Skip to content

KG Berlin: Deutsches Datenschutzrecht für Facebook - unzureichende Einwilligungserklärung zur Weitergabe von Daten an App- und Spiele-Anbieter

KG Berlin
Urteil vom 22.09.2017
5 U 155/14


Das KG Berlin hat entschieden, dass sich Facebook an deutsches Datenschutzrecht zu halten hat und dass die streitgegenständlichen Einwilligungserklärungen zur Weitergabe von Daten an App- und Spiele-Anbieter unzureichend und damit unwirksam sind.

Siehe zur Vorinstanz: LG Berlin: Facebook - Einwilligung im App-Zentrum zur Datenweitergabe an App-Anbieter / Spiele-Anbieter mangels ausreichender Belehrung über Umfang unwirksam

Aus den Entscheidungsgründen:

"Diese Tätigkeit der Facebook Germany GmbH stellt einen hinreichenden Rahmen für die hier streitgegenständlichen Datenverarbeitungsvorgänge dar.

Insoweit müssen die Datenverarbeitungsvorgänge inhaltlich mit dieser Tätigkeit der Niederlassung verbunden sein (vergleiche EuGH Google Spain TZ 55 ff). Der vorliegend streitgegenständliche Internetauftritt der Beklagten ist - wie erörtert - auf Nutzer in Deutschland ausgerichtet und damit in einem besonderen Maß für deutsche Werbekunden sowie an einer Werbung gegenüber deutschen Verbrauchern interessierten Kunden von Bedeutung. Gerade diese Werbekunden soll die Facebook Germany GmbH einwerben und betreuen. Auch die Beklagte unterscheidet nicht Werbekunden (insbesondere auf den Nutzerseiten) und Anbieter von Apps/Anwendungen. Die Beklagte hat nicht gezielt in Abrede gestellt, dass die Facebook Germany GmbH für die Werbung und Betreuung von Anbietern von Anwendungen in Deutschland zuständig ist. Bei kostenpflichtigen Anwendungen kann davon ausgegangen werden, dass die Beklagte an dem Erlös - anteilig oder pauschal - beteiligt ist. Im Ausgangspunkt von Dritten kostenlos angebotene Anwendungen (so wie vorliegend die Spiele) dienen den Spieleranbietern in aller Regel entweder als eigene Werbeplattform für Werbungen anderer Unternehmen oder der kostenlose Teil der Anwendungen ist Werbung für entgeltliche Zusatzleistungen der Anwendungsanbieter. Der Kläger hat beispielhaft für die streitgegenständlichen Anwendungen darauf hingewiesen, dass die in Rede stehenden App-Angebote nur im Ausgangspunkt kostenlos sind und sie auch zusätzliche kostenpflichtige Leistungen beinhalten. Dies hat die Beklagte bei den Erörterungen in der mündlichen Verhandlung vor dem Senat nicht in Abrede gestellt, sondern nur etwa angebotene kostenpflichtige Bücher als
unerheblich angesehen.
[...]
Unerheblich ist vorliegend der Umstand, dass die Beklagte hinsichtlich der tatsächlichen Durchführung der Datenverarbeitung einen engeren Bezug zu den Nutzern in Deutschland hat als die Facebook Germany GmbH. Darauf kommt es nicht entscheidend an.

(1) Grundlage eines Abstellens auf einen solchen engeren Bezug ist die Annahme, die Datenschutzrichtlinie wolle eine Konkurrenz mehrerer nationaler Datenschutzrechte innerhalb der EU vermeiden, so dass allein auf die für die Datenverarbeitung verantwortliche Stelle abzustellen sei (was vorliegend für die Beklagte und damit für irisches Datenschutzrecht sprechen könnte).

(2)
Schon der rechtliche Ausgangspunkt ist nicht überzeugend. Gerade für das Datenschutzrecht fehlt es an einer vollständigen Harmonisierung innerhalb der EU, so dass sogar die Richtlinie über den elektronischen Geschäftsverkehr — wie erörtert - vom Herkunftslandprinzip für den Bereich des Datenschutzes eine Ausnahme bestimmt.

Für ein Gebot, bei mehreren Niederlassungen in der EU nur ein nationales Datenschutzrecht anzuwenden und dabei etwa auf die Niederlassung mit der engsten Verbindung zur streitigen Datenverarbeitung abzustellen, findet sich in der Datenschutzrichtlinie weder nach ihrem Wortlaut noch nach ihrer Ratio und den hierzu getroffenen Erwägungen ein hinreichender Anhalt. Eine Konzentration auf ein nationales Datenschutzrecht kommt nur dann in Betracht, wenn das datenverarbeitende Unternehmen innerhalb der EU seinen Sitz hat und keine (im oben genannten Sinne qualifizierte) Niederlassung in anderen EU-Ländern unterhält. Besteht aber eine solche Niederlassung in einem anderen EU-Land, findet allein Art. 4 Abs. 1 lit. a der Datenschutzrichtlinie Anwendung, der schon nach seinem Wortlaut keinen Anhalt für eine Konzentration auf das Datenschutzrecht eines einzigen EU-Landes enthält. Im Gegenteil: Art. 4 Abs. 1 lit. a Satz 2 der
Datenschutzrichtlinie regelt den Fall einer Mehrzahl von Niederlassungen in verschiedenen Mitgliedstaaten dahin, dass der für die Datenverarbeitung Verantwortliche für "jede dieser Niederlassungen die im jeweils anwendbaren einzelstaatlichen Recht festgelegten Verpflichtungen einhält", also das einschlägige nationale Datenschutzrecht für jedes EU-Land (mithin auch mehrere nationale Datenschutzregelungen) anwendet, in dem er eine Niederlassung unterhält. Danach soll der allein in einem einzigen EU-Land ansässige Unternehmer datenschutzrechtlich privilegiert werden, diese Privilegierung aber dann verlieren, wenn er weitergehend mit einer Niederlassung auch in einem anderen EU-Land tätig wird. Mit der Eröffnung einer solchen Niederlassung sind somit auch umfangreichere Verantwortlichkeiten verbunden.

Auch den genannten Entscheidungen des EuGH (Google Spain, Amazon und Weltimmo) ist kein Anhalt für eine Konzentration auf eine Niederlassung zu entnehmen. Dabei ging es sowohl in der Entscheidungen Weltimmo (TZ 17 und TZ 38) als auch in der Entscheidung Amazon (TZ 29 und TZ 80) um eine Mehrzahl von Niederlassungen in der EU. Insoweit verweist der EuGH zu Recht darauf, dass - wenn der Verantwortliche im Hoheitsgebiet mehrerer Mitgliedstaaten niedergelassen ist - er vor allem zur Vermeidung von Umgehungen höherer Datenschutzniveaus sicherstellen muss, dass jede dieser Niederlassungen die Verpflichtungen einhält, die im jeweiligen einzelstaatlichen Recht vorgesehen sind, dass auf ihre jeweiligen Tätigkeiten anwendbar ist (EuGH, aaO, Google Spain, TZ 48; aaO, Weltimmo, TZ 28)."

Den Volltext der Entscheidung finden Sie hier:

OVG Münster: Fahrerberwertungsportal fahrerbewertung.de datenschutzrechtlich unzulässig soweit private Daten für Öffentlichkeit einsehbar

OVG Münster
Urteil vom 19.10.2017
16 A 770/17


Das OVG Münster hat entschieden, dass das Fahrerberwertungsportal fahrerbewertung.de datenschutzrechtlich unzulässig ist, soweit private Daten für Öffentlichkeit einsehbar sind. Insofern geht das Recht auf informationelle Selbstbestimmung der betroffenen Personen vor.

Die Pressemitteilung des OVG Münster:

Fahrerbewertungsportal muss geändert werden

Das Internetportal "www.fahrerbewertung.de" ist in seiner derzeitigen Ausgestaltung datenschutzrechtlich unzulässig. Dies hat heute das Oberverwaltungsgericht ent­schieden und damit Anordnungen der NRW-Landesbeauftragten für Datenschutz und Informationsfreiheit zur Umgestaltung der Plattform bestätigt.

Die Klägerin betreibt ein Online-Portal, mit dem das Fahrverhalten von Verkehrsteil­nehmern und -teilnehmerinnen unter Angabe des Kfz-Kennzeichens im Wesentlichen anhand eines Ampelschemas (grün = positiv, gelb = neutral, rot = negativ) bewertet werden kann. Die abgegebenen Bewertungen können von jedermann ohne Regist­rierung eingesehen werden. Die Landesbeauftragte für Datenschutz sieht darin einen Verstoß gegen das Bundesdatenschutzgesetz. Sie gab der Klägerin unter anderem auf, die Plattform so umzugestalten, dass nur noch der jeweilige Halter oder die jeweilige Halterin eines Fahrzeugs die dafür abge­gebenen Bewertungen einsehen kann und sich zu diesem Zweck zuvor registrieren muss. Die dagegen erhobene Klage hatte das Verwaltungsgericht abgewiesen. Die Berufung hat das Oberverwaltungsgericht heute zurückgewiesen.

Zur Begründung hat der 16. Senat im Wesentlichen ausgeführt: Das Bundesdatenschutzgesetz sei vorliegend anwendbar, insbesondere handele es sich bei den zu bestimmten Kfz-Kennzeichen abgegebenen Bewertungen um personenbezogene Daten. Im Rahmen der vorzunehmenden Abwägung überwiege das informationelle Selbstbestimmungsrecht der betroffenen Kraftfahrzeughalter und -halterinnen ge­genüber den Interessen der Klägerin sowie der Nutzer und Nutzerinnen des Portals, weil eine vollständig anonyme Bewertung von in der Regel privat motiviertem Verhal­ten für eine unbegrenzte Öffentlichkeit einsehbar sei. Dem stünden keine gewichti­gen Interessen der Klägerin und der Portalnutzer und -nutzerinnen entgegen. Insbe­sondere das Ziel, die Fahrer zur Selbstreflexion anzuhalten, könne auch unter Gel­tung der Anordnungen erreicht werden.

Das Oberverwaltungsgericht hat die Revision gegen das Urteil nicht zugelassen. Da­gegen kann Nichtzulassungsbeschwerde erhoben werden, über die das Bundesver­waltungsgericht entscheidet.

Aktenzeichen: 16 A 770/17 (I. Instanz: VG Köln, 13 K 6093/15)

VG Karlsruhe: Anweisungen nach der EU-Datenschutz-Grundverordnung (EU-DSGVO) durch datenschutzrechtliche Aufsichtsbehörde erst ab In-Kraft-Treten am 25.05.2018

VG Karlsruhe
Urteil vom 6.7.2017
10 K 7698/16


Das VG Karlsruhe hat entschieden, dass Anweisungen nach der nach der EU-Datenschutz-Grundverordnung (EU-DSGVO) erst ab In-Kraft-Treten am 25.05.2018 zulässig sind.

Aus den Entscheidungsgründen:

"1. Für die datenschutzrechtliche Verfügung des Beklagten liegt keine Ermächtigungsgrundlage vor.

a) Die tatbestandlichen Voraussetzungen des als Ermächtigungsgrundlage herangezogenen § 38 Abs. 5 S. 1 BDSG liegen nicht vor. Hiernach kann die Aufsichtsbehörde zur Gewährleistung der Einhaltung des Bundesdatenschutzgesetzes und anderer Vorschriften über den Datenschutz Maßnahmen zur Beseitigung festgestellter Verstöße bei der Erhebung, Verarbeitung oder Nutzung personenbezogener Daten oder technischer oder organisatorischer Mängel anordnen. Die Ausübung der Befugnisse nach § 38 Abs. 5 S. 1 BDSG kommt in Betracht, wenn bei kontrollierten Stellen keine Bereitschaft zur Behebung der von der Aufsichtsbehörde gerügten Mängel oder Rechtsverletzungen festzustellen ist (Petri in Simitis, BDSG, 8. Aufl. 2014, § 38 Rn. 72). Eine aufsichtsbehördliche Maßnahme ist nicht erst dann zulässig, wenn die betreffende Datenverarbeitung ins Werk gesetzt ist. Insbesondere bei besonders sensiblen und sogar strafrechtlich geschützten Daten kann die Aufsichtsbehörde Anordnungen bereits treffen, wenn die unzulässige Datenverarbeitung durch ein Vertragswerk schon deutlich vorgezeichnet ist und dieses Vertragswerk in Kraft getreten ist (vgl. OVG Schleswig-Holstein, Beschluss vom 12.01.2011 - 4 MB 56/10 -, juris).

Diese Voraussetzungen sind vorliegend nicht erfüllt. Festgestellte Datenschutzverstöße durch die Klägerin, welche seitens der Aufsichtsbehörde gerügt worden wären, liegen der angefochtenen Verfügung unstreitig nicht zugrunde. Gleiches gilt für technische oder organisatorische Mängel. Ausweislich der Verfügungsbegründung sollen keine gegenwärtigen Datenschutzverstöße der Klägerin unterbunden, sondern vielmehr Missstände verhindert werden, die nach dem 24.05.2018 zu erwarten seien. Soweit der Landesbeauftragte für den Datenschutz Baden-Württemberg insoweit die aus der Rechtsprechung des Oberverwaltungsgerichts Schleswig-Holstein abgeleiteten Grundsätze für anwendbar hält, wonach bei Vorliegen besonderer Umstände auch künftig zu erwartende Datenschutzverstöße bereits ein Tätigwerden der Aufsichtsbehörde zuließen, vermag die erkennenden Kammer dem nicht zu folgen. Denn anders als in der der herangezogenen Entscheidung zugrundliegenden Konstellation ist das künftige Verhalten der Klägerin nicht durch ein bereits in Kraft getretenes Vertragswerk oder eine vergleichbare tragfähige Grundlage deutlich vorgezeichnet. Es ist vielmehr noch völlig ungewiss, wie die Prüf- und Löschpraxis der Klägerin bezüglich forderungsbezogener Daten künftig unter Geltung der EU-Datenschutzgrundverordnung aussehen wird und ob diese rechtswidrig sein wird, zumal auch der genaue rechtliche Rahmen hierfür noch unklar ist.

Die derzeit geltende Regelung des § 35 Abs. 2 S. 2 Nr. 4 BDSG, wonach personenbezogene Daten zu löschen sind, wenn sie geschäftsmäßig zum Zweck der Übermittlung verarbeitet werden und eine Prüfung jeweils am Ende des vierten, soweit es sich um Daten über erledigte Sachverhalte handelt und der Betroffene der Löschung nicht widerspricht am Ende des dritten Kalenderjahres beginnend mit dem Kalenderjahr, das der erstmaligen Speicherung folgt, ergibt, dass eine längerwährende Speicherung nicht erforderlich ist, wird mit Neufassung des Bundesdatenschutzgesetz durch das Datenschutz-Anpassungs- und Umsetzungsgesetz EU vom 30.06.2017 (BGBl. I, S. 2097 ff.) nicht fortbestehen. Die Datenschutzgrundverordnung enthält über den Erforderlichkeitsgrundsatz (vgl. Art. 5 Abs. 1 Buchst. e EU-DSGVO) hinaus keine konkreten Vorgaben zu den Prüf- und Löschfristen. Ihr ist lediglich – unter anderem in Erwägungsgrund 39 – zu entnehmen, dass der Verantwortliche die Dauer seiner Datenverarbeitung unabhängig von einem entsprechenden Verlangen des Betroffenen nach Art. 17 EU-DSGVO („Recht auf Vergessenwerden“) regelmäßig zu überprüfen hat. Hierbei kann auf typisierte Regelprüffristen für wiederkehrende Vorgänge zurückgegriffen werden, da es gerade Unternehmen, die in großem Umfang Daten verarbeiten – wie etwa Auskunfteien – nicht zuzumuten ist, jeden Einzelfall gesondert zu bewerten (vgl. Plath in: Plath, BDSG/DSGVO, 2. Aufl. 2016, Art. 5 EU-DSGVO Rn. 18). Eine Überprüfung kann in bestimmten Intervallen erfolgen, so wie es beispielsweise bislang nach § 35 Abs. 2 S. 2 Nr. 4 BDSG möglich und zulässig war (vgl. Kamlah in: Plath, a.a.O., Art. 17 EU-DSGVO Rn. 6).

Einen Vorschlag bezüglich der Prüf- und Löschfristen unter Geltung der EU-Datenschutzgrundverordnung enthält der vom Verband der Wirtschaftsauskunfteien, dem auch die Klägerin angehört, ausgearbeitete Entwurf von Verhaltensregeln („Code of Conduct“). Nach Art. 40 Abs. 2 EU-DSGVO können Verbände oder andere Vereinigungen, die Kategorien von Verantwortlichen oder Auftragsverarbeitern vertreten, Verhaltensregeln ausarbeiten oder ändern oder erweitern, mit denen die Anwendung der Verordnung präzisiert wird. Auf Antrag nimmt die zuständige Aufsichtsbehörde in einem zweistufigen Verfahren dazu Stellung, ob die vorgelegten Verhaltensregeln mit der Verordnung vereinbar sind und genehmigt diese, soweit sie „ausreichende geeignete Garantien“ bieten (vgl. Art. 40 Abs. 5 S. 2 EU-DSGVO). Ein entsprechender Antrag bei der hier zuständigen Aufsichtsbehörde des Landes Nordrhein-Westfalen ist – wie die Prozessbevollmächtigten der Klägerin in der mündlichen Verhandlung vom 06.07.2017 angegeben haben – formal noch nicht gestellt worden. Aktuell finde noch die Abstimmung und Konsensbildung mit den im Düsseldorfer Kreis vertretenen Aufsichtsbehörden des Bundes und der Länder für den nicht-öffentlichen Bereich statt. Ausweislich des Protokolls der letzten Sitzung des Düsseldorfer Kreises vom 07.03.2017 (abrufbar unter: https://www.ldi.nrw.de/mainmenu_Service/submenu_Entschliessungsarchiv/Inhalt/Protokolle/Inhalt/Protokolle_des_Duesseldorfer_Kreises/Inhalt/7_-Maerz-2017/DK-2017_1-Protokoll.pdf) hat der „Code of Conduct Prüf- und Löschfristen in der Fassung des Entwurfs vom 28.02.2017“ bei einer Probeabstimmung zwar eine mehrheitliche Zustimmung, jedoch nicht die nach der Geschäftsordnung des Düsseldorfer Kreises erforderliche einstimmige Zustimmung erhalten. Mehrheitlich befürworte der Düsseldorfer Kreis, dass Nordrhein-Westfalen als genehmigende Aufsichtsbehörde dem Verband der Wirtschaftsauskunfteien empfehlen solle, den Bundesverband Verbraucherzentralen bei der „weiteren Ausarbeitung des Code of Conduct“ zu beteiligen (vgl. Protokoll der Sitzung vom 07.03.2017, S. 7). Vor dem Hintergrund des nach wie vor laufenden Verfahrens steht weder fest, ob es überhaupt zu einer späteren Genehmigung von Verhaltensregeln zu den Prüf- und Löschfristen kommen wird, noch wie diese letztlich ausgestaltet sein werden. Angesichts dessen kann die weitere Frage der Wirkung und Verbindlichkeit von genehmigten Verhaltensregeln dahingestellt bleiben. Nach dem Voranstehenden fehlt es bereits an einer Grundlage, welche die getroffene Einschätzung tragen könnte, wonach die Klägerin mit ihrer – derzeit im Übrigen noch ungewissen – künftigen Prüf- und Löschpraxis gegen die – ggf. noch zu konkretisierenden – Vorgaben der EU-Datenschutzgrundverordnung verstoßen würde.

Insbesondere kann auch nicht davon ausgegangen werden, dass nur eine Handhabung entsprechend der in der angegriffenen Verfügung vorgesehenen Prüf- und Löschpraxis mit der EU-Datenschutzgrundverordnung vereinbar wäre. Denn die vom Landesbeauftragen für den Datenschutz Baden-Württemberg für angemessen erachtete Frist, wonach Forderungen im Sinne von § 28a BDSG und die mit diesen in Zusammenhang stehenden Informationen über Personen, die die Klägerin in ihren Datenbeständen, aus denen Bonitätsauskünfte erteilt würden, nach dem 24.05.2018 speichere, spätestens nach Ablauf von drei Jahren, beginnend mit dem Zeitpunkt der Fälligkeit der Forderung, zu löschen seien, es sei denn, dass der Betroffene zu diesem Zeitpunkt zahlungsunfähig oder zahlungsunwillig sei, stellt keineswegs die einzig mögliche Speicher- und Löschkonzeption dar, die mit der EU-Datenschutzgrundverordnung in Einklang steht bzw. sich aus selbiger zwingend ergibt. Die künftige Prüf- und Löschpraxis der Auskunfteien muss sich – wie bereits dargestellt wurde – am Erforderlichkeitsmaßstab des Art. 5 Abs. 1 Buchst. e EU-DSGVO messen lassen, der in Hinblick auf Fristlänge und Anknüpfungsmoment einen Spielraum eröffnet. Die erkennende Kammer muss vorliegend nicht darüber entscheiden, wo die Grenzen dieses Spielraums erreicht sind. Sie geht aber – worauf es hier alleine ankommt – jedenfalls davon aus, dass innerhalb des vorhandenen Spielraums eine gewisse Bandbreite an mit der EU-Datenschutzgrundverordnung in Einklang stehenden Prüf- und Löschfristen zulässig ist.

b) Entgegen den Ausführungen der Beklagten ergibt sich eine Ermächtigungsgrundlage für die angegriffene Verfügung auch nicht aus § 38 Abs. 5 S. 1 BDSG i.V.m. Erwägungsgrund 39 der EU-DSGVO. Aus diesem Erwägungsgrund geht unter anderem hervor, dass der Verantwortliche Fristen für die Löschung oder regelmäßige Überprüfung personenbezogener Daten vorsehen sollte, um sicherzustellen, dass die Daten nicht länger als nötig gespeichert werden.

Zunächst kann dahingestellt bleiben, ob aus einem Erwägungsgrund einer zwar in Kraft getretenen, jedoch noch nicht anwendbaren Verordnung in Verbindung mit einer Regelung, die bei Geltung der Verordnung weggefallen sein wird, eine Rechtsgrundlage hergeleitet werden kann. Denn jedenfalls ergibt sich auch aus dem ergänzend herangezogenen Erwägungsgrund nicht, dass die Klägerin bereits vor Geltung der Verordnung verpflichtet wäre, der Verfügung entsprechende Überprüfungs- und Löschfristen zu schaffen und sie hierzu bereits vor Anwendbarkeit der Verordnung durch die Aufsichtsbehörde verpflichtet werden könnte. Eine frühzeitige Anpassung ihrer Datenschutzlöschkonzeption an die EU-Datenschutzgrundverordnung liegt unzweifelhaft im Interesse der Klägerin, da bei Verstößen gegen das europäische Datenschutzrecht erhebliche Sanktionen drohen (vgl. nur Art. 83 Abs. 5 Buchst. a EU-DSGVO zu Verstößen gegen die Grundsätze der Verarbeitung gemäß Art. 5 EU-DSGVO). Eine Ermächtigung für ein Tätigwerden der Aufsichtsbehörde bereits vor Geltung der EU-Datenschutzgrundverordnung – gewissermaßen um frühzeitig sicherzustellen, dass die künftig anwendbaren Vorschriften unter Berücksichtigung der Rechtsauffassung der Aufsichtsbehörde durch die Verantwortlichen eingehalten werden – lässt sich jedoch weder der Verordnung im Wege einer Vorwirkung, noch den aktuell geltenden Bestimmungen des Bundesdatenschutzgesetzes entnehmen.

c) Soweit der Beklagte auf Art. 58 Abs. 2 Buchst. d EU-DSGVO verweist, wonach jede Aufsichtsbehörde über Abhilfebefugnisse verfügt, die es ihr gestatten, den Verantwortlichen oder den Auftragsverarbeiter anzuweisen, Verarbeitungsvorgänge gegebenenfalls auf bestimmte Weise und innerhalb eines bestimmten Zeitraums in Einklang mit der Verordnung zu bringen, kann die am 25.11.2016 erlassene Verfügung bereits deshalb nicht auf diese Ermächtigungsgrundlage gestützt werden, da diese erst ab 25.05.2018 Gültigkeit beanspruchen wird (vgl. Art. 99 Abs. 2 EU-DSGVO)."


Den Volltext der Enstcheidung finden Sie hier:

AG München: Bußgeld wegen Verstoß gegen Bundesdatenschutzgesetz durch Dashcam im PKW

AG München
Urteil vom 09.08.2017
1112 OWi 300 Js 121012/17


Das AG München hat einen Bußgeldbescheid wegen des Verstoßes gegen das Bundesdatenschutzgesetz durch die Verwendung einer Dashcam im PKW bestätigt.

Die Pressemitteilung des AG München:

Das Auto im Fokus - Verstoß gegen das Bundesdatenschutzgesetz

Am 09.08.2017 wurde eine 52-jährige Geschäftsführerin aus München wegen vorsätzlicher unbefugter Erhebung und Verarbeitung und Bereithaltung von personenbezogenen Daten, die nicht allgemein zugänglich sind, vom Amtsgericht München zu einer Geldbuße von 150 Euro verurteilt.

Die Betroffene parkte am 11.08.2016 von circa 13.00 Uhr bis 16.00 Uhr ihren PKW BMW X1 in der Mendelssohnstraße in München. Das Fahrzeug war vorne und hinten mit einer Videokamera ausgestattet. Die Kameras fertigten laufend Videoaufzeichnungen des vor und hinter dem Fahrzeug befindlichen öffentlichen Verkehrsraums. Diese Aufzeichnungen wurden gespeichert. Auf diese Weise wurden mindestens drei andere Fahrzeuge, die sich vor oder hinter dem Straßenraum des geparkten Fahrzeugs befanden, aufgezeichnet. Die Videoaufzeichnungen wurden durch die Betroffene der Polizei übergeben, da ein anderes Fahrzeug ihr geparktes Fahrzeug gestreift und beschädigt hat und sie die Videoaufzeichnungen als Beweismittel vorlegen wollte.

Gegen die Betroffene wurde ein Bußgeldverfahren eingeleitet und ein Bußgeldbescheid erlassen wegen Verstoßes gegen das Bundesdatenschutzgesetz.

Sie legte dagegen Einspruch ein. Sie ist der Meinung, dass durch die Aufnahme von Autokennzeichen keine schützenswerten Daten erhoben und gespeichert worden seien. Es sei ihr nur darauf angekommen, potentielle Täter einer Sachbeschädigung am PKW ermitteln zu können. Die einzelnen Fahrer der entsprechenden vor oder hinter dem PKW parkenden Autos seien nicht erkennbar gewesen.

Der zuständige Richter am Amtsgericht München beurteilte ihr Verhalten als vorsätzliche Ordnungswidrigkeit. „Nach Auffassung des Gerichtes überwiegt hier im vorliegenden Fall das Recht der gefilmten Personen auf informationelle Selbstbestimmung. Das Interesse der Betroffenen an der Aufdeckung von einer potentiellen Straftat muss hierbei zurückstehen. Das permanente anlasslose Filmen des vor und hinter dem geparkten Fahrzeug befindlichen Straßenraums verletzt das Recht auf informationelle Selbstbestimmung und stellt einen schwerwiegenden Eingriff in dieses Recht dar. Es geht nicht an, dass 80 Millionen Bundesbürger mit Kameras herumlaufen, um irgendwelche Situationen aufnehmen zu können, die eine Straftat aufdecken könnten. Eine permanente Überwachung jeglichen öffentlich Raumes durch Privatbürger ist nicht zulässig, da es in das Recht unbeteiligter Personen in schwerwiegender Weise eingreift, selbst bestimmen zu können, wo und wann man sich aufhält, ohne dass unbeteiligte Personen dies dokumentieren und bei Behörden verwenden würden“, so das Urteil.

Das Gesetz sieht eine Geldbuße bis zu 300.000 Euro vor. Bei der Höhe hat das Gericht berücksichtigt, dass die Betroffene nur 1500 Euro netto verdient. „Zu ihren Gunsten konnte gewertet werden, dass offenbar in der Vergangenheit das Fahrzeug schon einmal beschädigt worden ist und die Betroffene subjektiv einen Anlass hatte, die Kameras einzusetzen“.

Urteil des Amtsgerichts München vom 09.08.2017, Aktenzeichen 1112 OWi 300 Js 121012/17

Das Urteil ist nicht rechtskräftig.


OLG Karlsruhe: Schriftform für Zustimmung zur Erhebung, Verarbeitung und Nutzung personenbezogener Daten sofern nicht andere Form angemessen

OLG Karlsruhe
Beschluss vom 28.06.2017
1 Rb 8 Ss 540/16


Das OLG Karlsruhe hat entschieden, dass die Zustimmung zur Erhebung, Verarbeitung und Nutzung personenbezogener Daten nach § 4 Abs. 1 BDSG denicht wegen besondere Umstände eine andere Form angemessen istr Schriftform bedarf, sofern nicht wegen besondere Umstände eine andere Form angemessen ist (§ 4a Abs. 1 Satz 3 BDSG)

Aus den Entscheidungsgründen:

b. Die Erhebung, Verarbeitung und Nutzung personenbezogener Daten war vorliegend auch nicht zulässig, da weder das Bundesdatenschutzgesetz noch eine andere Rechtsvorschrift dies erlaubt oder angeordnet hatte und außerdem auch keine datenschutzrelevante Zustimmung des Betroffenen vorlag (§ 4 Abs.1 BDSG). Dass die vom Zeugen R. im Rahmen der G 25 Untersuchung erteilte schriftliche Zustimmung zur Datenweitergabe an seine Arbeitgeber auch die Erhebung und Verarbeitung der Daten aus dem Drogenscreening erfasst hätte, ist den Urteilsgründen nicht zu entnehmen. Eine solche schriftliche Einwilligung ist jedoch erforderlich, soweit nicht wegen besondere Umstände eine andere Form angemessen ist (§ 4a Abs. 1 Satz 3 BDSG). Hiervon ist jedoch nicht auszugehen, da die Schriftform eine Schutz- und Warnfunktion für den zu einer Einwilligung Aufgeforderten erfüllt (Beck-OK-BDSG/Kühling, 18. Edition vom 1.11.2016, § 4a Rn. 49). Dieser soll nicht übereilt zustimmen, sondern die Chance erhalten, sich seiner Entscheidung bewusst zu werden (Beck-OK-BDSG/Kühling, a.a.O.). Der Ausnahmecharakter der Vorschrift gebietet daher eine restriktive Auslegung (Beck-OK-BDSG/Kühling, a.a.O.). Auch sind besondere und eine andere Form rechtfertigende Umstände, wie etwa eine besondere Eilbedürftigkeit im Interesse des Betroffenen, vorliegend nicht ersichtlich.


Den Volltext der Entscheidung finden Sie hier:

VG Hamburg: Facebook darf personenbezogene Daten von WhatsApp-Nutzern nur bei Vorliegen einer ausreichenden Einwilligungserklärung nach deutschem Recht nutzen

VG Hamburg
Beschluss vom 24.04.2017
13 E 5912/16

Das VG Hamburg hat entschieden, dass Facebook personenbezogene Daten von WhatsApp-Nutzern nur bei Vorliegen einer ausreichenden Einwilligungserklärung nach deutschem Recht nutzen darf.

Den Volltext der Entscheidung finden Sie hier:

Die Pressemitteilung des VG Hamburg:

Verwaltungsgericht Hamburg entscheidet: Facebook darf vorerst personenbezogene Daten deutscher WhatsApp-Nutzer nur bei Vorliegen einer den deutschen Datenschutzvorschriften entsprechenden Einwilligung verwenden

Ende August 2016 hat WhatsApp Inc., die 2014 von der Facebook Unternehmensgruppe übernommen worden ist, eine Aktualisierung seiner Nutzungsbedingungen und Datenschutzrichtlinien bekannt gegeben, durch die eine - bis dahin nach den Nutzungsbedingungen nicht zugelassene - Weitergabe von personenbezogenen Daten an die Facebook Unternehmensgruppe vorgesehen ist. Mit sofort vollziehbarem Bescheid vom 23. September 2016 untersagte der Hamburgische Beauftragte für Datenschutz und Informationssicherheit (Datenschutzbeauftragte) der Facebook Ireland Ltd. (Facebook) - dem internationalen Hauptsitz der Facebook Unternehmensgruppe -, die personenbezogenen Daten deutscher WhatsApp-Nutzer zu erheben und zu speichern, soweit und solange ein den deutschen Datenschutzvorschriften entsprechende Einwilligung nicht vorliege (Ziffer 1). Zugleich ordnete der Datenschutzbeauftragte die Löschung von personenbezogenen Daten an, die ohne die notwendige Einwilligung erhoben worden sind, sowie die Dokumentation der Löschung (Ziffer 2 und 3). Gegen diese Verfügung legte Facebook Widerspruch ein und beantragte einstweiligen Rechtsschutz beim Verwaltungsgericht Hamburg.
AZ: 13 E 5912/16
Das Verwaltungsgericht hat entschieden, dass der Bescheid des Datenschutzbeauftragten der Freien und Hansestadt Hamburg, soweit er die angeordnete Löschung und deren Dokumentation betrifft, aufgrund eines formellen Fehlers nicht sofort vollziehbar sei; insoweit muss der Bescheid nicht befolgt werden.
Hingegen dürfe Facebook personenbezogene Daten von deutschen WhatsApp-Nutzern ohne eine Einwilligung, die den Anforderungen an die deutschen Datenschutzvorschriften entspreche, auch während des laufenden Verfahrens nicht nutzen. Zwar sei offen, ob Facebook mit seinem Widerspruch Erfolg haben werde. Derzeit sei noch nicht hinreichend geklärt, ob deutsches Datenschutzrecht zur Anwendung komme und der Datenschutzbeauftragte gegen die in Irland firmierende Facebook Ltd. vorgehen könne. Sofern das deutsche Datenschutzrecht zur Anwendung komme, wäre die Anordnung des Datenschutzbeauftragten jedoch voraussichtlich rechtmäßig. Denn die von WhatsApp benutzten Zustimmungserklärungen würden den Anforderungen des deutschen Datenschutzrechts nicht genügen.

Im Rahmen der daher vorzunehmenden Interessenabwägung überwiege das Interesse der deutschen WhatsApp-Nutzer. Denn der Schutz der personenbezogenen Daten stelle ein grundrechtlich geschütztes Rechtsgut von hohem Wert dar, in das durch die geplante Weitergabe qualitativ und quantitativ erheblich eingegriffen werde.

Gegen die Entscheidung des Verwaltungsgerichts kann Beschwerde an das Hamburgische Oberverwaltungsgericht eingelegt werden.


VG Köln: Portal zur Bewertung anderer Autofahrer datenschutzwidrig soweit Dritte Daten einsehen können - datenschutzrechtliche Anordnung rechtmäßig

VG Köln
Urteil vom 16.02.2017
13 K 6093/15


Das VG Köln hat entschieden, dass ein Internetportal zur Bewertung anderer Autofahrer datenschutzwidrig ist soweit Dritte und nicht nur der jeweilige Autofahrer die gespeicherten Daten zu seinem KFZ-Kennzeichen einsehen können.

Die Pressemitteilung des VG Köln:

Bewertungsportal für Autofahrer muss angepasst werden

Das Verwaltungsgericht Köln hat mit heute verkündetem Urteil entschieden, dass die gegenüber der Betreiberin eines Fahrer-Bewertungsportals ergangene datenschutzrechtliche Anordnung rechtmäßig ist.

Derzeit können Nutzer dieses Portals das Fahrverhalten anderer Personen unter Angabe eines Kfz-Kennzeichens nach einem Ampelschema (rot = negativ, gelb = neutral, grün = positiv) bewerten. Eine Detail-Bewertung erfolgt durch Auswahl aus vorgegebenen Bewertungen. Die Bewertungsergebnisse zu einzelnen Kfz-Kennzeichen sind in Form einer durchschnittlichen Schulnote für jeden Nutzer einsehbar. Die Klägerin beabsichtigt, mithilfe des Portals Autofahrer dazu anzuhalten, die eigene Fahrweise zu überdenken. Auf diese Weise möchte sie einen Beitrag zu mehr Sicherheit im Straßenverkehr leisten.

Der beklagte Datenschutzbeauftragte für das Land Nordrhein-Westfalen hat der Klägerin aufgegeben, das Portal so zu verändern, dass nur noch nach bestimmten Vorgaben registrierte Kfz-Halter die Bewertungsergebnisse zu ihrem eigenen Kfz-Kennzeichen abrufen können. Damit soll eine Prangerwirkung des Portals verhindert werden.

Die hiergegen erhobene Klage hat die Kammer abgewiesen. Zur Begründung hat sie ausgeführt, dass die auf dem Fahrerbewertungsportal zu einzelnen Kfz-Kennzeichen erhobenen und gespeicherten Daten personenbezogen seien. Die jeweiligen Fahrer bzw. Fahrzeughalter könnten von der Klägerin und auch Portalnutzern mit verhältnismäßigem Aufwand bestimmt werden. Der Datenschutz der bewerteten Fahrer überwiege das Informationsinteresse der Nutzer. Letzteres sei weniger schützenswert als beispielsweise das Interesse einer Person, die sich vor einem Arztbesuch auf einem Ärztebewertungsportal informiere. Bei dem Fahrerbewertungsportal stehe eine Prangerwirkung einzelner Fahrer im Vordergrund. Das von der Klägerin nach ihren Angaben verfolgte Ziel könne auch erreicht werden, wenn Bewertungen – wie von der Anordnung des Landesdatenschutzbeauftragten vorgegeben – lediglich an die Betroffenen selbst übermittelt würden.

Gegen das Urteil kann Berufung eingelegt werden, über die das Oberverwaltungsgericht in Münster entscheidet.


Datenschutz für Unternehmen - Vertretung in datenschutzrechtlichen Aufsichtsverfahren - Wir beraten Unternehmen bundesweit

Das Thema Datenschutz ist immer häufiger Gegenstand von rechtlichen Auseinandersetzungen. Dabei sind zahlreiche Rechtsfragen umstritten und die gesetzlichen Vorgaben wie beispielsweise durch die EU-Datenschutz-Grundverordnung in Bewegung. Die handwerklichen Missgeschicke des Gesetzgebers erschweren dabei zusätzlich für Unternehmen die datenschutzkonforme Umsetzung der rechtlichen Vorgaben.

Auch die Datenschutzbehörden der Länder gehen im Rahmen von datenschutzrechtlichen Aufsichtsverfahren zunehmend gegen Unternehmen vor. Die Themenfelder sind vielfältig. Neben dem Umgang mit personenbezogenen Daten, der Auftragsdatenverarbeitung, der Sicherheit von Websites, Analysetools und Social-Media-Plugins, sind oft auch interne Bereiche von Unternehmen betroffen. So sind etwa der Umgang mit Mitarbeiterdaten, die Videoüberwachung des Betriebsgeländes oder andere Überwachungsmaßnahmen der Mitarbeiter immer Auslöser von datenschutzrechtlichen Aufsichtsverfahren. Dabei drohen Untersagungsverfügungen und Ordnungsgelder.

Erfolgt eine Anhörung durch die zuständige Datenschutzbehörde, so gilt es für Unternehmen Ruhe zu bewahren. Nicht alle Forderungen der Datenschützer sind berechtigt. Dies gilt um so mehr, als je nach Bundesland unterschiedliche Tendenzen auszumachen sind. Jedenfalls empfiehlt es sich bereits im Anhörungsverfahren rechtliche fundiert vorzutragen, um rechtliche Schwierigkeiten zu verhindern oder Argumentationswege zu verbauen. Oft lässt sich eine einvernehmliche Regelung mit der Datenschutzbehörde erzielen.




OLG Köln: Schmerzensgeldanspruch bei datenschutzwidriger Weitergabe von Gesundheitsdaten - Verletzung des Rechts auf informationelle Selbstbestimmung

OLG Köln
Urteil vom 30.09.2016
26 O 251/15


Das OLG Köln hat entschieden, dass bei bei datenschutzwidriger Weitergabe von Gesundheitsdaten, ein Anspruch auf Schmerzensgeld bzw. angemessene Entschädigung wegen Verletzung des Rechts auf informationelle Selbstbestimmung bestehen kann.

Aus den Entscheidungsgründen:

"Das Landgericht hat als Anspruchsgrundlage für einen Schadensersatzanspruch allein § 7 BDSG geprüft, der – worauf die Beklagte hinweist – keinen Anspruch auf Ersatz immaterieller Schäden gewährt (Simitis, Bundesdatenschutzgesetz, 8. Aufl., § 7 Rn. 32). Es kommen daneben aber weitere Anspruchsgrundlagen in Betracht, etwa aus dem bürgerlichrechtlichen Deliktsrecht, wie aus § 823 Abs. 1 BGB, weil das Recht auf informationelle Selbstbestimmung ein sonstiges Recht im Sinne dieser Vorschrift ist, aus § 823 Abs. 2 BGB in Verbindung mit Bestimmungen des Bundesdatenschutzgesetzes und aus § 826 BGB. Vorliegend kommt vor allem ein Anspruch des Klägers aus einer vertraglichen oder vertragsähnlichen Beziehung mit der Beklagten in Betracht. Insoweit – wie auch bei einem Anspruch aus § 823 Abs. 1 BGB oder aus § 826 BGB – ist für die Annahme einer Rechts- bzw. Vertragsverletzung unerheblich, ob die Weitergabe des Urteils durch die Beklagte – was diese anzweifelt – unter das Bundesdatenschutzgesetz fällt.

Der durch eine rechtswidrige und schuldhafte Verletzung seines PersönIichkeitsrechts Betroffene kann Ersatz des immateriellen Schadens beanspruchen, wenn die Umstände eine solche Genugtuung erfordern (BGH, Urt. v. 19.9.1961 – VI ZR 259/60, BGHZ 35, 363). Verletzungen des Allgemeinen Persönlichkeitsrechts können auf Grund seines verfassungsrechtlichen Rangs (Art. 1 Abs. 1 und Art. 2 Abs. 1 GG) und seiner Ähnlichkeit zum Eingriff in den Körper und die Gesundheit ein Schmerzensgeld begründen (BeckOK BGB/Spindler, Stand 1.5.2016, § 253 Rn. 16 mwN.).

[...]

Die Gesundheitsdaten des Klägers, die der Beklagten durch den geschäftlichen Kontakt der Parteien bekannt geworden waren, durfte sie grundsätzlich nicht an Dritte – und damit auch nicht an die U AG, ihre Konzernmutter und Arbeitgeberin des Klägers, – weitergeben.

Bei den Gesundheitsdaten handelt es sich um besonders sensible Daten, die als eine besondere Art personenbezogener Daten im Sinne des § 3 Abs. 9 BDSG gesetzlich besonders geschützt sind. Dass sie vom Gesetz als besonders sensibel eingeordnet werden, ergibt sich u.a. aus § 213 VVG, der die Erhebung von Gesundheitsdaten betrifft. Ihre Weitergabe berührt das Persönlichkeitsrecht auf informationelle Selbstbestimmung in besonderem Maße. Das allgemeine Persönlichkeitsrecht umfasst die Befugnis des Individuums, über die Preisgabe und Verwendung seiner persönlichen Daten – hier seiner Gesundheitsdaten – selbst zu bestimmen. Es entfaltet als objektive Norm seinen Rechtsgehalt auch im Privatrecht und strahlt so auf die Auslegung und Anwendung privatrechtlicher Vorschriften aus. Verkennt ein Gericht, das eine privatrechtliche Streitigkeit entscheidet, in grundsätzlicher Weise den Schutzgehalt des allgemeinen Persönlichkeitsrechts, verletzt es durch sein Urteil das Grundrecht des Bürgers in seiner Funktion als Schutznorm (BVerfG, Beschl. v. 17.7.2013 – 1 BvR 3167/08, NJW 2013, 3086 mwN.)."


Den Volltext der Entscheidung finden Sie hier:

BMI: Entwurf eines Gesetzes zur Anpassung des Datenschutzrechts an die EU-Datenschutzgrundverordnung liegt vor

Es liegt nunmehr der Referentenentwurf des Gesetzes zur Anpassung des Datenschutzrechts an die
Entwurf eines Gesetzes zur Anpassung des Datenschutzrechts an die Verordnung (EU) 2016/679 und zur Umsetzung der Richtlinie (EU) 2016/680 (Datenschutz-Anpassungs- und -Umsetzungsgesetz EU – DSAnpUG-EU)
vor.


VG Göttingen: Verwendung einer Dashcam durch eine Privatperson um Verkehrsverstöße anderer Verkehrsteilnehmer aufzuzeichnen ist datenschutzrechtswidrig

VG Göttingen
Beschluss vom 12.10.2016
1 B 171/16

Das VG Göttingen hat entschieden, dass die Verwendung einer Dashcam durch eine Privatperson, um Verkehrsverstöße anderer Verkehrsteilnehmer aufzuzeichnen, datenschutzrechtswidrig ist. Das Gericht bestätigte eine datenschutzrechtliche Verfügung der Landesbeauftragten für den Datenschutz Niedersachsen gegen den sogenannten "Knöllchen-Horst".

Die Pressemitteilung der Landesdan

"Entscheidung des Verwaltungsgerichts Göttingen Gericht bestätigt datenschutzrechtliche Verfügung gegen „Knöllchen-Horst

Die Landesbeauftragte für den Datenschutz Niedersachsen, Barbara Thiel, hat dem sehr speziellen Hobby eines Autofahrers aus dem Harz ein Ende gesetzt. Der in der Öffentlichkeit als „Knöllchen-Horst" bekannt gewordene Mann hatte es sich zur Aufgabe gemacht, vermeintliche oder tatsächliche Verkehrsverstöße anderer Verkehrsteilnehmer auch bei fehlender eigener Betroffenheit zur Anzeige zu bringen.

Als Beweismittel hatte er auf Fotos und Videosequenzen der an Front- und Heckscheibe seines Kfz befestigten sogenannten Dashcams zurückgegriffen.
Der Einsatz von Dashcams im öffentlichen Verkehr stellt einen schweren Eingriff in das Recht auf informationelle Selbstbestimmung der davon betroffenen Verkehrsteilnehmer dar. Die Landesdatenschutzbeauftrage hatte deshalb die Verwendung dieser Kameras zur Dokumentation des Verkehrsgeschehens untersagt und die Löschung der datenschutzwidrig angefertigten Videoaufnahmen angeordnet.

Diese Entscheidung der Datenschutzbeauftragten ist am 12.10.2016 vom Verwaltungsgericht Göttingen im Rahmen eines Eilrechtsschutzverfahrens bestätigt worden (Az.: 1 B 171/16). In dem kürzlich veröffentlichten Beschluss hat das Gericht auch darauf hingewiesen, dass die Verfolgung von Verkehrsverstößen eine öffentliche Aufgabe darstellt, deren Erfüllung Polizei und Ordnungsbehörden vorbehalten ist.

„Ich bin sehr froh, dass das Verwaltungsgericht die Maßnahmen meiner Behörde gegen diesen selbst ernannten Sachwalter öffentlicher Interessen gebilligt hat", so Thiel in einer ersten Reaktion auf den Gerichtsbeschluss. Damit sei zugleich die von den deutschen Datenschutz-Aufsichtsbehörden seit mehreren Jahren vertretene Auffassung zur Unzulässigkeit des Einsatzes von Dashcams bestätigt und deutlich gemacht worden, dass bereits die Anfertigung solcher Kamerabilder datenschutzwidrig ist.

„Der Gerichtsbeschluss hat nach meiner Auffassung auch für die aktuelle politische Diskussion über die Ausweitung der Überwachung öffentlicher Räume unter Nutzung von Kameras privater Betreiber Bedeutung. Das Gericht hat völlig zu Recht darauf hingewiesen, dass die Gewährleistung der öffentlichen Sicherheit eine staatliche Aufgabe ist, die nicht privaten Stellen überantwortet werden darf", so Thiel abschließend."

LAG Hamm: Heimlicher Einsatz eines Keyloggers auf Dienst-PC zur Aufdeckung unzulässiger Internetnutzung am Arbeitsplatz rechtswidrig - Beweisverwertungsverbot

LAG Hamm
Urteil vom 17.06.2016
16 Sa 1711/15


Das LAG Hamm hat entschieden, dass der heimlicher Einsatz eines Keyloggers auf einem Dienst-PC zur Aufdeckung unzulässiger Internetnutzung am Arbeitsplatz unzulässig ist und zu einem Beweisverwertungsverbot führt.

Aus den Entscheidungsgründen:

"aa) Durch die heimliche Installation des sog. Keyloggers hat die Beklagte in massiver Weise in das durch Art. 2 Abs. 1 i. V. m. Art. 1 Abs. 1 GG verbürgte Recht des Klägers auf informationelle Selbstbestimmung, das die Befugnis garantiert, selbst über die Preisgabe und Verwendung persönlicher Daten zu befinden, eingegriffen.

Bei einem Keylogger („Tasten-Protokollierer“) handelt es sich um eine Hard- oder Software, die dazu verwendet wird, sämtliche Eingaben des Benutzers an der Tastatur eines Computers zu protokollieren und damit zu überwachen oder zu rekonstruieren. Durch die Protokollierung jeder Tastatureingabe werden auch hochsensible Daten – wie z. B. Benutzername und Passwörter für geschützte Bereiche, PINs pp. – erfasst und protokolliert. Wie massiv der Eingriff in das Grundrecht des Klägers auf informationelle Selbstbestimmung ist, wird vorliegend bereits daran deutlich, dass sich die Kammer zu Beginn der mündlichen Verhandlung zu dem Hinweis genötigt sah, der Kläger möge sich eine neue Kreditkarte besorgen, damit die Prozessbeteiligten bei einem etwaigen Missbrauch seiner Kreditkarte nicht in einen unberechtigten Verdacht geraten. Aufgrund der protokollierten Tastatureingaben und Vorlage der LOG-Dateien im Verfahren waren nämlich nicht nur der Beklagten als Arbeitgeberin, sondern allen Prozessbeteiligten sämtliche Informationen über die Kreditkarte des Klägers, wie Kreditkartennummer, dreistellige Prüfnummer, Gültigkeitsdauer pp. zugänglich. All diese Daten waren protokolliert und hätten ohne Weiteres Käufe im Internet zu Lasten der Kreditkarte des Klägers ermöglicht. Zusätzlich zur Protokollierung jeder Tastatureingabe hat der von der Beklagten heimlich installierte Keylogger auch regelmäßige „Sreenshots“ (Bildschirmfotos / Bildschirmkopien) erstellt.

bb) Der massive Eingriff in das Grundrecht des Klägers auf informationelle Selbstbestimmung führt vorliegend zu dem Ergebnis, dass die Verwertung der heimlich beschafften Daten und Erkenntnisse zu Beweiszwecken nicht zulässig ist.

(1) Greift die prozessuale Verwertung heimlich beschaffter, persönlicher Daten in das Recht auf informationelle Selbstbestimmung ein, ist im Einzelfall zu prüfen, ob die Verwertung dieser Daten mit dem Recht auf informationelle Selbstbestimmung vereinbar ist. Bei der erforderlichen Abwägung überwiegen das Interesse an einer materiell richtigen Entscheidung und das Interesse, sich ein Beweismittel für zivilrechtliche Ansprüche zu sichern, das Interesse am Schutz dieses Grundrechts nur dann, wenn weitere, über das schlichte Beweisinteresse hinausgehende Aspekte hinzutreten. Diese können etwa darin liegen, dass sich der Beweisführer mangels anderer Erkenntnisquellen in einer Notwehrsituation oder einer notwehrähnlichen Lage befindet. Das Interesse, sich ein Beweismittel zu sichern, reicht demgegenüber für sich allein nicht aus. Vielmehr müssen die besonderen Umstände gerade die in Frage stehende Art der Informationsbeschaffung und Beweiserhebung als gerechtfertigt ausweisen (Bundesarbeitsgericht, Urteil vom 21. November 2013 – 2 AZR 797/11 -; Bundesarbeitsgericht, Urteil vom 20. Juni 2013 – 2 AZR 546/12 -; Bundesgerichtshof, Beschluss vom 15. Mai 2013 – XII ZB 107/08 -).

(2) Die Bestimmungen des Bundesdatenschutzgesetzes (BDSG) konkretisieren den Schutz des Rechts auf informationelle Selbstbestimmung. Sie regeln, in welchem Umfang im Anwendungsbereich des Gesetzes Eingriffe in diese Rechtsposition zulässig sind. Liegt keine Einwilligung des Betroffenen vor, ist die Erhebung, Verarbeitung und Nutzung personenbezogener Daten nur zulässig, wenn das BDSG oder eine andere Rechtsvorschrift sie erlaubt. Fehlt es an der erforderlichen Ermächtigungsgrundlage oder liegen deren Voraussetzungen nicht vor, ist die Erhebung, Verarbeitung und/oder Nutzung personenbezogener Daten verboten. Dieser Grundsatz des § 4 Absatz 1 BDSG prägt das deutsche Datenschutzrecht (Bundesarbeitsgericht, Urteil vom 21. November 2013 – 2 AZR 797/11).

Nach § 32 Absatz 1 Satz 1 BDSG dürfen personenbezogene Daten eines Beschäftigten für Zwecke des Beschäftigungsverhältnisses erhoben, verarbeitet oder genutzt werden, wenn dies für die Entscheidung über die Begründung eines Beschäftigungsverhältnisses oder nach dessen Begründung für seine Durchführung oder Beendigung erforderlich ist. Nach Absatz 1 Satz 2 dieser Vorschrift dürfen zur Aufdeckung von Straftaten personenbezogene Daten eines Beschäftigten nur dann erhoben, verarbeitet oder genutzt werden, wenn zu dokumentierende tatsächliche Anhaltspunkte den Verdacht begründen, dass der Betroffene im Beschäftigungsverhältnis eine Straftat begangen hat, die Erhebung, Verarbeitung oder Nutzung zu deren Aufdeckung erforderlich ist und das schutzwürdige Interesse des Beschäftigten am Ausschluss der Erhebung, Verarbeitung oder Nutzung nicht überwiegt, insbesondere Art und Ausmaß im Hinblick auf den Anlass nicht unverhältnismäßig sind.

Die Regelung des § 32 BDSG baut nach der Gesetzesbegründung auf den von der Rechtsprechung entwickelten allgemeinen Grundsätzen auf. So waren Eingriffe in das allgemeine Persönlichkeitsrecht des Arbeitnehmers nach der Rechtsprechung des Bundesarbeitsgerichts schon bislang nur zulässig, wenn der konkrete Verdacht einer strafbaren Handlung oder einer anderen schweren Verfehlung zu Lasten des Arbeitgebers bestand, weniger einschneidende Mittel zur Aufklärung des Verdachts ergebnislos ausgeschöpft waren, die angedachte Maßnahme damit praktisch das einzig verbleibende Mittel darstellte und die Maßnahme insgesamt nicht unverhältnismäßig war (Bundesarbeitsgericht, Urteil vom 21. November 2013 – 2 AZR 797/11; Franzen in: Erfurter Kommentar zum Arbeitsrecht, 15. Auflage 2015, § 32 BDSGRn. 31, 32).

(3) Bei Anwendung dieser Grundsätze kommt die Kammer zum Ergebnis, dass das von der Beklagten durch die heimliche Installation des Keyloggers gewonnene Material im vorliegenden Verfahren nicht als Beweismittel verwertbar ist. Die Erhebung, Speicherung und Auswertung der Computernutzung durch den Kläger mit Hilfe des Keyloggers ist weder durch die Vorschriften des Bundesdatenschutzgesetzes noch nach den von der Rechtsprechung entwickelten, allgemeinen Grundsätzen gedeckt."



Den Volltext der Entscheidung finden Sie hier:

Datenschützer verbietet Massendatenabgleich zwischen WhatsApp und Facebook - Hamburgischer Beauftragter für Datenschutz und Informationsfreiheit erlässt Verwaltungsanordnung

Der Hamburgischer Beauftragte für Datenschutz und Informationsfreiheit hat eine Verwaltungsanordnung erlassen und Facebook den Massendatenabgleich zwischen WhatsApp und Facebook untersagt.

Es ist jedoch mehr als fraglich, ob Facebook diese Anordnung beachtet und den geplanten Datenabgleich aussetzt.

Die Pressemitteilung des Hamburgischen Beauftragten für Datenschutz und Informationsfreiheit:

"Anordnung gegen Massendatenabgleich zwischen WhatsApp und Facebook

Der Hamburgische Beauftragte für Datenschutz und Informationsfreiheit hat eine Verwaltungsanordnung erlassen, die es Facebook ab sofort untersagt, Daten von deutschen WhatsApp-Nutzern zu erheben und zu speichern. Facebook wird ferner aufgegeben, bereits durch WhatsApp an das Unternehmen übermittelte Daten zu löschen.

Facebook und WhatsApp sind selbstständige Unternehmen, die die Daten ihrer jeweiligen Nutzer auf Grundlage ihrer eigenen Nutzungs- und Datenschutzbedingungen verarbeiten. Nach dem Erwerb von WhatsApp durch Facebook vor zwei Jahren haben sie öffentlich zugesichert, dass die Daten der Nutzer nicht miteinander ausgetauscht werden. Dass dies nun doch geschieht, ist nicht nur eine Irreführung der Nutzer und der Öffentlichkeit, sondern stellt auch einen Verstoß gegen das nationale Datenschutzrecht dar. Denn ein solcher Austausch ist nur dann zulässig, wenn sowohl auf Seiten des Unternehmens, das Daten liefert (WhatsApp) als auch bei dem empfangenden Unternehmen (Facebook) eine Rechtsgrundlage dafür vorliegt. Facebook hat allerdings weder eine wirksame Einwilligung von den Nutzern von WhatsApp eingeholt, noch ist eine gesetzliche Grundlage für den Datenempfang vorhanden. Dass Facebook die Regelungen des deutschen Datenschutzrechts respektieren muss, ist klar, nachdem im Juli der EuGH in einem Urteil bestätigt hat, dass nationales Datenschutzrecht anwendbar ist, wenn ein Unternehmen im Zusammenhang mit einer nationalen Niederlassung Daten verarbeitet. Dies tut Facebook in Deutschland durch seine Niederlassung in Hamburg, die das deutschsprachige Werbegeschäft betreibt.

Hierzu der Hamburgische Beauftragte für Datenschutz und Informationsfreiheit, Johannes Caspar:

"Die Anordnung schützt die Daten der ca. 35 Millionen WhatsApp-Nutzer in Deutschland. Es muss ihre jeweilige Entscheidung sein, ob sie eine Verbindung ihres Kontos mit Facebook wünschen. Dazu muss Facebook sie vorab um Erlaubnis fragen. Dies ist nicht geschehen.
Dazu kommen noch viele Millionen Personen, deren Kontaktdaten aus den Adressbüchern der Nutzer zu WhatsApp hochgeladen wurden, ohne dass diese etwas mit Facebook oder WhatsApp zu tun haben müssen. Diese gigantische Menge von Daten hat Facebook zwar nach eigenem Bekunden noch nicht erhoben. Die Antwort von Facebook, dass dies lediglich zur Zeit noch nicht erfolgt sei, gibt jedoch Anlass zur Sorge, dass das Ausmaß des Datenverstoßes noch massivere Auswirkungen nach sich ziehen wird."



OVG Hamburg: Klarnamenpflicht bei Facebook bleibt jedenfalls vorerst - Anordnung des Hamburger Datenschutzsbeauftragten darf nicht vollzogen werden

OVG Hamburg
Beschluss vom 29.06.2016
5 Bs 40/16

Das OVG Hamburg hat entschieden, dass die Anordnung des Hamburgischen Beauftragten für Datenschutz und Informationsfreiheit gegen Facebook, wonach die Klarnamenpflicht untersagt und die Nutzung per Pseudonym ermöglicht werden musst, derzeit nicht vollzogen werden darf. Facebook kann daher nach wie vor die Angabe des Klarnamens verlangen.

Den Volltext der Entscheidung finden Sie hier: OVG Hamburg, Beschluss vom 29.06.2016, 5 Bs 40/16

Die Pressemitteilung des Gerichts:

Klarnamenpflicht bei Facebook bleibt vorerst

Das Hamburgische Oberverwaltungsgericht hat die Beschwerde (5 Bs 40/16) des Hamburgischen Beauftragten für Datenschutz und Informationsfreiheit (Datenschutzbeauftragter) gegen einen Beschluss des Verwaltungsgerichts Hamburg vom 3. März 2016 (15 E 4482/15) zurückgewiesen. Damit bleibt es vorerst dabei, dass die Anordnung des Datenschutzbeauftragten zur Nutzung von Facebook unter einem Pseudonym nicht vollzogen werden darf.

Nachdem Facebook ein unter einem Pseudonym geführtes Konto einer Nutzerin gesperrt hatte, hat der Datenschutzbeauftragte die Beschwerde der Facebook-Nutzerin zum Anlass genommen, Facebook zu verpflichten, der Betroffenen die Nutzung ihres Facebook-Kontos unter ihrem Pseudonym zu ermöglichen. Die Verpflichtung ist gegenüber der Facebook Ireland Limited ergangen, die für die Verarbeitung personenbezogener Daten der Facebook Nutzer in Europa zuständig und zugleich der Hauptgeschäftssitz des Facebook-Konzerns außerhalb von Nordamerika ist. Die in Hamburg ansässige Facebook Germany GmbH ist demgegenüber im Bereich der Werbung tätig. Das Verwaltungsgericht hatte auf Antrag von Facebook Ireland in einem Verfahren des vorläufigen Rechtsschutzes entschieden, dass der Bescheid des Datenschutzbeauftragten einstweilen nicht vollzogen werden darf. Die dagegen erhobene Beschwerde des Datenschutzbeauftragten hat das Hamburgische Oberverwaltungsgericht in dem heute veröffentlichten Beschluss zurückgewiesen.

Das Hamburgische Oberverwaltungsgericht hat im Wesentlichen ausgeführt, es sei offen, ob die Verfügung des Datenschutzbeauftragten zu Recht ergangen sei. Dies hänge maßgeblich von der Auslegung der EU-Datenschutzrichtlinie ab. Nach dem gegenwärtigen Stand der Rechtsprechung des Gerichtshofs der Europäischen Union (EuGH) sei nicht geklärt, ob die EU-Datenschutzrichtlinie es erlaube, dass der Datenschutzbeauftragte aufgrund nationaler Regelungen gegen die in Irland ansässige Antragstellerin mit hoheitlichen Mitteln vorgehen dürfe. Denn die Zuständigkeitsverteilung zwischen den nationalen Datenschutzkontrollbehörden und die Eingriffsbefugnis der deutschen Datenschutzkontrollbehörden in Fällen, in denen ein Mutterkonzern (hier: Facebook Inc., USA) im Unionsgebiet mehrere Niederlassungen unterhalte, die aber unterschiedliche Aufgaben hätten, sei nicht geklärt; das Bundesverwaltungsgericht habe hierzu in einem anderen, ebenfalls Facebook betreffenden Verfahren den EuGH im Rahmen eines sog. Vorlageersuchens um Klärung gebeten. Im Rahmen der daher vorzunehmenden Interessenabwägung überwiege das Interesse des Datenschutzbeauftragten und der Nutzerin an einer sofortigen Nutzung des Facebook-Kontos unter einem Pseudonym nicht; dies gelte insbesondere auch wegen der unklaren Eingriffsbefugnis des Hamburgischen Datenschutzbeauftragten gegenüber Facebook Ireland Limited. Az: 5 Bs 40/16



Hamburgischer Datenschutzbeauftragter: Rechtskräftige Bußgelder gegen Unternehmen wegen Unwirksamkeit von Safe Harbor

Der Hamburgische Datenschutzbeauftragte hat nach der Safe Harbor-Entscheidung des EuGH (siehe EuGH: Safe-Harbor-Abkommen zwischen USA und EU ungültig - kein ausreichender Schutz in den USA für personenbezogene Daten vor Zugriff durch Behörden) gegen zahlreiche Unternehmen Bußgelder erlassen. Die Bußgeldbescheide sind teilweise schon rechtskräftig.

Die Pressemitteilung des Hamburgischen Datenschutzbeauftragten:

Unzulässige Datenübermittlungen in die USA - Erste Bußgelder rechtskräftig, weitere Verfahren noch offen

Der EuGH hat die Safe Harbor-Entscheidung im Oktober 2015 aufgehoben und damit einen wesentlichen Pfeiler für eine rechtmäßige Datenübermittlung an US-Unternehmen für unwirksam erklärt. Daraufhin wurden durch den Hamburgischen Datenschutzbeauftragten Prüfungen bei 35 international agierenden Hamburger Unternehmen durchgeführt.

Die Prüfungen haben ergeben, dass die überwiegende Mehrheit der Unternehmen den Datentransfer im Rahmen einer mehrmonatigen Umsetzungsfrist rechtzeitig auf sogenannte Standardvertragsklauseln umgestellt hat. Einige wenige Unternehmen hatten aber auch ein halbes Jahr nach Wegfall der Safe Harbor-Entscheidung keine zulässige Alternative geschaffen. Die Datenübermittlungen dieser Unternehmen in die USA erfolgten damit ohne rechtliche Grundlage und waren rechtswidrig.

Während einige der eingeleiteten Verfahren noch nicht abgeschlossen werden konnten und andere Prüfungen noch laufen, sind mittlerweile drei Bußgeldbescheide wegen der unzulässigen Übermittlung von Mitarbeiter- und Kundendaten in die USA rechtskräftig geworden. Die betroffenen Unternehmen haben nach Einleitung des Bußgeldverfahrens ihre Übermittlungen rechtlich auf Standardvertragsklauseln umgestellt.

Dazu Johannes Caspar, der Hamburgische Beauftragte für Datenschutz und Informationsfreiheit:
„Dass die Unternehmen schließlich doch noch eine rechtliche Grundlage für die Übermittlung geschaffen haben, war bei der Bemessung der Bußgelder positiv zu berücksichtigen. Für künftig festgestellte Verstöße wird sicherlich ein schärferer Maßstab anzulegen sein.

Im weiteren Verlauf bleibt nun abzuwarten, ob die Nachfolgeregelung zu Safe Harbor, der Privacy Shield, den die EU-Kommission Ende Februar vorgelegt hat, ein angemessenes Datenschutzniveau herstellt. Daran waren nicht zuletzt seitens der Art. 29-Datenschutzgruppe, dem gemeinsamen Gremium der Datenschutzbehörden der EU-Mitgliedstaaten und des Europäischen Datenschutzbeauftragten, erhebliche Zweifel geäußert worden. EU-Kommission und US-Regierung sind hier aufgefordert, den Entwurf in wesentlichen Punkten nachzubessern. Vor diesem Hintergrund wird auch über die Zulässigkeit der derzeit nicht beanstandeten alternativen Übermittlungsinstrumente, insbesondere sogenannter Standardvertragsklauseln, zu entscheiden sein."