Die „Custom Audience“-Bildung auf Facebook

Die Bildung einer „Custom Audience“ bei Facebook durch Hochladen einer gehashten Email-Liste vor war bereits unter der Geltung des Bundesdatenschutzgesetzes datenschutzrechtlich unzulässig.

Dies entschied das Bayerische Verwaltungsgericht Bayreuth noch kurz vor Inkrafttreten der Datenschutz-Grundverordnung im Rahmen eines Verfahrens des einstweiligen Rechtsschutzes. Die Datenschutzaufsichtsbehörde konnte daher in einem solchen Fall nach § 38 Abs. 5 Satz 1 BDSG zur Gewährleistung der Einhaltung des Bundesdatenschutzgesetzes und anderer Vorschriften über den Datenschutz Maßnahmen zur Beseitigung festgestellter Verstöße bei der Erhebung, Verarbeitung oder Nutzung personenbezogener Daten oder technischer oder organisatorischer Mängel anordnen.

Nach § 4 Abs. 1 BDSG ist die Erhebung, Verarbeitung und Nutzung personenbezogener Daten nur zulässig, soweit das Bundesdatenschutzgesetz oder eine andere Rechtsvorschrift dies erlaubt oder anordnet oder der Betroffene eingewilligt hat.

Personenbezogene Daten sind nach § 3 Abs. 1 BDSG Einzelangaben über persönliche oder sachliche Verhältnisse einer bestimmten oder bestimmbaren Person (Betroffener). Wie in der streitgegenständlichen Anordnung zutreffend ausgeführt wurde, ist über E-Mail-Adressen jedenfalls ein Personenbezug herstellbar1, weswegen es sich um personenbezogene Daten handelt. Durch den Vorgang des „Hashens“ werden die Daten auch nicht i.S.v. § 3 Abs. 6 BDSG anonymisiert, da der Personenbezug hierdurch nicht völlig aufgehoben wird. Vielmehr ist es weiterhin mit nicht nur unverhältnismäßigem Aufwand möglich, sie einer bestimmten oder bestimmbaren Person zuzuordnen, zumal andernfalls auch ein sich an die Übermittlung anschließender Datenabgleich seitens Facebook nicht möglich wäre.

Unter dem „Verarbeiten“ ist gem. § 3 Abs. 4 Satz 1 das Speichern, Verändern, Übermitteln, Sperren und Löschen personenbezogener Daten zu verstehen. „Übermitteln“ ist das Bekanntgeben gespeicherter oder durch Datenverarbeitung gewonnener personenbezogener Daten an einen Dritten in der Weise, dass die Daten an Dritte weitergegeben werden oder der Dritte zur Einsicht oder zum Abruf bereitgehaltene Daten einsieht oder abruft (§ 4 Abs. 1 Satz 2 Nr. 3 a) und b)) BDSG)). Die hier beanstandete Übermittlung der gehashten E-Mail-Adressen von der Onlineshop-Betreiberin an Facebook stellt somit eine Verarbeitung i.S.v. § 3 Abs. 4 Satz 1 BDSG dar.

Zwar ist anerkannt, dass Personen und Stellen, die im räumlichen Anwendungsbereich des § 11 BDSG als Auftragsdatenverarbeiter tätig sind, keine „Dritten“ i.S.d. BDSG sind, weswegen die Übertragung der Daten an einen derartigen Auftragnehmer datenschutzrechtlich keine Übermittlung darstellt und daher auch ohne Einwilligung oder gesetzliche Erlaubnis zulässig ist (vgl. § 3 Abs. 8 Satz 3 BDSG). Das Verwaltungsgericht tritt jedoch dem Standpunkt des Antragsgegners bei, wonach es sich bei der Übermittlung der gehashten E-Mail-Adressen der Kunden der Onlineshop-Betreiberin nicht um eine Übermittlung im Rahmen einer Auftragsdatenverarbeitung handelt, sondern eine Übermittlung an Dritte stattfindet und in der Folge eine Datenverarbeitung i.S.v. § 3 Abs. 4 Satz 1 BDSG vorliegt.

Eine Auftragsdatenverarbeitung i.S.v. § 11 BDSG liegt vor, wenn die verantwortliche Stelle (hier: die Onlineshop-Betreiberin) eine andere Stelle damit betraut, Daten zu erheben, zu verarbeiten oder zu nutzen. Auf die Rechtsnatur dieser Betrauung kommt es nicht an, ein Auftrag i.S.v. § 662 BGB ist nicht erforderlich. Entscheidend ist, dass der Auftragnehmer ohne eigenen Wertungs- und Entscheidungsspielraum für den Auftraggeber tätig wird2. In der vorliegenden Sachverhaltsgestaltung ist hingegen nicht von einer Auftragsdatenverarbeitung, sondern vielmehr von einer sog. „Funktionsübertragung“ auszugehen. Auch wenn es zutreffen mag, dass nach der Vereinbarung zwischen der Onlineshop-Betreiberin und Facebook festgelegt worden ist, dass der Zweck der Auftragsdatenverarbeitung hier in der Durchführung einer Überschneidungsanalyse bzw. Erstellung einer Vergleichsaudience liegt, fungiert Facebook in der Konstellation nicht gleichsam als „verlängerter Arm“ der Onlineshop-Betreiberin. Wer schließlich konkret beworben wird, liegt hier allein im Ermessen Facebooks, dem insoweit ein entsprechender Spielraum eingeräumt wird.

Es mag zwar die Gestaltungsmöglichkeit geben, dass eine Stelle eine Doppelfunktion einnimmt und nebeneinander zugleich Auftragsdatenverarbeiter und verantwortliche Stelle ist. Dies ist hier aber nicht der Fall. Zutreffend geht der Antragsgegner insoweit davon aus, dass das Marketing Tool „Facebook Custom Audience über die Kundenliste“ einen einheitlichen Vorgang bildet. Dieses Instrument kann nicht in verschiedene Teile zerlegt werden, sondern bildet eine Einheit, auch wenn sich dieser Werbemechanismus aus mehreren datenschutzrechtlich relevanten Vorgängen zusammensetzt. Die Übermittlung der (gehashten) E-Mail-Adressen ist integraler Bestandteil der Werbemaßnahme. Eine eigenständige Bedeutung der bloßen Durchführung eines Datenabgleichs ist nicht zu erkennen. Insoweit verfängt auch der Vergleich mit dem sog. „Letter-Shop-Verfahren“3 nicht. Bei einem Letter-Shop kann es sich um einen Auftragsdatenverarbeiter handeln, zwingend ist dies jedoch nicht4. Die Rolle, die Facebook hier einnimmt, entspricht nicht der eines „Letter-Shops“. Denn auch insoweit würde die Auftragsdatenverarbeitung voraussetzen, dass der (vorgebliche) Auftragnehmer keine eigenen Spielräume hat. Hier erschöpft sich das Tätigwerden nicht in der bloßen Ausspielung von Sendungen der Onlineshop-Betreiberin an bestimmte Personen. Es geht auch über die Durchführung eines „Waschabgleichs“ und die Wahrnehmung bloßer technischer Hilfsfunktionen5 hinaus, da es für die Bewerbung einzelner Personen maßgeblich darauf ankommt, dass Facebook diesen bestimmte Eigenschaften zuschreibt, die von Facebook nach detaillierter Auswertung des Nutzungsverhaltens erfolgt. Insoweit liegt ein erheblicher Spielraum Facebooks vor, der über eine rein datenverarbeitende Hilfsfunktion, durch die eine Auftragsdatenverarbeitung gekennzeichnet ist, deutlich hinausgeht.

Zwischen den Beteiligten streitig und im hiesigen Verfahren des einstweiligen Rechtsschutzes nicht abschließend zu klären ist die Frage, ob und gegebenenfalls in welchem Umfang Facebook zu einer weiteren Nutzung der Daten berechtigt ist bzw. dies stattfindet (etwa durch eine „Anreicherung des Profils“ etc.). Bei einer Überlassung der Nutzungsrechte an den Daten wäre unzweifelhaft vom Vorliegen einer Funktionsübertragung auszugehen6. Hier werden jedenfalls nach Durchführung des Abgleichs die übermittelten Informationen nicht vollständig gelöscht, sondern es ist weiterhin bei Facebook hinterlegt, dass der Betroffene Teil der Custom Audience der Onlineshop-Betreiberin ist. Dies spricht in diesem Zusammenhang nicht für eine auf einen Abgleich beschränkte Auftragsdatenverarbeitung (vgl. auch § 11 Abs. 2 Satz 1 Nr. 10 BDSG). Soweit sich die Onlineshop-Betreiberin auf den Standpunkt stellt, dass die Schritte, die nach dem Datenabgleich stattfinden, sich allein in der Zuständigkeit Facebooks vollziehen, spricht dies nach den vorstehend genannten Grundsätzen im Gegenteil für eine außerhalb des Rahmens der Auftragsdatenverarbeitung stattfindende Funktionsübertragung.

Nachdem die Übermittlung der gehashten E-Mail-Adressen daher nicht im Rahmen einer Auftragsdatenverarbeitung i.S.v. § 11 BDSG erfolgt, handelt es sich um eine Übermittlung an einen Dritten (vgl. § 3 Abs. 8 Satz 3 BDSG).

Eine konkrete, den gesetzlichen Anforderungen entsprechende Einwilligung der Betroffenen, die zur Zulässigkeit der Datenübermittlung führen würde, liegt nicht vor (vgl. § 4 Abs. 1, § 4a BDSG). Auch die Onlineshop-Betreiberin selbst scheint im Übrigen nicht vom Vorliegen einer wirksamen Einwilligung auszugehen.

Demzufolge wäre hier eine gesetzliche Gestattung der Datenübermittlung notwendig. Es kann offen bleiben, ob es im Falle einer „gescheiterten“ Auftragsdatenverarbeitung möglich ist, die Datenverarbeitung auf die allgemeinen Erlaubnisnormen des Bundesdatenschutzgesetzes zu stützen7. Denn die Voraussetzungen der in Betracht kommenden Normen sind nicht erfüllt.

Die Onlineshop-Betreiberin kann die Zulässigkeit der Datenübermittlung nicht auf das sog. „Listenprivileg“ stützen. Nach § 28 Abs. 3 Satz 2 BDSG ist die Verarbeitung oder Nutzung personenbezogener Daten ohne Einwilligung des Betroffenen zulässig, soweit es sich um listenmäßig oder sonst zusammengefasste Daten über Angehörige einer Personengruppe handelt, die sich auf die Zugehörigkeit des Betroffenen zu dieser Personengruppe, seine Berufs, Branchen- oder Geschäftsbezeichnung, seinen Namen, Titel, akademischen Grad, seine Anschrift und sein Geburtsjahr beschränken (und außerdem die Voraussetzungen des § 28 Abs. 3 Satz 2 Nrn. 1, 2 oder 3 BDSG erfüllt sind). Bei E-Mail-Adressen handelt es sich jedoch nicht um sog. Listendaten, da sie in der abschließenden Aufzählung des § 28 Abs. 3 Satz 2 BDSG nicht enthalten sind8.

Soweit die Onlineshop-Betreiberin vortragen lässt, dass bei genauer Betrachtung nicht eine Übertragung gehashter E-Mail-Adressen erfolge, sondern der Information, dass jemand (möglicherweise) Kunde der Onlineshop-Betreiberin sei, was auf Grundlage von § 28 Abs. 3 Satz 2 BDSG ohne Weiteres möglich sei, kann dem nicht gefolgt werden. Zwar nimmt der Gesetzgeber – wie in der zitierten Kommentarstelle ausgeführt wird9 – die Verwendung einer zusätzlichen Angabe in Kauf. § 28 Abs. 3 Satz 2 BDSG ermächtigt jedoch nicht isoliert dazu, einer anderen Stelle mitzuteilen, dass gewisse Personen Kunden der übermittelnden Stelle sind. Vielmehr wird diese (implizite) Angabe ermöglicht, wenn es sich im Ausgangspunkt überhaupt um Listendaten i.S.v. § 28 Abs. 3 Satz 2 BDSG handelt, was bei E-Mail-Adressen nicht der Fall ist.

Eine Berechtigung zur Übermittlung ergibt sich auch nicht aus § 28 Abs. 3 Satz 3 BDSG, da dieser lediglich das „Hinzuspeichern“ und somit allein die Vervollständigung der Informationen erlaubt, jedoch keine eigene Übermittlungsbefugnis hinsichtlich weiterer Daten enthält10.

Auf § 28 Abs. 3 Satz 4 BDSG kann die Übermittlung der gehashten E-Mail-Adressen ebenfalls nicht gestützt werden, weil sich auch diese Norm explizit auf Daten nach Satz 2, mithin auf sog. Listendaten, bezieht, zu denen E-Mail-Adressen nicht zählen.

Im vorliegenden Fall kann die Datenübermittlung auch nicht mit der Regelung des § 28 Abs. 3 Satz 5 BDSG gerechtfertigt werden. Diese Norm berechtigt nur zur Werbung für fremde Angebote (die zudem an weitere Voraussetzungen geknüpft ist). Dies betrifft aber nicht die Befugnis der Onlineshop-Betreiberin, die Daten an einen Dritten zu übermitteln. Unmittelbar berechtigt § 28 Abs. 3 Satz 5 BDSG nur zur Verwendung zur Werbung durch einen Dritten (hier ggf. Facebook), würde aber vorgelagert eine rechtmäßige Datenerhebung Facebooks voraussetzen. Der hier zu würdigende Übermittlungsakt von der Onlineshop-Betreiberin an Facebook wird seinerseits durch § 28 Abs. 3 Satz 5 BDSG nicht gestattet11.

Aus den vorstehenden Gründen kommt eine einwilligungsfreie Übermittlung auf Grundlage von § 28 Abs. 3 BDSG somit nicht in Betracht. Darüber hinaus wäre jedoch auch insoweit eine zugunsten der Onlineshop-Betreiberin ausgehende Interessenabwägung notwendig (§ 28 Abs. 3 Satz 6 BDSG). In der vorliegenden Konstellation geht die Interessenabwägung jedoch zum Nachteil der Onlineshop-Betreiberin aus.

Es ist auch nicht davon auszugehen, dass die Ausnahme von E-Mail-Adressen im Rahmen des sog. Listenprivilegs unionsrechtswidrig wäre. Soweit in diesem Zusammenhang auf die Entscheidungen des Europäischen Gerichtshofs Bezug genommen wird, ist hierzu auszuführen, dass nach dessen Rechtsprechung Art. 7 Buchst. f der Richtlinie 95/46/EG einen Mitgliedstaat daran hindert, kategorisch und ganz allgemein die Verarbeitung bestimmter Kategorien personenbezogener Daten auszuschließen, ohne Raum für eine Abwägung der im konkreten Einzelfall einander gegenüberstehenden Rechte und Interessen zu lassen12. Auch wenn E-Mail-Adressen nicht unter das sog. Listenprivileg fallen, schließt die Anwendung des Bundesdatenschutzgesetzes, insbesondere des § 28 BDSG, eine Übermittlung von E-Mail-Adressen nicht schlechthin und ohne Raum für eine Abwägung zu lassen aus, da in diesem Fall eine Rechtfertigung nach § 28 Abs. 1 Satz 1 Nr. 2 BDSG auf Basis einer Interessenabwägung in Betracht kommt. Eine unionsrechtskonforme Auslegung und Anwendung des § 28 BDSG ist im vorliegenden Fall daher dadurch möglich, dass insoweit nicht von einer Sperrwirkung des § 28 Abs. 3 BDSG hinsichtlich des Rückgriffs auf § 28 Abs. 1 Satz 1 Nr. 2 BDSG ausgegangen wird.

Auch durch § 28 Abs. 1 Satz 1 Nr. 2 BDSG kann die Übermittlung der (gehashten) E-Mail-Adressen jedoch nicht gerechtfertigt werden. Hiernach ist das Erheben, Speichern, Verändern oder Übermitteln personenbezogener Daten oder ihre Nutzung als Mittel für die Erfüllung eigener Geschäftszwecke zulässig, soweit es zur Wahrung berechtigter Interessen der verantwortlichen Stelle erforderlich ist und kein Grund zu der Annahme besteht, dass das schutzwürdige Interesse des Betroffenen überwiegt. Im Rahmen der insoweit vorzunehmenden Interessenabwägung sind jedoch die im § 28 Abs. 3 BDSG getroffenen Wertungen des Gesetzgebers zu berücksichtigen. Wie der Europäische Gerichtshof in seiner oben zitierten Rechtsprechung ausgeführt hat, gebietet das Unionsrecht lediglich, im Einzelfall Raum für eine Abwägung zu lassen. Die dem Regelungsregime des § 28 Abs. 3 BDSG zugrundeliegenden grundsätzlichen Wertungen zu unterlaufen oder auszuhöhlen ist weder aufgrund der Richtlinie 95/46/EG (Datenschutz-Richtlinie) noch aus sonstigen Gründen geboten. Der Europäische Gerichthof fordert lediglich, dass das nationale Recht eines Mitgliedstaats das Ergebnis der einander gegenüberstehenden Rechte und Interessen nicht abschließend vorschreiben darf, „ohne Raum für ein Ergebnis zu lassen, das aufgrund besonderer Umstände des Einzelfalls anders ausfällt“13.

Nach der grundsätzlichen Wertung des § 28 Abs. 3 Satz 1 BDSG ist die Verarbeitung und Nutzung personenbezogener Daten für Zwecke der Werbung nur zulässig, wenn der Betroffene eingewilligt hat. Die dem nachfolgenden Regelungen zu sog. Listendaten bilden eine Ausnahme von diesem Grundsatz, wobei der Gesetzgeber nur für die dort genannten Arten von Daten Privilegierungen geregelt und diese darüber hinaus an weitere Voraussetzungen geknüpft hat. In der hiesigen Fallgestaltung ist festzustellen, dass die hier beanstandete Übermittlung der E-Mail-Adressen nach den dezidierten Regelungen in § 28 Abs. 3 BDSG selbst dann rechtswidrig wäre, wenn man insoweit die Privilegierungen für Listendaten zugrunde legen würde. Dies spricht im Rahmen der Interessenabwägung für das Überwiegen der Betroffenenrechte. So dürfen Listendaten zwar gem. § 28 Abs. 3 Satz 2 Nr. 1 BDSG für eigene Werbezwecke verwendet werden. Dies erlaubt jedoch gerade nicht die – hier erfolgende – Übermittlung an Dritte14. Darüber hinausgehend ist die Übermittlung von Listendaten an Dritte zum Zwecke der Werbung (§ 28 Abs. 2 Satz 4 BDSG) insbesondere an die Bedingung geknüpft, dass die Stelle, die die Daten erstmalig erhoben hat (hier: die Onlineshop-Betreiberin) aus der Werbung „eindeutig hervorgehen“ muss (sog. Transparenzgebot); anders als nach Abs. 3 Satz 5 muss sie nicht (lediglich) „eindeutig erkennbar“ sein. Es muss an geeigneter Stelle der Hinweis enthalten sein, woher der Werbende die Listen hat, etwa durch Angabe des Namens und der Anschrift des Adresshändlers. Der Betroffene muss aufgrund dieses Hinweises in der Lage sein, sein Widerspruchsrecht gem. § 28 Abs. 4 BDSG geltend zu machen15. Allein der Umstand, dass es sich um Angebote der Onlineshop-Betreiberin handelt, die dem Betroffenen bei Facebook angezeigt werden, reicht insoweit nicht aus, zumal die Stelle, die die Daten zum Zwecke der Werbung verwendet und die, zu deren Gunsten die Werbung erfolgt, auseinanderfallen können (etwa bei der Beipack- und Empfehlungswerbung, vgl. § 28 Abs. 3 Satz 5 BDSG).

Auch die konkrete Ausgestaltung der Widerspruchsmöglichkeit führt nicht zu einem überwiegenden Interesse der Onlineshop-Betreiberin (auch wenn sich die konkrete Umsetzung des Widerspruchs anders vollziehen mag als vom Antragsgegner angenommen). Wie die Onlineshop-Betreiberin selbst ausführt, besteht (erst) seit dem 22.08.2017 ein konkreter Hinweis auf die Übermittlung der E-Mail-Adressen an Facebook Personen, die ihre Daten vor diesem Datum an die Onlineshop-Betreiberin übermittelt und im Zuge dessen von den Datenschutzbestimmungen Kenntnis erlangt haben, waren auf diese konkrete Maßnahme der Datenverarbeitung nicht hingewiesen worden. Ihre Daten befinden sich eventuell jedoch nach wie vor auf der hochgeladenen Kundenliste, ohne dass sichergestellt ist, dass sie von den aktuellen Datenschutzhinweisen Kenntnis genommen haben – für die Betroffenen bestand unter Umständen keine Veranlassung dazu, sich erneut mit den Datenschutzhinweisen der Onlineshop-Betreiberin zu befassen (z.B. wenn keine erneute Bestellung erfolgt ist). Ob die Listen (zuletzt) nach dem 22.08.2017 bei Facebook hochgeladen worden sind, ist somit unerheblich.

Generell setzt die Zulässigkeit einer Datenübermittlung nach § 28 Abs. 1 Satz 1 Nr. 2 BDSG voraus, dass diese zur Wahrung berechtigter Interessen der verantwortlichen Stelle „erforderlich“ ist – nicht etwa lediglich aus Sicht der verantwortlichen Stelle geeignet oder zweckmäßig. Gemeint sind Verwendungen, zu denen es keine objektiv zumutbare Alternative gibt. Eine Berufung der verantwortlichen Stelle auf § 28 Abs. 1 Satz 1 Nr. 2 BDSG kommt so lange nicht in Betracht, wie diese ihr Informationsziel anders erreichen kann16. Zu berücksichtigen ist daher auch, dass die Onlineshop-Betreiberin die Daten insbesondere im Rahmen von Bestellvorgängen erwirbt und es ihr deswegen ohne einen unverhältnismäßig großen Aufwand möglich wäre, im Einzelfall eine Einwilligung zur Übermittlung der Daten an Facebook einzuholen.

Somit geht auch die Interessenabwägung zu Ungunsten der Onlineshop-Betreiberin aus (§ 28 Abs. 1 Satz 1 Nr. 2 bzw. § 28 Abs. 3 Satz 6 BDSG), sodass eine Rechtfertigung auf Grundlage des § 28 BDSG ausscheidet. Andere Vorschriften, die eine entsprechende Datenübermittlung rechtfertigen oder anordnen sind nicht ersichtlich.

Die Datenübermittlung an Facebook ist daher rechtswidrig, weswegen das Bayerische Landesamt für Datenschutzaufsicht wie in Ziff. 1 des streitgegenständlichen Bescheids verfügt die Beseitigung des festgestellten Verstoßes verlangen konnte. Auch sonst bestehen hinsichtlich der Löschungsanordnung keine Rechtmäßigkeitsbedenken. Insbesondere sind Ermessensfehler i.S.v. § 114 Satz 1 VwGO nicht ersichtlich. Das Bayerische Landesamt für Datenschutzaufsicht hat das ihm zustehende Ermessen (Art. 40 BayVwVfG) erkannt und im Bescheid in nicht zu beanstandender Art und Weise ausgeübt.

Verwaltungsgericht Bayreuth, Beschluss vom 8. Mai 2018 – B 1 S 18.105

  1. vgl. Plath/Schreiber in: Plath, BDSG/DSGVO, 2. Aufl.2016, § 3 BDSG, Rn. 17 m.w.N.
  2. vgl. BGH, U.v. 13.07.2016 – IV ZR 292/14 ? 39 m.w.N.
  3. vgl. hierzu Plath a.a.O., § 28 Rn. 148 und § 11 Rn. 33
  4. vgl. hierzu Petri in Simitis, Bundesdatenschutzgesetz, 8. Auflage 2014, § 11 Rn. 36 m.w.N.
  5. vgl. OLG Düsseldorf, U.v. 13.02.2015 – I-16 U 41/14 ? 36
  6. vgl. Petri a.a.O. § 11 Rn. 23: „typische Fallgestaltung“ der Aufgabenübertragung
  7. vgl. hierzu Plath a.a.O., § 11 Rn.20 m.w.N.
  8. vgl. Plath a.a.O., § 28 Rn. 119 m.w.N.
  9. Simitis a.a.O., § 28 Rn. 232
  10. vgl. Wolff in BeckOK DatenschutzR, 23. Ed. 01.08.2015 § 28 Rn. 132; Plath a.a.O., § 28 Rn. 128; BT-Drs. 16/12011, S. 21: „Absatz 3 Satz 3 ist keine eigene Erhebungs- oder Übermittlungsbefugnis. Absatz 3 Satz 3 soll es der verantwortlichen Stelle ermöglichen, einen eigenen Datenbestand, der direkt beim Betroffenen erhoben wurde, für Zwecke der Eigenwerbung oder der eigenen Markt- oder Meinungsforschung zu selektieren, um die bestehenden Kunden gezielter ansprechen zu können.“
  11. vgl. Plath a.a.O., § 28 Rn. 144
  12. EuGH, U.v.19.10.2016 – Breyer, – C-582/14 ? 62 unter Bezugnahme auf U.v. 24.11.2011 – ASNEF und FECEMD, – C-468/10 und – C-469/10 ? 47 f.
  13. EuGH, U.v.19.10.2016 – Breyer, – C-582/14 ? 62
  14. vgl. Plath a.a.O., § 28 Rn. 124
  15. Wolff a.a.O., § 28 Rn. 135; vgl. auch Plath a.a.O., § 28 Rn. 139 f.
  16. vgl. Simitis a.a.O., § 28 Rn. 108 m.w.N.