Die heutige Folge widmet sich der Informationsfreiheit.

Zunächst (01:02) werfen Dr. Stefan Brink und Prof. Niko Härting einen Blick auf den Koalitionsvertrag. Ein Transparenzgesetz sei nicht zu erwarten - eine verpasste Chance für die Verbesserung der Verwaltung.

Anschließend werden zwei von FragDenStaat erstrittene Verwaltungsgerichtsentscheidungen thematisiert, bei denen die beklagten Bundesministerien Ausschlussgründe des Informationsfreiheitsgesetz (IFG) und des Umweltinformationsgesetz (UIG) nicht plausibel dargelegt hatten.

In der ersten Entscheidung (VG Berlin v. 10.1.2025 VG 2 K 188/23) (09:36) berief sich das Bundesinnenministerium auf den Kernbereich der exekutiven Eigenverantwortung.

In der zweiten Entscheidung (VG Berlin v. 19.2.2025, VG 2 K 133/2) (25:16), einer Klage nach dem UIG, berief sich das Bundesministerium für Digitales und Verkehr (BMDV) auf das Betriebs- und Geschäftsgeheimnis.

Zum Schluss (33:53) besprechen Brink und Härting eine Entscheidung des Oberverwaltungsgericht Rheinland-Pfalz, die eine Sperrerklärung des Landesdatenschutzbeauftragten Rheinland-Pfalz zum Gegenstand hat. Warum verwehrte der Informationsfreiheitsbeauftragte hier in unzulässiger Weise die Informationsfreiheit?

Kein Rechtsschutz für Pornhub und Youporn – Das Berliner Verwaltungsgericht bezeichnet das Verhalten der Pornoanbieter in einer geharnischten Pressemeldung als „verwerflich“ und verweigert jeglichen Rechtsschutz (VG Berlin vom 24.4.2025 - VG 32 L 25/25 und VG 32 L 26/25).

00:04:29

00:09:09

00:17:35

00:27:17

Im neuen Podcast mit Stefan Brink und Niko Härting zeigt sich einmal mehr, dass Gerichte und Gesetzgeber immer wieder „Luft nach oben“ lassen, was die Überzeugungskraft ihrer Entscheidungen angeht:

Zunächst (ab Minute 00:46) werfen wir in Querbeet einen Blick auf die erfolglose Verfassungsbeschwerde einer Offizierin gegen die disziplinarrechtliche Ahndung der Gestaltung ihres privaten Tinder-Profils (BVerfG Beschluss vom 20. März 2025 - 2 BvR 110/23). Karlsruhe meint, die Verfassungsbeschwerde sei unzulässig, sie genüge nicht den Darlegungs- und Substantiierungsanforderungen des BVerfGG. Letztlich verneint das BVerfG die Beschwer, die von einer zwar in der Personalakte nicht getilgten, aber tilgungsreifen Disziplinarstrafe ausgeht. Naja.

Sodann geht es (ab Minute 11:51) um die Entscheidung des Bundesverwaltungsgerichts (Beschluss vom 14. April 2025 BVerwG 10 VR 3.25), wonach kein presserechtlicher Auskunftsanspruch gegen den BND zu Erkenntnissen zum Ursprung der COVID-19-Pandemie besteht. Der BND habe plausibel dargelegt, dass die Auskünfte seine Funktionsfähigkeit und die auswärtigen Interessen der Bundesrepublik Deutschland beeinträchtigen könnten. Auch schade.

Keinen Widerspruch sah der BGH (ab Minute 22:02) – Beschluss vom 22. Januar 2025, II ZB 18/23 – zu der einschlägigen Vorentscheidung des EuGH, als er dem Auskunftsersuchen eines Gesellschafters, das auch dem Ziel diente, die Namen, Anschriften und Beteiligungshöhen der Mitgesellschafter dazu zu verwenden, diesen Kaufangebote für ihre Anteile zu unterbreiten, stattgab. Der Kläger begehrte von der Treuhänderin vergeblich Auskunft über persönliche Daten sowie die Beteiligungshöhen der an den Fondsgesellschaften beteiligten Gesellschafter. Zu Recht, sagt der BGH, das auf Kenntnis seiner Mitgesellschafter gerichtete Auskunftsbegehren des Gesellschafters sei lediglich durch das Verbot der unzulässigen Rechtsausübung (§ 242 BGB) und das Schikaneverbot gemäß § 226 BGB begrenzt. In seinem Urteil vom 12. September 2024 hatte der Europäische Gerichtshof offenbar zu viel Spielraum gelassen.

Sodann analysieren Niko und Stefan (ab Minute 28:16) den Koalitionsvertrag von CDU/CSU/SPD in Sachen Datenschutz, der nun „entbürokratisiert“ werden soll. Die Datenschutzaufsicht soll bei der Bundesdatenschutzbeauftragten „gebündelt“ werden, alle vorhandenen Spielräume der DSGVO wollen die Koalitionäre nutzen, um beim Datenschutz für Kohärenz, einheitliche Auslegungen und Vereinfachungen für kleine und mittlere Unternehmen, Beschäftigte und das Ehrenamt zu sorgen. Und die Vorratsdatenspeicherung wird auch eingeführt, die dreimonatige Speicherpflicht für IP-Adressen und Portnummern kommt. In Sachen Informationsfreiheit bleibt der Koalitionsvertrag kryptisch: „Das Informationsfreiheitsgesetz in der bisherigen Form wollen wir mit einem Mehrwert für Bürgerinnen und Bürger und Verwaltung reformieren.“ Was immer das nun bedeutet … da bleibt viel Luft nach oben!

Im neuen Podcast mit Stefan Brink und Niko Härting gilt der Hinweis (ab Minute 00:50) einer Vortragsveranstaltung der Stiftung Datenschutz, bei der Stefan zur Reform der DS-GVO spricht – der Vortrag ist dann unter https://294210.seu2.cleverreach.com/m/16049313/0-ade6065a5d75f15408ac75fd80a424e57cdaad9056497821bc9844cf6b3b8354148633b9b361312f04a0013bb7faca84 abrufbar.

International geht es (ab Minute 02:45) los, und zwar um den Schuldspruch des Pariser Tribunal Correctionnel in der Affäre um Scheinbeschäftigungen von Mitarbeitern im Europaparlament; das das Gericht verhängte gegen Marine Le Pen mit sofortiger Wirkung die Strafe der befristeten Unwählbarkeit für politische Ämter für fünf Jahre. Außerdem wurde Le Pen (Vorsitzende der Partei Rassemblement National) zu vier Jahren Freiheitsstrafe, davon zwei Jahre Haft mit Fußfessel verurteilt und es wurde eine Geldstrafe in Höhe von 100.000 Euro verhängt. Das Gericht begründete das sofortige Amtsverbot mit einem drohenden "Rückfallrisiko". Die französische Politikerin kann aller Voraussicht nach nicht bei der Präsidentschaftswahl 2027 kandidieren, die politischen Reaktionen in Frankreich sind durchwachsen. So etwas kann auch in Deutschland passieren, der Verlust des passiven Wahlrechts ist Nebenstrafe nach § 45 Abs. 1 StGB.

Ur-deutsch ist hingegen (ab Minute 12:56) die Entscheidung des VGH München (Beschluss v. 21.02.2025 – 7 ZB 24.651), wonach die Einsichtnahme in einen Auftragsverarbeitungsvertrag im Rundfunkbeitragsrecht sich weder aus dem Rundfunkbeitrag-Staatsvertrag, noch aus der DS-GVO oder § 29 VwVfG herleiten lässt.

Sehr deutsch (ab Minute 24:18) ist auch das Thema sog. „Neugierabfragen“ aus staatlichen Informationsregistern. Das OLG Stuttgart (25.2.2025, 2 ORbs 16 Ss 336/24) bestätigte, dass die nicht dienstlich veranlasste Datenbankabfrage durch Behördenmitarbeiter (hier: Polizeiauskunftssystem "POLAS") eine Verantwortlichkeit gem. Art. 4 Nr. 7 DS-GVO begründet. Der Polizist bekam eine 1.500 € Geldbuße für den Abruf von Daten über einen damaligen Kollegen, der sich zu dieser Zeit in Untersuchungshaft befand.

Sehr europäisch sind hingegen (ab Minute 33:01) die Entscheidungen des BGH (Urteile vom 27. März 2025 - I ZR 186/17; I ZR 222/19 und ZR 223/19) zur Befugnis der Verbraucherschutzverbände und Mitbewerber, Verstöße gegen das Datenschutzrecht im Wege einer wettbewerbsrechtlichen Klage vor den Zivilgerichten zu verfolgen (zu Facebook online-Spielen) bzw. zum Vertrieb von Medikamenten via Amazon. In allen Fällen lagen Vorlageentscheidungen des EuGH vor, welche der BGH brav umsetzte. Damit ist das Zusammenspiel von DS-GVO und UWG so ziemlich geklärt – im Wege der deutsch-europäischen Zusammenarbeit.

In Brüssel zeichnen sich die digitalpolitischen Schwerpunkte der neuen Kommission und des Parlaments ab. (Ab 03:40) Parlamentarier aller demokratischen Fraktionen schauen besorgt in die USA und halten „digitale Souveränität“ für das Gebot der Stunde. Der Weg dorthin wird jedoch steinig bleiben. Zugleich ist eine mögliche DSGVO-Reform in aller Munde. Dass es gerade bei den Sprachmodellen und allgemein bei KI etliche datenschutzrechtliche Stolpersteine gibt, ist allen Akteuren bewusst. Auch möchte man die Rechtsdurchsetzung verbessern und Erleichterungen für kleine und mittelständische Unternehmen schaffen. In einem „Omnibus“-Paket sollen manche Ungereimtheiten im Zusammenspiel der verschiedenen neuen Digitalrechtsakte beseitig werden.

18:48

38:00

Im neuen Podcast mit Niko Härting und Stefan Brink geht es um Falsches, das berichtigt werden soll: Zunächst (ab Minute 00:50) berichtet Niko in Querbeet von den Versuchen der Trump-Administration, Maßnahmen der Gleichstellung (am Exempel großer US Law Firms) als Diskriminierung hinzustellen.

Sodann geht es (ab Minute 06:21) um die Stellungnahme der Landesdatenschutzbeauftragten (ohne die BfDI) zum Data Act Durchführungsgesetz: Die LfD sprechen sich bei der Umsetzung des Data Acts für eine föderale Aufsicht aus, die Europa- und Verfassungsrecht beachtet und Doppelstrukturen vermeidet.

Keinen Berichtigungsbedarf sah das BVerfG (ab Minute 12:49) - 2 BvE 4/25, Beschluss vom 13.3.2025 – anlässlich einer Organklage der fraktionslosen Abgeordneten des 20. Deutschen Bundestages Joana Cotar. Sie wendete sich ihren Anträgen auf Erlass einer einstweiligen Anordnung gegen die Anberaumung von Sondersitzungen des 20. Deutschen Bundestages - nach der bereits erfolgten Wahl zum 21. Deutschen Bundestag - in denen über die Schuldenbremse beraten werden sollte. Das BVerfG lehnte mit einer schlichten Folgenabwägung ab.

Als berichtigungsbedürftig sieht die „Initiative für einen handlungsfähigen Staat“ (ab Minute 19:30) aus den vier Aktivisten Julia Jäkel (Managerin und Verlegerin, ehem. Vorstandsvorsitzende Gruner und Jahr), den ehemaligen Bundesministern Thomas de Maizière und Peer Steinbrück sowie Ex-BVerfG-Präsident Andreas Voßkuhle, die „Blockaden und Selbstblockaden staatlichen Handelns“, besonders beim Datenschutz: Die Datenschutzgrundverordnung werde in Deutschland strenger angewendet als in anderen EU-Staaten (soso), der Persönlichkeitsschutz sei gerade mit Hilfe digitaler Technologie leichter und besser umzusetzen (aha). Deswegen solle künftig Opt-Out statt Einwilligung herrschen, kleine und mittlere Unternehmen sollten über keinen Datenschutzbeauftragten mehr verfügen müssen. Und ach ja: Die Aufsicht über den nichtöffentlichen Bereich (Unternehmen), die heute durch die Datenschutzaufsichtsbehörden der Länder ausgeübt wird, sollte bei der Bundesbeauftragten erfolgen, um eine uneinheitliche Rechtsauslegung zu vermeiden.

Nichts zu berichtigen hatte schließlich das BVerwG (10 VR 2.25 am 13. Februar 2025 – ab Minute 29:09) und lehnte den Antrag des Redakteurs einer Tageszeitung ab, der im Wege der einstweiligen Anordnung Auskünfte vom Bundesnachrichtendienst (BND) begehrte. Dieser wollte anlässlich der Münchner Sicherheitskonferenz vertrauliche Hintergrundgesprächen mit Journalisten führen – das BVerwG fand das nicht spannend genug und ließ offen, ob der BND richtig oder falsch damit liegt.

Mit einem Anspruch auf Berichtigung nach Art. 16 DS-GVO befasste sich der EuGH (Urteil vom 13.3.25 C-247/23 – ab Minute 39:38). Ein transsexueller iranischer Geflüchteter bat die ungarische Ausländerbehörde um die Berichtigung von Daten betreffend seine Geschlechtsidentität in einem von dieser Behörde geführten öffentlichen Register. Die Behörde lehnte das ab, da er keinen Nachweis einer geschlechtsangleichenden Operation geführt hatte. Dem trat der EuGH auf Basis der DS-GVO (!) entgegen und befand, dass eine nationale Regelung, die es verhindert, dass eine transgeschlechtliche Person wegen fehlender Anerkennung ihrer neuen Geschlechtsidentität eine notwendige Voraussetzung erfüllen kann, um in den Genuss eines unionsrechtlich geschützten Anspruchs – wie im vorliegenden Fall des in Art. 16 DS-GVO konkretisierten Rechts – zu gelangen, grundsätzlich als mit dem Unionsrecht unvereinbar anzusehen sei. Wer hätte gedacht, dass die DS-GVO wirklich alles regelt … aber vielleicht bedürfte auch diese richterliche Auffassung der Berichtigung …

Niko Härting und Stefan Brink werfen zunächst (ab Minute 01:06) einen Blick auf den Fall Perkins Coie, der die Anwaltschaft weltweit schockiert. Der US-Präsident entzog mittels einer Executive Order der Wirtschaftskanzlei Perkins Coie LLP alle Mandate. Die Bundesbehörden wurden angewiesen, alle Dienstleister zur Offenlegung von Geschäftsbeziehungen mit Perkins Cole aufzufordern. Zudem lässt Trump untersuchen, ob amerikanische Großkanzleien gegen Antidiskriminierungsrecht verstoßen, indem sie weiße heterosexuelle Männer diskriminieren.

Ab Minute 13:25 geht es um ein viel beachtetes BGH-Urteil zum immateriellen Schaden nach Art. 82 DSGVO bei Spam-Mails (BGH v. 28.1.2025 - VI ZR 109/23). Der BGH verneint das Erfordernis einer ,,Erheblichkeitsschwelle“ für einen immateriellen Schaden, verlangt allerdings eine konkrete Darlegung des Schadens.

Im Anschluss (ab Minute 21:59) diskutieren Härting und Brink eine Entscheidung des AG München über das (nach Auffassung des Gerichts fehlende) Recht einer Gerichtsvollzieherin zur Befragung der Nachbarn eines Schuldners nach dessen Aufenthaltsort. Siegeszug der DSGVO oder ärgerliches Missverständnis?

Abschließend (ab Minute 32:14) wird eine Entscheidung des Bundesfinanzhofs zum Auskunftsanspruch gemäß Art. 15 DSGVO thematisiert (BFH v. 14.1.2025 – IX R 25/22). Dieser besteht auch gegen Finanzämter, einen unverhältnismäßigen Aufwand kann die Behörde dem Anspruch nach Auffassung des BFH in aller Regel nicht entgegenhalten.

Im neuen Podcast mit Stefan Brink und Niko Härting dreht sich alles um Allianzen im Datenschutz: Zunächst (ab Minute 00:40) geht es in Querbeet um die Frage, ob der unberechenbare US-Präsident Trump das EU-US Data Privacy Framework zu Fall bringen könnte – aus dem Jahr 2023, als die Allianz zwischen EU und USA noch stand. Stefan erklärte in einem Beitrag für das „Handelsblatt“, warum es sich jetzt rächen könnte, dass der Angemessenheitsbeschluss der EU-Kommission nur mit einer Executive Order des Präsidenten Biden und nicht wie von Datenschützern verlangt durch ein Parlamentsgesetz umgesetzt und abgesichert wurde: Jeder Präsident der USA hat es nun selbst in der Hand, das Abkommen wieder scheitern zu lassen.

Sodann geht es (ab Minute 13:21) beim Referentenentwurf zum Data Act-Durchführungsgesetz und die bröckelnde Allianz der Datenschutz-Aufsichtsbehörden der Länder und des Bundes: Der EU-DA, der eine faire Verteilung des Datenwertes vernetzter Produkte anstrebt, bekommt in Deutschland mit der Bundesnetzagentur eine zentrale Aufsichtsbehörde für die Durchsetzung und Überwachung der Verordnung (EU) 2023/2854. Ergänzend wird eine Sonderzuständigkeit für die Bundesbeauftragte für den Datenschutz und die Informationsfreiheit geschaffen – interessanterweise an den Aufsichtsbehörden der Länder vorbei. Aufgrund seiner Gesetzgebungskompetenz aus Artikel 74 Absatz 1 Nummer 11 Grundgesetz (Recht der Wirtschaft) begründet der Bund diese Sonderzuständigkeit der BfDI mit Artikel 87 Absatz 3 Satz 1 Grundgesetz. Die BfDI verfüge über das für eine zügige Identifizierung und Bewertung von Datenschutzfragen sowie die Aufbereitung von Sachverhalten notwendige Fachwissen und könne somit erheblich zu einer raschen Beurteilung der datenschutzrechtlichen Fragestellungen beitragen. Brechen da alte Allianzen zwischen der deutschen Datenschutzaufsichtsbehörden von Bund und Ländern? Haben wir es hier mit der Blaupause für Zentralisierung der Aufsicht über private Unternehmen beim Bund (BfDI) zu tun?

Schließlich (ab Minute 29:02) gibt es offenbar eine denkwürdige Allianz zwischen Axel Voss (MdEP der EVP-Fraktion) und Max Schrems von der Datenschutz-Organisation NOYB. Voss präsentiert seinen Plan zur Revision der DS-GVO, er will in einem 3-Schichten-Modell eine Differenzierung der Pflichten der DS-GVO abhängig von der nach Unternehmensgröße (vgl. DSA zu very large online platforms VLOP) vornehmen. Schrems stimmt insoweit zu, das „one size fits all“ der DS-GVO sei schon immer verrückt gewesen. Allerdings korreliert ein an der Unternehmensgröße ausgerichteter asymmetrischer Ansatz keineswegs mit dem risikobasierten Ansatz der DS-GVO: Risiken ergeben sich aus Datenmenge, Datenarten (Art. 9-Daten) und TOMs als risikomindernden Maßnahmen – nicht zwingend aus der Unternehmensgröße.

Im Mittelpunkt dieser Podcastfolge steht (ab Minute 16:17) eine Entscheidung des Europäischen Gerichtshofs (EuGH), die sich an der Schnittstelle zwischen dem Datenschutzrecht und dem Gesellschaftsrecht bewegt und die von den Datenschützern bislang viel zu wenig beachtet wurde (EuGH vom 12.9.2024 – Az. C-17/22 und C-18/22). Zwei deutsche Fälle zu Publikumsgesellschaften (Treuhandfonds) und zu der umstrittenen Frage, ob ein Anleger Auskunft über die weiteren Mitgesellschafter und Treugeber verlangen kann. Nach der ständigen Rechtsprechung des Bundesgerichtshofs (BGH) kann ein solcher Anspruch vertraglich nicht ausgeschlossen werden; „das Recht, seine Vertragspartner zu kennen, ist in jedem Vertragsverhältnis selbstverständlich“ (BGH vom 19.11.2019, Az. II ZR 263/18, Rn. 13).

Die Entscheidung des EuGH hinterlässt Stefan Brink und Niko Härting weitgehend ratlos. Der EuGH misstraut erneut jeder Datenverarbeitung, die sich nicht auf Einwilligungen stützt. Die Rechtfertigungsgründe des Art. 6 Abs. 1 Satz 1 lit. b bis f DSGVO sind für den EuGH ersichtlich Normen der zweiten Wahl: „In diesem Zusammenhang sind die in Art. 6 Abs. 1 Unterabs. 1 Buchst. b bis f DSGVO vorgesehenen Rechtfertigungsgründe eng auszulegen, da sie dazu führen können, dass eine Verarbeitung personenbezogener Daten trotz fehlender Einwilligung der betroffenen Person rechtmäßig ist“ (a.a.O., Rn. 37). Eine höchst eigenwillige Interpretation des Art. 6 DSGVO.

Was für den BGH „selbstverständlich“ und unabdingbar ist, sieht der EuGH ganz anders: „Vorbehaltlich einer Überprüfung durch das vorlegende Gericht ist daher eine Verarbeitung personenbezogener Daten, die in der Weitergabe von Informationen in Bezug auf Gesellschafter besteht, die über eine Treuhandgesellschaft mittelbar an einer Publikumsfondsgesellschaft beteiligt sind, nicht als im Sinne von Art. 6 Abs. 1 Unterabs. 1 Buchst. b DSGVO ‚für die Erfüllung eines Vertrags … erforderlich‘ anzusehen, wenn der Vertrag, der dem Erwerb einer solchen Beteiligung zugrunde liegt, die Weitergabe dieser Daten an Mitanteilseigner ausdrücklich ausschließt“ (a.a.O., Rn. 47).

Mit einer erstaunlichen Volte eröffnet der EuGH den deutschen Gerichte dann jedoch über Art. 6 Abs. 1 Satz 1 lit. c DSGVO eine Hintertür, die es dem BGH mit großer Wahrscheinlichkeit ermöglicht, an seiner bisherigen Rechtsprechung festzuhalten. Letztendlich wird wohl alles beim Alten bleiben…

Ein Glanzstück des Kompliziert-Verästelten sind auch die Guidelines des Europäischen Datenschutzausschusses zur Pseudonymisierung (ab Minute 7:24). Und auch das jüngste Urteil des EuGH zur Bemessung von Bußgeldern bei Konzernunternehmen (EuGH vom 13.2.2025, Az. 383/23) kommt nicht ohne Kapriolen aus (ab Minute 36:36). Umso klarer und entschiedener reagiert Apple auf alles Bestrebungen, staatlichen Behörden Hintertürchen in die iCloud zu öffnen (ab Minute 1:00).

Im neuen Podcast sprechen Stefan Brink und Niko Härting zunächst (ab Minute 01:01) in Querbeet über die chinesische KI DeepSeek, welche in der Kritik steht: Die Verarbeitung von Nutzerdaten (Eingabe von Prompts/Nutzungsdaten/Profile) widerspreche dem EU-Datenschutz, Zugriff auf diese Nutzerdaten hätten auch staatliche Stellen in China. Zudem ließe sich die App für kriminelle Zwecke nutzen. Die italienische Aufsichtsbehörde hat die App bereits verboten.

Sodann geht es (ab Minute 09:51) um einen befürchteten „bürokratischen Staatsstreich“ in den USA, das „Department of Government Efficiency“ der Trump-Administration richtet unter Elon Musk (Tesla/X/SpaceX) bereits massiven Schaden an. Mit der Begründung, gegen Verschwendung, Korruption und „Bürokratie“ vorgehen zu wollen, sichert sich Musk den Zugriff auf sensible Personaldaten. US-AID, die Behörde für internationale Entwicklungshilfe, wird de facto aufgelöst, von 10.000 Mitarbeitenden sollen noch 300 bleiben. Erste Gerichte greifen ein und versuchen, eine Aushöhlung des Rechtsstaats zu verhindern.

Auch kurz angesprochen (ab Minute 15:30) wird eine Vorlageentscheidung des BGH an den EuGH vor: Zu klären ist der Umfang der Geschäftsführerhaftung für Kartellbußgelder – hier am Beispiel von Kartellabsprachen in der Stahlindustrie, gegen die das Bundeskartellamt Bußgelder in Höhe von 4,1 Millionen Euro gegen die GmbH und in Höhe von 126.000 Euro gegen den Geschäftsführer persönlich verhängte.

Schließlich (ab Minute 19:26) stehen Grundfragen des Datenschutzes vor dem Europäischen Gerichtshofs zur Debatte (Rechtssache C-413/23): Der Generalanwalt legte am 6.2.2025 seinen Schlussantrag vor, verhandelt wird über das Urteil des EuG 1. Instanz vom 26.4.2023. In der Sache wirft der Europäische Datenschutzbeauftragte EDSB dem SRB (Single Resolution Board, einheitlicher Abwicklungsausschuss), der als Bankenaufsicht bei der Abwicklung von Kreditinstituten tätig wird, die Verletzung datenschutzrechtlicher Informationspflichten vor (vgl. Art. 13 DS-GVO, hier jedoch: Verordnung 2018/1725 zur Datenverarbeitung durch EU-Organe). In einem denkbar einfach gelagerten Fall – ein Dienstleister erhält pseudonymisierte Daten – entwickelt das EuG die Theorie, dass der Personenbezug nicht absolut, sondern je nach Empfänger der Daten relativ festzustellen sei – und beruft sich dabei auf den EuGH (Breyer-Entscheidung vom 19.10.2016 zum Personenbezug von IP-Adressen).

Grundfragen des Datenschutzes sind offensichtlich unklar und ungeklärt – man möchte mit Dante angesichts dieses Blicks in den Höllenschlund ausrufen: „Lasciate ogni speranza“ – Lasst alle Hoffnung fahren …