Skip to content

Neuer Beitrag in der Internet World Business von RA Marcus Beckmann - Cayla weiß zu viel - Vernetzte Puppe als unerlaubtes Spionagewerkzeug

In Ausgabe 5/17, S. 17 der Zeitschrift Internet World Business erschien ein Beitrag von Rechtsanwalt Marcus Beckmann mit dem Titel "Cayla weiß zu viel - Vernetzte Puppe als unerlaubtes Spionagewerkzeug".

Siehe auch zum Thema "Bundesnetzagentur: Sendefähige Kinderpuppe Cayla mit Mikrofon und Bluetooth ist eine nach § 90 TKG verbotene Spionageanlage


EuGH: Kein Recht auf Vergessenwerden für im Handelsregister bzw Gesellschaftsregister enthaltene personenbezogene Daten

EuGH
Urteil vom 09.03.2017
C‑398/15
Camera di Commercio,Industria, Artigianato e Agricoltura di Lecce gegen Salvatore Manni


Der EuGH hat entschieden, dass kein Recht auf Vergessenwerden für im Handelsregister bzw Gesellschaftsregister enthaltene personenbezogene Daten besteht.

Nur in ganz engen Ausnahmefällen bei konkreter Beeinträchtigung der Rechte der betroffenen Person kann der Zugriff nach Ablauf einer hinreichend langen Frist nach Auflösung der Gesellschaft auf Dritte mit besonderem Interesse an einer Einsichtnahme beschränkt werden.

Tenor der Entscheidung:

Art. 6 Abs. 1 Buchst. e, Art. 12 Buchst. b und Art. 14 Abs. 1 Buchst. a der Richtlinie 95/46/EG des Europäischen Parlaments und des Rates vom 24. Oktober 1995 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten und zum freien Datenverkehr in Verbindung mit Art. 3 der Ersten Richtlinie 68/151/EWG des Rates vom 9. März 1968 zur Koordinierung der Schutzbestimmungen, die in den Mitgliedstaaten den Gesellschaften im Sinne des Artikels 58 Absatz 2 des Vertrages im Interesse der Gesellschafter sowie Dritter vorgeschrieben sind, um diese Bestimmungen gleichwertig zu gestalten, in der durch die Richtlinie 2003/58/EG des Europäischen Parlaments und des Rates vom 15. Juli 2003 geänderten Fassung sind dahin auszulegen, dass es beim derzeitigen Stand des Unionsrechts Sache der Mitgliedstaaten ist, zu entscheiden, ob die in Art. 2 Abs. 1 Buchst. d und j der Richtlinie 68/151 angeführten natürlichen Personen die mit der Führung des zentralen Registers oder des Handels- oder Gesellschaftsregisters betraute Stelle ersuchen können, auf der Grundlage einer Einzelfallbeurteilung zu prüfen, ob es ausnahmsweise gerechtfertigt ist, aus überwiegenden, schutzwürdigen, sich aus ihrer besonderen Situation ergebenden Gründen nach Ablauf einer hinreichend langen Frist nach Auflösung der betreffenden Gesellschaft den Zugang zu den in diesem Register eingetragenen sie betreffenden personenbezogenen Daten auf Dritte zu beschränken, die ein besonderes Interesse an der Einsichtnahme in diese Daten nachweisen.

Die Pressemitteilung des EuGH:

"Nach Ansicht des Gerichtshofs gibt es kein Recht auf Vergessenwerden für die im Gesellschaftsregister eingetragenen personenbezogenen Daten

Die Mitgliedstaaten können jedoch nach Ablauf einer hinreichend langen Frist nach der Auflösung
der betreffenden Gesellschaft in Ausnahmefällen einen beschränkten Zugang Dritter zu diesen
Daten vorsehen Herr Salvatore Manni, Geschäftsführer einer Gesellschaft, die einen öffentlichen Auftrag für die Errichtung einer Ferienanlage in Italien erhielt, ging 2007 gerichtlich gegen die Handelskammer Lecce vor. Er war der Auffassung, dass sich die Immobilien der Anlage deshalb nicht veräußern ließen, weil sich aus dem Gesellschaftsregister ergebe, dass er Geschäftsführer eine anderen Gesellschaft gewesen sei, die 1992 insolvent geworden und 2005 liquidiert worden sei.
Das Tribunale di Lecce (erstinstanzliches Gericht Lecce, Italien) gab der Handelskammer Lecce
auf, die personenbezogenen Daten zu anonymisieren, die Herrn Manni mit der Insolvenz der
früheren Gesellschaft in Verbindung bringen, und verurteilte die Handelskammer zum Ersatz des
Herrn Manni daraus entstandenen Schadens. Die von der Handelskammer Lecce angerufene
Corte suprema di cassazione (Kassationsgerichtshof, Italien) hat dem Gerichtshof mehrere Fragen
zur Vorabentscheidung vorgelegt. Sie möchte wissen, ob es die Richtlinie zum Schutz der Daten
natürlicher Personen und die Richtlinie über die Offenlegung von Gesellschaftsurkunden verbieten, dass jede Person ohne zeitliche Beschränkung Zugang zu natürliche Personen betreffenden Daten im Gesellschaftsregister haben kann.

Im heutigen Urteil weist der Gerichtshof zunächst darauf hin, dass die Offenlegung von
Gesellschaftsregistern die Rechtssicherheit in den Beziehungen zwischen den Gesellschaften und
Dritten sicherstellen soll und u. a. dazu dient, die Interessen Dritter gegenüber
Aktiengesellschaften und Gesellschaften mit beschränkter Haftung zu schützen, da diese zum
Schutz Dritter lediglich ihr Gesellschaftsvermögen zur Verfügung stellen. Außerdem können sich
auch noch mehrere Jahre nach Auflösung einer Gesellschaft Fragen ergeben, die einen Rückgriff
auf im Gesellschaftsregister eingetragene personenbezogene Daten erfordern. In Anbetracht der
Vielzahl der Rechte und Rechtsbeziehungen, die eine Gesellschaft (auch nach ihrer Auflösung) mit
Akteuren in mehreren Mitgliedstaaten verbinden können, und der Unterschiede in den
Verjährungsfristen der verschiedenen nationalen Rechte erscheint es nämlich nicht möglich, eine
einheitliche Frist festzulegen, nach deren Ablauf die Eintragung der Daten im Register und ihre
Offenlegung nicht mehr notwendig wären.

Unter diesen Umständen können die Mitgliedstaaten natürlichen Personen, deren Daten im
Gesellschaftsregister eingetragen sind, nicht das Recht garantieren, nach einer bestimmten Frist
nach Auflösung der Gesellschaft die Löschung der sie betreffenden personenbezogenen Daten
verlangen zu können.

Nach Ansicht des Gerichtshofs ist dieser Eingriff in die Grundrechte der betroffenen Personen
(insbesondere in ihre durch die Charta der Grundrechte der Europäischen Union garantierten
Rechte auf Achtung des Privatlebens und auf Schutz ihrer personenbezogenen Daten) nicht
unverhältnismäßig, da erstens nur eine begrenzte Zahl an personenbezogenen Daten im
Gesellschaftsregister eingetragen wird und es zweitens gerechtfertigt ist, dass die natürlichen
Personen, die sich dafür entscheiden, über eine Aktiengesellschaft oder eine Gesellschaft mit
beschränkter Haftung am Wirtschaftsleben teilzunehmen, und die zum Schutz Dritter lediglich das
Vermögen dieser Gesellschaft zur Verfügung stellen, verpflichtet sind, die Daten zu ihren
Personalien und Aufgaben innerhalb der Gesellschaft offenzulegen.

Der Gerichtshof schließt es jedoch nicht aus, dass in besonderen Situationen überwiegende,
schutzwürdige, sich aus dem konkreten Fall der Person ergebende Gründe ausnahmsweise
rechtfertigen können, den Zugang zu den sie betreffenden personenbezogenen Daten nach Ablauf
einer hinreichend langen Frist nach der Auflösung der Gesellschaft auf Dritte zu beschränken, die
ein besonderes Interesse an der Einsichtnahme in die Daten nachweisen. Eine solche
Zugangsbeschränkung zu personenbezogenen Daten muss das Ergebnis einer Einzelfallprüfung
sein. Es ist Sache jedes Mitgliedstaats, zu entscheiden, ob er eine solche Zugangsbeschränkung
in seiner Rechtsordnung wünscht.

Im vorliegenden Fall vertritt der Gerichtshof die Auffassung, dass der Umstand allein, dass sich die
Immobilien der Ferienanlage nicht veräußern lassen, weil die potenziellen Käufer Zugang zu den
im Gesellschaftsregister eingetragenen Daten über Herrn Manni haben, u. a. wegen des
berechtigten Interesses dieser Käufer an diesen Informationen nicht für eine Rechtfertigung der
Zugangsbeschränkung zu diesen Daten ausreichen kann."


Den Volltext der Entscheidung finden Sie hier:

Bundesnetzagentur: Sendefähige Kinderpuppe Cayla mit Mikrofon und Bluetooth ist eine nach § 90 TKG verbotene Spionageanlage

Die Bundesneatzagentur ist der Ansicht, dass die sendefähige Kinderpuppe Cayla mit Mikrofon und Bluetooth eine nach § 90 TKG verbotene Spionageanlage. Die Rechtslage ist aber keineswegs so eindeutig, wie es die Bundesnetzagentur darstellt. Richtiger Ansatzpunkt ist weniger § 90 TKG, sondern das Datenschutzrecht.

Die Pressemitteilung der Bundesnetzagentur

Bundesnetzagentur zieht Kinderpuppe „Cayla“ aus dem Verkehr

Homann: "Privatsphäre ist gerade bei Kindern zu schützen"

Die Bundesnetzagentur geht gegen unerlaubte funkfähige Sendeanlagen in Kinderspielzeug vor und hat bereits erste Exemplare vom Markt genommen.

"Gegenstände, die sendefähige Kameras oder Mikrophone verstecken und so Daten unbemerkt weiterleiten können, gefährden die Privatsphäre der Menschen. Das gilt auch und gerade für Kinderspielzeug. Die Puppe Cayla ist verboten in Deutschland", so Jochen Homann, Präsident der Bundessnetzagentur. "Es geht hier zugleich um den Schutz der Schwächsten in der Gesellschaft".

Versteckte Spionagegeräte
Spielzeug, das funkfähig und zur heimlichen Bild- oder Tonaufnahme geeignet ist in Deutschland verboten. Erste Spielzeuge dieser Art sind auf Betreiben der Bundesnetzagentur bereits im Zusammenwirken mit Händlern vom deutschen Markt genommen.

Gerade von Spielzeug als Spionagegerät gehen Gefahren aus: Ohne Kenntnis der Eltern können die Gespräche des Kindes und anderer Personen aufgenommen und weitergeleitet werden. Über das Spielzeug könnte auch ein Unternehmen das Kind oder die Eltern individuell mit Werbung ansprechen. Weiter kann ein Spielzeug, wenn die Funkverbindung (wie Bluetooth) vom Hersteller nicht ausreichend geschützt wird, von in der Nähe befindlichen Dritten unbemerkt genutzt werden, um Gespräche abzuhören.

Weitere Produkte werden überprüft
Die Bundesnetzagentur wird noch mehr interaktives Spielzeug auf den Prüfstand stellen und wenn nötig dagegen vorgehen. Hierbei müssen immer die Voraussetzungen des § 90 TKG gegeben sein. Gegenstände müssen ihrer Form nach einen anderen Gegenstand vortäuschen oder als Gegenstände des täglichen Gebrauchs verkleidet sein und auf Grund dieser Umstände oder auf Grund ihrer Funktionsweise geeignet sein, das nicht öffentlich gesprochene Wort eines anderen von diesem unbemerkt abzuhören oder das Bild eines anderen von diesem unbemerkt aufzunehmen. Dies gilt auch für individuell hergestellte Geräte. 

Vorgehen gegen Eltern nicht geplant
Die Bundesnetzagentur informiert über die Gefahren, die von der Puppe „Cayla“ ausgehen. Sie hat bei den Händlern keine Daten der Käufer abgefragt. Eine Abfrage in Zukunft ist auch nicht beabsichtigt. Die Bundesnetzagentur geht davon aus, dass Eltern eigenverantwortlich die Puppe unschädlich machen. Die Einleitung von Verwaltungsverfahren gegen die Eltern ist derzeit nicht geplant.

Die Bundesnetzagentur handelt rein als Verwaltungsbehörde. Ob sich jemand im Zusammenhang mit den nach § 90 TKG verbotenen Spionagegeräten strafbar gemacht hat, entscheiden allein die Strafverfolgungsbehörden in jedem Einzelfall.

Die Bundesnetzagentur ist die zuständige Behörde zur Durchsetzung des Verbotes von Spionagegeräten. Weitergehende Informationen zum Thema finden Sie unter: www.bundesnetzagentur.de/spionagekameras.



VG Köln: Portal zur Bewertung anderer Autofahrer datenschutzwidrig soweit Dritte Daten einsehen können - datenschutzrechtliche Anordnung rechtmäßig

VG Köln
Urteil vom 16.02.2017
13 K 6093/15


Das VG Köln hat entschieden, dass ein Internetportal zur Bewertung anderer Autofahrer datenschutzwidrig ist soweit Dritte und nicht nur der jeweilige Autofahrer die gespeicherten Daten zu seinem KFZ-Kennzeichen einsehen können.

Die Pressemitteilung des VG Köln:

Bewertungsportal für Autofahrer muss angepasst werden

Das Verwaltungsgericht Köln hat mit heute verkündetem Urteil entschieden, dass die gegenüber der Betreiberin eines Fahrer-Bewertungsportals ergangene datenschutzrechtliche Anordnung rechtmäßig ist.

Derzeit können Nutzer dieses Portals das Fahrverhalten anderer Personen unter Angabe eines Kfz-Kennzeichens nach einem Ampelschema (rot = negativ, gelb = neutral, grün = positiv) bewerten. Eine Detail-Bewertung erfolgt durch Auswahl aus vorgegebenen Bewertungen. Die Bewertungsergebnisse zu einzelnen Kfz-Kennzeichen sind in Form einer durchschnittlichen Schulnote für jeden Nutzer einsehbar. Die Klägerin beabsichtigt, mithilfe des Portals Autofahrer dazu anzuhalten, die eigene Fahrweise zu überdenken. Auf diese Weise möchte sie einen Beitrag zu mehr Sicherheit im Straßenverkehr leisten.

Der beklagte Datenschutzbeauftragte für das Land Nordrhein-Westfalen hat der Klägerin aufgegeben, das Portal so zu verändern, dass nur noch nach bestimmten Vorgaben registrierte Kfz-Halter die Bewertungsergebnisse zu ihrem eigenen Kfz-Kennzeichen abrufen können. Damit soll eine Prangerwirkung des Portals verhindert werden.

Die hiergegen erhobene Klage hat die Kammer abgewiesen. Zur Begründung hat sie ausgeführt, dass die auf dem Fahrerbewertungsportal zu einzelnen Kfz-Kennzeichen erhobenen und gespeicherten Daten personenbezogen seien. Die jeweiligen Fahrer bzw. Fahrzeughalter könnten von der Klägerin und auch Portalnutzern mit verhältnismäßigem Aufwand bestimmt werden. Der Datenschutz der bewerteten Fahrer überwiege das Informationsinteresse der Nutzer. Letzteres sei weniger schützenswert als beispielsweise das Interesse einer Person, die sich vor einem Arztbesuch auf einem Ärztebewertungsportal informiere. Bei dem Fahrerbewertungsportal stehe eine Prangerwirkung einzelner Fahrer im Vordergrund. Das von der Klägerin nach ihren Angaben verfolgte Ziel könne auch erreicht werden, wenn Bewertungen – wie von der Anordnung des Landesdatenschutzbeauftragten vorgegeben – lediglich an die Betroffenen selbst übermittelt würden.

Gegen das Urteil kann Berufung eingelegt werden, über die das Oberverwaltungsgericht in Münster entscheidet.


Datenschutz für Unternehmen - Vertretung in datenschutzrechtlichen Aufsichtsverfahren - Wir beraten Unternehmen bundesweit

Das Thema Datenschutz ist immer häufiger Gegenstand von rechtlichen Auseinandersetzungen. Dabei sind zahlreiche Rechtsfragen umstritten und die gesetzlichen Vorgaben wie beispielsweise durch die EU-Datenschutz-Grundverordnung in Bewegung. Die handwerklichen Missgeschicke des Gesetzgebers erschweren dabei zusätzlich für Unternehmen die datenschutzkonforme Umsetzung der rechtlichen Vorgaben.

Auch die Datenschutzbehörden der Länder gehen im Rahmen von datenschutzrechtlichen Aufsichtsverfahren zunehmend gegen Unternehmen vor. Die Themenfelder sind vielfältig. Neben dem Umgang mit personenbezogenen Daten, der Auftragsdatenverarbeitung, der Sicherheit von Websites, Analysetools und Social-Media-Plugins, sind oft auch interne Bereiche von Unternehmen betroffen. So sind etwa der Umgang mit Mitarbeiterdaten, die Videoüberwachung des Betriebsgeländes oder andere Überwachungsmaßnahmen der Mitarbeiter immer Auslöser von datenschutzrechtlichen Aufsichtsverfahren. Dabei drohen Untersagungsverfügungen und Ordnungsgelder.

Erfolgt eine Anhörung durch die zuständige Datenschutzbehörde, so gilt es für Unternehmen Ruhe zu bewahren. Nicht alle Forderungen der Datenschützer sind berechtigt. Dies gilt um so mehr, als je nach Bundesland unterschiedliche Tendenzen auszumachen sind. Jedenfalls empfiehlt es sich bereits im Anhörungsverfahren rechtliche fundiert vorzutragen, um rechtliche Schwierigkeiten zu verhindern oder Argumentationswege zu verbauen. Oft lässt sich eine einvernehmliche Regelung mit der Datenschutzbehörde erzielen.




OLG Düsseldorf legt EuGH Rechtsfragen im Zusammenhang mit Nutzung des Facebook-Gefällt-Mir-Buttons auf Unternehmenswebseiten vor

OLG Düsseldorf
Beschluss vom 19.01.2017
I-20 U 40/16


Das OLG Düsseldorf hat mehrere Rechtsfragen im Zusammenhang mit Nutzung des Facebook-Gefällt-Mir-Button auf Unternehmenswebseiten dem EuGH zur Entscheidung vorgelegt (siehe zur Vorinstanz LG Düsseldorf: Facebook Like / Gefällt Mir-Button auf Unternehmenswebseite ist ein abmahnfähiger Wettbewerbsverstoß ).

Die Vorlagefragen:

"Das Oberlandesgericht Düsseldorf legt dem Gerichtshof der Europäischen Union folgende Fragen zur Vorabentscheidung vor:

1. Steht die Regelung in Artikeln 22, 23 und 24 der Richtlinie 95/46/EG zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten und zum freien Datenverkehr vom 24. Oktober 1995 (ABI.
Nr. L 281/31 vom 23.11.1995) einer nationalen Regelung entgegen, die neben den Eingriffsbefugnissen der Datenschutzbehörden und den Rechtsbehelfsmöglichkeiten des Betroffenen gemeinnützigen Verbänden zur Wahrung der Interessen der Verbraucher die Befugnis einräumt, im Falle von Verletzungen gegen den Verletzer vorzugehen ?

Falls die Frage 1) verneint wird:

2. Ist in einem Fall wie dem vorliegenden, bei dem jemand einen Programmcode in seine Webseite einbindet, der den Browser des Benutzers veranlasst, Inhalte von einem Dritten anzufordern und hierzu personenbezogene Daten an den Dritten zu übermitteln, der Einbindende „für die Verarbeitung Verantwortlicher“ im Sinne von Art. 2 Buchstabe d) der Richtlinie 95/46/EG zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten und zum freien Datenverkehr vom 24. Oktober 1995 (ABI. Nr. L 281/31 vom 23.11.1995), wenn er selber diesen Datenverarbeitungsvorgang nicht beeinflussen kann ?

3. Falls die Frage 2 zu verneinen ist: Ist Art. 2 Buchstabe d) der Richtlinie 95/46/EG zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten und zum freien Datenverkehr dahingehend auszulegen, dass er die Haftung und Verantwortlichkeit in dem Sinne abschließend regelt, dass er einer zivilrechtlichen Inanspruchnahme eines Dritten entgegen steht, der zwar nicht „für die Verarbeitung Verantwortlicher“ ist, aber die Ursache für den Verarbeitungsvorgang setzt, ohne diesen zu beeinflussen ?

4. Auf wessen „berechtigte Interessen“ ist in einer Konstellation wie der vorliegenden bei der nach Art. 7 Buchstabe f) der Richtlinie 95/46/EG vorzunehmende Abwägung abzustellen? Auf das Interesse an der Einbindung von Drittinhalten oder auf das Interesse des Dritte ?

5. Wem gegenüber muss die nach Art. 7 Buchstabe a) und Art. 2 Buchstabe h) der Richtlinie 95/46/EG zu erklärende Einwilligung in einer Konstellation wie der vorliegenden erfolgen?

6. Trifft die Informationspflicht des Art. 10 der Richtlinie 95/46/EG in einer Situation wie der vorliegenden auch den Betreiber der Webseite, der den Inhalt eines Dritten eingebunden hat und so die Ursache für die Verarbeitung personenbezogener Daten durch den Dritten setzt ?"

Den Volltext der Entscheidung finden Sie hier:

OLG Köln: Schmerzensgeldanspruch bei datenschutzwidriger Weitergabe von Gesundheitsdaten - Verletzung des Rechts auf informationelle Selbstbestimmung

OLG Köln
Urteil vom 30.09.2016
26 O 251/15


Das OLG Köln hat entschieden, dass bei bei datenschutzwidriger Weitergabe von Gesundheitsdaten, ein Anspruch auf Schmerzensgeld bzw. angemessene Entschädigung wegen Verletzung des Rechts auf informationelle Selbstbestimmung bestehen kann.

Aus den Entscheidungsgründen:

"Das Landgericht hat als Anspruchsgrundlage für einen Schadensersatzanspruch allein § 7 BDSG geprüft, der – worauf die Beklagte hinweist – keinen Anspruch auf Ersatz immaterieller Schäden gewährt (Simitis, Bundesdatenschutzgesetz, 8. Aufl., § 7 Rn. 32). Es kommen daneben aber weitere Anspruchsgrundlagen in Betracht, etwa aus dem bürgerlichrechtlichen Deliktsrecht, wie aus § 823 Abs. 1 BGB, weil das Recht auf informationelle Selbstbestimmung ein sonstiges Recht im Sinne dieser Vorschrift ist, aus § 823 Abs. 2 BGB in Verbindung mit Bestimmungen des Bundesdatenschutzgesetzes und aus § 826 BGB. Vorliegend kommt vor allem ein Anspruch des Klägers aus einer vertraglichen oder vertragsähnlichen Beziehung mit der Beklagten in Betracht. Insoweit – wie auch bei einem Anspruch aus § 823 Abs. 1 BGB oder aus § 826 BGB – ist für die Annahme einer Rechts- bzw. Vertragsverletzung unerheblich, ob die Weitergabe des Urteils durch die Beklagte – was diese anzweifelt – unter das Bundesdatenschutzgesetz fällt.

Der durch eine rechtswidrige und schuldhafte Verletzung seines PersönIichkeitsrechts Betroffene kann Ersatz des immateriellen Schadens beanspruchen, wenn die Umstände eine solche Genugtuung erfordern (BGH, Urt. v. 19.9.1961 – VI ZR 259/60, BGHZ 35, 363). Verletzungen des Allgemeinen Persönlichkeitsrechts können auf Grund seines verfassungsrechtlichen Rangs (Art. 1 Abs. 1 und Art. 2 Abs. 1 GG) und seiner Ähnlichkeit zum Eingriff in den Körper und die Gesundheit ein Schmerzensgeld begründen (BeckOK BGB/Spindler, Stand 1.5.2016, § 253 Rn. 16 mwN.).

[...]

Die Gesundheitsdaten des Klägers, die der Beklagten durch den geschäftlichen Kontakt der Parteien bekannt geworden waren, durfte sie grundsätzlich nicht an Dritte – und damit auch nicht an die U AG, ihre Konzernmutter und Arbeitgeberin des Klägers, – weitergeben.

Bei den Gesundheitsdaten handelt es sich um besonders sensible Daten, die als eine besondere Art personenbezogener Daten im Sinne des § 3 Abs. 9 BDSG gesetzlich besonders geschützt sind. Dass sie vom Gesetz als besonders sensibel eingeordnet werden, ergibt sich u.a. aus § 213 VVG, der die Erhebung von Gesundheitsdaten betrifft. Ihre Weitergabe berührt das Persönlichkeitsrecht auf informationelle Selbstbestimmung in besonderem Maße. Das allgemeine Persönlichkeitsrecht umfasst die Befugnis des Individuums, über die Preisgabe und Verwendung seiner persönlichen Daten – hier seiner Gesundheitsdaten – selbst zu bestimmen. Es entfaltet als objektive Norm seinen Rechtsgehalt auch im Privatrecht und strahlt so auf die Auslegung und Anwendung privatrechtlicher Vorschriften aus. Verkennt ein Gericht, das eine privatrechtliche Streitigkeit entscheidet, in grundsätzlicher Weise den Schutzgehalt des allgemeinen Persönlichkeitsrechts, verletzt es durch sein Urteil das Grundrecht des Bürgers in seiner Funktion als Schutznorm (BVerfG, Beschl. v. 17.7.2013 – 1 BvR 3167/08, NJW 2013, 3086 mwN.)."


Den Volltext der Entscheidung finden Sie hier:

Gesetzentwurf zur Anpassung des Bundesdatenschutzgesetzes an die Datenschutz-Grundverordnung - EU-DSGVO

Die Bundesregierung hat den vom BMI vorgelegten Gesetzentwurf zur Anpassung des Bundesdatenschutzgesetzes an die Datenschutz-Grundverordnung beschlossen.

Die Pressemitteilung des BMI:

Neu­kon­zep­ti­on des Bun­des­da­ten­schutz­ge­set­zes - Kabinett beschließt Gesetzentwurf zur Anpassung des Bundesdatenschutzgesetzes an die Datenschutz-Grundverordnung

Die Bundesregierung hat heute den vom Bundesminister des Innern vorgelegten Gesetzentwurf zur Anpassung des Bundesdatenschutzgesetzes an die EU-Datenschutz-Grundverordnung beschlossen. Mit dem Gesetzentwurf werden zugleich wichtige Teile der EU-Datenschutz-Richtlinie Polizei und Justiz umgesetzt.

Kernstück des Gesetzentwurfs ist die Neukonzeption des Bundesdatenschutzgesetzes. Es ergänzt künftig die unmittelbar geltende Datenschutz-Grundverordnung um die Bereiche, in denen den Mitgliedstaaten Gestaltungsspielräume verbleiben.

„Mit der Anpassung des Bundesdatenschutzgesetzes an die Datenschutz-Grundverordnung machen wir einen großen Schritt zur Angleichung der Datenschutzregelungen in Europa und damit zu einem harmonisierten digitalen Binnenmarkt. Frühzeitig und als erstes Land in Europa schaffen wir damit Rechtsklarheit. Das gibt allen Beteiligten genug Zeit, sich auf die neue Rechtslage vorzubereiten. Durch die gleichzeitige Umsetzung wesentlicher Teile der Datenschutzrichtlinie im Bereich Polizei und Justiz schaffen wir ein stimmiges Regelungskonzept innerhalb des EU-Rechtsrahmens. Im Interesse der Betroffenen und im Interesse der Wirtschaft nutzen wir dabei die Spielräume der Datenschutz-Grundverordnung und schaffen damit zugleich Rechtssicherheit und einen angemessenen Ausgleich der Interessen.“, so Bundesinnenminister Dr. Thomas de Maizière.

Darüber hinaus sieht der Gesetzentwurf Änderungen des Bundesverfassungsschutzgesetzes, des MAD-Gesetzes, des BND-Gesetzes, des Sicherheitsüberprüfungsgesetzes und des Artikel-10-Gesetzes vor, die aus der Ablösung des bisherigen Bundesdatenschutzgesetzes resultieren.

Die am 27. April 2016 verabschiedete EU-Datenschutz-Grundverordnung (Verordnung (EU) 2016/679) und EU-Datenschutz-Richtlinie im Bereich Polizei und Justiz (Richtlinie (EU) 2016/680) erfordern bis Mai 2018 eine Anpassung des deutschen Datenschutzrechts auf Bundes- und Länderebene.


OLG Köln: Kein datenschutzrechtlicher Anspruch eines Arztes auf Entfernung seiner öffentlich zugänglichen Daten aus Ärztebewertungsportal - jameda

OLG Köln
Urteil vom 05.01.2017
15 U 121/16


Das OLG Kön hat entschieden, dass ein Arzt keinen datenschutzrechtlichen Anspruch auf Entfernung seiner öffentlich zugänglichen Daten aus einem Ärztebewertungsportal (jameda) hat.


Aus den Entscheidungsgründen:

"Die Zulässigkeit der Speicherung der streitgegenständlichen Daten nach § 29 BDSG hat das Landgericht zu Recht bejaht.

a. Das Landgericht ist dabei zutreffend davon ausgegangen, dass sich die Zulässigkeit der Speicherung nach § 29 BDSG auch hier nach den Grundsätzen beurteilt, die der Bundesgerichtshof in der o.g. K I-Entscheidung vom 23.09.2014 (VI ZR 358/14, BGHZ 202, 242 ff. = GRUR 2014, 1228 ff.) entwickelt hat. Danach bestimmt sich der Prüfungsmaßstab für ein Bewertungsportal wie dasjenige der Beklagten einheitlich nach der Regelung des § 29 Abs. 1 Satz 1 Nr. 1 BDSG und nicht nach der - weniger strengen - Regelung des § 29 Abs. 1 Satz 1 Nr. 2 BDSG, da nur die gemeinsame Verwendung der Daten der Klägerin mit den Bewertungen der Nutzer den von der Beklagten als Arztsuch- und -bewertungsportal verfolgten Zweck erfüllt und daher eine Würdigung im Zusammenhang mit der Speicherung der Bewertungen geboten ist.

[...]
c. Auch wenn man aber nicht § 28 Abs. 1 Satz 1 Nr. 3 BDSG sondern - wie in § 29 BDSG - eine Einbeziehung der Speicherung der Bewertung für geboten und daher § 28 Abs. 1 Satz 1 Nr. 2 BDSG für einschlägig hält, ist die Speicherung der persönlichen Daten der Klägerin zulässig.

Voraussetzung ist dann nach § 28 Abs. 1 Satz 1 Nr. 2 BDSG, dass die Speicherung zu Wahrung berechtigter Interessen der Beklagten erforderlich ist und kein Grund zu der Annahme besteht, dass das schutzwürdige Interesse der Klägerin an dem Ausschluss der Verarbeitung oder Nutzung überwiegt.

Diese Voraussetzungen sind hier erfüllt:

Wann ein "berechtigtes Interesse" der verantwortlichen Stelle zu bejahen ist, wird nicht einheitlich beurteilt. Überwiegend wird es als ein nach vernünftiger Erwägung durch die Sachlage gerechtfertigtes, also ein tatsächliches Interesse definiert, das wirtschaftlicher oder ideeller Natur sein kann, d.h. es muss sich um einen Zweck handeln, der vom gesunden Rechtsempfinden gebilligt wird (vgl. Gola/Schomerus, BDSG, 12. Aufl. 2015, § 28 Rdn. 24 m.w.Nachw.). Das ist hier bei der von der Beklagten bezweckten Werbefunktion (insbesondere auch unter UWG-Gesichtspunkten, s.o.) der Fall.

Auch die "Erforderlichkeit" der Datenspeicherung für den Zweck der Beklagten ist zu bejahen. Hierfür reicht zwar bloße "Dienlichkeit" nicht aus. Andererseits ist darunter aber auch keine "zwingende Notwendigkeit" zu verstehen, vielmehr geht es um ein bei vernünftiger Betrachtung zu bejahendes Angewiesensein auf das in Frage stehende Mittel. Es genügt daher, wenn nach den Gesamtumständen die Wahl einer anderen Informationsmöglichkeit oder der Verzicht auf die Speicherung zur Erreichung des - legitimen - Zwecks nicht sinnvoll oder unzumutbar wäre (vgl. Gola/Schomerus, a.a.O. § 28 Rdn. 15). Auch das ist hier gegeben. Schließlich ergibt sich aus der obigen, hier entsprechend geltenden Abwägung im Rahmen von § 29 BDSG, dass auch kein Grund für die Annahme überwiegender schutzwürdiger Interessen der Klägerin besteht; auch insoweit wird auf die obigen Ausführungen verwiesen.

II. Ohne Erfolg macht die Klägerin desweiteren geltend, ihr stehe gegen die Beklagte (auch) ein Löschungsanspruch wegen Verletzung ihres allgemeinen Persönlichkeitsrechts gemäß § 1004 analog, § 823 Abs. 1 BGB i.V.m. Art. 1 Abs. 1, Art. 2 Abs. 1 GG zu, da ihre persönlichen Daten durch die Speicherung und Veröffentlichung im Zusammenhang mit der Einblendung der Profile (zahlender) konkurrierender Ärzte über die bloße Bewertungsfunktion des Portals der Beklagten hinaus in unzulässiger Weise auch zu werblichen Zwecken Dritter zwangskommerzialisiert werde.

1. Eine Verletzung des Namensrechts der Klägerin im Sinne von § 12 BGB (als besondere Ausprägung des allgemeinen Persönlichkeitsrechts) durch Benutzung zu Werbezwecken liegt nicht vor.

Wie sich aus dem Wortlaut von § 12 Satz 1 BGB ergibt, schützt die Vorschrift gegen eine Identitätsverwirrung durch unbefugten Namensgebrauch sowie davor, dass dem Namensträger das Recht zum Gebrauch des Namens von einem anderen bestritten wird (vgl. BGH, Urt. v. 13.11.1990 – VI ZR 104/90, NJW 1991, 1532 – Notfallarzt). Beides ist hier nicht gegeben.

Es geht auch im Übrigen zu weit, jeden eigenmächtigen namentlichen Hinweis auf eine andere Person, wenn er im Zusammenhang mit einer Werbung erfolgt, ausnahmslos als einen Namensmissbrauch im Sinne von § 12 BGB zu bezeichnen. Schließt die Art dieses Hinweises die Annahme aus, dass die angepriesenen Leistungen oder Erzeugnisse dem Genannten irgendwie zuzurechnen seien oder unter seinem Namen in Erscheinung treten sollen, so kann eine solche Erwähnung seiner Person zwar aus anderen Gründen eine Rechtsverletzung sein; sie ist aber kein unbefugter Gebrauch des Namens, da sich der Werbende in einem solchen Falle, den durch den Namen repräsentierten Eigenwert der Person des anderen weder für sich noch für seine Erzeugnisse oder Leistungen Dritter aneignet (vgl. BGH, Urt. v. 18.03.1959 - IV ZR 182/58, BGHZ 30, 7 ff., juris Tz. 11 - Caterina Valente; v. 26.06.1981 - I ZR 73/79, BGHZ 81, 75 ff., juris Tz. 9 - Carrera).

Das ist hier der Fall, da der Name der Klägerin im Rahmen der von ihr beanstandeten Werbefunktion der Beklagten gerade nicht dazu dient, ihr die in den Einblendungen anderer Ärzte ausgewiesenen Leistungen in irgendeiner Weise zuzurechnen, sondern vielmehr dazu, Nutzern des Portals alternativ konkurrierende Ärzte in ihrer Umgebung anzuzeigen.

2. Auch eine Verletzung des allgemeinen Persönlichkeitsrechts der Klägerin durch die Verwendung ihrer persönlichen Daten für werbliche Zwecke Dritter („Zwangskommerzialisierung“) liegt nicht vor.

"


Den Volltext der Entscheidung finden Sie hier:

Hackerangriff auf Unternehmensseite - IT-Sicherheit muss stimmen – sonst drohen Schadensersatzansprüche

IT-Sicherheit muss stimmen – sonst drohen Schadensersatzansprüche
Rechtsanwalt Marcus Beckmann

In der Vergangenheit sind große und klein Anbieter von Waren und Dienstleistungen im Internet sowie Cloud-Anbieter Opfer von Datenklau und Erpressungsversuchen gekommen. Wird ein Online-Shop Opfer eines Datenklaus oder Hackerangriffs bedeutet dies nicht nur einen erheblichen Vertrauensverlust, sondern ist auch ein rechtliches Problem

Ein Unternehmen hat grundsätzlich alle ihm zumutbaren Maßnahmen zu treffen, um Schäden von Dritten fernzuhalten. Das Unternehmen haftet für alle vorhersehbaren und vermeidbaren Schäden, die durch eine unzureichende Sicherung vor Datenklau entstanden sind. Auch Zahlungsdienstleister und Kreditkartenunternehmen können ggf. Schadensersatzansprüche haben, wenn Kreditkartendaten missbraucht werden. Schließlich besteht die Gefahr, dass eigene Geschäftsgeheimnisse oder die von Vertragspartnern in falsche Hände geraten. Diese Grundsätze galten auch schon vor Inkrafttreten des IT-Sicherheitsgesetzes. Auch die datenschutzrechtlichen Vorschriften schreiben vor, dass personenbezogene Daten vor dem unbefugten Zugriff Dritter zu schützen sind. Bei einem Verstoß drohen Ordnungsgelder.

Zu den notwendigen Maßnahmen gehört eine dem Stand der Technik entsprechende IT-Infrastruktur sowie die regelmäßige Aktualisierung von Hard- und Software zur Vermeidung von Sicherheitslücken. Regelmäßige Belehrungen und Schulungen der Mitarbeiter zu Sicherheitsfragen und die Überwachung der Integrität der IT-Sicherheit sind ebenso notwendig. Zudem sollten Kunden bzw. Nutzern Informationen an die Hand gegeben werden, um ungewollten Datendiebstahl zu vermeiden.

Kommt es zu einem Datenklau, Hackerangriff oder Erpressungsversuchen gilt es zunächst etwaige Lücken zu stopfen. Zudem sollten strafrechtliche Schritte eingeleitet werden. Darüber hinaus müssen Unternehmen die betroffenen Kunden und Nutzer umgehen über die Sicherheitslücke informieren. Um weiteren Missbrauch durch Accountdaten zu verhindern empfiehlt es sich Kunden zur Änderung der Passwörter aufzufordern bzw. diese zunächst zurückzusetzen.

BGH: Immaterielle Entschädigung für Verletzung des allgemeinen Persönlichkeitsrechts nicht vererblich - § 7 Satz 1 BDSG auch keine Anspruchsgrundlage

BGH
Urteil vom 29.11.2016
VI ZR 530/15
BGB § 823 Abs. 1; BDSG § 7 Satz 1; Richtlinie 95/46/EG Art. 3 Abs. 1, Art. 2 Buchst. c


Der BGH hat abermals bekräftigt, dass eine Immaterielle Entschädigung in Geld für die Verletzung des allgemeinen Persönlichkeitsrechts nicht vererblich. Vorliegend ging es um ein unzureichend anonymisiertes sozialmedizinisches Gutachten mit personenbezogenen Daten. Auch § 7 Satz 1 BDSG scheidet nach Ansicht des BGH als Anspruchsgrundlage für eine Geldentschädigung aus.

Leitsätze des BGH:


1. Die Erbin einer gesetzlich krankenversicherten Patientin kann von der Krankenkasse keine immaterielle Entschädigung wegen einer Verletzung des allgemeinen Persönlichkeitsrechts der Patientin durch die Verwendung eines schriftlichen, die Patientin betreffenden, unzureichend anonymisierten sozialmedizinischen Gutachtens mit personenbezogenen Daten in anderen sozialgerichtlichen Verfahren verlangen. Der Anspruch auf Geldentschädigung wegen Persönlichkeitsrechtsverletzung ist grundsätzlich nicht vererblich (Festhaltung Senatsurteil
vom 29. April 2014 - VI ZR 246/12, BGHZ 201, 45 Rn. 8 ff.).

2. Insbesondere kann ein Anspruch auf immaterielle Entschädigung nicht auf § 7 Satz 1 BDSG gestützt werden. Auch bei richtlinienkonformer Auslegung gewährt § 7 Satz 1 BDSG für diesen Fall nicht-automatisierter Datenverarbeitung keinen Anspruch auf immaterielle Entschädigung. Ein solches (einzelnes) Gutachten ist keine Datei im Sinne von Art. 3 Abs. 1, Art. 2 Buchst. c der Richtlinie 95/46/EG des Europäischen Parlaments und des Rates vom 24. Oktober 1995 - Datenschutzrichtlinie -, so dass der Anwendungsbereich der Richtlinie insoweit nicht eröffnet ist.

BGH, Urteil vom 29. November 2016 - VI ZR 530/15 - OLG Düsseldorf - LG Wuppertal

Den Volltext der Entscheidung finden Sie hier:

BSI: Mindestens 1000 deutsche Online-Shops auf Magento-Basis von Online-Skimming betroffen - Sicherheitslücke in veralteter Version

Das Bundesamt für Sicherheit in der Informationstechnik (BSI) hat mitgeteilt, dass mindestens 1000 deutsche Online-Shops auf Magento-Basis von Online-Skimming betroffen sind. Ursache sind Sicherheitslücken in einer veralteten Version, die im Oktober 2016 bekanntgegeben wurden. Grundsätzlich ist der Betreiber eines Online-Shops verpflichtet alle zumutbare Maßnahmen zu ergreifen, um Schäden von seinen Kunden zu verhindern und die die gespeicherten personenbezogenen Daten zu schützen. Tut er dies nicht, so drohen Schadensersatzansprüche und Ordnungsgelder.


Online-Skimming: 1.000 deutsche Online-Shops betroffen

Dem Bundesamt für Sicherheit in der Informationstechnik (BSI) liegen Informationen vor, nach denen aktuell mindestens 1.000 deutsche Online-Shops von Online-Skimming betroffen sind. Dabei nutzen Cyber-Kriminelle Sicherheitslücken in veralteten Versionen der Shopsoftware, um schädlichen Programmcode einzuschleusen. Dieser späht dann beim Bestellvorgang die Zahlungsinformationen der Kunden aus und übermittelt sie an die Täter. Betroffen sind Online-Shops, die auf der weit verbreiteten Software Magento basieren.

Der eingeschleuste Code und der damit verbundene Datenabfluss ist für Nutzer üblicherweise nicht erkennbar. Über den Umfang der über diese Angriffe bereits abgeflossenen Zahlungsdaten liegen dem BSI zur Zeit keine Erkenntnisse vor.

Basierend auf einer von einem Entwickler von Sicherheitstools für Magento durchgeführten Analyse wurden bereits im September 2016 weltweit knapp 6.000 von Online-Skimming betroffene Online-Shops identifiziert, darunter auch mehrere hundert Shops deutscher Betreiber. CERT-Bund benachrichtigte daraufhin die jeweils zuständigen Netzbetreiber in Deutschland zu betroffenen Online-Shops. Aktuellen Erkenntnissen zufolge wurde diese Infektion von vielen Betreibern bis heute nicht entfernt oder die Server wurden erneut kompromittiert. Die von den Angreifern ausgenutzten Sicherheitslücken in Magento wurden von den Shop-Betreibern trotz vorhandener Softwareupdates offenbar nicht geschlossen. Dies ermöglicht Cyber-Kriminellen, weiterhin Zahlungsdaten und andere bei Bestellungen eingegebene persönliche Daten von Kunden auszuspähen. Die Anzahl aktuell bekannter betroffener Online-Shops in Deutschland ist dadurch auf mindestens 1.000 angestiegen.

Das CERT-Bund des BSI hat heute erneut die jeweils zuständigen Netzbetreiber in Deutschland zu betroffenen Online-Shops in ihren Netzen informiert und bittet Provider, die Informationen an ihre Kunden (Shop-Betreiber) weiterzuleiten.

"Leider zeigt sich nach wie vor, dass viele Betreiber bei der Absicherung ihrer Online-Shops sehr nachlässig handeln. Eine Vielzahl von Shops läuft mit veralteten Software-Versionen, die mehrere bekannte Sicherheitslücken enthalten", erklärt BSI-Präsident Arne Schönbohm. "Die Betreiber müssen ihrer Verantwortung für ihre Kunden gerecht werden und ihre Dienste zügig und konsequent absichern."

Nach § 13 Absatz 7 TMG sind Betreiber von Online-Shops verpflichtet, ihre Systeme nach dem Stand der Technik gegen Angriffe zu schützen. Eine grundlegende und wirksame Maßnahme hierzu ist das regelmäßige und rasche Einspielen von verfügbaren Sicherheitsupdates.

Das BSI weist an dieser Stelle darauf hin, dass die Verpflichtung zur Absicherung von Systemen nicht nur für Unternehmen, sondern auch für alle anderen geschäftsmäßigen Betreiber von Websites gilt. Darunter fallen zum Beispiel auch Websites von Privatpersonen oder Vereinen, wenn mit deren Betrieb dauerhaft Einnahmen generiert werden sollen. Dies wird bereits dann angenommen, wenn auf Websites bezahlte Werbung in Form von Bannern platziert wird.

Betreiber von Online-Shops auf Basis von Magento können mit dem kostenfreien Dienst MageReport überprüfen, ob ihr Shop-System bekannte Sicherheitslücken aufweist und von den aktuellen Angriffen betroffen ist. Zu jedem erkannten Problem werden detaillierte Informationen zu dessen Behebung bereitgestellt.




VG Göttingen: Verwendung einer Dashcam durch eine Privatperson um Verkehrsverstöße anderer Verkehrsteilnehmer aufzuzeichnen ist datenschutzrechtswidrig

VG Göttingen
Beschluss vom 12.10.2016
1 B 171/16

Das VG Göttingen hat entschieden, dass die Verwendung einer Dashcam durch eine Privatperson, um Verkehrsverstöße anderer Verkehrsteilnehmer aufzuzeichnen, datenschutzrechtswidrig ist. Das Gericht bestätigte eine datenschutzrechtliche Verfügung der Landesbeauftragten für den Datenschutz Niedersachsen gegen den sogenannten "Knöllchen-Horst".

Die Pressemitteilung der Landesdan

"Entscheidung des Verwaltungsgerichts Göttingen Gericht bestätigt datenschutzrechtliche Verfügung gegen „Knöllchen-Horst

Die Landesbeauftragte für den Datenschutz Niedersachsen, Barbara Thiel, hat dem sehr speziellen Hobby eines Autofahrers aus dem Harz ein Ende gesetzt. Der in der Öffentlichkeit als „Knöllchen-Horst" bekannt gewordene Mann hatte es sich zur Aufgabe gemacht, vermeintliche oder tatsächliche Verkehrsverstöße anderer Verkehrsteilnehmer auch bei fehlender eigener Betroffenheit zur Anzeige zu bringen.

Als Beweismittel hatte er auf Fotos und Videosequenzen der an Front- und Heckscheibe seines Kfz befestigten sogenannten Dashcams zurückgegriffen.
Der Einsatz von Dashcams im öffentlichen Verkehr stellt einen schweren Eingriff in das Recht auf informationelle Selbstbestimmung der davon betroffenen Verkehrsteilnehmer dar. Die Landesdatenschutzbeauftrage hatte deshalb die Verwendung dieser Kameras zur Dokumentation des Verkehrsgeschehens untersagt und die Löschung der datenschutzwidrig angefertigten Videoaufnahmen angeordnet.

Diese Entscheidung der Datenschutzbeauftragten ist am 12.10.2016 vom Verwaltungsgericht Göttingen im Rahmen eines Eilrechtsschutzverfahrens bestätigt worden (Az.: 1 B 171/16). In dem kürzlich veröffentlichten Beschluss hat das Gericht auch darauf hingewiesen, dass die Verfolgung von Verkehrsverstößen eine öffentliche Aufgabe darstellt, deren Erfüllung Polizei und Ordnungsbehörden vorbehalten ist.

„Ich bin sehr froh, dass das Verwaltungsgericht die Maßnahmen meiner Behörde gegen diesen selbst ernannten Sachwalter öffentlicher Interessen gebilligt hat", so Thiel in einer ersten Reaktion auf den Gerichtsbeschluss. Damit sei zugleich die von den deutschen Datenschutz-Aufsichtsbehörden seit mehreren Jahren vertretene Auffassung zur Unzulässigkeit des Einsatzes von Dashcams bestätigt und deutlich gemacht worden, dass bereits die Anfertigung solcher Kamerabilder datenschutzwidrig ist.

„Der Gerichtsbeschluss hat nach meiner Auffassung auch für die aktuelle politische Diskussion über die Ausweitung der Überwachung öffentlicher Räume unter Nutzung von Kameras privater Betreiber Bedeutung. Das Gericht hat völlig zu Recht darauf hingewiesen, dass die Gewährleistung der öffentlichen Sicherheit eine staatliche Aufgabe ist, die nicht privaten Stellen überantwortet werden darf", so Thiel abschließend."

BVerwG: Kein Anspruch auf Informationszugang zu dienstlichen Telefonlisten von Jobcenter - Funktionsfähigkeit der Behörden und Datenschutz stehen dem entgegenc

BVerwG
Urteile vom 20.10.2016
7 C 20.15; 7 C 23.15; 7 C 27.15; 7 C 28.15


Das BVerwG hat entschieden, dass kein Anspruch auf Informationszugang zu dienstlichen Telefonlisten von Jobcentern besteht. Die Funktionsfähigkeit der Jobcenter und der Schutz der personenenbezogenen Daten der Mitarbeiter stehen dem entgegen.

Informationszugang zu dienstlichen Telefonlisten von Jobcentern: Revisionen erfolglos

Einem Anspruch auf Informationszugang zu den dienstlichen Telefonnummern der Bediensteten von Jobcentern können sowohl die Gefährdung der Funktionsfähigkeit der Behörde als auch der Schutz der personenbezogenen Daten der Mitarbeiterinnen und Mitarbeiter entgegenstehen. Das hat das Bundesverwaltungsgericht in Leipzig heute entschieden.

Die Kläger begehren unter Berufung auf das Informationsfreiheitsgesetz Zugang zu Diensttelefonlisten der beklagten Jobcenter in Köln, Nürnberg-Stadt, Berlin Mitte und Berlin Treptow-Köpenick. Die Bediensteten dieser Jobcenter sind von ihren Kunden nicht unmittelbar telefonisch zu erreichen. Anrufe werden jeweils von eigens eingerichteten Service-Centern mit einheitlichen Telefonnummern entgegengenommen.

Soweit die von den Klägern geltend gemachten Ansprüche noch im Streit standen, hatten die Klagen in der Berufungsinstanz keinen Erfolg. Die hiergegen gerichteten Revisionen hat das Bundesverwaltungsgericht zurückgewiesen.

Das Oberverwaltungsgericht Münster und der Verwaltungsgerichtshof München haben im Einklang mit den maßgeblichen Rechtsvorschriften entschieden, dass zu Lasten der Kläger der Ausschlussgrund des § 3 Nr. 2 IFG eingreift. Danach besteht der Anspruch auf Informationszugang nicht, wenn das Bekanntwerden der Information die öffentliche Sicherheit gefährden kann. Zum Schutzgut der öffentlichen Sicherheit gehören u.a. Individualrechtsgüter wie Gesundheit und Eigentum sowie die Funktionsfähigkeit und die effektive Aufgabenerledigung staatlicher Einrichtungen. Deren Gefährdung liegt vor, wenn aufgrund einer auf konkreten Tatsachen beruhenden prognostischen Bewertung mit hinreichender Wahrscheinlichkeit zu erwarten ist, dass das Bekanntwerden der Information das Schutzgut beeinträchtigt. Von diesem rechtlichen Ausgangspunkt aus haben das Oberverwaltungsgericht Münster und der Verwaltungsgerichtshof München jeweils Tatsachen festgestellt, die zu einer solchen Gefährdung führen. Sie besteht namentlich in nachteiligen Auswirkungen auf die effiziente und zügige Aufgabenerfüllung der Jobcenter, die infolge von direkten Anrufen bei den Bediensteten eintreten können.

In den vom Oberverwaltungsgericht Berlin-Brandenburg entschiedenen Fällen waren die Jobcenter Berlin Mitte und Berlin Treptow-Köpenick bereits vom Verwaltungsgericht Berlin verpflichtet worden, über die Ansprüche der Kläger erneut zu entscheiden; zuvor muss ermittelt werden, ob die betroffenen Mitarbeiter in den Informationszugang einwilligen. Insoweit sind die verwaltungsgerichtlichen Urteile rechtskräftig geworden. Eine Gefährdung der öffentlichen Sicherheit war in diesen Verfahren seitens der Jobcenter nicht geltend gemacht worden.

Dem weitergehenden Anspruch auf Übermittlung der Telefonlisten ohne vorherige Einwilligung der betroffenen Bediensteten steht, wie das Bundesverwaltungsgericht bestätigt hat, § 5 Abs. 1 Satz 1 IFG entgegen. Danach darf ohne eine solche Einwilligung Zugang zu personenbezogenen Daten nur gewährt werden, soweit das Informationsinteresse des Antragstellers das schutzwürdige Interesse des Dritten am Ausschluss des Informationszugangs überwiegt. Bei den dienstlichen Telefonnummern handelt es sich um personenbezogene Daten, die vom Schutzbereich des Grundrechts auf informationelle Selbstbestimmung erfasst werden. § 5 Abs. 1 Satz 1 IFG liegt daher ein relativer Vorrang des Datenschutzes vor dem Informationsinteresse zugrunde. Vor diesem Hintergrund war in den entschiedenen Fällen ein Überwiegen der von den Klägern geltend gemachten Interessen zu verneinen.

BVerwG 7 C 20.15 - Urteil vom 20. Oktober 2016

Vorinstanzen:
OVG Münster 8 A 2429/14 - Urteil vom 16. Juni 2015
VG Köln 13 K 498/14 - Urteil vom 30. Oktober 2014

BVerwG 7 C 23.15 - Urteil vom 20. Oktober 2016

Vorinstanzen:
VGH München 5 BV 15.160 - Urteil vom 05. August 2015
VG Ansbach AN 14 K 13.02149 - Urteil vom 14. November 2014

BVerwG 7 C 27.15 - Urteil vom 20. Oktober 2016

Vorinstanzen:
OVG Berlin-Brandenburg 12 B 22.14 - Urteil vom 20. August 2015
VG Berlin 2 K 252.13 - Urteil vom 05. Juni 2014

BVerwG 7 C 28.15 - Urteil vom 20. Oktober 2016

Vorinstanzen:
OVG Berlin-Brandenburg 12 B 21.14 - Urteil vom 20. August 2015
VG Berlin 2 K 54.14 - Urteil vom 05. Juni 2014



LAG Hamm: Heimlicher Einsatz eines Keyloggers auf Dienst-PC zur Aufdeckung unzulässiger Internetnutzung am Arbeitsplatz rechtswidrig - Beweisverwertungsverbot

LAG Hamm
Urteil vom 17.06.2016
16 Sa 1711/15


Das LAG Hamm hat entschieden, dass der heimlicher Einsatz eines Keyloggers auf einem Dienst-PC zur Aufdeckung unzulässiger Internetnutzung am Arbeitsplatz unzulässig ist und zu einem Beweisverwertungsverbot führt.

Aus den Entscheidungsgründen:

"aa) Durch die heimliche Installation des sog. Keyloggers hat die Beklagte in massiver Weise in das durch Art. 2 Abs. 1 i. V. m. Art. 1 Abs. 1 GG verbürgte Recht des Klägers auf informationelle Selbstbestimmung, das die Befugnis garantiert, selbst über die Preisgabe und Verwendung persönlicher Daten zu befinden, eingegriffen.

Bei einem Keylogger („Tasten-Protokollierer“) handelt es sich um eine Hard- oder Software, die dazu verwendet wird, sämtliche Eingaben des Benutzers an der Tastatur eines Computers zu protokollieren und damit zu überwachen oder zu rekonstruieren. Durch die Protokollierung jeder Tastatureingabe werden auch hochsensible Daten – wie z. B. Benutzername und Passwörter für geschützte Bereiche, PINs pp. – erfasst und protokolliert. Wie massiv der Eingriff in das Grundrecht des Klägers auf informationelle Selbstbestimmung ist, wird vorliegend bereits daran deutlich, dass sich die Kammer zu Beginn der mündlichen Verhandlung zu dem Hinweis genötigt sah, der Kläger möge sich eine neue Kreditkarte besorgen, damit die Prozessbeteiligten bei einem etwaigen Missbrauch seiner Kreditkarte nicht in einen unberechtigten Verdacht geraten. Aufgrund der protokollierten Tastatureingaben und Vorlage der LOG-Dateien im Verfahren waren nämlich nicht nur der Beklagten als Arbeitgeberin, sondern allen Prozessbeteiligten sämtliche Informationen über die Kreditkarte des Klägers, wie Kreditkartennummer, dreistellige Prüfnummer, Gültigkeitsdauer pp. zugänglich. All diese Daten waren protokolliert und hätten ohne Weiteres Käufe im Internet zu Lasten der Kreditkarte des Klägers ermöglicht. Zusätzlich zur Protokollierung jeder Tastatureingabe hat der von der Beklagten heimlich installierte Keylogger auch regelmäßige „Sreenshots“ (Bildschirmfotos / Bildschirmkopien) erstellt.

bb) Der massive Eingriff in das Grundrecht des Klägers auf informationelle Selbstbestimmung führt vorliegend zu dem Ergebnis, dass die Verwertung der heimlich beschafften Daten und Erkenntnisse zu Beweiszwecken nicht zulässig ist.

(1) Greift die prozessuale Verwertung heimlich beschaffter, persönlicher Daten in das Recht auf informationelle Selbstbestimmung ein, ist im Einzelfall zu prüfen, ob die Verwertung dieser Daten mit dem Recht auf informationelle Selbstbestimmung vereinbar ist. Bei der erforderlichen Abwägung überwiegen das Interesse an einer materiell richtigen Entscheidung und das Interesse, sich ein Beweismittel für zivilrechtliche Ansprüche zu sichern, das Interesse am Schutz dieses Grundrechts nur dann, wenn weitere, über das schlichte Beweisinteresse hinausgehende Aspekte hinzutreten. Diese können etwa darin liegen, dass sich der Beweisführer mangels anderer Erkenntnisquellen in einer Notwehrsituation oder einer notwehrähnlichen Lage befindet. Das Interesse, sich ein Beweismittel zu sichern, reicht demgegenüber für sich allein nicht aus. Vielmehr müssen die besonderen Umstände gerade die in Frage stehende Art der Informationsbeschaffung und Beweiserhebung als gerechtfertigt ausweisen (Bundesarbeitsgericht, Urteil vom 21. November 2013 – 2 AZR 797/11 -; Bundesarbeitsgericht, Urteil vom 20. Juni 2013 – 2 AZR 546/12 -; Bundesgerichtshof, Beschluss vom 15. Mai 2013 – XII ZB 107/08 -).

(2) Die Bestimmungen des Bundesdatenschutzgesetzes (BDSG) konkretisieren den Schutz des Rechts auf informationelle Selbstbestimmung. Sie regeln, in welchem Umfang im Anwendungsbereich des Gesetzes Eingriffe in diese Rechtsposition zulässig sind. Liegt keine Einwilligung des Betroffenen vor, ist die Erhebung, Verarbeitung und Nutzung personenbezogener Daten nur zulässig, wenn das BDSG oder eine andere Rechtsvorschrift sie erlaubt. Fehlt es an der erforderlichen Ermächtigungsgrundlage oder liegen deren Voraussetzungen nicht vor, ist die Erhebung, Verarbeitung und/oder Nutzung personenbezogener Daten verboten. Dieser Grundsatz des § 4 Absatz 1 BDSG prägt das deutsche Datenschutzrecht (Bundesarbeitsgericht, Urteil vom 21. November 2013 – 2 AZR 797/11).

Nach § 32 Absatz 1 Satz 1 BDSG dürfen personenbezogene Daten eines Beschäftigten für Zwecke des Beschäftigungsverhältnisses erhoben, verarbeitet oder genutzt werden, wenn dies für die Entscheidung über die Begründung eines Beschäftigungsverhältnisses oder nach dessen Begründung für seine Durchführung oder Beendigung erforderlich ist. Nach Absatz 1 Satz 2 dieser Vorschrift dürfen zur Aufdeckung von Straftaten personenbezogene Daten eines Beschäftigten nur dann erhoben, verarbeitet oder genutzt werden, wenn zu dokumentierende tatsächliche Anhaltspunkte den Verdacht begründen, dass der Betroffene im Beschäftigungsverhältnis eine Straftat begangen hat, die Erhebung, Verarbeitung oder Nutzung zu deren Aufdeckung erforderlich ist und das schutzwürdige Interesse des Beschäftigten am Ausschluss der Erhebung, Verarbeitung oder Nutzung nicht überwiegt, insbesondere Art und Ausmaß im Hinblick auf den Anlass nicht unverhältnismäßig sind.

Die Regelung des § 32 BDSG baut nach der Gesetzesbegründung auf den von der Rechtsprechung entwickelten allgemeinen Grundsätzen auf. So waren Eingriffe in das allgemeine Persönlichkeitsrecht des Arbeitnehmers nach der Rechtsprechung des Bundesarbeitsgerichts schon bislang nur zulässig, wenn der konkrete Verdacht einer strafbaren Handlung oder einer anderen schweren Verfehlung zu Lasten des Arbeitgebers bestand, weniger einschneidende Mittel zur Aufklärung des Verdachts ergebnislos ausgeschöpft waren, die angedachte Maßnahme damit praktisch das einzig verbleibende Mittel darstellte und die Maßnahme insgesamt nicht unverhältnismäßig war (Bundesarbeitsgericht, Urteil vom 21. November 2013 – 2 AZR 797/11; Franzen in: Erfurter Kommentar zum Arbeitsrecht, 15. Auflage 2015, § 32 BDSGRn. 31, 32).

(3) Bei Anwendung dieser Grundsätze kommt die Kammer zum Ergebnis, dass das von der Beklagten durch die heimliche Installation des Keyloggers gewonnene Material im vorliegenden Verfahren nicht als Beweismittel verwertbar ist. Die Erhebung, Speicherung und Auswertung der Computernutzung durch den Kläger mit Hilfe des Keyloggers ist weder durch die Vorschriften des Bundesdatenschutzgesetzes noch nach den von der Rechtsprechung entwickelten, allgemeinen Grundsätzen gedeckt."



Den Volltext der Entscheidung finden Sie hier: