VG Wiesbaden | ||
Vorlagebeschluss vom 31.01.2022 | ||
6 K 2249/18.WI | ||
Einmeldung von Negativmerkmalen und gemeinsame Verantwortlichkeit | ||
JurPC Web-Dok. 19/2022, Abs. 1 - 89 | ||
Leitsätze: | ||
1.Es bestehen Zweifel, ob bei der Interessensabwägung nach Art. 6 Abs. 1 UA 1 lit. f) DS-GVO das „berechtigte Interesse“ einer Wirtschaftsauskunftei durch das Vorliegen der „Einmeldevoraussetzungen“ nach § 31 BDSG ersetzt werden kann. 2. Es spricht viel dafür, dass bei einer Einmeldung bei einer Wirtschaftsauskunftei die einmeldende Stelle und die Wirtschaftsauskunftei als gemeinsam Verantwortliche handeln. | ||
Tenor: | Abs. 1 | |
| I.Das Verfahren wird ausgesetzt. | Abs. 2 | |
| II. Das Verfahren wird gemäß Art. 267 AEUV zur Vorabentscheidung dem Gerichtshof der Europäischen Union hinsichtlich folgender Fragen vorgelegt: | Abs. 3 | |
| 1. Ist eine nationale Rechtsvorschrift, wie § 31 BDSG, die die Einmeldung von „Negativ-Merkmalen“ (offene Forderungsbeträge) an eine Auskunftei durch einen Gläubiger für zulässig erklärt, mit Art. 6 Abs. 1 UA 1 lit. f) der Verordnung (EU) 2016/679 des Europäischen Parlaments und des Rates vom 27. April 2016 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten, zum freien Datenverkehr und zur Aufhebung der Richtlinie 95/46/EG (Datenschutz-Grundverordnung - DS-GVO) vereinbar, wenn die Rechtsvorschrift die Einmeldung von Daten zur Ermittlung eines Wahrscheinlichkeitswertes/Score-Wertes über die Zahlungsfähigkeit und Zahlungswilligkeit einer natürlichen Person bei kumulativem Vorliegen abschließend aufgelisteter Voraussetzungen ohne weitere Abwägung und ohne Betrachtung des Einzelfalls für zulässig erklärt? | Abs. 4 | |
| 2. Sind die einmeldende Stelle und die Wirtschaftsauskunftei gemeinsam Verantwortliche i.S.v. Art. 26 der Verordnung (EU) 2016/679, wenn die Wirtschaftsauskunftei die von einem Kreditinstitut eingemeldeten Daten nach der vertraglichen Gestaltung zwischen einmeldender Stelle und einer Wirtschaftsauskunftei (hier der Schufa) nicht auf ihre Richtigkeit hin zu überprüfen hat? | Abs. 5 | |
Gründe: | ||
| I. | Abs. 6 | |
| 1 Die Klägerin begehrt letztendlich die Löschung ihrer bei der beigeladenen SCHUFA Holding AG, einer privaten Wirtschaftsauskunftei, gespeicherten personenbezogenen Daten. | Abs. 7 | |
| 2 Bereits mit Vorlagebeschluss vom 01.10.2021 (6 K 788/20.WI, C-634/21) legte das Verwaltungsgericht Wiesbaden dem Europäischen Gerichtshof die Fragen vor, ob das Scoring dem Anwendungsbereich des Art. 22 Abs. 1 DS-GVO unterfällt und falls nicht, ob die DS-GVO der Regelung des § 31 BDSG entgegenstehe. | Abs. 8 | |
| 3 Der vorliegende Vorlagebeschluss bezieht sich auf andere Aspekte der Norm. Die Klägerin war Inhaberin einer durch die ….. ausgegebenen Kreditkarte. Die mit dieser Karte getätigten Umsätze waren gemäß der Regelungen des Zahlungsdienstvertrages monatlich von der Klägerin auszugleichen. | Abs. 9 | |
| 4 Nachdem die Klägerin offene Forderungen wiederholt nicht ausgeglichen hatte, kündigte der Zahlungsdienstleister mit Schreiben vom 13.02.2018 das die Karte betreffende Vertragsverhältnis mit einer zweimonatigen Frist. Die Klägerin wurde aufgefordert, den offenen Saldo binnen 14 Tagen auszugleichen und gebeten, bis zur Schließung des Kartenkontos keine weiteren Umsätze mehr mit der an sie ausgegebenen Kreditkarte zu tätigen. Das Kündigungsschreiben enthielt darüber hinaus den Hinweis, dass bei weiteren Abwicklungsstörungen eine sogenannte Einmeldung, d.h. eine Mitteilung des Vorganges, an die Beigeladene erfolgen könne. | Abs. 10 | |
| 5 Auf dieses, sowie weitere Erinnerungsschreiben des Zahlungsdienstleisters, erfolgte weder ein Forderungsausgleich, noch eine Reaktion der Klägerin. Mit Schreiben vom 25.04.2018 kündigte der Zahlungsdienstleister das Kreditkartenkonto fristlos und forderte die Klägerin zum Ausgleich des zwischenzeitlich durch weitere Umsätze erhöhten Saldos auf. Am selben Tag erfolgte die Einmeldung des Sachverhalts an die Beigeladene. Dabei handelt es sich um die jeweils aktuellen Forderungsbeträge (sog. Negativ-Merkmal). | Abs. 11 | |
| 6 Mit Schreiben vom 26.05.2018 verlangte die Klägerin von der Beigeladenen die Löschung des zu der offenen Forderung gespeicherten Datensatzes. Die Klägerin teilte überdies mit, dass der nicht ausgeglichene Saldo auf Umsätzen beruhe, die nicht sie selbst, sondern ihr Ehemann unter Verwendung ihrer Kreditkarte getätigt habe. Hierzu legte die Klägerin später eine entsprechende, mit „Eidesstattliche Versicherung" sowie „Schuldanerkenntnis" überschriebene Mitteilung ihres Ehemannes vom 05.06.2018 vor. | Abs. 12 | |
| 7 Der Zahlungsdienstleister gab gegenüber der Beigeladenen an, von der Klägerin nicht über einen möglichen Missbrauch der Kreditkarte informiert worden zu sein. Er verwies in diesem Zusammenhang auf seine Mitgliedschaftsbedingungen, wonach die Klägerin unter anderem dafür Sorge zu tragen hatte, die Kreditkarte vor dem Zugriff anderer Personen zu schützen, eine Nutzung der Karte durch Unbefugte zu verhindern und im Falle eines Verlustes oder unbefugten Einsatzes der Karte den Zahlungsdienstleister unverzüglich zu informieren. Diesen Obliegenheiten sei die Klägerin gegenüber dem Zahlungsdienstleister nicht nachgekommen. | Abs. 13 | |
| 8 Die Beigeladene teilte der Klägerin mit Schreiben vom 17.07.2018 die Stellungnahme des Zahlungsdienstleisters mit, wonach ein Identitätsmissbrauch durch Dritte nicht feststellbar sei und die Voraussetzungen für eine Einmeldung vorlägen. | Abs. 14 | |
| 9 Die Klägerin wandte sich bezüglich der von ihr begehrten Löschung an die beklagte Aufsichtsbehörde. Diese teilt jedoch die Auffassung der Beigeladenen. Die Übermittlung und Speicherung der die offene Forderung betreffenden personenbezogenen Daten der Klägerin richte sich nach Art. 6 Abs. 1 UA 1 lit. f) DS-GVO i.V.m. § 31 BDSG und sei aus datenschutzrechtlicher Sicht nicht zu beanstanden. | Abs. 15 | |
| II. | Abs. 16 | |
| 1. Charta der Grundrechte der Europäischen Union - GrCh – | Abs. 17 | |
| (ABl. 2016 Nr. C 202 vom 7. Juni 2016, S. 389) | Abs. 18 | |
| 10 Art. 7 GrCh | Abs. 19 | |
| Achtung des Privat- und Familienlebens | Abs. 20 | |
| Jede Person hat das Recht auf Achtung ihres Privat- und Familienlebens, ihrer Wohnung sowie ihrer Kommunikation. | Abs. 21 | |
| 11 Art. 8 GrCh | Abs. 22 | |
| Schutz personenbezogener Daten | Abs. 23 | |
| (1) Jede Person hat das Recht auf Schutz der sie betreffenden personenbezogenen Daten. | Abs. 24 | |
| (2) Diese Daten dürfen nur nach Treu und Glauben für festgelegte Zwecke und mit Einwilligung der betroffenen Person oder auf einer sonstigen gesetzlich geregelten legitimen Grundlage verarbeitet werden. Jede Person hat das Recht, Auskunft über die sie betreffenden erhobenen Daten zu erhalten und die Berichtigung der Daten zu erwirken. | Abs. 25 | |
| (3) Die Einhaltung dieser Vorschriften wird von einer unabhängigen Stelle überwacht. | Abs. 26 | |
| 12 Art. 52 GrCh | Abs. 27 | |
| Tragweite und Auslegung der Rechte und Grundsätze | Abs. 28 | |
| (1) Jede Einschränkung der Ausübung der in dieser Charta anerkannten Rechte und Freiheiten muss gesetzlich vorgesehen sein und den Wesensgehalt dieser Rechte und Freiheiten achten. Unter Wahrung des Grundsatzes der Verhältnismäßigkeit dürfen Einschränkungen nur vorgenommen werden, wenn sie erforderlich sind und den von der Union anerkannten dem Gemeinwohl dienenden Zielsetzungen oder den Erfordernissen des Schutzes der Rechte und Freiheiten anderer tatsächlich entsprechen. | Abs. 29 | |
| (…) | Abs. 30 | |
| 2. VERORDNUNG (EU) 2016/679 DES EUROPÄISCHEN PARLAMENTS UND DES RATES vom 27. April 2016 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten, zum freien Datenverkehr und zur Aufhebung der Richtlinie 95/46/EG (Datenschutz-Grundverordnung = DS-GVO; ABl. EU L Nr. 119 vom 4.5.2016, S. 1) | Abs. 31 | |
| 13 Art. 6 DS-GVO | Abs. 32 | |
| Rechtmäßigkeit der Verarbeitung | Abs. 33 | |
| (1) Die Verarbeitung ist nur rechtmäßig, wenn mindestens eine der nachstehenden Bedingungen erfüllt ist: | Abs. 34 | |
| a) Die betroffene Person hat ihre Einwilligung zu der Verarbeitung der sie betreffenden personenbezogenen Daten für einen oder mehrere bestimmte Zwecke gegeben; | Abs. 35 | |
| b) die Verarbeitung ist für die Erfüllung eines Vertrags, dessen Vertragspartei die betroffene Person ist, oder zur Durchführung vorvertraglicher Maßnahmen erforderlich, die auf Anfrage der betroffenen Person erfolgen; | Abs. 36 | |
| c) die Verarbeitung ist zur Erfüllung einer rechtlichen Verpflichtung erforderlich, der der Verantwortliche unterliegt; | Abs. 37 | |
| d) die Verarbeitung ist erforderlich, um lebenswichtige Interessen der betroffenen Person oder einer anderen natürlichen Person zu schützen; | Abs. 38 | |
| e) die Verarbeitung ist für die Wahrnehmung einer Aufgabe erforderlich, die im öffentlichen Interesse liegt oder in Ausübung öffentlicher Gewalt erfolgt, die dem Verantwortlichen übertragen wurde; | Abs. 39 | |
| f) die Verarbeitung ist zur Wahrung der berechtigten Interessen des Verantwortlichen oder eines Dritten erforderlich, sofern nicht die Interessen oder Grundrechte und Grundfreiheiten der betroffenen Person, die den Schutz personenbezogener Daten erfordern, überwiegen, insbesondere dann, wenn es sich bei der betroffenen Person um ein Kind handelt. | Abs. 40 | |
| Unterabsatz 1 Buchstabe f gilt nicht für die von Behörden in Erfüllung ihrer Aufgaben vorgenommene Verarbeitung. | Abs. 41 | |
| (2) Die Mitgliedstaaten können spezifischere Bestimmungen zur Anpassung der Anwendung der Vorschriften dieser Verordnung in Bezug auf die Verarbeitung zur Erfüllung von Absatz 1 Buchstaben c und e beibehalten oder einführen, indem sie spezifische Anforderungen für die Verarbeitung sowie sonstige Maßnahmen präziser bestimmen, um eine rechtmäßig und nach Treu und Glauben erfolgende Verarbeitung zu gewährleisten, einschließlich für andere besondere Verarbeitungssituationen gemäß Kapitel IX. | Abs. 42 | |
| (3) Die Rechtsgrundlage für die Verarbeitungen gemäß Absatz 1 Buchstaben c und e wird festgelegt durch | Abs. 43 | |
| a) Unionsrecht oder | Abs. 44 | |
| b) das Recht der Mitgliedstaaten, dem der Verantwortliche unterliegt. Der Zweck der Verarbeitung muss in dieser Rechtsgrundlage festgelegt oder hinsichtlich der Verarbeitung gemäß Absatz 1 Buchstabe e für die Erfüllung einer Aufgabe erforderlich sein, die im öffentlichen Interesse liegt oder in Ausübung öffentlicher Gewalt erfolgt, die dem Verantwortlichen übertragen wurde. Diese Rechtsgrundlage kann spezifische Bestimmungen zur Anpassung der Anwendung der Vorschriften dieser Verordnung enthalten, unter anderem Bestimmungen darüber, welche allgemeinen Bedingungen für die Regelung der Rechtmäßigkeit der Verarbeitung durch den Verantwortlichen gelten, welche Arten von Daten verarbeitet werden, welche Personen betroffen sind, an welche Einrichtungen und für welche Zwecke die personenbezogenen Daten offengelegt werden dürfen, welcher Zweckbindung sie unterliegen, wie lange sie gespeichert werden dürfen und welche Verarbeitungsvorgänge und -verfahren angewandt werden dürfen, einschließlich Maßnahmen zur Gewährleistung einer rechtmäßig und nach Treu und Glauben erfolgenden Verarbeitung, wie solche für sonstige besondere Verarbeitungssituationen gemäß Kapitel IX. Das Unionsrecht oder das Recht der Mitgliedstaaten müssen ein im öffentlichen Interesse liegendes Ziel verfolgen und in einem angemessenen Verhältnis zu dem verfolgten legitimen Zweck stehen. | Abs. 45 | |
| 14 Art. 22 DS-GVO | Abs. 46 | |
| Automatisierte Entscheidung im Einzelfall einschließlich Profiling | Abs. 47 | |
| (1) Die betroffene Person hat das Recht, nicht einer ausschließlich auf einer automatisierten Verarbeitung – einschließlich Profiling – beruhenden Entscheidung unterworfen zu werden, die ihr gegenüber rechtliche Wirkung entfaltet oder sie in ähnlicher Weise erheblich beeinträchtigt. | Abs. 48 | |
| (2) Absatz 1 gilt nicht, wenn die Entscheidung | Abs. 49 | |
| a) für den Abschluss oder die Erfüllung eines Vertrags zwischen der betroffenen Person und dem Verantwortlichen erforderlich ist, | Abs. 50 | |
| b) aufgrund von Rechtsvorschriften der Union oder der Mitgliedstaaten, denen der Verantwortliche unterliegt, zulässig ist und diese Rechtsvorschriften angemessene Maßnahmen zur Wahrung der Rechte und Freiheiten sowie der berechtigten Interessen der betroffenen Person enthalten oder | Abs. 51 | |
| c) mit ausdrücklicher Einwilligung der betroffenen Person erfolgt. | Abs. 52 | |
| (3) In den in Absatz 2 Buchstaben a und c genannten Fällen trifft der Verantwortliche angemessene Maßnahmen, um die Rechte und Freiheiten sowie die berechtigten Interessen der betroffenen Person zu wahren, wozu mindestens das Recht auf Erwirkung des Eingreifens einer Person seitens des Verantwortlichen, auf Darlegung des eigenen Standpunkts und auf Anfechtung der Entscheidung gehört. | Abs. 53 | |
| (4) Entscheidungen nach Absatz 2 dürfen nicht auf besonderen Kategorien personenbezogener Daten nach Artikel 9 Absatz 1 beruhen, sofern nicht Artikel 9 Absatz 2 Buchstabe a oder g gilt und angemessene Maßnahmen zum Schutz der Rechte und Freiheiten sowie der berechtigten Interessen der betroffenen Person getroffen wurden. | Abs. 54 | |
| 15 Artikel 26 DS-GVO | Abs. 55 | |
| Gemeinsam für die Verarbeitung Verantwortliche | Abs. 56 | |
| (1) Legen zwei oder mehr Verantwortliche gemeinsam die Zwecke der und die Mittel zur Verarbeitung fest, so sind sie gemeinsam Verantwortliche. Sie legen in einer Vereinbarung in transparenter Form fest, wer von ihnen welche Verpflichtung gemäß dieser Verordnung erfüllt, insbesondere was die Wahrnehmung der Rechte der betroffenen Person angeht, und wer welchen Informationspflichten gemäß den Artikeln 13 und 14 nachkommt, sofern und soweit die jeweiligen Aufgaben der Verantwortlichen nicht durch Rechtsvorschriften der Union oder der Mitgliedstaaten, denen die Verantwortlichen unterliegen, festgelegt sind. In der Vereinbarung kann eine Anlaufstelle für die betroffenen Personen angegeben werden. | Abs. 57 | |
| (2) Die Vereinbarung gemäß Absatz 1 muss die jeweiligen tatsächlichen Funktionen und Beziehungen der gemeinsam Verantwortlichen gegenüber betroffenen Personen gebührend widerspiegeln. Das wesentliche der Vereinbarung wird der betroffenen Person zur Verfügung gestellt. (3)Ungeachtet der Einzelheiten der Vereinbarung gemäß Absatz 1 kann die betroffene Person ihre Rechte im Rahmen dieser Verordnung bei und gegenüber jedem einzelnen der Verantwortlichen geltend machen | Abs. 58 | |
| 3. Bundesdatenschutzgesetz (BDSG) vom 30. Juni 2017 (BGBl. I. S. 2097, geändert durch Art. 12 des Gesetzes vom 20. November 2019, BGBl. I. S. 1626) | Abs. 59 | |
| 16 § 31 BDSG | Abs. 60 | |
| Schutz des Wirtschaftsverkehrs bei Scoring und Bonitätsauskünften | Abs. 61 | |
| (1) Die Verwendung eines Wahrscheinlichkeitswerts über ein bestimmtes zukünftiges Verhalten einer natürlichen Person zum Zweck der Entscheidung über die Begründung, Durchführung oder Beendigung eines Vertragsverhältnisses mit dieser Person (Scoring) ist nur zulässig, wenn | Abs. 62 | |
| (2) Die Verwendung eines von Auskunfteien ermittelten Wahrscheinlichkeitswerts über die Zahlungsfähig- und Zahlungswilligkeit einer natürlichen Person ist im Fall der Einbeziehung von Informationen über Forderungen nur zulässig, soweit die Voraussetzungen nach Absatz 1 vorliegen und nur solche Forderungen über eine geschuldete Leistung, die trotz Fälligkeit nicht erbracht worden ist, berücksichtigt werden, | Abs. 63 | |
| Die Zulässigkeit der Verarbeitung, einschließlich der Ermittlung von Wahrscheinlichkeitswerten, von anderen bonitätsrelevanten Daten nach allgemeinem Datenschutzrecht bleibt unberührt. | Abs. 64 | |
| III. | Abs. 65 | |
| 30 Das vorlegende Gericht ist zur Vorlage der Fragen gemäß Art. 267 Abs. 1 lit. a, Abs. 2 AEUV berechtigt. Denn in Frage steht die Auslegung der Art. 6 Abs. 1 UA 1 lit. f) und 22 DS-GVO, die sekundäres Unionsrecht darstellen. | Abs. 66 | |
| 1. Zur 1. Vorlagefrage | Abs. 67 | |
| 31 Die Entscheidung über die erste Frage ist für den Erlass des Urteils erforderlich. Die beklagte Aufsichtsbehörde sowie die Beigeladene sind der Ansicht, dass die Einmeldung und Speicherung der Daten im Einklang mit der DS-GVO steht, da § 31 Abs. 2 BDSG beachtet worden sei und damit die erforderliche Abwägung nach Art. 6 Abs. 1 UA 1 lit. f) DS-GVO vorgenommen worden sei. Wenn jedoch eine mitgliedstaatliche Regelung die in Art. 6 Abs. 1 UA 1 lit. f) DS-GVO vorgesehene Interessenabwägung gar nicht ersetzen bzw. ergänzen kann, so würde eine unrechtmäßige Datenverarbeitung vorliegen, da es an einer entsprechenden Interessenabwägung mangelt. Dasselbe würde gelten, wenn die Regelung des § 31 BDSG selbst im Widerspruch zu Art. 6 Abs. 1 UA 1 lit. f) DS-GVO stünde. Der Klägerin stünde dann ein Löschungsanspruch aus Art. 17 Abs. 1 lit. d) DS-GVO zur Seite. | Abs. 68 | |
| 32 Das vorlegende Gericht hat Zweifel daran, ob § 31 Abs. 2 BDSG die in Art. 6 Abs. 1 UA 1 lit. f) DS-GVO vorgesehene Abwägung ersetzen kann und ob § 31 Abs. 2 BDSG mit Art. 6 Abs. 1 UA 1 lit. f) DS-GVO vereinbar ist. | Abs. 69 | |
| 33 Nach Art. 6 Abs. 1 UA 1 lit. f) DS-GVO ist eine Datenverarbeitung rechtmäßig, wenn die Verarbeitung zur Wahrung der berechtigten Interessen des Verantwortlichen oder eines Dritten erforderlich ist, sofern nicht die Interessen oder Grundrechte und Grundfreiheiten der betroffenen Person, die den Schutz personenbezogener Daten erfordern, überwiegen. | Abs. 70 | |
| 34 Demgegenüber regelt § 31 BDSG, dass die Verwendung eines Wahrscheinlichkeitswerts über ein bestimmtes zukünftiges Verhalten einer natürlichen Person zum Zweck der Entscheidung über die Begründung, Durchführung oder Beendigung eines Vertragsverhältnisses mit dieser Person (Scoring) nach nationalem Recht nur zulässig ist, wenn die dort aufgeführten Bedingungen eingehalten werden. Dabei werden die Bedingungen, wann eine Speicherung erfolgen darf, in § 31 Abs. 2 BDSG festgelegt. Hiernach würde eine Abwägung, wie sie Art. 6 Abs. 1 UA 1 lit. f) DS-GVO fordert, entfallen. | Abs. 71 | |
| 35 Dabei ist schon fraglich, ob eine nationale Norm wie § 31 BDSG der Ermächtigung des Art. 22 Abs. 2 lit. b) DS-GVO entspricht, wenn die Norm selbst, wie § 31 BDSG, keine angemessene Maßnahmen zur Wahrung der Rechte und Freiheiten sowie der berechtigten Interessen der betroffenen Person enthält (dazu Vorlage VG Wiesbaden, Beschluss vom 15.10.2021, Az., 6 K 788/20.WI, EuGH, Az. C-634/21). | Abs. 72 | |
| 36 Hinzu kommt, dass die Beigeladene, wie auch die beklagte Aufsichtsbehörde, bei ihrem Abwägungsprozess § 31 BDSG als Ergebnis einer gesetzgeberischen Abwägung zu Grunde legen. Dies hätte zur Folge, dass dann, wenn die Voraussetzungen zur Einmeldung nach § 31 BDSG vorliegen, die Abwägung immer zugunsten der Beigeladenen als speichernde und weiterverarbeitende Stelle ausfallen würde. Insoweit stellt sich zunächst die schon in dem Vorlagebeschluss vom 01.10.2021 (6 K 788/20.WI, C-634/21) gestellte Frage, ob § 31 BDSG überhaupt mit der DS-GVO im Einklang steht. | Abs. 73 | |
| 37 Wenn dies zu bejahen wäre, ist in einem weiteren Schritt zu klären, ob eine solche Norm die Abwägung immer zugunsten der Beigeladenen bestimmen kann. Für den Fall, dass die Norm gegen die DS-GVO verstoßen sollte, könnte sie bei der Abwägung nach Art. 6 Abs. 1 UA 1 lit. f) DS-GVO nicht herangezogen werden und auch nicht Bestandteil der notwendigen Abwägung sein. | Abs. 74 | |
| 38 Falls § 31 BDSG mit Art. 22 DS-GVO im Einklang stehen sollte, so hat das Gericht dennoch erhebliche Zweifel daran, dass die gesetzgeberische nationale Regelung, hier § 31 BDSG, in dem Abwägungsprozess nach Art. 6 Abs. 1 UA 1 lit. f) DS-GVO mit berücksichtigt werden kann und darf. | Abs. 75 | |
| 39 Denn Art. 6 Abs. 1 UA 1 lit. f) DS-GVO selbst stellt bei dem Abwägungsprozess nur auf die berechtigten Interessen der datenverarbeitenden Stelle oder eines Dritten und die Grundrechte des Betroffenen ab. Eine Einstellung nationaler Normen in den Abwägungsprozess erfolgt dabei nicht. Eine Öffnungsklausel enthalten Art. 6 Abs. 2 und 3 DS-GVO ebenfalls nicht. In Art. 6 Abs. 3 DS-GVO ist lediglich bezüglich der lit. c) und d), nicht aber bezüglich lit. f) eine Präzisierung durch eine Rechtsgrundlage vorgesehen. | Abs. 76 | |
| 40 Auch bedürfte es einer Abwägung nach Art. 6 Abs. 1 UA 1 lit. f) DS-GVO durch den Einmelder, da dies die einzig ersichtliche Rechtsgrundlage für die Datenübermittlung ist. Jedoch hat der Einmelder keine Abwägung durchgeführt, sondern ist - wie von dieser Norm vorgesehen - von § 31 Abs. 1 i.V.m. Abs. 2 BDSG als Übermittlungstatbestand ausgegangen | Abs. 77 | |
| 41 Der Klägerin stünde bei Nichtanwendung des § 31 Abs. 2 i.V.m. Abs. 1 BDSG ein Anspruch aus Art. 17 Abs. 1 lit. d) EU-DSGVO auf Löschung ihrer durch die Beigeladene verarbeiteten personenbezogenen Daten zu, da die Datenübermittlung mangels eines ausreichenden Abwägungsprozesses rechtswidrig wäre. | Abs. 78 | |
| Abs. 79 | ||
| 2. Zur 2. Vorlagefrage | Abs. 80 | |
| 42 Zudem ist die Frage zu klären, ob eine gemeinsame Verantwortlichkeit der einmeldenden Stelle und der SCHUFA nach Art. 26 DS-GVO gegeben ist. | Abs. 81 | |
| 43 Auch diese Frage ist entscheidungserheblich. Denn im Falle einer gemeinsamen Verantwortlichkeit müsste eine Beiladung der einmeldenden Stelle erfolgen. | Abs. 82 | |
| 44 Vorliegend hat die Beigeladene im Rahmen der Einmeldung durch den Zahlungsdienstleister Informationen über die Nichtbegleichung des offenen Kreditkartensaldos erfasst. Darüber hinaus sind Angaben zu einem von der Klägerin behaupteten Kartenmissbrauch durch einen Dritten gespeichert worden. | Abs. 83 | |
| 45 Durch die Verarbeitung dieser personenbezogenen Daten ist eine Bewertung sowohl der wirtschaftlichen Lage, als auch der Zuverlässigkeit der Klägerin durch die Beigeladene möglich. Die Beigeladene macht wiederum geltend, dass sie für die eingemeldeten Daten nicht verantwortlich sei. Im Falle eines Löschbegehrens durch den Einmelder oder der betroffenen Person erklärt die Beigeladene jedoch, dass sie selbstständig über die Daten entscheiden dürfe und damit auch selbst entscheiden könne, ob eine Einmeldung rechtmäßig erfolgt sei, selbst wenn die einmeldende Stelle gerichtlich zur Löschung verpflichtet worden ist. Es spricht insoweit viel dafür, dass mehrere Verantwortliche gemeinsam die Zwecke der und die Mittel zur Verarbeitung festlegen, mithin eine gemeinsame Verarbeitung nach Art. 26 DS-GVO gegeben ist. | Abs. 84 | |
| 46 Der EuGH hat in dem Verfahren „Zeugen Jehovas“ (Urteil vom 10.07.2018, C-25/17, ECLI:EU:C:2018:551) ausgeführt, dass eine gemeinsame Verantwortlichkeit bereits dann gegeben sei, wenn beide Verantwortliche aus Eigeninteresse auf die Verarbeitung personenbezogener Daten Einfluss nehmen und damit an der Entscheidung über die Zwecke und Mittel dieser Verarbeitung mitwirken, ohne dass hierfür jeder Verantwortliche Zugang zu den betreffenden personenbezogenen Daten hat. | Abs. 85 | |
| 47 Auch in dem Urteil zu Fashion ID, Urteil vom 29.07.2019, C- 40/17 ECLI:EU:C:2019:629, hat der EuGH bezüglich der gemeinsamen Verantwortlichkeit auf ein Eigeninteresse abgestellt. Die Verantwortlichkeit beziehe sich damit jeweils auf diejenige Phase, über deren Zwecke und Mittel die Beteiligten gemeinsam mit anderen entscheide. Insoweit wird die gemeinsame Verantwortlichkeit europarechtlich weit ausgelegt. Dies ist hier insoweit gegeben, als die einmeldende Stelle, wie auch die Beigeladene im Zeitpunkt der Einmeldung das Ziel eint, dass die Daten der Klägerin zur Bewertung ihrer Kreditwürdigkeit herangezogen werden sollen. | Abs. 86 | |
| 48 Das vorlegende Gericht ist daher der Ansicht, dass es zwischen der Beigeladenen und der einmeldenden Stelle einer Vereinbarung nach Art. 26 DS-GVO bedarf. | Abs. 87 | |
| IV. | Abs. 88 | |
| 49 Der Beschluss ist unanfechtbar | Abs. 89 | |
| (online seit: 08.02.2022) | ||
| Zitiervorschlag: Gericht, Datum, Aktenzeichen, JurPC Web-Dok, Abs. |
| Zitiervorschlag: Wiesbaden, VG, Einmeldung von Negativmerkmalen und gemeinsame Verantwortlichkeit - JurPC-Web-Dok. 0019/2022 |
