Skip to content

LG Düsseldorf: Unbefugte Weitergabe von Kontodaten verletzt allgemeines Persönlichkeitsrecht und verstößt gegen § 28 BDSG

LG Düsseldorf
Urteil vom 20.02.2017
5 O 400/16


Das LG Düsseldorf hat entschieden, dass die unbefugte Weitergabe von Kontodaten das allgemeine Persönlichkeitsrecht verletzt. Zudem stellt dies zugleich einen Verstoß gegen § 28 BDSG dar. Es bestehen daher Unterlassungsansprüche gemäß §§ 1004, 823 Abs. 1 BGB und §§ 1004, 823 Abs. 2 i.V.m. § 28 BDSG

Aus den Entscheidungsgründen:

"I. Die Verfügungsklägerin hat das Bestehen eines Verfügungsanspruchs aus §§ 1004, 823 Abs. 1 BGB bzw. §§ 1004, 823 Abs. 2 i.V.m. § 28 BDSG bzgl. der Weitergabe ihrer Kontodaten an Dritte glaubhaft gemacht.

Durch die Weitergabe der Kontodaten der Verfügungsklägerin liegt ein Eingriff in deren Allgemeines Persönlichkeitsrecht vor, welches als sonstiges Recht durch§ 823 Abs. 1 BGB geschützt wird. Der Verfügungsbeklagte hat nicht dargelegt, dass dieser Eingriff durch ein berechtigtes Interesse an der Weitergabe der Kontodaten gerechtfertigt ist. Soweit er im Rahmen der persönlichen Anhörung angab, es sei ihm darum gegangen sein Geld zurückzuerhalten, gibt es dafür den Rechtsweg. Es ist nicht ersichtlich, warum er die sensiblen Kontodaten der Verfügungsklägerin an deren Geschäftspartner oder sonstige Dritte weiterleiten muss, um das gewährte Darlehen zurückzuerhalten. Der Verfügungsbeklagte kann gerichtliche Hilfe in Anspruch nehmen, wenn er der Auffassung ist, die Verfügungsklägerin käme ihren Rückzahlungsverpflichtungen nicht nach.

Unter Anwendung des Bundesdatenschutzgesetztes ergibt sich nichts anderes. Gemäß § 28 Abs. 1 und 2 BDSG ist die Übermittlung personenbezogener Daten ebenfalls nur zulässig, wenn ein berechtigtes Interesse vorliegt. Gemäß § 27 Abs. 1 S. 1 Nr. 1 BDSG ist die Vorschrift auf nicht-öffentliche Stellen im Sinne des § 2 Abs. 4 S. 1 BDSG anwendbar, es sei denn die Nutzung der Daten erfolgt ausschließlich für persönliche oder familiäre Tätigkeiten. Als persönliche Tätigkeit ist zwar die Verwaltung des eigenen Vermögens anzusehen. Diesen privilegierten Bereich hat der Verfügungsbeklagte jedoch durch die Weitergabe der Kontodaten an Dritte verlassen.

Die Ansprüche aus dem BDSG und der Anspruch auf Unterlassung nach §§ 1004, 823 BGB stehen nebeneinander (Palandt/ Sprau, BGB, 76. Auflage 2017, § 823 BGB, Rn. 85).

Die für den Unterlassungsanspruch erforderliche Wiederholungsgefahr ergibt sich aus dem Versenden der Nachricht durch den Verfügungsbeklagten an Herrn T am 2.7.2016.


EuGH: Einwilligung eines Fernsprechteilnehmers in Veröffentlichung seiner Daten umfasst auch die Nutzung dieser Daten in einem anderen Mitgliedstaat

EuGH
Urteil vom 15.03.2017
C-536/15
Tele2 (Netherlands) BV, Ziggo BV, Vodafone Libertel BV gegen Autoriteit Consument en Markt (ACM),


Der EuGH hat entschieden, dass die Einwilligung eines Fernsprechteilnehmers in Veröffentlichung seiner Daten auch die Nutzung dieser Daten in einem anderen Mitgliedstaat umfasst

Tenor der Entscheidung:

1. Art. 25 Abs. 2 der Richtlinie 2002/22/EG des Europäischen Parlaments und des Rates vom 7. März 2002 über den Universaldienst und Nutzerrechte bei elektronischen Kommunikationsnetzen und ‑diensten (Universaldienstrichtlinie) in der durch die Richtlinie 2009/136/EG des Europäischen Parlaments und des Rates vom 25. November 2009 geänderten Fassung ist dahin auszulegen, dass unter dem darin enthaltenen Begriff „Anträge“ auch der Antrag eines Unternehmens zu verstehen ist, das in einem anderen Mitgliedstaat ansässig ist als die Unternehmen, die Teilnehmern Telefonnummern zuweisen, und das zum Zweck der Bereitstellung von öffentlich zugänglichen Auskunftsdiensten und Teilnehmerverzeichnissen in diesem Mitgliedstaat und/oder in anderen Mitgliedstaaten von diesen Unternehmen die ihnen vorliegenden relevanten Informationen anfordert.

2. Art. 25 Abs. 2 der Richtlinie 2002/22 in der durch die Richtlinie 2009/136 geänderten Fassung ist dahin auszulegen, dass er ein Unternehmen, das Teilnehmern Telefonnummern zuweist und nach nationalem Recht verpflichtet ist, die Einwilligung dieser Teilnehmer in die Nutzung der sie betreffenden Daten zum Zweck der Bereitstellung von Auskunftsdiensten und Teilnehmerverzeichnissen einzuholen, daran hindert, dieses Ersuchen so zu formulieren, dass die Teilnehmer bei ihrer Einwilligung in die Nutzung danach differenzieren, in welchem Mitgliedstaat die Unternehmen, die für eine Anforderung der in Art. 25 Abs. 2 genannten Informationen in Betracht kommen, ihre Dienste anbieten.

Die Pressemitteilung des EuGH:

Die Einwilligung eines Fernsprechteilnehmers in die Veröffentlichung seiner Daten umfasst auch die Nutzung dieser Daten in einem anderen Mitgliedstaat

Der weitgehend harmonisierte Rechtsrahmen ermöglicht es, die Einhaltung der Anforderungen im Bereich des Schutzes personenbezogener Teilnehmerdaten unionsweit gleichermaßen sicherzustellen

Die belgische Gesellschaft European Directory Assistance NV (EDA) bietet vom belgischen Hoheitsgebiet aus Auskunftsdienste und Teilnehmerverzeichnisse an. Sie beantragte bei Unternehmen, die Teilnehmern in den Niederlanden Telefonnummern zuweisen (Tele2, Ziggo und Vodafone Libertel), ihr ihre Teilnehmerdaten zur Verfügung zu stellen. Dabei berief sie sich auf eine Verpflichtung in einer niederländischen Rechtsvorschrift, mit der die europäische
Universaldienstrichtlinie umgesetzt wird. Da die niederländischen Unternehmen der Ansicht waren, dass sie nicht verpflichtet seien, die betreffenden Daten einem Unternehmen aus einem anderen Mitgliedstaat zu überlassen, lehnten sie dies ab.

Das mit dem Rechtsstreit befasste College van Beroep voor het bedrijfsleven (Berufungsgericht für Wirtschaftssachen, Niederlande) hat dem Gerichtshof Fragen zur Vorabentscheidung vorgelegt. Es möchte wissen, ob ein Unternehmen verpflichtet ist, die Daten seiner Teilnehmer einem Anbieter von Auskunftsdiensten und Teilnehmerverzeichnissen aus einem anderen Mitgliedstaat zu überlassen, und, wenn ja, ob es den Teilnehmern freigestellt werden muss, ihre Einwilligung davon abhängig zu machen, in welchem Land das Unternehmen, das die Daten anfordert, seine
Dienste anbietet. Insoweit stelle sich die Frage, wie die Beachtung des Diskriminierungsverbots und der Schutz des Privatlebens gegeneinander abzuwägen seien.

In seinem heutigen Urteil antwortet der Gerichtshof auf die erste Frage, dass sich die Universaldienstrichtlinie auf alle Anträge erstreckt, die von einem Unternehmen gestellt werden, das in einem anderen Mitgliedstaat ansässig ist als die Unternehmen, die Teilnehmern Telefonnummern zuweisen.

Schon aus dem Wortlaut des einschlägigen Artikels der Richtlinie geht nämlich hervor, dass er alle zumutbaren Anträge erfasst, die zum Zweck der Bereitstellung von öffentlich zugänglichen Auskunftsdiensten und Teilnehmerverzeichnissen gestellt werden. Außerdem schreibt er vor, dass die Informationen zu nichtdiskriminierenden Bedingungen zur Verfügung zu stellen sind. Dieser Artikel unterscheidet somit nicht danach, ob der Antrag von einem Unternehmen gestellt wird, das im selben Mitgliedstaat ansässig ist wie das Unternehmen, an das sich der Antrag richtet, oder von einem Unternehmen aus einem anderen Mitgliedstaat. Das Fehlen einer solchen Unterscheidung steht im Einklang mit dem Ziel der Richtlinie, das u. a. darin besteht, die Verfügbarkeit unionsweiter hochwertiger öffentlich zugänglicher Dienste durch wirksamen Wettbewerb und Angebotsvielfalt zu gewährleisten.

Außerdem wäre eine allein auf der Ansässigkeit der Antragsteller in einem anderen Mitgliedstaat beruhende Weigerung, ihnen die Teilnehmerdaten zur Verfügung zu stellen, mit dem Diskriminierungsverbot unvereinbar.

In Bezug auf die Frage, ob es den Teilnehmern freigestellt werden muss, ihre Einwilligung davon abhängig zu machen, in welchem Land das Unternehmen, das die Daten anfordert, seine Dienste anbietet, verweist der Gerichtshof auf seine frühere Rechtsprechung. Wenn ein Teilnehmer, der von dem Unternehmen, das ihm eine Telefonnummer zugewiesen hat, von der Möglichkeit der Weitergabe seiner personenbezogenen Daten an ein drittes Unternehmen zur Veröffentlichung in einem öffentlichen Teilnehmerverzeichnis informiert wurde und dieser Veröffentlichung zugestimmt
hat, muss er in die Weitergabe derselben Daten an ein anderes Unternehmen nicht erneut einwilligen, sofern gewährleistet ist, dass die betreffenden Daten nicht für andere Zwecke als diejenigen verwendet werden, für die sie im Hinblick auf ihre erste Veröffentlichung erhoben wurden.

Unter diesen Umständen kann nämlich die ohne erneute Zustimmung dieses Teilnehmers vorgenommene Weitergabe derselben Daten an ein anderes Unternehmen, das ein öffentliches Teilnehmerverzeichnis veröffentlichen möchte, das in der Charta der Grundrechte der Europäischen Union verankerte Recht auf Schutz personenbezogener Daten
nicht in seinem Wesensgehalt antasten.

Der Gerichtshof stellt überdies fest, dass ein Unternehmen, das öffentlich zugängliche Auskunftsdienste und Teilnehmerverzeichnisse anbietet, unabhängig davon, wo es in der Union ansässig ist, in einem weitgehend harmonisierten Rechtsrahmen tätig wird, der es ermöglicht, die Einhaltung der Anforderungen im Bereich des Schutzes personenbezogener Teilnehmerdaten unionsweit gleichermaßen sicherzustellen.

Folglich ist es für das Unternehmen, das seinen Teilnehmern Telefonnummern zuweist, nicht angezeigt, das an den Teilnehmer gerichtete Ersuchen um Einwilligung so zu formulieren, dass er bei seiner Einwilligung danach differenziert, in welchen Mitgliedstaat die ihn betreffenden Daten übermittelt werden können.

EuGH: Kein Recht auf Vergessenwerden für im Handelsregister bzw Gesellschaftsregister enthaltene personenbezogene Daten

EuGH
Urteil vom 09.03.2017
C‑398/15
Camera di Commercio,Industria, Artigianato e Agricoltura di Lecce gegen Salvatore Manni


Der EuGH hat entschieden, dass kein Recht auf Vergessenwerden für im Handelsregister bzw Gesellschaftsregister enthaltene personenbezogene Daten besteht.

Nur in ganz engen Ausnahmefällen bei konkreter Beeinträchtigung der Rechte der betroffenen Person kann der Zugriff nach Ablauf einer hinreichend langen Frist nach Auflösung der Gesellschaft auf Dritte mit besonderem Interesse an einer Einsichtnahme beschränkt werden.

Tenor der Entscheidung:

Art. 6 Abs. 1 Buchst. e, Art. 12 Buchst. b und Art. 14 Abs. 1 Buchst. a der Richtlinie 95/46/EG des Europäischen Parlaments und des Rates vom 24. Oktober 1995 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten und zum freien Datenverkehr in Verbindung mit Art. 3 der Ersten Richtlinie 68/151/EWG des Rates vom 9. März 1968 zur Koordinierung der Schutzbestimmungen, die in den Mitgliedstaaten den Gesellschaften im Sinne des Artikels 58 Absatz 2 des Vertrages im Interesse der Gesellschafter sowie Dritter vorgeschrieben sind, um diese Bestimmungen gleichwertig zu gestalten, in der durch die Richtlinie 2003/58/EG des Europäischen Parlaments und des Rates vom 15. Juli 2003 geänderten Fassung sind dahin auszulegen, dass es beim derzeitigen Stand des Unionsrechts Sache der Mitgliedstaaten ist, zu entscheiden, ob die in Art. 2 Abs. 1 Buchst. d und j der Richtlinie 68/151 angeführten natürlichen Personen die mit der Führung des zentralen Registers oder des Handels- oder Gesellschaftsregisters betraute Stelle ersuchen können, auf der Grundlage einer Einzelfallbeurteilung zu prüfen, ob es ausnahmsweise gerechtfertigt ist, aus überwiegenden, schutzwürdigen, sich aus ihrer besonderen Situation ergebenden Gründen nach Ablauf einer hinreichend langen Frist nach Auflösung der betreffenden Gesellschaft den Zugang zu den in diesem Register eingetragenen sie betreffenden personenbezogenen Daten auf Dritte zu beschränken, die ein besonderes Interesse an der Einsichtnahme in diese Daten nachweisen.

Die Pressemitteilung des EuGH:

"Nach Ansicht des Gerichtshofs gibt es kein Recht auf Vergessenwerden für die im Gesellschaftsregister eingetragenen personenbezogenen Daten

Die Mitgliedstaaten können jedoch nach Ablauf einer hinreichend langen Frist nach der Auflösung
der betreffenden Gesellschaft in Ausnahmefällen einen beschränkten Zugang Dritter zu diesen
Daten vorsehen Herr Salvatore Manni, Geschäftsführer einer Gesellschaft, die einen öffentlichen Auftrag für die Errichtung einer Ferienanlage in Italien erhielt, ging 2007 gerichtlich gegen die Handelskammer Lecce vor. Er war der Auffassung, dass sich die Immobilien der Anlage deshalb nicht veräußern ließen, weil sich aus dem Gesellschaftsregister ergebe, dass er Geschäftsführer eine anderen Gesellschaft gewesen sei, die 1992 insolvent geworden und 2005 liquidiert worden sei.
Das Tribunale di Lecce (erstinstanzliches Gericht Lecce, Italien) gab der Handelskammer Lecce
auf, die personenbezogenen Daten zu anonymisieren, die Herrn Manni mit der Insolvenz der
früheren Gesellschaft in Verbindung bringen, und verurteilte die Handelskammer zum Ersatz des
Herrn Manni daraus entstandenen Schadens. Die von der Handelskammer Lecce angerufene
Corte suprema di cassazione (Kassationsgerichtshof, Italien) hat dem Gerichtshof mehrere Fragen
zur Vorabentscheidung vorgelegt. Sie möchte wissen, ob es die Richtlinie zum Schutz der Daten
natürlicher Personen und die Richtlinie über die Offenlegung von Gesellschaftsurkunden verbieten, dass jede Person ohne zeitliche Beschränkung Zugang zu natürliche Personen betreffenden Daten im Gesellschaftsregister haben kann.

Im heutigen Urteil weist der Gerichtshof zunächst darauf hin, dass die Offenlegung von
Gesellschaftsregistern die Rechtssicherheit in den Beziehungen zwischen den Gesellschaften und
Dritten sicherstellen soll und u. a. dazu dient, die Interessen Dritter gegenüber
Aktiengesellschaften und Gesellschaften mit beschränkter Haftung zu schützen, da diese zum
Schutz Dritter lediglich ihr Gesellschaftsvermögen zur Verfügung stellen. Außerdem können sich
auch noch mehrere Jahre nach Auflösung einer Gesellschaft Fragen ergeben, die einen Rückgriff
auf im Gesellschaftsregister eingetragene personenbezogene Daten erfordern. In Anbetracht der
Vielzahl der Rechte und Rechtsbeziehungen, die eine Gesellschaft (auch nach ihrer Auflösung) mit
Akteuren in mehreren Mitgliedstaaten verbinden können, und der Unterschiede in den
Verjährungsfristen der verschiedenen nationalen Rechte erscheint es nämlich nicht möglich, eine
einheitliche Frist festzulegen, nach deren Ablauf die Eintragung der Daten im Register und ihre
Offenlegung nicht mehr notwendig wären.

Unter diesen Umständen können die Mitgliedstaaten natürlichen Personen, deren Daten im
Gesellschaftsregister eingetragen sind, nicht das Recht garantieren, nach einer bestimmten Frist
nach Auflösung der Gesellschaft die Löschung der sie betreffenden personenbezogenen Daten
verlangen zu können.

Nach Ansicht des Gerichtshofs ist dieser Eingriff in die Grundrechte der betroffenen Personen
(insbesondere in ihre durch die Charta der Grundrechte der Europäischen Union garantierten
Rechte auf Achtung des Privatlebens und auf Schutz ihrer personenbezogenen Daten) nicht
unverhältnismäßig, da erstens nur eine begrenzte Zahl an personenbezogenen Daten im
Gesellschaftsregister eingetragen wird und es zweitens gerechtfertigt ist, dass die natürlichen
Personen, die sich dafür entscheiden, über eine Aktiengesellschaft oder eine Gesellschaft mit
beschränkter Haftung am Wirtschaftsleben teilzunehmen, und die zum Schutz Dritter lediglich das
Vermögen dieser Gesellschaft zur Verfügung stellen, verpflichtet sind, die Daten zu ihren
Personalien und Aufgaben innerhalb der Gesellschaft offenzulegen.

Der Gerichtshof schließt es jedoch nicht aus, dass in besonderen Situationen überwiegende,
schutzwürdige, sich aus dem konkreten Fall der Person ergebende Gründe ausnahmsweise
rechtfertigen können, den Zugang zu den sie betreffenden personenbezogenen Daten nach Ablauf
einer hinreichend langen Frist nach der Auflösung der Gesellschaft auf Dritte zu beschränken, die
ein besonderes Interesse an der Einsichtnahme in die Daten nachweisen. Eine solche
Zugangsbeschränkung zu personenbezogenen Daten muss das Ergebnis einer Einzelfallprüfung
sein. Es ist Sache jedes Mitgliedstaats, zu entscheiden, ob er eine solche Zugangsbeschränkung
in seiner Rechtsordnung wünscht.

Im vorliegenden Fall vertritt der Gerichtshof die Auffassung, dass der Umstand allein, dass sich die
Immobilien der Ferienanlage nicht veräußern lassen, weil die potenziellen Käufer Zugang zu den
im Gesellschaftsregister eingetragenen Daten über Herrn Manni haben, u. a. wegen des
berechtigten Interesses dieser Käufer an diesen Informationen nicht für eine Rechtfertigung der
Zugangsbeschränkung zu diesen Daten ausreichen kann."


Den Volltext der Entscheidung finden Sie hier:

VG Köln: Portal zur Bewertung anderer Autofahrer datenschutzwidrig soweit Dritte Daten einsehen können - datenschutzrechtliche Anordnung rechtmäßig

VG Köln
Urteil vom 16.02.2017
13 K 6093/15


Das VG Köln hat entschieden, dass ein Internetportal zur Bewertung anderer Autofahrer datenschutzwidrig ist soweit Dritte und nicht nur der jeweilige Autofahrer die gespeicherten Daten zu seinem KFZ-Kennzeichen einsehen können.

Die Pressemitteilung des VG Köln:

Bewertungsportal für Autofahrer muss angepasst werden

Das Verwaltungsgericht Köln hat mit heute verkündetem Urteil entschieden, dass die gegenüber der Betreiberin eines Fahrer-Bewertungsportals ergangene datenschutzrechtliche Anordnung rechtmäßig ist.

Derzeit können Nutzer dieses Portals das Fahrverhalten anderer Personen unter Angabe eines Kfz-Kennzeichens nach einem Ampelschema (rot = negativ, gelb = neutral, grün = positiv) bewerten. Eine Detail-Bewertung erfolgt durch Auswahl aus vorgegebenen Bewertungen. Die Bewertungsergebnisse zu einzelnen Kfz-Kennzeichen sind in Form einer durchschnittlichen Schulnote für jeden Nutzer einsehbar. Die Klägerin beabsichtigt, mithilfe des Portals Autofahrer dazu anzuhalten, die eigene Fahrweise zu überdenken. Auf diese Weise möchte sie einen Beitrag zu mehr Sicherheit im Straßenverkehr leisten.

Der beklagte Datenschutzbeauftragte für das Land Nordrhein-Westfalen hat der Klägerin aufgegeben, das Portal so zu verändern, dass nur noch nach bestimmten Vorgaben registrierte Kfz-Halter die Bewertungsergebnisse zu ihrem eigenen Kfz-Kennzeichen abrufen können. Damit soll eine Prangerwirkung des Portals verhindert werden.

Die hiergegen erhobene Klage hat die Kammer abgewiesen. Zur Begründung hat sie ausgeführt, dass die auf dem Fahrerbewertungsportal zu einzelnen Kfz-Kennzeichen erhobenen und gespeicherten Daten personenbezogen seien. Die jeweiligen Fahrer bzw. Fahrzeughalter könnten von der Klägerin und auch Portalnutzern mit verhältnismäßigem Aufwand bestimmt werden. Der Datenschutz der bewerteten Fahrer überwiege das Informationsinteresse der Nutzer. Letzteres sei weniger schützenswert als beispielsweise das Interesse einer Person, die sich vor einem Arztbesuch auf einem Ärztebewertungsportal informiere. Bei dem Fahrerbewertungsportal stehe eine Prangerwirkung einzelner Fahrer im Vordergrund. Das von der Klägerin nach ihren Angaben verfolgte Ziel könne auch erreicht werden, wenn Bewertungen – wie von der Anordnung des Landesdatenschutzbeauftragten vorgegeben – lediglich an die Betroffenen selbst übermittelt würden.

Gegen das Urteil kann Berufung eingelegt werden, über die das Oberverwaltungsgericht in Münster entscheidet.


Datenschutz für Unternehmen - Vertretung in datenschutzrechtlichen Aufsichtsverfahren - Wir beraten Unternehmen bundesweit

Das Thema Datenschutz ist immer häufiger Gegenstand von rechtlichen Auseinandersetzungen. Dabei sind zahlreiche Rechtsfragen umstritten und die gesetzlichen Vorgaben wie beispielsweise durch die EU-Datenschutz-Grundverordnung in Bewegung. Die handwerklichen Missgeschicke des Gesetzgebers erschweren dabei zusätzlich für Unternehmen die datenschutzkonforme Umsetzung der rechtlichen Vorgaben.

Auch die Datenschutzbehörden der Länder gehen im Rahmen von datenschutzrechtlichen Aufsichtsverfahren zunehmend gegen Unternehmen vor. Die Themenfelder sind vielfältig. Neben dem Umgang mit personenbezogenen Daten, der Auftragsdatenverarbeitung, der Sicherheit von Websites, Analysetools und Social-Media-Plugins, sind oft auch interne Bereiche von Unternehmen betroffen. So sind etwa der Umgang mit Mitarbeiterdaten, die Videoüberwachung des Betriebsgeländes oder andere Überwachungsmaßnahmen der Mitarbeiter immer Auslöser von datenschutzrechtlichen Aufsichtsverfahren. Dabei drohen Untersagungsverfügungen und Ordnungsgelder.

Erfolgt eine Anhörung durch die zuständige Datenschutzbehörde, so gilt es für Unternehmen Ruhe zu bewahren. Nicht alle Forderungen der Datenschützer sind berechtigt. Dies gilt um so mehr, als je nach Bundesland unterschiedliche Tendenzen auszumachen sind. Jedenfalls empfiehlt es sich bereits im Anhörungsverfahren rechtliche fundiert vorzutragen, um rechtliche Schwierigkeiten zu verhindern oder Argumentationswege zu verbauen. Oft lässt sich eine einvernehmliche Regelung mit der Datenschutzbehörde erzielen.




BGH: Immaterielle Entschädigung für Verletzung des allgemeinen Persönlichkeitsrechts nicht vererblich - § 7 Satz 1 BDSG auch keine Anspruchsgrundlage

BGH
Urteil vom 29.11.2016
VI ZR 530/15
BGB § 823 Abs. 1; BDSG § 7 Satz 1; Richtlinie 95/46/EG Art. 3 Abs. 1, Art. 2 Buchst. c


Der BGH hat abermals bekräftigt, dass eine Immaterielle Entschädigung in Geld für die Verletzung des allgemeinen Persönlichkeitsrechts nicht vererblich. Vorliegend ging es um ein unzureichend anonymisiertes sozialmedizinisches Gutachten mit personenbezogenen Daten. Auch § 7 Satz 1 BDSG scheidet nach Ansicht des BGH als Anspruchsgrundlage für eine Geldentschädigung aus.

Leitsätze des BGH:


1. Die Erbin einer gesetzlich krankenversicherten Patientin kann von der Krankenkasse keine immaterielle Entschädigung wegen einer Verletzung des allgemeinen Persönlichkeitsrechts der Patientin durch die Verwendung eines schriftlichen, die Patientin betreffenden, unzureichend anonymisierten sozialmedizinischen Gutachtens mit personenbezogenen Daten in anderen sozialgerichtlichen Verfahren verlangen. Der Anspruch auf Geldentschädigung wegen Persönlichkeitsrechtsverletzung ist grundsätzlich nicht vererblich (Festhaltung Senatsurteil
vom 29. April 2014 - VI ZR 246/12, BGHZ 201, 45 Rn. 8 ff.).

2. Insbesondere kann ein Anspruch auf immaterielle Entschädigung nicht auf § 7 Satz 1 BDSG gestützt werden. Auch bei richtlinienkonformer Auslegung gewährt § 7 Satz 1 BDSG für diesen Fall nicht-automatisierter Datenverarbeitung keinen Anspruch auf immaterielle Entschädigung. Ein solches (einzelnes) Gutachten ist keine Datei im Sinne von Art. 3 Abs. 1, Art. 2 Buchst. c der Richtlinie 95/46/EG des Europäischen Parlaments und des Rates vom 24. Oktober 1995 - Datenschutzrichtlinie -, so dass der Anwendungsbereich der Richtlinie insoweit nicht eröffnet ist.

BGH, Urteil vom 29. November 2016 - VI ZR 530/15 - OLG Düsseldorf - LG Wuppertal

Den Volltext der Entscheidung finden Sie hier:

BSI: Mindestens 1000 deutsche Online-Shops auf Magento-Basis von Online-Skimming betroffen - Sicherheitslücke in veralteter Version

Das Bundesamt für Sicherheit in der Informationstechnik (BSI) hat mitgeteilt, dass mindestens 1000 deutsche Online-Shops auf Magento-Basis von Online-Skimming betroffen sind. Ursache sind Sicherheitslücken in einer veralteten Version, die im Oktober 2016 bekanntgegeben wurden. Grundsätzlich ist der Betreiber eines Online-Shops verpflichtet alle zumutbare Maßnahmen zu ergreifen, um Schäden von seinen Kunden zu verhindern und die die gespeicherten personenbezogenen Daten zu schützen. Tut er dies nicht, so drohen Schadensersatzansprüche und Ordnungsgelder.


Online-Skimming: 1.000 deutsche Online-Shops betroffen

Dem Bundesamt für Sicherheit in der Informationstechnik (BSI) liegen Informationen vor, nach denen aktuell mindestens 1.000 deutsche Online-Shops von Online-Skimming betroffen sind. Dabei nutzen Cyber-Kriminelle Sicherheitslücken in veralteten Versionen der Shopsoftware, um schädlichen Programmcode einzuschleusen. Dieser späht dann beim Bestellvorgang die Zahlungsinformationen der Kunden aus und übermittelt sie an die Täter. Betroffen sind Online-Shops, die auf der weit verbreiteten Software Magento basieren.

Der eingeschleuste Code und der damit verbundene Datenabfluss ist für Nutzer üblicherweise nicht erkennbar. Über den Umfang der über diese Angriffe bereits abgeflossenen Zahlungsdaten liegen dem BSI zur Zeit keine Erkenntnisse vor.

Basierend auf einer von einem Entwickler von Sicherheitstools für Magento durchgeführten Analyse wurden bereits im September 2016 weltweit knapp 6.000 von Online-Skimming betroffene Online-Shops identifiziert, darunter auch mehrere hundert Shops deutscher Betreiber. CERT-Bund benachrichtigte daraufhin die jeweils zuständigen Netzbetreiber in Deutschland zu betroffenen Online-Shops. Aktuellen Erkenntnissen zufolge wurde diese Infektion von vielen Betreibern bis heute nicht entfernt oder die Server wurden erneut kompromittiert. Die von den Angreifern ausgenutzten Sicherheitslücken in Magento wurden von den Shop-Betreibern trotz vorhandener Softwareupdates offenbar nicht geschlossen. Dies ermöglicht Cyber-Kriminellen, weiterhin Zahlungsdaten und andere bei Bestellungen eingegebene persönliche Daten von Kunden auszuspähen. Die Anzahl aktuell bekannter betroffener Online-Shops in Deutschland ist dadurch auf mindestens 1.000 angestiegen.

Das CERT-Bund des BSI hat heute erneut die jeweils zuständigen Netzbetreiber in Deutschland zu betroffenen Online-Shops in ihren Netzen informiert und bittet Provider, die Informationen an ihre Kunden (Shop-Betreiber) weiterzuleiten.

"Leider zeigt sich nach wie vor, dass viele Betreiber bei der Absicherung ihrer Online-Shops sehr nachlässig handeln. Eine Vielzahl von Shops läuft mit veralteten Software-Versionen, die mehrere bekannte Sicherheitslücken enthalten", erklärt BSI-Präsident Arne Schönbohm. "Die Betreiber müssen ihrer Verantwortung für ihre Kunden gerecht werden und ihre Dienste zügig und konsequent absichern."

Nach § 13 Absatz 7 TMG sind Betreiber von Online-Shops verpflichtet, ihre Systeme nach dem Stand der Technik gegen Angriffe zu schützen. Eine grundlegende und wirksame Maßnahme hierzu ist das regelmäßige und rasche Einspielen von verfügbaren Sicherheitsupdates.

Das BSI weist an dieser Stelle darauf hin, dass die Verpflichtung zur Absicherung von Systemen nicht nur für Unternehmen, sondern auch für alle anderen geschäftsmäßigen Betreiber von Websites gilt. Darunter fallen zum Beispiel auch Websites von Privatpersonen oder Vereinen, wenn mit deren Betrieb dauerhaft Einnahmen generiert werden sollen. Dies wird bereits dann angenommen, wenn auf Websites bezahlte Werbung in Form von Bannern platziert wird.

Betreiber von Online-Shops auf Basis von Magento können mit dem kostenfreien Dienst MageReport überprüfen, ob ihr Shop-System bekannte Sicherheitslücken aufweist und von den aktuellen Angriffen betroffen ist. Zu jedem erkannten Problem werden detaillierte Informationen zu dessen Behebung bereitgestellt.




BVerwG: Kein Anspruch auf Informationszugang zu dienstlichen Telefonlisten von Jobcenter - Funktionsfähigkeit der Behörden und Datenschutz stehen dem entgegenc

BVerwG
Urteile vom 20.10.2016
7 C 20.15; 7 C 23.15; 7 C 27.15; 7 C 28.15


Das BVerwG hat entschieden, dass kein Anspruch auf Informationszugang zu dienstlichen Telefonlisten von Jobcentern besteht. Die Funktionsfähigkeit der Jobcenter und der Schutz der personenenbezogenen Daten der Mitarbeiter stehen dem entgegen.

Informationszugang zu dienstlichen Telefonlisten von Jobcentern: Revisionen erfolglos

Einem Anspruch auf Informationszugang zu den dienstlichen Telefonnummern der Bediensteten von Jobcentern können sowohl die Gefährdung der Funktionsfähigkeit der Behörde als auch der Schutz der personenbezogenen Daten der Mitarbeiterinnen und Mitarbeiter entgegenstehen. Das hat das Bundesverwaltungsgericht in Leipzig heute entschieden.

Die Kläger begehren unter Berufung auf das Informationsfreiheitsgesetz Zugang zu Diensttelefonlisten der beklagten Jobcenter in Köln, Nürnberg-Stadt, Berlin Mitte und Berlin Treptow-Köpenick. Die Bediensteten dieser Jobcenter sind von ihren Kunden nicht unmittelbar telefonisch zu erreichen. Anrufe werden jeweils von eigens eingerichteten Service-Centern mit einheitlichen Telefonnummern entgegengenommen.

Soweit die von den Klägern geltend gemachten Ansprüche noch im Streit standen, hatten die Klagen in der Berufungsinstanz keinen Erfolg. Die hiergegen gerichteten Revisionen hat das Bundesverwaltungsgericht zurückgewiesen.

Das Oberverwaltungsgericht Münster und der Verwaltungsgerichtshof München haben im Einklang mit den maßgeblichen Rechtsvorschriften entschieden, dass zu Lasten der Kläger der Ausschlussgrund des § 3 Nr. 2 IFG eingreift. Danach besteht der Anspruch auf Informationszugang nicht, wenn das Bekanntwerden der Information die öffentliche Sicherheit gefährden kann. Zum Schutzgut der öffentlichen Sicherheit gehören u.a. Individualrechtsgüter wie Gesundheit und Eigentum sowie die Funktionsfähigkeit und die effektive Aufgabenerledigung staatlicher Einrichtungen. Deren Gefährdung liegt vor, wenn aufgrund einer auf konkreten Tatsachen beruhenden prognostischen Bewertung mit hinreichender Wahrscheinlichkeit zu erwarten ist, dass das Bekanntwerden der Information das Schutzgut beeinträchtigt. Von diesem rechtlichen Ausgangspunkt aus haben das Oberverwaltungsgericht Münster und der Verwaltungsgerichtshof München jeweils Tatsachen festgestellt, die zu einer solchen Gefährdung führen. Sie besteht namentlich in nachteiligen Auswirkungen auf die effiziente und zügige Aufgabenerfüllung der Jobcenter, die infolge von direkten Anrufen bei den Bediensteten eintreten können.

In den vom Oberverwaltungsgericht Berlin-Brandenburg entschiedenen Fällen waren die Jobcenter Berlin Mitte und Berlin Treptow-Köpenick bereits vom Verwaltungsgericht Berlin verpflichtet worden, über die Ansprüche der Kläger erneut zu entscheiden; zuvor muss ermittelt werden, ob die betroffenen Mitarbeiter in den Informationszugang einwilligen. Insoweit sind die verwaltungsgerichtlichen Urteile rechtskräftig geworden. Eine Gefährdung der öffentlichen Sicherheit war in diesen Verfahren seitens der Jobcenter nicht geltend gemacht worden.

Dem weitergehenden Anspruch auf Übermittlung der Telefonlisten ohne vorherige Einwilligung der betroffenen Bediensteten steht, wie das Bundesverwaltungsgericht bestätigt hat, § 5 Abs. 1 Satz 1 IFG entgegen. Danach darf ohne eine solche Einwilligung Zugang zu personenbezogenen Daten nur gewährt werden, soweit das Informationsinteresse des Antragstellers das schutzwürdige Interesse des Dritten am Ausschluss des Informationszugangs überwiegt. Bei den dienstlichen Telefonnummern handelt es sich um personenbezogene Daten, die vom Schutzbereich des Grundrechts auf informationelle Selbstbestimmung erfasst werden. § 5 Abs. 1 Satz 1 IFG liegt daher ein relativer Vorrang des Datenschutzes vor dem Informationsinteresse zugrunde. Vor diesem Hintergrund war in den entschiedenen Fällen ein Überwiegen der von den Klägern geltend gemachten Interessen zu verneinen.

BVerwG 7 C 20.15 - Urteil vom 20. Oktober 2016

Vorinstanzen:
OVG Münster 8 A 2429/14 - Urteil vom 16. Juni 2015
VG Köln 13 K 498/14 - Urteil vom 30. Oktober 2014

BVerwG 7 C 23.15 - Urteil vom 20. Oktober 2016

Vorinstanzen:
VGH München 5 BV 15.160 - Urteil vom 05. August 2015
VG Ansbach AN 14 K 13.02149 - Urteil vom 14. November 2014

BVerwG 7 C 27.15 - Urteil vom 20. Oktober 2016

Vorinstanzen:
OVG Berlin-Brandenburg 12 B 22.14 - Urteil vom 20. August 2015
VG Berlin 2 K 252.13 - Urteil vom 05. Juni 2014

BVerwG 7 C 28.15 - Urteil vom 20. Oktober 2016

Vorinstanzen:
OVG Berlin-Brandenburg 12 B 21.14 - Urteil vom 20. August 2015
VG Berlin 2 K 54.14 - Urteil vom 05. Juni 2014



EuGH: Betreiber einer Webseite darf dynamische IP-Adressen zur Abwehr von Cyberattacken speichern - dynamische IP-Adressen sind personenbezogene Daten

EuGH
Urteil vom 19.10.2016
C-582/14
Patrick Breyer / Bundesrepublik Deutschland


Der EuGH hat entschieden, dass Webseitenetreiber dynamische IP-Adressen zur Abwehr von Cynerattacken bzw. zur Aufrechterhaltung der Funktionsfähigkeit der Webseite speichern dürfen.

Wenig überraschend teilt der EuGH mit, dass auch dynamische IP-Adressen regelmäßig als personenbezogene Daten zu qualifizieren sind. Der EuGH hat bereits im Jahr 2011 - allerdingsohne nähere Begründung - wie selbstverständlich angenommen, dass IP-Adressen personenbezogene Daten sind ( EuGH, Urteil vom 24.11.2011 - C‑70/10 - EuGH: Internetprovider dürfen nicht dazu verpflichtet werden, den Netzverkehr präventiv zu filtern und zu sperren - Verstoß gegen Europarecht). Dies wird in der öffentlichen Diskussion oft vergessen.

Die restriktive Regelung zur Speicherung in § 15 Abs. 1 TMG verstößt gegen EU-Recht, da ein Webseitenbetreiber auch nach Abschluss des Nutzungsvorgangs ein berechtigtes Interesse an der Speicherung dynamische IP-Adressen haben kann.

Die Pressemitteilung des EuGH:

Der Betreiber einer Website kann ein berechtigtes Interesse daran haben, bestimmte personenbezogene Daten der Nutzer zu speichern, um sich gegen Cyberattacken zu verteidigen

Die dynamische Internetprotokoll-Adresse eines Nutzers stellt für den Betreiber der Website ein personenbezogenes Datum dar, wenn er über rechtliche Mittel verfügt, die es ihm erlauben, den betreffenden Nutzer anhand der Zusatzinformationen, über die dessen Internetzugangsanbieter verfügt, bestimmen zu lassen

Herr Patrick Breyer klagt vor deutschen Gerichten dagegen, dass die von ihm abgerufenen Websites von Einrichtungen des Bundes seine Internetprotokoll-Adressen („IP-Adressen“) aufzeichnen und speichern. Von diesen Einrichtungen werden außer dem Zeitpunkt des Zugriffs auch die IP-Adressen der Nutzer aufgezeichnet und gespeichert, um sich gegen Cyberattacken zu
wappnen und eine Strafverfolgung zu ermöglichen.

Der deutsche Bundesgerichtshof möchte vom Gerichtshof wissen, ob in diesem Zusammenhang auch „dynamische“ IP-Adressen für den Betreiber der Website personenbezogene Daten darstellen, so dass sie den für solche Daten vorgesehenen Schutz genießen. Eine „dynamische“ IP-Adresse ist eine IP-Adresse, die sich bei jeder neuen Internetverbindung ändert. Anders als statische IP-Adressen erlauben dynamische IP-Adressen es nicht, anhand allgemein zugänglicher Dateien eine Verbindung zwischen einem Computer und dem vom Internetzugangsanbieter verwendeten physischen Netzanschluss herzustellen. Somit verfügt ausschließlich der Internetzugangsanbieter von Herrn Breyer über die zu dessen Identifizierung erforderlichen
Zusatzinformationen.

Der Bundesgerichtshof möchte ferner wissen, ob der Betreiber einer Website zumindest grundsätzlich die Möglichkeit haben muss, personenbezogene Daten der Nutzer zu erheben und zu verwenden, um die generelle Funktionsfähigkeit seiner Website zu gewährleisten. Er weist insoweit darauf hin, dass die einschlägige deutsche Regelung von der deutschen Lehre überwiegend dahin ausgelegt werde, dass die Daten am Ende des jeweiligen Nutzungsvorgangs zu löschen seien, soweit sie nicht für Abrechnungszwecke benötigt würden.

Mit seinem heutigen Urteil antwortet der Gerichtshof zunächst, dass eine dynamische IP-Adresse, die von einem „Anbieter von Online-Mediendiensten“ (d. h. vom Betreiber einer Website, hier den Einrichtungen des Bundes) beim Zugriff auf seine allgemein zugängliche Website gespeichert wird, für den Betreiber ein personenbezogenes Datum darstellt, wenn er über rechtliche Mittel verfügt, die es ihm erlauben, den Nutzer anhand der Zusatzinformationen, über die dessen Internetzugangsanbieter verfügt, bestimmen zu lassen.

Der Gerichtshof führt hierzu aus, dass es in Deutschland offenbar rechtliche Möglichkeiten gibt, die es dem Anbieter von Online-Mediendiensten erlauben, sich insbesondere im Fall von Cyberattacken an die zuständige Behörde zu wenden, um die fraglichen Informationen vom Internetzugangsanbieter zu erlangen und anschließend die Strafverfolgung einzuleiten.

Zweitens antwortet der Gerichtshof, dass das Unionsrecht einer Regelung eines Mitgliedstaats entgegensteht, nach der ein Anbieter von Online-Mediendiensten personenbezogene Daten eines Nutzers dieser Dienste ohne dessen Einwilligung nur erheben und verwenden darf, soweit ihre Erhebung und ihre Verwendung erforderlich sind, um die konkrete Inanspruchnahme der Dienste durch den betreffenden Nutzer zu ermöglichen und abzurechnen, ohne dass der Zweck, die generelle Funktionsfähigkeit der Dienste zu gewährleisten, die Verwendung der Daten über das Ende eines Nutzungsvorgangs hinaus rechtfertigen kann.

Die Verarbeitung personenbezogener Daten ist nach dem Unionsrecht u. a. rechtmäßig, wenn sie zur Verwirklichung des berechtigten Interesses, das von dem für die Verarbeitung Verantwortlichen oder von dem bzw. den Dritten wahrgenommen wird, denen die Daten übermittelt werden, erforderlich ist, sofern nicht das Interesse oder die Grundrechte und Grundfreiheiten der betroffenen Person überwiegen.

Die deutsche Regelung schränkt nach ihrer in der Lehre überwiegend vertretenen Auslegung die Tragweite dieses Grundsatzes ein, indem sie es ausschließt, dass der Zweck, die generelle Funktionsfähigkeit des Online-Mediums zu gewährleisten, Gegenstand einer Abwägung mit dem Interesse oder den Grundrechten und Grundfreiheiten der Nutzer sein kann.

Der Gerichtshof hebt in diesem Zusammenhang hervor, dass die Einrichtungen des Bundes, die Online-Mediendienste anbieten, ein berechtigtes Interesse daran haben könnten, die Aufrechterhaltung der Funktionsfähigkeit der von ihnen allgemein zugänglich gemachten Websites über ihre konkrete Nutzung hinaus zu gewährleisten



Hamburgischer Datenschutzbeauftragter: Rechtskräftige Bußgelder gegen Unternehmen wegen Unwirksamkeit von Safe Harbor

Der Hamburgische Datenschutzbeauftragte hat nach der Safe Harbor-Entscheidung des EuGH (siehe EuGH: Safe-Harbor-Abkommen zwischen USA und EU ungültig - kein ausreichender Schutz in den USA für personenbezogene Daten vor Zugriff durch Behörden) gegen zahlreiche Unternehmen Bußgelder erlassen. Die Bußgeldbescheide sind teilweise schon rechtskräftig.

Die Pressemitteilung des Hamburgischen Datenschutzbeauftragten:

Unzulässige Datenübermittlungen in die USA - Erste Bußgelder rechtskräftig, weitere Verfahren noch offen

Der EuGH hat die Safe Harbor-Entscheidung im Oktober 2015 aufgehoben und damit einen wesentlichen Pfeiler für eine rechtmäßige Datenübermittlung an US-Unternehmen für unwirksam erklärt. Daraufhin wurden durch den Hamburgischen Datenschutzbeauftragten Prüfungen bei 35 international agierenden Hamburger Unternehmen durchgeführt.

Die Prüfungen haben ergeben, dass die überwiegende Mehrheit der Unternehmen den Datentransfer im Rahmen einer mehrmonatigen Umsetzungsfrist rechtzeitig auf sogenannte Standardvertragsklauseln umgestellt hat. Einige wenige Unternehmen hatten aber auch ein halbes Jahr nach Wegfall der Safe Harbor-Entscheidung keine zulässige Alternative geschaffen. Die Datenübermittlungen dieser Unternehmen in die USA erfolgten damit ohne rechtliche Grundlage und waren rechtswidrig.

Während einige der eingeleiteten Verfahren noch nicht abgeschlossen werden konnten und andere Prüfungen noch laufen, sind mittlerweile drei Bußgeldbescheide wegen der unzulässigen Übermittlung von Mitarbeiter- und Kundendaten in die USA rechtskräftig geworden. Die betroffenen Unternehmen haben nach Einleitung des Bußgeldverfahrens ihre Übermittlungen rechtlich auf Standardvertragsklauseln umgestellt.

Dazu Johannes Caspar, der Hamburgische Beauftragte für Datenschutz und Informationsfreiheit:
„Dass die Unternehmen schließlich doch noch eine rechtliche Grundlage für die Übermittlung geschaffen haben, war bei der Bemessung der Bußgelder positiv zu berücksichtigen. Für künftig festgestellte Verstöße wird sicherlich ein schärferer Maßstab anzulegen sein.

Im weiteren Verlauf bleibt nun abzuwarten, ob die Nachfolgeregelung zu Safe Harbor, der Privacy Shield, den die EU-Kommission Ende Februar vorgelegt hat, ein angemessenes Datenschutzniveau herstellt. Daran waren nicht zuletzt seitens der Art. 29-Datenschutzgruppe, dem gemeinsamen Gremium der Datenschutzbehörden der EU-Mitgliedstaaten und des Europäischen Datenschutzbeauftragten, erhebliche Zweifel geäußert worden. EU-Kommission und US-Regierung sind hier aufgefordert, den Entwurf in wesentlichen Punkten nachzubessern. Vor diesem Hintergrund wird auch über die Zulässigkeit der derzeit nicht beanstandeten alternativen Übermittlungsinstrumente, insbesondere sogenannter Standardvertragsklauseln, zu entscheiden sein."

Abmahnrisiko Analytics - Der Einsatz des Google-Tools ohne Datenschutzhinweis ist wettbewerbswidrig - Neuer Beitrag in der Internet World Business von RA Marcus Beckmann

In Ausgabe 10/16, S. 18 der Zeitschrift Internet World Business erschien ein Beitrag von Rechtsanwalt Marcus Beckmann mit dem Titel "Abmahnrisiko Analytics - Der Einsatz des Google-Tools ohne Datenschutzhinweis ist wettbewerbswidrig".

Nachdem die Rechtsprechung zunehmend Verstöße gegen datenschutzrechtliche Vorschriften für wettbewerbswidrig erachtet, sind dieser und andere Datenschutzverstöße zunehmend Gegenstand von Abmahnungen und rechtlichen Auseinandersetzungen.

BfDI veröffentlicht Informationsbroschüre zur EU-Datenschutz-Grundverordnung, die auch den endgültigem Text der EU-DSGVO enthält.

Das Europäische Parlament hat am 14.04.2016 die zukünftige Europäische Datenschutz-Grundverordnung (EU-DSGVO) verabschiedet. Die Bundesbeauftragte für den Datenschutz und die Informationsfreiheit (BfDI) hat nun eine Informationsbroschüre veröffentlicht, die auch den endgültigem Text zur künftigen Europäischen Datenschutz-Grundverordnung enthält.

BVerwG: Schutz personenbezogener Daten von Bundestagsabgeordneten geht pressrechtlichem Auskunftsanspruch über Anschaffungen aus Sachmittelpauschale vor

BVerwG
Ur­teile vom 16.03.2016
6 C 65.14
6 C 66.14


Das Bundesverwaltungsgericht hat in zwei Urteilen entschieden, dass der Schutz personenbezogener Daten von Bundestagsabgeordneten einem pressrechtlichen Auskunftsanspruch vorgehen kann. Vorliegend ging es um Anschaffungen von hochwertigen Produkten für die Büroausstattung aus der Sachmittelpauschale.

Die Pressemitteilung des BVerwG:

"Schutz personenbezogener Daten von Abgeordneten des Deutschen Bundestages kann Presseauskünfte zur Büroausstattung ausschließen

Das Bun­des­ver­wal­tungs­ge­richt in Leip­zig hat heute in zwei Re­vi­si­ons­ver­fah­ren ent­schie­den, unter wel­chen Vor­aus­set­zun­gen Pres­se­ver­tre­ter auf der Grund­la­ge des pres­se­recht­li­chen Aus­kunfts­an­spruchs von der Ver­wal­tung des Deut­schen Bun­des­ta­ges Aus­kunft dar­über er­hal­ten kön­nen, wel­che Bun­des­tags­ab­ge­ord­ne­ten wel­che An­schaf­fun­gen über die ihnen zu­ste­hen­de Pau­scha­le für Büro- und Ge­schäfts­be­darf ab­ge­rech­net haben.

Die Ab­ge­ord­ne­ten des Deut­schen Bun­des­ta­ges haben die Mög­lich­keit, im Rah­men ihrer Amts­aus­stat­tung nach dem Ab­ge­ord­ne­ten­ge­setz für einen Be­trag von der­zeit 12 000 € jähr­lich Ge­gen­stän­de für den Büro- und Ge­schäfts­be­darf an­zu­schaf­fen (Sach­mit­tel­pau­scha­le). Zu die­sem Zweck hat die Ver­wal­tung des Deut­schen Bun­des­ta­ges für jeden Ab­ge­ord­ne­ten ein Sach­leis­tungs­kon­to ein­ge­rich­tet. Der Klä­ger ist Re­dak­teur einer Ta­ges­zei­tung. Im An­schluss an Pres­se­be­rich­te über das Ein­kaufs­ver­hal­ten von Ab­ge­ord­ne­ten for­der­te er von der be­klag­ten Ver­wal­tung des Deut­schen Bun­des­ta­ges, ihm Zu­gang zu allen Un­ter­la­gen über den Er­werb von Mont­blanc-Schreib­ge­rä­ten und Di­gi­tal­ka­me­ras aus der Sach­mit­tel­pau­scha­le durch Ab­ge­ord­ne­te im Jahr 2009 zu ge­wäh­ren sowie Ab­lich­tun­gen von die­sen Un­ter­la­gen aus­zu­hän­di­gen (Ver­fah­ren BVerwG 6 C 65.14). Dar­über hin­aus be­gehr­te er, ihm unter Nen­nung der Namen Aus­kunft über den Er­werb von iPods aus der Sach­mit­tel­pau­scha­le durch Ab­ge­ord­ne­te im ers­ten Halb­jahr 2010 zu er­tei­len (Ver­fah­ren BVerwG 6 C 66.14). Nach Ver­wei­ge­rung der be­gehr­ten Aus­künf­te hat der Klä­ger Klage er­ho­ben, die in den Vor­in­stan­zen auch in­so­weit er­folg­los ge­blie­ben ist, als sie auf einen pres­se­recht­li­chen Aus­kunfts­an­spruch ge­stützt war.

Das Bun­des­ver­wal­tungs­ge­richt hat die Re­vi­sio­nen des Klä­gers zu­rück­ge­wie­sen. Die Bun­des­tags­ab­ge­ord­ne­ten haben ein be­rech­tig­tes In­ter­es­se an der Ver­trau­lich­keit von In­for­ma­tio­nen über die In­an­spruch­nah­me ihrer Sach­mit­tel­pau­scha­le, weil es sich um per­so­nen­be­zo­ge­ne Daten han­delt, die von der Frei­heit des Man­dats ge­schützt sind. Die Schutz­wür­dig­keit die­ses In­ter­es­ses an Ver­trau­lich­keit ist al­ler­dings ge­min­dert, wenn - na­ment­lich auf der Grund­la­ge zu­nächst ohne Na­mens­nen­nung er­teil­ter oder zu­sam­men­ge­fass­ter An­ga­ben - kon­kre­te An­halts­punk­te für eine miss­bräuch­li­che, ins­be­son­de­re nicht man­dats­be­zo­ge­ne In­an­spruch­nah­me der Sach­mit­tel­pau­scha­le durch Ab­ge­ord­ne­te vor­lie­gen. In einem sol­chen Fall über­wiegt das grund­recht­lich ge­schütz­te In­for­ma­ti­ons­in­ter­es­se der Pres­se, auch unter Nen­nung der Namen über die An­schaf­fun­gen von Ab­ge­ord­ne­ten Aus­kunft zu er­hal­ten. Ein sol­cher Fall war hier nach den Fest­stel­lun­gen des Be­ru­fungs­ge­richts nicht ge­ge­ben.



BVerwG 6 C 65.14 - Ur­teil vom 16. März 2016

Vor­in­stan­zen:
OVG Ber­lin-Bran­den­burg 12 B 34.10 - Ur­teil vom 07. Juni 2012
VG Ber­lin 2 K 35.10 - Ur­teil vom 11. No­vem­ber 2010

BVerwG 6 C 66.14 - Ur­teil vom 16. März 2016

Vor­in­stan­zen:
OVG Ber­lin-Bran­den­burg 12 B 40.11 - Ur­teil vom 07. Juni 2012
VG Ber­lin 2 K 178.10 - Ur­teil vom 01. Sep­tem­ber 2011

EU-Kommission legt Entwurf des Safe-Harbor-Nachfolgers EU-US Privacy Shield vor - Skepsis bleibt - Problem Patriot Act

Die EU-Kommission hat inzwischen einen Entwurf des Safe-Harbor-Nachfolgers EU-US Privacy Shield oder auf Deutsch "EU-US-Datenschutzschild" vorgelegt. Es ist fraglich, ob wirklich alle Vorgaben des EuGH eingehalten werden. Nach wir vor macht der Patriot Act der USA eine wirklich den europäischen Datenschutzvorgaben entsprechende Lösung unmöglich. Auch die EU-US Privacy Shield wird sicher wieder vor dem EuGH landen. Dort wird sich entscheiden, ob man eine pragmatische oder rechtskonforme Lösung verlangt.

Siehe auch zum Thema "EU-US Privacy Shield - EU-Kommission und USA einigen sich auf Safe Harbor-Nachfolgeregelung".

Die Pressemitteilung des EU-Kommission:

"Die Europäische Kommission hat heute das Legislativpaket zum EU-US-Datenschutzschild und eine Mitteilung vorgelegt, in der sie zusammenfasst, was alles in den letzten Jahren unternommen worden ist, um das seit den Enthüllungen 2013 erschütterte Vertrauen in den transatlantischen Datenverkehr wiederherzustellen. Entsprechend den Politischen Leitlinien von Kommissionspräsident Juncker hat die Kommission i) die Reform des EU-Datenschutzrechts zum Abschluss gebracht, das für alle Unternehmen gilt, die Dienstleistungen im EU-Binnenmarkt anbieten, ii) das EU-US-Rahmenabkommen ausgehandelt, das hohe Datenschutzstandards für der Strafverfolgung dienende Datenübermittlungen über den Atlantik gewährleistet, und iii) einen neuen soliden Rahmen für den Austausch kommerzieller Daten geschaffen: den EU-US-Datenschutzschild.
Angenommen hat die Kommission zudem den Entwurf eines sogenannten Angemessenheitsbeschlusses und eine Reihe von Texten zum EU-US-Datenschutzschild. Dabei handelt es sich unter anderem um die von den Unternehmen einzuhaltenden Datenschutzgrundsätze sowie um schriftliche (im US-Bundesregister zu veröffentlichende) Zusicherungen der US-Regierung, die der Durchsetzung der Vereinbarung dienen, darunter Garantien und Beschränkungen für den Datenzugriff durch Behörden.
„Der EU-US-Datenschutzschild wird in Kürze aktiviert“, sagte Vizepräsident Ansip. „Diesseits und jenseits des Atlantiks sind Arbeiten im Gange, die die persönlichen Daten unserer Bürgerinnen und Bürger umfassend schützen und sicherstellen sollen, dass wir die Chancen des digitalen Zeitalters nutzen können. Umgesetzt werden die Regeln von den Unternehmen. Wir sind jeden Tag in Kontakt, um sicherzustellen, dass die Vorbereitungen optimal vonstattengehen. Wir werden unsere Anstrengungen innerhalb der EU und weltweit fortsetzen, um das Vertrauen in die Online-Welt zu festigen. Ohne Vertrauen geht nichts - Vertrauen ist der Motor unserer digitalen Zukunft.“
„Der Schutz personenbezogener Daten hat für mich innerhalb wie auch außerhalb der EU Priorität“, so Justizkommissarin Jourová. „Der EU-US-Datenschutzschild bietet eine neue solide Regelung, die auf robuster Durchsetzung und Kontrolle basiert, einem besseren Rechtsschutz für den Bürger und erstmals einer schriftlichen Zusicherung unserer amerikanischen Partner zu den Garantien und Beschränkungen für den Datenzugriff der Behörden aus Gründen der nationalen Sicherheit. Jetzt, wo Präsident Obama den Judicial Redress Act unterzeichnet hat, der EU-Bürgern das Recht garantiert, Datenschutzrechte vor den US-Gerichten geltend zu machen, werden wir in Kürze die Unterzeichnung des Datenschutz-Rahmenabkommens zwischen der EU und den USA vorschlagen, das Garantien für die Übermittlung von Daten zu Strafverfolgungszwecken enthält. Mit diesen robusten Garantien wird es Europa und Amerika gelingen, das Vertrauen in den transatlantischen Datenverkehr wiederherzustellen.“
Mit dem Angemessenheitsbeschluss wird bescheinigt, dass die Garantien für die Übermittlung von Daten auf der Grundlage des neuen EU-US-Datenschutzschilds den Datenschutzstandards in der EU entsprechen. Der neue Rahmen wird den Vorgaben, die der Gerichtshof der Europäischen Union in seinem Urteil vom 6. Oktober 2015 formuliert hatte, gerecht. Die US-Regierung gab überzeugende Zusicherungen dahingehend ab, dass auf die strenge Einhaltung der Datenschutzbestimmungen geachtet wird und die nationalen Sicherheitsbehörden Daten nicht unterschiedslos oder massenhaft überwachen.
Garantiert wird dies auf folgende Weise:
- Strenge Auflagen für Unternehmen und konsequente Durchsetzung: Die neue Regelung ist transparent und sieht wirksame Aufsichtsmechanismen vor, um sicherzustellen, dass die Unternehmen ihren Pflichten nachkommen, einschließlich Sanktionen und die Streichung aus der Liste, falls sie gegen die Regeln verstoßen. Die Weiterübermittlung von Daten durch die teilnehmenden Unternehmen an andere Partner ist jetzt an strengere Bedingungen geknüpft.
- Klare Schutzvorkehrungen und Transparenzpflichten beim behördlichen Datenzugriff: Zum ersten Mal hat die US-Regierung der EU über das Büro des Direktors der nationalen Nachrichtendienste schriftlich zugesichert, dass der Datenzugriff von Behörden aus Gründen der nationalen Sicherheit klaren Beschränkungen, Garantien und Aufsichtsmechanismen unterworfen wird, die einen allgemeinen Zugriff auf personenbezogene Daten ausschließen. US-Außenminister John Kerry hat zugesagt, im Außenministerium eine von den nationalen Nachrichtendiensten unabhängige Ombudsstelle einzurichten, an die sich EU-Bürger mit Rechtsschutzbegehren, die den Bereich der nationalen Sicherheit betreffen, wenden können. Die Ombudsstelle wird Beschwerden und Anfragen von Personen nachgehen und ihnen mitteilen, ob die einschlägigen Gesetze beachtet wurden. Alle schriftlichen Zusicherungen werden im US-Bundesregister veröffentlicht.
- Wirksamer Schutz der Rechte der EU-Bürgerinnen und -Bürger durch verschiedene Rechtsbehelfe: Unternehmen müssen Beschwerden innerhalb von 45 Tagen nachgehen. Außerdem steht ein kostenloses Verfahren der alternativen Streitbeilegung zur Verfügung. Die betroffenen EU-Bürger können sich auch an ihre nationalen Datenschutzbehörden wenden, die dann zusammen mit der Federal Trade Commission dafür sorgen, dass Beschwerden nachgegangen und abgeholfen wird. Kann der Fall nicht auf andere Weise gelöst werden, gibt es als letztes Mittel ein Schiedsverfahren mit einem vollstreckbaren Schiedsspruch. Die Unternehmen können sich zudem verpflichten, den Empfehlungen europäischer Datenschutzbehörden nachzukommen. Für Unternehmen, die Personaldaten verarbeiten, ist dies Pflicht.
- Gemeinsame jährliche Überprüfung: Überprüft wird die Funktionsweise des Datenschutzschilds einschließlich der Zusicherungen und Zusagen hinsichtlich des Datenzugriffs zu Zwecken der Strafverfolgung und der nationalen Sicherheit. Die Europäische Kommission und das US-amerikanische Handelsministerium werden diese Überprüfung gemeinsam durchführen und Sachverständige der US-Nachrichtendienste und der europäischen Datenschutzbehörden hinzuziehen. Die Kommission wird darüber hinaus alle anderen Informationsquellen wie Transparenzberichte von Unternehmen über den Umfang der von Behörden angeforderten Daten heranziehen. Sie wird einmal pro Jahr interessierte NRO und sonstige Beteiligte zu einem Datenschutzgipfel einladen, um allgemeine Entwicklungen im amerikanischen Datenschutzrecht und deren Auswirkungen auf EU-Bürger zu erörtern. Die Kommission wird auf der Grundlage der jährlichen Überprüfung einen öffentlichen Bericht an das Europäische Parlament und den Rat vorlegen.
Nächste Schritte
Bevor das Kollegium abschließend entscheidet, wird ein Ausschuss aus Vertretern der Mitgliedstaaten und EU-Datenschutzbehörden (Artikel-29-Datenschutzgruppe) konsultiert, der zu dem Datenschutzschirm Stellung nimmt. In der Zwischenzeit treffen die USA die notwendigen Vorkehrungen zur Einrichtung des neuen Rahmens, der neuen Überwachungsmechanismen und der neuen Ombudsstelle.
Nach Verabschiedung des von Präsident Obama am 24. Februar unterzeichneten Judicial Redress Act im US-Kongress wird die Kommission jetzt in Kürze die Unterzeichnung des Datenschutz-Rahmenabkommens vorschlagen. Über den Abschluss des Abkommens entscheidet der Rat nach Zustimmung des Europäischen Parlaments.



OLG Hamm: Keine Sachmangel durch Navigationsgerät in Land Rover Discovery wegen Speicherung personenbezogener Daten

OLG Hamm
Hinweisbeschluss vom 02.07.2015
28 U 46/15


Das OLG Hamm hat in einem Hinweisbeschluss dargelegt, dass das Navigationsgerät im Land Rover Discovery wegen der Speicherung personenbezogener Daten und Routendaten keinen Sachmangel darstellt. Eine ggf. unzulässige Datenweiterleitung findet laut Gutachten nicht statt.

Aus den Gründen:

"3. Der Beklagte durfte die Abnahme des Land Rover ####### auch nicht deshalb ablehnen, weil das Fahrzeug i.S.d. § 434 Abs. 1 BGB als mangelhaft anzusehen gewesen wäre.

Das Landgericht konnte sich nach den Feststellungen des Sachverständigen mit Recht die Überzeugung bilden, dass das angebotene Fahrzeug keinen Mangel aufwies. Es bestehen keine Anhaltspunkte i.S.d. § 529 Abs. 1 S. 1 ZPO, die Zweifel an der Richtigkeit oder Vollständigkeit der vom Landgericht getroffenen Feststellungen gebieten.

a) Soweit in der Berufungsbegründung ausgeführt wird, der Kfz-Sachverständige Dr.-Ing. C sei wegen fehlender Sachkunde nicht in der Lage gewesen, die aufgeworfenen schwierigen EDV-technischen Fragen zu beantworten, bietet dies keinen Anlass, ein weiteres Gutachten durch einen anderen Sachverständigen erstellen zu lassen (§ 412 ZPO).

Der Sachverständige Dr. C ist dem Senat seit Jahren bekannt; er konnte sich in unterschiedlichste technische Fragestellungen einarbeiten und diese überzeugend bearbeiten. Zu dem Tätigkeitsfeld eines Kfz-Sachverständigen gehört in den letzten Jahren auch zunehmend der Bereich der Fahrzeugelektronik, so dass dieses Sachgebiet für den Sachverständigen Dr. C nicht fremd ist. Im Übrigen konnte der Sachverständige im Rahmen der mündlichen Gutachtenerstattung vor dem Landgericht auch die Nachfragen des Beklagten beantworten. Selbst mit der Berufung werden keine inhaltlichen Fehler bei der Beantwortung der Beweisfragen aufgezeigt.

Der Beklagte verweist zwar auf eine – vermeintliche – inhaltliche Widersprüchlichkeit, weil der Sachverständige doch selbst auf Bl. 77 d.A. oben Folgendes ausgeführt habe: „Der Permanent-Speicher sitzt nicht direkt im Navi-Gerät, sondern im Fahrzeug selbst.“ Allerdings beruht dies offenbar auf einem Missverständnis der Sitzungsniederschrift, denn die zitierte Passage beinhaltet eine wörtliche Wiedergabe der Behauptungen des „Klägers“ –gemeint wohl: des Beklagten – bei der Anhörung. Diese Mutmaßungen wurden aber gerade durch die nachfolgenden Ausführungen des Sachverständigen widerlegt.

b) Soweit der Beklagte beanstandet, dass der Sachverständige das verkaufte Fahrzeug gar nicht untersucht, sondern seine Erörterungen auf ein bei ebay gekauftes Navigationsgerät beschränkt habe, greift dieser Einwand nicht durch.

Der Vortrag des Beklagten geht nicht dahin, dass einzig und allein der ihm angebotene Land Rover über Vorrichtungen zum Ausspähen und zur Permanentspeicherung seiner persönlichen Daten verfügt habe, sondern der Beklagte behauptet, diese Datenspeicherung hänge bauartbedingt damit zusammen, dass das Navigationsgerät Daten über die zeitliche und örtliche Befindlichkeit des Fahrzeugs empfange, die anschließend in bestimmten Bauteilen des Fahrzeugs für ihn unzugänglich abgelegt würden.

Vor diesem Hintergrund war das Vorgehen des Kfz-Sachverständigen Dr.-Ing. C durchaus sachgerecht, der Frage nachzugehen, welche Bauteile das Navigationsgerät aufweist, das in Fahrzeugen vom Typ Land Rover ####### Verwendung findet. Der Sachverständige hat diese Bauteile bei seiner Anhörung im Einzelnen aufgeführt und ergänzt, dass im Navigationsgerät selbst allenfalls das Flash-Modul (64 MB) als Speicher für eingehende Daten über den Fahrzeugstandort in Betracht komme. Eine Vorrichtung, nach der diese Daten an andere Bauteile des Fahrzeugs weitergeleitet würden, konnte der Sachverständige nicht feststellen. Der Sachverständige hielt eine solche Datenweiterleitung technisch auch nicht für plausibel, weil diese Daten z.B. für eine Fehlerauswertung nicht relevant seien. Nach der Feststellung des Sachverständigen ist die vom Beklagten vermutete Permanentspeicherung allenfalls mittels CD möglich. Solche CD-Laufwerke seien aber weder in Steuergeräten noch in Navigationssystemen verbaut.

c) Im Übrigen ist der mit der Berufungsbegründung weiterverfolgte Ansatz des Beklagten, eine Datenspeicherung im Fahrzeug sei wegen eines Verstoßes gegen das Recht auf informationelle Selbstbestimmung per se als Sachmangel anzusehen, ohnehin verfehlt. Denn der Beklagte sollte das Fahrzeug, in dem nach seiner Einschätzung Daten abgelegt werden, übereignet bekommen, so dass er darüber selbst verfügen konnte. Ähnlich verhält es sich bei der Anschaffung eines Computers oder eines Smartphones, bei denen ebenfalls Daten der Nutzer gespeichert werden, ohne dass dieser Umstand einen technischen Fehler dieser Geräte bedeutet.

Vor diesem Hintergrund verfängt auch der erstinstanzliche Verweis auf eine unzulässige Vorratsdatenspeicherung oder etwaige Verstöße gegen das Bundesdatenschutzgesetz nicht.

Allenfalls wenn eine nicht beeinflussbare Weiterleitung personenbezogener Daten von dem Fahrzeug an unbefugte Dritte zu befürchten stünde, wäre in Erwägung zu ziehen, ob dies eine Beschaffenheit ausmacht, die bei vergleichbaren Fahrzeugen nicht üblich ist und die ein Käufer nicht erwarten muss (§ 434 Abs. 1 S. 2 Nr. 2 BGB).

Eine solche Negativabweichung ist aber nach den Feststellungen des Sachverständigen auszuschließen, weil es nicht zu einer Permanentspeicherung persönlicher Daten des Fahrzeugnutzers kommt und das Navigationsgerät auch keine Schnittstellen im Sinne von WLAN oder Bluetooth aufweist, die eine Datenabfrage von außen ermöglichen würden. Der Sachverständige hält vielmehr fest, dass in dem verkauften Land Rover elektronische Teile verbaut seien, die auch bei anderen Fahrzeugherstellern (Ford, Jaguar, Mazda, Volvo) verwendet würden. Daraus konnte das Landgerichts rechtsfehlerfrei die Schlussfolgerung ziehen, dass der dem Beklagten angebotene PKW dem technischen Stand der Automobilindustrie entsprach.


Den Volltext der Entscheidung finden Sie hier: