Skip to content

VG Hamburg: Facebook darf personenbezogene Daten von WhatsApp-Nutzern nur bei Vorliegen einer ausreichenden Einwilligungserklärung nach deutschem Recht nutzen

VG Hamburg
Beschluss vom 24.04.2017
13 E 5912/16

Das VG Hamburg hat entschieden, dass Facebook personenbezogene Daten von WhatsApp-Nutzern nur bei Vorliegen einer ausreichenden Einwilligungserklärung nach deutschem Recht nutzen darf.

Den Volltext der Entscheidung finden Sie hier:

Die Pressemitteilung des VG Hamburg:

Verwaltungsgericht Hamburg entscheidet: Facebook darf vorerst personenbezogene Daten deutscher WhatsApp-Nutzer nur bei Vorliegen einer den deutschen Datenschutzvorschriften entsprechenden Einwilligung verwenden

Ende August 2016 hat WhatsApp Inc., die 2014 von der Facebook Unternehmensgruppe übernommen worden ist, eine Aktualisierung seiner Nutzungsbedingungen und Datenschutzrichtlinien bekannt gegeben, durch die eine - bis dahin nach den Nutzungsbedingungen nicht zugelassene - Weitergabe von personenbezogenen Daten an die Facebook Unternehmensgruppe vorgesehen ist. Mit sofort vollziehbarem Bescheid vom 23. September 2016 untersagte der Hamburgische Beauftragte für Datenschutz und Informationssicherheit (Datenschutzbeauftragte) der Facebook Ireland Ltd. (Facebook) - dem internationalen Hauptsitz der Facebook Unternehmensgruppe -, die personenbezogenen Daten deutscher WhatsApp-Nutzer zu erheben und zu speichern, soweit und solange ein den deutschen Datenschutzvorschriften entsprechende Einwilligung nicht vorliege (Ziffer 1). Zugleich ordnete der Datenschutzbeauftragte die Löschung von personenbezogenen Daten an, die ohne die notwendige Einwilligung erhoben worden sind, sowie die Dokumentation der Löschung (Ziffer 2 und 3). Gegen diese Verfügung legte Facebook Widerspruch ein und beantragte einstweiligen Rechtsschutz beim Verwaltungsgericht Hamburg.
AZ: 13 E 5912/16
Das Verwaltungsgericht hat entschieden, dass der Bescheid des Datenschutzbeauftragten der Freien und Hansestadt Hamburg, soweit er die angeordnete Löschung und deren Dokumentation betrifft, aufgrund eines formellen Fehlers nicht sofort vollziehbar sei; insoweit muss der Bescheid nicht befolgt werden.
Hingegen dürfe Facebook personenbezogene Daten von deutschen WhatsApp-Nutzern ohne eine Einwilligung, die den Anforderungen an die deutschen Datenschutzvorschriften entspreche, auch während des laufenden Verfahrens nicht nutzen. Zwar sei offen, ob Facebook mit seinem Widerspruch Erfolg haben werde. Derzeit sei noch nicht hinreichend geklärt, ob deutsches Datenschutzrecht zur Anwendung komme und der Datenschutzbeauftragte gegen die in Irland firmierende Facebook Ltd. vorgehen könne. Sofern das deutsche Datenschutzrecht zur Anwendung komme, wäre die Anordnung des Datenschutzbeauftragten jedoch voraussichtlich rechtmäßig. Denn die von WhatsApp benutzten Zustimmungserklärungen würden den Anforderungen des deutschen Datenschutzrechts nicht genügen.

Im Rahmen der daher vorzunehmenden Interessenabwägung überwiege das Interesse der deutschen WhatsApp-Nutzer. Denn der Schutz der personenbezogenen Daten stelle ein grundrechtlich geschütztes Rechtsgut von hohem Wert dar, in das durch die geplante Weitergabe qualitativ und quantitativ erheblich eingegriffen werde.

Gegen die Entscheidung des Verwaltungsgerichts kann Beschwerde an das Hamburgische Oberverwaltungsgericht eingelegt werden.


VG Köln: Portal zur Bewertung anderer Autofahrer datenschutzwidrig soweit Dritte Daten einsehen können - datenschutzrechtliche Anordnung rechtmäßig

VG Köln
Urteil vom 16.02.2017
13 K 6093/15


Das VG Köln hat entschieden, dass ein Internetportal zur Bewertung anderer Autofahrer datenschutzwidrig ist soweit Dritte und nicht nur der jeweilige Autofahrer die gespeicherten Daten zu seinem KFZ-Kennzeichen einsehen können.

Die Pressemitteilung des VG Köln:

Bewertungsportal für Autofahrer muss angepasst werden

Das Verwaltungsgericht Köln hat mit heute verkündetem Urteil entschieden, dass die gegenüber der Betreiberin eines Fahrer-Bewertungsportals ergangene datenschutzrechtliche Anordnung rechtmäßig ist.

Derzeit können Nutzer dieses Portals das Fahrverhalten anderer Personen unter Angabe eines Kfz-Kennzeichens nach einem Ampelschema (rot = negativ, gelb = neutral, grün = positiv) bewerten. Eine Detail-Bewertung erfolgt durch Auswahl aus vorgegebenen Bewertungen. Die Bewertungsergebnisse zu einzelnen Kfz-Kennzeichen sind in Form einer durchschnittlichen Schulnote für jeden Nutzer einsehbar. Die Klägerin beabsichtigt, mithilfe des Portals Autofahrer dazu anzuhalten, die eigene Fahrweise zu überdenken. Auf diese Weise möchte sie einen Beitrag zu mehr Sicherheit im Straßenverkehr leisten.

Der beklagte Datenschutzbeauftragte für das Land Nordrhein-Westfalen hat der Klägerin aufgegeben, das Portal so zu verändern, dass nur noch nach bestimmten Vorgaben registrierte Kfz-Halter die Bewertungsergebnisse zu ihrem eigenen Kfz-Kennzeichen abrufen können. Damit soll eine Prangerwirkung des Portals verhindert werden.

Die hiergegen erhobene Klage hat die Kammer abgewiesen. Zur Begründung hat sie ausgeführt, dass die auf dem Fahrerbewertungsportal zu einzelnen Kfz-Kennzeichen erhobenen und gespeicherten Daten personenbezogen seien. Die jeweiligen Fahrer bzw. Fahrzeughalter könnten von der Klägerin und auch Portalnutzern mit verhältnismäßigem Aufwand bestimmt werden. Der Datenschutz der bewerteten Fahrer überwiege das Informationsinteresse der Nutzer. Letzteres sei weniger schützenswert als beispielsweise das Interesse einer Person, die sich vor einem Arztbesuch auf einem Ärztebewertungsportal informiere. Bei dem Fahrerbewertungsportal stehe eine Prangerwirkung einzelner Fahrer im Vordergrund. Das von der Klägerin nach ihren Angaben verfolgte Ziel könne auch erreicht werden, wenn Bewertungen – wie von der Anordnung des Landesdatenschutzbeauftragten vorgegeben – lediglich an die Betroffenen selbst übermittelt würden.

Gegen das Urteil kann Berufung eingelegt werden, über die das Oberverwaltungsgericht in Münster entscheidet.


Datenschutz für Unternehmen - Vertretung in datenschutzrechtlichen Aufsichtsverfahren - Wir beraten Unternehmen bundesweit

Das Thema Datenschutz ist immer häufiger Gegenstand von rechtlichen Auseinandersetzungen. Dabei sind zahlreiche Rechtsfragen umstritten und die gesetzlichen Vorgaben wie beispielsweise durch die EU-Datenschutz-Grundverordnung in Bewegung. Die handwerklichen Missgeschicke des Gesetzgebers erschweren dabei zusätzlich für Unternehmen die datenschutzkonforme Umsetzung der rechtlichen Vorgaben.

Auch die Datenschutzbehörden der Länder gehen im Rahmen von datenschutzrechtlichen Aufsichtsverfahren zunehmend gegen Unternehmen vor. Die Themenfelder sind vielfältig. Neben dem Umgang mit personenbezogenen Daten, der Auftragsdatenverarbeitung, der Sicherheit von Websites, Analysetools und Social-Media-Plugins, sind oft auch interne Bereiche von Unternehmen betroffen. So sind etwa der Umgang mit Mitarbeiterdaten, die Videoüberwachung des Betriebsgeländes oder andere Überwachungsmaßnahmen der Mitarbeiter immer Auslöser von datenschutzrechtlichen Aufsichtsverfahren. Dabei drohen Untersagungsverfügungen und Ordnungsgelder.

Erfolgt eine Anhörung durch die zuständige Datenschutzbehörde, so gilt es für Unternehmen Ruhe zu bewahren. Nicht alle Forderungen der Datenschützer sind berechtigt. Dies gilt um so mehr, als je nach Bundesland unterschiedliche Tendenzen auszumachen sind. Jedenfalls empfiehlt es sich bereits im Anhörungsverfahren rechtliche fundiert vorzutragen, um rechtliche Schwierigkeiten zu verhindern oder Argumentationswege zu verbauen. Oft lässt sich eine einvernehmliche Regelung mit der Datenschutzbehörde erzielen.




OLG Köln: Schmerzensgeldanspruch bei datenschutzwidriger Weitergabe von Gesundheitsdaten - Verletzung des Rechts auf informationelle Selbstbestimmung

OLG Köln
Urteil vom 30.09.2016
26 O 251/15


Das OLG Köln hat entschieden, dass bei bei datenschutzwidriger Weitergabe von Gesundheitsdaten, ein Anspruch auf Schmerzensgeld bzw. angemessene Entschädigung wegen Verletzung des Rechts auf informationelle Selbstbestimmung bestehen kann.

Aus den Entscheidungsgründen:

"Das Landgericht hat als Anspruchsgrundlage für einen Schadensersatzanspruch allein § 7 BDSG geprüft, der – worauf die Beklagte hinweist – keinen Anspruch auf Ersatz immaterieller Schäden gewährt (Simitis, Bundesdatenschutzgesetz, 8. Aufl., § 7 Rn. 32). Es kommen daneben aber weitere Anspruchsgrundlagen in Betracht, etwa aus dem bürgerlichrechtlichen Deliktsrecht, wie aus § 823 Abs. 1 BGB, weil das Recht auf informationelle Selbstbestimmung ein sonstiges Recht im Sinne dieser Vorschrift ist, aus § 823 Abs. 2 BGB in Verbindung mit Bestimmungen des Bundesdatenschutzgesetzes und aus § 826 BGB. Vorliegend kommt vor allem ein Anspruch des Klägers aus einer vertraglichen oder vertragsähnlichen Beziehung mit der Beklagten in Betracht. Insoweit – wie auch bei einem Anspruch aus § 823 Abs. 1 BGB oder aus § 826 BGB – ist für die Annahme einer Rechts- bzw. Vertragsverletzung unerheblich, ob die Weitergabe des Urteils durch die Beklagte – was diese anzweifelt – unter das Bundesdatenschutzgesetz fällt.

Der durch eine rechtswidrige und schuldhafte Verletzung seines PersönIichkeitsrechts Betroffene kann Ersatz des immateriellen Schadens beanspruchen, wenn die Umstände eine solche Genugtuung erfordern (BGH, Urt. v. 19.9.1961 – VI ZR 259/60, BGHZ 35, 363). Verletzungen des Allgemeinen Persönlichkeitsrechts können auf Grund seines verfassungsrechtlichen Rangs (Art. 1 Abs. 1 und Art. 2 Abs. 1 GG) und seiner Ähnlichkeit zum Eingriff in den Körper und die Gesundheit ein Schmerzensgeld begründen (BeckOK BGB/Spindler, Stand 1.5.2016, § 253 Rn. 16 mwN.).

[...]

Die Gesundheitsdaten des Klägers, die der Beklagten durch den geschäftlichen Kontakt der Parteien bekannt geworden waren, durfte sie grundsätzlich nicht an Dritte – und damit auch nicht an die U AG, ihre Konzernmutter und Arbeitgeberin des Klägers, – weitergeben.

Bei den Gesundheitsdaten handelt es sich um besonders sensible Daten, die als eine besondere Art personenbezogener Daten im Sinne des § 3 Abs. 9 BDSG gesetzlich besonders geschützt sind. Dass sie vom Gesetz als besonders sensibel eingeordnet werden, ergibt sich u.a. aus § 213 VVG, der die Erhebung von Gesundheitsdaten betrifft. Ihre Weitergabe berührt das Persönlichkeitsrecht auf informationelle Selbstbestimmung in besonderem Maße. Das allgemeine Persönlichkeitsrecht umfasst die Befugnis des Individuums, über die Preisgabe und Verwendung seiner persönlichen Daten – hier seiner Gesundheitsdaten – selbst zu bestimmen. Es entfaltet als objektive Norm seinen Rechtsgehalt auch im Privatrecht und strahlt so auf die Auslegung und Anwendung privatrechtlicher Vorschriften aus. Verkennt ein Gericht, das eine privatrechtliche Streitigkeit entscheidet, in grundsätzlicher Weise den Schutzgehalt des allgemeinen Persönlichkeitsrechts, verletzt es durch sein Urteil das Grundrecht des Bürgers in seiner Funktion als Schutznorm (BVerfG, Beschl. v. 17.7.2013 – 1 BvR 3167/08, NJW 2013, 3086 mwN.)."


Den Volltext der Entscheidung finden Sie hier:

BMI: Entwurf eines Gesetzes zur Anpassung des Datenschutzrechts an die EU-Datenschutzgrundverordnung liegt vor

Es liegt nunmehr der Referentenentwurf des Gesetzes zur Anpassung des Datenschutzrechts an die
Entwurf eines Gesetzes zur Anpassung des Datenschutzrechts an die Verordnung (EU) 2016/679 und zur Umsetzung der Richtlinie (EU) 2016/680 (Datenschutz-Anpassungs- und -Umsetzungsgesetz EU – DSAnpUG-EU)
vor.


VG Göttingen: Verwendung einer Dashcam durch eine Privatperson um Verkehrsverstöße anderer Verkehrsteilnehmer aufzuzeichnen ist datenschutzrechtswidrig

VG Göttingen
Beschluss vom 12.10.2016
1 B 171/16

Das VG Göttingen hat entschieden, dass die Verwendung einer Dashcam durch eine Privatperson, um Verkehrsverstöße anderer Verkehrsteilnehmer aufzuzeichnen, datenschutzrechtswidrig ist. Das Gericht bestätigte eine datenschutzrechtliche Verfügung der Landesbeauftragten für den Datenschutz Niedersachsen gegen den sogenannten "Knöllchen-Horst".

Die Pressemitteilung der Landesdan

"Entscheidung des Verwaltungsgerichts Göttingen Gericht bestätigt datenschutzrechtliche Verfügung gegen „Knöllchen-Horst

Die Landesbeauftragte für den Datenschutz Niedersachsen, Barbara Thiel, hat dem sehr speziellen Hobby eines Autofahrers aus dem Harz ein Ende gesetzt. Der in der Öffentlichkeit als „Knöllchen-Horst" bekannt gewordene Mann hatte es sich zur Aufgabe gemacht, vermeintliche oder tatsächliche Verkehrsverstöße anderer Verkehrsteilnehmer auch bei fehlender eigener Betroffenheit zur Anzeige zu bringen.

Als Beweismittel hatte er auf Fotos und Videosequenzen der an Front- und Heckscheibe seines Kfz befestigten sogenannten Dashcams zurückgegriffen.
Der Einsatz von Dashcams im öffentlichen Verkehr stellt einen schweren Eingriff in das Recht auf informationelle Selbstbestimmung der davon betroffenen Verkehrsteilnehmer dar. Die Landesdatenschutzbeauftrage hatte deshalb die Verwendung dieser Kameras zur Dokumentation des Verkehrsgeschehens untersagt und die Löschung der datenschutzwidrig angefertigten Videoaufnahmen angeordnet.

Diese Entscheidung der Datenschutzbeauftragten ist am 12.10.2016 vom Verwaltungsgericht Göttingen im Rahmen eines Eilrechtsschutzverfahrens bestätigt worden (Az.: 1 B 171/16). In dem kürzlich veröffentlichten Beschluss hat das Gericht auch darauf hingewiesen, dass die Verfolgung von Verkehrsverstößen eine öffentliche Aufgabe darstellt, deren Erfüllung Polizei und Ordnungsbehörden vorbehalten ist.

„Ich bin sehr froh, dass das Verwaltungsgericht die Maßnahmen meiner Behörde gegen diesen selbst ernannten Sachwalter öffentlicher Interessen gebilligt hat", so Thiel in einer ersten Reaktion auf den Gerichtsbeschluss. Damit sei zugleich die von den deutschen Datenschutz-Aufsichtsbehörden seit mehreren Jahren vertretene Auffassung zur Unzulässigkeit des Einsatzes von Dashcams bestätigt und deutlich gemacht worden, dass bereits die Anfertigung solcher Kamerabilder datenschutzwidrig ist.

„Der Gerichtsbeschluss hat nach meiner Auffassung auch für die aktuelle politische Diskussion über die Ausweitung der Überwachung öffentlicher Räume unter Nutzung von Kameras privater Betreiber Bedeutung. Das Gericht hat völlig zu Recht darauf hingewiesen, dass die Gewährleistung der öffentlichen Sicherheit eine staatliche Aufgabe ist, die nicht privaten Stellen überantwortet werden darf", so Thiel abschließend."

LAG Hamm: Heimlicher Einsatz eines Keyloggers auf Dienst-PC zur Aufdeckung unzulässiger Internetnutzung am Arbeitsplatz rechtswidrig - Beweisverwertungsverbot

LAG Hamm
Urteil vom 17.06.2016
16 Sa 1711/15


Das LAG Hamm hat entschieden, dass der heimlicher Einsatz eines Keyloggers auf einem Dienst-PC zur Aufdeckung unzulässiger Internetnutzung am Arbeitsplatz unzulässig ist und zu einem Beweisverwertungsverbot führt.

Aus den Entscheidungsgründen:

"aa) Durch die heimliche Installation des sog. Keyloggers hat die Beklagte in massiver Weise in das durch Art. 2 Abs. 1 i. V. m. Art. 1 Abs. 1 GG verbürgte Recht des Klägers auf informationelle Selbstbestimmung, das die Befugnis garantiert, selbst über die Preisgabe und Verwendung persönlicher Daten zu befinden, eingegriffen.

Bei einem Keylogger („Tasten-Protokollierer“) handelt es sich um eine Hard- oder Software, die dazu verwendet wird, sämtliche Eingaben des Benutzers an der Tastatur eines Computers zu protokollieren und damit zu überwachen oder zu rekonstruieren. Durch die Protokollierung jeder Tastatureingabe werden auch hochsensible Daten – wie z. B. Benutzername und Passwörter für geschützte Bereiche, PINs pp. – erfasst und protokolliert. Wie massiv der Eingriff in das Grundrecht des Klägers auf informationelle Selbstbestimmung ist, wird vorliegend bereits daran deutlich, dass sich die Kammer zu Beginn der mündlichen Verhandlung zu dem Hinweis genötigt sah, der Kläger möge sich eine neue Kreditkarte besorgen, damit die Prozessbeteiligten bei einem etwaigen Missbrauch seiner Kreditkarte nicht in einen unberechtigten Verdacht geraten. Aufgrund der protokollierten Tastatureingaben und Vorlage der LOG-Dateien im Verfahren waren nämlich nicht nur der Beklagten als Arbeitgeberin, sondern allen Prozessbeteiligten sämtliche Informationen über die Kreditkarte des Klägers, wie Kreditkartennummer, dreistellige Prüfnummer, Gültigkeitsdauer pp. zugänglich. All diese Daten waren protokolliert und hätten ohne Weiteres Käufe im Internet zu Lasten der Kreditkarte des Klägers ermöglicht. Zusätzlich zur Protokollierung jeder Tastatureingabe hat der von der Beklagten heimlich installierte Keylogger auch regelmäßige „Sreenshots“ (Bildschirmfotos / Bildschirmkopien) erstellt.

bb) Der massive Eingriff in das Grundrecht des Klägers auf informationelle Selbstbestimmung führt vorliegend zu dem Ergebnis, dass die Verwertung der heimlich beschafften Daten und Erkenntnisse zu Beweiszwecken nicht zulässig ist.

(1) Greift die prozessuale Verwertung heimlich beschaffter, persönlicher Daten in das Recht auf informationelle Selbstbestimmung ein, ist im Einzelfall zu prüfen, ob die Verwertung dieser Daten mit dem Recht auf informationelle Selbstbestimmung vereinbar ist. Bei der erforderlichen Abwägung überwiegen das Interesse an einer materiell richtigen Entscheidung und das Interesse, sich ein Beweismittel für zivilrechtliche Ansprüche zu sichern, das Interesse am Schutz dieses Grundrechts nur dann, wenn weitere, über das schlichte Beweisinteresse hinausgehende Aspekte hinzutreten. Diese können etwa darin liegen, dass sich der Beweisführer mangels anderer Erkenntnisquellen in einer Notwehrsituation oder einer notwehrähnlichen Lage befindet. Das Interesse, sich ein Beweismittel zu sichern, reicht demgegenüber für sich allein nicht aus. Vielmehr müssen die besonderen Umstände gerade die in Frage stehende Art der Informationsbeschaffung und Beweiserhebung als gerechtfertigt ausweisen (Bundesarbeitsgericht, Urteil vom 21. November 2013 – 2 AZR 797/11 -; Bundesarbeitsgericht, Urteil vom 20. Juni 2013 – 2 AZR 546/12 -; Bundesgerichtshof, Beschluss vom 15. Mai 2013 – XII ZB 107/08 -).

(2) Die Bestimmungen des Bundesdatenschutzgesetzes (BDSG) konkretisieren den Schutz des Rechts auf informationelle Selbstbestimmung. Sie regeln, in welchem Umfang im Anwendungsbereich des Gesetzes Eingriffe in diese Rechtsposition zulässig sind. Liegt keine Einwilligung des Betroffenen vor, ist die Erhebung, Verarbeitung und Nutzung personenbezogener Daten nur zulässig, wenn das BDSG oder eine andere Rechtsvorschrift sie erlaubt. Fehlt es an der erforderlichen Ermächtigungsgrundlage oder liegen deren Voraussetzungen nicht vor, ist die Erhebung, Verarbeitung und/oder Nutzung personenbezogener Daten verboten. Dieser Grundsatz des § 4 Absatz 1 BDSG prägt das deutsche Datenschutzrecht (Bundesarbeitsgericht, Urteil vom 21. November 2013 – 2 AZR 797/11).

Nach § 32 Absatz 1 Satz 1 BDSG dürfen personenbezogene Daten eines Beschäftigten für Zwecke des Beschäftigungsverhältnisses erhoben, verarbeitet oder genutzt werden, wenn dies für die Entscheidung über die Begründung eines Beschäftigungsverhältnisses oder nach dessen Begründung für seine Durchführung oder Beendigung erforderlich ist. Nach Absatz 1 Satz 2 dieser Vorschrift dürfen zur Aufdeckung von Straftaten personenbezogene Daten eines Beschäftigten nur dann erhoben, verarbeitet oder genutzt werden, wenn zu dokumentierende tatsächliche Anhaltspunkte den Verdacht begründen, dass der Betroffene im Beschäftigungsverhältnis eine Straftat begangen hat, die Erhebung, Verarbeitung oder Nutzung zu deren Aufdeckung erforderlich ist und das schutzwürdige Interesse des Beschäftigten am Ausschluss der Erhebung, Verarbeitung oder Nutzung nicht überwiegt, insbesondere Art und Ausmaß im Hinblick auf den Anlass nicht unverhältnismäßig sind.

Die Regelung des § 32 BDSG baut nach der Gesetzesbegründung auf den von der Rechtsprechung entwickelten allgemeinen Grundsätzen auf. So waren Eingriffe in das allgemeine Persönlichkeitsrecht des Arbeitnehmers nach der Rechtsprechung des Bundesarbeitsgerichts schon bislang nur zulässig, wenn der konkrete Verdacht einer strafbaren Handlung oder einer anderen schweren Verfehlung zu Lasten des Arbeitgebers bestand, weniger einschneidende Mittel zur Aufklärung des Verdachts ergebnislos ausgeschöpft waren, die angedachte Maßnahme damit praktisch das einzig verbleibende Mittel darstellte und die Maßnahme insgesamt nicht unverhältnismäßig war (Bundesarbeitsgericht, Urteil vom 21. November 2013 – 2 AZR 797/11; Franzen in: Erfurter Kommentar zum Arbeitsrecht, 15. Auflage 2015, § 32 BDSGRn. 31, 32).

(3) Bei Anwendung dieser Grundsätze kommt die Kammer zum Ergebnis, dass das von der Beklagten durch die heimliche Installation des Keyloggers gewonnene Material im vorliegenden Verfahren nicht als Beweismittel verwertbar ist. Die Erhebung, Speicherung und Auswertung der Computernutzung durch den Kläger mit Hilfe des Keyloggers ist weder durch die Vorschriften des Bundesdatenschutzgesetzes noch nach den von der Rechtsprechung entwickelten, allgemeinen Grundsätzen gedeckt."



Den Volltext der Entscheidung finden Sie hier:

Datenschützer verbietet Massendatenabgleich zwischen WhatsApp und Facebook - Hamburgischer Beauftragter für Datenschutz und Informationsfreiheit erlässt Verwaltungsanordnung

Der Hamburgischer Beauftragte für Datenschutz und Informationsfreiheit hat eine Verwaltungsanordnung erlassen und Facebook den Massendatenabgleich zwischen WhatsApp und Facebook untersagt.

Es ist jedoch mehr als fraglich, ob Facebook diese Anordnung beachtet und den geplanten Datenabgleich aussetzt.

Die Pressemitteilung des Hamburgischen Beauftragten für Datenschutz und Informationsfreiheit:

"Anordnung gegen Massendatenabgleich zwischen WhatsApp und Facebook

Der Hamburgische Beauftragte für Datenschutz und Informationsfreiheit hat eine Verwaltungsanordnung erlassen, die es Facebook ab sofort untersagt, Daten von deutschen WhatsApp-Nutzern zu erheben und zu speichern. Facebook wird ferner aufgegeben, bereits durch WhatsApp an das Unternehmen übermittelte Daten zu löschen.

Facebook und WhatsApp sind selbstständige Unternehmen, die die Daten ihrer jeweiligen Nutzer auf Grundlage ihrer eigenen Nutzungs- und Datenschutzbedingungen verarbeiten. Nach dem Erwerb von WhatsApp durch Facebook vor zwei Jahren haben sie öffentlich zugesichert, dass die Daten der Nutzer nicht miteinander ausgetauscht werden. Dass dies nun doch geschieht, ist nicht nur eine Irreführung der Nutzer und der Öffentlichkeit, sondern stellt auch einen Verstoß gegen das nationale Datenschutzrecht dar. Denn ein solcher Austausch ist nur dann zulässig, wenn sowohl auf Seiten des Unternehmens, das Daten liefert (WhatsApp) als auch bei dem empfangenden Unternehmen (Facebook) eine Rechtsgrundlage dafür vorliegt. Facebook hat allerdings weder eine wirksame Einwilligung von den Nutzern von WhatsApp eingeholt, noch ist eine gesetzliche Grundlage für den Datenempfang vorhanden. Dass Facebook die Regelungen des deutschen Datenschutzrechts respektieren muss, ist klar, nachdem im Juli der EuGH in einem Urteil bestätigt hat, dass nationales Datenschutzrecht anwendbar ist, wenn ein Unternehmen im Zusammenhang mit einer nationalen Niederlassung Daten verarbeitet. Dies tut Facebook in Deutschland durch seine Niederlassung in Hamburg, die das deutschsprachige Werbegeschäft betreibt.

Hierzu der Hamburgische Beauftragte für Datenschutz und Informationsfreiheit, Johannes Caspar:

"Die Anordnung schützt die Daten der ca. 35 Millionen WhatsApp-Nutzer in Deutschland. Es muss ihre jeweilige Entscheidung sein, ob sie eine Verbindung ihres Kontos mit Facebook wünschen. Dazu muss Facebook sie vorab um Erlaubnis fragen. Dies ist nicht geschehen.
Dazu kommen noch viele Millionen Personen, deren Kontaktdaten aus den Adressbüchern der Nutzer zu WhatsApp hochgeladen wurden, ohne dass diese etwas mit Facebook oder WhatsApp zu tun haben müssen. Diese gigantische Menge von Daten hat Facebook zwar nach eigenem Bekunden noch nicht erhoben. Die Antwort von Facebook, dass dies lediglich zur Zeit noch nicht erfolgt sei, gibt jedoch Anlass zur Sorge, dass das Ausmaß des Datenverstoßes noch massivere Auswirkungen nach sich ziehen wird."



OVG Hamburg: Klarnamenpflicht bei Facebook bleibt jedenfalls vorerst - Anordnung des Hamburger Datenschutzsbeauftragten darf nicht vollzogen werden

OVG Hamburg
Beschluss vom 29.06.2016
5 Bs 40/16

Das OVG Hamburg hat entschieden, dass die Anordnung des Hamburgischen Beauftragten für Datenschutz und Informationsfreiheit gegen Facebook, wonach die Klarnamenpflicht untersagt und die Nutzung per Pseudonym ermöglicht werden musst, derzeit nicht vollzogen werden darf. Facebook kann daher nach wie vor die Angabe des Klarnamens verlangen.

Den Volltext der Entscheidung finden Sie hier: OVG Hamburg, Beschluss vom 29.06.2016, 5 Bs 40/16

Die Pressemitteilung des Gerichts:

Klarnamenpflicht bei Facebook bleibt vorerst

Das Hamburgische Oberverwaltungsgericht hat die Beschwerde (5 Bs 40/16) des Hamburgischen Beauftragten für Datenschutz und Informationsfreiheit (Datenschutzbeauftragter) gegen einen Beschluss des Verwaltungsgerichts Hamburg vom 3. März 2016 (15 E 4482/15) zurückgewiesen. Damit bleibt es vorerst dabei, dass die Anordnung des Datenschutzbeauftragten zur Nutzung von Facebook unter einem Pseudonym nicht vollzogen werden darf.

Nachdem Facebook ein unter einem Pseudonym geführtes Konto einer Nutzerin gesperrt hatte, hat der Datenschutzbeauftragte die Beschwerde der Facebook-Nutzerin zum Anlass genommen, Facebook zu verpflichten, der Betroffenen die Nutzung ihres Facebook-Kontos unter ihrem Pseudonym zu ermöglichen. Die Verpflichtung ist gegenüber der Facebook Ireland Limited ergangen, die für die Verarbeitung personenbezogener Daten der Facebook Nutzer in Europa zuständig und zugleich der Hauptgeschäftssitz des Facebook-Konzerns außerhalb von Nordamerika ist. Die in Hamburg ansässige Facebook Germany GmbH ist demgegenüber im Bereich der Werbung tätig. Das Verwaltungsgericht hatte auf Antrag von Facebook Ireland in einem Verfahren des vorläufigen Rechtsschutzes entschieden, dass der Bescheid des Datenschutzbeauftragten einstweilen nicht vollzogen werden darf. Die dagegen erhobene Beschwerde des Datenschutzbeauftragten hat das Hamburgische Oberverwaltungsgericht in dem heute veröffentlichten Beschluss zurückgewiesen.

Das Hamburgische Oberverwaltungsgericht hat im Wesentlichen ausgeführt, es sei offen, ob die Verfügung des Datenschutzbeauftragten zu Recht ergangen sei. Dies hänge maßgeblich von der Auslegung der EU-Datenschutzrichtlinie ab. Nach dem gegenwärtigen Stand der Rechtsprechung des Gerichtshofs der Europäischen Union (EuGH) sei nicht geklärt, ob die EU-Datenschutzrichtlinie es erlaube, dass der Datenschutzbeauftragte aufgrund nationaler Regelungen gegen die in Irland ansässige Antragstellerin mit hoheitlichen Mitteln vorgehen dürfe. Denn die Zuständigkeitsverteilung zwischen den nationalen Datenschutzkontrollbehörden und die Eingriffsbefugnis der deutschen Datenschutzkontrollbehörden in Fällen, in denen ein Mutterkonzern (hier: Facebook Inc., USA) im Unionsgebiet mehrere Niederlassungen unterhalte, die aber unterschiedliche Aufgaben hätten, sei nicht geklärt; das Bundesverwaltungsgericht habe hierzu in einem anderen, ebenfalls Facebook betreffenden Verfahren den EuGH im Rahmen eines sog. Vorlageersuchens um Klärung gebeten. Im Rahmen der daher vorzunehmenden Interessenabwägung überwiege das Interesse des Datenschutzbeauftragten und der Nutzerin an einer sofortigen Nutzung des Facebook-Kontos unter einem Pseudonym nicht; dies gelte insbesondere auch wegen der unklaren Eingriffsbefugnis des Hamburgischen Datenschutzbeauftragten gegenüber Facebook Ireland Limited. Az: 5 Bs 40/16



Hamburgischer Datenschutzbeauftragter: Rechtskräftige Bußgelder gegen Unternehmen wegen Unwirksamkeit von Safe Harbor

Der Hamburgische Datenschutzbeauftragte hat nach der Safe Harbor-Entscheidung des EuGH (siehe EuGH: Safe-Harbor-Abkommen zwischen USA und EU ungültig - kein ausreichender Schutz in den USA für personenbezogene Daten vor Zugriff durch Behörden) gegen zahlreiche Unternehmen Bußgelder erlassen. Die Bußgeldbescheide sind teilweise schon rechtskräftig.

Die Pressemitteilung des Hamburgischen Datenschutzbeauftragten:

Unzulässige Datenübermittlungen in die USA - Erste Bußgelder rechtskräftig, weitere Verfahren noch offen

Der EuGH hat die Safe Harbor-Entscheidung im Oktober 2015 aufgehoben und damit einen wesentlichen Pfeiler für eine rechtmäßige Datenübermittlung an US-Unternehmen für unwirksam erklärt. Daraufhin wurden durch den Hamburgischen Datenschutzbeauftragten Prüfungen bei 35 international agierenden Hamburger Unternehmen durchgeführt.

Die Prüfungen haben ergeben, dass die überwiegende Mehrheit der Unternehmen den Datentransfer im Rahmen einer mehrmonatigen Umsetzungsfrist rechtzeitig auf sogenannte Standardvertragsklauseln umgestellt hat. Einige wenige Unternehmen hatten aber auch ein halbes Jahr nach Wegfall der Safe Harbor-Entscheidung keine zulässige Alternative geschaffen. Die Datenübermittlungen dieser Unternehmen in die USA erfolgten damit ohne rechtliche Grundlage und waren rechtswidrig.

Während einige der eingeleiteten Verfahren noch nicht abgeschlossen werden konnten und andere Prüfungen noch laufen, sind mittlerweile drei Bußgeldbescheide wegen der unzulässigen Übermittlung von Mitarbeiter- und Kundendaten in die USA rechtskräftig geworden. Die betroffenen Unternehmen haben nach Einleitung des Bußgeldverfahrens ihre Übermittlungen rechtlich auf Standardvertragsklauseln umgestellt.

Dazu Johannes Caspar, der Hamburgische Beauftragte für Datenschutz und Informationsfreiheit:
„Dass die Unternehmen schließlich doch noch eine rechtliche Grundlage für die Übermittlung geschaffen haben, war bei der Bemessung der Bußgelder positiv zu berücksichtigen. Für künftig festgestellte Verstöße wird sicherlich ein schärferer Maßstab anzulegen sein.

Im weiteren Verlauf bleibt nun abzuwarten, ob die Nachfolgeregelung zu Safe Harbor, der Privacy Shield, den die EU-Kommission Ende Februar vorgelegt hat, ein angemessenes Datenschutzniveau herstellt. Daran waren nicht zuletzt seitens der Art. 29-Datenschutzgruppe, dem gemeinsamen Gremium der Datenschutzbehörden der EU-Mitgliedstaaten und des Europäischen Datenschutzbeauftragten, erhebliche Zweifel geäußert worden. EU-Kommission und US-Regierung sind hier aufgefordert, den Entwurf in wesentlichen Punkten nachzubessern. Vor diesem Hintergrund wird auch über die Zulässigkeit der derzeit nicht beanstandeten alternativen Übermittlungsinstrumente, insbesondere sogenannter Standardvertragsklauseln, zu entscheiden sein."

BfDI veröffentlicht Informationsbroschüre zur EU-Datenschutz-Grundverordnung, die auch den endgültigem Text der EU-DSGVO enthält.

Das Europäische Parlament hat am 14.04.2016 die zukünftige Europäische Datenschutz-Grundverordnung (EU-DSGVO) verabschiedet. Die Bundesbeauftragte für den Datenschutz und die Informationsfreiheit (BfDI) hat nun eine Informationsbroschüre veröffentlicht, die auch den endgültigem Text zur künftigen Europäischen Datenschutz-Grundverordnung enthält.

VG Saarlouis: Zur datenschutzrechtlichen Zulässigkeit der Videoüberwachung in einer Apotheke und zur Möglichkeit der Einwilligung der Angestellten

VG Saarlouis
Urteil vom 29.01.2016
1 K 1122/14


Rechtliche Auseinandersetzungen mit Datenschutzbehörden beim Einsatz von Videoüberwachungsmaßnahmen nehmen zu. Dabei sind längst nicht alle Forderungen der Datenschutzbehörden berechtigt.

Das VG Saarloius hat sich in dieser Entscheidung mit der Zulässigkeit der Videoüberwachung in einer Apotheke und zur Möglichkeit der Einwilligung der Angestellten zur Videoüberwachung von Betriebsräumen befasst.

Aus den Entscheidungsgründen:

"Die streitige Videoüberwachung im Verkaufsraum und am Betäubungsmittelschrank unterfällt den Anforderungen des Bundesdatenschutzgesetzes. Die im Rahmen einer Videoüberwachung erstellten Bilder und Aufnahmen stellen personenbezogene Daten dar. Unerheblich ist insoweit, dass regelmäßig nur ein geringer Prozentsatz der so gewonnenen Aufnahmen zur tatsächlichen Identifizierung von Personen genutzt wird. Ausreichend für die Anwendbarkeit des Gesetzes ist es, dass, wie hier, der Zweck der Videoüberwachung ist, die auf den Aufzeichnungen festgehaltenen Personen zu identifizieren, wenn die verantwortliche Stelle (der Kläger) dies für erforderlich hält. Nach §§ 27 Abs. 1 S. 1 Nr.1, 38 Abs. 5 S. 1 BDSG kann die Beklagte zur Gewährleistung der Einhaltung des Bundesdatenschutzgesetzes und anderer Vorschriften über den Datenschutz Maßnahmen zur Beseitigung festgestellter Verstöße bei der Erhebung, Verarbeitung oder Nutzung personenbezogener Daten oder technischer oder organisatorischer Mängel anordnen.

Die Erhebung, Verarbeitung und Nutzung personenbezogener Daten sind nur zulässig, soweit das Bundesdatenschutzgesetz oder eine andere Rechtsvorschrift dies erlaubt oder anordnet oder der Betroffene eingewilligt hat, § 4 Abs. 1 BDSG.

Hinsichtlich aller Kameras im Verkaufsraum fehlt es an einer Einwilligung der Betroffenen, der Kunden. Vom Vorliegen einer Einwilligungserklärung kann nicht schon dann ausgegangen werden, wenn die betroffenen Personen aufgrund eines Hinweises von der Videoüberwachung Kenntnis haben. Aus der Tatsache, dass der Kläger (mittlerweile) auf die in dem Verkaufsraum stattfindende Videoüberwachung durch Beschilderung an den Eingangstüren zur Apotheke hinweist, kann keine konkludente Einwilligung der Kunden, die dennoch und damit in Kenntnis der Videoüberwachung die Verkaufsräume der Apotheke betreten, abgeleitet werden,

OVG Niedersachsen, Urteil vom 29.09.2014 - 11 LC 114/13 - , juris.

Die Videoüberwachung der Kundeneingänge und des Freiwahlbereichs des Verkaufsraums ist mit § 6 b Abs. 1 BDSG unvereinbar.

Die drei im Verkaufsraum befindlichen Kameras erfassen (nunmehr) ausschließlich Kundeneingänge und den Freiwahlbereich der Apotheke. In diesem werden nicht apothekenpflichtige Waren angeboten, wie sie auch in Drogerien, Reform- oder Sanitätshäusern vorgehalten werden. Bei dem Freiwahlbereich der betroffenen Apotheke handelt es sich um einen öffentlich zugänglichen Raum. Er steht allen Kunden offen. Die Kameras zeichnen diese auf. Sie werden auch beobachtet, weil sie optisch unter Einsatz technischer Einrichtungen für eine gewisse Dauer erfasst werden und insgesamt die Möglichkeit zur anlassbezogenen oder stichprobenartigen Inaugenscheinnahme der Aufzeichnungen geschaffen ist.

§ 6 b Abs. 1 BDSG erklärt die Beobachtung öffentlich zugänglicher Räume mit optisch – elektronischen Einrichtungen (Videoüberwachung) nur für zulässig, soweit sie

(Nr. 1) zur Aufgabenerfüllung öffentlicher Stellen,

(Nr. 2) zur Wahrnehmung des Hausrechts oder

(Nr. 3) zur Wahrnehmung berechtigter Interessen für konkret festgelegte Zwecke

erforderlich ist und keine Anhaltspunkte bestehen, dass schutzwürdige Interessen der Betroffenen überwiegen.

Nach § 6 b Abs. 3 BDSG ist die Verarbeitung oder Nutzung von nach Abs. 1 erhobenen Daten zulässig, wenn sie zum Erreichen des verfolgten Zwecks erforderlich ist und keine Anhaltspunkte bestehen, dass schutzwürdige Interessen der Betroffenen überwiegen.

§ 6 b Abs. 1 BDSG definiert mithin die materiell-rechtlichen Voraussetzungen einer datenschutzrechtlich zulässigen Videoüberwachung öffentlich zugänglicher Räume und regelt sodann mit § 6 b Abs. 3 BDSG die zulässige Verarbeitung oder Nutzung, wobei inhaltlich die Voraussetzungen nach Abs. 1 wiederholt werden,

OVG Niedersachsen, Urteil vom 29.09.2014 - 11 LC 114/13 -, juris.

Die Videoüberwachung im Verkaufsraum dient der Wahrnehmung des Hausrechts nach § 6 b Abs. 1 Nr. 2 BDSG, nicht aber der Wahrnehmung berechtigter Interessen nach § 6 b Abs. 1 Nr. 3 BDSG. Zur Wahrnehmung des Hausrechts ist sie jedoch nicht erforderlich.

Die Videoüberwachung der Kundeneingänge und des Freiwahlbereichs durch die Kameras im Verkaufsraum, ist nicht durch die Wahrnehmung berechtigter Interessen im Sinne des § 6 b Abs. 1 Nr. 3 BDSG gerechtfertigt. Zu diesen berechtigten Interessen gehört zwar grundsätzlich jedes rechtliche, wirtschaftliche und ideelle Interesse, sofern es objektiv begründbar ist und sich nicht nur an den subjektiven Wünschen und Vorstellungen der verantwortlichen Stelle orientiert. Kommt die Videoüberwachung zum Zweck der Gefahrenabwehr zum Einsatz, wird man regelmäßig eine Wahrnehmung berechtigter Interessen annehmen können. Insoweit ist aber eine konkrete oder zumindest abstrakte Gefährdungslage darzulegen. Daran fehlt es im vorliegenden Fall. Hinsichtlich der konkreten Gefährdungslage liegt die erforderliche objektive Begründbarkeit der Gefährdungslage nur dann vor, wenn sie auf konkrete, einzelfallbezogene Tatsachen gestützt werden kann, aus denen sich der zu erwartende Eintritt einer Gefahr ergibt. Der Kläger kann nicht aufzeigen, welche Arzneimittel und ob überhaupt und wenn ja welche nicht apothekenpflichtigen Waren abhandengekommen sind Sein Hinweis auf Entwendungen in der Apotheke, reicht allein nicht aus. Dabei handelt es sich um einen generellen Verdacht, nicht um einen einzelfallbezogenen Vorfall, welcher eine konkrete Gefährdungslage zu begründen vermag. Die erforderliche Darlegung kann durch die Nennung konkreter Vorfälle erfolgen. Die bloße Behauptung oder die allgemeine Vermutung einer Rechtsverletzung - insbesondere hinsichtlich des Warenbestands des Freiwahlbereichs, den die drei Kameras im Verkaufsraum erfassen - reicht nicht aus und schließt mithin eine Videoüberwachung zur konkreten Gefahrenvorsorge aus.

Der Kläger hat auch keine abstrakte Gefährdungslage dargelegt. Eine abstrakte Gefährdungslage ist dann objektiv begründbar, wenn eine Situation gegeben ist, welche nach der allgemeinen Lebenserfahrung typischerweise gefährlich ist. Insoweit werden weitläufige oder schwer einsehbare Geschäftsräume für Vermögensdelikte als potentiell gefährdet eingestuft werden können. Gleiches gilt für Geschäfte, die in Gegenden hoher Kriminalitätsdichte liegen oder besonders wertvolle Ware verkaufen.

Dafür, dass die Apotheke in einem Gebiet liegt, das bekanntermaßen eine hohe Kriminalitätsdichte aufweist, bestehen keine Anhaltspunkte. Auch kann auf Grundlage des eingereichten Grundrissplans und den zur Akte gereichten Fotos nicht von einer erschwerten Überschaubarkeit des Verkaufsraums ausgegangen werden. Die Verkaufstresen sind so angeordnet, dass der gesamte Verkaufsraum überschaubar ist. Daran ändert auch die Tatsache nichts, dass mehrere Eingänge vorhanden sind. In dem Verkaufsraum halten sich während der Öffnungszeiten der Apotheke, in Abgrenzung zu den Notdienstzeiten, regelmäßig mehrere Mitarbeiter auf, denen eine Überwachung möglich ist. Zwar mag die Apotheke auch im gewissen Maße kurzfristig wertvolle Medikamente lagern. Jedoch wird der Freiwahlbereich dadurch nicht zu einem Ort, an dem regelmäßig besonders wertvolle Waren verkauft werden, wie es etwa bei einem Juwelier der Fall ist.

Die Videoüberwachung im Verkaufsraum kann auch nicht auf das berechtigte Interesse der Verfolgung von Straftaten, das von der Gefahrenabwehr unterschieden wird, gestützt werden. Die Wahrnehmung berechtigter Interessen für konkret festgelegte Zwecke im Sinne des § 6 b Abs. 1 Nr. 3 BDSG erfordert mehr als eine allgemeine Zweckbeschreibungen wie „Zur Gefahrenabwehr“ oder „Zur Verfolgung von Straftaten“.

Soweit der Kläger sich darauf beruft, die Videoüberwachung durch die drei im Verkaufsraum befindlichen Kameras diene der Wahrnehmung des Hausrechts nach § 6 b Abs. 1 Nr. 2 BDSG, ist ihre Erforderlichkeit im streitigen Einzelfall nicht ersichtlich.

Die Wahrnehmung des Hausrechts umfasst die Befugnis, darüber entscheiden zu können und zu dürfen, wer bestimmte Gebäude oder befriedetes Besitztum betreten und darin verweilen darf. Der Hausrechtsinhaber ist berechtigt, die zum Schutz des Objekts, der sich darin aufhaltenden Personen sowie zur Abwehr unbefugten Betretens erforderlichen Maßnahmen zu ergreifen. Davon ist umfasst, das Recht Störer zu verweisen und ihnen das Betreten für die Zukunft zu untersagen. Erfolgt eine Videoüberwachung zur Wahrnehmung des Hausrechts, kann diese der Verfolgung präventiver Zwecke dienen, sofern Ziel der Maßnahme ist, Personen von der Begehung von Rechtsverstößen innerhalb des vom Hausrecht geschützten Bereichs abzuhalten. Rechtsverstöße können insoweit auch die Verübung von Diebstählen sein. Zugleich kann das Beobachten aber auch repressiven Zwecken dienen. Das ist der Fall, wenn es um die Aufklärung von Straftaten oder die Durchsetzung zivilrechtlicher Schadenersatzansprüche geht,

OVG Niedersachsen, Urteil vom 29.09.2014 - 11 LC 114/13 -, juris.

Das Hausrecht steht dem unmittelbaren Besitzer zu. Auf ein solches Hausrecht kann sich der Kläger als Inhaber der Apotheke grundsätzlich berufen. Er hat ein Interesse daran, die in der Apotheke befindlichen Arzneimittel und die Waren des Freiwahlbereichs zu schützen sowie Personen, die die Apotheke zu unberechtigten Zwecken betreten, aus dieser zu verweisen. Zwar steht noch nicht zweifelsfrei fest, dass der Fehlbestand auf Diebstähle zurückzuführen ist, ebenso wenig wie die Tatsache, dass der oder die Täter aus dem Kreis der Kunden der Apotheke kommen. Allerdings ist eine dahingehende Ermittlung gerade Zweck des Einsatzes der Kameras. Sie sollen im Hinblick auf ihre repressive Wirkung helfen, etwaige Diebstähle aufzuklären und die Täter zu überführen.

Die Videoüberwachung der Eingänge und des Freiwahlbereichs des Verkaufsraums ist jedoch nicht erforderlich zur Wahrnehmung des Hausrechts durch den Kläger. Die Erforderlichkeit im Sinne des § 6 b Abs. 1 BDSG liegt dann vor, wenn das festgelegte Ziel mit der Überwachung tatsächlich erreicht werden kann und es dafür kein anderes, gleich wirksames, aber hinsichtlich der informationellen Selbstbestimmung der betroffenen Personen weniger einschneidendes Mittel gibt. Die dahingehende Bewertung hat ausgehend von einer objektiven Betrachtungsweise im Rahmen einer Einzelfallprüfung zu erfolgen,

OVG Niedersachsen, Urteil vom 29.09.2014 - 11 LC 114/13 -, juris.

Die Videoüberwachung ist zur Abschreckung von Straftätern allgemein geeignet. Die offene Überwachung ermöglicht es abschreckend auf potentielle Störer einzuwirken. Unberücksichtigt muss auch dabei bleiben, dass es bislang noch zu keiner Täterüberführung gekommen ist. Eine Maßnahme ist nicht nur dann zu einem bestimmten Zweck geeignet, wenn dieser mit Hilfe der Maßnahme vollständig erreicht werden kann, sondern schon dann, wenn die Maßnahme geeignet ist, den Zweck zu fördern. Es muss sich nicht um eine optimale Maßnahme zur Zweckerreichung handeln,

OVG Niedersachsen, Urteil vom 29.09.2014 - 11 LC 114/13 -, juris.

Der Kläger hat aber im konkreten Fall keine Tatsachen dargelegt, die es nachvollziehbar machten, dass das festgelegte Ziel mit der Überwachung tatsächlich erreicht werden kann. Er bezweckt die Reduzierung des Fehlbestandes. Er hat es aber unterlassen, den von ihm lediglich in der Summe z. B. mit 44.000,-- EUR vorgetragenen Fehlbestand dezidiert zu erläutern und aufzuschlüsseln. Auch zum Zeitpunkt der mündlichen Verhandlung ist nicht nachvollziehbar, ob und wenn ja in welcher Höhe überhaupt ein Fehlbestand im mit den drei Kameras im Verkaufsraum überwachten Freiwahlbereich, in dem nicht apothekenpflichtige Waren angeboten werden, aufgetreten ist. Entsprechendes gilt für die Arzneimittel, die apothekenpflichtig aber nicht verschreibungspflichtig sind, im Bereich der Sichtwahl des Verkaufsraums, auf die ein Kunde gegebenenfalls Zugriff hätte, während das Personal das rückwärtige Lager aufsucht. Zudem wird dieser Bereich nicht von den Kameras abgebildet. Ist damit nicht ersichtlich, ob überhaupt einem Fehlbestand im Verkaufsraum entgegengewirkt wird, kann die Erforderlichkeit der Videoüberwachung zur Wahrnehmung des Hausrechts nicht bejaht werden.

Auf die die Erforderlichkeit voraussetzende, im Rahmen einer am Verhältnismäßigkeitsgrundsatz orientierte und umfassende Abwägung zwischen der durch die Zwecke der Videoüberwachung bestimmten grundrechtlich geschützten Position des Verwenders der Videotechnik und dem Recht auf informationelle Selbstbestimmung der Beobachteten zur Beantwortung der Frage, ob der Zulässigkeit der Videoüberwachung des Verkaufsraums überwiegende Interessen der Betroffenen - hier der Kunden - entgegenstehen, kommt es danach nicht mehr an.

Das danach im Ermessen der Beklagten stehende Einschreiten gegen den rechtswidrigen Zustand im Verkaufsraum ist nicht zu beanstanden. Soweit der Kläger sich darauf beruft, die Beklagte schreite willkürlich nur gegen ihn ein und verschone andere Apotheken, kann dem nicht gefolgt werden. Die Beklagte hat zu den vom Kläger bezeichneten Objekten erklärt, ihre Überprüfung habe ergeben, dass kein Verstoß gegen datenschutzrechtliche Bestimmungen vorliege. Daran zu zweifeln besteht kein Anlass. In diesem Zusammenhang lässt der Kläger unberücksichtigt, dass sich allein durch das Vorhandensein einer Videokamera nicht deren Betrieb belegen lässt, gegenüber dem allein die Beklagte zum Einschreiten befugt ist.

Die offene Videoüberwachung an dem Betäubungsmittelschrank ist hingegen datenschutzrechtlich zulässig, weil die Beschäftigten eingewilligt haben.

Sie ist nicht an § 6 b BDSG zu messen. Diese Vorschrift findet dann keine Anwendung, wenn es um die Videoüberwachung von Arbeitsplätzen geht, die sich in nicht öffentlich zugänglichen Bereichen befinden. Um so einen Bereich handelt es sich bei dem Lager der Apotheke, das nur dem Zutritt von Apothekenpersonal offensteht.

Soweit keine Einwilligung vorliegt, beurteilt sich die Zulässigkeit der Videoüberwachung in diesen Bereichen daher nach § 32 BDSG. Im konkreten Fall liegen dessen Voraussetzungen jedoch nicht vor.

Gemäß § 32 Abs. 1 BGSG dürfen personenbezogene Daten eines Beschäftigten für Zwecke des Beschäftigungsverhältnisses erhoben, verarbeitet oder genutzt werden, wenn dies für die Entscheidung über die Begründung eines Beschäftigungsverhältnisses oder nach Begründung des Beschäftigungsverhältnisses für dessen Durchführung oder Beendigung erforderlich ist. Zur Aufdeckung von Straftaten dürfen personenbezogene Daten eines Beschäftigten nur dann erhoben, verarbeitet oder genutzt werden, wenn zu dokumentierende tatsächliche Anhaltspunkte den Verdacht begründen, dass der Betroffene im Beschäftigungsverhältnis eine Straftat begangen hat, die Erhebung, Verarbeitung oder Nutzung zur Aufdeckung erforderlich ist und das schutzwürdige Interesse des Beschäftigten an dem Ausschluss der Erhebung, Verarbeitung oder Nutzung nicht überwiegt, insbesondere Art und Ausmaß im Hinblick auf den Anlass nicht unverhältnismäßig sind.

Zur Aufdeckung von Straftaten erlaubt § 32 Abs. 1 S. 2 BDSG den Einsatz von datenschutzrechtlich relevanten Maßnahmen, wozu auch die Videoüberwachung gehört, nicht allein zu präventiven Zwecken. Immer erforderlich sind tatsächliche Verdachtsmomente. Daran mangelt es im vorliegenden Fall. Der Kläger konnte nicht dartun, warum gerade Anhaltspunkte gegen Mitarbeiter bestehen sollten. Anfänglich hat er die Nutzen der Videokameras vielmehr mit einem grundsätzlichen Verdacht nur gegen Kunden und nicht gegen Betriebsangehörige begründet. Mittlerweile bringt er auch einen Verdacht gegen Mitarbeiter vor. Es fehlen jedoch tatsächliche Anhaltspunkte dafür, dass von dem Fehlbestand bestimmte Medikamente, die in dem Betäubungsmittelschrank aufbewahrt werden, betroffen sind. Des Weiteren ist die Videoüberwachung am Betäubungsmittelschrank auch nicht erforderlich. Das wäre sie nur dann, wenn es kein milderes, gleich geeignetes Mittel zur Erreichung des Zwecks gäbe. Dies ist wiederum einzelfallabhängig. Das Verschließen des Betäubungsmittelschranks und das Führen von Entnahme- und Kontrolllisten ermöglicht effektiv, den Zugriff auf den Betäubungsmittelschrank zu kontrollieren, ist aber im Hinblick auf das Recht auf informationelle Selbstbestimmung der Arbeitnehmer das weniger einschneidende Mittel. Demgegenüber sind kurzzeitige Verzögerungen, auch wenn sie sich auf den Kundenstamm auswirken sollten, hinzunehmen.

Auch wenn die verdachtsunabhängige Ermittlung bzw. präventive Maßnahmen zur Verhinderung von Straftaten § 32 Abs. 1 S. 1 BDSG unterfielen bzw. auf § 28 BDSG - Datenerhebung und -speicherung für eigene Geschäftszwecke - gestützt werden könnten, verlangt das Bundesdatenschutzgesetz stets die Erforderlichkeit der konkreten Maßnahme. Daran mangelt es in jedem Fall, weil ein regelmäßiges Verschließen des Betäubungsmittelschranks und das Führen von Entnahme- und Kontrolllisten das weniger einschneidende und zumutbare Mittel zur Verhinderung von Straftaten ist.

Es liegt jedoch zum maßgeblichen Zeitpunkt der mündlichen Verhandlung,

entsprechend VG Berlin, Urteil vom 24.05.2011 - 1 K 133.10 -, juris,

eine Einwilligung aller Beschäftigten vor.

Die gesetzlichen Anforderungen an eine zulässige Datenverarbeitung im Bundesdatenschutzgesetz konkretisieren und aktualisieren den Schutz des Rechts auf informationelle Selbstbestimmung als Ausprägung des durch Art. 2 Abs. 1 i.V.m. Art. 1 Abs. 1 GG geschützten allgemeinen Persönlichkeitsrechts und regeln, in welchem Umfang im Anwendungsbereich des Gesetzes Eingriffe in dieses Recht zulässig sind. Dies stellt § 1 Abs. 1 BDSG ausdrücklich klar. Nur wenn keine Einwilligung des Betroffenen vorliegt, beurteilt sich die Datenverarbeitung nach dem Gesamtkonzept des Bundesdatenschutzgesetzes danach, ob eine verfassungsgemäße Rechtsvorschrift diese erlaubt,

vgl. BAG, Urteil vom 12.02.2015 - 6 AZR 845/13 -, juris, Rz. 69 zu § 32 BDSG.

Im Rahmen eines Arbeitsverhältnisses können Arbeitnehmer sich grundsätzlich „frei entscheiden", wie sie ihr Grundrecht auf informationelle Selbstbestimmung ausüben wollen. Dem steht weder die grundlegende Tatsache, dass Arbeitnehmer abhängig Beschäftigte sind noch das Weisungsrecht des Arbeitgebers, § 106 GewO, entgegen. Mit der Eingehung eines Arbeitsverhältnisses und der Eingliederung in einen Betrieb begeben sich die Arbeitnehmer nicht ihrer Grund- und Persönlichkeitsrechte. Die zu § 4a BDSG formulierte Gegenauffassung (Simitis in Simitis BDSG 8. Aufl. § 4a Rn. 62) verkennt, dass schon nach § 32 BDSG Datenverarbeitung im Arbeitsverhältnis möglich ist, unter den Voraussetzungen des § 32 BDSG sogar einwilligungsfrei. Löste die Verweigerung einer außerhalb von § 32 BDSG erforderlichen schriftlichen Einwilligung Benachteiligungen aus, so stellte dies einen groben Verstoß gegen die arbeitgeberseitigen Pflichten aus § 241 Abs. 2 und § 612a BGB dar, der zum Schadensersatz nach §§ 282, 280 Abs. 1 BGB verpflichtete. Eine Nebenpflicht des Arbeitnehmers aus dem Arbeitsverhältnis, der Erhebung, Verarbeitung und Veröffentlichung seiner Daten - soweit erforderlich - zuzustimmen, besteht nicht,

so BAG, Urteile vom 11.12.2014 - 8 AZR 1010/13 -, 19.02.2015 - 8 AZR 1011/13 -, juris, Rz. 32; Rz. 30.

Eine Einwilligung in die Datenerhebung, -verarbeitung und -nutzung ist im Arbeitsverhältnis überhaupt zulässig. Der Einwand, Arbeitnehmer könnten aufgrund des Machtungleichgewichts nicht i.S.v. § 4a Abs. 1 Satz 1 BDSG frei entscheiden und damit einwilligen, steht der Einwilligung nicht allgemein entgegen. Nach § 4a Abs. 1 Satz 2 BDSG muss der Arbeitgeber den Arbeitnehmer auf den Zweck der Erhebung, Verarbeitung oder Nutzung hinweisen, also auf den konkreten Kontrollzweck (Grundsatz der informierten Einwilligung). Unwirksam ist beispielsweise die für eine noch nicht konkretisierte Vielzahl von Fällen - und in der betrieblichen Praxis oft vorzufindende - Pauschaleinwilligung im Arbeitsvertrag. Eine Einwilligung bedarf der Schriftform und kann zudem jederzeit und ohne Angabe von Gründen widerrufen werden. Daher ist sie als sichere Rechtsgrundlage für die Datenerhebung, -verarbeitung und -nutzung und damit die Überwachung (z.B. die Einsichtnahme in einen E-Mail-Account oder bei Torkontrollen) eher ungeeignet,

so Grimm, Überwachung im Arbeitsverhältnis: Von Befragungen bis zur GPS-Ortung – wie viel Kontrolle ist erlaubt?, jM 2016, 17.

Durch die Videoüberwachung am Betäubungsmittelschrank wird auch nicht in so schwerwiegender Weise in das allgemeine Persönlichkeitsrecht der Beschäftigten des Klägers eingegriffen, dass deren Einwilligung mit der Rechtsordnung unvereinbar wäre. Wie hinsichtlich der punktuellen Videoüberwachung der Schleuse, deren Betrieb die Beklagte nicht untersagte, besteht auch hinsichtlich des Betäubungsmittelschranks eine generelle Ausweichmöglichkeit der Beschäftigten vor Videoüberwachung, so dass von einem ständigen Überwachungsdruck der Arbeitnehmer, nicht gesprochen werden kann. Der Arbeitnehmer kann die Videoüberwachung vermeiden oder ihr dadurch entgehen, dass er den beobachteten Bereich verlässt. Er muss nicht davon ausgehen, seine Tätigkeit werde ununterbrochen beobachtet und kontrolliert,

Seitens der Beschäftigten wurde im Verwaltungsverfahren eine Einwilligung nicht wirksam erklärt. Die dem klägerischen Schreiben vom 12.12.2013 beigefügte Unterschriftenliste unter dem alleinigen Satz - „Mir ist bekannt, dass in der S.-Apotheke 5 Überwachungskameras aufgestellt sind und ich erkläre mich damit einverstanden.“ - genügt offensichtlich auf keinen Fall den Anforderungen des § 4 a Abs. 1 BDSG.

Danach ist die Einwilligung nur wirksam, wenn sie auf der freien Entscheidung des Betroffenen beruht. Er ist auf den vorgesehenen Zweck der Erhebung, Verarbeitung oder Nutzung sowie, soweit nach den Umständen des Einzelfalles erforderlich oder auf Verlangen, auf die Folgen der Verweigerung der Einwilligung hinzuweisen. Die Einwilligung bedarf der Schriftform, soweit nicht wegen besonderer Umstände eine andere Form angemessen ist. Soll die Einwilligung zusammen mit anderen Erklärungen schriftlich erteilt werden, ist sie besonders hervorzuheben.

Die während des gerichtlichen Verfahrens vorgelegten 18 einzelnen Einwilligungserklärungen der Beschäftigten genügen formal den Anforderungen des § 4 a Abs. 1 BDSG.

Die Einwilligung ist jedoch nur dann wirksam, wenn sie auf einer freien Entscheidung des Betroffenen beruht. Von einer generell bestehenden Unfreiwilligkeit kann in einem Arbeitsverhältnis nicht ausgegangen werden. Das Gesetz selbst schließt die Erteilung einer Einwilligung im Arbeitsverhältnis nicht aus. Eine solche kann daher nur angenommen werden, wenn die Entscheidung über die Erteilung derselben aufgrund der bestehenden Abhängigkeit vom Arbeitgeber nicht von der erforderlichen Freiwilligkeit geprägt ist. Auch in einem Verhältnis des Machtungleichgewichts muss die Selbstbestimmung nicht unbedingt ausgeschlossen sein. Es bedarf daher konkreter Anhaltspunkte dafür, dass der Arbeitnehmer im Einzelfall die Einwilligung nicht ohne Zwang abgegeben hat. Als Indiz für einen zusätzlichen Druck kann der Zwang zur Unterschrift auf einer gemeinsamen Erklärung angesehen werden. So wird ein gewisser Gruppenzwang zwischen den Arbeitnehmern erzeugt und setzt diejenigen, die eigentlich nicht unterschreiben wollen, unter Zwang. Werden dann, wie im Laufe des Verfahrens hier geschehen, Einzelerklärungen jedes einzelnen Arbeitnehmers nachgereicht, kann der ursprünglich generierte Gruppenzwang damit fortgesetzt werden. Weiter muss für die Einwilligenden klar zu erkennen gewesen sein, unter welchen Bedingungen sie sich mit der Verarbeitung welcher Daten einverstanden erklärt haben.

Bestehen Zweifel an den Tatsachen der Freiwilligkeit der Einwilligung bzw. des Genügens der Hinweispflicht können diese durch die Einvernahme der Betroffenen geklärt werden. So bestand Anlass, das Bestehen von Zweifeln hinsichtlich der Einwilligungserklärung Bl. 79 der Gerichtsakte zu prüfen, weil in dieser der Text über der Unterschrift mit zwei Fragezeichen am Rand versehen ist. Diese lassen es jedoch offen, ob die Zeichen vor der Unterzeichnung gesetzt wurden und dem damit bekundeten Aufklärungsbedarf vor dem Unterschreiben genügt wurde, bzw. die Bedingungen für das Einverständnis nicht bekannt waren. Bei dieser Sachlage sah der Einzelrichter keine Veranlassung zur Beweiserhebung von Amts wegen. Auf den dahingehenden Hinweis in der mündlichen Verhandlung wurden Beweisanträge nicht gestellt. Damit ist das Einverständnis der Beschäftigten nachgewiesen. Anhaltspunkte dafür, dass nicht alle Beschäftigten ihr Einverständnis erklärt hätten, bestehen nicht. Der sich für den Rechtstreit nicht stellenden Frage, in welcher Weise neu hinzukommende Beschäftigte jeweils ihre Einwilligung erteilen, ist nicht nachzugehen.

Ist somit die Videoüberwachung am Betäubungsmittelschrank zulässig, erweist sich die diesbezügliche Anordnung als rechtswidrig, was auch die dahingehende Androhung und aufschiebende bedingte Festsetzung des Zwangsgeldes erfasst."


Den Volltext der Entscheidung finden Sie hier:

VG Hamburg: Facebook darf voraussichtlich Klarnamenpflicht beibehalten - aufschiebende Wirkung des Widerspruchs gegen Bescheid des Hamburger Datenschutzbeauftragten

VG Hamburg
Beschluss vom 03.03.2016
15 E 4482/15


Das Verwaltungsgericht Hamburg hat entschieden, dass Facebook voraussichtlich die Klarnamenpflicht beibehalten darf und keine Pflicht besteht, die Nutzung per Pseudonym zu ermöglichen. Das Gericht hat die aufschiebende Wirkung des Widerspruchs gegen den entsprechenden Bescheid des Hamburger Datenschutzbeauftragten wiederhergestellt. Das Gericht geht davon aus, dass kein deutsches Datenschutzrecht auf die Fallkonstellation anzuwenden ist, da die streitgegenständliche Datenverarbeitung nicht von der Niederlassung Facebook Deutschland durchgeführt wird.

Aus den Entscheidungsgründen:

"Der zulässige, insbesondere gemäß § 80 Abs. 5 Satz 1 Var. 2 VwGO statthafte Antrag auf Wiederherstellung der aufschiebenden Wirkung des Widerspruchs der Antragstellerin ist auch begründet. In der Sache überwiegt das Interesse der Antragstellerin, von der sofortigen Vollziehung der streitigen Anordnung des Datenschutzbeauftragten vorläufig verschont
zu bleiben, das Interesse der Öffentlichkeit an deren sofortigen Vollziehung. Denn nach summarischer Prüfung unter Berücksichtigung des bisherigen Sach- und Streitstandes dürfte der Widerspruch der Antragstellerin Erfolg haben. Die angefochtene Anordnung des Datenschutzbeauftragten ist voraussichtlich rechtswidrig.

1. Die angegriffene Anordnung ist voraussichtlich materiell rechtswidrig. Mangels Anwendbarkeit materieller deutscher datenschutzrechtlicher Bestimmungen auf die angegriffene Datenverarbeitung vermag insbesondere ein Verstoß gegen § 13 Abs. 6 TMG den Erlass der Anordnung nicht zu rechtfertigen.

[...]

Nach vorstehenden Maßstäben sind auf die streitige Datenverarbeitung deutsche datenschutzrechtliche Bestimmungen nicht anzuwenden, da die streitige Datenverarbeitung nach dem der Entscheidung zugrunde zu legenden Sachverhalt mit der Tätigkeit der Niederlassung F.s bzw. der Antragstellerin in Dublin am engsten verbunden ist. Dies ist vor allem aufgrund des vorgelegten Data Transfer and Processing Agreement und des übrigen unstreitigen Vorbringens der Antragstellerin zu ihrer geschäftlichen Tätigkeit in Dublin und der geschäftlichen Tätigkeit von F. Germany anzunehmen. Nicht F. Germany, sondern die Antragstellerin ist gemäß den Nutzungsbedingungen Vertragspartnerin der Betroffenen. Die Antragstellerin verwaltet auch die Nutzerkonten, greift auf sie zu und sperrt sie in Fällen wie dem vorliegenden, wenn Zweifel an der Identität des Inhabers des Nutzerkontos aufkommen. Demgegenüber ist die Tätigkeit von F. Germany lediglich mittelbar, vor allem wirtschaftlich, mit der streitigen Datenverarbeitung verbunden. "



Den Volltext der Entscheidung finden Sie hier:

LG Berlin: 100.000 EURO Ordnungsgeld gegen Facebook wegen Verstoß gegen Unterlassungstenor - zu weite Rechteeinräumung durch IP-Lizenzklausel

LG Berlin
Beschluss vom 11.02.2016
16 O 551/10


Das LG Berlin hat gegen Facebook eine Ordnungsgeld in Höhe von 100.000 EURO wegen des Verstoßes gegen einen Unterlassungstenor verhängt. Inhaltlich ging es um die weitere Verwendung der IP-Lizenzklausel und der darin enthaltenen zu weiten Rechteeinräumung. Dies war gerichtlich untersagt worden (siehe dazu LG Berlin: Facebook Freunde-Finder rechtswidrig - weitere unzulässige Klauseln in Facebook-AGB )

Den Volltext der Entscheidung finden Sie hier:

BVerwG: Facebook oder Fanpagebetreiber - EuGH muss Streit um datenschutzrechtliche Verantwortlichkeit für Facebook-Seiten klären

BVerwG
Beschluss vom 25.02.2016
1 C 28.14


Das BVerwG hat den Streit um die Frage, wer die datenschutzrechtliche Verantwortlichkeit für Facebook-Seiten trägt, dem EuGH zur Entscheidung vorgelegt.

Die Pressemitteilung des BVerwG:

EuGH soll datenschutzrechtliche Verantwortlichkeit für die beim Aufruf einer Facebook-Fanpage erhobenen Nutzerdaten klären

Das Bun­des­ver­wal­tungs­ge­richt in Leip­zig hat in einem Ver­fah­ren, in dem es um die Be­an­stan­dung des Be­triebs einer Face­book-Fan­page sei­tens der pri­vat­recht­lich or­ga­ni­sier­ten Wirt­schafts­aka­de­mie Schles­wig-Hol­stein durch die Da­ten­schutz­auf­sichts­be­hör­de geht, den Ge­richts­hof der Eu­ro­päi­schen Union (EuGH) an­ge­ru­fen. Die dem EuGH zur Vor­ab­ent­schei­dung vor­ge­leg­ten Fra­gen be­tref­fen die Aus­le­gung der Richt­li­nie 95/46/EG zum Schutz na­tür­li­cher Per­so­nen bei der Ver­ar­bei­tung per­so­nen­be­zo­ge­ner Daten und zum frei­en Da­ten­ver­kehr (Da­ten­schutz­richt­li­nie). Diese dient u.a. dazu, im Be­reich der Eu­ro­päi­schen Union ein gleich­wer­ti­ges Schutz­ni­veau hin­sicht­lich der Rech­te und Frei­hei­ten von Per­so­nen bei der Ver­ar­bei­tung ihrer per­so­nen­be­zo­ge­nen Daten zu ge­währ­leis­ten.

Die Klä­ge­rin des Aus­gangs­ver­fah­rens ist eine Trä­ge­rin der be­ruf­li­chen Aus- und Wei­ter­bil­dung, die neben einer ei­ge­nen Home­page eine sog. Fan­page bei Face­book un­ter­hält. Das be­klag­te Un­ab­hän­gi­ge Lan­des­zen­trum für Da­ten­schutz (ULD) hat im No­vem­ber 2011 ge­gen­über der Klä­ge­rin die De­ak­ti­vie­rung die­ser Fan­page an­ge­ord­net. Die Nut­zungs­da­ten der Be­su­cher wür­den von Face­book über ein „Coo­kie“ bei einem Auf­ruf der Fan­page er­ho­ben. Sie wür­den von Face­book u.a. für Zwe­cke der Wer­bung sowie für eine auch der Klä­ge­rin be­reit­ge­stell­te Nut­zer­sta­tis­tik ge­nutzt, ohne dass die Nut­zer hier­über hin­rei­chend auf­ge­klärt wür­den und in diese Nut­zung ein­ge­wil­ligt hät­ten. Das Ver­wal­tungs­ge­richt hat der Klage statt­ge­ge­ben. Das Ober­ver­wal­tungs­ge­richt hat die Be­ru­fung zu­rück­ge­wie­sen, weil es das in § 38 Abs. 5 BDSG vor­ge­se­he­ne ge­stuf­te Ver­fah­ren nicht ein­ge­hal­ten habe. Die Klä­ge­rin sei als Fan­page­be­trei­be­rin auch nicht i.S.v. § 3 Abs. 7 BDSG/Art. 2 d) RL 95/46/EG ver­ant­wort­li­che Stel­le im Hin­blick auf die von Face­book er­ho­be­nen Daten.

Der 1. Re­vi­si­ons­se­nat des Bun­des­ver­wal­tungs­ge­richts hat eine Vor­la­ge an den EuGH be­schlos­sen. Nach sei­ner Auf­fas­sung wer­fen u.a. die Reich­wei­te der Prüf- und Hand­lungs­be­fug­nis­se des ULD sowie die Frage, ob die Klä­ge­rin als Fan­page­be­trei­be­rin eine da­ten­schutz­recht­li­che Ver­ant­wort­lich­keit für die Aus­wahl des Be­trei­bers ihrer In­ter­ne­tre­prä­sen­tanz und des­sen da­ten­schutz­rechts­kon­for­men Um­gang mit per­so­nen­be­zo­ge­nen Daten trifft, uni­ons­recht­li­che Zwei­fels­fra­gen in Bezug auf die Richt­li­nie 95/46/EG auf. Dabei hat es - wie das OVG - keine Be­ur­tei­lung der Recht­mä­ßig­keit der Da­ten­ver­ar­bei­tung durch Face­book vor­ge­nom­men.

Hier­zu hat der Senat dem EuGH fol­gen­de Fra­gen zur Vor­ab­ent­schei­dung gemäß Art. 267 AEUV vor­ge­legt:

1. Ist Art. 2 Buchst. d) RL 95/46/EG dahin aus­zu­le­gen, dass er Haf­tung und Ver­ant­wort­lich­keit für Da­ten­schutz­ver­stö­ße ab­schlie­ßend und er­schöp­fend re­gelt oder ver­bleibt im Rah­men der „ge­eig­ne­ten Maß­nah­men“ nach Art. 24 RL 95/46/EG und der „wirk­sa­men Ein­griffs­be­fug­nis­se“ nach Art. 28 Abs. 3 Spie­gel­strich 2 RL 95/46/EG in mehr­stu­fi­gen In­for­ma­ti­ons­an­bie­ter­ver­hält­nis­sen Raum für eine Ver­ant­wort­lich­keit einer Stel­le, die nicht i.S.d. Art. 2 Buchst. d) RL 95/46/EG für die Da­ten­ver­ar­bei­tung ver­ant­wort­lich ist, bei der Aus­wahl eines Be­trei­bers für sein In­for­ma­ti­ons­an­ge­bot?

2. Folgt aus der Pflicht der Mit­glied­staa­ten nach Art. 17 Abs. 2 RL 95/46/EG, bei der Da­ten­ver­ar­bei­tung im Auf­trag vor­zu­schrei­ben, dass der für die Ver­ar­bei­tung Ver­ant­wort­li­che einen ‚Auf­trags­ver­ar­bei­ter aus­zu­wäh­len hat, der hin­sicht­lich der für die Ver­ar­bei­tung zu tref­fen­den tech­ni­schen Si­cher­heits­maß­nah­men und or­ga­ni­sa­to­ri­schen Vor­keh­run­gen aus­rei­chend Ge­währ bie­tet‘, im Um­kehr­schluss, dass bei an­de­ren Nut­zungs­ver­hält­nis­sen, die nicht mit einer Da­ten­ver­ar­bei­tung im Auf­trag i.S.d. Art. 2 Buchst. e) RL 95/46/EG ver­bun­den sind, keine Pflicht zur sorg­fäl­ti­gen Aus­wahl be­steht und auch nach na­tio­na­lem Recht nicht be­grün­det wer­den kann?

3. Ist in Fäl­len, in denen ein au­ßer­halb der Eu­ro­päi­schen Union an­säs­si­ger Mut­ter­kon­zern in ver­schie­de­nen Mit­glied­staa­ten recht­lich selb­stän­di­ge Nie­der­las­sun­gen (Toch­ter­ge­sell­schaf­ten) un­ter­hält, nach Art. 4, Art. 28 Abs. 6 RL 95/46/EG die Kon­troll­stel­le eines Mit­glied­staa­tes (hier: Deutsch­land) zur Aus­übung der nach Art. 28 Abs. 3 RL 95/46/EG über­tra­ge­nen Be­fug­nis­se gegen die im ei­ge­nen Ho­heits­ge­biet ge­le­ge­ne Nie­der­las­sung auch dann be­fugt, wenn diese Nie­der­las­sung al­lein für die För­de­rung des Ver­kaufs von Wer­bung und sons­ti­ge Mar­ke­ting­maß­nah­men mit Aus­rich­tung auf die Ein­woh­ner die­ses Mit­glied­staa­tes zu­stän­dig ist, wäh­rend der in einem an­de­ren Mit­glied­staat (hier: Ir­land) ge­le­ge­nen selb­stän­di­gen Nie­der­las­sung (Toch­ter­ge­sell­schaft) nach der kon­zern­in­ter­nen Auf­ga­ben­ver­tei­lung die aus­schließ­li­che Ver­ant­wor­tung für die Er­he­bung und Ver­ar­bei­tung per­so­nen­be­zo­ge­ner Daten im ge­sam­ten Ge­biet der Eu­ro­päi­schen Union und damit auch in dem an­de­ren Mit­glied­staat (hier: Deutsch­land) ob­liegt, wenn tat­säch­lich die Ent­schei­dung über die Da­ten­ver­ar­bei­tung durch den Mut­ter­kon­zern ge­trof­fen wird?

4. Sind Art. 4 Abs. 1 Buchst. a), Art. 28 Abs. 3 RL 95/46/EG dahin aus­zu­le­gen, dass in Fäl­len, in denen der für die Ver­ar­bei­tung Ver­ant­wort­li­che eine Nie­der­las­sung im Ho­heits­ge­biet eines Mit­glied­staa­tes (hier: Ir­land) be­sitzt und eine wei­te­re, recht­lich selb­stän­di­ge Nie­der­las­sung in dem Ho­heits­ge­biet eines an­de­ren Mit­glied­staa­tes (hier: Deutsch­land) be­steht, die u.a. für den Ver­kauf von Wer­be­flä­chen zu­stän­dig ist und deren Tä­tig­keit auf die Ein­woh­ner die­ses Staa­tes aus­ge­rich­tet ist, die in die­sem an­de­ren Mit­glied­staat (hier: Deutsch­land) zu­stän­di­ge Kon­troll­stel­le Maß­nah­men und An­ord­nun­gen zur Durch­set­zung des Da­ten­schutz­rechts auch gegen die nach der kon­zern­in­ter­nen Auf­ga­ben- und Ver­ant­wor­tungs­ver­tei­lung für die Da­ten­ver­ar­bei­tung nicht ver­ant­wort­li­che wei­te­re Nie­der­las­sung (hier: in Deutsch­land) rich­ten kann oder sind Maß­nah­men und An­ord­nun­gen dann nur durch die Kon­troll­be­hör­de des Mit­glied­staa­tes (hier: Ir­land) mög­lich, in des­sen Ho­heits­ge­biet die kon­zern­in­tern ver­ant­wort­li­che Stel­le ihren Sitz hat?

5. Sind Art. 4 Abs. 1 Buchst. a), Art. 28 Abs. 3 und 6 RL 95/46/EG dahin aus­zu­le­gen, dass in Fäl­len, in denen die Kon­troll­be­hör­de eines Mit­glied­staa­tes (hier: Deutsch­land) eine in ihrem Ho­heits­ge­biet tä­ti­ge Per­son oder Stel­le nach Art. 28 Abs. 3 RL 95/46/EG wegen der nicht sorg­fäl­ti­gen Aus­wahl eines in den Da­ten­ver­ar­bei­tungs­pro­zess ein­ge­bun­de­nen Drit­ten (hier: Face­book) in An­spruch nimmt, weil die­ser Drit­te gegen Da­ten­schutz­recht ver­sto­ße, die tätig wer­den­de Kon­troll­be­hör­de (hier: Deutsch­land) an die da­ten­schutz­recht­li­che Be­ur­tei­lung der Kon­troll­be­hör­de des an­de­ren Mit­glied­staa­tes, in dem der für die Da­ten­ver­ar­bei­tung ver­ant­wort­li­che Drit­te seine Nie­der­las­sung hat (hier: Ir­land), in dem Sinne ge­bun­den ist, dass sie keine hier­von ab­wei­chen­de recht­li­che Be­ur­tei­lung vor­neh­men darf, oder darf die tätig wer­den­de Kon­troll­stel­le (hier: Deutsch­land) die Recht­mä­ßig­keit der Da­ten­ver­ar­bei­tung durch den in einem an­de­ren Mit­glied­staat (hier: Ir­land) nie­der­ge­las­se­nen Drit­ten als Vor­fra­ge des ei­ge­nen Tä­tig­wer­dens selb­stän­dig auf seine Recht­mä­ßig­keit prü­fen?

6. So­weit der tätig wer­den­den Kon­troll­stel­le (hier: Deutsch­land) eine selb­stän­di­ge Über­prü­fung er­öff­net ist: Ist Art. 28 Abs. 6 Satz 2 RL 95/46/EG dahin aus­zu­le­gen, dass diese Kon­troll­stel­le die ihr nach Art. 28 Abs. 3 RL 95/46/EG über­tra­ge­nen wirk­sa­men Ein­wir­kungs­be­fug­nis­se gegen eine in ihrem Ho­heits­ge­biet nie­der­ge­las­se­ne Per­son oder Stel­le wegen der Mit­ver­ant­wor­tung für die Da­ten­schutz­ver­stö­ße des in einem an­de­ren Mit­glied­staat nie­der­ge­las­se­nen Drit­ten nur und erst dann aus­üben darf, wenn sie zuvor die Kon­troll­stel­le die­ses an­de­ren Mit­glied­staa­tes (hier: Ir­land) um die Aus­übung ihrer Be­fug­nis­se er­sucht hat?

Bis zur Ent­schei­dung des Ge­richts­hofs hat das BVerwG das Re­vi­si­ons­ver­fah­ren aus­ge­setzt.

BVerwG 1 C 28.14 - Be­schluss vom 25. Fe­bru­ar 2016

Vor­in­stan­zen:
OVG Schles­wig 4 LB 20/13 - Ur­teil vom 04. Sep­tem­ber 2014
VG Schles­wig 8 A 14/12 - Ur­teil vom 09. Ok­to­ber 2013