen Sicht des Verfassungsschutzes. Sodann (ab Minute 12:40) werfen beide einen kurzen Blick auf die US Handelsbehörde FTC, welche TikTok die Verletzung des Datenschutzes für Kinder vorhält und auf die US Gesundheitsbehörde, sie verlangt jetzt Warnhinweise wegen der Sucht- und Depressionsgefahr, die gerade für Jugendliche von der Nutzung von Social Media ausgeht. Ab Minute 17:26 geht es dann mal wieder um den EuGH (C‑479/22 P vom 7.3.2024): Das Europäische Amt für Betrugsbekämpfung (im Folgenden: OLAF) hatte in ihrer Pressemitteilung Nr. 13/2020 vom 5. Mai 2020 mit der Überschrift „OLAF-Untersuchung deckt Forschungsfinanzierungsbetrug in Griechenland auf“ über angebliche Erfolge bei der Bekämpfung eines komplexen Betrugs vermeldet, an dem eine griechische Wissenschaftlerin und ihr Netzwerk internationaler Forscher beteiligt gewesen seien. Die Forscherin klagt auf immateriellen Schadensersatz, weil sie durch die identifizierende PM vorverurteilt worden sei – und der EuGH belehrt das Europäische Gericht 1. Instanz, dass gemäß Erwägungsgrund 26 der DS-GVO bei der Frage der Identifizierbarkeit nicht nur die PM heranzuziehen ist. Stefan und Niko sezieren danach (ab Minute 25:40) ausführlich eine Entscheidung des Finanzgerichts Berlin Brandenburg (16. Senat) vom 20.3.2024, welche die Reichweite des Auskunftsanspruchs aus Art. 15 DS-GVO bemisst. In der Sache streiten die Beteiligten um Akteneinsicht in Bewertungsakten und -Daten zu einem Immobilien-Objekt im Rahmen der Einkommensbesteuerung (insbesondere Absetzung für Abnutzung). Es gab Streit bezüglich der richtigen Bewertung des Grundstücks, sodass der Kläger Einspruch gegen den Feststellungsbescheid einlegte und Akteneinsicht in alle entscheidungsrelevanten Akten beantragte. Daraufhin übersandte Finanzamt einen anonymisierten und teilweise geschwärzten Auszug aus dem Prüfungsbericht, der Kläger beruft sich wegen der vollständigen Akteneinsicht auf Art. 15 DS-GVO. Das FG hält zwar die DSGVO im Bereich der Steuerverwaltung für anwendbar, beschränkt jedoch den Umfang des Auskunftsanspruchs erheblich und gesteht letztlich nur einen Anspruch auf pflichtgemäße Ermessensentscheidung über den Akteneinsichtsantrag durch das Finanzamt zu – durchaus kritikwürdig.

Neuer Podcast – neue Fälle: Niko Härting und Stefan Brink ordnen die Freilassung von Julian Assange ein (ab Minute 00:52), nach deutschen Maßstäben wäre er kein Geheimnisverräter. Auch in Querbeet: der Deutsche Bundestag hört Sachverstand zur Novelle des BDSG (ab Minute 05:03). Auch wenn das Verbot der Mischverwaltung einer Stärkung der Datenschutz-Konferenz DSK wohl nicht im Wege stünde, eine sinnvolle Reform ist in dieser Legislaturperiode kaum mehr möglich. Sodann betrachten wir (ab Minute 09:09) zwei Entscheidungen des EuGH zum Schadenersatzanspruch nach Art. 82 DS-GVO (Dritte Kammer C‑590/22 vom 20. Juni 2024; C‑182/22 vom 20. Juni 2024), hier bestätigt das Gericht seine bisherige Rechtsprechung setzt sich mit dem Begriff des „Identitätsdiebstahls“ als Schaden auseinander. Ab Minute 21:12 steht dann das Bundesverwaltungsgericht (6 C 2.22 Urteil vom 24.04.2024) im Fokus: Ein Fußball-Ultra hat sich vor dem Revierderby ein befristetes Betretungs- und Aufenthaltsverbot gefangen, mit dem sich die Verwaltungsgerichte jedoch wegen zeitlicher Erledigung des Verwaltungsakts inhaltlich nicht mehr befassen wollten. Zwar ist in ständiger Rechtsprechung ein berechtigtes Interesse an der Feststellung der Rechtswidrigkeit eines erledigten Verwaltungsakts in den Fallgruppen der Wiederholungsgefahr, des Rehabilitationsinteresses sowie der Absicht zum Führen eines Schadensersatzprozesses anerkannt, hier entwickelt das Leipziger Gericht jedoch erhöhte Anforderungen, wenn der Verwaltungsakt „nur“ in das „Auffanggrundrecht“ Art. 2 Abs. 1 GG eingreift. Das verwundert nicht nur, weil sich das BVerwG hierbei auf die abweichende Meinung des Richters Grimm zum Beschluss des Bundesverfassungsgerichts vom 6. Juni 1989 - 1 BvR 921/85 - BVerfGE 80, 137 meint berufen zu können, sondern weil es die Kontrolle von Grundrechtseingriffen als weniger „gewichtig“ einstuft als das richterliche Interesse an Arbeitsentlastung. Mit dieser Haltung gewinnt das Bundesgericht jedenfalls bei den Podcasthosts keinen Bürgerrechts-Preis …

Dass eine Landesdatenschutzbehörde weitgehend geräuschlos von einer kompetenten Hand in die nächste übergeben wird, ist mitterweile keine Normalität mehr. In Baden-Württemberg hat das funktioniert: Vor rund einem Jahr, am 1. Juli 2023, trat Prof. Tobias Keber die Nachfolge von Stefan Brink als Landesbeauftragter für den Datenschutz und die Informationsfreiheit (LfDI) Baden-Württembergs an. In Episode 112 des c't-Datenschutz-Podcasts plaudert Keber über sein erstes Amtsjahr und erläutert, wie er seine Behörde sieht. Der studierte Jurist war zuvor von 2012 bis 2023 Professor für Medienrecht und Medienpolitik an der Hochschule der Medien Stuttgart. Keber ist außerdem seit seit 2015 Vorsitzender des wissenschaftlichen Beirats der Gesellschaft für Datenschutz und Datensicherheit (GDD). Eine Schwerpunkt der Tätigkeit seiner Behörde legte er im ersten Jahr auf die Betrachtung von Künstlicher Intelligenz (KI) aus datenschutzrechtlicher Perspektive. In der Episode spricht sich Keber wie viele seiner Kolleginnen und Kollegen dafür aus, dass hierzulande die deutschen Datenschutzbehörden als Aufsicht für die bald in Kraft tretende KI-Verordnung fungieren. Der Behördenleiter fordert einen pragmatischen Blick auf generative KI und erzählt, dass er schon heute dutzende KI-Projekte öffentlicher Stellen im Ländle datenschutzrechtlich beurteilen muss.

Neuer Podcast, alte Bekannte: Niko Härting und Stefan Brink pflügen zunächst (ab Minute 02:40) Querbeet: Die Datenschutzkonferenz hat einen Leitfaden zur Nutzung von KI in Behörden und Unternehmen veröffentlicht (Mai 2024). Die Orientierungshilfe richtet sich in erster Linie an die Verantwortlichen, die KI‐Anwendungen einsetzen möchten. Zudem hat sich das Bundesverwaltungsgericht hat sich mit der Frage befasst, ob gegen eine (drohende) Verletzung der DS-GVO mit einem Unterlassungsanspruch reagiert werden kann. Es kam zum Schluss: Art. 79 Abs. 1 DS-GVO schließt die Geltendmachung eines öffentlich-rechtlichen Unterlassungsanspruchs gegen die Datenverarbeitung im Bereich der kommunalen Gefahrenabwehr und Gefahrenvorsorge - hier durch Videoüberwachung einer als öffentliche Einrichtung gewidmeten Grünfläche - nicht aus. Abschließend noch ein kurzer Hinweis auf die „Feiertage“ zur Informationsfreiheit, den mittlerweile 5. IFG-DAYS des LfDI Baden-Württemberg (https://www.baden-wuerttemberg.datenschutz.de/5-ifg-days/) – alle Beiträge demnächst im Netz. Ab Minute 13:47 geht es dann um den EuGH (Rechtssache 662 ff/2022 vom 30.5.2024, Vorabentscheidungsverfahren): Online-Dienste-Anbieter wie Google, aber auch Amazon, Expedia u.a. klagten gegen das italienische Transparenz-Gesetz „zur Umsetzung“ der EU-VO 2019 zur Förderung von Transparenz und Fairness für gewerbliche Nutzer von Online-Vermittlungsdiensten. Die Kläger haben ihren Sitz in Irland bzw. Luxemburg und beklagten einen erhöhten Verwaltungsaufwand in Italien als Verstoß gegen Dienstleistungsfreiheit innerhalb der EU (Art 56 AEUV). Der EuGH sprach sich klar gegen nationale Erhöhungen der Schutzstandards aus, selbst bei „nützlichen“ Verschärfungen im Sinne einer EU-VO: „Somit darf Italien in anderen Mitgliedstaaten niedergelassenen Anbietern dieser Dienste keine zusätzlichen Verpflichtungen auferlegen, die für die Erbringung der fraglichen Dienste nicht im Niederlassungsmitgliedstaat, wohl aber in Italien vorgesehen sind.“ Mit den Grenzen der Informationstätigkeit von Datenschutz-Aufsichtsbehörden befasst sich ein Aufsatz von Christine Dieterle, Ministerialrätin und Referatsleiterin im Bayerischen Staatsministerium der Justiz in München (ZD 2024, 241) – und Stefan und Niko mit diesem Aufsatz (ab Minute 20:32): Genügt Art. 58 Abs. 3 lit. b DS-GVO, der es den Datenschutzaufsichtsbehörden gestattet, von sich aus oder auf Anfrage Stellungnahmen an das nationale Parlament, die Regierung sowie an die Öffentlichkeit zu richten, für Eingriffe in die Gewerbefreiheit? Denn namentliche Nennungen von Beteiligten an Bußgeldverfahren in Pressemitteilungen oder Tätigkeitsberichten greifen sicherlich in deren Rechte ein. Naming – Blaming – Shaming durch Datenschutzbehörden - ein kontroverses und hoch aktuelles Thema!

Unzulänglichkeiten und Fallstricke des Informationsfreiheitsgesetzes Zu Gast in dieser Folge ist RA Dr. Christoph J. Partsch (LL.M.), Gründungspartner der Kanzlei Partsch & Partner Rechtsanwälte. Christoph Partsch hat zahlreiche große Verfahren im Bereich des Informationsfreiheitsrechts geführt und dabei viel Erfahrung gesammelt mit der Durchsetzung von Auskunfts- und Informationszugangsansprüchen gegen den Staat und seine Behörden. Er ist bestens vertraut mit den Tricks und Einwänden der Behörden, wenn sie gesetzliche Hindernisse nutzen, um Transparenz und Informationszugang zu verweigern. Niko Härting und Stefan Brink sprechen mit Christoph Partsch über seine Erfahrungen und sein Einschätzung zum Reformbedarf beim Informationsfreiheitsgesetz (IFG), dessen Überarbeitung in Form eines „Transparenzgesetzes“ die „Ampel“ im Koalitionsvertrag vereinbart hat. Ein Versprechen, auf dessen Einlösung wir schon lange warten. Auf Stefan Brinks Frage, wer in Deutschland aus welchen Gründen etwas „gegen Transparenz“ hat, weist Partsch auf langjährige Erfahrungen mit einer sich gerne querstellenden Bürokratie hin. Bereits vor Erlass eines ersten IFG vor mehr als 20 Jahren hatte die Bundesverwaltung Bedenken gegen eine Kontrolle von extern. Der Unterschied zwischen einem Informationsfreiheits- und einem Transparenzgesetz liegt in einer Verwandlung von einer „Holschuld“ in eine „Bringschuld“. Unabhängig davon gibt es bei vielen konkreten Regelungen Reformbedarf wie bspw. bei einer Stärkung des Eilrechtsschutzes und der Befugnisse der Bundesbeauftragten für Datenschutz und Informationsfreiheit (BfDI). Partsch, Brink und Härting diskutieren zudem praxisnah und anhand zahlreicher Fälle die „Top-3-Unzulänglichkeiten“ des IFG, insbesondere die gerne extensiv ausgelegten Ausnahmegründe des IFG, denen man in der Praxis – jüngst sogar bei einem IFG-Verfahren gegen das Bundesverfassungsgericht – immer wieder begegnet. Einigkeit besteht bei dem dringenden Reparatur- und Reformbedarf. Bei der abschließenden Frage nach einer Prognose für ein mögliches Transparenzgesetz bis Mai 2025 scheiden sich die Geister.

In der neuen Podcast-Folge wandern Niko Härting und Stefan Brink (ab Minute 00:55) zunächst Querbeet: Wie schon in Folge FTR 71 erörtert rückt das BVerfG Unterlagen zu Fachgesprächen mit dem EGMR – witzigerweise ging es auch um Informationsfreiheit - nicht heraus und wurde am 21.5. von FragDenStaat beim VG Karlsruhe verklagt. Klage reichte auch der BfDI ein (ab Minute 08:00), er geht gegen den BND vors BVerwG, da ihm aufsichtliche Akteneinsicht verweigert wurde. Eine effektive Kontrolle sei alleine mit dem Beanstandungsrecht nicht möglich, der BfDI verlangt ein eigenes Anordnungsrecht nach Vorbild der DSGVO. Dass Nachrichtendienste Trackingdaten von Datenhändlern kaufen, stellt nach Untersuchung durch die Stiftung Neue Verantwortung ein erhebliches rechtsstaatliches Problem dar (ab Minute 14.24), da auf diese Weise Kontrollmöglichkeiten wie Genehmigungsvorbehalte und gerichtliche Überprüfungen leerlaufen. Die Opinion zu „Pay or OK“ des Europäischen Datenschutzausschusses EDSA (vom April 2024, schon mit Jeff Jarvis in FTR 76 besprochen, ab Minute 25:04) verdient nochmals eine gemeinsame Analyse, insbesondere die Auffassung des EDSA, personenbezogene Daten seien kein handelbares Wirtschaftsgut, verdient gerichtliche Überprüfung. Stefan hat sich zu diesem Missgeschick bereits in der FAZ und hier (https://wida.digital/assets/images/FAZ_Meta_DS.pdf) geäußert – staatliche Behörden können wirklich sehr glaubensfest sein …

In dieser außergewöhnlichen Podcast-Folge wenden sich Niko Härting und Stefan Brink zwei außergewöhnlichen Jubiläen zu: Vor 175 Jahren, genauer am 28. März 1849, trat die erste Verfassung des deutschen Reiches, auch Frankfurter Reichsverfassung (FRV) oder Paulskirchenverfassung genannt, in Kraft. Und vor 75 Jahren, am 23. Mai 1949 wurde das Grundgesetz vom Präsidenten des Parlamentarischen Rates ausgefertigt. Zwar war der Paulskirchenverfassung kein großer Erfolg beschieden und auch ihr epochaler Grundrechte-Katalog wurde schon 1851 wieder kassiert, dennoch finden sich dort zahlreiche jener qua Verfassung garantierten Individualrechte gegen den Staat, derer wir uns heute noch erfreuen: Von der „Preßfreiheit“ über Justiz-Grundrechte bis zu sozialen Grundrechten (Volksschulen wurden vom Schulgeld befreit) findet sich in der FRV jenes liberale Gedankengut, das die Märzrevolution von 1848 vorangebracht hatte. Die Weimarer Reichsverfassung von 1919 nahm sich am Frankfurter Grundrechtekatalog ebenso Vorbild wie die Väter und Mütter des Grundgesetzes im Parlamentarischen Rat. Dennoch gibt es mit der Abschaffung des Landeskinderprivilegs, der Bindung der Religionsausübungsfreiheit an die Strafgesetze und dem Verbot der Ministerialjustiz in der FRV einige Freiheitsgarantien, die selbst nach 175 Jahren nicht vollständig in unserer gelebten Verfassung angekommen sind. Die provisorische Verfassung vom Mai 1949, unser Grundgesetz (ab Minute 31:30), hat zwar nie – auch nicht mit der Wiedervereinigung am 3. Oktober 1990 - eine Annahme durch Volksabstimmung erlebt; mit der Bindung aller Staatsgewalt an die Grundrechte (Art. 1 Abs. 3 GG) und an Gesetz und Recht (Art. 20 Abs. 3 GG), der Rechtsweggarantie (Art. 19 Abs. 4 GG) zu unabhängigen Gerichten (Art. 97 GG) und auch materiellen Gewährleistungen des Rechtsstaats (Menschenwürde und Gleichheit, Grundsatz der Verhältnismäßigkeit) hat es aber für uns besonders wichtige Garantien geschaffen. Das Bundesverfassungsgericht hat diese Grundgesetz über die Jahrzehnte hinweg durchaus unterschiedlich mit Leben gefüllt, aber trotz einiger Belastungsmomente dürfen wir uns freuen, das GG „in guter Verfassung“ zu erleben. Und daran mitwirken, dass dies auch so bleibt.

In dieser neuen Podcast-Folge schauen sich Niko Härting und Stefan Brink (ab Minute 01:09) zunächst eine etwas zu aktuelle Entscheidung des BGH an: In Querbeet analysieren sie den Beschluss des Bundesgerichtshofs, wonach auch die am 1. April in Deutschland in Kraft getretene Cannabis-Teillegalisierung nichts an der Bestimmung einer „nicht geringen Menge“ Tetrahydrocannabinol (THC) ändere (Beschl. v. 18.04.2024, Az. 1 StR 106/2). Wird jemand mit dieser Menge erwischt, wirkt sich das massiv strafverschärfend aus. Anders als der Gesetzgeber geht der BGH dabei davon aus, dass sich an der Risikobewertung bei Cannabis nichts geändert habe – ziemlich steil. Der wohl wegen der Liberalisierung der Rechtslage übereilte Beschluss wies zudem formale Fehler auf, welche der BGH kurzerhand glattzog. Auch das Landgericht Hamburg brütet aktuell über einem spannenden Fall: Weil die Rechtsprechungs-Datenbank OpenJur ein Gerichtsurteil mitsamt dem Klarnamen eines Rechtsanwalts veröffentlichte, fordert dieser nun immateriellen Schadensersatz. Die Plattform veröffentlichte 2022 ein VG-Urteil – mitsamt Angaben über die klammen finanziellen Verhältnisse und dem Namen des Mannes. Mit der Frage: Ist Saal-Öffentlichkeit auch die Internet-Öffentlichkeit? und einer möglichen Presse-Ausnahme nach Art. 85 DS-GVO zugunsten Openjur befasst sich nun das LG. Im Zentrum des Podcasts stehen dann (ab Minute 23:02) zwei hochkarätige Entscheidungen zum Datenschutz: Mit der Festlegung von Mindestsicherheitsstandards und der Aufnahme biometrischer Daten in Personalausweise (es geht um Fingerabdrücke unbescholtener BürgerInnen) befasste sich der EuGH (Urteil vom 21. März 2024 – C-61/22) - und rügte zwar das nach AEUV ungeeignete Gesetzgebungsverfahren, befand die Fingerabdruckpflicht in § 5 PersonalAusweisG aber für angemessen. Die Fingerabdrücke würden ja nur auf dem Personalausweis im Besitz des Betroffenen gespeichert und nicht in einer staatlichen Datenbank; ein Rückgriff auf die Abdrücke erfolge nur, falls das Gesichtsbild bei einer Kontrolle noch Zweifel lasse und dies diene auch dem Schutz vor Identitätsdiebstahl, sei also im Interesse des Betroffenen. Eine sehr grundsätzliche Frage klärte der BGH (2. Zivilsenat, Beschluss vom 23.01.2024 - II ZB 7/23, ab Minute 29:40): In meisterlicher Ausführlichkeit beantwortet der BGH die Frage, warum der Geschäftsführer einer GmbH keinen Anspruch aus Art. 17 Abs. 1 DS-GVO auf Löschung seines Geburtsdatums und seines Wohnorts aus dem Handelsregister hat. Datenschutzkönnen beweist das Gericht auch wenn es darlegt, warum selbst „gefährdete“ Personen kein Widerspruchsrecht nach Art. 21 DS-GVO haben: Wegen der Rechtspflicht der Registergerichte zur Verarbeitung der personenbezogenen Daten von Geschäftsführern nach Art. 6 Abs. 1 lit. c DS-GVO scheidet ein Widerspruchsrecht aus, das nur bei Verarbeitungen nach Art. 6 Abs. 1 lit. e und f DS-GVO greift. Wer kann, der kann.

Stefan Brink und Niko Härting freuen sich in der neuen Podcast-Folge (ab Minute 00:39) zunächst über eine aktuelle Entscheidung: In Querbeet begrüßen sie die Wahl von Christina Rost zur neuen Landesbeauftragten für Datenschutz und Informationsfreiheit in Sachsen-Anhalt – das wurde nach fast sechs Jahren Sedesvakanz ja auch Zeit! Dann betrachten sie die Schlussanträge des EU-Generalanwalts in der Rechtssache C-768/21 zur Handlungspflicht einer Datenschutzbehörde, der eine begründete Beschwerde vorliegt und gehen auf die Replik zu Stefans Beitrag „Warum der Bundeskanzler nicht auf TikTok tanzen darf“ in FAZ Einspruch ein. Im Zentrum des Podcasts stehen dann (ab Minute 28:45.) zwei sehr unterschiedliche Entscheidungen des BVerfG: Im Beschluss vom 11. April 2024 - 1 BvR 2290/23 – gibt die 1. Kammer der Verfassungsbeschwerde von Ex-Bild-Chef Julian Reichelt statt. Im August 2023 twitterte Reichelt wenig sachlich: „Deutschland zahlte in den letzten zwei Jahren 370 MILLIONEN EURO (!!!) Entwicklungshilfe an die TALIBAN (!!!!!!). Wir leben im Irrenhaus, in einem absoluten, kompletten, totalen, historisch einzigartigen Irrenhaus. Was ist das nur für eine Regierung?!“. Das Bundesministerium für wirtschaftliche Zusammenarbeit mahnte Reichelt daraufhin wegen falscher Tatsachenbehauptung ab: Es sei kein Euro an die Taliban geflossen, sondern an Nichtregierungsorganisationen und die Vereinten Nationen. Zwar wies das LG Berlin das Ansinnen des BMZ zurück, da juristische Personen des öffentlichen Rechts keinen Ehrenschutz genössen und der Tweet von der Meinungsfreiheit gedeckt sei, das Kammergericht erließ jedoch am 14.11.23 eine Untersagungsverfügung gegen Reichelt: Auch das BMZ könnte Ehrenschutz erlangen, wenn das Vertrauen der Öffentlichkeit in die Funktionsfähigkeit einer Institution gefährdet sei. Dem widersprach das BVerfG und gab Reichelt Recht: Dem Staat komme kein grundrechtlich fundierter Ehrenschutz zu, er müsse auch scharfe und polemische Kritik aushalten. Erstaunlich nur: Über die offenkundig nicht gegebene Subsidiarität der Verfassungsbeschwerde – es standen Reichelt noch Rechtsbehelfe, auch in der Hauptsache – zur Verfügung, geht Karlsruhe mit einem Halbsatz hinweg. Damit agiert es zunehmend unberechenbar – und völlig anders als bei der Verfassungsbeschwerde des (CUM) EX-Bankers Christian Olearius (Beschluss vom 10.4.2024 1 BvR 2279/23 – ab Minute 44:17), wo die Anforderungen an eine schlüssig begründete Verfassungsbeschwerde äußerst hoch gehängt werden: Die Beschwerde ließe „eine substantiierte Auseinandersetzung mit der seitens des Bundesgerichtshofs herangezogenen Rechtsprechung des Europäischen Gerichtshofs für Menschenrechte vermissen“ – weswegen gravierende Fragen zum Schutz von Tagebuchaufzeichnungen und zu § 353d Nr. 3 StGB unbeantwortet bleiben. Karlsruhe praktiziert also ein „freies Annahmeverfahren bei Verfassungsbeschwerden“ – schade nur, dass dies so nicht im Gesetz steht.

Stefan Brink und Niko Härting wenden sich in der neuen Podcast-Folge (ab Minute 00.45) zunächst hoch aktuellen Themen zu: In Querbeet geht es um die mutmaßliche neue Bundesdatenschutzbeauftragte Prof. Louisa Specht-Riemenschneider (Uni Bonn, Professur für Datenrecht und neue Technologien), die das Erbe von Ulrich Kelber antreten soll. Über sie sagen beide nur Gutes, über das intransparentes Auswahlverfahren (vgl. Art. 53 Abs. 1 DS-GVO) dagegen weniger Gutes. Neu ist auch der Auftritt des Bundeskanzlers auf der Social Media Plattform TikTok, das gefällt weder dem Datenschutz, noch wird es der Problematik schädlicher Auswirkungen dieser Plattformen auf Jugendliche gerecht – dazu hat Stefan Brink in FAZ Einspruch geschrieben. Schließlich freut sich Niko Härting über die jetzt erfolgte Verabschiedung des Selbstbestimmungsgesetzes durch den Bundestag – eine lange Geschichte voll emotionalen Widerstandes, der verfassungsrechtlich betrachtet wenig Substanz hatte. Im Zentrum des Podcasts steht dann (ab Minute 23.00.) das Urteil des EuGH vom 11.4.2024 in der Rechtssache C-741/21 (Vorabentscheidungsersuchen des LG Saarbrücken im Verfahren gegen die juris GmbH). Die juristische Datenbank war von einem Rechtsanwalt wegen Direktwerbung trotz Widerspruchs verklagt worden (RA klagt) und trug dagegen vor, die verspätete Berücksichtigung der Widersprüche des Klägers beruhe entweder darauf, dass einer ihrer Mitarbeiter sich weisungswidrig verhalten habe, oder darauf, dass es übermäßig kostspielig gewesen wäre, diese Widersprüche zu berücksichtigen. Beide Fragen ordnete der EuGH auf Grundlage bisheriger Urteile zu Art. 82 DS-GVO ein – Altbekanntes sozusagen: Dass der bloße Verstoß gegen die DS-GVO nicht ausreicht, um einen Schadenersatzanspruch zu begründen, wissen wir inzwischen; auch, dass der – selbst kurzzeitige – Verlust der Kontrolle über personenbezogene Daten einen „immateriellen Schaden“ im Sinne von Art. 82 Abs. 1 DS-GVO darstellen kann, der einen Schadenersatzanspruch begründet, sofern die betroffene Person den Nachweis erbringt, dass sie tatsächlich einen solchen Schaden – so geringfügig er auch sein mag – erlitten hat (vgl. in diesem Sinne Urteil vom 25. Januar 2024, MediaMarktSaturn, C-687/21). Entlasten kann sich der Verantwortliche durch Verweis auf Fehlverhalten unterstellter Person (Art. 29 DS-GVO) allerdings nicht, Art. 82 Abs. 3 DS-GVO sieht eine Haftungsbefreiung nur beim Nachweis vor, überhaupt nicht verantwortlich zu sein, also auch keine Aufsichtspflichtverletzung begangen zu haben. Schließlich betont der EuGH (erneut), dass die Höhe des Schadenersatzes unabhängig von Schwere und Häufigkeit des Verstoßes gegen die DS-GVO ist – er hat ja nur Ausgleichsfunktion. So langsam kennen wir uns mit der DS-GVO aus, herzlicher Dank dem EuGH!