Skip to content

Datenschützer verbietet Massendatenabgleich zwischen WhatsApp und Facebook - Hamburgischer Beauftragter für Datenschutz und Informationsfreiheit erlässt Verwaltungsanordnung

Der Hamburgischer Beauftragte für Datenschutz und Informationsfreiheit hat eine Verwaltungsanordnung erlassen und Facebook den Massendatenabgleich zwischen WhatsApp und Facebook untersagt.

Es ist jedoch mehr als fraglich, ob Facebook diese Anordnung beachtet und den geplanten Datenabgleich aussetzt.

Die Pressemitteilung des Hamburgischen Beauftragten für Datenschutz und Informationsfreiheit:

"Anordnung gegen Massendatenabgleich zwischen WhatsApp und Facebook

Der Hamburgische Beauftragte für Datenschutz und Informationsfreiheit hat eine Verwaltungsanordnung erlassen, die es Facebook ab sofort untersagt, Daten von deutschen WhatsApp-Nutzern zu erheben und zu speichern. Facebook wird ferner aufgegeben, bereits durch WhatsApp an das Unternehmen übermittelte Daten zu löschen.

Facebook und WhatsApp sind selbstständige Unternehmen, die die Daten ihrer jeweiligen Nutzer auf Grundlage ihrer eigenen Nutzungs- und Datenschutzbedingungen verarbeiten. Nach dem Erwerb von WhatsApp durch Facebook vor zwei Jahren haben sie öffentlich zugesichert, dass die Daten der Nutzer nicht miteinander ausgetauscht werden. Dass dies nun doch geschieht, ist nicht nur eine Irreführung der Nutzer und der Öffentlichkeit, sondern stellt auch einen Verstoß gegen das nationale Datenschutzrecht dar. Denn ein solcher Austausch ist nur dann zulässig, wenn sowohl auf Seiten des Unternehmens, das Daten liefert (WhatsApp) als auch bei dem empfangenden Unternehmen (Facebook) eine Rechtsgrundlage dafür vorliegt. Facebook hat allerdings weder eine wirksame Einwilligung von den Nutzern von WhatsApp eingeholt, noch ist eine gesetzliche Grundlage für den Datenempfang vorhanden. Dass Facebook die Regelungen des deutschen Datenschutzrechts respektieren muss, ist klar, nachdem im Juli der EuGH in einem Urteil bestätigt hat, dass nationales Datenschutzrecht anwendbar ist, wenn ein Unternehmen im Zusammenhang mit einer nationalen Niederlassung Daten verarbeitet. Dies tut Facebook in Deutschland durch seine Niederlassung in Hamburg, die das deutschsprachige Werbegeschäft betreibt.

Hierzu der Hamburgische Beauftragte für Datenschutz und Informationsfreiheit, Johannes Caspar:

"Die Anordnung schützt die Daten der ca. 35 Millionen WhatsApp-Nutzer in Deutschland. Es muss ihre jeweilige Entscheidung sein, ob sie eine Verbindung ihres Kontos mit Facebook wünschen. Dazu muss Facebook sie vorab um Erlaubnis fragen. Dies ist nicht geschehen.
Dazu kommen noch viele Millionen Personen, deren Kontaktdaten aus den Adressbüchern der Nutzer zu WhatsApp hochgeladen wurden, ohne dass diese etwas mit Facebook oder WhatsApp zu tun haben müssen. Diese gigantische Menge von Daten hat Facebook zwar nach eigenem Bekunden noch nicht erhoben. Die Antwort von Facebook, dass dies lediglich zur Zeit noch nicht erfolgt sei, gibt jedoch Anlass zur Sorge, dass das Ausmaß des Datenverstoßes noch massivere Auswirkungen nach sich ziehen wird."



OVG Hamburg: Klarnamenpflicht bei Facebook bleibt jedenfalls vorerst - Anordnung des Hamburger Datenschutzsbeauftragten darf nicht vollzogen werden

OVG Hamburg
Beschluss vom 29.06.2016
5 Bs 40/16

Das OVG Hamburg hat entschieden, dass die Anordnung des Hamburgischen Beauftragten für Datenschutz und Informationsfreiheit gegen Facebook, wonach die Klarnamenpflicht untersagt und die Nutzung per Pseudonym ermöglicht werden musst, derzeit nicht vollzogen werden darf. Facebook kann daher nach wie vor die Angabe des Klarnamens verlangen.

Den Volltext der Entscheidung finden Sie hier: OVG Hamburg, Beschluss vom 29.06.2016, 5 Bs 40/16

Die Pressemitteilung des Gerichts:

Klarnamenpflicht bei Facebook bleibt vorerst

Das Hamburgische Oberverwaltungsgericht hat die Beschwerde (5 Bs 40/16) des Hamburgischen Beauftragten für Datenschutz und Informationsfreiheit (Datenschutzbeauftragter) gegen einen Beschluss des Verwaltungsgerichts Hamburg vom 3. März 2016 (15 E 4482/15) zurückgewiesen. Damit bleibt es vorerst dabei, dass die Anordnung des Datenschutzbeauftragten zur Nutzung von Facebook unter einem Pseudonym nicht vollzogen werden darf.

Nachdem Facebook ein unter einem Pseudonym geführtes Konto einer Nutzerin gesperrt hatte, hat der Datenschutzbeauftragte die Beschwerde der Facebook-Nutzerin zum Anlass genommen, Facebook zu verpflichten, der Betroffenen die Nutzung ihres Facebook-Kontos unter ihrem Pseudonym zu ermöglichen. Die Verpflichtung ist gegenüber der Facebook Ireland Limited ergangen, die für die Verarbeitung personenbezogener Daten der Facebook Nutzer in Europa zuständig und zugleich der Hauptgeschäftssitz des Facebook-Konzerns außerhalb von Nordamerika ist. Die in Hamburg ansässige Facebook Germany GmbH ist demgegenüber im Bereich der Werbung tätig. Das Verwaltungsgericht hatte auf Antrag von Facebook Ireland in einem Verfahren des vorläufigen Rechtsschutzes entschieden, dass der Bescheid des Datenschutzbeauftragten einstweilen nicht vollzogen werden darf. Die dagegen erhobene Beschwerde des Datenschutzbeauftragten hat das Hamburgische Oberverwaltungsgericht in dem heute veröffentlichten Beschluss zurückgewiesen.

Das Hamburgische Oberverwaltungsgericht hat im Wesentlichen ausgeführt, es sei offen, ob die Verfügung des Datenschutzbeauftragten zu Recht ergangen sei. Dies hänge maßgeblich von der Auslegung der EU-Datenschutzrichtlinie ab. Nach dem gegenwärtigen Stand der Rechtsprechung des Gerichtshofs der Europäischen Union (EuGH) sei nicht geklärt, ob die EU-Datenschutzrichtlinie es erlaube, dass der Datenschutzbeauftragte aufgrund nationaler Regelungen gegen die in Irland ansässige Antragstellerin mit hoheitlichen Mitteln vorgehen dürfe. Denn die Zuständigkeitsverteilung zwischen den nationalen Datenschutzkontrollbehörden und die Eingriffsbefugnis der deutschen Datenschutzkontrollbehörden in Fällen, in denen ein Mutterkonzern (hier: Facebook Inc., USA) im Unionsgebiet mehrere Niederlassungen unterhalte, die aber unterschiedliche Aufgaben hätten, sei nicht geklärt; das Bundesverwaltungsgericht habe hierzu in einem anderen, ebenfalls Facebook betreffenden Verfahren den EuGH im Rahmen eines sog. Vorlageersuchens um Klärung gebeten. Im Rahmen der daher vorzunehmenden Interessenabwägung überwiege das Interesse des Datenschutzbeauftragten und der Nutzerin an einer sofortigen Nutzung des Facebook-Kontos unter einem Pseudonym nicht; dies gelte insbesondere auch wegen der unklaren Eingriffsbefugnis des Hamburgischen Datenschutzbeauftragten gegenüber Facebook Ireland Limited. Az: 5 Bs 40/16



Hamburgischer Datenschutzbeauftragter: Rechtskräftige Bußgelder gegen Unternehmen wegen Unwirksamkeit von Safe Harbor

Der Hamburgische Datenschutzbeauftragte hat nach der Safe Harbor-Entscheidung des EuGH (siehe EuGH: Safe-Harbor-Abkommen zwischen USA und EU ungültig - kein ausreichender Schutz in den USA für personenbezogene Daten vor Zugriff durch Behörden) gegen zahlreiche Unternehmen Bußgelder erlassen. Die Bußgeldbescheide sind teilweise schon rechtskräftig.

Die Pressemitteilung des Hamburgischen Datenschutzbeauftragten:

Unzulässige Datenübermittlungen in die USA - Erste Bußgelder rechtskräftig, weitere Verfahren noch offen

Der EuGH hat die Safe Harbor-Entscheidung im Oktober 2015 aufgehoben und damit einen wesentlichen Pfeiler für eine rechtmäßige Datenübermittlung an US-Unternehmen für unwirksam erklärt. Daraufhin wurden durch den Hamburgischen Datenschutzbeauftragten Prüfungen bei 35 international agierenden Hamburger Unternehmen durchgeführt.

Die Prüfungen haben ergeben, dass die überwiegende Mehrheit der Unternehmen den Datentransfer im Rahmen einer mehrmonatigen Umsetzungsfrist rechtzeitig auf sogenannte Standardvertragsklauseln umgestellt hat. Einige wenige Unternehmen hatten aber auch ein halbes Jahr nach Wegfall der Safe Harbor-Entscheidung keine zulässige Alternative geschaffen. Die Datenübermittlungen dieser Unternehmen in die USA erfolgten damit ohne rechtliche Grundlage und waren rechtswidrig.

Während einige der eingeleiteten Verfahren noch nicht abgeschlossen werden konnten und andere Prüfungen noch laufen, sind mittlerweile drei Bußgeldbescheide wegen der unzulässigen Übermittlung von Mitarbeiter- und Kundendaten in die USA rechtskräftig geworden. Die betroffenen Unternehmen haben nach Einleitung des Bußgeldverfahrens ihre Übermittlungen rechtlich auf Standardvertragsklauseln umgestellt.

Dazu Johannes Caspar, der Hamburgische Beauftragte für Datenschutz und Informationsfreiheit:
„Dass die Unternehmen schließlich doch noch eine rechtliche Grundlage für die Übermittlung geschaffen haben, war bei der Bemessung der Bußgelder positiv zu berücksichtigen. Für künftig festgestellte Verstöße wird sicherlich ein schärferer Maßstab anzulegen sein.

Im weiteren Verlauf bleibt nun abzuwarten, ob die Nachfolgeregelung zu Safe Harbor, der Privacy Shield, den die EU-Kommission Ende Februar vorgelegt hat, ein angemessenes Datenschutzniveau herstellt. Daran waren nicht zuletzt seitens der Art. 29-Datenschutzgruppe, dem gemeinsamen Gremium der Datenschutzbehörden der EU-Mitgliedstaaten und des Europäischen Datenschutzbeauftragten, erhebliche Zweifel geäußert worden. EU-Kommission und US-Regierung sind hier aufgefordert, den Entwurf in wesentlichen Punkten nachzubessern. Vor diesem Hintergrund wird auch über die Zulässigkeit der derzeit nicht beanstandeten alternativen Übermittlungsinstrumente, insbesondere sogenannter Standardvertragsklauseln, zu entscheiden sein."

BfDI veröffentlicht Informationsbroschüre zur EU-Datenschutz-Grundverordnung, die auch den endgültigem Text der EU-DSGVO enthält.

Das Europäische Parlament hat am 14.04.2016 die zukünftige Europäische Datenschutz-Grundverordnung (EU-DSGVO) verabschiedet. Die Bundesbeauftragte für den Datenschutz und die Informationsfreiheit (BfDI) hat nun eine Informationsbroschüre veröffentlicht, die auch den endgültigem Text zur künftigen Europäischen Datenschutz-Grundverordnung enthält.

VG Saarlouis: Zur datenschutzrechtlichen Zulässigkeit der Videoüberwachung in einer Apotheke und zur Möglichkeit der Einwilligung der Angestellten

VG Saarlouis
Urteil vom 29.01.2016
1 K 1122/14


Rechtliche Auseinandersetzungen mit Datenschutzbehörden beim Einsatz von Videoüberwachungsmaßnahmen nehmen zu. Dabei sind längst nicht alle Forderungen der Datenschutzbehörden berechtigt.

Das VG Saarloius hat sich in dieser Entscheidung mit der Zulässigkeit der Videoüberwachung in einer Apotheke und zur Möglichkeit der Einwilligung der Angestellten zur Videoüberwachung von Betriebsräumen befasst.

Aus den Entscheidungsgründen:

"Die streitige Videoüberwachung im Verkaufsraum und am Betäubungsmittelschrank unterfällt den Anforderungen des Bundesdatenschutzgesetzes. Die im Rahmen einer Videoüberwachung erstellten Bilder und Aufnahmen stellen personenbezogene Daten dar. Unerheblich ist insoweit, dass regelmäßig nur ein geringer Prozentsatz der so gewonnenen Aufnahmen zur tatsächlichen Identifizierung von Personen genutzt wird. Ausreichend für die Anwendbarkeit des Gesetzes ist es, dass, wie hier, der Zweck der Videoüberwachung ist, die auf den Aufzeichnungen festgehaltenen Personen zu identifizieren, wenn die verantwortliche Stelle (der Kläger) dies für erforderlich hält. Nach §§ 27 Abs. 1 S. 1 Nr.1, 38 Abs. 5 S. 1 BDSG kann die Beklagte zur Gewährleistung der Einhaltung des Bundesdatenschutzgesetzes und anderer Vorschriften über den Datenschutz Maßnahmen zur Beseitigung festgestellter Verstöße bei der Erhebung, Verarbeitung oder Nutzung personenbezogener Daten oder technischer oder organisatorischer Mängel anordnen.

Die Erhebung, Verarbeitung und Nutzung personenbezogener Daten sind nur zulässig, soweit das Bundesdatenschutzgesetz oder eine andere Rechtsvorschrift dies erlaubt oder anordnet oder der Betroffene eingewilligt hat, § 4 Abs. 1 BDSG.

Hinsichtlich aller Kameras im Verkaufsraum fehlt es an einer Einwilligung der Betroffenen, der Kunden. Vom Vorliegen einer Einwilligungserklärung kann nicht schon dann ausgegangen werden, wenn die betroffenen Personen aufgrund eines Hinweises von der Videoüberwachung Kenntnis haben. Aus der Tatsache, dass der Kläger (mittlerweile) auf die in dem Verkaufsraum stattfindende Videoüberwachung durch Beschilderung an den Eingangstüren zur Apotheke hinweist, kann keine konkludente Einwilligung der Kunden, die dennoch und damit in Kenntnis der Videoüberwachung die Verkaufsräume der Apotheke betreten, abgeleitet werden,

OVG Niedersachsen, Urteil vom 29.09.2014 - 11 LC 114/13 - , juris.

Die Videoüberwachung der Kundeneingänge und des Freiwahlbereichs des Verkaufsraums ist mit § 6 b Abs. 1 BDSG unvereinbar.

Die drei im Verkaufsraum befindlichen Kameras erfassen (nunmehr) ausschließlich Kundeneingänge und den Freiwahlbereich der Apotheke. In diesem werden nicht apothekenpflichtige Waren angeboten, wie sie auch in Drogerien, Reform- oder Sanitätshäusern vorgehalten werden. Bei dem Freiwahlbereich der betroffenen Apotheke handelt es sich um einen öffentlich zugänglichen Raum. Er steht allen Kunden offen. Die Kameras zeichnen diese auf. Sie werden auch beobachtet, weil sie optisch unter Einsatz technischer Einrichtungen für eine gewisse Dauer erfasst werden und insgesamt die Möglichkeit zur anlassbezogenen oder stichprobenartigen Inaugenscheinnahme der Aufzeichnungen geschaffen ist.

§ 6 b Abs. 1 BDSG erklärt die Beobachtung öffentlich zugänglicher Räume mit optisch – elektronischen Einrichtungen (Videoüberwachung) nur für zulässig, soweit sie

(Nr. 1) zur Aufgabenerfüllung öffentlicher Stellen,

(Nr. 2) zur Wahrnehmung des Hausrechts oder

(Nr. 3) zur Wahrnehmung berechtigter Interessen für konkret festgelegte Zwecke

erforderlich ist und keine Anhaltspunkte bestehen, dass schutzwürdige Interessen der Betroffenen überwiegen.

Nach § 6 b Abs. 3 BDSG ist die Verarbeitung oder Nutzung von nach Abs. 1 erhobenen Daten zulässig, wenn sie zum Erreichen des verfolgten Zwecks erforderlich ist und keine Anhaltspunkte bestehen, dass schutzwürdige Interessen der Betroffenen überwiegen.

§ 6 b Abs. 1 BDSG definiert mithin die materiell-rechtlichen Voraussetzungen einer datenschutzrechtlich zulässigen Videoüberwachung öffentlich zugänglicher Räume und regelt sodann mit § 6 b Abs. 3 BDSG die zulässige Verarbeitung oder Nutzung, wobei inhaltlich die Voraussetzungen nach Abs. 1 wiederholt werden,

OVG Niedersachsen, Urteil vom 29.09.2014 - 11 LC 114/13 -, juris.

Die Videoüberwachung im Verkaufsraum dient der Wahrnehmung des Hausrechts nach § 6 b Abs. 1 Nr. 2 BDSG, nicht aber der Wahrnehmung berechtigter Interessen nach § 6 b Abs. 1 Nr. 3 BDSG. Zur Wahrnehmung des Hausrechts ist sie jedoch nicht erforderlich.

Die Videoüberwachung der Kundeneingänge und des Freiwahlbereichs durch die Kameras im Verkaufsraum, ist nicht durch die Wahrnehmung berechtigter Interessen im Sinne des § 6 b Abs. 1 Nr. 3 BDSG gerechtfertigt. Zu diesen berechtigten Interessen gehört zwar grundsätzlich jedes rechtliche, wirtschaftliche und ideelle Interesse, sofern es objektiv begründbar ist und sich nicht nur an den subjektiven Wünschen und Vorstellungen der verantwortlichen Stelle orientiert. Kommt die Videoüberwachung zum Zweck der Gefahrenabwehr zum Einsatz, wird man regelmäßig eine Wahrnehmung berechtigter Interessen annehmen können. Insoweit ist aber eine konkrete oder zumindest abstrakte Gefährdungslage darzulegen. Daran fehlt es im vorliegenden Fall. Hinsichtlich der konkreten Gefährdungslage liegt die erforderliche objektive Begründbarkeit der Gefährdungslage nur dann vor, wenn sie auf konkrete, einzelfallbezogene Tatsachen gestützt werden kann, aus denen sich der zu erwartende Eintritt einer Gefahr ergibt. Der Kläger kann nicht aufzeigen, welche Arzneimittel und ob überhaupt und wenn ja welche nicht apothekenpflichtigen Waren abhandengekommen sind Sein Hinweis auf Entwendungen in der Apotheke, reicht allein nicht aus. Dabei handelt es sich um einen generellen Verdacht, nicht um einen einzelfallbezogenen Vorfall, welcher eine konkrete Gefährdungslage zu begründen vermag. Die erforderliche Darlegung kann durch die Nennung konkreter Vorfälle erfolgen. Die bloße Behauptung oder die allgemeine Vermutung einer Rechtsverletzung - insbesondere hinsichtlich des Warenbestands des Freiwahlbereichs, den die drei Kameras im Verkaufsraum erfassen - reicht nicht aus und schließt mithin eine Videoüberwachung zur konkreten Gefahrenvorsorge aus.

Der Kläger hat auch keine abstrakte Gefährdungslage dargelegt. Eine abstrakte Gefährdungslage ist dann objektiv begründbar, wenn eine Situation gegeben ist, welche nach der allgemeinen Lebenserfahrung typischerweise gefährlich ist. Insoweit werden weitläufige oder schwer einsehbare Geschäftsräume für Vermögensdelikte als potentiell gefährdet eingestuft werden können. Gleiches gilt für Geschäfte, die in Gegenden hoher Kriminalitätsdichte liegen oder besonders wertvolle Ware verkaufen.

Dafür, dass die Apotheke in einem Gebiet liegt, das bekanntermaßen eine hohe Kriminalitätsdichte aufweist, bestehen keine Anhaltspunkte. Auch kann auf Grundlage des eingereichten Grundrissplans und den zur Akte gereichten Fotos nicht von einer erschwerten Überschaubarkeit des Verkaufsraums ausgegangen werden. Die Verkaufstresen sind so angeordnet, dass der gesamte Verkaufsraum überschaubar ist. Daran ändert auch die Tatsache nichts, dass mehrere Eingänge vorhanden sind. In dem Verkaufsraum halten sich während der Öffnungszeiten der Apotheke, in Abgrenzung zu den Notdienstzeiten, regelmäßig mehrere Mitarbeiter auf, denen eine Überwachung möglich ist. Zwar mag die Apotheke auch im gewissen Maße kurzfristig wertvolle Medikamente lagern. Jedoch wird der Freiwahlbereich dadurch nicht zu einem Ort, an dem regelmäßig besonders wertvolle Waren verkauft werden, wie es etwa bei einem Juwelier der Fall ist.

Die Videoüberwachung im Verkaufsraum kann auch nicht auf das berechtigte Interesse der Verfolgung von Straftaten, das von der Gefahrenabwehr unterschieden wird, gestützt werden. Die Wahrnehmung berechtigter Interessen für konkret festgelegte Zwecke im Sinne des § 6 b Abs. 1 Nr. 3 BDSG erfordert mehr als eine allgemeine Zweckbeschreibungen wie „Zur Gefahrenabwehr“ oder „Zur Verfolgung von Straftaten“.

Soweit der Kläger sich darauf beruft, die Videoüberwachung durch die drei im Verkaufsraum befindlichen Kameras diene der Wahrnehmung des Hausrechts nach § 6 b Abs. 1 Nr. 2 BDSG, ist ihre Erforderlichkeit im streitigen Einzelfall nicht ersichtlich.

Die Wahrnehmung des Hausrechts umfasst die Befugnis, darüber entscheiden zu können und zu dürfen, wer bestimmte Gebäude oder befriedetes Besitztum betreten und darin verweilen darf. Der Hausrechtsinhaber ist berechtigt, die zum Schutz des Objekts, der sich darin aufhaltenden Personen sowie zur Abwehr unbefugten Betretens erforderlichen Maßnahmen zu ergreifen. Davon ist umfasst, das Recht Störer zu verweisen und ihnen das Betreten für die Zukunft zu untersagen. Erfolgt eine Videoüberwachung zur Wahrnehmung des Hausrechts, kann diese der Verfolgung präventiver Zwecke dienen, sofern Ziel der Maßnahme ist, Personen von der Begehung von Rechtsverstößen innerhalb des vom Hausrecht geschützten Bereichs abzuhalten. Rechtsverstöße können insoweit auch die Verübung von Diebstählen sein. Zugleich kann das Beobachten aber auch repressiven Zwecken dienen. Das ist der Fall, wenn es um die Aufklärung von Straftaten oder die Durchsetzung zivilrechtlicher Schadenersatzansprüche geht,

OVG Niedersachsen, Urteil vom 29.09.2014 - 11 LC 114/13 -, juris.

Das Hausrecht steht dem unmittelbaren Besitzer zu. Auf ein solches Hausrecht kann sich der Kläger als Inhaber der Apotheke grundsätzlich berufen. Er hat ein Interesse daran, die in der Apotheke befindlichen Arzneimittel und die Waren des Freiwahlbereichs zu schützen sowie Personen, die die Apotheke zu unberechtigten Zwecken betreten, aus dieser zu verweisen. Zwar steht noch nicht zweifelsfrei fest, dass der Fehlbestand auf Diebstähle zurückzuführen ist, ebenso wenig wie die Tatsache, dass der oder die Täter aus dem Kreis der Kunden der Apotheke kommen. Allerdings ist eine dahingehende Ermittlung gerade Zweck des Einsatzes der Kameras. Sie sollen im Hinblick auf ihre repressive Wirkung helfen, etwaige Diebstähle aufzuklären und die Täter zu überführen.

Die Videoüberwachung der Eingänge und des Freiwahlbereichs des Verkaufsraums ist jedoch nicht erforderlich zur Wahrnehmung des Hausrechts durch den Kläger. Die Erforderlichkeit im Sinne des § 6 b Abs. 1 BDSG liegt dann vor, wenn das festgelegte Ziel mit der Überwachung tatsächlich erreicht werden kann und es dafür kein anderes, gleich wirksames, aber hinsichtlich der informationellen Selbstbestimmung der betroffenen Personen weniger einschneidendes Mittel gibt. Die dahingehende Bewertung hat ausgehend von einer objektiven Betrachtungsweise im Rahmen einer Einzelfallprüfung zu erfolgen,

OVG Niedersachsen, Urteil vom 29.09.2014 - 11 LC 114/13 -, juris.

Die Videoüberwachung ist zur Abschreckung von Straftätern allgemein geeignet. Die offene Überwachung ermöglicht es abschreckend auf potentielle Störer einzuwirken. Unberücksichtigt muss auch dabei bleiben, dass es bislang noch zu keiner Täterüberführung gekommen ist. Eine Maßnahme ist nicht nur dann zu einem bestimmten Zweck geeignet, wenn dieser mit Hilfe der Maßnahme vollständig erreicht werden kann, sondern schon dann, wenn die Maßnahme geeignet ist, den Zweck zu fördern. Es muss sich nicht um eine optimale Maßnahme zur Zweckerreichung handeln,

OVG Niedersachsen, Urteil vom 29.09.2014 - 11 LC 114/13 -, juris.

Der Kläger hat aber im konkreten Fall keine Tatsachen dargelegt, die es nachvollziehbar machten, dass das festgelegte Ziel mit der Überwachung tatsächlich erreicht werden kann. Er bezweckt die Reduzierung des Fehlbestandes. Er hat es aber unterlassen, den von ihm lediglich in der Summe z. B. mit 44.000,-- EUR vorgetragenen Fehlbestand dezidiert zu erläutern und aufzuschlüsseln. Auch zum Zeitpunkt der mündlichen Verhandlung ist nicht nachvollziehbar, ob und wenn ja in welcher Höhe überhaupt ein Fehlbestand im mit den drei Kameras im Verkaufsraum überwachten Freiwahlbereich, in dem nicht apothekenpflichtige Waren angeboten werden, aufgetreten ist. Entsprechendes gilt für die Arzneimittel, die apothekenpflichtig aber nicht verschreibungspflichtig sind, im Bereich der Sichtwahl des Verkaufsraums, auf die ein Kunde gegebenenfalls Zugriff hätte, während das Personal das rückwärtige Lager aufsucht. Zudem wird dieser Bereich nicht von den Kameras abgebildet. Ist damit nicht ersichtlich, ob überhaupt einem Fehlbestand im Verkaufsraum entgegengewirkt wird, kann die Erforderlichkeit der Videoüberwachung zur Wahrnehmung des Hausrechts nicht bejaht werden.

Auf die die Erforderlichkeit voraussetzende, im Rahmen einer am Verhältnismäßigkeitsgrundsatz orientierte und umfassende Abwägung zwischen der durch die Zwecke der Videoüberwachung bestimmten grundrechtlich geschützten Position des Verwenders der Videotechnik und dem Recht auf informationelle Selbstbestimmung der Beobachteten zur Beantwortung der Frage, ob der Zulässigkeit der Videoüberwachung des Verkaufsraums überwiegende Interessen der Betroffenen - hier der Kunden - entgegenstehen, kommt es danach nicht mehr an.

Das danach im Ermessen der Beklagten stehende Einschreiten gegen den rechtswidrigen Zustand im Verkaufsraum ist nicht zu beanstanden. Soweit der Kläger sich darauf beruft, die Beklagte schreite willkürlich nur gegen ihn ein und verschone andere Apotheken, kann dem nicht gefolgt werden. Die Beklagte hat zu den vom Kläger bezeichneten Objekten erklärt, ihre Überprüfung habe ergeben, dass kein Verstoß gegen datenschutzrechtliche Bestimmungen vorliege. Daran zu zweifeln besteht kein Anlass. In diesem Zusammenhang lässt der Kläger unberücksichtigt, dass sich allein durch das Vorhandensein einer Videokamera nicht deren Betrieb belegen lässt, gegenüber dem allein die Beklagte zum Einschreiten befugt ist.

Die offene Videoüberwachung an dem Betäubungsmittelschrank ist hingegen datenschutzrechtlich zulässig, weil die Beschäftigten eingewilligt haben.

Sie ist nicht an § 6 b BDSG zu messen. Diese Vorschrift findet dann keine Anwendung, wenn es um die Videoüberwachung von Arbeitsplätzen geht, die sich in nicht öffentlich zugänglichen Bereichen befinden. Um so einen Bereich handelt es sich bei dem Lager der Apotheke, das nur dem Zutritt von Apothekenpersonal offensteht.

Soweit keine Einwilligung vorliegt, beurteilt sich die Zulässigkeit der Videoüberwachung in diesen Bereichen daher nach § 32 BDSG. Im konkreten Fall liegen dessen Voraussetzungen jedoch nicht vor.

Gemäß § 32 Abs. 1 BGSG dürfen personenbezogene Daten eines Beschäftigten für Zwecke des Beschäftigungsverhältnisses erhoben, verarbeitet oder genutzt werden, wenn dies für die Entscheidung über die Begründung eines Beschäftigungsverhältnisses oder nach Begründung des Beschäftigungsverhältnisses für dessen Durchführung oder Beendigung erforderlich ist. Zur Aufdeckung von Straftaten dürfen personenbezogene Daten eines Beschäftigten nur dann erhoben, verarbeitet oder genutzt werden, wenn zu dokumentierende tatsächliche Anhaltspunkte den Verdacht begründen, dass der Betroffene im Beschäftigungsverhältnis eine Straftat begangen hat, die Erhebung, Verarbeitung oder Nutzung zur Aufdeckung erforderlich ist und das schutzwürdige Interesse des Beschäftigten an dem Ausschluss der Erhebung, Verarbeitung oder Nutzung nicht überwiegt, insbesondere Art und Ausmaß im Hinblick auf den Anlass nicht unverhältnismäßig sind.

Zur Aufdeckung von Straftaten erlaubt § 32 Abs. 1 S. 2 BDSG den Einsatz von datenschutzrechtlich relevanten Maßnahmen, wozu auch die Videoüberwachung gehört, nicht allein zu präventiven Zwecken. Immer erforderlich sind tatsächliche Verdachtsmomente. Daran mangelt es im vorliegenden Fall. Der Kläger konnte nicht dartun, warum gerade Anhaltspunkte gegen Mitarbeiter bestehen sollten. Anfänglich hat er die Nutzen der Videokameras vielmehr mit einem grundsätzlichen Verdacht nur gegen Kunden und nicht gegen Betriebsangehörige begründet. Mittlerweile bringt er auch einen Verdacht gegen Mitarbeiter vor. Es fehlen jedoch tatsächliche Anhaltspunkte dafür, dass von dem Fehlbestand bestimmte Medikamente, die in dem Betäubungsmittelschrank aufbewahrt werden, betroffen sind. Des Weiteren ist die Videoüberwachung am Betäubungsmittelschrank auch nicht erforderlich. Das wäre sie nur dann, wenn es kein milderes, gleich geeignetes Mittel zur Erreichung des Zwecks gäbe. Dies ist wiederum einzelfallabhängig. Das Verschließen des Betäubungsmittelschranks und das Führen von Entnahme- und Kontrolllisten ermöglicht effektiv, den Zugriff auf den Betäubungsmittelschrank zu kontrollieren, ist aber im Hinblick auf das Recht auf informationelle Selbstbestimmung der Arbeitnehmer das weniger einschneidende Mittel. Demgegenüber sind kurzzeitige Verzögerungen, auch wenn sie sich auf den Kundenstamm auswirken sollten, hinzunehmen.

Auch wenn die verdachtsunabhängige Ermittlung bzw. präventive Maßnahmen zur Verhinderung von Straftaten § 32 Abs. 1 S. 1 BDSG unterfielen bzw. auf § 28 BDSG - Datenerhebung und -speicherung für eigene Geschäftszwecke - gestützt werden könnten, verlangt das Bundesdatenschutzgesetz stets die Erforderlichkeit der konkreten Maßnahme. Daran mangelt es in jedem Fall, weil ein regelmäßiges Verschließen des Betäubungsmittelschranks und das Führen von Entnahme- und Kontrolllisten das weniger einschneidende und zumutbare Mittel zur Verhinderung von Straftaten ist.

Es liegt jedoch zum maßgeblichen Zeitpunkt der mündlichen Verhandlung,

entsprechend VG Berlin, Urteil vom 24.05.2011 - 1 K 133.10 -, juris,

eine Einwilligung aller Beschäftigten vor.

Die gesetzlichen Anforderungen an eine zulässige Datenverarbeitung im Bundesdatenschutzgesetz konkretisieren und aktualisieren den Schutz des Rechts auf informationelle Selbstbestimmung als Ausprägung des durch Art. 2 Abs. 1 i.V.m. Art. 1 Abs. 1 GG geschützten allgemeinen Persönlichkeitsrechts und regeln, in welchem Umfang im Anwendungsbereich des Gesetzes Eingriffe in dieses Recht zulässig sind. Dies stellt § 1 Abs. 1 BDSG ausdrücklich klar. Nur wenn keine Einwilligung des Betroffenen vorliegt, beurteilt sich die Datenverarbeitung nach dem Gesamtkonzept des Bundesdatenschutzgesetzes danach, ob eine verfassungsgemäße Rechtsvorschrift diese erlaubt,

vgl. BAG, Urteil vom 12.02.2015 - 6 AZR 845/13 -, juris, Rz. 69 zu § 32 BDSG.

Im Rahmen eines Arbeitsverhältnisses können Arbeitnehmer sich grundsätzlich „frei entscheiden", wie sie ihr Grundrecht auf informationelle Selbstbestimmung ausüben wollen. Dem steht weder die grundlegende Tatsache, dass Arbeitnehmer abhängig Beschäftigte sind noch das Weisungsrecht des Arbeitgebers, § 106 GewO, entgegen. Mit der Eingehung eines Arbeitsverhältnisses und der Eingliederung in einen Betrieb begeben sich die Arbeitnehmer nicht ihrer Grund- und Persönlichkeitsrechte. Die zu § 4a BDSG formulierte Gegenauffassung (Simitis in Simitis BDSG 8. Aufl. § 4a Rn. 62) verkennt, dass schon nach § 32 BDSG Datenverarbeitung im Arbeitsverhältnis möglich ist, unter den Voraussetzungen des § 32 BDSG sogar einwilligungsfrei. Löste die Verweigerung einer außerhalb von § 32 BDSG erforderlichen schriftlichen Einwilligung Benachteiligungen aus, so stellte dies einen groben Verstoß gegen die arbeitgeberseitigen Pflichten aus § 241 Abs. 2 und § 612a BGB dar, der zum Schadensersatz nach §§ 282, 280 Abs. 1 BGB verpflichtete. Eine Nebenpflicht des Arbeitnehmers aus dem Arbeitsverhältnis, der Erhebung, Verarbeitung und Veröffentlichung seiner Daten - soweit erforderlich - zuzustimmen, besteht nicht,

so BAG, Urteile vom 11.12.2014 - 8 AZR 1010/13 -, 19.02.2015 - 8 AZR 1011/13 -, juris, Rz. 32; Rz. 30.

Eine Einwilligung in die Datenerhebung, -verarbeitung und -nutzung ist im Arbeitsverhältnis überhaupt zulässig. Der Einwand, Arbeitnehmer könnten aufgrund des Machtungleichgewichts nicht i.S.v. § 4a Abs. 1 Satz 1 BDSG frei entscheiden und damit einwilligen, steht der Einwilligung nicht allgemein entgegen. Nach § 4a Abs. 1 Satz 2 BDSG muss der Arbeitgeber den Arbeitnehmer auf den Zweck der Erhebung, Verarbeitung oder Nutzung hinweisen, also auf den konkreten Kontrollzweck (Grundsatz der informierten Einwilligung). Unwirksam ist beispielsweise die für eine noch nicht konkretisierte Vielzahl von Fällen - und in der betrieblichen Praxis oft vorzufindende - Pauschaleinwilligung im Arbeitsvertrag. Eine Einwilligung bedarf der Schriftform und kann zudem jederzeit und ohne Angabe von Gründen widerrufen werden. Daher ist sie als sichere Rechtsgrundlage für die Datenerhebung, -verarbeitung und -nutzung und damit die Überwachung (z.B. die Einsichtnahme in einen E-Mail-Account oder bei Torkontrollen) eher ungeeignet,

so Grimm, Überwachung im Arbeitsverhältnis: Von Befragungen bis zur GPS-Ortung – wie viel Kontrolle ist erlaubt?, jM 2016, 17.

Durch die Videoüberwachung am Betäubungsmittelschrank wird auch nicht in so schwerwiegender Weise in das allgemeine Persönlichkeitsrecht der Beschäftigten des Klägers eingegriffen, dass deren Einwilligung mit der Rechtsordnung unvereinbar wäre. Wie hinsichtlich der punktuellen Videoüberwachung der Schleuse, deren Betrieb die Beklagte nicht untersagte, besteht auch hinsichtlich des Betäubungsmittelschranks eine generelle Ausweichmöglichkeit der Beschäftigten vor Videoüberwachung, so dass von einem ständigen Überwachungsdruck der Arbeitnehmer, nicht gesprochen werden kann. Der Arbeitnehmer kann die Videoüberwachung vermeiden oder ihr dadurch entgehen, dass er den beobachteten Bereich verlässt. Er muss nicht davon ausgehen, seine Tätigkeit werde ununterbrochen beobachtet und kontrolliert,

Seitens der Beschäftigten wurde im Verwaltungsverfahren eine Einwilligung nicht wirksam erklärt. Die dem klägerischen Schreiben vom 12.12.2013 beigefügte Unterschriftenliste unter dem alleinigen Satz - „Mir ist bekannt, dass in der S.-Apotheke 5 Überwachungskameras aufgestellt sind und ich erkläre mich damit einverstanden.“ - genügt offensichtlich auf keinen Fall den Anforderungen des § 4 a Abs. 1 BDSG.

Danach ist die Einwilligung nur wirksam, wenn sie auf der freien Entscheidung des Betroffenen beruht. Er ist auf den vorgesehenen Zweck der Erhebung, Verarbeitung oder Nutzung sowie, soweit nach den Umständen des Einzelfalles erforderlich oder auf Verlangen, auf die Folgen der Verweigerung der Einwilligung hinzuweisen. Die Einwilligung bedarf der Schriftform, soweit nicht wegen besonderer Umstände eine andere Form angemessen ist. Soll die Einwilligung zusammen mit anderen Erklärungen schriftlich erteilt werden, ist sie besonders hervorzuheben.

Die während des gerichtlichen Verfahrens vorgelegten 18 einzelnen Einwilligungserklärungen der Beschäftigten genügen formal den Anforderungen des § 4 a Abs. 1 BDSG.

Die Einwilligung ist jedoch nur dann wirksam, wenn sie auf einer freien Entscheidung des Betroffenen beruht. Von einer generell bestehenden Unfreiwilligkeit kann in einem Arbeitsverhältnis nicht ausgegangen werden. Das Gesetz selbst schließt die Erteilung einer Einwilligung im Arbeitsverhältnis nicht aus. Eine solche kann daher nur angenommen werden, wenn die Entscheidung über die Erteilung derselben aufgrund der bestehenden Abhängigkeit vom Arbeitgeber nicht von der erforderlichen Freiwilligkeit geprägt ist. Auch in einem Verhältnis des Machtungleichgewichts muss die Selbstbestimmung nicht unbedingt ausgeschlossen sein. Es bedarf daher konkreter Anhaltspunkte dafür, dass der Arbeitnehmer im Einzelfall die Einwilligung nicht ohne Zwang abgegeben hat. Als Indiz für einen zusätzlichen Druck kann der Zwang zur Unterschrift auf einer gemeinsamen Erklärung angesehen werden. So wird ein gewisser Gruppenzwang zwischen den Arbeitnehmern erzeugt und setzt diejenigen, die eigentlich nicht unterschreiben wollen, unter Zwang. Werden dann, wie im Laufe des Verfahrens hier geschehen, Einzelerklärungen jedes einzelnen Arbeitnehmers nachgereicht, kann der ursprünglich generierte Gruppenzwang damit fortgesetzt werden. Weiter muss für die Einwilligenden klar zu erkennen gewesen sein, unter welchen Bedingungen sie sich mit der Verarbeitung welcher Daten einverstanden erklärt haben.

Bestehen Zweifel an den Tatsachen der Freiwilligkeit der Einwilligung bzw. des Genügens der Hinweispflicht können diese durch die Einvernahme der Betroffenen geklärt werden. So bestand Anlass, das Bestehen von Zweifeln hinsichtlich der Einwilligungserklärung Bl. 79 der Gerichtsakte zu prüfen, weil in dieser der Text über der Unterschrift mit zwei Fragezeichen am Rand versehen ist. Diese lassen es jedoch offen, ob die Zeichen vor der Unterzeichnung gesetzt wurden und dem damit bekundeten Aufklärungsbedarf vor dem Unterschreiben genügt wurde, bzw. die Bedingungen für das Einverständnis nicht bekannt waren. Bei dieser Sachlage sah der Einzelrichter keine Veranlassung zur Beweiserhebung von Amts wegen. Auf den dahingehenden Hinweis in der mündlichen Verhandlung wurden Beweisanträge nicht gestellt. Damit ist das Einverständnis der Beschäftigten nachgewiesen. Anhaltspunkte dafür, dass nicht alle Beschäftigten ihr Einverständnis erklärt hätten, bestehen nicht. Der sich für den Rechtstreit nicht stellenden Frage, in welcher Weise neu hinzukommende Beschäftigte jeweils ihre Einwilligung erteilen, ist nicht nachzugehen.

Ist somit die Videoüberwachung am Betäubungsmittelschrank zulässig, erweist sich die diesbezügliche Anordnung als rechtswidrig, was auch die dahingehende Androhung und aufschiebende bedingte Festsetzung des Zwangsgeldes erfasst."


Den Volltext der Entscheidung finden Sie hier:

VG Hamburg: Facebook darf voraussichtlich Klarnamenpflicht beibehalten - aufschiebende Wirkung des Widerspruchs gegen Bescheid des Hamburger Datenschutzbeauftragten

VG Hamburg
Beschluss vom 03.03.2016
15 E 4482/15


Das Verwaltungsgericht Hamburg hat entschieden, dass Facebook voraussichtlich die Klarnamenpflicht beibehalten darf und keine Pflicht besteht, die Nutzung per Pseudonym zu ermöglichen. Das Gericht hat die aufschiebende Wirkung des Widerspruchs gegen den entsprechenden Bescheid des Hamburger Datenschutzbeauftragten wiederhergestellt. Das Gericht geht davon aus, dass kein deutsches Datenschutzrecht auf die Fallkonstellation anzuwenden ist, da die streitgegenständliche Datenverarbeitung nicht von der Niederlassung Facebook Deutschland durchgeführt wird.

Aus den Entscheidungsgründen:

"Der zulässige, insbesondere gemäß § 80 Abs. 5 Satz 1 Var. 2 VwGO statthafte Antrag auf Wiederherstellung der aufschiebenden Wirkung des Widerspruchs der Antragstellerin ist auch begründet. In der Sache überwiegt das Interesse der Antragstellerin, von der sofortigen Vollziehung der streitigen Anordnung des Datenschutzbeauftragten vorläufig verschont
zu bleiben, das Interesse der Öffentlichkeit an deren sofortigen Vollziehung. Denn nach summarischer Prüfung unter Berücksichtigung des bisherigen Sach- und Streitstandes dürfte der Widerspruch der Antragstellerin Erfolg haben. Die angefochtene Anordnung des Datenschutzbeauftragten ist voraussichtlich rechtswidrig.

1. Die angegriffene Anordnung ist voraussichtlich materiell rechtswidrig. Mangels Anwendbarkeit materieller deutscher datenschutzrechtlicher Bestimmungen auf die angegriffene Datenverarbeitung vermag insbesondere ein Verstoß gegen § 13 Abs. 6 TMG den Erlass der Anordnung nicht zu rechtfertigen.

[...]

Nach vorstehenden Maßstäben sind auf die streitige Datenverarbeitung deutsche datenschutzrechtliche Bestimmungen nicht anzuwenden, da die streitige Datenverarbeitung nach dem der Entscheidung zugrunde zu legenden Sachverhalt mit der Tätigkeit der Niederlassung F.s bzw. der Antragstellerin in Dublin am engsten verbunden ist. Dies ist vor allem aufgrund des vorgelegten Data Transfer and Processing Agreement und des übrigen unstreitigen Vorbringens der Antragstellerin zu ihrer geschäftlichen Tätigkeit in Dublin und der geschäftlichen Tätigkeit von F. Germany anzunehmen. Nicht F. Germany, sondern die Antragstellerin ist gemäß den Nutzungsbedingungen Vertragspartnerin der Betroffenen. Die Antragstellerin verwaltet auch die Nutzerkonten, greift auf sie zu und sperrt sie in Fällen wie dem vorliegenden, wenn Zweifel an der Identität des Inhabers des Nutzerkontos aufkommen. Demgegenüber ist die Tätigkeit von F. Germany lediglich mittelbar, vor allem wirtschaftlich, mit der streitigen Datenverarbeitung verbunden. "



Den Volltext der Entscheidung finden Sie hier:

LG Berlin: 100.000 EURO Ordnungsgeld gegen Facebook wegen Verstoß gegen Unterlassungstenor - zu weite Rechteeinräumung durch IP-Lizenzklausel

LG Berlin
Beschluss vom 11.02.2016
16 O 551/10


Das LG Berlin hat gegen Facebook eine Ordnungsgeld in Höhe von 100.000 EURO wegen des Verstoßes gegen einen Unterlassungstenor verhängt. Inhaltlich ging es um die weitere Verwendung der IP-Lizenzklausel und der darin enthaltenen zu weiten Rechteeinräumung. Dies war gerichtlich untersagt worden (siehe dazu LG Berlin: Facebook Freunde-Finder rechtswidrig - weitere unzulässige Klauseln in Facebook-AGB )

Den Volltext der Entscheidung finden Sie hier:

BVerwG: Facebook oder Fanpagebetreiber - EuGH muss Streit um datenschutzrechtliche Verantwortlichkeit für Facebook-Seiten klären

BVerwG
Beschluss vom 25.02.2016
1 C 28.14


Das BVerwG hat den Streit um die Frage, wer die datenschutzrechtliche Verantwortlichkeit für Facebook-Seiten trägt, dem EuGH zur Entscheidung vorgelegt.

Die Pressemitteilung des BVerwG:

EuGH soll datenschutzrechtliche Verantwortlichkeit für die beim Aufruf einer Facebook-Fanpage erhobenen Nutzerdaten klären

Das Bun­des­ver­wal­tungs­ge­richt in Leip­zig hat in einem Ver­fah­ren, in dem es um die Be­an­stan­dung des Be­triebs einer Face­book-Fan­page sei­tens der pri­vat­recht­lich or­ga­ni­sier­ten Wirt­schafts­aka­de­mie Schles­wig-Hol­stein durch die Da­ten­schutz­auf­sichts­be­hör­de geht, den Ge­richts­hof der Eu­ro­päi­schen Union (EuGH) an­ge­ru­fen. Die dem EuGH zur Vor­ab­ent­schei­dung vor­ge­leg­ten Fra­gen be­tref­fen die Aus­le­gung der Richt­li­nie 95/46/EG zum Schutz na­tür­li­cher Per­so­nen bei der Ver­ar­bei­tung per­so­nen­be­zo­ge­ner Daten und zum frei­en Da­ten­ver­kehr (Da­ten­schutz­richt­li­nie). Diese dient u.a. dazu, im Be­reich der Eu­ro­päi­schen Union ein gleich­wer­ti­ges Schutz­ni­veau hin­sicht­lich der Rech­te und Frei­hei­ten von Per­so­nen bei der Ver­ar­bei­tung ihrer per­so­nen­be­zo­ge­nen Daten zu ge­währ­leis­ten.

Die Klä­ge­rin des Aus­gangs­ver­fah­rens ist eine Trä­ge­rin der be­ruf­li­chen Aus- und Wei­ter­bil­dung, die neben einer ei­ge­nen Home­page eine sog. Fan­page bei Face­book un­ter­hält. Das be­klag­te Un­ab­hän­gi­ge Lan­des­zen­trum für Da­ten­schutz (ULD) hat im No­vem­ber 2011 ge­gen­über der Klä­ge­rin die De­ak­ti­vie­rung die­ser Fan­page an­ge­ord­net. Die Nut­zungs­da­ten der Be­su­cher wür­den von Face­book über ein „Coo­kie“ bei einem Auf­ruf der Fan­page er­ho­ben. Sie wür­den von Face­book u.a. für Zwe­cke der Wer­bung sowie für eine auch der Klä­ge­rin be­reit­ge­stell­te Nut­zer­sta­tis­tik ge­nutzt, ohne dass die Nut­zer hier­über hin­rei­chend auf­ge­klärt wür­den und in diese Nut­zung ein­ge­wil­ligt hät­ten. Das Ver­wal­tungs­ge­richt hat der Klage statt­ge­ge­ben. Das Ober­ver­wal­tungs­ge­richt hat die Be­ru­fung zu­rück­ge­wie­sen, weil es das in § 38 Abs. 5 BDSG vor­ge­se­he­ne ge­stuf­te Ver­fah­ren nicht ein­ge­hal­ten habe. Die Klä­ge­rin sei als Fan­page­be­trei­be­rin auch nicht i.S.v. § 3 Abs. 7 BDSG/Art. 2 d) RL 95/46/EG ver­ant­wort­li­che Stel­le im Hin­blick auf die von Face­book er­ho­be­nen Daten.

Der 1. Re­vi­si­ons­se­nat des Bun­des­ver­wal­tungs­ge­richts hat eine Vor­la­ge an den EuGH be­schlos­sen. Nach sei­ner Auf­fas­sung wer­fen u.a. die Reich­wei­te der Prüf- und Hand­lungs­be­fug­nis­se des ULD sowie die Frage, ob die Klä­ge­rin als Fan­page­be­trei­be­rin eine da­ten­schutz­recht­li­che Ver­ant­wort­lich­keit für die Aus­wahl des Be­trei­bers ihrer In­ter­ne­tre­prä­sen­tanz und des­sen da­ten­schutz­rechts­kon­for­men Um­gang mit per­so­nen­be­zo­ge­nen Daten trifft, uni­ons­recht­li­che Zwei­fels­fra­gen in Bezug auf die Richt­li­nie 95/46/EG auf. Dabei hat es - wie das OVG - keine Be­ur­tei­lung der Recht­mä­ßig­keit der Da­ten­ver­ar­bei­tung durch Face­book vor­ge­nom­men.

Hier­zu hat der Senat dem EuGH fol­gen­de Fra­gen zur Vor­ab­ent­schei­dung gemäß Art. 267 AEUV vor­ge­legt:

1. Ist Art. 2 Buchst. d) RL 95/46/EG dahin aus­zu­le­gen, dass er Haf­tung und Ver­ant­wort­lich­keit für Da­ten­schutz­ver­stö­ße ab­schlie­ßend und er­schöp­fend re­gelt oder ver­bleibt im Rah­men der „ge­eig­ne­ten Maß­nah­men“ nach Art. 24 RL 95/46/EG und der „wirk­sa­men Ein­griffs­be­fug­nis­se“ nach Art. 28 Abs. 3 Spie­gel­strich 2 RL 95/46/EG in mehr­stu­fi­gen In­for­ma­ti­ons­an­bie­ter­ver­hält­nis­sen Raum für eine Ver­ant­wort­lich­keit einer Stel­le, die nicht i.S.d. Art. 2 Buchst. d) RL 95/46/EG für die Da­ten­ver­ar­bei­tung ver­ant­wort­lich ist, bei der Aus­wahl eines Be­trei­bers für sein In­for­ma­ti­ons­an­ge­bot?

2. Folgt aus der Pflicht der Mit­glied­staa­ten nach Art. 17 Abs. 2 RL 95/46/EG, bei der Da­ten­ver­ar­bei­tung im Auf­trag vor­zu­schrei­ben, dass der für die Ver­ar­bei­tung Ver­ant­wort­li­che einen ‚Auf­trags­ver­ar­bei­ter aus­zu­wäh­len hat, der hin­sicht­lich der für die Ver­ar­bei­tung zu tref­fen­den tech­ni­schen Si­cher­heits­maß­nah­men und or­ga­ni­sa­to­ri­schen Vor­keh­run­gen aus­rei­chend Ge­währ bie­tet‘, im Um­kehr­schluss, dass bei an­de­ren Nut­zungs­ver­hält­nis­sen, die nicht mit einer Da­ten­ver­ar­bei­tung im Auf­trag i.S.d. Art. 2 Buchst. e) RL 95/46/EG ver­bun­den sind, keine Pflicht zur sorg­fäl­ti­gen Aus­wahl be­steht und auch nach na­tio­na­lem Recht nicht be­grün­det wer­den kann?

3. Ist in Fäl­len, in denen ein au­ßer­halb der Eu­ro­päi­schen Union an­säs­si­ger Mut­ter­kon­zern in ver­schie­de­nen Mit­glied­staa­ten recht­lich selb­stän­di­ge Nie­der­las­sun­gen (Toch­ter­ge­sell­schaf­ten) un­ter­hält, nach Art. 4, Art. 28 Abs. 6 RL 95/46/EG die Kon­troll­stel­le eines Mit­glied­staa­tes (hier: Deutsch­land) zur Aus­übung der nach Art. 28 Abs. 3 RL 95/46/EG über­tra­ge­nen Be­fug­nis­se gegen die im ei­ge­nen Ho­heits­ge­biet ge­le­ge­ne Nie­der­las­sung auch dann be­fugt, wenn diese Nie­der­las­sung al­lein für die För­de­rung des Ver­kaufs von Wer­bung und sons­ti­ge Mar­ke­ting­maß­nah­men mit Aus­rich­tung auf die Ein­woh­ner die­ses Mit­glied­staa­tes zu­stän­dig ist, wäh­rend der in einem an­de­ren Mit­glied­staat (hier: Ir­land) ge­le­ge­nen selb­stän­di­gen Nie­der­las­sung (Toch­ter­ge­sell­schaft) nach der kon­zern­in­ter­nen Auf­ga­ben­ver­tei­lung die aus­schließ­li­che Ver­ant­wor­tung für die Er­he­bung und Ver­ar­bei­tung per­so­nen­be­zo­ge­ner Daten im ge­sam­ten Ge­biet der Eu­ro­päi­schen Union und damit auch in dem an­de­ren Mit­glied­staat (hier: Deutsch­land) ob­liegt, wenn tat­säch­lich die Ent­schei­dung über die Da­ten­ver­ar­bei­tung durch den Mut­ter­kon­zern ge­trof­fen wird?

4. Sind Art. 4 Abs. 1 Buchst. a), Art. 28 Abs. 3 RL 95/46/EG dahin aus­zu­le­gen, dass in Fäl­len, in denen der für die Ver­ar­bei­tung Ver­ant­wort­li­che eine Nie­der­las­sung im Ho­heits­ge­biet eines Mit­glied­staa­tes (hier: Ir­land) be­sitzt und eine wei­te­re, recht­lich selb­stän­di­ge Nie­der­las­sung in dem Ho­heits­ge­biet eines an­de­ren Mit­glied­staa­tes (hier: Deutsch­land) be­steht, die u.a. für den Ver­kauf von Wer­be­flä­chen zu­stän­dig ist und deren Tä­tig­keit auf die Ein­woh­ner die­ses Staa­tes aus­ge­rich­tet ist, die in die­sem an­de­ren Mit­glied­staat (hier: Deutsch­land) zu­stän­di­ge Kon­troll­stel­le Maß­nah­men und An­ord­nun­gen zur Durch­set­zung des Da­ten­schutz­rechts auch gegen die nach der kon­zern­in­ter­nen Auf­ga­ben- und Ver­ant­wor­tungs­ver­tei­lung für die Da­ten­ver­ar­bei­tung nicht ver­ant­wort­li­che wei­te­re Nie­der­las­sung (hier: in Deutsch­land) rich­ten kann oder sind Maß­nah­men und An­ord­nun­gen dann nur durch die Kon­troll­be­hör­de des Mit­glied­staa­tes (hier: Ir­land) mög­lich, in des­sen Ho­heits­ge­biet die kon­zern­in­tern ver­ant­wort­li­che Stel­le ihren Sitz hat?

5. Sind Art. 4 Abs. 1 Buchst. a), Art. 28 Abs. 3 und 6 RL 95/46/EG dahin aus­zu­le­gen, dass in Fäl­len, in denen die Kon­troll­be­hör­de eines Mit­glied­staa­tes (hier: Deutsch­land) eine in ihrem Ho­heits­ge­biet tä­ti­ge Per­son oder Stel­le nach Art. 28 Abs. 3 RL 95/46/EG wegen der nicht sorg­fäl­ti­gen Aus­wahl eines in den Da­ten­ver­ar­bei­tungs­pro­zess ein­ge­bun­de­nen Drit­ten (hier: Face­book) in An­spruch nimmt, weil die­ser Drit­te gegen Da­ten­schutz­recht ver­sto­ße, die tätig wer­den­de Kon­troll­be­hör­de (hier: Deutsch­land) an die da­ten­schutz­recht­li­che Be­ur­tei­lung der Kon­troll­be­hör­de des an­de­ren Mit­glied­staa­tes, in dem der für die Da­ten­ver­ar­bei­tung ver­ant­wort­li­che Drit­te seine Nie­der­las­sung hat (hier: Ir­land), in dem Sinne ge­bun­den ist, dass sie keine hier­von ab­wei­chen­de recht­li­che Be­ur­tei­lung vor­neh­men darf, oder darf die tätig wer­den­de Kon­troll­stel­le (hier: Deutsch­land) die Recht­mä­ßig­keit der Da­ten­ver­ar­bei­tung durch den in einem an­de­ren Mit­glied­staat (hier: Ir­land) nie­der­ge­las­se­nen Drit­ten als Vor­fra­ge des ei­ge­nen Tä­tig­wer­dens selb­stän­dig auf seine Recht­mä­ßig­keit prü­fen?

6. So­weit der tätig wer­den­den Kon­troll­stel­le (hier: Deutsch­land) eine selb­stän­di­ge Über­prü­fung er­öff­net ist: Ist Art. 28 Abs. 6 Satz 2 RL 95/46/EG dahin aus­zu­le­gen, dass diese Kon­troll­stel­le die ihr nach Art. 28 Abs. 3 RL 95/46/EG über­tra­ge­nen wirk­sa­men Ein­wir­kungs­be­fug­nis­se gegen eine in ihrem Ho­heits­ge­biet nie­der­ge­las­se­ne Per­son oder Stel­le wegen der Mit­ver­ant­wor­tung für die Da­ten­schutz­ver­stö­ße des in einem an­de­ren Mit­glied­staat nie­der­ge­las­se­nen Drit­ten nur und erst dann aus­üben darf, wenn sie zuvor die Kon­troll­stel­le die­ses an­de­ren Mit­glied­staa­tes (hier: Ir­land) um die Aus­übung ihrer Be­fug­nis­se er­sucht hat?

Bis zur Ent­schei­dung des Ge­richts­hofs hat das BVerwG das Re­vi­si­ons­ver­fah­ren aus­ge­setzt.

BVerwG 1 C 28.14 - Be­schluss vom 25. Fe­bru­ar 2016

Vor­in­stan­zen:
OVG Schles­wig 4 LB 20/13 - Ur­teil vom 04. Sep­tem­ber 2014
VG Schles­wig 8 A 14/12 - Ur­teil vom 09. Ok­to­ber 2013


Verbandsklagerecht bei Datenschutzverstößen ab 24.02.2016 - Gesetz zur Verbesserung der zivilrechtlichen Durchsetzung von verbraucherschützenden Vorschriften des Datenschutzrechts

Das Gesetz zur Verbesserung der zivilrechtlichen Durchsetzung von verbraucherschützenden Vorschriften des Datenschutzrechts wurde heute im Bundesgesetzblatt verkündet und tritt somit am 24.02.2016 in Kraft. Damit wird die Verfolgung von Datenschutzverstößen durch Verbrauchschutzverbände und Abmahnvereine erleichtert. Zahlreiche Abmahnungen auf Grundlage von Verstößen gegen das Datenschutzrecht dürften nicht lange auf sich warten lassen.


VG Neustadt: Landesdatenschutzbeauftragter ist gegenüber Bürgern im Rahmen seiner Beratungs- und Informationstätigkeit nicht an Fristen gebunden

VG Neustadt
Beschluss vom 22.12.2015
4 K 867/15.NW


Das VG Neustadt hat entschieden, dass der Landesdatenschutzbeauftragte gegenüber Bürgern im Rahmen seiner Beratungs- und Informationstätigkeit nicht an Fristen gebunden ist.

Aus den Entscheidungsgründen:

"1. Nach § 75 VwGO ist eine Untätigkeitsklage zulässig, wenn über einen Widerspruch oder über einen Antrag auf Vornahme eines Verwaltungsakts ohne zureichenden Grund in angemessener Frist sachlich nicht entschieden worden ist. Hier fehlt es sowohl an einem Widerspruch des Klägers als auch an einem Antrag auf Vornahme eines Verwaltungsakts. Denn der Kläger begehrte mit seinem Antrag vom 7. Oktober 2014 nicht den Erlass eines Verwaltungsakts im Sinne des § 1 Landesverwaltungsverfahrensgesetz – LVwVfG – i.V.m. § 35 Verwaltungsverfahrensgesetz – VwVfG –.

Gemäß § 24 Abs. 8 Landesdatenschutzgesetz – LDSG – berät und informiert der LDI die Bürgerinnen und Bürger in Fragen des Datenschutzes und der Datensicherheit, insbesondere über die ihnen bei der Verarbeitung ihrer Daten zustehenden Rechte und über geeignete Maßnahmen des Selbstdatenschutzes. Nach § 29 Abs. 1 LDSG können Betroffene sich jederzeit unmittelbar an den LDI wenden, wenn sie der Ansicht sind, bei der Verarbeitung ihrer personenbezogenen Daten in ihren Rechten verletzt worden zu sein. Diese Zugangsmöglichkeit zum LDI stellt, worauf der Beklagte zutreffend hingewiesen hat, eine besondere Ausprägung des Petitionsrechts nach Art. 11 LV dar. In der Rechtsprechung ist geklärt, dass auf Petitionen und Dienstaufsichtsbeschwerden ergehende Bescheide keine Verwaltungsakte sind (vgl. nur BVerwG, Beschluss vom 1. September 1976 – VII B 101.75 –, NJW 1977, 118 m.w.N.; Bay. VGH, Beschluss vom 11. September 2000 – 12 ZC 00.2290 –, juris). Ein Petitionsbescheid regelt nichts mit unmittelbarer rechtlicher Außenwirkung, sondern stellt nur die tatsächliche Erfüllung der Verpflichtung aus Art 17 Grundgesetz – GG – bzw. Art. 11 LV dar. Nach der zuletzt genannten Vorschrift hat jedermann das Recht, sich mit Eingaben an die Behörden oder an die Volksvertretung zu wenden. Dieses Recht, das unabhängig von den gegen die Behördenentscheidungen eröffneten gerichtlichen Rechtsschutzmöglichkeiten besteht (VerfGH RP, Beschluss vom 27. September 2002 – VGH B 21/02 –), beinhaltet nur den Anspruch des Grundrechtsträgers auf Entgegennahme seiner Petition, auf (sachliche) Befassung mit seiner Eingabe und auf Bescheidung der Eingabe, aus der ersichtlich wird, dass und mit welchem Ergebnis sie behandelt wurde (BVerfG, Beschluss vom 15. Mai 1992 – 1 BvR 1553/90 –, NJW 1992, 3033; BVerfG; Beschluss vom 26. März 2007 – 1 BvR 138/07 –, juris; Hess. VGH, Beschluss vom 20. März 2013 – 7 D 225/13 –, LKRZ 2013, 284). Art. 11 LV gewährt aber kein Recht auf Erledigung der Petition im Sinne des Petenten und auch keinen Anspruch darauf, Art und Umfang der sachlichen Prüfung der Petition einer gerichtlichen Kontrolle zu unterziehen (BVerfG, Beschluss vom 15. Mai 1992 – 1 BvR 1553/90 –, NJW 1992, 3033, VerfGH Rh-Pf, Beschluss vom 27. Juli 2001 – VGH B 11/01 – sowie Beschluss vom 4. Oktober 1999 – VGH B 9/99 –). Auch Art 19 Abs. 4 Satz 1 GG gebietet nicht die Zulassung von Anfechtungsklagen gegen ablehnende Petitionsbescheide oder Verpflichtungsklagen auf Erlass von positiven Petitionsbescheiden.

Ist die Untätigkeitsklage des Klägers daher von vornherein unstatthaft, muss sich das Gericht nicht mehr mit der Frage auseinander setzen, ob sich das diesbezügliche Verfahren mit Übersendung der Stellungnahme des Beklagten vom 11. September 2015 erledigt hat.


2. Auch wenn man das Begehren des Klägers als Leistungsklage auslegt, hat diese keine hinreichende Aussicht auf Erfolg. Der Kläger hat zwar einen mit der allgemeinen Leistungsklage durchsetzbaren Anspruch auf Erteilung eines informatorischen Bescheides über die Art und Weise der Erledigung seiner Petition (vgl. OVG Nordrhein-Westfalen, Beschluss vom 25. März 2015 – 15 E 94/15 –, NVwZ-RR 2015, 544; Hess. VGH, Beschluss vom 20. März 2013 – 7 D 225/13 –, LKRZ 2013, 284; Brocker, in: Epping/Hillgruber, Beck'scher Online-Kommentar GG, Stand 1. September 2015, Art. 17 Rn. 29). Wie oben bereits ausgeführt, gewährt Art. 11 LV aber kein Recht auf Erledigung der Petition im Sinne des Petenten und auch keinen Anspruch darauf, Art und Umfang der sachlichen Prüfung der Petition einer gerichtlichen Kontrolle zu unterziehen. Denn dann erhielte das Petitionsrecht die Funktion einer Popularklage. Der Beklagte hat im Übrigen den Anspruch des Klägers auf Entgegennahme seiner Petition, auf sachliche Befassung mit seiner Eingabe und auf Bescheidung der Eingabe, aus der ersichtlich wird, dass und mit welchem Ergebnis sie behandelt wurde, spätestens mit am 11. September 2015 übersandten Schreiben erfüllt.


3. Die Klage hat schließlich auch dann keine hinreichende Aussicht auf Erfolg, wenn man das Begehren dahingehend auslegt, festzustellen, dass der Beklagte verpflichtet war, innerhalb einer Frist von drei Monaten über den Antrag des Klägers vom 7. Oktober 2014 zu entscheiden.


Zum einen hat der Kläger weder ein besonderes Interesse für die Feststellung eines in der Vergangenheit liegenden Rechtsverhältnisses (z.B. Rehabilitationsinteresse, Wiederholungsgefahr oder tiefgreifender Grundrechtseingriff, vgl. Kopp/Schenke VwGO, 21. Auflage 2015, § 43 Rn. 25 und § 113 Rn. 136 ff.) dargetan noch ist ein solches Interesse für die Kammer ersichtlich. Infolgedessen ist eine solche Feststellungsklage schon unzulässig.

Zum anderen bestehen auch in der Sache keine Erfolgsaussichten für eine solche Klage. Der LDI ist im Rahmen seiner Beratungs- und Informationstätigkeit gegenüber den Bürgerinnen und Bürgern in Fragen des Datenschutzes und der Datensicherheit nicht an gesetzliche Fristen gebunden. Es kommt daher auf die konkreten Umstände des Einzelfalles an, innerhalb welcher Frist der LDI einen Petenten zu bescheiden hat (vgl. näher dazu, dass sich dem Grundgesetz keine allgemein gültigen Zeitvorgaben dafür entnehmen lassen, wann von einer unangemessenen Verfahrensdauer auszugehen ist BVerfG, Beschluss vom 8. Dezember 2015 – 1 BvR 99/11 – Vz 1/15 –, juris). Vorliegend gab der LDI, nachdem sich der Kläger mit seinem Begehren am 7. Oktober 2014 an die Dienststelle des LDI gewandt und um datenschutzrechtliche Überprüfung der Sparkasse ………., Filiale ……… gebeten hatte, dem Kläger schon nach nur neun Tagen eine datenschutzrechtliche Einschätzung zu den aufgeworfenen Fragen ab. Zugleich wies der LDI darauf hin, vor einer abschließenden Bewertung sei zunächst die Stellungnahme der Sparkasse einzuholen."

EuGH: Datenschutzrecht eines Mitgliedstaats kann auf eine ausländische Gesellschaft angewendet werden wenn diese dort mittels einer festen Einrichtung eine tatsächliche und effektive Tätigkeit aus�

EuGH
Urteil vom 01.10.2015
C‑230/14
Weltimmo


Der EuGH hat entschieden, dass das Datenschutzrecht eines Mitgliedstaats auf eine ausländische Gesellschaft angewendet werden kann, wenn diese dort mittels einer festen Einrichtung eine tatsächliche und effektive Tätigkeit ausübt

Die Pressemitteilung des EuGH:

"Das Datenschutzrecht eines Mitgliedstaats kann auf eine ausländische Gesellschaft angewendet werden, die in diesem Staat mittels einer festen Einrichtung eine tatsächliche und effektive Tätigkeit ausübt

Die Datenschutzrichtlinie sieht vor, dass jeder Mitgliedstaat eine oder mehrere öffentliche Stellen benennt, die beauftragt werden, die Anwendung der von den Mitgliedstaaten auf der Grundlage der Richtlinie erlassenen einzelstaatlichen Vorschriften in ihrem Hoheitsgebiet zu überwachen. Jede Kontrollstelle ist dafür zuständig, im Hoheitsgebiet ihres Mitgliedstaats insbesondere Untersuchungs- und Einwirkungsbefugnisse auszuüben, und dies unabhängig vom einzelstaatlichen Recht, das auf die jeweilige Verarbeitung anwendbar ist. Zudem kann jede Kontrollstelle von einer Kontrollstelle eines anderen Mitgliedstaats um die Ausübung ihrer Befugnisse ersucht werden.

Weltimmo, eine in der Slowakei eingetragene Gesellschaft, betreibt eine Website zur Vermittlung von in Ungarn belegenen Immobilien. In diesem Rahmen verarbeitet sie personenbezogene Daten der Inserenten. Die Inserate sind einen Monat lang kostenlos, danach muss dafür bezahlt werden. Zahlreiche Inserenten verlangten per E-Mail die Löschung ihrer Inserate am Ende des ersten Monats und gleichzeitig die Löschung der sie betreffenden personenbezogenen Daten. Weltimmo kam dieser Löschung jedoch nicht nach und stellte den Betreffenden ihre Dienstleistungen in Rechnung. Da die in Rechnung gestellten Beträge nicht bezahlt wurden, übermittelte Weltimmo die personenbezogenen Daten der Inserenten an verschiedene Inkassounternehmen. Die Inserenten reichten bei der ungarischen Datenschutzbehörde Beschwerden ein. Diese verhängte gegen Weltimmo ein Bußgeld von 10 Mio. ungarischen Forint (HUF) (etwa 32 000 Euro) wegen Verletzung des ungarischen Gesetzes, mit dem die Richtlinie umgesetzt wird.

Weltimmo hat daraufhin die Entscheidung der Kontrollstelle bei den ungarischen Gerichten angefochten. Die Kúria (Oberster Gerichtshof, Ungarn), die zur Entscheidung über den Rechtsstreit im Kassationsverfahren berufen ist, fragt den Gerichtshof, ob im vorliegenden Fall die Richtlinie der ungarischen Kontrollstelle erlaubt, das auf der Grundlage der Richtlinie erlassene
ungarische Recht anzuwenden und das in diesem Gesetz vorgesehene Bußgeld zu verhängen.

Mit Urteil vom heutigen Tag weist der Gerichtshof darauf hin, dass nach der Richtlinie jeder Mitgliedstaat die Vorschriften anwenden muss, die er zur Umsetzung dieser Richtlinie erlassen hat, sofern die Datenverarbeitung im Rahmen der in seinem Hoheitsgebiet durchgeführten Tätigkeiten einer Niederlassung ausgeführt wird, die der für die Verarbeitung Verantwortliche besitzt. In diesem Zusammenhang stellt der Gerichtshof fest, dass das Vorhandensein eines einzigen Vertreters unter bestimmten Umständen ausreichen kann, um eine Niederlassung zu begründen, wenn dieser Vertreter mit einem ausreichenden Grad an Beständigkeit für die Erbringung der betreffenden Dienstleistungen im fraglichen Mitgliedstaat tätig ist. Zudem führt der Gerichtshof aus, dass der Begriff der Niederlassung jede tatsächliche und effektive Tätigkeit, die mittels einer festen Einrichtung ausgeübt wird, umfasst, selbst wenn sie nur geringfügig ist.

Im vorliegenden Fall stellt der Gerichtshof fest, dass Weltimmo unstreitig eine tatsächliche und effektive Tätigkeit in Ungarn ausübt. Den Erläuterungen der ungarischen Kontrollstelle zufolge verfügt Weltimmo über einen Vertreter in Ungarn, der im slowakischen Handelsregister unter einer Adresse in Ungarn aufgeführt ist und versucht hat, mit den Inserenten über die Begleichung der unbezahlten Forderungen zu verhandeln. Dieser Vertreter hat den Kontakt zwischen dieser Gesellschaft und den Inserenten hergestellt und die Gesellschaft im Verwaltungsverfahren und vor Gericht vertreten. Weltimmo hat außerdem in Ungarn ein Bankkonto zur Einziehung ihrer Forderungen eröffnet und nutzt dort zur Abwicklung ihrer laufenden Geschäfte ein Postfach.

Mit diesen Angaben, die vom vorlegenden Gericht zu prüfen sind, kann der Nachweis erbracht werden, dass in Ungarn eine „Niederlassung“ im Sinne der Richtlinie besteht. Wenn der Nachweis gelingt, unterliegt die Tätigkeit von Weltimmo dem ungarischen Datenschutzrecht.

Der Gerichtshof weist darauf hin, dass jede von einem Mitgliedstaat eingeführte Kontrollstelle dafür Sorge zu tragen hat, dass die von allen Mitgliedstaaten zur Umsetzung der Richtlinie 95/46 erlassenen Vorschriften im Hoheitsgebiet dieses Mitgliedstaats eingehalten werden. Daher kann sich jede Person zum Schutz der die Person betreffenden Rechte und Freiheiten bei der
Verarbeitung personenbezogener Daten an jede Kontrollstelle mit einer Eingabe wenden, selbst wenn das auf diese Verarbeitung anwendbare Recht das eines anderen Mitgliedstaats ist. Im Falle der Anwendung des Rechts eines anderen Mitgliedstaats sind jedoch die Untersuchungsbefugnisse der Kontrollstelle unter Einhaltung insbesondere der territorialen
Souveränität der anderen Mitgliedstaaten auszuüben, so dass eine nationale Kontrollstelle keine Sanktionen außerhalb des Hoheitsgebiets ihres Mitgliedstaats verhängen darf. Sollte das vorlegende Gericht feststellen, dass Weltimmo in Ungarn nicht über eine „Niederlassung“ im Sinne der Richtlinie verfügt, und dass das auf die fragliche Verarbeitung anwendbare Recht daher das eines anderen Mitgliedstaats ist, darf die ungarische Kontrollstelle folglich nicht die Sanktionsbefugnisse ausüben, die ihr durch das ungarische Recht übertragen worden sind.

Nach der in der Richtlinie vorgesehenen Verpflichtung zur Zusammenarbeit obliegt es jedoch dieser Kontrollstelle, die Kontrollstelle des betreffenden anderen Mitgliedstaats zu ersuchen, einen etwaigen Verstoß gegen das Recht dieses Staates festzustellen und die allenfalls in diesem Recht vorgesehenen Sanktionen zu verhängen."


Den Volltext der Entscheidung finden Sie hier:



BGH: Volltext der Entscheidung zur fehlenden Auskunftspflicht des Klinikträgers über die Privatanschrift eines angestellten Arztes zur Durchsetzung von Schadensersatzansprüchen liegt vor

BGH
Urteil vom 20.01.2015
VI ZR 137/14
BGB § 242; BDSG § 32 Abs. 1 Satz 1


Wir hatten bereits in dem Beitrag "BGH: Patient hat gegen Klinikträger regelmäßig keinen Anspruch auf Preisgabe der Privatanschrift eines angestellten Arztes" über die Entscheidung berichtet.

Leitsatz des BGH:
Zur Frage der Auskunftspflicht des Klinikträgers über die Privatanschrift eines bei ihm angestellten Arztes.

BGH, Urteil vom 20. Januar 2015 - VI ZR 137/14 - LG Görlitz - AG Weißwasser

Den Volltext der Entscheidung finden Sie hier:

BGH: Patient hat gegen Klinikträger regelmäßig keinen Anspruch auf Preisgabe der Privatanschrift eines angestellten Arztes

BGH
Urteil vom 20.01.2015
VI ZR 137/14


Der BGH hat entschieden, dass ein Patient gegen den Klinikträger regelmäßig keinen Anspruch auf Preisgabe der Privatanschrift eines angestellten Arztes hat. Dies folgt - so der BGH - insbesondere aus § 32 Abs. 1 Satz 1 BDSG, wonach Arbeitgeber gerade nicht dazu berechtigt sind, personenbezogene Daten, die für Zwecke des Beschäftigungsverhältnisses erhoben worden sind, an Dritte weiterzuleiten.

Die Pressemitteilung des BGH:

"Bundesgerichtshof entscheidet über den Anspruch des Patienten gegen den Klinikträger auf Preisgabe der Privatanschrift eines angestellten Arztes

Der Kläger, der in der Einrichtung der Beklagten stationär behandelt worden ist, nimmt diese und zwei bei ihr angestellte Ärzte auf Schadensersatz in Anspruch. An einen der Ärzte konnte die Klage unter der Klinikanschrift zunächst nicht zugestellt werden, weil der Prozessbevollmächtigte des Klägers den Namen nicht richtig angegeben hatte. Nach der Korrektur des Namens war die Zustellung erfolgreich. Trotzdem verlangte der Kläger von der Klinik Auskunft über die Privatanschrift des betroffenen Arztes. Dies lehnte die Beklagte ab.

Das Amtsgericht hat die Klage abgewiesen. Das Landgericht hat die Beklagte zur Auskunft verurteilt, weil sich Anonymität nicht mit dem Wesen des Arzt-Patienten-Verhältnis vertrage. Es hat die Revision zugelassen.

Der u.a. für die Fragen des Persönlichkeitsschutzes und der Arzthaftung zuständige VI. Zivilsenat des Bundesgerichtshofs hat auf die Revision der Beklagten das Berufungsurteil aufgehoben, die Klage abgewiesen und dies im Wesentlichen wie folgt begründet:

Zwar hat der Patient gegenüber Arzt und Krankenhaus grundsätzlich auch außerhalb eines Rechtsstreits Anspruch auf Einsicht in die ihn betreffenden Krankenunterlagen, soweit sie Aufzeichnungen über objektive physische Befunde und Berichte über Behandlungsmaßnahmen (Medikation, Operation etc.) betreffen. Der Klinikträger ist auch grundsätzlich gehalten, dem Patienten den Namen des ihn behandelnden Arztes mitzuteilen. Der Kläger brauchte aber zur Führung des Zivilprozesses nicht die Privatanschrift des Arztes, weil die Klageschrift unter der Klinikanschrift zugestellt werden konnte. Der Auskunftserteilung steht außerdem die datenschutzrechtliche Vorschrift des § 32 Abs. 1 Satz 1 Bundesdatenschutzgesetz (BDSG) entgegen. Die Regelung gestattet dem Arbeitgeber die Erhebung, Verarbeitung und Nutzung von Daten für Zwecke des Beschäftigungsverhältnisses. Der Arbeitgeber ist aber grundsätzlich nicht berechtigt, personenbezogene Daten, die für Zwecke des Beschäftigungsverhältnisses erhoben worden sind, an Dritte weiterzuleiten. Da die Daten für die Zwecke des Beschäftigungsverhältnisses erhoben worden sind, ist die Übermittlung an Dritte nach dem für den Datenschutz geltenden Zweckbindungsgebot grundsätzlich als zweckfremde Verwendung ausgeschlossen. Eine Weiterleitung privater Kommunikationsdaten an Dritte bedarf vielmehr der Einwilligung des Betroffenen oder der besonderen Gestattung durch eine Rechtsvorschrift.

Urteil vom 20. Januar 2015 - VI ZR 137/14

Amtsgericht Weißwasser – Urteil vom 08. August 2013 – 6 C 58/13

Landgericht Görlitz – Urteil vom 14. Februar 2014 – 2 S 174/13"





LG Berlin: Facebook - Einwilligung im App-Zentrum zur Datenweitergabe an App-Anbieter / Spiele-Anbieter mangels ausreichender Belehrung über Umfang unwirksam

LG Berlin
Urteil vom 28.10.2014
16 O 60/13
Facebook - Einwilligung zur Datenweitergabe


Das LG Berlin hat entschieden, dass die im App-Zentrum bei Facebook vorgesehene Lösung zur Erteilung der Einwilligung zur Datenweitergabe an App-Anbieter / Spiele-Anbieter mangels ausreichender Belehrung über die Reichweite der Einwilligung unwirksam ist.

Die Pressemitteilung des vzbv:

"Facebook App-Zentrum: Lösung zur Einwilligung in Datenweitergabe ist rechtswidrig
LG Berlin bestätigt Versäumnisurteil vom 9. September 2013

Das Landgericht Berlin hat ein im September 2013 ergangenes Versäumnisurteil gegen Facebook bestätigt. Das Gericht stützt mit dem Urteil die Rechtsauffassung des Verbraucherzentrale Bundesverbands (vzbv): Nutzer werden in Facebooks App-Zentrum nicht ausreichend über die umfassende Datenweitergabe an App-Anbieter informiert. Die Einwilligung erfolgt nicht bewusst und ist damit rechtswidrig.

Facebook bietet in seinem eigenen App-Zentrum die Möglichkeit an, zahlreiche Apps von Drittanbietern zu nutzen. Dazu gehören beliebte Spiele wie FarmVille oder Café World, Umfragen oder Ratespiele. Durch Klicken auf den Button "Spiel spielen" oder „An Handy laden“ wird die Einwilligung des Nutzers zur umfassenden Datennutzung und -weitergabe unterstellt. Eine Auflistung der Daten, die der App-Anbieter erheben und nutzen will, befindet sich unterhalb des Buttons in kleiner, hellgrauer Schrift. App-Anbieter erhalten danach beispielweise die Erlaubnis, auf den Chat, die Informationen zu Freunden und die persönlichen Kontaktdaten zuzugreifen, sowie auf der Pinnwand des Nutzers zu posten.

Umfassende Zugriffsrechte für Drittanbieter

„Drittanbieter erhalten durch die Einwilligung umfassende Zugriffsrechte auf das Profil und die Kontakte von Facebook-Nutzern, ohne dass sich die Nutzer darüber bewusst sind“, sagt Michaela Zinke, Referentin für Datenschutz im Projekt Verbraucherrechte in der digitalen Welt beim vzbv. „Der Nutzer sagt mit dem Klick auf den Button nicht nur ‚Spiel spielen‘, sondern auch ‚Hier sind alle meine Daten‘.“

Eine solche umfassende Datenweitergabe an Dritte erfordert nach deutschem Recht eine bewusste und informierte Einwilligung eines Nutzers. Nach Auffassung des vzbv ist das bei der Betätigung des Buttons „Spiel spielen“ oder „An Handy laden“ nicht gegeben. Das Landgericht Berlin hat dies mit seinem Urteil bestätigt.

Das Urteil des Landgerichts Berlin vom 28.10.2014 ist noch nicht rechtskräftig. Der vzbv geht davon aus, dass Facebook Berufung einlegen wird."

OVG Schleswig: Betreiber von Facebook-Fanpages sind nicht für Datenschutzverstöße von Facebook verantwortlich - ULD kann nicht gegen Facebooknutzer vorgehen

OVG Schleswig
Urteil vom 05.09.2014
4 LB 20/13


Das OVG Schleswig hat entschieden, dass Betreiber von Facebook-Fanpages nicht für Datenschutzverstöße, die in der Spähre von Facebook liegen, verantwortlich sind (ebenso bereits "VG Schleswig: Betreiber von Facebook-Fanpages nicht für Datenschutzverstöße durch Facebook verantwortlich"). Datenschutzbehörden (hier das ULD) sind nach dieser Entscheidung nicht berechtigt, gegen Betreiber von Facebook-Fanpages und Unternehmensseiten vorzugehen und zur Abschaltung aufzufordern. Das OVG hat die Revision zum Bundesverwaltungsgericht zugelassen.

Die Pressemitteilung des OVG Schleswig.
"OVG Schleswig: Wirtschaftsakademie kann vom ULD nicht zur Abschaltung ihrer Facebook-Fanpage verpflichtet werden

Der Betreiber einer Facebook-Fanpage ist für die allein von Facebook vorgenommene Verarbeitung personenbezogener Daten von Besuchern der Fanpage datenschutzrechtlich nicht verantwortlich, denn er hat keinen Einfluss auf die technische und rechtliche Ausgestaltung der Datenverarbeitung durch Facebook. Dass er von Facebook anonyme Statistikdaten über Nutzer erhält, begründet keine datenschutzrechtliche Mitverantwortung. Das ULD als Datenschutzaufsichtsbehörde darf den Fanpagebetreiber deshalb nicht zur Deaktivierung seiner Fanpage verpflichten.

Dies hat der 4. Senat des Schleswig-Holsteinischen Oberverwaltungsgerichts mit Urteil vom 4. September 2014 entschieden und damit die Berufung des Unabhängigen Landeszentrums für Datenschutz (ULD) gegen ein Urteil des Verwaltungsgerichts Schleswig vom 09. Oktober 2013 zurückgewiesen. Seine Anordnung Ende 2011 gegenüber der Wirtschaftsakademie Schleswig-Holstein GmbH, deren Facebook-Fanpage zu deaktivieren, hatte das ULD mit datenschutzrechtlichen Verstößen von Facebook - insbesondere einer fehlenden Widerspruchsmöglichkeit von Nutzern nach dem Telemediengesetz gegen die Erstellung von Nutzungsprofilen - begründet. Nach Auffassung des Oberverwaltungsgerichts war diese Anordnung des ULD auch bereits deshalb rechtswidrig, weil vor einer Untersagungsverfügung an einen datenschutzrechtlich Verantwortlichen erst ein abgestuftes Verfahren einzuhalten ist, in dem zunächst eine Umgestaltung der Datenverarbeitung angeordnet und ein Zwangsgeld verhängt werden muss. Eine rechtlich grundsätzlich denkbare Ausnahmesituation hiervon lag nicht vor.
Das Oberverwaltungsgericht hat wegen grundsätzlicher Bedeutung die Revision gegen das Urteil (Az.: 4 LB 20/13) zugelassen. Diese kann innerhalb eines Monats nach Zustellung der schriftlichen Urteilsgründe eingelegt werden."