Skip to content

Europäischer Rat ändert Sprachfassungen der EU-DSGVO mit Dokument vom 19.04.2018 und damit kurz vor Inkraftreten am 25.05.2018

Europäische Rat hat mit Dokument vom 19.04.2018 kurz vor Inkrafttreten die Sprachfassungen der EU-DSGVO geändert. Zwar sollen die Änderungen primär dem sprachlichen Schliff der Übersetzungen dienen, allerdings können sich durch die Änderungen im Detail auch rechtliche Abweichungen ergeben.


OVG Hamburg: Facebook darf personenbezogene Daten deutscher WhatsApp-Nutzer mangels ausreichender Einwillungserklärung nach deutschem Recht nicht verwenden

OVG Hamburg
Entscheidung vom 01.03.2018
5 Bs 93/17


Das OVG Hamburg hat im Rahmen eines Eilverfahrens entschieden, dass Facebook personenbezogene Daten deutscher WhatsApp-Nutzer mangels ausreichender Einwillungserklärung nach deutschem Recht nicht verwenden darf. Der Ausgang des Hauptsacheverfahrens sei - so das Gericht - jedoch offen. Im Eilverfahren würden jedoch jedenfalls die Interessen deutscher WhatsApp-Nutzer am Schutz ihrer personenbezogenen Daten überwiegen.

Die Pressemitteilung des Gerichts:

Vorerst weiter keine Verwendung personenbezogener Daten deutscher WhatsApp-Nutzer durch Facebook

Das Hamburgische Oberverwaltungsgericht hat entschieden, dass die Facebook Ireland Ltd. (Facebook) die personenbezogenen Daten deutscher WhatsApp-Nutzer vorerst nicht auf der Grundlage der bisher abgeforderten Einwilligung erheben und speichern darf (5 Bs 93/17). Damit bestätigt es die vorausgegangene Entscheidung des Verwaltungsgerichts Hamburg, das einen Eilantrag von Facebook gegen eine sofort vollziehbare Untersagungsverfügung des Hamburgischen Beauftragten für Datenschutz und Informationssicherheit (Datenschutzbeauftragter) abgelehnt hatte (13 E 5912/16).

Zur Begründung hat das Hamburgische Oberverwaltungsgericht im Wesentlichen ausgeführt: Es sei offen, ob die beanstandete Untersagungsverfügung rechtmäßig sei. Offen sei insbesondere, ob deutsches Datenschutzrecht zur Anwendung gelange und – wenn ja – ob der Datenschutzbeauftragte gegen Facebook mit Sitz in Irland vorgehen dürfe. In diesem Fall erweise sich die beanstandete Untersagung allerdings nicht als offensichtlich rechtswidrig. Denn die seit August 2016 abgeforderte Zustimmung der WhatsApp-Nutzer zu den neuen Nutzungsbedingungen und Datenschutzrichtlinien entspreche voraussichtlich nicht den deutschen Datenschutzvorschriften. Die vor diesem Hintergrund vorzunehmende Interessenabwägung führe zu einem Überwiegen der Interessen deutscher WhatsApp-Nutzer am Schutz ihrer personenbezogenen Daten.



LAG Hamm: Unzulässige Videoüberwachung durch Arbeitgeber führt zu Beweisverwertungsverbot - Persönlichkeitsrechtsverletzung durch den Verstoß gegen den Datenschutz

LAG Hamm
Urteil vom 12.06.2017
11 Sa 858/16


Das LAG Hamm hat entschieden, dass eine unzulässige Videoüberwachung durch den Arbeitgeber zu einem Beweisverwertungsverbot führt. Durch den Verstoß gegen die datenschutzrechtlichen Vorgaben liegt eine Persönlichkeitsrechtsverletzung vor, die das Beweisverwertungsverbot zur Folge hat.

Aus den Entscheidungsgründen:

"I. Auch wegen der restlichen Ersatzforderung von 976,20 € ist die Widerklage unbegründet [133,00 € + 331,20 € + 213,00 € + 56,00 € + 22,00 € (nicht 32,00 €) + 221,00 €]. Zwar beschränkt sich der Beklagte bei dieser Forderung nicht auf die unter I. behandelten Berechnungen und Schlussfolgerungen. Zu den Daten 17.12.2015, 13.01.2016 und 29.01.2016 hat der Beklagte bereits im Verfahren erster Instanz konkrete schädigende Handlungen der Klägerin behauptet, welche er im zweiten Rechtszug für den 17.12.2015 und den 29.01.2016 weiter konkretisiert hat. Zusätzlich hat der Beklagte im Berufungsverfahren weitere konkrete Vorfälle am 19.12.2015, 08.01.2016 und am 23.01.2016 behauptet. Die für die sechs Tage behaupteten Fehlbeträge summieren sich damit auf insgesamt 976,20 €. Der Beklagte hat jedoch keinen zulässigen Beweis für die Richtigkeit der von der Klägerin bestrittenen Behauptungen angetreten. Sowohl für die Beweisführung durch die eingereichten Videosequenzen wie auch für eine Zeugenvernehmung der Mitarbeiterin, welche die Videoaufzeichnungen ausgewertet hat, besteht ein Beweisverwertungsverbot aus Gründen des Daten- und Persönlichkeitsschutzes.

42
1. Ein Beweisverwertungsverbot oder ein Verbot, selbst unstreitigen Sachvortrag zu verwerten, kommt in Betracht, wenn dies aufgrund einer verfassungsrechtlich geschützten Position einer Prozesspartei zwingend geboten ist (BAG 20.10.2016 – 2 AZR 395/15 - ; BAG 22.09.2016 – 2 AZR 848/15 - ). Das Gericht hat insoweit zu prüfen, ob Daten und Erkenntnisse in Übereinstimmung mit datenschutzrechtlichen Vorschriften gewonnen worden sind und ob die Verwertung der gewonnenen Daten und Erkenntnisse mit dem allgemeinen Persönlichkeitsrecht des Betroffenen vereinbar ist. Das allgemeine Persönlichkeitsrecht schützt nicht allein die Privat- und Intimsphäre, sondern in seiner speziellen Ausprägung als Recht am eigenen Bild auch die Befugnis eines Menschen, selbst darüber zu entscheiden, ob Filmaufnahmen von ihm gemacht und möglicherweise gegen ihn verwendet werden dürfen. Die Verwertung von personenbezogenen Daten greift in das Grundrecht auf informationelle Selbstbestimmung ein, das die Befugnis garantiert, selbst über die Preisgabe und Verwendung persönlicher Daten zu befinden (BAG 20.10.2016 - 2 AZR 395/15 - unter Hinweis auf BVerfG 11.03.2008 – 1 BvR 2074/05 -). Greift die prozessuale Verwertung eines Beweismittels in das allgemeine Persönlichkeitsrecht einer Prozesspartei ein, überwiegt das Interesse an seiner Verwertung und der Funktionstüchtigkeit der Rechtspflege das Interesse am Schutz dieses Grundrechts nur dann, wenn weitere, über das schlichte Beweisinteresse hinausgehende Aspekte hinzutreten. Es muss sich gerade diese Art der Informationsbeschaffung und Beweiserhebung als gerechtfertigt erweisen (BAG 20.10.2016 - 2 AZR 395/15; BAG 22.09.2016 – 2 AZR 848/15 - ). Ein Beweisverwertungsverbot wegen eines ungerechtfertigten Eingriffs in das Persönlichkeitsrecht umfasst dabei nicht nur das Beweismittel selbst, also in einem Fall wie hier eine In-Augenscheinnahme der Videoaufzeichnungen, sondern auch dessen mittelbare Verwertung wie etwa die Vernehmung eines Zeugen über den Inhalt des Bildmaterials (BAG 20.10.2016 - 2 AZR 395/15 - unter Hinweis auf BVerfG 31.07.2001 – 1 BvR 304/01 - ).

43
2. Der Schutzzweck der bei der Informationsgewinnung verletzten Norm kann einer Beweisverwertung und auch einer gerichtlichen Verwertung unstreitigen Sachvortrags entgegenstehen. Allerdings ordnen die Bestimmungen des BDSG für sich genommen nicht an, dass unter ihrer Missachtung gewonnene Erkenntnisse oder Beweismittel bei der Feststellung des Tatbestands im arbeitsgerichtlichen Verfahren vom Gericht nicht berücksichtigt werden dürften (BAG 22.09.2016 – 2 AZR 848/15 -; Eylert, Kündigung nach heimlicher Arbeitnehmerüberwachung, NZA-Beilage 2015, 100, 105). Die Annahme eines Sachvortrags- oder Beweisverwertungsverbots setzt weiter voraus, dass es dem Schutzzweck etwa des allgemeinen Persönlichkeitsrechts zuwiderliefe, den inhaltlichen Gehalt des fraglichen Beweismittels zur Grundlage der gerichtlichen Entscheidung zu machen (BAG aaO; Eylert aaO 105, 106). Der Schutzzweck des BDSG gebietet es nicht, dem Arbeitgeber aus generalpräventiven Gründen eine prozessuale Verwertung datenschutzrechtswidrig erlangter Informationen generell zu verwehren. Ein Verbot kommt nur in Betracht, wenn mit der Verwertung ein Eingriff in das allgemeine Persönlichkeitsrecht der anderen Prozesspartei einhergeht. Ein solcher Eingriff scheidet aus, wenn die Unzulässigkeit allein aus der (Dritt-)Betroffenheit anderer Beschäftigter resultiert (BAG 20.10.2016 – 2 AZR 395/15 - ). Unschädlich ist es dabei nach Auffassung des Bundesarbeitsgerichts, wenn der Arbeitgeber seinen Dokumentationspflichten gemäß § 32 Abs. 1 Satz 2 BDSG, die grundsätzlich vor der Datenerhebung zu erfüllen sind, nur unvollständig nachgekommen ist (BAG 20.10.2016 - 2 AZR 395/15 - ).

44
3. Nach diesen Grundsätzen besteht für die Videosequenzen, die mit der sog. Kassenkamera aufgezeichnet worden sind, ein Beweisverwertungsverbot (Screenshot BB 3 und BB 5, Bl. 266, 268 GA). Dies betrifft sämtliche Behauptungen des Beklagten zu den sechs Tagen mit Ausnahme der Behauptung der Geldentwendung im Büroraum am 23.01.2016, welche nach den Angaben des Beklagten mit der sog. Bürokamera aufgezeichnet worden ist (Screenshot BB 6, Bl. 269 GA / dazu unter 4.).

45
a) Bei den Aufnahmen der sog. Kassenkamera handelt es sich um eine offene Videoüberwachung des Ladenlokals als eines öffentlich zugänglichen Raums zur Wahrnehmung des Hausrechts („zur Aufklärung Straftaten Dritter, z. B. von Diebstählen, Überfällen, nächtlichen Einbrüchen oder Trickbetrügereien“).

46
aa) Die grundsätzliche Zulässigkeit solcher Beobachtungen ist in § 6 b Abs. 1 Nr. 2, Nr. 3 BDSG geregelt. § 6 b Abs. 2 BDSG legt fest, dass der Umstand der Beobachtung und die verantwortliche Stelle durch geeignete Maßnahmen erkennbar zu machen sind. Die Verarbeitung oder Nutzung der nach § 6 b Abs. 1 BDSG erhobenen Daten ist gemäß § 6 b Abs. 3 BDSG zulässig, wenn sie zum Erreichen des verfolgten Zwecks erforderlich ist und keine Anhaltspunkte bestehen, dass schutzwürdige Interessen der Betroffenen überwiegen. Für einen anderen Zweck dürfen sie nur verarbeitet oder genutzt werden, soweit dies zur Abwehr von Gefahren für die staatliche und öffentliche Sicherheit sowie zur Verfolgung von Straftaten erforderlich ist. Nach § 6 b Abs. 5 BDSG sind die nach § 6 b Abs. 1 BDSG erhobenen Daten unverzüglich zu löschen, wenn sie zur Erreichung des Zwecks nicht mehr erforderlich sind oder schutzwürdige Interessen der Betroffenen einer weiteren Speicherung entgegenstehen. Diese Vorschrift dient der Durchsetzung des Gebots der sparsamen Datenhaltung (NK-GA-Gola/Schulz, 1. Aufl. 2016, § 6 b BDSG Rn. 10). Bei der Vorgabe der unverzüglichen Löschung ist von einer Frist von ein bis zwei oder zumindest nur wenigen Arbeitstagen nach Wegfall der Erforderlichkeit auszugehen (Simitis-Scholz, BDSG, 8.Aufl. 2014, § 6 b BDSG Rn. 140, 141, 144 [„für kleine überschaubare Läden … Löschung noch am selben Abend“]; Däubler u.a.- Wedde, BDSG 5. Aufl. 2016, § 6 b BDSG Rn. 60).

47
bb) Die von dem Beklagten ab dem 15.02.2016 begonnene Auswertung des mit der Kassenkamera im Dreimonatszeitraum November 2015 bis Januar 2016 aufgezeichneten Arbeitsverhaltens der Klägerin im Kassenbereich verstößt gegen § 6 b Abs. 5 BDSG. Die Vorhaltung der Videoaufzeichnungen zum Kassierverhalten der Klägerin im Dreimonatszeitraum November 2015 bis Januar 2016 noch am 15.02.2016 verstößt gegen die Pflicht zur unverzüglichen Löschung. Der Beklagte wäre verpflichtet gewesen, die letzten Aufzeichnungen aus Januar 2016 in den ersten Tagen des Februar 2016, auf jeden Fall deutlich vor dem 15.02.2016 zu löschen. Die weiter zurückliegenden Aufzeichnungen hätten bereits zu entsprechend früheren Zeitpunkten gelöscht sein müssen. Aus diesem datenschutzrechtlichen Verstoß des Beklagten resultiert nach Abwägung der wechselseitigen Interessen ein Beweisverwertungsverbot. Zu berücksichtigen ist, dass der Beklagte ein Interesse hat, Schadensersatzforderungen für rechtswidriges Verhalten realisieren zu können, welches in seinem Ladenlokal zu seinem Nachteil geschieht. Diesem Interesse hat der Gesetzgeber mit den Regeln in § 6 b BDSG einerseits Rechnung getragen, zugleich hat er dort dem Interesse aber auch aus Gründen des Datenschutzes der überwachten Personen Grenzen gesetzt, der Gesetzgeber erwartet von der verantwortlichen Stelle eine alsbaldige Prüfung des Videomaterials zur Bedarfsklärung (Simitis-Scholz, BDSG, 8. Auf. 2014, § 6 b BDSG Rn. 140). Auf der Seite der Klägerin ist zu berücksichtigen, dass das Vorgehen des Beklagten sie in gravierender Weise in ihrem Recht auf informationelle Selbstbestimmung beschränkt. Die Kassenkamera hat jeden einzelnen Kassiervorgang der Klägerin aufgenommen. Durch die nicht durchgeführten Löschungen verfügte der Beklagte am 15.02.2016 über eine lückenlose Dokumentation jeglichen Kassenverhaltens der Klägerin während etlicher Arbeitswochen weit rückwirkend in den Dreimonatszeitraum November 2015 bis Januar 2016 hinein. Intensiviert ist die Beeinträchtigung dadurch, dass auch das Verhalten der Klägerin an anderen Stellen des Ladenlokals – durch zwei weitere unterschiedliche Kameraeinstelllungen in das Ladenlokal hinein - und außerdem noch ihr Verhalten bei Aufenthalten im nicht öffentlich zugänglichen Büroraum und insbesondere auch an dem dort befindlichen Sitzplatz (Screenshot BB 2, BB 6, Bl. 265, 269 GA) durchgängig aufgezeichnet worden ist. Eine Videobeobachtung des Arbeitnehmers in seinem Arbeitsbereich während der gesamten Dauer seiner Arbeitszeit stellt einen intensiven Eingriff in das Persönlichkeitsrecht dar (BAG 20.10.2016 – 2 AZR 395/15 – Rn. 30; Eylert, Kündigung nach heimlicher Arbeitnehmerüberwachung, NZA-Beilage 2015, 100, 104). Hier tritt hinzu, dass die lückenlose Dokumentation des Arbeitsverhaltens von dem Beklagten weit über eine Wochen- und sogar weit über eine Monatsspanne hinaus gespeichert gehalten worden ist. Angesichts dessen überwiegen die Interessen der Klägerin gegen eine Verwertung der Videoaufzeichnungen zur Beweisführung. Es besteht ein Beweisverwertungsverbot. Dem Antrag des Beklagten, die Videosequenzen zum Zwecke des Beweises in der mündlichen Verhandlung auszuwerten, war nicht zu entsprechen. Das Beweisverwertungsverbot steht aus den oben ausgeführten Gründen auch einer Vernehmung der Zeugin G entgegen, welche die Videoaufzeichnungen im Betrieb des Beklagten ausgewertet hat.

48
b) Ein anderes Ergebnis folgt nicht aus § 32 Abs. 1 Satz 2 BDSG. Nach dieser Bestimmung kann der Arbeitgeber zur Aufdeckung von Straftaten personenbezogene Daten eines Beschäftigten – ggf. auch heimlich – erheben, wenn dies zur Aufdeckung von Straftaten dient und die Datenerhebung nicht unverhältnismäßig ist. Es ist anerkannt, dass diese Vorschrift auch bei Überwachungen in öffentlich zugänglichen Räumen zur Rechtfertigung von – auch heimlichen - Videoüberwachungen herangezogen werden kann (BAG 22.09.2016 – 2 AZR 848/15 -; ErfK-Franzen, 17. Aufl. 2017, § 6 b BDSG Rn. 2). Ein Vorgehen nach § 32 Abs. 1 Satz 2 BDSG setzt voraus, dass der Arbeitgeber Straftaten aufdecken möchte. Voraussetzung für eine Erhebung nach § 32 Abs. 1 Satz 2 BDSG ist darüber hinaus, dass tatsächliche Anhaltspunkte für begangene Straftaten existieren. Der konkrete Tatverdacht muss aktenkundig gemacht werden, d.h. es müssen Schaden, Verdächtigenkreis und die Indizien, warum gerade die überwachte Person oder eine abgrenzbare überwachte Personengruppe verdächtig ist, schriftlich oder elektronisch dokumentiert werden. Allein das Vorliegen eines konkreten Tatverdachts genügt jedoch nicht, um eine flächendeckende Überwachung durchzuführen (ErfK-Franzen, 17. Aufl. 2017, § 6 b BDSG Rn. 31, 32). Vor Durchführung einer Überwachung nach § 32 Abs. 1 Satz 2 BDSG müssen außerdem weniger einschneidende Mittel zur Aufklärung ausgeschöpft sein (BAG 20.10.2016 – 2 AZR 395/15 -). Diese Voraussetzungen waren hier im Zeitpunkt der Überwachungsmaßnahmen in den drei Monaten November 2015 bis Januar 2016 nicht erfüllt. Erst im Nachhinein ist bei dem Beklagten ein Verdacht entstanden, nämlich nachdem er rückwirkend den Dreimonatszeitraum November 2015 bis Januar 2016 betriebswirtschaftlich ausgewertet hatte. Darin unterscheidet sich der hier gegebene Sachverhalt von dem des Urteils des Bundesarbeitsgerichts vom 20.10.2016 (2 AZR 395/15). Dort waren Inventurdifferenzen vor der Einrichtung der Videoüberwachung festgestellt worden. Die zum Beweis angebotenen Videokonsequenzen sind nicht durch die Regelung des § 32 Abs. 1 Satz 2 BDSG gerechtfertigt.

49
c) Die fraglichen Videoaufzeichnungen kann der Beklagte nicht nach § 32 Abs. 1 Satz 1 BDSG rechtfertigen. Danach ist eine Erhebung personenbezogener Daten für Zwecke des Beschäftigtenverhältnisses zulässig, wenn dies für die Entscheidung über die Begründung eines Beschäftigungsverhältnisses oder nach Begründung für dessen Durchführung oder Beendigung erforderlich ist. Insoweit ist anerkannt, dass § 32 Abs. 1 Satz 1 BDSG eine permanente Überwachung des Arbeitsverhaltens des Arbeitnehmers wegen des zu beachtenden Verhältnismäßigkeitsgebotes nicht zulässt (ErfK-Franzen, 17. Aufl. 2017, § 6 b BDSG Rn. 18).

50
d) Schließlich kann sich der Beklagte zur Rechtfertigung seines Vorgehens nicht auf die Rechtsprechung des Bundesarbeitsgerichts zur Verwertbarkeit sog. Zufallsfunde stützen. Für eine Videoüberwachung zur Aufdeckung von Straftaten gemäß § 32 Abs. 1 Satz 2 BDSG ist ein durch konkrete Tatsachen belegter „einfacher“ Verdacht ausreichend, der über vage Anhaltspunkte und bloße Mutmaßungen hinausreichen muss; ein „dringender“ Tatverdacht im Sinne eines hohen Grades an Wahrscheinlichkeit für die Begehung von Straftaten ist nach dem Gesetzeswortlaut nicht erforderlich (BAG 20.10.2016 – 2 AZR 395/15 -). Fällt bei einer zulässigen Videoüberwachung nach § 32 Abs. 1 Satz 2 BDSG gegen andere Verdächtige ein sog. Zufallsfund an, indem eine bislang nicht verdächtigte Person mit strafbarem Verhalten auffällt, so kann die Verwertung des Zufallsfundes nach § 32 Abs. 1 Satz 1 BDSG zulässig sein, auch wenn die Videoüberwachung im Hinblick auf die jetzt betroffene Person bislang anlasslos war (BAG 22.09.2016 – 2 AZR 848/15 - ). Hier ist die Klägerin jedoch nicht im Rahmen einer zulässigen Überwachung „zufällig“ aufgefallen sondern erst und nur im Rahmen einer gegen § 6 b Abs. 5 BDSG verstoßenden und nicht nach § 32 Abs. 1 Satz 1 oder Satz 2 gerechtfertigten Auswertung von Videoaufzeichnungen in einem öffentlich zugänglichen Ladenlokal (s.o.).

51
4. Ein Beweisverwertungsverbot besteht auch, soweit der Beklagte die Wegnahme von 200,00 € durch die Klägerin im Büroraum am 23.01.2016 mit Videosequenzen der sogenannten Bürokamera beweisen will (Screenshot BB2, BB 6, Bl. 265, 269 GA).

52
Der Büroraum mit dem dort befindlichen Tresor ist kein öffentlich zugänglicher Raum im Sinne des § 6 b BDSG. Eine Videoüberwachung dieses Raums nach den Regeln des § 6 b BDSG kommt nicht in Betracht (vgl. Weth / Herberger / Wächter - Byers, Daten- und Persönlichkeitsschutz im Arbeitsverhältnis, 2014, B VI Rn. 46 = S. 354, 355). Die Zulässigkeit der Videoüberwachung an einem nicht öffentlich zugänglichen Arbeitsplatz richtet sich zuvörderst nach § 32 Abs. 1 Satz 1 und Satz 2 BDSG (Weth / Herberger / Wächter - Byers, aaO, B VI Rn. 47, 48 = S. 355; Grimm, Überwachung im Arbeitsverhältnis, jM 2016, 17, 25). Die Zulässigkeitsvoraussetzungen gemäß § 32 Abs. 1 Satz 2 BDSG und nach § 32 Abs. 1 Satz 1 BDSG für eine Überwachung des Büroraums sind aus den oben unter 3. ausgeführten Gründen nicht erfüllt; im Zeitpunkt der Videoaufzeichnung bestand kein konkreter Verdacht für eine - durch die Überwachung aufzudeckende – Straftat (§ 32 Abs. 1 Satz 2 BDSG), eine durchgängige Überwachung der Klägerin bei ihren Aufenthalten im Büroraum gemäß § 32 Abs. 1 Satz 1 BDSG stellt sich – ohne Vorliegen eines konkreten Verdachts - als unverhältnismäßig dar (anlasslose Überwachung). Ein Rückgriff auf die Regeln zur Datenerhebung und –speicherung für eigene Geschäftszwecke gemäß § 28 Abs. 1 Nr. 2 BDSG, wie er auch bei einer Videoüberwachung an Arbeitsplätzen zur Verhinderung von Straftaten betriebsfremder Dritter für zulässig gehalten wird (Weth / Herberger / Wächter - Byers, aaO, B VI Rn. 47, 48 = S. 355), führt zu keinem anderen Ergebnis. Auch eine solche Überwachung ist nur im Rahmen der Erforderlichkeit zulässig. Auch hier ist von der überwachenden Stelle eine zügige Auswertung und alsbaldige Löschung zu fordern (ErfK-Franzen, 17. Aufl. 2017, § 32 BDSG Rn. 18: Löschung „innerhalb kürzester Zeit“; ArbG Frankfurt 27.01.2016 – 6 Ca 4195/15 – LAGE § 32 BDSG 2003 Nr. 1 Rn.55 „unverhältnismäßige Datenflut“; NK-GA-Gola/Schulz, 1. Aufl. 2016, § 32 BDSG Rn. 113 für § 32 Abs. 1 BDSG). Eine rückwirkende Auswertung einer lückenlosen Aufzeichnung nach Ablauf von mehr als zwei Wochen ist unverhältnismäßig und deshalb unzulässig. Auch hier führt die Interessenabwägung angesichts der Umfänglichkeit der Videoüberwachung am Arbeitsplatz einerseits und der langwährenden Speicherung des reichhaltigen Datenmaterials andererseits zum Beweisverwertungsverbot zum Schutz des Persönlichkeitsrechts der Klägerin."

Den Volltext der Entscheidung finden Sie hier:

LG Berlin: Privatsphären-Voreinstellungen von Facebook zu weitgehend und damit Verstoß gegen deutsches Datenschutzrecht - Werbung mit „Facebook ist und bleibt kostenlos" zulässig

LG Berlin
Urteil vom 16.01.2018
16 O 341/15


Das LG Berlin hat entschieden, dass die Privatsphären-Voreinstellungen von Facebook zu weitgehend sind und somit eine Verstoß gegen deutsches Datenschutzrecht vorliegt. Die Werbung mit der Aussage „Facebook ist und bleibt kostenlos" ist - so das Gericht - hingegen zulässig und keine Irreführung.

Den Volltext der Entscheidung finden Sie hier:

Die Pressemitteilung des vzbv:

"Facebook verstößt gegen deutsches Datenschutzrecht

Voreinstellungen im Privatsphäre-Bereich bedürfen einer informierten Einwilligung der Verbraucher.
Klausel zur Klarnamenpflicht und weitere AGB sind unzulässig. Werbung „Facebook ist und bleibt kostenlos“ ist nicht irreführend.

Facebook verstößt mit seinen Voreinstellungen und Teilen der Nutzungs- und Datenschutzbedingungen gegen geltendes Verbraucherrecht. Das hat das Landgericht Berlin nach einer Klage des Verbraucherzentrale Bundesverbands (vzbv) entschieden. Die Einwilligungen zur Datennutzung, die sich das Unternehmen einholt, sind nach dem Urteil teilweise unwirksam.

„Facebook versteckt datenschutzunfreundliche Voreinstellungen in seinem Privatsphäre-Center, ohne bei der Registrierung ausreichend darüber zu informieren“, sagt Heiko Dünkel, Rechtsreferent beim vzbv. „Das reicht für eine informierte Einwilligung nicht aus.“

Kritische Voreinstellungen schon aktiviert
Nach dem Bundesdatenschutzgesetz dürfen personenbezogene Daten nur mit Zustimmung der Betroffenen erhoben und verwendet werden. Damit diese bewusst entscheiden können, müssen Anbieter klar und verständlich über Art, Umfang und Zweck der Datennutzung informieren.

Diese Anforderungen erfüllte Facebook nicht. So war in der Facebook-App für Mobiltelefone bereits ein Ortungsdienst aktiviert, der Chat-Partnern den eigenen Aufenthaltsort verrät. In den Einstellungen zur Privatsphäre war per Häkchen voreingestellt, dass Suchmaschinen einen Link zur Chronik des Teilnehmers erhalten. Dadurch wird das persönliche Facebook-Profil für jeden schnell und leicht auffindbar. Die Richter entschieden, dass alle fünf vom vzbv monierten Voreinstellungen auf Facebook unwirksam sind. Es sei nicht gewährleistet, dass diese vom Nutzer überhaupt zur Kenntnis genommen werden.

Zu weit reichende Einwilligung zum Nutzen von Daten
Das Landgericht Berlin erklärte außerdem acht Klauseln in den Nutzungsbedingungen für unwirksam. Diese enthielten unter anderem vorformulierte Einwilligungserklärungen, wonach Facebook Namen und Profilbild der Nutzer „für kommerzielle, gesponserte oder verwandte Inhalte“ einsetzen und deren Daten in die USA weiterleiten durfte. Die Richter stellten klar, dass mit solchen vorformulierten Erklärungen keine wirksame Zustimmung zur Datennutzung erteilt werden könne.

Unzulässig ist auch eine Klausel, mit der sich Nutzer verpflichten, auf Facebook nur ihre echten Namen und Daten zu verwenden. „Anbieter von Online-Diensten müssen Nutzern auch eine anonyme Teilnahme, etwa unter Verwendung eines Pseudonyms, ermöglichen“, so Dünkel. „Das schreibt das Telemediengesetz vor.“ Nach Auffassung des Landgerichts war Klarnamenpflicht schon deshalb unzulässig, weil Nutzer damit versteckt der Verwendung dieser Daten zustimmten.

Werbung „Facebook ist kostenlos" ist zulässig
Nicht durchsetzen konnte sich der vzbv gegen die Werbung, Facebook sei kostenlos. Der Werbespruch ist nach Ansicht des Verbands irreführend. „Verbraucher bezahlen die Facebook-Nutzung zwar nicht in Euro, aber mit ihren Daten. Und diese bringen dem Unternehmen viel Geld ein“, so Dünkel. Das Landgericht Berlin hält die Werbung dagegen für zulässig, immaterielle Gegenleistungen seien nicht als Kosten anzusehen. Die Richter lehnten außerdem mehrere Anträge des vzbv gegen Bestimmungen in der Facebook-Datenrichtlinie ab. Die Richtlinie enthalte fast nur Hinweise und Informationen zur Verfahrensweise des Unternehmens und keine vertraglichen Regelungen.

Soweit das Gericht die Klage abgewiesen hat, wird der vzbv Berufung zum Kammergericht einlegen.

Urteil des Landgerichts Berlin vom 16.01.2018, Az. 16 O 341/15 – nicht rechtskräftig"



Anordnung des Hamburger Datenschutzbeauftragten (HmbBfDI) gegen Google wegen Beachtung des Datenschutzes bei der Verarbeitung der Nutzerdaten rechtskräftig

Eine Anordnung des Hamburger Datenschutzbeauftragten (HmbBfDI) gegen Google wegen Beachtung des Datenschutzes bei der Verarbeitung von Nutzerdaten ist nunmehr rechtskräftig.


Die Pressemitteilung des Hamburgischen Beauftragten für Datenschutz und Informationsfreiheit:

Verfahren zu den Privatsphärebestimmungen von Google abgeschlossen – Anordnung des HmbBfDI hat Bestand

Das Klageverfahren der Google LLC vor dem Verwaltungsgericht Hamburg gegen die bereits 2014 durch den Hamburgischen Beauftragten für Datenschutz und Informationsfreiheit (HmbBfDI) erlassene Anordnung auf Beachtung des Datenschutzes bei der Verarbeitung der Nutzerdaten wurde nunmehr durch Gerichtsbeschluss eingestellt. Dadurch konnte ein europaweit koordiniertes Verfahren zu einem für die Betroffenen guten Ausgang gebracht werden.

Aus Anlass der Neuformulierung der Datenschutzerklärung durch Google im Jahr 2012 beauftragte die europäische Art.-29-Datenschutzgruppe eine Task-Force unter Leitung der Französischen Datenschutzaufsichtsbehörde CNIL. Diese hatte die Aufgabe, die Rechtmäßigkeit der Datenverarbeitung durch das Unternehmen zu untersuchen und die datenschutzrechtlichen Anforderungen nach Maßgabe der jeweiligen nationalen Gesetze durchzusetzen. An dieser Task-Force war neben den Aufsichtsbehörden Großbritanniens, Italiens, der Niederlande und Spaniens auch der HmbBfDI beteiligt, da Google seinen deutschen Sitz in Hamburg hat. Der HmbBfDI sah in der Bildung von umfassenden Nutzerprofilen durch das Unternehmen mittels der aus den verschiedenen Diensten gesammelten Informationen einen massiven und tiefgreifenden Eingriff in die Interessen und schutzwürdigen Rechte der Betroffenen. Auch die Art.-29-Datenschutzgruppe kam zu dem Ergebnis, dass neben unzureichender Transparenz über Art und Umfang der Datenverarbeitung Google keine hinreichende Rechtsgrundlage für die Zusammenführung der Daten nachweisen konnte. Daraufhin erließ der HmbBfDI eine entsprechende Anordnung mit der Verpflichtung des Unternehmens, die notwendigen Maßnahmen zur Stärkung des Datenschutzes zu ergreifen. Hierzu zählte insbesondere die Forderung nach einer Einwilligung der Nutzer für die diensteübergreifende Datenverarbeitung durch Google.

Obwohl Google gegen diese Anordnung Rechtsmittel einlegte, hat sich der Konzern zeitgleich in eine Abstimmung mit den beteiligten Aufsichtsbehörden begeben und umfassende Maßnahmen ergriffen, um die erforderliche Rechtsgrundlage zu schaffen und die Transparenz und Kontrolle für die Nutzer zu verbessern. Es ist daher nun konsequent, dass das Klageverfahren gegen die Anordnung für alle Beteiligten nunmehr ressourcenschonend beendet werden konnte. Die Anordnung HmbBfDI ist damit rechtskräftig und muss durch Google beachtet werden. Das Verfahren gegen den HmbBfDI war das letzte, das im nationalen Recht der Task Force Mitglieder noch rechtshängig war. Alle anderen Verfahren hatten bereits zuvor ihren Abschluss gefunden.

Dazu Johannes Caspar, der Hamburgische Beauftragter für Datenschutz und Informationsfreiheit: „Mit dem aus unserer Sicht erfreulichen Abschluss dieses europaweit koordinierten und bis dahin wohl einmaligen Verfahrens haben wir gemeinsam mit den anderen Aufsichtsbehörden ein deutliches Zeichen an Google und vergleichbare Unternehmen gesendet. Es wurden dabei Standards für eine Stärkung der Transparenz und zum Schutz des informationellen Selbstbestimmungsrechts der Nutzer gesetzt, hinter die die Anbieter künftig nicht mehr zurückfallen dürfen. Wer in Europa mit der Verarbeitung personenbezogener Daten Geld verdienen möchte, muss sich an die hier herrschenden Spielregeln halten. Diese Aussage wird insbesondere ab Mai 2018 unter den Regeln der einheitlichen Datenschutzgrundverordnung mit Nachdruck fortgelten. Die europäische Koordination bei der Kontrolle der Einhaltung des Datenschutzes wird künftig nicht mehr die Ausnahme, sondern der Regelfall sein. Gerade mit Blick auf die Einwilligung gilt dann EU-weit ein strikteres Koppelungsverbot, das die Marktmacht globaler Anbieter noch stärker begrenzt.“


KG Berlin: Deutsches Datenschutzrecht für Facebook - unzureichende Einwilligungserklärung zur Weitergabe von Daten an App- und Spiele-Anbieter

KG Berlin
Urteil vom 22.09.2017
5 U 155/14


Das KG Berlin hat entschieden, dass sich Facebook an deutsches Datenschutzrecht zu halten hat und dass die streitgegenständlichen Einwilligungserklärungen zur Weitergabe von Daten an App- und Spiele-Anbieter unzureichend und damit unwirksam sind.

Siehe zur Vorinstanz: LG Berlin: Facebook - Einwilligung im App-Zentrum zur Datenweitergabe an App-Anbieter / Spiele-Anbieter mangels ausreichender Belehrung über Umfang unwirksam

Aus den Entscheidungsgründen:

"Diese Tätigkeit der Facebook Germany GmbH stellt einen hinreichenden Rahmen für die hier streitgegenständlichen Datenverarbeitungsvorgänge dar.

Insoweit müssen die Datenverarbeitungsvorgänge inhaltlich mit dieser Tätigkeit der Niederlassung verbunden sein (vergleiche EuGH Google Spain TZ 55 ff). Der vorliegend streitgegenständliche Internetauftritt der Beklagten ist - wie erörtert - auf Nutzer in Deutschland ausgerichtet und damit in einem besonderen Maß für deutsche Werbekunden sowie an einer Werbung gegenüber deutschen Verbrauchern interessierten Kunden von Bedeutung. Gerade diese Werbekunden soll die Facebook Germany GmbH einwerben und betreuen. Auch die Beklagte unterscheidet nicht Werbekunden (insbesondere auf den Nutzerseiten) und Anbieter von Apps/Anwendungen. Die Beklagte hat nicht gezielt in Abrede gestellt, dass die Facebook Germany GmbH für die Werbung und Betreuung von Anbietern von Anwendungen in Deutschland zuständig ist. Bei kostenpflichtigen Anwendungen kann davon ausgegangen werden, dass die Beklagte an dem Erlös - anteilig oder pauschal - beteiligt ist. Im Ausgangspunkt von Dritten kostenlos angebotene Anwendungen (so wie vorliegend die Spiele) dienen den Spieleranbietern in aller Regel entweder als eigene Werbeplattform für Werbungen anderer Unternehmen oder der kostenlose Teil der Anwendungen ist Werbung für entgeltliche Zusatzleistungen der Anwendungsanbieter. Der Kläger hat beispielhaft für die streitgegenständlichen Anwendungen darauf hingewiesen, dass die in Rede stehenden App-Angebote nur im Ausgangspunkt kostenlos sind und sie auch zusätzliche kostenpflichtige Leistungen beinhalten. Dies hat die Beklagte bei den Erörterungen in der mündlichen Verhandlung vor dem Senat nicht in Abrede gestellt, sondern nur etwa angebotene kostenpflichtige Bücher als
unerheblich angesehen.
[...]
Unerheblich ist vorliegend der Umstand, dass die Beklagte hinsichtlich der tatsächlichen Durchführung der Datenverarbeitung einen engeren Bezug zu den Nutzern in Deutschland hat als die Facebook Germany GmbH. Darauf kommt es nicht entscheidend an.

(1) Grundlage eines Abstellens auf einen solchen engeren Bezug ist die Annahme, die Datenschutzrichtlinie wolle eine Konkurrenz mehrerer nationaler Datenschutzrechte innerhalb der EU vermeiden, so dass allein auf die für die Datenverarbeitung verantwortliche Stelle abzustellen sei (was vorliegend für die Beklagte und damit für irisches Datenschutzrecht sprechen könnte).

(2)
Schon der rechtliche Ausgangspunkt ist nicht überzeugend. Gerade für das Datenschutzrecht fehlt es an einer vollständigen Harmonisierung innerhalb der EU, so dass sogar die Richtlinie über den elektronischen Geschäftsverkehr — wie erörtert - vom Herkunftslandprinzip für den Bereich des Datenschutzes eine Ausnahme bestimmt.

Für ein Gebot, bei mehreren Niederlassungen in der EU nur ein nationales Datenschutzrecht anzuwenden und dabei etwa auf die Niederlassung mit der engsten Verbindung zur streitigen Datenverarbeitung abzustellen, findet sich in der Datenschutzrichtlinie weder nach ihrem Wortlaut noch nach ihrer Ratio und den hierzu getroffenen Erwägungen ein hinreichender Anhalt. Eine Konzentration auf ein nationales Datenschutzrecht kommt nur dann in Betracht, wenn das datenverarbeitende Unternehmen innerhalb der EU seinen Sitz hat und keine (im oben genannten Sinne qualifizierte) Niederlassung in anderen EU-Ländern unterhält. Besteht aber eine solche Niederlassung in einem anderen EU-Land, findet allein Art. 4 Abs. 1 lit. a der Datenschutzrichtlinie Anwendung, der schon nach seinem Wortlaut keinen Anhalt für eine Konzentration auf das Datenschutzrecht eines einzigen EU-Landes enthält. Im Gegenteil: Art. 4 Abs. 1 lit. a Satz 2 der
Datenschutzrichtlinie regelt den Fall einer Mehrzahl von Niederlassungen in verschiedenen Mitgliedstaaten dahin, dass der für die Datenverarbeitung Verantwortliche für "jede dieser Niederlassungen die im jeweils anwendbaren einzelstaatlichen Recht festgelegten Verpflichtungen einhält", also das einschlägige nationale Datenschutzrecht für jedes EU-Land (mithin auch mehrere nationale Datenschutzregelungen) anwendet, in dem er eine Niederlassung unterhält. Danach soll der allein in einem einzigen EU-Land ansässige Unternehmer datenschutzrechtlich privilegiert werden, diese Privilegierung aber dann verlieren, wenn er weitergehend mit einer Niederlassung auch in einem anderen EU-Land tätig wird. Mit der Eröffnung einer solchen Niederlassung sind somit auch umfangreichere Verantwortlichkeiten verbunden.

Auch den genannten Entscheidungen des EuGH (Google Spain, Amazon und Weltimmo) ist kein Anhalt für eine Konzentration auf eine Niederlassung zu entnehmen. Dabei ging es sowohl in der Entscheidungen Weltimmo (TZ 17 und TZ 38) als auch in der Entscheidung Amazon (TZ 29 und TZ 80) um eine Mehrzahl von Niederlassungen in der EU. Insoweit verweist der EuGH zu Recht darauf, dass - wenn der Verantwortliche im Hoheitsgebiet mehrerer Mitgliedstaaten niedergelassen ist - er vor allem zur Vermeidung von Umgehungen höherer Datenschutzniveaus sicherstellen muss, dass jede dieser Niederlassungen die Verpflichtungen einhält, die im jeweiligen einzelstaatlichen Recht vorgesehen sind, dass auf ihre jeweiligen Tätigkeiten anwendbar ist (EuGH, aaO, Google Spain, TZ 48; aaO, Weltimmo, TZ 28)."

Den Volltext der Entscheidung finden Sie hier:

OVG Münster: Fahrerberwertungsportal fahrerbewertung.de datenschutzrechtlich unzulässig soweit private Daten für Öffentlichkeit einsehbar

OVG Münster
Urteil vom 19.10.2017
16 A 770/17


Das OVG Münster hat entschieden, dass das Fahrerberwertungsportal fahrerbewertung.de datenschutzrechtlich unzulässig ist, soweit private Daten für Öffentlichkeit einsehbar sind. Insofern geht das Recht auf informationelle Selbstbestimmung der betroffenen Personen vor.

Die Pressemitteilung des OVG Münster:

Fahrerbewertungsportal muss geändert werden

Das Internetportal "www.fahrerbewertung.de" ist in seiner derzeitigen Ausgestaltung datenschutzrechtlich unzulässig. Dies hat heute das Oberverwaltungsgericht ent­schieden und damit Anordnungen der NRW-Landesbeauftragten für Datenschutz und Informationsfreiheit zur Umgestaltung der Plattform bestätigt.

Die Klägerin betreibt ein Online-Portal, mit dem das Fahrverhalten von Verkehrsteil­nehmern und -teilnehmerinnen unter Angabe des Kfz-Kennzeichens im Wesentlichen anhand eines Ampelschemas (grün = positiv, gelb = neutral, rot = negativ) bewertet werden kann. Die abgegebenen Bewertungen können von jedermann ohne Regist­rierung eingesehen werden. Die Landesbeauftragte für Datenschutz sieht darin einen Verstoß gegen das Bundesdatenschutzgesetz. Sie gab der Klägerin unter anderem auf, die Plattform so umzugestalten, dass nur noch der jeweilige Halter oder die jeweilige Halterin eines Fahrzeugs die dafür abge­gebenen Bewertungen einsehen kann und sich zu diesem Zweck zuvor registrieren muss. Die dagegen erhobene Klage hatte das Verwaltungsgericht abgewiesen. Die Berufung hat das Oberverwaltungsgericht heute zurückgewiesen.

Zur Begründung hat der 16. Senat im Wesentlichen ausgeführt: Das Bundesdatenschutzgesetz sei vorliegend anwendbar, insbesondere handele es sich bei den zu bestimmten Kfz-Kennzeichen abgegebenen Bewertungen um personenbezogene Daten. Im Rahmen der vorzunehmenden Abwägung überwiege das informationelle Selbstbestimmungsrecht der betroffenen Kraftfahrzeughalter und -halterinnen ge­genüber den Interessen der Klägerin sowie der Nutzer und Nutzerinnen des Portals, weil eine vollständig anonyme Bewertung von in der Regel privat motiviertem Verhal­ten für eine unbegrenzte Öffentlichkeit einsehbar sei. Dem stünden keine gewichti­gen Interessen der Klägerin und der Portalnutzer und -nutzerinnen entgegen. Insbe­sondere das Ziel, die Fahrer zur Selbstreflexion anzuhalten, könne auch unter Gel­tung der Anordnungen erreicht werden.

Das Oberverwaltungsgericht hat die Revision gegen das Urteil nicht zugelassen. Da­gegen kann Nichtzulassungsbeschwerde erhoben werden, über die das Bundesver­waltungsgericht entscheidet.

Aktenzeichen: 16 A 770/17 (I. Instanz: VG Köln, 13 K 6093/15)

VG Karlsruhe: Anweisungen nach der EU-Datenschutz-Grundverordnung (EU-DSGVO) durch datenschutzrechtliche Aufsichtsbehörde erst ab In-Kraft-Treten am 25.05.2018

VG Karlsruhe
Urteil vom 6.7.2017
10 K 7698/16


Das VG Karlsruhe hat entschieden, dass Anweisungen nach der nach der EU-Datenschutz-Grundverordnung (EU-DSGVO) erst ab In-Kraft-Treten am 25.05.2018 zulässig sind.

Aus den Entscheidungsgründen:

"1. Für die datenschutzrechtliche Verfügung des Beklagten liegt keine Ermächtigungsgrundlage vor.

a) Die tatbestandlichen Voraussetzungen des als Ermächtigungsgrundlage herangezogenen § 38 Abs. 5 S. 1 BDSG liegen nicht vor. Hiernach kann die Aufsichtsbehörde zur Gewährleistung der Einhaltung des Bundesdatenschutzgesetzes und anderer Vorschriften über den Datenschutz Maßnahmen zur Beseitigung festgestellter Verstöße bei der Erhebung, Verarbeitung oder Nutzung personenbezogener Daten oder technischer oder organisatorischer Mängel anordnen. Die Ausübung der Befugnisse nach § 38 Abs. 5 S. 1 BDSG kommt in Betracht, wenn bei kontrollierten Stellen keine Bereitschaft zur Behebung der von der Aufsichtsbehörde gerügten Mängel oder Rechtsverletzungen festzustellen ist (Petri in Simitis, BDSG, 8. Aufl. 2014, § 38 Rn. 72). Eine aufsichtsbehördliche Maßnahme ist nicht erst dann zulässig, wenn die betreffende Datenverarbeitung ins Werk gesetzt ist. Insbesondere bei besonders sensiblen und sogar strafrechtlich geschützten Daten kann die Aufsichtsbehörde Anordnungen bereits treffen, wenn die unzulässige Datenverarbeitung durch ein Vertragswerk schon deutlich vorgezeichnet ist und dieses Vertragswerk in Kraft getreten ist (vgl. OVG Schleswig-Holstein, Beschluss vom 12.01.2011 - 4 MB 56/10 -, juris).

Diese Voraussetzungen sind vorliegend nicht erfüllt. Festgestellte Datenschutzverstöße durch die Klägerin, welche seitens der Aufsichtsbehörde gerügt worden wären, liegen der angefochtenen Verfügung unstreitig nicht zugrunde. Gleiches gilt für technische oder organisatorische Mängel. Ausweislich der Verfügungsbegründung sollen keine gegenwärtigen Datenschutzverstöße der Klägerin unterbunden, sondern vielmehr Missstände verhindert werden, die nach dem 24.05.2018 zu erwarten seien. Soweit der Landesbeauftragte für den Datenschutz Baden-Württemberg insoweit die aus der Rechtsprechung des Oberverwaltungsgerichts Schleswig-Holstein abgeleiteten Grundsätze für anwendbar hält, wonach bei Vorliegen besonderer Umstände auch künftig zu erwartende Datenschutzverstöße bereits ein Tätigwerden der Aufsichtsbehörde zuließen, vermag die erkennenden Kammer dem nicht zu folgen. Denn anders als in der der herangezogenen Entscheidung zugrundliegenden Konstellation ist das künftige Verhalten der Klägerin nicht durch ein bereits in Kraft getretenes Vertragswerk oder eine vergleichbare tragfähige Grundlage deutlich vorgezeichnet. Es ist vielmehr noch völlig ungewiss, wie die Prüf- und Löschpraxis der Klägerin bezüglich forderungsbezogener Daten künftig unter Geltung der EU-Datenschutzgrundverordnung aussehen wird und ob diese rechtswidrig sein wird, zumal auch der genaue rechtliche Rahmen hierfür noch unklar ist.

Die derzeit geltende Regelung des § 35 Abs. 2 S. 2 Nr. 4 BDSG, wonach personenbezogene Daten zu löschen sind, wenn sie geschäftsmäßig zum Zweck der Übermittlung verarbeitet werden und eine Prüfung jeweils am Ende des vierten, soweit es sich um Daten über erledigte Sachverhalte handelt und der Betroffene der Löschung nicht widerspricht am Ende des dritten Kalenderjahres beginnend mit dem Kalenderjahr, das der erstmaligen Speicherung folgt, ergibt, dass eine längerwährende Speicherung nicht erforderlich ist, wird mit Neufassung des Bundesdatenschutzgesetz durch das Datenschutz-Anpassungs- und Umsetzungsgesetz EU vom 30.06.2017 (BGBl. I, S. 2097 ff.) nicht fortbestehen. Die Datenschutzgrundverordnung enthält über den Erforderlichkeitsgrundsatz (vgl. Art. 5 Abs. 1 Buchst. e EU-DSGVO) hinaus keine konkreten Vorgaben zu den Prüf- und Löschfristen. Ihr ist lediglich – unter anderem in Erwägungsgrund 39 – zu entnehmen, dass der Verantwortliche die Dauer seiner Datenverarbeitung unabhängig von einem entsprechenden Verlangen des Betroffenen nach Art. 17 EU-DSGVO („Recht auf Vergessenwerden“) regelmäßig zu überprüfen hat. Hierbei kann auf typisierte Regelprüffristen für wiederkehrende Vorgänge zurückgegriffen werden, da es gerade Unternehmen, die in großem Umfang Daten verarbeiten – wie etwa Auskunfteien – nicht zuzumuten ist, jeden Einzelfall gesondert zu bewerten (vgl. Plath in: Plath, BDSG/DSGVO, 2. Aufl. 2016, Art. 5 EU-DSGVO Rn. 18). Eine Überprüfung kann in bestimmten Intervallen erfolgen, so wie es beispielsweise bislang nach § 35 Abs. 2 S. 2 Nr. 4 BDSG möglich und zulässig war (vgl. Kamlah in: Plath, a.a.O., Art. 17 EU-DSGVO Rn. 6).

Einen Vorschlag bezüglich der Prüf- und Löschfristen unter Geltung der EU-Datenschutzgrundverordnung enthält der vom Verband der Wirtschaftsauskunfteien, dem auch die Klägerin angehört, ausgearbeitete Entwurf von Verhaltensregeln („Code of Conduct“). Nach Art. 40 Abs. 2 EU-DSGVO können Verbände oder andere Vereinigungen, die Kategorien von Verantwortlichen oder Auftragsverarbeitern vertreten, Verhaltensregeln ausarbeiten oder ändern oder erweitern, mit denen die Anwendung der Verordnung präzisiert wird. Auf Antrag nimmt die zuständige Aufsichtsbehörde in einem zweistufigen Verfahren dazu Stellung, ob die vorgelegten Verhaltensregeln mit der Verordnung vereinbar sind und genehmigt diese, soweit sie „ausreichende geeignete Garantien“ bieten (vgl. Art. 40 Abs. 5 S. 2 EU-DSGVO). Ein entsprechender Antrag bei der hier zuständigen Aufsichtsbehörde des Landes Nordrhein-Westfalen ist – wie die Prozessbevollmächtigten der Klägerin in der mündlichen Verhandlung vom 06.07.2017 angegeben haben – formal noch nicht gestellt worden. Aktuell finde noch die Abstimmung und Konsensbildung mit den im Düsseldorfer Kreis vertretenen Aufsichtsbehörden des Bundes und der Länder für den nicht-öffentlichen Bereich statt. Ausweislich des Protokolls der letzten Sitzung des Düsseldorfer Kreises vom 07.03.2017 (abrufbar unter: https://www.ldi.nrw.de/mainmenu_Service/submenu_Entschliessungsarchiv/Inhalt/Protokolle/Inhalt/Protokolle_des_Duesseldorfer_Kreises/Inhalt/7_-Maerz-2017/DK-2017_1-Protokoll.pdf) hat der „Code of Conduct Prüf- und Löschfristen in der Fassung des Entwurfs vom 28.02.2017“ bei einer Probeabstimmung zwar eine mehrheitliche Zustimmung, jedoch nicht die nach der Geschäftsordnung des Düsseldorfer Kreises erforderliche einstimmige Zustimmung erhalten. Mehrheitlich befürworte der Düsseldorfer Kreis, dass Nordrhein-Westfalen als genehmigende Aufsichtsbehörde dem Verband der Wirtschaftsauskunfteien empfehlen solle, den Bundesverband Verbraucherzentralen bei der „weiteren Ausarbeitung des Code of Conduct“ zu beteiligen (vgl. Protokoll der Sitzung vom 07.03.2017, S. 7). Vor dem Hintergrund des nach wie vor laufenden Verfahrens steht weder fest, ob es überhaupt zu einer späteren Genehmigung von Verhaltensregeln zu den Prüf- und Löschfristen kommen wird, noch wie diese letztlich ausgestaltet sein werden. Angesichts dessen kann die weitere Frage der Wirkung und Verbindlichkeit von genehmigten Verhaltensregeln dahingestellt bleiben. Nach dem Voranstehenden fehlt es bereits an einer Grundlage, welche die getroffene Einschätzung tragen könnte, wonach die Klägerin mit ihrer – derzeit im Übrigen noch ungewissen – künftigen Prüf- und Löschpraxis gegen die – ggf. noch zu konkretisierenden – Vorgaben der EU-Datenschutzgrundverordnung verstoßen würde.

Insbesondere kann auch nicht davon ausgegangen werden, dass nur eine Handhabung entsprechend der in der angegriffenen Verfügung vorgesehenen Prüf- und Löschpraxis mit der EU-Datenschutzgrundverordnung vereinbar wäre. Denn die vom Landesbeauftragen für den Datenschutz Baden-Württemberg für angemessen erachtete Frist, wonach Forderungen im Sinne von § 28a BDSG und die mit diesen in Zusammenhang stehenden Informationen über Personen, die die Klägerin in ihren Datenbeständen, aus denen Bonitätsauskünfte erteilt würden, nach dem 24.05.2018 speichere, spätestens nach Ablauf von drei Jahren, beginnend mit dem Zeitpunkt der Fälligkeit der Forderung, zu löschen seien, es sei denn, dass der Betroffene zu diesem Zeitpunkt zahlungsunfähig oder zahlungsunwillig sei, stellt keineswegs die einzig mögliche Speicher- und Löschkonzeption dar, die mit der EU-Datenschutzgrundverordnung in Einklang steht bzw. sich aus selbiger zwingend ergibt. Die künftige Prüf- und Löschpraxis der Auskunfteien muss sich – wie bereits dargestellt wurde – am Erforderlichkeitsmaßstab des Art. 5 Abs. 1 Buchst. e EU-DSGVO messen lassen, der in Hinblick auf Fristlänge und Anknüpfungsmoment einen Spielraum eröffnet. Die erkennende Kammer muss vorliegend nicht darüber entscheiden, wo die Grenzen dieses Spielraums erreicht sind. Sie geht aber – worauf es hier alleine ankommt – jedenfalls davon aus, dass innerhalb des vorhandenen Spielraums eine gewisse Bandbreite an mit der EU-Datenschutzgrundverordnung in Einklang stehenden Prüf- und Löschfristen zulässig ist.

b) Entgegen den Ausführungen der Beklagten ergibt sich eine Ermächtigungsgrundlage für die angegriffene Verfügung auch nicht aus § 38 Abs. 5 S. 1 BDSG i.V.m. Erwägungsgrund 39 der EU-DSGVO. Aus diesem Erwägungsgrund geht unter anderem hervor, dass der Verantwortliche Fristen für die Löschung oder regelmäßige Überprüfung personenbezogener Daten vorsehen sollte, um sicherzustellen, dass die Daten nicht länger als nötig gespeichert werden.

Zunächst kann dahingestellt bleiben, ob aus einem Erwägungsgrund einer zwar in Kraft getretenen, jedoch noch nicht anwendbaren Verordnung in Verbindung mit einer Regelung, die bei Geltung der Verordnung weggefallen sein wird, eine Rechtsgrundlage hergeleitet werden kann. Denn jedenfalls ergibt sich auch aus dem ergänzend herangezogenen Erwägungsgrund nicht, dass die Klägerin bereits vor Geltung der Verordnung verpflichtet wäre, der Verfügung entsprechende Überprüfungs- und Löschfristen zu schaffen und sie hierzu bereits vor Anwendbarkeit der Verordnung durch die Aufsichtsbehörde verpflichtet werden könnte. Eine frühzeitige Anpassung ihrer Datenschutzlöschkonzeption an die EU-Datenschutzgrundverordnung liegt unzweifelhaft im Interesse der Klägerin, da bei Verstößen gegen das europäische Datenschutzrecht erhebliche Sanktionen drohen (vgl. nur Art. 83 Abs. 5 Buchst. a EU-DSGVO zu Verstößen gegen die Grundsätze der Verarbeitung gemäß Art. 5 EU-DSGVO). Eine Ermächtigung für ein Tätigwerden der Aufsichtsbehörde bereits vor Geltung der EU-Datenschutzgrundverordnung – gewissermaßen um frühzeitig sicherzustellen, dass die künftig anwendbaren Vorschriften unter Berücksichtigung der Rechtsauffassung der Aufsichtsbehörde durch die Verantwortlichen eingehalten werden – lässt sich jedoch weder der Verordnung im Wege einer Vorwirkung, noch den aktuell geltenden Bestimmungen des Bundesdatenschutzgesetzes entnehmen.

c) Soweit der Beklagte auf Art. 58 Abs. 2 Buchst. d EU-DSGVO verweist, wonach jede Aufsichtsbehörde über Abhilfebefugnisse verfügt, die es ihr gestatten, den Verantwortlichen oder den Auftragsverarbeiter anzuweisen, Verarbeitungsvorgänge gegebenenfalls auf bestimmte Weise und innerhalb eines bestimmten Zeitraums in Einklang mit der Verordnung zu bringen, kann die am 25.11.2016 erlassene Verfügung bereits deshalb nicht auf diese Ermächtigungsgrundlage gestützt werden, da diese erst ab 25.05.2018 Gültigkeit beanspruchen wird (vgl. Art. 99 Abs. 2 EU-DSGVO)."


Den Volltext der Enstcheidung finden Sie hier:

AG München: Bußgeld wegen Verstoß gegen Bundesdatenschutzgesetz durch Dashcam im PKW

AG München
Urteil vom 09.08.2017
1112 OWi 300 Js 121012/17


Das AG München hat einen Bußgeldbescheid wegen des Verstoßes gegen das Bundesdatenschutzgesetz durch die Verwendung einer Dashcam im PKW bestätigt.

Die Pressemitteilung des AG München:

Das Auto im Fokus - Verstoß gegen das Bundesdatenschutzgesetz

Am 09.08.2017 wurde eine 52-jährige Geschäftsführerin aus München wegen vorsätzlicher unbefugter Erhebung und Verarbeitung und Bereithaltung von personenbezogenen Daten, die nicht allgemein zugänglich sind, vom Amtsgericht München zu einer Geldbuße von 150 Euro verurteilt.

Die Betroffene parkte am 11.08.2016 von circa 13.00 Uhr bis 16.00 Uhr ihren PKW BMW X1 in der Mendelssohnstraße in München. Das Fahrzeug war vorne und hinten mit einer Videokamera ausgestattet. Die Kameras fertigten laufend Videoaufzeichnungen des vor und hinter dem Fahrzeug befindlichen öffentlichen Verkehrsraums. Diese Aufzeichnungen wurden gespeichert. Auf diese Weise wurden mindestens drei andere Fahrzeuge, die sich vor oder hinter dem Straßenraum des geparkten Fahrzeugs befanden, aufgezeichnet. Die Videoaufzeichnungen wurden durch die Betroffene der Polizei übergeben, da ein anderes Fahrzeug ihr geparktes Fahrzeug gestreift und beschädigt hat und sie die Videoaufzeichnungen als Beweismittel vorlegen wollte.

Gegen die Betroffene wurde ein Bußgeldverfahren eingeleitet und ein Bußgeldbescheid erlassen wegen Verstoßes gegen das Bundesdatenschutzgesetz.

Sie legte dagegen Einspruch ein. Sie ist der Meinung, dass durch die Aufnahme von Autokennzeichen keine schützenswerten Daten erhoben und gespeichert worden seien. Es sei ihr nur darauf angekommen, potentielle Täter einer Sachbeschädigung am PKW ermitteln zu können. Die einzelnen Fahrer der entsprechenden vor oder hinter dem PKW parkenden Autos seien nicht erkennbar gewesen.

Der zuständige Richter am Amtsgericht München beurteilte ihr Verhalten als vorsätzliche Ordnungswidrigkeit. „Nach Auffassung des Gerichtes überwiegt hier im vorliegenden Fall das Recht der gefilmten Personen auf informationelle Selbstbestimmung. Das Interesse der Betroffenen an der Aufdeckung von einer potentiellen Straftat muss hierbei zurückstehen. Das permanente anlasslose Filmen des vor und hinter dem geparkten Fahrzeug befindlichen Straßenraums verletzt das Recht auf informationelle Selbstbestimmung und stellt einen schwerwiegenden Eingriff in dieses Recht dar. Es geht nicht an, dass 80 Millionen Bundesbürger mit Kameras herumlaufen, um irgendwelche Situationen aufnehmen zu können, die eine Straftat aufdecken könnten. Eine permanente Überwachung jeglichen öffentlich Raumes durch Privatbürger ist nicht zulässig, da es in das Recht unbeteiligter Personen in schwerwiegender Weise eingreift, selbst bestimmen zu können, wo und wann man sich aufhält, ohne dass unbeteiligte Personen dies dokumentieren und bei Behörden verwenden würden“, so das Urteil.

Das Gesetz sieht eine Geldbuße bis zu 300.000 Euro vor. Bei der Höhe hat das Gericht berücksichtigt, dass die Betroffene nur 1500 Euro netto verdient. „Zu ihren Gunsten konnte gewertet werden, dass offenbar in der Vergangenheit das Fahrzeug schon einmal beschädigt worden ist und die Betroffene subjektiv einen Anlass hatte, die Kameras einzusetzen“.

Urteil des Amtsgerichts München vom 09.08.2017, Aktenzeichen 1112 OWi 300 Js 121012/17

Das Urteil ist nicht rechtskräftig.


OLG Karlsruhe: Schriftform für Zustimmung zur Erhebung, Verarbeitung und Nutzung personenbezogener Daten sofern nicht andere Form angemessen

OLG Karlsruhe
Beschluss vom 28.06.2017
1 Rb 8 Ss 540/16


Das OLG Karlsruhe hat entschieden, dass die Zustimmung zur Erhebung, Verarbeitung und Nutzung personenbezogener Daten nach § 4 Abs. 1 BDSG denicht wegen besondere Umstände eine andere Form angemessen istr Schriftform bedarf, sofern nicht wegen besondere Umstände eine andere Form angemessen ist (§ 4a Abs. 1 Satz 3 BDSG)

Aus den Entscheidungsgründen:

b. Die Erhebung, Verarbeitung und Nutzung personenbezogener Daten war vorliegend auch nicht zulässig, da weder das Bundesdatenschutzgesetz noch eine andere Rechtsvorschrift dies erlaubt oder angeordnet hatte und außerdem auch keine datenschutzrelevante Zustimmung des Betroffenen vorlag (§ 4 Abs.1 BDSG). Dass die vom Zeugen R. im Rahmen der G 25 Untersuchung erteilte schriftliche Zustimmung zur Datenweitergabe an seine Arbeitgeber auch die Erhebung und Verarbeitung der Daten aus dem Drogenscreening erfasst hätte, ist den Urteilsgründen nicht zu entnehmen. Eine solche schriftliche Einwilligung ist jedoch erforderlich, soweit nicht wegen besondere Umstände eine andere Form angemessen ist (§ 4a Abs. 1 Satz 3 BDSG). Hiervon ist jedoch nicht auszugehen, da die Schriftform eine Schutz- und Warnfunktion für den zu einer Einwilligung Aufgeforderten erfüllt (Beck-OK-BDSG/Kühling, 18. Edition vom 1.11.2016, § 4a Rn. 49). Dieser soll nicht übereilt zustimmen, sondern die Chance erhalten, sich seiner Entscheidung bewusst zu werden (Beck-OK-BDSG/Kühling, a.a.O.). Der Ausnahmecharakter der Vorschrift gebietet daher eine restriktive Auslegung (Beck-OK-BDSG/Kühling, a.a.O.). Auch sind besondere und eine andere Form rechtfertigende Umstände, wie etwa eine besondere Eilbedürftigkeit im Interesse des Betroffenen, vorliegend nicht ersichtlich.


Den Volltext der Entscheidung finden Sie hier:

VG Hamburg: Facebook darf personenbezogene Daten von WhatsApp-Nutzern nur bei Vorliegen einer ausreichenden Einwilligungserklärung nach deutschem Recht nutzen

VG Hamburg
Beschluss vom 24.04.2017
13 E 5912/16

Das VG Hamburg hat entschieden, dass Facebook personenbezogene Daten von WhatsApp-Nutzern nur bei Vorliegen einer ausreichenden Einwilligungserklärung nach deutschem Recht nutzen darf.

Den Volltext der Entscheidung finden Sie hier:

Die Pressemitteilung des VG Hamburg:

Verwaltungsgericht Hamburg entscheidet: Facebook darf vorerst personenbezogene Daten deutscher WhatsApp-Nutzer nur bei Vorliegen einer den deutschen Datenschutzvorschriften entsprechenden Einwilligung verwenden

Ende August 2016 hat WhatsApp Inc., die 2014 von der Facebook Unternehmensgruppe übernommen worden ist, eine Aktualisierung seiner Nutzungsbedingungen und Datenschutzrichtlinien bekannt gegeben, durch die eine - bis dahin nach den Nutzungsbedingungen nicht zugelassene - Weitergabe von personenbezogenen Daten an die Facebook Unternehmensgruppe vorgesehen ist. Mit sofort vollziehbarem Bescheid vom 23. September 2016 untersagte der Hamburgische Beauftragte für Datenschutz und Informationssicherheit (Datenschutzbeauftragte) der Facebook Ireland Ltd. (Facebook) - dem internationalen Hauptsitz der Facebook Unternehmensgruppe -, die personenbezogenen Daten deutscher WhatsApp-Nutzer zu erheben und zu speichern, soweit und solange ein den deutschen Datenschutzvorschriften entsprechende Einwilligung nicht vorliege (Ziffer 1). Zugleich ordnete der Datenschutzbeauftragte die Löschung von personenbezogenen Daten an, die ohne die notwendige Einwilligung erhoben worden sind, sowie die Dokumentation der Löschung (Ziffer 2 und 3). Gegen diese Verfügung legte Facebook Widerspruch ein und beantragte einstweiligen Rechtsschutz beim Verwaltungsgericht Hamburg.
AZ: 13 E 5912/16
Das Verwaltungsgericht hat entschieden, dass der Bescheid des Datenschutzbeauftragten der Freien und Hansestadt Hamburg, soweit er die angeordnete Löschung und deren Dokumentation betrifft, aufgrund eines formellen Fehlers nicht sofort vollziehbar sei; insoweit muss der Bescheid nicht befolgt werden.
Hingegen dürfe Facebook personenbezogene Daten von deutschen WhatsApp-Nutzern ohne eine Einwilligung, die den Anforderungen an die deutschen Datenschutzvorschriften entspreche, auch während des laufenden Verfahrens nicht nutzen. Zwar sei offen, ob Facebook mit seinem Widerspruch Erfolg haben werde. Derzeit sei noch nicht hinreichend geklärt, ob deutsches Datenschutzrecht zur Anwendung komme und der Datenschutzbeauftragte gegen die in Irland firmierende Facebook Ltd. vorgehen könne. Sofern das deutsche Datenschutzrecht zur Anwendung komme, wäre die Anordnung des Datenschutzbeauftragten jedoch voraussichtlich rechtmäßig. Denn die von WhatsApp benutzten Zustimmungserklärungen würden den Anforderungen des deutschen Datenschutzrechts nicht genügen.

Im Rahmen der daher vorzunehmenden Interessenabwägung überwiege das Interesse der deutschen WhatsApp-Nutzer. Denn der Schutz der personenbezogenen Daten stelle ein grundrechtlich geschütztes Rechtsgut von hohem Wert dar, in das durch die geplante Weitergabe qualitativ und quantitativ erheblich eingegriffen werde.

Gegen die Entscheidung des Verwaltungsgerichts kann Beschwerde an das Hamburgische Oberverwaltungsgericht eingelegt werden.


VG Köln: Portal zur Bewertung anderer Autofahrer datenschutzwidrig soweit Dritte Daten einsehen können - datenschutzrechtliche Anordnung rechtmäßig

VG Köln
Urteil vom 16.02.2017
13 K 6093/15


Das VG Köln hat entschieden, dass ein Internetportal zur Bewertung anderer Autofahrer datenschutzwidrig ist soweit Dritte und nicht nur der jeweilige Autofahrer die gespeicherten Daten zu seinem KFZ-Kennzeichen einsehen können.

Die Pressemitteilung des VG Köln:

Bewertungsportal für Autofahrer muss angepasst werden

Das Verwaltungsgericht Köln hat mit heute verkündetem Urteil entschieden, dass die gegenüber der Betreiberin eines Fahrer-Bewertungsportals ergangene datenschutzrechtliche Anordnung rechtmäßig ist.

Derzeit können Nutzer dieses Portals das Fahrverhalten anderer Personen unter Angabe eines Kfz-Kennzeichens nach einem Ampelschema (rot = negativ, gelb = neutral, grün = positiv) bewerten. Eine Detail-Bewertung erfolgt durch Auswahl aus vorgegebenen Bewertungen. Die Bewertungsergebnisse zu einzelnen Kfz-Kennzeichen sind in Form einer durchschnittlichen Schulnote für jeden Nutzer einsehbar. Die Klägerin beabsichtigt, mithilfe des Portals Autofahrer dazu anzuhalten, die eigene Fahrweise zu überdenken. Auf diese Weise möchte sie einen Beitrag zu mehr Sicherheit im Straßenverkehr leisten.

Der beklagte Datenschutzbeauftragte für das Land Nordrhein-Westfalen hat der Klägerin aufgegeben, das Portal so zu verändern, dass nur noch nach bestimmten Vorgaben registrierte Kfz-Halter die Bewertungsergebnisse zu ihrem eigenen Kfz-Kennzeichen abrufen können. Damit soll eine Prangerwirkung des Portals verhindert werden.

Die hiergegen erhobene Klage hat die Kammer abgewiesen. Zur Begründung hat sie ausgeführt, dass die auf dem Fahrerbewertungsportal zu einzelnen Kfz-Kennzeichen erhobenen und gespeicherten Daten personenbezogen seien. Die jeweiligen Fahrer bzw. Fahrzeughalter könnten von der Klägerin und auch Portalnutzern mit verhältnismäßigem Aufwand bestimmt werden. Der Datenschutz der bewerteten Fahrer überwiege das Informationsinteresse der Nutzer. Letzteres sei weniger schützenswert als beispielsweise das Interesse einer Person, die sich vor einem Arztbesuch auf einem Ärztebewertungsportal informiere. Bei dem Fahrerbewertungsportal stehe eine Prangerwirkung einzelner Fahrer im Vordergrund. Das von der Klägerin nach ihren Angaben verfolgte Ziel könne auch erreicht werden, wenn Bewertungen – wie von der Anordnung des Landesdatenschutzbeauftragten vorgegeben – lediglich an die Betroffenen selbst übermittelt würden.

Gegen das Urteil kann Berufung eingelegt werden, über die das Oberverwaltungsgericht in Münster entscheidet.


Datenschutz für Unternehmen - Vertretung in datenschutzrechtlichen Aufsichtsverfahren - Wir beraten Unternehmen bundesweit

Das Thema Datenschutz ist immer häufiger Gegenstand von rechtlichen Auseinandersetzungen. Dabei sind zahlreiche Rechtsfragen umstritten und die gesetzlichen Vorgaben wie beispielsweise durch die EU-Datenschutz-Grundverordnung in Bewegung. Die handwerklichen Missgeschicke des Gesetzgebers erschweren dabei zusätzlich für Unternehmen die datenschutzkonforme Umsetzung der rechtlichen Vorgaben.

Auch die Datenschutzbehörden der Länder gehen im Rahmen von datenschutzrechtlichen Aufsichtsverfahren zunehmend gegen Unternehmen vor. Die Themenfelder sind vielfältig. Neben dem Umgang mit personenbezogenen Daten, der Auftragsdatenverarbeitung, der Sicherheit von Websites, Analysetools und Social-Media-Plugins, sind oft auch interne Bereiche von Unternehmen betroffen. So sind etwa der Umgang mit Mitarbeiterdaten, die Videoüberwachung des Betriebsgeländes oder andere Überwachungsmaßnahmen der Mitarbeiter immer Auslöser von datenschutzrechtlichen Aufsichtsverfahren. Dabei drohen Untersagungsverfügungen und Ordnungsgelder.

Erfolgt eine Anhörung durch die zuständige Datenschutzbehörde, so gilt es für Unternehmen Ruhe zu bewahren. Nicht alle Forderungen der Datenschützer sind berechtigt. Dies gilt um so mehr, als je nach Bundesland unterschiedliche Tendenzen auszumachen sind. Jedenfalls empfiehlt es sich bereits im Anhörungsverfahren rechtliche fundiert vorzutragen, um rechtliche Schwierigkeiten zu verhindern oder Argumentationswege zu verbauen. Oft lässt sich eine einvernehmliche Regelung mit der Datenschutzbehörde erzielen.




OLG Köln: Schmerzensgeldanspruch bei datenschutzwidriger Weitergabe von Gesundheitsdaten - Verletzung des Rechts auf informationelle Selbstbestimmung

OLG Köln
Urteil vom 30.09.2016
26 O 251/15


Das OLG Köln hat entschieden, dass bei bei datenschutzwidriger Weitergabe von Gesundheitsdaten, ein Anspruch auf Schmerzensgeld bzw. angemessene Entschädigung wegen Verletzung des Rechts auf informationelle Selbstbestimmung bestehen kann.

Aus den Entscheidungsgründen:

"Das Landgericht hat als Anspruchsgrundlage für einen Schadensersatzanspruch allein § 7 BDSG geprüft, der – worauf die Beklagte hinweist – keinen Anspruch auf Ersatz immaterieller Schäden gewährt (Simitis, Bundesdatenschutzgesetz, 8. Aufl., § 7 Rn. 32). Es kommen daneben aber weitere Anspruchsgrundlagen in Betracht, etwa aus dem bürgerlichrechtlichen Deliktsrecht, wie aus § 823 Abs. 1 BGB, weil das Recht auf informationelle Selbstbestimmung ein sonstiges Recht im Sinne dieser Vorschrift ist, aus § 823 Abs. 2 BGB in Verbindung mit Bestimmungen des Bundesdatenschutzgesetzes und aus § 826 BGB. Vorliegend kommt vor allem ein Anspruch des Klägers aus einer vertraglichen oder vertragsähnlichen Beziehung mit der Beklagten in Betracht. Insoweit – wie auch bei einem Anspruch aus § 823 Abs. 1 BGB oder aus § 826 BGB – ist für die Annahme einer Rechts- bzw. Vertragsverletzung unerheblich, ob die Weitergabe des Urteils durch die Beklagte – was diese anzweifelt – unter das Bundesdatenschutzgesetz fällt.

Der durch eine rechtswidrige und schuldhafte Verletzung seines PersönIichkeitsrechts Betroffene kann Ersatz des immateriellen Schadens beanspruchen, wenn die Umstände eine solche Genugtuung erfordern (BGH, Urt. v. 19.9.1961 – VI ZR 259/60, BGHZ 35, 363). Verletzungen des Allgemeinen Persönlichkeitsrechts können auf Grund seines verfassungsrechtlichen Rangs (Art. 1 Abs. 1 und Art. 2 Abs. 1 GG) und seiner Ähnlichkeit zum Eingriff in den Körper und die Gesundheit ein Schmerzensgeld begründen (BeckOK BGB/Spindler, Stand 1.5.2016, § 253 Rn. 16 mwN.).

[...]

Die Gesundheitsdaten des Klägers, die der Beklagten durch den geschäftlichen Kontakt der Parteien bekannt geworden waren, durfte sie grundsätzlich nicht an Dritte – und damit auch nicht an die U AG, ihre Konzernmutter und Arbeitgeberin des Klägers, – weitergeben.

Bei den Gesundheitsdaten handelt es sich um besonders sensible Daten, die als eine besondere Art personenbezogener Daten im Sinne des § 3 Abs. 9 BDSG gesetzlich besonders geschützt sind. Dass sie vom Gesetz als besonders sensibel eingeordnet werden, ergibt sich u.a. aus § 213 VVG, der die Erhebung von Gesundheitsdaten betrifft. Ihre Weitergabe berührt das Persönlichkeitsrecht auf informationelle Selbstbestimmung in besonderem Maße. Das allgemeine Persönlichkeitsrecht umfasst die Befugnis des Individuums, über die Preisgabe und Verwendung seiner persönlichen Daten – hier seiner Gesundheitsdaten – selbst zu bestimmen. Es entfaltet als objektive Norm seinen Rechtsgehalt auch im Privatrecht und strahlt so auf die Auslegung und Anwendung privatrechtlicher Vorschriften aus. Verkennt ein Gericht, das eine privatrechtliche Streitigkeit entscheidet, in grundsätzlicher Weise den Schutzgehalt des allgemeinen Persönlichkeitsrechts, verletzt es durch sein Urteil das Grundrecht des Bürgers in seiner Funktion als Schutznorm (BVerfG, Beschl. v. 17.7.2013 – 1 BvR 3167/08, NJW 2013, 3086 mwN.)."


Den Volltext der Entscheidung finden Sie hier:

BMI: Entwurf eines Gesetzes zur Anpassung des Datenschutzrechts an die EU-Datenschutzgrundverordnung liegt vor

Es liegt nunmehr der Referentenentwurf des Gesetzes zur Anpassung des Datenschutzrechts an die
Entwurf eines Gesetzes zur Anpassung des Datenschutzrechts an die Verordnung (EU) 2016/679 und zur Umsetzung der Richtlinie (EU) 2016/680 (Datenschutz-Anpassungs- und -Umsetzungsgesetz EU – DSAnpUG-EU)
vor.