PinG-Podcast "Follow the Rechtsstaat‪"‬ Prof. Niko Härting

Wachstumsinitiative und Datenschutz (ab Minute 00:50): Die Bundesregierung hat jüngst eine „Wachstumsinitiative“ veröffentlicht. Im Zeichen des Bürokratieabbaus soll es auch dem Datenschutz an den Kragen gehen. So soll die Schwelle, ab der Unternehmen einen Datenschutzbeauftragten bestellen müssen, von derzeit 20 auf 50 Beschäftigte erhöht werden. Brink und Härting kritisieren die Abwertung des Datenschutzes als unnötige Bürokratie. Außerdem wird übersehen, dass es parallel eine BDSG-Novelle geben soll mit Vereinheitlichungstendenzen.

Verfassungstreue und Bürgerpflichten (ab Minute 10:40): Es folgt ein Kurzausflug ins Verfassungsrecht, basierend auf einem Aufsatz von Prof. Froese in der altehrwürdigen „JuristenZeitung“. Es geht um die These einer Bürgerpflicht zum „Verfassungspatriotismus light“. Brink und Härting besprechen diese These und ordnen sie – insbesondere im Kontext von Einbürgerungsanträgen – ein. Die „Verfassungstreue“ weckt Erinnerungen an die 1970er-Jahre. Zugleich gibt es widersprüchliche Erwartungen an Migranten: Man erwartet von ihnen, mit der Einbürgerung „so wie wir zu sein“, einschließlich aller historischen Erfahrungen und Familiengeschichten.

BGH-Urteil zur Videoüberwachung (ab Minute 20:02): In einem Urteil des BGH (VI ZR 1370/20) geht es um eine verdeckt durchgeführte Videoüberwachung im Hausflur eines Mietshauses. Hierdurch wollte der Vermieter eine unzulässige Untervermietung beweisen und klagte auf Räumung der Wohnung, die Mieterin mittels Widerklage auf 10.000 Euro Entschädigung wegen der heimlichen Aufnahmen. Beide Vorinstanzen hatten Klage und Widerklage abgewiesen, der BGH bestätigte dies. In großer Ausführlichkeit begründet der BGH die Anwendbarkeit der DSGVO auf das Zivilprozessrecht. Ohne die DSGVO in der Hand kann in Zukunft kein Gerichtsverfahren mehr geführt werden.

Der neue Podcast mit Stefan Brink und Niko Härting blickt auf aktuelle Gerichtsentscheidungen zur Informationsfreiheit. In Querbeet blicken beide kurz auf die Position der EU Kommission (ab Minute 00:58), Meta wegen eines Wettbewerbsverstoßes auf die Pelle zu rücken: Pay or OK verstoße gegen den Digital Markets Act DMA, wie bereits der EDSA fordert nun auch die Kommission ein „Zwischenmodell“ mit weniger Zugriff auf personenbezogene Daten. Bemerkenswert ist auch (ab Minute 11:48) ein vor dem VG Köln laufendes Verfahren von FragDenStaat, dort wurde Bildungsministerin Stark-Watzinger in der „Fördergeldaffäre“ untersagt, im Amt gewechselte Kurznachrichten zu löschen, solange über die Herausgabepflicht noch nicht entschieden wurde.

Im Zentrum des Podcasts (ab Minute 19:06) steht ein Urteil des 6. Senats des Bundesverwaltungsgerichts vom 20. März 2024 (BVerwG 6 C 8.22), das eine Verwarnung des Bundesbeauftragten für Informationsfreiheit gegenüber dem Bundesministerium des Innern (BMI) aufhebt: Der BfDI hatte gerügt, dass das BMI im Rahmen eines Informationsfreiheitsverfahrens Adressdaten des Antragstellern (Postanschrift bzw. eine persönliche E-Mailadresse) anforderte – ohne datenschutzrechtliche Grundlage, wie der BfDI meinte. Anders als das OVG Münster meint nun das BVerwG, als eine solche Rechtsgrundlage käme die Generalklausel des § 3 BDSG in Betracht, diese subsidiäre allgemeine Norm reiche für die Verarbeitung personenbezogener Daten durch öffentliche Stellen mit geringer Eingriffsintensität aus – es gehe ja nur um weniger sensible Daten.
Zwar enthalte das Informationsfreiheitsgesetz keine ausdrückliche Rechtsgrundlage zur Klärung der Identität eines Antragstellers. Allerdings sei die Kenntnis seiner Person für die sachgerechte Bearbeitung erforderlich, zu der der Name und – jedenfalls bei einer elektronischen Antragstellung – auch die Anschrift gehörten. Eine Vorlagepflicht aus Art. 267 AEUV an den EuGH wird ebenfalls verneint. Das kann man sicher kritisieren, und so tun das Niko Härting und Stefan Brink auch ausführlich.

Im neuen Podcast wandern Stefan Brink und Niko Härting zunächst (ab Minute 00:46) ausführlich Querbeet: Niko setzte sich in der WELT mit der neuen Zielgruppe des Bundesamtes für Verfassungsschutz auseinander, nämlich jenen, welche die „Delegitimierung des Staates“ betreiben – jedenfalls aus der sehr eigenen Sicht des Verfassungsschutzes. Sodann (ab Minute 12:40) werfen beide einen kurzen Blick auf die US Handelsbehörde FTC, welche TikTok die Verletzung des Datenschutzes für Kinder vorhält und auf die US Gesundheitsbehörde, sie verlangt jetzt Warnhinweise wegen der Sucht- und Depressionsgefahr, die gerade für Jugendliche von der Nutzung von Social Media ausgeht.

Ab Minute 17:26 geht es dann mal wieder um den EuGH (C‑479/22 P vom 7.3.2024):
Das Europäische Amt für Betrugsbekämpfung (im Folgenden: OLAF) hatte in ihrer Pressemitteilung Nr. 13/2020 vom 5. Mai 2020 mit der Überschrift „OLAF-Untersuchung deckt Forschungsfinanzierungsbetrug in Griechenland auf“ über angebliche Erfolge bei der Bekämpfung eines komplexen Betrugs vermeldet, an dem eine griechische Wissenschaftlerin und ihr Netzwerk internationaler Forscher beteiligt gewesen seien. Die Forscherin klagt auf immateriellen Schadensersatz, weil sie durch die identifizierende PM vorverurteilt worden sei – und der EuGH belehrt das Europäische Gericht 1. Instanz, dass gemäß Erwägungsgrund 26 der DS-GVO bei der Frage der Identifizierbarkeit nicht nur die PM heranzuziehen ist.

Stefan und Niko sezieren danach (ab Minute 25:40) ausführlich eine Entscheidung des Finanzgerichts Berlin Brandenburg (16. Senat) vom 20.3.2024, welche die Reichweite des Auskunftsanspruchs aus Art. 15 DS-GVO bemisst. In der Sache streiten die Beteiligten um Akteneinsicht in Bewertungsakten und -Daten zu einem Immobilien-Objekt im Rahmen der Einkommensbesteuerung (insbesondere Absetzung für Abnutzung). Es gab Streit bezüglich der richtigen Bewertung des Grundstücks, sodass der Kläger Einspruch gegen den Feststellungsbescheid einlegte und Akteneinsicht in alle entscheidungsrelevanten Akten beantragte. Daraufhin übersandte Finanzamt einen anonymisierten und teilweise geschwärzten Auszug aus dem Prüfungsbericht, der Kläger beruft sich wegen der vollständigen Akteneinsicht auf Art. 15 DS-GVO.
Das FG hält zwar die DSGVO im Bereich der Steuerverwaltung für anwendbar, beschränkt jedoch den Umfang des Auskunftsanspruchs erheblich und gesteht letztlich nur einen Anspruch auf pflichtgemäße Ermessensentscheidung über den Akteneinsichtsantrag durch das Finanzamt zu – durchaus kritikwürdig.

Neuer Podcast – neue Fälle: Niko Härting und Stefan Brink ordnen die Freilassung von Julian Assange ein (ab Minute 00:52), nach deutschen Maßstäben wäre er kein Geheimnisverräter. Auch in Querbeet: der Deutsche Bundestag hört Sachverstand zur Novelle des BDSG (ab Minute 05:03). Auch wenn das Verbot der Mischverwaltung einer Stärkung der Datenschutz-Konferenz DSK wohl nicht im Wege stünde, eine sinnvolle Reform ist in dieser Legislaturperiode kaum mehr möglich.

Sodann betrachten wir (ab Minute 09:09) zwei Entscheidungen des EuGH zum Schadenersatzanspruch nach Art. 82 DS-GVO (Dritte Kammer C‑590/22 vom 20. Juni 2024; C‑182/22 vom 20. Juni 2024), hier bestätigt das Gericht seine bisherige Rechtsprechung setzt sich mit dem Begriff des „Identitätsdiebstahls“ als Schaden auseinander.

Ab Minute 21:12 steht dann das Bundesverwaltungsgericht (6 C 2.22 Urteil vom 24.04.2024) im Fokus: Ein Fußball-Ultra hat sich vor dem Revierderby ein befristetes Betretungs- und Aufenthaltsverbot gefangen, mit dem sich die Verwaltungsgerichte jedoch wegen zeitlicher Erledigung des Verwaltungsakts inhaltlich nicht mehr befassen wollten. Zwar ist in ständiger Rechtsprechung ein berechtigtes Interesse an der Feststellung der Rechtswidrigkeit eines erledigten Verwaltungsakts in den Fallgruppen der Wiederholungsgefahr, des Rehabilitationsinteresses sowie der Absicht zum Führen eines Schadensersatzprozesses anerkannt, hier entwickelt das Leipziger Gericht jedoch erhöhte Anforderungen, wenn der Verwaltungsakt „nur“ in das „Auffanggrundrecht“ Art. 2 Abs. 1 GG eingreift. Das verwundert nicht nur, weil sich das BVerwG hierbei auf die abweichende Meinung des Richters Grimm zum Beschluss des Bundesverfassungsgerichts vom 6. Juni 1989 - 1 BvR 921/85 - BVerfGE 80, 137 meint berufen zu können, sondern weil es die Kontrolle von Grundrechtseingriffen als weniger „gewichtig“ einstuft als das richterliche Interesse an Arbeitsentlastung. Mit dieser Haltung gewinnt das Bundesgericht jedenfalls bei den Podcasthosts keinen Bürgerrechts-Preis …

Niko Härting und Max Adamek sprechen mit Prof. Ulrich Kelber, dem scheidenden Bundesbeauftragten für Datenschutz und Informationsfreiheit (BfDI).
Kelber lobt die Juristen, die sich an das sehr technische Gebiet des Datenschutzes heranwagen. Dies unterscheide die Juristinnen und Juristen von Informatikern, die im Datenschutz „wie ein Fisch im Wasser schwimmen“.
Kelber betont die besonders schnelle Entwicklung des Datenschutzrechts während der fünf Jahre seiner Amtszeit. Er moniert, dass die Digitalisierung von Verwaltungsprozessen viel zu langsam vorangeht, wofür er unter anderem fehlenden politischen Entscheidungswillen verantwortlich macht und die eine Scheu von Behörden vor neuen Technologien.
Gefragt nach Bereichen, in denen die Digitalisierung stockt, nennt Kelber eine Vielzahl an öffentlichen und privaten Stellen. Eine Art „Digitalisierungsagentur“ hält er für genauso sinnvoll wie Vorschriften, die interne Abläufe digitalisieren.
Spannendes berichtet Kelber von seiner Kontrollzuständigkeit gegenüber Bundesbehörden. Nicht nur mit der Bundespresseamt hat er sich angelegt, sondern auch mit dem Bundesinnenministerium (BMI) und jüngst mit dem Bundesnachrichtendienst (BND). Die Befugnisse des BfDI gegenüber den Nachrichtendiensten sind kaum bekannt – der BfDI ist insoweit eine „unterschätzte Aufsichtsbehörde“. Trotz des gelegentlich streitbaren Auftretens stellt Kelber klar, dass es Hauptaufgabe des BfDI ist, für Datenverarbeitung verantwortliche Stellen zu beraten.
Anders als seine Nachfolgerin kam Kelber als Politiker ins Amt. Seine politische Erfahrung und seine Erfahrung mit Führungsaufgaben – zuletzt als Parlamentarischer Staatssekretär im Bundesministerium für Justiz und Verbraucherschutz (BMJV) kam Kelber nach eigener Einschätzung bei der Führung des Amts des BfDI zugute.
Die beste Zuständigkeit für die Durchführung des AI Acts sieht Kelber ganz deutlich bei den Datenschutzbehörden. Anderenfalls entstünde ein zu vermeidender Flickenteppich bei der KI-Aufsicht.
Kelber wartet – wie wir alle – auf das im Koalitionsvertrag der „Ampel“ versprochene Transparenzgesetz Der Bund brauche dringend ein „Update“ des Informationsfreiheitsgesetzes (IFG). Die Gebühren müssen hinterfragt werden, es brauche weniger Versagungsgründe, eine anonyme Antragstellung und eine Pflicht zur „proaktiven Veröffentlichung“ in Transparenzportalen.

Neuer Podcast, alte Bekannte: Niko Härting und Stefan Brink pflügen zunächst (ab Minute 02:40) Querbeet: Die Datenschutzkonferenz hat einen Leitfaden zur Nutzung von KI in Behörden und Unternehmen veröffentlicht (Mai 2024). Die Orientierungshilfe richtet sich in erster Linie an die Verantwortlichen, die KI‐Anwendungen einsetzen möchten. Zudem hat sich das Bundesverwaltungsgericht hat sich mit der Frage befasst, ob gegen eine (drohende) Verletzung der DS-GVO mit einem Unterlassungsanspruch reagiert werden kann. Es kam zum Schluss: Art. 79 Abs. 1 DS-GVO schließt die Geltendmachung eines öffentlich-rechtlichen Unterlassungsanspruchs gegen die Datenverarbeitung im Bereich der kommunalen Gefahrenabwehr und Gefahrenvorsorge - hier durch Videoüberwachung einer als öffentliche Einrichtung gewidmeten Grünfläche - nicht aus. Abschließend noch ein kurzer Hinweis auf die „Feiertage“ zur Informationsfreiheit, den mittlerweile 5. IFG-DAYS des LfDI Baden-Württemberg (https://www.baden-wuerttemberg.datenschutz.de/5-ifg-days/) – alle Beiträge demnächst im Netz.

Ab Minute 13:47 geht es dann um den EuGH (Rechtssache 662 ff/2022 vom 30.5.2024, Vorabentscheidungsverfahren): Online-Dienste-Anbieter wie Google, aber auch Amazon, Expedia u.a. klagten gegen das italienische Transparenz-Gesetz „zur Umsetzung“ der EU-VO 2019 zur Förderung von Transparenz und Fairness für gewerbliche Nutzer von Online-Vermittlungsdiensten. Die Kläger haben ihren Sitz in Irland bzw. Luxemburg und beklagten einen erhöhten Verwaltungsaufwand in Italien als Verstoß gegen Dienstleistungsfreiheit innerhalb der EU (Art 56 AEUV). Der EuGH sprach sich klar gegen nationale Erhöhungen der Schutzstandards aus, selbst bei „nützlichen“ Verschärfungen im Sinne einer EU-VO: „Somit darf Italien in anderen Mitgliedstaaten niedergelassenen Anbietern dieser Dienste keine zusätzlichen Verpflichtungen auferlegen, die für die Erbringung der fraglichen Dienste nicht im Niederlassungsmitgliedstaat, wohl aber in Italien vorgesehen sind.“

Mit den Grenzen der Informationstätigkeit von Datenschutz-Aufsichtsbehörden befasst sich ein Aufsatz von Christine Dieterle, Ministerialrätin und Referatsleiterin im Bayerischen Staatsministerium der Justiz in München (ZD 2024, 241) – und Stefan und Niko mit diesem Aufsatz (ab Minute 20:32): Genügt Art. 58 Abs. 3 lit. b DS-GVO, der es den Datenschutzaufsichtsbehörden gestattet, von sich aus oder auf Anfrage Stellungnahmen an das nationale Parlament, die Regierung sowie an die Öffentlichkeit zu richten, für Eingriffe in die Gewerbefreiheit? Denn namentliche Nennungen von Beteiligten an Bußgeldverfahren in Pressemitteilungen oder Tätigkeitsberichten greifen sicherlich in deren Rechte ein. Naming – Blaming – Shaming durch Datenschutzbehörden - ein kontroverses und hoch aktuelles Thema!