Was sagen eigentlich die Parteien in ihren Programmen zum Datenschutz, zu Bürgerrechten, zur Informationsfreiheit. Stefan Brink und Niko Härting haben sich eingelesen.

In diesem Podcast sprechen Stefan Brink und Niko Härting zunächst (ab Minute 00:59) über das Gutachten des Netzwerks Datenschutzexpertise zur Frage: Unter welchen Voraussetzungen besteht ein Anspruch auf eine analoge Alternative zum digitalen Service? Bei immer mehr Dienstleistungen von Staat und Wirtschaft werden solche Alternativen nicht mehr angeboten. So z. B. wenn der Kauf günstiger Bahnfahrkarten, die Abholung von Postpaketen oder der Eintritt zu Kultur- oder Sportveranstaltungen ohne Smartphone nicht mehr möglich ist. Auch die öffentliche Verwaltung setzt immer öfter auf „digital only“.
Dadurch werden Menschen regelmäßig ausgeschlossen und diskriminiert, weil sie sich die benötigten Digitalgeräte und Anschlüsse nicht leisten können, weil sie nicht über die nötige Medienkompetenz verfügen oder weil sie wegen einer Beeinträchtigung einen Dienst faktisch nicht nutzen können. Viele Menschen versuchen auch, digitale Angebote – insbesondere im Internet – zu vermeiden, weil sie befürchten, dass ihre dadurch erlangten Daten missbraucht werden.
Ein Anspruch auf alternativen analogen Zugang lässt sich möglicherweise aus der Verfassung herleiten, gerade gegen öffentliche Stellen. Das Gutachten mündet in die
Forderung, ein Verbot digitaler Diskriminierung verfassungsrechtlich zu fixieren.

Sodann wird (ab Minute 10:16) das Urteil des Bundesverfassungsgerichts zur Erhebung einer Gebühr für den polizeilichen Mehraufwand bei „Hochrisikospielen“ der Fußball-Bundesliga besprochen (Urteil vom 14.1.2025 1 BvR 548/22). Die Verfassungsbeschwerde der DFL Deutsche Fußball Liga GmbH blieb erfolglos, das BVerfG prüft mustergültig den gesetzlichen Eingriff in die Berufsausübungsfreiheit des Art. 12 GG und beurteilt diesen als formell und materiell verfassungskonform. Zweifel bestehen allenfalls an der Trennschärfe der angelegten gesetzlichen Kriterien für eine Kostenbeteiligung (polizeilicher Mehraufwand bei gewinnorientierten, erfahrungsgemäß gewaltgeneigten Großveranstaltungen mit mehr als 5.000 Personen).

Schließlich wird (ab Minute 21:34) ein Urteil des Europäischen Gerichtshofs vom 9.1.2025 (Rechtssache C-416/23) analysiert: Es geht um die Pflicht der Aufsichtsbehörde zur Bescheidung exzessiver Anträge nach Art. 57 Abs. 4 DS-GVO. Ganze 77 Mal beschwerte sich ein Österreicher bei der örtlichen Datenschutzbehörde über mögliche Verstöße gegen die Datenschutz-Grundverordnung, etwa die Verletzung von Art. 15 DS-GVO - in weniger als zwei Jahren. Die österreichische Behörde weigerte sich, die Beschwerden noch zu bearbeiten. Der Bürger habe exzessiv Beschwerden eingereicht und es damit übertrieben.
Der EuGH macht den Aufsichtsbehörden das Leben nicht leichter: Anfragen seien nicht allein aufgrund ihrer Zahl während eines bestimmten Zeitraums als „exzessiv“ im Sinne dieser Bestimmung einzustufen, die Aufsichtsbehörde müsse zusätzlich das Vorliegen einer Missbrauchsabsicht der anfragenden Person nachweisen. Das Wahlrecht der Aufsichtsbehörde (Nicht-Behandlung der exzessiven Anfrage oder Erhebung einer Gebühr) müsse zudem verhältnismäßig ausgeübt werden.

Aufsichtsbehörde zu sein macht auch nicht immer Spaß …

Niko Härting und Stefan Brink werten zunächst die Grundgesetzänderung zum Schutz des Bundesverfassungsgerichts aus. Die Struktur und Zusammensetzung sowie die Bindungswirkung der Entscheidungen des Bundesverfassungsgerichts sind nun im Grundgesetz festgeschrieben. Somit wurden einige Regelungen aus dem einfachen Gesetz (Bundesverfassungsgerichtsgesetz), welche jederzeit mit einfacher Mehrheit geändert werden können, durch die Hürde der 2/3-Mehrheit zur Veränderung des Grundgesetz geschützt. Transparenzregelungen in Bezug auf die Wahl der Richter des Bundesverfassungsgerichts, welche das Vertrauen in unsere Verfassungshüter stärken würden, wurden bedauerlicherweise nicht beschlossen.

Ab Minute 13:47 werden zwei Entscheidungen zum Datenschutz, insbesondere zum Thema der Datenminimierung besprochen.

In Polen konnten Erziehungsberechtigte der Verarbeitung eines Fingerabdrucks zwecks Identitätsfeststellung bei der Essensausgabe einwilligen. Andernfalls musste die Identität der Schülerin analog über eine Liste in einer separaten Schlange festgestellt werden. Die polnische Datenschutzbehörde bezweifelte die Wirksamkeit der Einwilligung mangels Freiwilligkeit. Das Verwaltungsgericht in Polen widersprach der Behörde. Trägt die Entscheidung den besonderen Anforderungen für biometrische Daten des Art. 9 DSGVO hinreichend Rechnung?

Ab Minute 27:52 geht es um die EuGH-Entscheidung vom 9.1.2025 (Az. C-394/23) in der das Gericht entschied, dass die Erhebung der Geschlechtsangabe für die französische Bahngesellschaft SNCF nicht erforderlich sei. Härting und Brink beschäftigen sich genauer mit der Auslegung des Art. 6 Abs. 1 lit. a bis f DSGVO (Rechtsgrundlagen für die Datenverarbeitung), insbesondere wird die Anwendung des EuGH der Datenverarbeitung zwecks der Vertragsdurchführung (Art. 6 Abs. 1 lit. b DSGVO) kritisiert. Last but not least setzt der EuGH im Rahmen des Art. 6 Abs. 1 lit. f DSGVO einen strengen Maßstab fest: Aus dem Erforderlichkeitsgrundsatz wird das Erfordernis einer ,,unbedingten Notwendigkeit“.

Im neuen Podcast sprechen Stefan Brink und Niko Härting zunächst (ab Minute 01:06) über Mark Zuckerbergs Kehrtwende: Er ändert (in den USA) die Moderation von Posts auf Facebook und Instagram zugunsten von Free Speech, die Bekämpfung von Fake News und Hate Speech hat das Nachsehen. Hatte sich der Facebook-Mutterkonzern Meta nach dem ersten US-Wahlsieg von Donald Trump im Jahr 2016 noch bemüht, Fehlinformationen und Hetze auf seinen Plattformen einzuschränken, will Zuckerberg Facebook und Instagram jetzt nach dem Vorbild von X umgestalten. Auf Faktenchecks soll auf seinen Plattformen verzichtet werden, deutlich „einfachere Regeln“ und „weniger Restriktionen“ soll es geben - und weniger „institutionelle Zensur“.
Auswirkungen auf die EU sind wohl vorerst nicht zu erwarten, da der Digital Services Act DSA (seit 2/24 für VLOP) verbindliche Vorgaben gegen Fake News und Hate Speech macht und Faktenchecker (Art. 22 DSA „vertrauenswürdige Hinweisgeber“) installiert.

Sodann erläutert Niko (ab Minute 25:08) die Stellungnahme des Deutschen Anwaltvereins zu einer delegierten Verordnung zum DSA – bei welcher der Datenschutz offensichtlich unter die Räder gerät (https://www.google.com/url?sa=t&source=web&rct=j&opi=89978449&url=https://anwaltverein.de/de/newsroom/sn-85-24-eu-konsultation-verordnung-digital-services-act-dsa%3Ffile%3Dfiles/anwaltverein.de/downloads/newsroom/stellungnahmen/dav-sn-85-24-dsa-konsultation.pdf&ved=2ahUKEwjT98DL9uqKAxVayAIHHX7PHhUQFnoECBwQAQ&usg=AOvVaw2XV13A0V0BivJY2Ptyr0ZC).

Schließlich wird (ab Minute 32:07) ein Hyperlink zu Facebook der EU-Kommission zum Verhängnis: Mit Urteil des Europäischen Gerichts 1.Instanz in der Rechtssache T-354/22 | Bindl / Kommission vom 8.1.2025 wird sie zu Schadenersatz in Höhe von 400 € verurteilt.
Das kam so: Ein in Deutschland lebender Bürger wirft der Kommission vor, sein Recht auf Schutz seiner personenbezogenen Daten verletzt zu haben, als er 2021 und 2022 die von der Kommission betriebene Website der „Konferenz zur Zukunft Europas“ besucht habe. Er hatte sich über diese Website zu einer Veranstaltung angemeldet und hierzu den Authentifizierungsdienst „EU Login“ der Kommission verwendet, bei dem er sich für die Anmeldeoption „Mit Facebook anmelden“ entschieden hatte. Der Betroffene meint, bei seinen Besuchen der Website der Konferenz zur Zukunft Europas seien ihn betreffende personenbezogene Daten an Empfänger in den Vereinigten Staaten übermittelt worden, insbesondere seine IP- Adresse sowie Browser- und Geräteinformationen. Die Vereinigten Staaten hätten aber (zu diesem Zeitpunkt) kein angemessenes Schutzniveau aufgewiesen. Die ihn betreffenden personenbezogenen Daten seien deshalb der Gefahr eines Zugriffs durch die Sicherheits- und Nachrichtendienste der Vereinigten Staaten ausgesetzt gewesen.
Dem stimmt das EuG (teilweise) zu, der Betroffene habe einen immateriellen Schaden erlitten: Er befinde sich nämlich in einer Lage, in der er nicht sicher sei, wie die ihn betreffenden personenbezogenen Daten, insbesondere seine IP-Adresse, verarbeitet werden (Kontrollverlust) – weswegen das Gericht die Kommission verurteilt, an den Betroffenen 400 Euro zu zahlen.

Meta-Morphosen wohin man schaut …

Im neuen Podcast sprechen Stefan Brink und Niko Härting mit der Berliner
Landesbeauftragten für Datenschutz und Informationsfreiheit Meike Kamp.
Zunächst geht es (ab Minute 02:30) um die Situation des Datenschutzes in Berlin und
Deutschland, auch die Lage der Konferenz der Datenschutzbeauftragten der Länder
und des Bundes wird kritisch hinterfragt. Meike Kamp betont dabei die erzielten
Fortschritte und verweist auf die erhebliche Beschwerdelast der Aufsicht.
Dann geht der Blick auf die europäische Ebene (ab Minute 28:50), der Europäische
Datenschutzausschuss EDSA ist ebenso wie der Europäische Gerichtshof EuGH ein
zentraler Player im „neuen Datenschutz“ der DS-GVO. Aus Sicht von Meike Kamp
haben die Institutionen ihre Rolle inzwischen gefunden – es bleint also spannend.
Abschließend (ab Minute 44:21) stellt Meike Kamp die Schwerpunkte ihres
Vorsitzjahres 2025 bei der DSK vor – lauter Neuigkeiten also von der Berliner Aufsicht!

„Die schönsten Träume von Freiheit werden im Kerker geträumt“ heißt es bereits bei Friedrich Schiller. Der vormalige Präsident des Bundesverfassungsgerichts Prof. Dr. Hans-Jürgen Papier betont die freiheitssichernde Funktion des Staates: „Zweck des Staates ist die Gewährleistung der Freiheit.“
Aus seiner Zeit am Bundesverfassungsgericht berichtet Papier vom ständigen Kampf um die richtige Balance zwischen Freiheit und Sicherheit: „Damals hieß es immer, ohne Sicherheit sei die Freiheit nichts und deshalb könnten Maßnahmen für die Sicherheit die Freiheit gar nicht einschränken. Dieser Aussage ist das BVerfG damals nie gefolgt.“
In der Corona-Zeit gerieten Freiheit und Sicherheit bisweilen aus dem Gleichgewicht: „Ich habe von Anfang der Pandemie an, seit 2020 immer gesagt: Prüft bitte eingehend die Verhältnismäßigkeit. Es wurde aber immer gesagt, es ginge um den Gesundheitsschutz und etwas Höherrangiges gäbe es ja nicht.“
Auch bei der Meinungsfreiheit sieht Papier kritische Entwicklungen, die weniger vom Staat als von privaten Akteuren ausgehen: „Es gar nicht erst zulassen, dass Freiheitsrechte real nicht mehr ausgeübt werden, weil es starken gesellschaftlichen Gruppierungen nicht passt.“
Wenig hält Papier von markigen Politikersprüchen zur „Härte“ des Rechtsstaats: „Die Aussage von Politikern nach einem schrecklichen Verbrechen, man würde mit aller Härte des Rechtsstaats vorgehen, ist schon fast peinlich, da sie den Anschein erwecken könnte, der Rechtsstaat hätte in anderen Kriminalitätsbereichen schon abgedankt.“

Im neuen Podcast sprechen Stefan Brink und Niko Härting in Querbeet (ab Minute 00:42) zunächst über ein Gespräch von Stefan mit Netzpolitik.org zur Informationsfreiheit: Moderne Verwaltung ist transparent ( https://netzpolitik.org/2024/ex-datenschutzbeauftragter-im-interview-moderne-verwaltung-ist-transparent/). Was steht Transparenz der Verwaltung eigentlich entgegen? Welche Rolle spielt die „Fachlichkeit“ der Verwaltung? Und warum ist nicht wirtschaftliche Effizienz, sondern Rechtstaatlichkeit ausschlaggebend?

Dann betrachten bei die Pressemitteilung des Bundesverwaltungsgerichts (ab Minute 12:46) zur „Pegasus“-Entscheidung (https://www.bverwg.de/071124U10A5.23.0): Der Bundesnachrichtendienst (BND) ist danach nicht verpflichtet, einem Journalisten von FragDenStaat Auskünfte über den Erwerb und Einsatz der Software "Pegasus" zu erteilen. Diese Software ist eine israelische Spyware, mit der mobile Endgeräte mit den Betriebssystemen iOS oder Android ausgespäht werden (Zugriff auf Daten sowie die Aktivierung von integrierten Mikrofonen und Kameras). Zwar gelte – so das BVerwG in seiner noch nicht veröffentlichten Entscheidung - Pressefreiheit auch für digitale Medien. Den erbetenen Auskünften stünden aber überwiegende öffentliche Interessen entgegen: Der BND habe plausibel dargelegt, dass diese Auskünfte seine Funktionsfähigkeit beeinträchtigen könnten. Die journalistischen Fragen zielten auf die Offenlegung seiner aktuellen nachrichtendienstlichen Arbeitsweise und Methodik ab. Dies könnte mittelbar auch operative Vorgänge gefährden. Zudem wären die Informationen für ausländische Geheim- und Nachrichtendienste und andere mögliche Aufklärungsziele von bedeutendem Interesse. Auch der Schutz der Zusammenarbeit des BND mit solchen Diensten wäre bei Erteilung der Auskünfte beeinträchtigt. Man wundert sich demnach, was ausländische Nachrichtendienste alle nicht wissen …

Dann geht es (ab Minute 22:08) um die Frage, was der Verfassungsschutz in den Sozialen Medien zu suchen hat: der Thüringer Verfassungsgerichtshof stärkt das Fragerecht von Abgeordneten (Urteil vom 20.11.2024, https://verfassungsgerichtshof.thueringen.de/media/tmmjv_verfassungsgerichtshof/Entscheidungen/23-00021_Urteil_nicht_barrierefrei.pdf) und tritt der Argumentation der Landesregierung entgegen, bei einer nachrichtendienstlichen Tätigkeit ergebe sich das Bedürfnis nach Geheimhaltung bereits aus der Natur der Sache. Im Organstreitverfahren zweier AfD-Abgeordneter zum Umgang des Thüringer Verfassungsschutzes mit Fake-Accounts in den sozialen Netzwerken bekräftigt das Gericht, dass die Landesregierung zumindest allgemeine Informationen hätte geben müssen, etwa die Angabe, wie viele (Fake-)Accounts der Verfassungsschutz in den sozialen Netzwerken nutzt. Angaben darüber, welche Chatgruppen der Verfassungsschutz in der Vergangenheit möglicherweise selbst erstellt habe, seien dagegen nicht vom parlamentarischen Fragerecht umfasst, da die Funktionsfähigkeit des Verfassungsschutzes ein in der Verfassung verankertes Schutzgut sei.
Informationsfreiheit aus Bürgersicht, aus Journalistensicht und aus Sicht des Parlaments – so viel Transparenz war selten …

44 Seiten BGH. Carl Nowak und Niko Härting sprechen über die BGH-„Leitentscheidung“ zum Facebook-Scraping (BGH vom 18.11.2024, VI ZR 10/24), die mittlerweile vollständig vorliegt. Eine „Leitentscheidung“, die – bei Lichte betrachtet – keine Leitentscheidung ist.

Dennoch wird das Urteil des BGH die Rechtsprechung der Zivilgerichte zu Art. 82 DSGVO prägen, unter anderem zu folgenden Fragen:

Kann jeder DSGVO-Verstoß einen Schadensersatzanspruch begründen? Spoiler: Der BGH lässt dies offen.
Kann ein Verstoß gegen das Gebot der Datenminimierung oder gegen Art. 25 DSGVO einen Schadensersatzanspruch begründen?
Was muss ein Kläger vortragen, um einen Schadensersatzanspruch wegen „Kontrollverlusts“ geltend zu machen?
Können neben einem „Kontrollverlust“ auch „begründete Befürchtungen“ für einen Schadensersatzanspruch ausreichen?
Wann ist ein Antrag auf Feststellung der Ersatzpflicht bei zukünftigen Schäden zulässig?
Wie bestimmt muss ein Unterlassungsanspruch sein? Wann gibt es ein Rechtsschutzbedürfnis für einen solchen Anspruch?
Wann ist ein Auskunftsanspruch erfüllt (§ 362 BGB)?
Warum Schadensersatz nur „in einer Größenordnung von 100 EUR“?

Nicht vom BGH beantwortet wird die Frage, ob sich DSGVO-Schadensersatzansprüche für Klägeranwälte in Zukunft noch lohnen. See you at the local Amtsgericht.

Wer hätte gedacht, dass der Datenschutz dem BGH Anlass gibt, seine erste Leitentscheidung zu treffen? Seit dem 18.11.2024 wissen wir, dass „der bloße und kurzzeitige Verlust der Kontrolle über eigene personenbezogene Daten“ bereits ein Schaden sein kann, der einen Schadensersatzanspruch begründen kann. Dies allerdings nur „in einer Größenordnung von 100 EUR“ (BGH vom 18.11.2024, Az. VI ZR 10/24). Stefan Brink und Niko Härting sprechen über die BGH-Entscheidung und über deren Folgen für Tausende Facebook-Scraping-Verfahren, die noch an Gerichten in der ganzen Republik anhängig sind. Ob es sich für Betroffene und deren Anwälte noch lohnt, Prozesse zu führen, wenn es nur noch um symbolische „Größenordnungen“ geht?

33:45
Die Leitentscheidung des BGH wird auch für andere Fälle Bedeutung haben, in denen es um Schadensersatz nach der DSGVO geht. Brink und Härting erörtern dies anhand einer sehr ausführlichen, frischen Entscheidung des OLG Dresden zum Fall Deezer (Urteil vom 15.10.2024, Az. 4 U 940/24). Die Zurückhaltung des OLG beim Schadensersatz wegen „Kontrollverlusts“ wird nach der BGH-Entscheidung nicht mehr haltbar sein. Spannend bleibt allerdings die weitere Entwicklung des Erfüllungseinwands bei der datenschutzrechtlichen Auskunft (Art. 15 DSGVO). Zivilrechtlich kann eine unrichtige Auskunft den Auskunftsanspruch nach § 362 BGB erfüllen. Einen Anspruch auf eine „richtige“ Auskunft gibt es im Zivilprozess nicht, dies hat das OLG Dresden sehr ausführlich und schlüssig begründet. Aber könnte der Betroffene jetzt bei der Datenschutzbehörde auf dem Beschwerdeweg eine vollständige und richtige Auskunft erwirken? Oder müsste es auch dort heißen: „Njet, 362 BGB“?

Im neuen Podcast sprechen Stefan Brink und Niko Härting in Querbeet (ab Minute 00:45) zunächst über den Beschluss des Bundesverfassungsgerichts vom 8.10.24 (1 BvR 1743/16), mit dem die Ausgestaltung der strategischen Fernmeldeüberwachung des Bundesnachrichtendienstes BND teilweise für verfassungswidrig erklärt wurde. Nach mehr als acht (!) Jahren wurde Verfassungsbeschwerden stattgegeben, die sich gegen umfangreiche heimliche Eingriffe in Art. 10 GG wehrten. Nun befand auch das BVerfG, dass inländische Kommunikation aussortiert werden muss, der Schutz des Kernbereichs privater Lebensgestaltung auch für ausländische Personen gewährleistet und die unabhängigen objektivrechtlichen Kontrolle durch die G 10-Kommission besser ausgestaltet werden muss.

Dann geht es (ab Minute 19:34) um den Beschluss des Bundesverwaltungsgerichts vom 12.9.24 (6 A 2.24), in dem er sich mit der Besorgnis der Befangenheit einer Richterin auseinandersetzt (https://www.bverwg.de/de/120924B6A2.24). Im Verfahren begehrte der Bundesdatenschutzbeauftragte Einsicht in Unterlagen des BND, den er von Amts wegen kontrolliert. Die Richterin am Bundesverwaltungsgericht ist Mitglied des 6. Revisionssenats und war von 2021 bis 2024 als Kontrollbeauftragte Mitglied des gerichtsähnlichen Kontrollorgans des Unabhängigen Kontrollrats (UKR), sie zeigte mit dienstlicher Erklärung an, dass sie infolge grundlegender fachlicher Differenzen auf ihren eigenen Antrag hin aus dem Amt einer Kontrollbeauftragten entlassen worden und in ihr Amt als Richterin am Bundesverwaltungsgericht zurückgekehrt sei. Sie sei als Mitglied des gerichtsähnlichen Kontrollorgans des UKR in quasi-richterlicher Funktion auch zur Vorabkontrolle der von dem BND vorgelegten Anordnungen berufen gewesen, das könne Misstrauen gegen ihre Unparteilichkeit rechtfertigen. Da es gilt, bereits den bösen Schein, das heißt den möglichen Eindruck fehlender Unvoreingenommenheit und mangelnder Objektivität zu vermeiden, wurde die Richterin am Bundesverwaltungsgericht in dem anhängigen Verfahren ausgeschlossen. So funktioniert der Rechtsstaat.

Dann wirft Stefan einen Blick zurück (ab Minute 23:33) auf die Anhörung des Europäischen Datenschutz-Ausschusses (EDSA) zu Trainingsdaten für KI, an der er am 5.11.24 teilnehmen konnte. Vor dem Hintergrund einer Anfrage der irischen DPC zum KI-Training bei Meta befasst sich der EDSA nun mit den Fragen: Finden sich in KI-Modellen personenbezogene Daten? Genügt für deren Verarbeitung die Rechtsgrundlage Art. 6 Abs. 1 lit. f DS-GVO? Wie sieht die dort vorgesehene Abwägung aus und wer prüft sie wie? Und schließlich: Gibt es eine „Infektion“ des rechtswidrig trainierten KI-Modells zu Lasten der Anwendung des KI-Systems? Spannende Fragen, wir erwarten die Antwort des EDSA Mitte Dezember.