BECKMANN UND NORDA - Rechtsanwälte Bielefeld

OLG Schleswig-Holstein
Urteil vom 12.08.202
6 UKI 3/25

Das OLG Schleswig-Holstein hat den Antrag auf Erlass einer einstweiligen Verfügung gegen Meta wegen der Verwendung von Nutzerdaten als KI-Trainingsdaten mangels Dringlichkeit abgelehnt.

Die Pressemitteilung des Gerichts:
Eilantrag einer niederländischen Verbraucherschutzstiftung gegen Meta auf Untersagung der Nutzung bestimmter Kundendaten scheitert an fehlender Dringlichkeit

Der 6. Zivilsenat des Schleswig-Holsteinischen Oberlandesgerichts hat mit Urteil vom heutigen Tag den Antrag einer niederländischen Verbraucherschutzstiftung gegen Meta Platforms Ireland Limited (Meta) auf Untersagung der Nutzung bestimmter Kundendaten von Facebook und Instagram für KI-Lernzwecke wegen fehlender Dringlichkeit zurückgewiesen.

Meta hatte am 27.05.2025 nach Vorankündigung begonnen, bestimmte Nutzerdaten der Dienste Facebook und Instagram für KI-Trainingszwecke ohne Einverständnis der Profilinhaber zu nutzen. Meta berief sich dafür auf ein berechtigtes Interesse an der Entwicklung und Verbesserung ihrer KI-Technologien für die Plattformen und den KI-Dienst Llama. Der Datenschutz sei gewährleistet. Es würden nur bestimmte Daten von öffentlichen Profilen volljähriger Kunden genutzt und die Daten würden für das KI-Training de-identifiziert und tokenisiert. Ein Antrag der Verbraucherzentrale Nordrhein-Westfalen auf einstweilige Untersagung dieser Nutzung war vor dem Oberlandesgericht Köln (Urteil vom 23.05.2025; Az. I-15 UKl 2/25) gescheitert.

Die niederländische Verbraucherschutzstiftung Stichtung Onderzoek Marktinformatie (SOMI) hatte am 27.06.2025 vor dem Schleswig-Holsteinischen Oberlandesgericht einen Antrag auf einstweilige Untersagung der Nutzung gegen Meta eingereicht. Die tatsächliche Nutzung der Daten ohne Einverständnis der Nutzer habe nun begonnen, und die Interessen und Grundrechte der Verbraucher seien höher zu bewerten als das Interesse von Meta.

Der Senat hat den Antrag nach mündlicher Verhandlung und Anhörung des Hamburgischen Beauftragen für Datenschutz und Informationsfreiheit zurückgewiesen. Die Angelegenheit sei nicht eilbedürftig und rechtfertige daher nicht den Erlass eines einstweiligen Nutzungsverbotes. SOMI muss etwaige Ansprüche mit einer Hauptsacheklage verfolgen. Der Senat weist in seiner Entscheidung darauf hin, dass Meta bereits im Jahr 2024 gegenüber der Öffentlichkeit und dann insbesondere per E-Mails im April 2025 konkret gegenüber den Nutzern - und damit auch der SOMI - bekannt gegeben habe, die Daten entsprechend nutzen zu wollen. Während es der Verbraucherzentrale Nordrhein-Westfalen (in dem Verfahren vor dem OLG Köln) möglich gewesen sei, aufgrund der Ankündigungen zügig im Mai 2025 noch vor Beginn der Datennutzung gegen Meta vorzugehen, habe SOMI mit der Beantragung bis zum 27.06.2025 gewartet. Zu diesem Zeitpunkt habe Meta die Kundendaten bereits einen Monat lang genutzt.

Durch das lange Abwarten vor der Inanspruchnahme gerichtlichen Rechtsschutzes stehe fest, dass die Angelegenheit aus Sicht von SOMI nicht derart eilbedürftig sei, dass es der Regelung durch eine einstweilige Verfügung bedürfe. Die behaupteten Datenschutzverstöße durch das Verhalten von Meta seien spätestens seit April 2025 erkennbar gewesen. Meta habe auch nicht etwa Dinge angekündigt, die sich dann bei Beginn der Datenverarbeitung anders dargestellt hätten. So sei bereits seit einer Pressemitteilung vom 14.04.2025 erkennbar gewesen, dass die Datensätze aus Beiträgen, Kommentaren und Bildern von öffentlichen Profilen volljähriger Nutzer auch personenbezogene Daten von Kindern und nichtregistrierten Dritten enthalten könnten. Diese wüssten im Zweifel nichts von der Nutzung und könnten demnach auch nicht widersprechen. Zudem könnten sie ihre Daten nicht im Trainingsdatensatz oder innerhalb der Daten des KI-Modells selbst identifizieren, um eine unzulässige Datenverarbeitung zu beanstanden. Gleiches gelte für besonders geschützte personenbezogene Daten im Sinne von Art. 9 Datenschutzgrundverordnung (DSGVO). Solche Daten können etwa Angaben zur ethnischen oder rassischen Herkunft, sexuellen Orientierung oder politischen Meinungen enthalten. Sofern die Betroffenen ihre Daten nicht selbst öffentlich gemacht haben, ist eine Verarbeitung dieser Daten in der Regel untersagt. Nach eigener Aussage von Meta sei - so der Senat - nicht ausgeschlossen, dass solche Daten ohne Einverständnis der Betroffenen verarbeitet und von KI-Modellen ausgegeben würden. Die Möglichkeit der unzulässigen Nutzung von Verbraucherdaten sei SOMI spätestens durch eine E-Mail von Meta vom 19.04.2025 bekannt gewesen. Ein einstweiliges Verbot habe also zügig vor Beginn der Datenverarbeitung beantragt werden können.

OLG Köln
Urteil vom 23.05.2025
15 UKl 2/25

Wir hatten bereits in dem Beitrag OLG Köln: Meta darf Daten aus öffentlichen Profilen bei Facebook und Instagram für das KI-Training verwenden - kein Verstoß gegen DSGVO und DMA über die Entscheidung berichtet.

Aus den Entscheidungsgründen:
Es besteht bereits kein Verfügungsanspruch. Auf Grundlage der im einstweiligen Verfügungsverfahren gebotenen (OLG Köln, Beschluss vom 5. Juli 2024 – I-5 W 33/24 –, juris, Rn. 29; OLG Hamm, Beschluss vom 11. Dezember 2024 – I-30 U 40/24 –, juris, Rn. 95; OLG Koblenz, Urteil vom 12. September 2007 – 1 U 223/07 –, juris, Rn. 14) summarischen Prüfung vermag der Senat keinen Unterlassungsanspruch aus § 2 UKlaG im Hinblick auf die – nach Klarstellung des Antrags durch den Verfügungskläger allein verfahrensgegenständlichen – First Party Data festzustellen.

a) Die Verfügungsbeklagte verstößt durch die Einbringung von Daten aus dem Social Media-Angebot Facebook und dem Social Media-Angebot Instagram in einen einheitlichen Datensatz zum Training ihrer KI nicht gegen ihre Pflichten aus Art. 5 Abs. 2 UAbs. 1 lit b) DMA, da sie diese Daten hierdurch nicht im Rechtssinne „zusammenführt“.

aa) Die Verfügungsbeklagte ist unstreitig ein „Torwächter“ im Sinne des Art. 5 Abs. 2 i.V.m. Art. 1 Ziffer 1 DMA. Sowohl bei dem Social Media-Angebot Facebook als auch bei dem Social Media-Angebot Instagram handelt es sich unstreitig um zentrale Plattformdienste der Verfügungsbeklagten.

bb) Nach Art. 5 Abs. 2 UAbs. 1 lit b) DMA darf ein Torwächter personenbezogene Daten aus dem betreffenden zentralen Plattformdienst nicht mit personenbezogenen Daten aus weiteren zentralen Plattformdiensten oder aus anderen vom Torwächter bereitgestellten Diensten oder mit personenbezogenen Daten aus Diensten Dritter zusammenführen. Damit wird ein Verbot jeglicher Zusammenführung statuiert (Podszun, in: Podszun, DMA, 2023, § 5 Rn. 17; Louven, in: Gersdorf/Paal, BeckOK Informations- und Medienrecht, 01.08.2023, Art. 5 Rn. 23).

Der Begriff der „Zusammenführung“ ist im DMA (und auch in der DSGVO) nicht legal definiert (vgl. Hornkohl in: Jaeger u.a., FK Kartellrecht, 2/2025, Art. 5 EUV 2022/1925 Rn. 96). Der Senat, der im Eilverfahren weder die Möglichkeit der Einholung einer Stellungnahme der Kommission (Art. 39 Abs. 1 DMA) noch der Vorlage an den Europäischen Gerichtshof hatte, geht davon aus, dass die von der Verfügungsbeklagten angekündigte Einbringung von teilweise deidentifizierten und zerlegten Daten aus zwei zentralen Plattformdiensten in einen unstrukturierten Trainingsdatensatz für eine KI keine Zusammenführung im Sinne des Art. 5 Abs. 2 UAbs. 1 lit b) DMA ist. Es fehlt an der gezielten Verknüpfung von personenbezogenen Daten eines Nutzers aus einem zentralen Plattformdienst mit personenbezogenen Daten desselben Nutzers aus dem anderen zentralen Plattformdienst. Auf Art. 5 Abs. 2 UAbs. 1 lit c) DMA hat sich der Verfügungskläger nicht berufen.

Der Senat verkennt nicht, dass im deutschen Schrifttum teilweise vertreten wird (Hacker, GRUR 2022, 1278, 1279; Wielsch, in: Mast u.a., DSA, DMA, 2024, Art. 5 Abs. 2 DMA Rn. 60), dass die die Verbindung von Datensätzen aus Plattformdiensten zum verbesserten Training von KI eine „Zusammenführung“ im genannten Sinne darstellen soll. Hierfür spricht, dass der spezifische Nutzen der besonderen Möglichkeit, Daten zu aggregieren und damit „Verbundvorteile“ (Becker in: Jaeger u.a., FK Kartellrecht, 2/2025, Art. 5 EUV 2022/1925 Rn. 94; zu Verbundvorteilen bei der KI-Anwendungen, vgl. KönigBorges/Keil, Rechtshandbuch Big Data, 2024, Rn. 9) zu erzielen, bei einer solchen Datennutzung thematisiert ist. Die Ausnutzung solcher Vorteile soll von Art. 5 Abs. 2 DMA verhindert werden (vgl. Erwägungsgrund 36 zum DMA).

Dennoch sprechen aus Sicht des Senats überwiegende Gründe gegen die Annahme, dass eine bloße Einbringung von teilweise deidentifizierten und zerlegten Daten aus zwei Plattformdiensten in einen KI-Trainingsdatensatz bereits als Zusammenführung im Rechtssinne gewertet werden kann. Die bloße Einschlägigkeit des Schutzzwecks bedeutet noch nicht, dass der Fall von der Norm auch erfasst wird. Insbesondere enthält Art. 5 DMA gerade keine Generalklausel, sondern eine „erschöpfende Enumeration“ (Hornkohl in: Jaeger u.a., FK Kartellrecht, 2/2025, Art. 5 EUV 2022/1925 Rn. 13) von Tatbeständen, um die Durchsetzung der Regelungen zu erleichtern und die Rechtssicherheit zu erhöhen (aaO, Rn. 13). Insoweit kommt es darauf an, ob gerade der hier zu entscheidende Fall durch Art. 5 Abs. 2 UAbs. 1 lit b) DMA normiert ist.

Erforderlich ist insoweit eine gezielte Verbindung von Daten gerade derselben Person (so auch: Hornkohl in: Jaeger u.a., FK Kartellrecht, 2/2025, Art. 5 EUV 2022/1925 Rn. 96). Unbehelflich mag insoweit noch ein Abgleich mit der englischen Sprachfassung des Art. 5 Abs. 2 UAbs. 1 lit b) DMA sein. Soweit dort von „combining“ die Rede ist, kann hierunter sowohl ein bloßes Zusammenfassen von personenbezogenen Daten aus zwei zentralen Plattformdiensten in einem Datensatz als auch eine gezielte „Kombination“ gerade von Daten ein- und derselben Person gefasst werden. Auch der insoweit maßgebliche Erwägungsgrund 36 der DMA gibt keine Hinweise. Insbesondere ist dem Erwägungsgrund ein spezifischer Zweck, die Verbindung von Daten im Rahmen des Trainings von KI-Systemen einzuschränken, nicht zu entnehmen. Es ist, worauf die Verfügungsbeklagte in der mündlichen Verhandlung mit Recht hingewiesen hat, nicht ersichtlich, dass dem Gesetzgeber bei Schaffung des Art. 5 Abs. 2 DMA die spezifischen Fragen im Zusammenhang mit Datenverarbeitungen zum Zwecke der Entwicklung und Verbesserung von Systemen künstlicher Intelligenz vor Augen gestanden haben. Mit der vom Senat vertretenen Auslegung der Vorschrift steht es ferner in Einklang, dass in einer Entscheidung der Kommission vom 23. April 2025 (C(2025) 2091) ausdrücklich darauf verwiesen wird, dass das Zusammenführen Daten derselben Person betrifft. Dort heißt es:

Die Entscheidung enthält an dieser Stelle ein Bild oder eine Grafik.

Wenngleich sich aus dieser Entscheidung, die dem Senat durch die Verfügungsbeklagte aufgrund einer vor Veröffentlichung durch die Kommission bestehenden Vertraulichkeit nicht vollständig vorgelegt werden konnte, keine Hinweise – in die eine oder andere Richtung – ergeben, ob diese Begriffsbestimmung abschließend zu verstehen ist, sprechen für ein solches Verständnis im Sinne eines Schutzes vor der Erstellung von Nutzerprofilen die besseren Gründe. Aus der Gesetzeshistorie folgt, dass Art. 5 Abs. 2 UAbs. 1 lit a) und b) DMA insbesondere die in dem Facebook-Verfahren des Bundeskartellamtes (vgl. hierzu die erst nach Erlass der DMA ergangene Entscheidung des Europäischen Gerichtshofs vom 4. Juli 2023 (Az. C-252/21)) zugrundeliegende Konstellation einer plattformübergreifenden „Personalisierung mittels Datenzusammenführung“ zugrunde liegt (Bueren/Weck, in: Münchener Kommentar zum Wettbewerbsrecht, 2023, Art. 5 DMA Rn. 59 und 80; Louven, in: Gersdorf/Paal, BeckOK Informations- und Medienrecht, 01.08.2023, Art. 5 Rn. 17; Hornkohl in: Jaeger u.a., FK Kartellrecht, 2/2025, Art. 5 EUV 2022/1925 Rn. 72). Dies spricht dafür, dass ein „Zusammenführen“ von Daten allein im Fall ihrer Verbindung im Rahmen von Nutzerprofilen, nicht aber bei ihrer – wie hier – nicht näher zugeordneten und sogar deidentifizierten Einbringung in ein einheitliches „Datensilo“ anzunehmen ist. Nur bei dem erstgenannten Verständnis erklärt sich auch die Möglichkeit der betroffenen Nutzer, in eine Zusammenführung einzuwilligen (vgl. auch Göhsl/Zimmer, in: Immenga/Mestmäcker, Wettbewerbsrecht, 2025, Art. 5 DMA Rn. 31). Nach Art. 5 Abs. 2 DMA ist die Zusammenführung der Daten rechtmäßig, wenn „dem Endnutzer“ die spezifische Wahl gegeben wurde und „er“ eingewilligt hat. Die Vorschrift geht also davon aus, dass ein Endnutzer in die Zusammenführung von Daten aus mehreren Quellen einwilligt und die Zusammenführung dann rechtmäßig ist. Auch daran zeigt sich, dass die Vorschrift auf den Fall der gezielten Verknüpfung von Daten ein und desselben Nutzers zugeschnitten ist.

b) Der Senat vermag ferner nicht festzustellen, dass die von der Verfügungsbeklagten beabsichtigte und von dem Verfügungskläger angegriffene Verarbeitung personenbezogener Daten nicht rechtmäßig (Art. 5 Abs. 1 lit a) DSGVO) wäre und damit Datenschutzrecht verletzen würde.

aa) Die datenschutzrechtlichen Anforderungen werden durch die – zwar in Kraft getretene, aber ohnehin noch nicht vollständig anwendbare (vgl. Art. 113 der Verordnung) – Verordnung (EU) 2024/1689 des Europäischen Parlaments und des Rates vom 13. Juni 2024 zur Festlegung harmonisierter Vorschriften für künstliche Intelligenz und zur Änderung der Verordnungen (EG) Nr. 300/2008, (EU) Nr. 167/2013, (EU) Nr. 168/2013, (EU) 2018/858, (EU) 2018/1139 und (EU) 2019/2144 sowie der Richtlinien 2014/90/EU, (EU) 2016/797 und (EU) 2020/1828 (Verordnung über künstliche Intelligenz; im Folgenden: KI-VO) nicht verdrängt. Nach deren Art. 2 Abs. 7 S. 2 berührt die KI-VO die DSGVO grundsätzlich nicht (vgl. im Einzelnen etwa Schwartmann/Keber/Köhler in: Schwartmann u.a., DSGVO, 2024, Anhang 3 Rn. 37 ff.; Schwartmann/Köhler, in: Schwartmann u.a., KI-VO - Leitfaden, 2024, 2. Teil, 3. Kapitel Rn. 3; Golland, EuZW 2024, 846, 853).

Gleiches gilt für eine etwaige Verdrängung der DSGVO durch Art. 5 Abs. 2 DMA. Dieser verdrängt die Regelungen aus der DSGVO nicht, beide Regelungsmaterien gelten parallel (Hornkohl in: Jaeger u.a., FK Kartellrecht, 2/2025, Art. 5 EUV 2022/1925, Rn. 86; Podszun in: Podszun, DMA, Art. 5 Abs. 2 Rn. 31.).

bb) Die Verfügungsbeklagte beabsichtigt im Rahmen des Trainings der von ihr entwickelten KI Nutzerdaten und damit – was sie selbst auch nicht in Abrede stellt – personenbezogene Daten im Sinne des Art. 4 Nr. 1 DSGVO zu nutzen. Insoweit verarbeitet die Verfügungsbeklagte als Verantwortliche im Sinne des Art. 4 Nr. 7 DSGVO personenbezogene Daten (mit gleichem Ergebnis für eine solche Konstellation auch: Schaffland/Holthaus in: Schaffland/Wiltfang, DSGVO, 2025, Art. 4 EUV 2016/679, Rn. 54a; Golland, EuZW 2024, 846, 847; Hüger, ZfDR 2024, 263, 267; Dieker, ZD 2024, 132, 133; Landesbeauftragte BW, Diskussionspapier: Rechtsgrundlagen im Datenschutz beim Einsatz von Künstlicher Intelligenz, 17. Oktober 2024, S. 10 ff.).

cc) Die von der Verfügungsbeklagten beabsichtigte Datenverarbeitung ist bei summarischer Prüfung allerdings rechtmäßig, da sie sich, was entscheidend ist, da andere Rechtsgrundlagen nicht ersichtlich sind, auf den Rechtfertigungsgrund des Art. 6 Abs. 1 S. 1 lit f) DSGVO stützen kann.

aaa) Speziellere, Art. 6 Abs. 1 S. 1 lit f) DSGVO verdrängende Rechtsgrundlagen zum Training von KI mittels Nutzerdaten ergeben sich insbesondere nicht aus der KI-VO (vgl. insoweit Erwägungsgrund 63, S. 3 zur KI-VO; hierzu auch: Schwartmann/Mühlenbeck/Pieper in: Schwartmann u.a., DSGVO, 2024, Art. 6 EUV 2016/679, Rn. 288; Schaffland/Holthaus in: Schaffland/Wiltfang, DSGVO, 2025, Art. 6 EUV 2016/679, Rn. 119a). Auch aus der DSGVO ergeben sich keine vorrangigen Rechtsgrundlagen. Soweit in der Literatur gelegentlich Art. 6 Abs. 4 DSGVO für Datenverarbeitungen im Bereich der KI-Trainings herangezogen wird (vgl. die – kritische – Darstellung - bei Schwartmann/Mühlenbeck/Pieper in: Schwartmann u.a., DSGVO, 2024, Art. 6 EUV 2016/679, Rn. 307 und Schulz, in: Gola/Heckmann, Datenschutz-Grundverordnung – Bundesdatenschutzgesetz, 2022, Art. 6 Rn. 152), hat sich die Verfügungsbeklagte hierauf bereits nicht berufen. Art. 6 Abs. 4 DSGVO bietet richtigerweise zudem bereits keinen eigenen Erlaubnistatbestand (so wohl: EuGH, Urteil vom 21. Dezember 2023 - C-667/21 – juris, Rn. 75; aus der Literatur vgl. Schwartmann/Mühlenbeck/Pieper in: Schwartmann u.a., DSGVO, 2024, Art. 6 EUV 2016/679, Rn. 239 mit Nachweisen zur Gegenauffassung; Heberlein, in: Ehmann/Selmayr, DSGVO, 2024, Art. 6 Rn. 69; Albers/Veit, in: Wolff/Brink/v. Ungern-Sternberg, BeckOK, Datenschutzrecht, 01.02.2025, Art. 6 Rn. 107 f.).

bbb) Bei einer summarischen Prüfung ist die streitgegenständliche Datenverarbeitung zur Wahrung der berechtigten Interessen der Verfügungsbeklagten erforderlich und überwiegen die Interessen oder Grundrechte und Grundfreiheiten der betroffenen Personen, die den Schutz personenbezogener Daten erfordern, nicht.

Aus der Rechtsprechung des Europäischen Gerichtshofs (vgl. etwa EuGH, Urteil vom 4.- Juli 2023 – C-252/21 – Rn. 106) ergibt sich folgende Prüfungstrias: Erstens muss von dem für die Verarbeitung Verantwortlichen oder von einem Dritten ein berechtigtes Interesse wahrgenommen werden, zweitens muss die Verarbeitung der personenbezogenen Daten zur Verwirklichung des berechtigten Interesses erforderlich sein und drittens dürfen die Interessen oder Grundrechte und Grundfreiheiten der Person, deren Daten geschützt werden sollen, gegenüber dem berechtigten Interesse des Verantwortlichen oder eines Dritten nicht überwiegen.

Auf dieser Grundlage vermag der Senat auf Basis einer summarischen Prüfung nicht festzustellen, dass Art. 6 Abs. 1 S. 1 lit f) DSGVO die von der Verfügungsbeklagten beabsichtigte Datenverarbeitung nicht zu rechtfertigen vermag.

ccc) Die Verfügungsbeklagte verfolgt mit dem Training einer von ihr entwickelten KI mit den von ihren Nutzern in deren Nutzerkonten veröffentlichen Daten ein berechtigtes Interesse.

(1.) Als berechtigte Interessen kommen neben rechtlichen und ideellen insbesondere auch wirtschaftliche Belange in Betracht (EuGH, Urteil vom 4. Oktober 2024 – C-621/22 –, juris, Rn. 47; Hüger, ZfdR 2024, 263, 272). In seiner Stellungnahme vom 17. Dezember 2024 hat der Ausschuss Art. 6 Abs. 1 S. 1 lit f) DSGVO auf dieser Basis als taugliche Grundlage angesehen, KI-Modell mit Datensätzen, die personenbezogene Daten enthalten, zu trainieren und hat das entsprechende Interesse damit als berechtigt angesehen. Diese Auffassung hat der Hamburgische Beauftragte für Datenschutz und Informationsfreiheit in der mündlichen Verhandlung am 22. Mai 2025 geteilt (entsprechend der ganz h.M. so etwa auch: Landesbeauftragte BW, Diskussionspapier: Rechtsgrundlagen im Datenschutz beim Einsatz von Künstlicher Intelligenz, 17. Oktober 2024, S. 21: „regelmäßig anzunehmen“; Schaffland/Holthaus in: Schaffland/Wiltfang, DSGVO, 2025, Art. 6 EUV 2016/679, Rn. 119a; Keber, in: Schwartmann u.a., KI-VO - Leitfaden, 2024, 2. Teil, Kapitel 3 Rn. 28; Golland, EuZW 2024, 846, 849; Dieker, ZD 2024, 132, 134).

(2.) Erforderlich ist weiter, dass das Interesse hinreichend klar und präzise formuliert und real und gegenwärtig und nicht bloß spekulativ ist (EuGH, Urteil vom 4. Oktober 2024 – C-621/22 –, juris, Rn. 49).

Diese Voraussetzungen sind auf Basis einer summarischen Prüfung erfüllt.

Die Verfügungsbeklagte hat beschrieben, die Möglichkeiten generativer KI nutzen zu wollen, um einen Gesprächsassistenten bereitzustellen, der etwa Antworten in Echtzeit für Chats, Hilfe bei der Organisation und Planung etwa eines Urlaubs bis hin zu Hilfen bei der Formulierung von Texten bietet. Hierzu soll die KI an regionale Gepflogenheiten angepasst werden. Zudem sollen Inhalte wie etwa Texte, Bilder und Audios erstellt werden können. Da die Verfügungsbeklagte mit dem entsprechenden Training zeitlich unmittelbar beginnen möchte, ist das entsprechend konkret beschriebene Interesse auch gegenwärtig und nicht bloß spekulativ.

(3.) Damit die Wahrnehmung dieses Interesses eine Verarbeitung personenbezogener Daten gemäß Art. 6 Abs. 1 Unterabs. 1 Buchst. f DSGVO rechtfertigen kann, ist ferner ist erforderlich, dass die Verfügungsbeklagte allen anderen, ihr obliegenden Pflichten aus der DSGVO nachkommt (EuGH, Urteil vom 4. Oktober 2024 – C-621/22 –, juris, Rn. 50).

Auf solche weiteren datenschutzrechtlichen Anforderungen, die im Rahmen des Trainings von KI-Modellen zu beachten sind (etwa: Grundsatz der Datenrichtigkeit, Art. 5 Abs. 1 lit d) DSGVO; Grundsatz der Zweckbindung, Art. 5 Abs. 1 lit b) DSGVO; Transparenzgrundsatz, Art. 5 Abs. 1 lit a) Var. 3 DSGVO und Art. 12 ff. DSGVO; vgl. Paal, ZfDR 2024, 129, 141 ff.), beziehen sich die Angriffe des Verfügungsklägers nicht im Schwerpunkt. Oftmals erscheint eine Beachtung auch noch im Rahmen des Betriebs der KI möglich. Unabhängig von einer Anwendbarkeit des Art. 14 Abs. 5 lit b) DSGVO ist den Transparenzerfordernissen (Art. 12 ff. DSGVO) durch die von der Verfügungsbeklagten umfangreich zur Verfügung gestellten Informationen (Anlage AG 8, 22 bis 29) Rechnung getragen. Ferner kommt es nicht darauf an, ob die Verfügungsbeklagte gegen eine – in Art. 83 Abs. 4 lit a) DSGVO allerdings bußgeldbewehrte – Pflicht zur Einholung einer Datenschutz-Folgenabschätzung nach Art. 35 DSGVO verstoßen hat. Diese ist – wie sich aus ihrer Stellung in Kapitel IV der DSGVO ergibt, dessen Anforderungen der Europäische Gerichthof nicht als Rechtmäßigkeitsvoraussetzungen der Datenschutzverordnung erachtet (EuGH, Urteil vom 4. Mai 2023 – C-60/22 -, juris, Rn. 62; Hansen, in: Wolff/Brink/v. Ungern-Sternberg, BeckOK Datenschutzrecht, 01.02.2024, Art. 35 Rn. 76a) – keine Rechtmäßigkeitsvoraussetzung der Datenverarbeitung (BSG, Urteil vom 20. Januar 2021 – B 1 KR 7/20 R –, juris, Rn. 84 mwN.; Karg, in: Simitis/Hornung/Spiecker gen. Döhmann, Datenschutzrecht, 2025, Art. 35 Rn. 104; Nolte/Werkmeister, in: Gola/Heckmann, Datenschutz-Grundverordnung – Bundesdatenschutzgesetz, 2022, Art. 35 Rn. 74).

ddd) Die entsprechende Datenverarbeitung erweist sich bei einer summarischen Prüfung auch – unter gemeinsamer Prüfung mit dem Grundsatz der Datenminimierung nach Art. 5 Absatz 1 lit c) DSGVO (vgl. hierzu EuGH Urteil vom 4. Juli 2023 – C-252/21 -, juris, Rn. 109; EuGH, Urt. v. 9.1.2025 - Rs. C-394/23, Rn. 48f.) – als erforderlich.

Mit dieser Ansicht steht der Senat im Wesentlichen im Einklang mit der in der mündlichen Verhandlung am 22. Mai 2025 geschilderten Auffassung des Hamburgischen Beauftragten für Datenschutz und Informationsfreiheit, der eine Erforderlichkeit im Grundsatz anerkannte und lediglich Zweifel hinsichtlich der Verwendung besonders eingriffsintensiver Daten äußerte (etwa Nummernschilder von Fahrzeugen, Kreditkartennummern).

Eine Datenverarbeitung ist erforderlich, wenn sie zur Erreichung des Interesses des Verarbeiters geeignet ist und es keine weniger in die Privatsphäre eingreifende Möglichkeit gibt, den entsprechenden Zweck zu erreichen (EuGH, Urteil vom 4. Juli 2023 – C-252/21 -, juris, Rn. 108).

Hierfür ist – worauf der Verfügungskläger mit Recht hinweist – die Verfügungsbeklagte beweisbelastet (EuGH, Urteil vom 11. Juli 2024 - C-757/22 -, Rn. 52; OLG Stuttgart, Urteil vom 22. November 2023 - 4 U 20/23 -, juris, Rn. 182 ff). Die entsprechenden Verfahrensvorschriften ergeben sich mangels konkreter Regelungen im europäischen Recht aus dem nationalen Recht. § 5 UKlaG verweist insoweit auf die Zivilprozessordnung. Für die im Verfahren des einstweiligen Rechtsschutzes erforderliche Glaubhaftmachung besteht insoweit eine Abweichung vom Regelbeweismaß der vollen Überzeugung von der Wahrheit einer Tatsache. Es genügt, wenn ihr Vorliegen überwiegend wahrscheinlich ist, d.h., dass etwas mehr für das Vorliegen der Tatsache spricht als gegen sie (Kessen, in: Kessen/Tholen, KK-Vorläufiger Rechtsschutz, § 920 Rn. 19; Kessen, aaO., § 935 Rn. 9). Ob das Beweismaß erreicht ist, beurteilt das Gericht in freier Würdigung (Kessen, in: Kessen/Tholen, KK-Vorläufiger Rechtsschutz, § 920 Rn. 21; Kessen, aaO., § 935 Rn. 9).

Nach diesen Maßstäben hat der Senat keine Zweifel, dass das Training der von der Verfügungsbeklagten entwickelten KI mit den Nutzerdaten geeignet ist, die aufgezeigten, mit ihm verfolgten Zwecke zu erreichen, d.h. eine generative KI optimiert an regionale Gepflogenheiten anzubieten und in die Dienste der Verfügungsbeklagten zu implementieren.

Im Hinblick auf weniger in die Privatsphäre eingreifende – aber gleich geeignete – Möglichkeiten der Zielerreichung hat zwar der Verfügungskläger entsprechend der Stellungnahme vom 17. Dezember 2024 des Ausschusses (Rn. 75; ähnlich auch: Landesbeauftragte BW, Diskussionspapier: Rechtsgrundlagen im Datenschutz beim Einsatz von Künstlicher Intelligenz, 17. Oktober 2024, S. 22) auf die Möglichkeit des Trainings mittels anonymisierter oder sog. synthetischer Daten hingewiesen. Zudem hat der Verfügungskläger vorgetragen, die Verfügungsbeklagte könne das Training der KI auf sog. Flywheel-Daten beschränken. Ferner hat er vorgetragen, die Erforderlichkeit müsse hinsichtlich jedes einzelnen Datenpunktes gegeben sein. Angesichts der Vielzahl der für das Training der KI erhobenen Daten sei nicht dargetan, dass jeder einzelne Datenpunkt erforderlich sei.

Dennoch erscheint dem Senat der mittels eidesstattlicher Verfügung glaubhaft gemachte Vortrag der Verfügungsbeklagten, dass es

„keine andere sinnvolle Alternative für Meta [gibt], um seine Interessen ebenso wirksam mit anderen, milderen Mittel zu verfolgen und zu erreichen. Meta hat zur Zielerreichung verfügbare Alternativen geprüft [im übersetzten Original: „considered available alternative ways], die eine weniger intensive Nutzung personenbezogener Daten ermöglichen würden“

als überwiegend wahrscheinlich. Die Notwendigkeit des Trainings großer generativer KI-Modelle mit „riesigen Mengen an Text, Bildern, Videos und anderen Daten“ ist im Erwägungsgrund 105 der KI-VO ausdrücklich anerkannt (vgl. zu dem erforderlichen Einsatz von Massendaten aus dem juristischen Schrifttum etwa Paal, ZfDR 2024, 129, 141). Der Vortrag der Verfügungsbeklagten wird im Hinblick auf eine fehlende Möglichkeit zur Anonymisierung durch Stellungnahmen im juristischen Schrifttum bestätigt, die eine solche für unpraktikabel halten (vgl. Paal, ZfDR 2024, 129, 136; Dieker, ZD 2024, 132, 134; Schürmann ZD 2022, 316, 317). Im Hinblick auf den bloßen Einsatz von sog. Flywheel-Daten ist es kaum plausibel, dass die so zu erzielende, deutlich geringere Menge an Daten im Vergleich zu dem vorhandenen Datenbestand aus aktiven Nutzerkonten zu vergleichbaren Ergebnissen beim Training der KI führt. Das insoweit ein „minderwertiges Produkt“ entstehen würde, hat die Verfügungsbeklagte mit eidesstattlicher Versicherung des Direktors GenAI Produkt Management bei Meta Platforms Inc, U. R., vom 18. Mai 2025 (Anlage AG 42) ebenso glaubhaft gemacht, wie die fehlende Gleichwertigkeit des Rückgriffs auf synthetische Daten (eidesstattliche Versicherung vom 21. Mai 2025, Anlage AG 45). Dem ist der Verfügungskläger nicht substantiiert entgegengetreten. Eine Pflicht, die Erforderlichkeit bezüglich jedes Datenpunktes zu belegen, trifft die Verfügungsbeklagte nicht. Das Training einer KI erfordert die Verwendung von Massen von Daten zur Generierung von Mustern und Wahrscheinlichkeitsparametern (Schwartmann/Köhler, in: Schwartmann u.a., KI-VO - Leitfaden, 2024, 2. Teil Kapitel 3 Rn. 9). Insoweit kommt dem einzelnen Datum im Zweifel kaum je ein messbarer Einfluss zu (vgl. insoweit Paal, ZfDR 2024, 129, 141: „Prüfung der Erforderlichkeit für jedes einzelne Datum weder zielführend noch praktikabel“). Der Senat geht – wie dargelegt – in Übereinstimmung mit dem Ausschuss und der ganz h.M. davon aus, dass Art. 6 Abs. 1 S. 1 lit f) DSGVO ein tauglicher Rechtfertigungsgrund für Datenverarbeitung zum Training von KI sein kann. Unmöglich zu erfüllende Anforderungen würden diese Annahme konterkarieren und dürfen nicht aufgestellt werden. Zwar werden in der Literatur teilweise Möglichkeiten diskutiert, die die Diskrepanz zwischen dem „Datenhunger“ des KI-Trainings und dem Grundsatz der Datenminimierung auflösen (vgl. insoweit Paal, ZfDR 2024, 129, 141 mwN). Im Rahmen der im Eilrechtsschutz zur Verfügung stehenden Erkenntnismöglichkeiten sieht der Senat aber keine hinreichend verlässlichen Alternativen. Soweit erwogen werden kann, den Grundsatz der Erforderlichkeit auf die Art der verarbeiteten Daten zu beziehen, also die Verarbeitung personenbezogener Daten möglichst zu meiden (vgl. Hüger, ZfDR 2024, 263, 273), hat die Verfügungsbeklagte glaubhaft gemacht, auf Methoden der Deidentifizierung der in den Trainingsdatensatz eingestellten Daten zurückzugreifen. Damit wird auch den geschilderten Bedenken des Hamburgischen Beauftragten für Datenschutz und Informationsfreiheit Rechnung getragen. Soweit in der Literatur die häufig durchgeführte Form der Datensammlung durch Web-Scraping und Crawling als die „effektivste“ Form (Dieker, ZD 2024, 132,134) der Datensammlung angesehen wird, kommt es hierauf nicht an: Diese wäre mit deutlich erheblicheren Eingriffen in die Rechte der Betroffenen verbunden, da die von der Verfügungsbeklagten implementierten Abschwächungsmaßnahmen insoweit nicht greifen würden. Zudem beabsichtigt die Verfügungsbeklagte gerade ein Training mit „regionalen“ Daten, sodass diese Art der Datengewinnung nicht gleich geeignet wäre.

"Volltext OLG Köln liegt vor: Meta darf Daten aus öffentlichen Profilen bei Facebook und Instagram für das KI-Training verwenden - kein Verstoß gegen DSGVO und DMA" vollständig lesen

OLG Köln
Urteil vom 23.05.2025
15 UKl 2/25

Das OLG Köln hat im Rahmen eines einstweiligen Verfügungsverfahrens entschieden, dass Meta Daten aus öffentlichen Profilen bei Facebook und Instagram für das KI-Training verwenden darf. Das Gericht sah insbesondere keinenn Verstoß gegen die Vorgaben der DSGVO und des DMA.

Die Pressemitteilung des Gerichts:
Meta darf Daten aus öffentlich gestellten Nutzerprofilen für KI-Training verwenden

Der 15. Zivilsenat des Oberlandesgerichts Köln hat heute (23.05.2025) in einem Eilverfahren einen Antrag der Verbraucherzentrale NRW e.V. gegen den Mutterkonzern von "Facebook" und "Instagram" abgelehnt, mit dem eine Verarbeitung öffentlich gestellter Nutzerdaten ab der kommenden Woche verhindert werden sollte.

Im April 2025 kündigte die Meta Platforms Ireland Limited (nachfolgend: Meta) öffentlich an, ab dem 27.05.2025 personenbezogene Daten aus öffentlichen Profilen ihrer Nutzer zum Training von Künstlicher Intelligenz zu verwenden. Meta betreibt unter anderem die Dienste "Facebook" und "Instagram". Die Verbraucherzentrale Nordrhein-Westfalen e.V. ist ein qualifizierter Verbraucherverband. Sie geht mit ihrem Antrag vom 12.05.2025 auf Grundlage des Unterlassungsklagengesetzes (UKlaG) gegen Meta vor. Betroffen sind Daten von Verbrauchern und von Dritten in öffentlich gestellten Profilen, soweit die Nutzer keinen Widerspruch eingelegt haben.

Nach vorläufiger und summarischer Prüfung im Rahmen des am 12.05.2025 eingeleiteten Eilverfahrens liegt weder ein Verstoß von Meta gegen Vorschriften der Datenschutz-Grundverordnung (DSGVO) noch gegen den Digital Markets Act (DMA) vor. Diese Einschätzung stimmt mit der aufsichtsrechtlichen Bewertung durch die für Meta zuständige irische Datenschutzbehörde überein. Diese führt wegen des Sachverhalts keine aufsichtsrechtlichen Maßnahmen durch und hat angekündigt, die Handlungen zu begleiten. Hinsichtlich der Daten, die von Nutzern nach Mitte des Jahres 2024 öffentlich gestellt wurden, sieht auch der Hamburgische Beauftragte für Datenschutz und Informationsfreiheit die Verarbeitung als rechtlich möglich an. Er wurde in der mündlichen Verhandlung am 22.05.2025 angehört.

Die angekündigte Verwendung der Daten für KI-Trainingszwecke stellt sich bei vorläufiger Betrachtung auch ohne Einwilligung der Betroffenen als rechtmäßig im Sinne des Art. 6 Abs. 1 Buchstabe f) DSGVO dar. Meta verfolgt mit der Verwendung zum Training von Systemen Künstlicher Intelligenz einen legitimen Zweck. Dieser Zweck kann nicht durch gleich wirksame andere Mittel, die weniger einschneidend wären, erreicht werden. Unzweifelhaft werden für das Training große Datenmengen benötigt, die nicht zuverlässig vollständig anonymisiert werden können. Im Rahmen der Abwägung der Rechte von Nutzern und Meta als Betreiberin überwiegen die Interessen an der Datenverarbeitung. Diese heutige Bewertung beruht unter anderem auf einer Stellungnahme des Europäischen Datenschutzausschusses (EDSA) aus Dezember 2024, welcher die Beklagte durch verschiedene Maßnahmen Rechnung getragen hat. Es sollen ausschließlich öffentlich gestellte Daten verarbeitet werden, die auch von Suchmaschinen gefunden werden. Der Umstand, dass große Mengen von Daten, auch von Dritten einschließlich Minderjährigen und auch sensible Daten im Sinne des Art. 9 DSGVO, betroffen sind, überwiegt bei der Abwägung nicht. Meta hat insoweit wirkungsvolle Maßnahmen ergriffen, welche den Eingriff wesentlich abmildern. Die geplante Verarbeitung wurde bereits im Jahre 2024 angekündigt. Die Nutzer wurden über die Apps und - soweit möglich - auf anderem Wege informiert. Sie haben die Möglichkeit, die Datenverarbeitung durch Umstellung ihrer Daten auf "nicht-öffentlich" oder durch einen Widerspruch zu verhindern. Die verwendeten Daten enthalten keine eindeutigen Identifikatoren wie Name, E-Mail-Adresse oder Postanschrift einzelner Nutzer.

Nach Ansicht des Senats liegt bei vorläufiger und summarischer Prüfung im Rahmen des vorliegenden Eilverfahrens auch kein Verstoß gegen Art. 5 Abs. 2 DMA vor. Es fehlt bei vorläufiger rechtlicher Würdigung an einer "Zusammenführung" von Daten, weil Meta im Rahmen der beabsichtigten Vorgehensweise keine Daten aus Nutzerprofilen bei verschiedenen Diensten oder aus anderen Quellen im Hinblick auf einen einzelnen konkreten Nutzer kombiniert. Insoweit fehlt es an einschlägiger Rechtsprechung. Dem Senat war im Eilverfahren auch keine in der Rechtsgrundlage vorgesehene Kooperation mit der Europäischen Kommission möglich.

Das heutige Urteil ist in einem Eilverfahren infolge einer summarischen Prüfung ergangen. Es gelten hier abweichende rechtliche Anforderungen, insbesondere an die Beurteilung von streitigem Tatsachenvortrag. Die Parteien können ihre Rechte in einem gesonderten Hauptsacheverfahren wahrnehmen.

Das heute verkündete Urteil ist rechtskräftig. Die Revision zum Bundesgerichtshof findet nicht gegen Entscheidungen eines Oberlandesgerichts im einstweiligen Rechtschutz statt (§ 542 Abs. 2 Satz 1 ZPO). Für Verfahren nach dem Unterlassungsklagengesetz sind die Oberlandesgerichte in erster Instanz zuständig. Die örtliche Zuständigkeit des Oberlandesgerichts Köln folgt aus dem behaupteten Ort des drohenden Verstoßes gegen Verbraucherschutzgesetze (vergleiche § 6 Abs. 1 Satz 2 Nr. 2 UKlG).

Aktenzeichen: 15 UKl 2/25

BGH
Urteil vom 27. 03.2025
I ZR 223/19
Arzneimittelbestelldaten II
Verordnung (EU) 2016/679 Art. 9 Abs. 1, Abs. 2 Buchst. a und h, Abs. 3; Richtlinie 95/46/EG Art. 8 Abs. 1 Abs. 2 Buchst. a, Abs. 3; BDSG § 22 Abs. 1 Nr. 1 Buchst. b; UWG § 3 Abs. 1, §§ 3a, 8 Abs. 2, § 9 Abs. 1

Der BGH hat entschieden, dass ein wettbewerbswidriger Verstoß gegen die Marktverhaltensregel Art. 9 Abs. 2 Buchst. a DSGVO durch Verarbeitung von Bestelldaten ohne ausdrückliche Einwilligung bei Online-Bestellungen (hier über Amazon Marketplace) apothekenpflichtiger Medikamente vorliegt.

Wir hatten bereits in dem Beitrag BGH: Mitbewerber und Verbraucherschutzverbände können Datenschutzverstöße abmahnen und als Wettbewerbsverstoß gerichtlich geltend machen über die Entscheidung berichtet.

Leitsätze des BGH:
a) Bestellt ein Kunde über den Account eines Apothekers bei der Internet-Plattform "Amazon- Marketplace" (Amazon) apothekenpflichtige Medikamente, findet eine Erhebung und Verarbeitung von Gesundheitsdaten im Sinne von § 4 Abs. 1 BDSG aF statt.

b) Die Verarbeitung der Bestelldaten ohne ausdrückliche Einwilligung gemäß Art. 9 Abs. 2 Buchst. a DSGVO stellt einen Verstoß gegen eine Marktverhaltensregelung gemäß § 3a UWG dar, für die der Apotheker gemäß § 8 Abs. 2 UWG wettbewerbsrechtlich verantwortlich ist und gegen den ein Mitbewerber im Wege der Klage vor den Zivilgerichten unter dem Gesichtspunkt des Verbots der Vornahme unlauterer Geschäftspraktiken vorgehen kann.

BGH, Urteil vom 27. März 2025 - I ZR 223/19 - OLG Naumburg - LG Dessau-Roßlau

Den Volltext der Entscheidung finden Sie hier:

BAG
Urteil vom 20.06.2024
8 AZR 253/20

Das BAG hat entschieden, dass die Verarbeitung von Gesundheitsdaten nach Art. 9 Abs. 2 Buchst. h DSGVO durch einen Medizinischen Dienst für ein Gutachten über den eigenen Arbeitnehmer, dass von einer Krankenkasse beauftragt wurde, zulässig ist.

Die Pressemitteilung des Gerichts:
"Verarbeitung von Gesundheitsdaten im Arbeitsverhältnis - Medizinischer Dienst - Schadenersatz

Die Verarbeitung von Gesundheitsdaten durch einen Medizinischen Dienst, der von einer gesetzlichen Krankenkasse mit der Erstellung einer gutachtlichen Stellungnahme zur Beseitigung von Zweifeln an der Arbeitsunfähigkeit eines Versicherten beauftragt worden ist, kann nach Art. 9 Abs. 2 Buchst. h DSGVO* auch dann zulässig sein, wenn es sich bei dem Versicherten um einen eigenen Arbeitnehmer des Medizinischen Dienstes handelt. Ein Arbeitgeber, der als Medizinischer Dienst Gesundheitsdaten eines eigenen Arbeitnehmers verarbeitet, ist nicht verpflichtet zu gewährleisten, dass überhaupt kein anderer Beschäftigter Zugang zu diesen Daten hat.

Der beklagte Medizinische Dienst Nordrhein führt ua. im Auftrag der gesetzlichen Krankenkassen medizinische Begutachtungen zur Beseitigung von Zweifeln an der Arbeitsunfähigkeit gesetzlich Versicherter durch, und zwar auch dann, wenn der Auftrag seine eigenen Mitarbeiter betrifft. Im letztgenannten Fall ist es – nach den Regelungen in einer zwischen dem Beklagten und dem Personalrat geschlossenen Dienstvereinbarung und einer vom Beklagten erlassenen Dienstanweisung – einer begrenzten Zahl von Mitarbeitern einer jeweils in Düsseldorf und in Duisburg eingerichteten besonderen Einheit (sog. Organisationseinheit „Spezialfall“), gestattet, unter Verwendung eines gesperrten Bereichs des IT-Systems des Beklagten die anfallenden (Gesundheits-)Daten betroffener Arbeitnehmer zu verarbeiten und nach Abschluss des Begutachtungsauftrags Zugang zum elektronischen Archiv zu erhalten. Der Zugriff auf die Daten erfolgt durch den Einsatz personalisierter Softwarezertifikate und darf nur innerhalb vergebener Zugriffsrechte, die sich an den zu erledigenden Aufgaben orientieren, stattfinden. In der Dienstanweisung ist zudem ua. festgelegt, dass für die Beschäftigten am Standort Düsseldorf bestimmte – in einem „Zugriffskonzept“ namentlich benannte – Mitarbeiter (Assistenzkräfte und Gutachter) der Organisationseinheit „Spezialfall“ in Duisburg zuständig sind. Nach der Dienstvereinbarung zugangsberechtigt sind außerdem – wiederum ausschließlich zur Erledigung ihrer Aufgaben – die Mitarbeiter der beim Beklagten standortübergreifend in Düsseldorf eingerichteten IT-Abteilung, der im Streitzeitraum neun Beschäftigte angehörten.

Der Kläger war zuletzt als Systemadministrator und Mitarbeiter „Helpdesk“ in der IT-Abteilung des Beklagten tätig. Seit November 2017 war er ununterbrochen arbeitsunfähig erkrankt. Ab Mai 2018 bezog er von seiner gesetzlichen Krankenkasse Krankengeld. Diese beauftragte im Juni 2018 den Beklagten mit der Erstellung einer gutachtlichen Stellungnahme zur Beseitigung von Zweifeln an der Arbeitsunfähigkeit des Klägers. Eine bei dem Beklagten angestellte Ärztin, die der Organisationseinheit „Spezialfall“ in Duisburg angehörte, fertigte ein Gutachten, das die Diagnose der Krankheit des Klägers enthielt. Vor Erstellung des Gutachtens holte die Ärztin bei dem behandelnden Arzt telefonisch Auskünfte über den Gesundheitszustand des Klägers ein. Nachdem der Kläger über seinen behandelnden Arzt von dem Telefonat Kenntnis erlangt hatte, kontaktierte er eine Kollegin aus der IT-Abteilung, die auf seine Bitten im Archiv nach dem Gutachten recherchierte, hiervon mit ihrem Mobiltelefon Fotos machte und anschließend die Fotos dem Kläger mittels eines Messenger-Dienstes übermittelte.

Mit seiner Klage hat der Kläger vom Beklagten die Zahlung von immateriellem Schadenersatz ua. auf der Grundlage von Art. 82 Abs. 1 DSGVO mit der Begründung verlangt, die Verarbeitung seiner Gesundheitsdaten durch den Beklagten sei unzulässig gewesen. Das Gutachten habe durch einen anderen Medizinischen Dienst erstellt werden müssen; jedenfalls sei die Gutachterin nicht berechtigt gewesen, bei seinem behandelnden Arzt telefonisch Auskünfte einzuholen. Auch seien die Sicherheitsmaßnahmen rund um die Archivierung des Gutachtens unzureichend gewesen. Die unrechtmäßige Verarbeitung seiner Gesundheitsdaten habe bei ihm bestimmte – näher ausgeführte – Sorgen und Befürchtungen ausgelöst. Zweitinstanzlich hat der Kläger außerdem im Wege der Leistungs- und der Feststellungsklage materiellen Schadenersatz in Gestalt eines ihm entstandenen bzw. künftig entstehenden (Erwerbs-)Schadens mit der Begründung geltend gemacht, die Kenntnis von dem Telefonat zwischen der Gutachterin und seinem behandelnden Arzt habe zu einer Verlängerung seiner Arbeitsunfähigkeit geführt.

Die Vorinstanzen haben die Klage abgewiesen. Die Revision des Klägers blieb vor dem Achten Senat des Bundesarbeitsgerichts erfolglos. Die Grundvoraussetzungen eines Schadenersatzanspruchs nach Art. 82 Abs. 1 DSGVO, die – kumulativ – in einem Verstoß gegen die DSGVO, einem dem Betroffenen entstandenen materiellen und/oder immateriellen Schaden und einem Kausalzusammenhang zwischen dem Schaden und dem Verstoß bestehen, liegen nicht vor. Es fehlt bereits an einem Verstoß gegen die Bestimmungen der DSGVO. Die Verarbeitung der Gesundheitsdaten des Klägers durch den Beklagten war insgesamt unionsrechtlich zulässig. Sie genügte den Vorgaben des Europäischen Gerichtshofs aus der Vorabentscheidung vom 21. Dezember 2023 (- C-667/21 – [Krankenversicherung Nordrhein]), um die ihn der Senat durch Beschluss vom 26. August 2021 (- 8 AZR 253/20 (A) -) ersucht hat. Die Verarbeitung war zur Erstellung der von der gesetzlichen Krankenkasse beauftragten gutachtlichen Stellungnahme, die ihre Grundlage im nationalen Recht hat, zur Beseitigung von Zweifeln an der Arbeitsunfähigkeit des Klägers iSv. Art. 9 Abs. 2 Buchst. h DSGVO erforderlich. Das betrifft auch das zwischen der Gutachterin des Beklagten und dem behandelnden Arzt des Klägers geführte Telefonat. Die Datenverarbeitung genügte zudem den Garantien des Art. 9 Abs. 3 DSGVO, da sämtliche Mitarbeiter des Beklagten, die Zugang zu Gesundheitsdaten des Klägers hatten, einer beruflichen Verschwiegenheitspflicht bzw. jedenfalls dem Sozialgeheimnis, das die Mitarbeiter des Beklagten auch untereinander zu beachten haben, unterlagen. Das Unionsrecht enthält in den genannten Bestimmungen keine Vorgabe, wonach in einem Fall wie dem Vorliegenden ein anderer Medizinischer Dienst mit der Gutachtenerstellung beauftragt werden müsste oder sichergestellt werden müsste, dass kein anderer Arbeitnehmer des beauftragten Medizinischen Dienstes Zugang zu Gesundheitsdaten des Betroffenen erhält. Entsprechende Beschränkungen der (Gesundheits-)Datenverarbeitung, die die Mitgliedstaaten nach Art. 9 Abs. 4 DSGVO einführen oder aufrechterhalten dürfen, sind im nationalen (deutschen) Recht nicht enthalten. Die Datenverarbeitung durch den Beklagten war auch im Übrigen rechtmäßig. Sie erfüllte die allgemeinen Bedingungen für eine rechtmäßige Verarbeitung des neben Art. 9 DSGVO anwendbaren Art. 6 DSGVO. Die vom Beklagten hinsichtlich der Wahrnehmung seiner gesetzlichen Aufgaben als Medizinischer Dienst zum Schutz der Gesundheitsdaten eigener Mitarbeiter getroffenen organisatorischen und technischen Maßnahmen wurden überdies den im Unionsrecht verankerten Grundsätzen der Integrität und Vertraulichkeit gerecht. Davon war umso mehr auszugehen als der einzige nachgewiesene Fall eines unberechtigten Zugriffs auf Gesundheitsdaten eines Beschäftigten, die der Beklagte als Medizinischer Dienst verarbeitet hat, auf eine Initiative des Betroffenen selbst – hier des Klägers – zurückzuführen war.

Bundesarbeitsgericht, Urteil vom 20. Juni 2024 – 8 AZR 253/20 –
Vorinstanz: Landesarbeitsgericht Düsseldorf, Urteil vom 11. März 2020 – 12 Sa 186/19 –

*Art. 9 der Verordnung (EU) 2016/679 des Europäischen Parlaments und des Rates vom 27. April 2016 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten, zum freien Datenverkehr und zur Aufhebung der Richtlinie 95/46/EG (DSGVO) lautet auszugsweise:

„(1) Die Verarbeitung personenbezogener Daten, aus denen die rassische und ethnische Herkunft, politische Meinungen, religiöse oder weltanschauliche Überzeugungen oder die Gewerkschaftszugehörigkeit hervorgehen, sowie die Verarbeitung von (…) Gesundheitsdaten (…) einer natürlichen Person ist untersagt.

(2) Absatz 1 gilt nicht in folgenden Fällen:
(…)
h) die Verarbeitung ist (…) für die Beurteilung der Arbeitsfähigkeit des Beschäftigten (…) auf der Grundlage des Unionsrechts oder des Rechts eines Mitgliedstaats (…) und vorbehaltlich der in Absatz 3 genannten Bedingungen und Garantien erforderlich,
(…)
(3) Die in Absatz 1 genannten personenbezogenen Daten dürfen zu den in Absatz 2 Buchstabe h genannten Zwecken verarbeitet werden, wenn diese Daten von Fachpersonal oder unter dessen Verantwortung verarbeitet werden und dieses Fachpersonal nach dem Unionsrecht oder dem Recht eines Mitgliedstaats (…) dem Berufsgeheimnis unterliegt, oder wenn die Verarbeitung durch eine andere Person erfolgt, die ebenfalls nach dem Unionsrecht oder dem Recht eines Mitgliedstaats (…) einer Geheimhaltungspflicht unterliegt.

(4) Die Mitgliedstaaten können zusätzliche Bedingungen, einschließlich Beschränkungen, einführen oder aufrechterhalten, soweit die Verarbeitung von genetischen, biometrischen oder Gesundheitsdaten betroffen ist.

EuGH
Urteil vom 21.12.2023
C‑667/21
Medizinischer Dienst der Krankenversicherung Nordrhein

Der EuGH hat entschieden, dass Verarbeitung von Gesundheitsdaten auf Grundlage von Art. 9 Abs. 2 lit. h DSGVO auch die Voraussetzungen von Art. 6 Abs. 1 DSGVO erfüllen muss. Ferner hat der EuGH entschieden, dass ein Schadensersatzanspruch aus Art. 82 DSGVO die Kompensation für einen konkreten Schaden darstellt.

Tenor der Entscheidung:
1. Art. 9 Abs. 2 Buchst. h der Verordnung (EU) 2016/679 des Europäischen Parlaments und des Rates vom 27. April 2016 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten, zum freien Datenverkehr und zur Aufhebung der Richtlinie 95/46/EG (Datenschutz-Grundverordnung) ist dahin auszulegen, dass die in dieser Bestimmung vorgesehene Ausnahme unter dem Vorbehalt, dass die betreffende Datenverarbeitung die in Buchst. h und in Art. 9 Abs. 3 ausdrücklich vorgeschriebenen Voraussetzungen und Garantien erfüllt, auf Situationen anwendbar ist, in denen eine Stelle für medizinische Begutachtung Gesundheitsdaten eines ihrer Arbeitnehmer nicht als Arbeitgeber, sondern als Medizinischer Dienst verarbeitet, um die Arbeitsfähigkeit dieses Arbeitnehmers zu beurteilen.

2. Art. 9 Abs. 3 der Verordnung 2016/679 ist dahin auszulegen, dass der für eine auf Art. 9 Abs. 2 Buchst. h dieser Verordnung gestützte Verarbeitung von Gesundheitsdaten Verantwortliche gemäß diesen Bestimmungen nicht verpflichtet ist, zu gewährleisten, dass kein Kollege der betroffenen Person Zugang zu den Daten über ihren Gesundheitszustand hat. Eine solche Pflicht kann dem für eine solche Verarbeitung Verantwortlichen jedoch gemäß einer von einem Mitgliedstaat auf der Grundlage von Art. 9 Abs. 4 dieser Verordnung erlassenen Regelung oder aufgrund der in Art. 5 Abs. 1 Buchst. f dieser Verordnung genannten und in ihrem Art. 32 Abs. 1 Buchst. a und b konkretisierten Grundsätze der Integrität und der Vertraulichkeit obliegen.

3. Art. 9 Abs. 2 Buchst. h und Art. 6 Abs. 1 der Verordnung 2016/679 sind dahin auszulegen, dass eine auf die erstgenannte Bestimmung gestützte Verarbeitung von Gesundheitsdaten nur dann rechtmäßig ist, wenn sie nicht nur die sich aus dieser Bestimmung ergebenden Anforderungen einhält, sondern auch mindestens eine der in Art. 6 Abs. 1 genannten Rechtmäßigkeitsvoraussetzungen erfüllt.

4. Art. 82 Abs. 1 der Verordnung 2016/679 ist dahin auszulegen, dass der in dieser Bestimmung vorgesehene Schadenersatzanspruch eine Ausgleichsfunktion hat, da eine auf diese Bestimmung gestützte Entschädigung in Geld ermöglichen soll, den konkret aufgrund des Verstoßes gegen diese Verordnung erlittenen Schaden vollständig zu ersetzen, und keine abschreckende oder Straffunktion erfüllt.

5. Art. 82 der Verordnung 2016/679 ist dahin auszulegen, dass zum einen die Haftung des Verantwortlichen vom Vorliegen eines ihm anzulastenden Verschuldens abhängt, das vermutet wird, wenn er nicht nachweist, dass die Handlung, die den Schaden verursacht hat, ihm nicht zurechenbar ist, und dass Art. 82 zum anderen nicht verlangt, dass der Grad dieses Verschuldens bei der Bemessung der Höhe des als Entschädigung für einen immateriellen Schaden auf der Grundlage dieser Bestimmung gewährten Schadenersatzes berücksichtigt wird.

Den Volltext der Entscheidung finden Sie hier:

BGH
Beschluss vom 12.01.2023
I ZR 223/10
Arzneimittelbestelldaten
Verordnung (EU) 2016/679 Art. 9 Abs. 1; Richtlinie 95/46/EG Art. 8 Abs. 1; UWG § 8 Abs. 3 Nr. 1

Wir hatten bereits in dem Beitrag BGH legt EuGH vor: Haben Mitbewerber wettbewerbsrechtliche Unterlassungsansprüche bei DSGVO-Verstößen - Verarbeitung von Gesundheitsdaten beim Online-Vertrieb von Arzneimitteln über die Entscheidung berichtet.

Leitsatz des BGH:
Dem Gerichtshof der Europäischen Union werden zur Auslegung der Verordnung (EU) 2016/679 des Europäischen Parlaments und des Rates vom 27. April 2016 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten, zum freien Datenverkehr und zur Aufhebung der Richtlinie 95/46/EG (Datenschutz-Grundverordnung, DSGVO, ABl. L 119/1 vom 4. Mai 2016, S. 1) und der Richtlinie 95/46/EG des Europäischen Parlaments und des Rates vom
24. Oktober 1995 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten und zum freien Datenverkehr (Datenschutz-Richtlinie, DSRL, ABl. 281 vom 23. November
1995, S. 31) folgende Fragen zur Vorabentscheidung vorgelegt:

1. Stehen die Regelungen in Kapitel VIII der Datenschutz-Grundverordnung nationalen Regelungen entgegen, die - neben den Eingriffsbefugnissen der zur Überwachung und Durchsetzung der Verordnung zuständigen Aufsichtsbehörden und den Rechtsschutzmöglichkeiten der betroffenen Personen - Mitbewerbern die Befugnis einräumen, wegen Verstößen gegen die Datenschutz-Grundverordnung gegen den Verletzer im Wege einer Klage vor den Zivilgerichten unter dem Gesichtspunkt des Verbots der Vornahme unlauterer Geschäftspraktiken vorzugehen?

2. Sind die Daten, die Kunden eines Apothekers, der auf einer Internet-Verkaufsplattform als Verkäufer auftritt, bei der Bestellung von zwar apothekenpflichtigen, nicht aber verschreibungspflichtigen Medikamenten auf der Verkaufsplattform eingeben (Name des Kunden, Lieferadresse und für die Individualisierung des bestellten apothekenpflichtigen Medikaments notwendige Informationen), Gesundheitsdaten im Sinne von Art. 9 Abs. 1 DSGVO sowie Daten über Gesundheit im Sinne von Art. 8 Abs. 1 DSRL?

BGH, Beschluss vom 12. Januar 2023 - I ZR 223/19 - OLG Naumburg - LG Dessau-Roßlau

Den Volltext der Entscheidung finden Sie hier:

BGH
Beschlüsse vom 12.01.2023
I ZR 222/19 und I ZR 223/19

Der BGH hat dem EuGH zur Entscheidung vorgelegt, ob Mitbewerber wettbewerbsrechtliche Unterlassungsansprüche bei DSGVO-Verstößen zustehen und diese abgemahnt und gerichtlich geltend gemacht werden können. Ferner geht es um Fragen hinsichtlich der Verarbeitung von Gesundheitsdaten beim Online-Vertrieb von Arzneimitteln.

Die Pressemitteilung des BGH:
Bundesgerichtshof legt dem Gerichtshof der Europäischen Union Fragen zum Vertrieb von Arzneimitteln über eine Internet-Verkaufsplattform vor

Der für das Wettbewerbsrecht zuständige I. Zivilsenat des Bundesgerichtshofs hat dem Gerichtshof der Europäischen Union die Fragen zur Vorabentscheidung vorgelegt, ob ein Apotheker, der auf einer Internet-Verkaufsplattform Arzneimittel vertreibt, gegen die für Gesundheitsdaten geltenden datenschutzrechtlichen Bestimmungen verstößt, und ob ein solcher Verstoß von einem anderen Apotheker mit einer wettbewerbsrechtlichen Klage vor den Zivilgerichten verfolgt werden kann.

Sachverhalt und bisheriger Prozessverlauf im Verfahren I ZR 222/19

Die Parteien sind Apotheker. Der Beklagte vertreibt seine Produkte über die Plattform des Anbieters Amazon. Der Kläger rügt, der Vertrieb apothekenpflichtiger Arzneimittel über die Plattform verstoße einerseits gegen Vorschriften des Arzneimittelgesetzes (AMG), des Heilmittelwerbegesetzes (HWG), der Apothekenbetriebsordnung (ApBetrO) und der Berufsordnung für Apotheker sowie andererseits gegen datenschutzrechtliche Regelungen.

Das Landgericht hat die Klage abgewiesen. Verstöße gegen Vorschriften des Arzneimittelgesetzes, des Heilmittelwerbegesetzes, der Apothekenbetriebsordnung und der Berufsordnung für Apotheker lägen nicht vor. Im Hinblick auf Verstöße gegen datenschutzrechtliche Regelungen der Verordnung (EU) 2016/679 (Datenschutzgrundverordnung - DSGVO) sei der Kläger nicht klagebefugt. Die Datenschutzgrundverordnung enthalte ein abschließendes Sanktionssystem, das den Wettbewerber nicht einschließe.

Das Oberlandesgericht hat auf die Berufung des Klägers das Urteil des Landgerichts abgeändert und der Klage teilweise stattgegeben. Es hat angenommen, die Regelungen der Datenschutzgrundverordnung seien in der konkreten Fallkonstellation als Marktverhaltensregelungen im Sinne von § 3a UWG anzusehen. Der Beklagte verarbeite im Rahmen der Bestellungen Gesundheitsdaten seiner Kunden im Sinne von Art. 9 Abs. 1 DSGVO. Hierfür fehle die im Streitfall erforderliche Einwilligung. Ein Verstoß gegen die weiteren vom Kläger angeführten Vorschriften scheide jedoch aus. Das Oberlandesgericht hat die Revision zugelassen. Beide Parteien haben Rechtsmittel gegen die Entscheidung des Oberlandesgerichts eingelegt.

Sachverhalt und bisheriger Prozessverlauf im Verfahren I ZR 223/19

Die Parteien sind Apotheker. Der Beklagte vertreibt seine Produkte über die Plattform des Anbieters Amazon. Der Kläger rügt, dass der Beklagte für die Erhebung und Verarbeitung personenbezogenen Daten im Rahmen des Bestellprozesses keine Einwilligung eingeholt hat. Der Beklagte ist der Auffassung, der Kläger sei nicht klagebefugt. Es liege auch keine Verarbeitung von Gesundheitsdaten vor. Zudem sei die Datenverarbeitung rechtmäßig.

Das Landgericht hat der Klage stattgegeben. Es hat das Datenschutzrecht als Marktverhaltensregelung im Sinne von § 3a UWG angesehen, weil es auch dem Schutz der Interessen der Mitbewerber diene. Die Veräußerung apothekenpflichtiger Produkte über die Plattform Amazon Marketplace verletze datenschutzrechtliche und berufsrechtliche Vorschriften.

Das Oberlandesgericht hat die Berufung des Beklagten zurückgewiesen. Es hat angenommen, die Regelungen der Datenschutzgrundverordnung seien in der konkreten Fallkonstellation als Marktverhaltensregelungen im Sinne von § 3a UWG anzusehen. Der Beklagte verarbeite im Rahmen der Bestellungen Gesundheitsdaten seiner Kunden im Sinne von Art. 9 Abs. 1 DSGVO. Hierfür fehle die im Streitfall erforderliche Einwilligung. Der Beklagte hat die vom Berufungsgericht zugelassene Revision eingelegt.

Bisheriger Prozessverlauf in beiden Verfahren

Der Senat hat beide Verfahren mit Beschluss vom 8. September 2020 bis zur Entscheidung des Gerichtshofs der Europäischen Union über sein Vorabentscheidungsersuchen vom 28. Mai 2020 (I ZR 186/17, GRUR 2020, 896 = WRP 2020, 1182 - App-Zentrum; vgl. dazu Pressemitteilung Nr. 159/2022) ausgesetzt. Mit diesem Ersuchen hatte der BGH dem EuGH die Frage vorgelegt, ob die in Kapitel VIII und insbesondere in Art. 80 Abs. 1 und 2 sowie Art. 84 Abs. 1 DSGVO getroffenen Bestimmungen nationalen Regelungen entgegenstehen, die einerseits Mitbewerbern und andererseits nach dem nationalen Recht berechtigten Verbänden, Einrichtungen und Kammern die Befugnis einräumen, wegen Verstößen gegen die Datenschutzgrundverordnung unabhängig von der Verletzung konkreter Rechte einzelner betroffener Personen und ohne Auftrag einer betroffenen Person gegen den Verletzer im Wege einer Klage vor den Zivilgerichten vorzugehen.

Der Gerichtshof der Europäischen Union hat mit Urteil vom 28. April 2020 (C-319/20 - Meta Platforms Ireland) unter Hinweis darauf, dass das Ausgangsverfahren nicht die Frage der Klagebefugnis eines Mitbewerbers aufwerfe, nur den Teil der ihm vom Bundesgerichtshof vorgelegten Frage beantwortet, der sich auf die Klagebefugnis der nach dem nationalen Recht berechtigten Verbände, Einrichtungen und Kammern im Sinne von Art. 80 Abs. 2 DSGVO bezieht.

Entscheidungen des Bundesgerichtshofs:

Der Bundesgerichtshof hat das Verfahren I ZR 223/19 ausgesetzt und dem Gerichtshof der Europäischen Union die Frage zur Vorabentscheidung vorgelegt, ob die Regelungen in Kapitel VIII der Datenschutz-Grundverordnung nationalen Regelungen entgegenstehen, die - neben den Eingriffsbefugnissen der zur Überwachung und Durchsetzung der Verordnung zuständigen Aufsichtsbehörden und den Rechtsschutzmöglichkeiten der betroffenen Personen - Mitbewerbern die Befugnis einräumen, wegen Verstößen gegen die Datenschutz-Grundverordnung gegen den Verletzer im Wege einer Klage vor den Zivilgerichten unter dem Gesichtspunkt des Verbots der Vornahme unlauterer Geschäftspraktiken vorzugehen. Außerdem hat der Bundesgerichtshof den Gerichtshof der Europäischen Union gefragt, ob die Daten, die Kunden eines Apothekers, der auf einer Internet-Verkaufsplattform als Verkäufer auftritt, bei der Bestellung von zwar apothekenpflichtigen, nicht aber verschreibungspflichtigen Medikamenten auf der Verkaufsplattform eingeben (Name des Kunden, Lieferadresse und die für die Individualisierung des bestellten apothekenpflichtigen Medikaments notwendigen Informationen), Gesundheitsdaten im Sinne von Art. 9 Abs. 1 DSGVO sowie Daten über Gesundheit im Sinne von Art. 8 Abs. 1 der Richtlinie 95/46/EG (Datenschutz-Richtlinie, DSRL) sind.

Das Verfahren I ZR 222/19 hat der Bundesgerichtshof bis zur Entscheidung über sein Vorabentscheidungsersuchen in der Sache I ZR 223/19 ausgesetzt.

Vorinstanzen im Verfahren I ZR 222/19:

LG Magdeburg, Urteil vom 18. Januar 2019 - 36 O 48/18

OLG Naumburg - Urteil vom 7. November 2019 - 9 U 6/19

Vorinstanzen im Verfahren I ZR 223/19:

LG Dessau-Roßlau - Urteil vom 27. März 2018 - 3 O 29/17

OLG Naumburg - Urteil vom 7. November 2019 - 9 U 39/18

Die maßgeblichen Vorschriften lauten:

§ 3 Abs. 1 UWG

Unlautere geschäftliche Handlungen sind unzulässig.

§ 3a UWG

Unlauter handelt, wer einer gesetzlichen Vorschrift zuwiderhandelt, die auch dazu bestimmt ist, im Interesse der Marktteilnehmer das Marktverhalten zu regeln, und der Verstoß geeignet ist, die Interessen von Verbrauchern, sonstigen Marktteilnehmern oder Mitbewerbern spürbar zu beeinträchtigen.

§ 8 Abs. 1 Satz 1 UWG

Wer eine nach § 3 oder § 7 unzulässige geschäftliche Handlung vornimmt, kann auf Beseitigung und bei Wiederholungsgefahr auf Unterlassung in Anspruch genommen werden.

§ 8 Abs. 3 Nr. 1 UWG

(3) Die Ansprüche aus Absatz 1 stehen zu:

1. jedem Mitbewerber, der Waren oder Dienstleistungen in nicht unerheblichem Maße und nicht nur gelegentlich vertreibt oder nachfragt, […]

Art. 9 DSGVO

(1) Die Verarbeitung personenbezogener Daten, aus denen die rassische und ethnische Herkunft, politische Meinungen, religiöse oder weltanschauliche Überzeugungen oder die Gewerkschaftszugehörigkeit hervorgehen, sowie die Verarbeitung von genetischen Daten, biometrischen Daten zur eindeutigen Identifizierung einer natürlichen Person, Gesundheitsdaten oder Daten zum Sexualleben oder der sexuellen Orientierung einer natürlichen Person ist untersagt.

(2) Absatz 1 gilt nicht in folgenden Fällen:

a) Die betroffene Person hat in die Verarbeitung der genannten personenbezogenen Daten für einen oder mehrere festgelegte Zwecke ausdrücklich eingewilligt, […]

Art. 8 DSRL

(1) Die Mitgliedstaaten untersagen die Verarbeitung personenbezogener Daten, aus denen die rassische und ethnische Herkunft, politische Meinungen, religiöse oder philosophische Überzeugungen oder die Gewerkschaftszugehörigkeit hervorgehen, sowie von Daten über Gesundheit oder Sexualleben.

(2) Absatz 1 findet in folgenden Fällen keine Anwendung:

a) Die betroffene Person hat ausdrücklich in die Verarbeitung der genannten Daten eingewilligt, […]

EuGH
Urteil vom 01.08.2022
C‑184/20
OT gegen Vyriausioji tarnybinės etikos komisija

Der EuGH hat entschieden, dass der Anwendungsbereich von Art. 9 Abs. 1 DSGVO (Verarbeitung besonderer Kategorien personenbezogener Daten) weit auszulegen ist.

Tenor der Entscheidung:
1. Art. 7 Buchst. c der Richtlinie 95/46/EG des Europäischen Parlaments und des Rates vom 24. Oktober 1995 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten und zum freien Datenverkehr sowie Art. 6 Abs. 1 Unterabs. 1 Buchst. c und Abs. 3 der Verordnung (EU) 2016/679 des Europäischen Parlaments und des Rates vom 27. April 2016 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten, zum freien Datenverkehr und zur Aufhebung der Richtlinie 95/46/EG (Datenschutz-Grundverordnung) sind im Licht der Art. 7, 8 und 52 Abs. 1 der Charta der Grundrechte der Europäischen Union dahin auszulegen, dass sie nationalen Rechtsvorschriften, nach denen die Erklärung über private Interessen, die jeder Leiter einer öffentliche Mittel erhaltenden Einrichtung abgeben muss, im Internet zu veröffentlichen ist, insbesondere insoweit entgegenstehen, als diese Veröffentlichung namensbezogene Daten über den Ehegatten, Lebensgefährten oder Partner der erklärungspflichtigen Person oder über ihr nahestehende oder bekannte Personen, die einen Interessenkonflikt begründen können, oder Daten über jede in den letzten zwölf Kalendermonaten abgeschlossene Transaktion mit einem Wert von über 3 000 Euro betrifft.

2. Art. 8 Abs. 1 der Richtlinie 95/46 und Art. 9 Abs. 1 der Verordnung 2016/679 sind dahin auszulegen, dass die Veröffentlichung personenbezogener Daten, die geeignet sind, die sexuelle Orientierung einer natürlichen Person indirekt zu offenbaren, auf der Website der Behörde, die für die Entgegennahme und die inhaltliche Kontrolle von Erklärungen über private Interessen zuständig ist, eine Verarbeitung besonderer Kategorien personenbezogener Daten im Sinne dieser Bestimmungen darstellt.

Den Volltext der Entscheidung finden Sie hier:

VG Wiesbaden
Urteil vom 19.01.2022
6 K 361/21.WI

Das VG Wiesbaden hat entschieden, dass kein Verstoß gegen die Vorgaben der DSGVO durch Verwendung von Gesundheitsdaten in einem Prozess besteht, da dies von Art. 9 Abs. 2 lit f) DSGVO gedeckt ist.

Aus den Entscheidungsgründen:

Es ist auch eine Datenverarbeitung im Sinne von Art. 4 Nr. 2 DS-GVO gegeben. Ein Verarbeitungsvorgang ist nach Art. 4 Nr. 2 DS-GVO jeder mit oder ohne Hilfe automatisierter Verfahren ausgeführter Vorgang oder jede solche Vorgangsreihe im Zusammenhang mit personenbezogenen Daten wie das Erheben, das Erfassen, die Organisation, das Ordnen, die Speicherung, die Anpassung oder Veränderung, das Auslesen, das Abfragen, die Verwendung, die Offenlegung durch Übermittlung, Verbreitung oder eine andere Form der Bereitstellung, der Abgleich oder die Verknüpfung, die Einschränkung, das Löschen oder die Vernichtung.

Die Datenverarbeitung ist nach Art. 6 Abs. 1 UA 1 S. 1 f) i.V.m. Art. 9 DS-GVO rechtmäßig, wenn die Verarbeitung ist zur Wahrung der berechtigten Interessen des Verantwortlichen oder eines Dritten erforderlich, sofern nicht die Interessen oder Grundrechte und Grundfreiheiten der betroffenen Person, die den Schutz personenbezogener Daten erfordern, überwiegen.

Für die Frage, ob ein berechtigtes Interesse vorliegt, ist zunächst das Interesse des Verantwortlichen auf Grundlage der Zweckbestimmung zu betrachten. In Betracht kommen bspw. rechtliche, wirtschaftliche oder ideelle Interessen (Gola, DS-GVO/Schulz, DS-GVO, 2. Aufl. 2018, Art. 6 Rn. 57).

Im vorliegenden Fall ist es das Interesse der Rechtsanwältin, die vertragliche Verpflichtung mit dem Mandanten, der Arbeitgeberin, zu erfüllen (vgl. § 3 Abs. 3 BRAO). Hierfür ist sie gehalten, die Prozessvertretung im arbeitsgerichtlichen Verfahren zu übernehmen und hierzu vorzutragen. Die Rechtsanwältin erklärte sich zudem nicht im eigenen Namen über die Daten des Klägers, sondern als Vertreterin und im Namen der Partei über die ihr vom Mandanten zugetragenen Tatsachen. Bei den Äußerungen eines Anwalts im Prozess handelt es sich um Parteivortrag.

Die Verarbeitung ist auch zur Wahrung der berechtigten Interessen der Mandantschaft, hier der beklagten Arbeitgeberin, erforderlich. Die Tätigkeit eines Rechtsanwalts wäre unmöglich, wenn er nicht grundsätzlich das vortragen dürfte, was ihm der Mandant mitteilt. Er würde sich sogar seinerseits der Gefahr der Anwaltshaftung aussetzen, wenn er entgegen § 138 Abs. 2, Abs. 3 ZPO nicht den Vortrag der gegnerischen Partei bestreitet und den Sachverhalt aus der Perspektive des Mandanten darstellt. Aus anwaltlicher Vorsicht ist der Rechtsanwalt gehalten, umfassend vorzutragen und zu bestreiten.

Die im Rahmen des Art. 6 Abs. 1 UA 1 S. 1 f) DS-GVO vorzunehmende Interessenabwägung zwischen dem berechtigten Interesse des Verantwortlichen bzw. einem Dritten (hier der Mandantschaft) an der Verarbeitung und dem Interesse des Klägers an der Vertraulichkeit seiner Daten geht zu Gunsten der Rechtsanwältin aus.

Die von der Rechtsanwältin verwendeten Daten sind weder falsch, noch durch diese in rechtswidriger Weise beschafft. Sie war bei dem Gespräch vom 29.08.2019 nicht anwesend. Sie hat auch umfassend dazu vorgetragen, dass sie selbst keinen Einblick in die „BEM-Akte“ hatte und auf Basis des Vortrags des Klägers Fragen an die Arbeitgeberin zur Sachverhaltsaufklärung stellte. Hieran besteht kein Zweifel.

In diesem Rahmen kommt es nicht darauf an, ob es sich um ein wirksames „BEM-Gespräch“ handelte. Selbst bei einem wirksam durchgeführten „BEM“ läge kein Geheimnisverrat durch die Rechtsanwältin vor. Diese darf alle Umstände nutzen, weil sie selbst mangels Teilnahme an dem Gespräch nicht der Verschwiegenheit unterliegt. Ansonsten würde sie die Interessen des Mandanten und ihre Verpflichtungen aus dem Mandatsverhältnis verletzen. Hierauf kommt es aber im vorliegenden Fall nicht an, da der Kläger selbst im arbeitsgerichtlichen Verfahren vorgetragen hat, dass es sich nicht um ein wirksames „BEM“ gehandelt habe. Demnach können die Inhalte des Gesprächs auch nicht der Geheimhaltung unterliegen. Der Inhalt des Gesprächs kann erst Recht verwendet werden. Dies hätte der Kläger, der promovierter Volljurist ist, erkennen müssen.

Zudem hat der Kläger die Daten und damit Gesundheitsdaten selbst ins Verfahren eingebracht, indem er den Prozess beim Arbeitsgericht mit seiner Klage einleitete und den Gegenstand dieses Verfahrens durch den von ihm geltend gemachten Anspruch auf eine leidensgerechte Beschäftigung denkbar weit fasste.

Die Verarbeitung von Gesundheitsdaten des Klägers nach Art. 9 Abs. 1 DS-GVO ist zulässig. Denn sie erfüllt die für eine Datenverarbeitung durch den Vortrag und Speicherung im Prozess geltenden Voraussetzungen des Art. 9 Abs. 2 lit f) DS-GVO.

Zwar ist vom Grundsatz her gemäß Art. 9 Abs. 1 DS-GVO die Verarbeitung von Gesundheitsdaten einer natürlichen Person untersagt. Aus Art. 9 Abs. 2 lit. f) DS-GVO ergibt sich jedoch, dass dieses Verbot dann nicht gilt, wenn die Verarbeitung zur Geltendmachung, Ausübung oder Verteidigung von Rechtsansprüchen oder bei Handlungen der Gerichte im Rahmen ihrer justiziellen Tätigkeit erforderlich ist.

Diese Norm dient der Sicherung des Justizgewährleistungsanspruchs (vgl. Art. 47 GRCh, Art. 20 Abs. 2 S. 2, Abs. 3 GG). Lässt sich ein rechtlicher Anspruch nur unter Verarbeitung besonderer Kategorien personenbezogener Daten, hier sensitiver Gesundheitsdaten, durchsetzen, so soll es hieran nicht scheitern (Kühling/Buchner/Weichert, 3. Aufl. 2020, DS-GVO Art. 9 Rn. 83). Das Datenschutzregime soll nicht so weit gehen, dass die legitime Durchsetzung von Rechten nicht mehr möglich ist (Paal/Pauly/Frenzel DS-GVO Art. 9 Rn. 37). Dasselbe muss vor dem Hintergrund der Waffengleichheit und des effektiven Rechtschutzes auch für die Abwehr von Ansprüchen gelten. Abs. 74
Art. 9 Abs. 2 lit. f) DS-GVO verweist auf die nationalen verfahrensrechtlichen Regelungen, die einen angemessenen Interessenausgleich der Beteiligten sicherstellen sollen. Ein expliziter Verweis auf nationale Regelungen war insofern nicht nötig (Kühling/Buchner/Weichert, 3. Aufl. 2020, DS-GVO Art. 9 Rn. 87).

Streitgegenstand der Verfahren vor dem ArbG Hannover und dem LAG Niedersachsen ist der vom Kläger in seinen Anträgen und Schriftsätzen geltend gemachte Anspruch auf eine leidensgerechte Beschäftigung. Hierfür legte der Kläger selbst insbesondere ärztliche Atteste, eine E-Mail vom Fr. [...] , die den Inhalt des „BEM“ zum Gegenstand hat und eine E-Mail von ihm an die Arbeitgeberin, die ebenfalls auf das „BEM“ Bezug nimmt, vor.

Falls man der Argumentation des Klägers folgt, so würde der Justizgewährleistungsanspruch einseitig zu Lasten des im arbeitsgerichtlichen Verfahren Beklagten ausgehebelt werden. Hierbei ist auch die besondere Stellung des Rechtsanwalts als unabhängiges Organ der Rechtspflege zu beachten, § 1 BRAO. Aus § 3 Abs. 3 BRAO folgt, dass jedermann hat im Rahmen der gesetzlichen Vorschriften das Recht hat, sich in Rechtsangelegenheiten aller Art durch einen Rechtsanwalt seiner Wahl beraten und vor Gerichten, Schiedsgerichten oder Behörden vertreten zu lassen. Auch § 11 Abs. 2 S. 1 ArbGG sieht dies vor. Das wäre unmöglich, wenn die Rechtsanwältin im vorliegenden Fall am Vortrag im Prozess gehindert wäre.

Da die Datenverarbeitung der Rechtsanwältin rechtmäßig war und ist, hat auch der Klageantrag zu 4), über den mangels Erfolgs der Klageanträge zu 1) bis 3) zu entscheiden ist, aus den oben aufgeführten Gründen ebenfalls keinen Erfolg.

Den Volltext der Entscheidung finden Sie hier:

OVG Lüneburg
Beschluss vom 09.11.2020
2 ME 426/20

Das OVG Lüneburg hat entschieden, dass ein Löschungsanspruch nach Art. 17, Art. 9 Abs. 1 DSGVO die substantiierte Darlegung der unrechtmäßigen Datenverarbeitung erfordert.

Aus den Entscheidungsgründen:

6. Datenschutzrechtliche Vorschriften verhelfen der Beschwerde ebenfalls nicht zum Erfolg. Soweit sich der Antragsteller auf Art. 17 i.V. mit Art. 9 Abs. 1 der Datenschutzgrundverordnung (DSGVO), der hier (nur) aufgrund von § 2 Nr. 2 lit. c) NDSG anwendbar ist, beruft, versäumt er entgegen § 146 Abs. 4 Satz 3 VwGO die substantiierte Darlegung, dass die Datenverarbeitung durch die Antragsgegner unrechtmäßig erfolgt sein könnte. Anlass hätte insbesondere dazu bestanden, sich näher mit Art. 9 Abs. 2 lit. e) DSGVO auseinanderzusetzen. Die Vorschrift nimmt die Verarbeitung personenbezogener Daten, die die betroffene Person offensichtlich öffentlich gemacht hat, von dem grundsätzlichen Verarbeitungsverbot des Art. 9 Abs. 1 DSGVO aus.

Ungeachtet der fehlenden Darlegung greift Art. 9 Abs. 2 lit. e) DSGVO zugunsten der Antragsgegner ein. Diese nutzen ausschließlich Informationen, die der Antragsteller in allgemein zugänglichen Quellen selbst verbreitet hat. Soweit der Antragsteller dazu lediglich ausführt, er habe sich selbst nicht bezichtigt, mit der AfD zu sympathisieren, sich mit Esoterikern, rechtsextremen und antisemitischen Personen oder gar Holocaustleugnern gemein zu machen oder offensichtlich antisemitisches, rechtes und verschwörungsideologisches Gedankengut zu verbreiten oder zumindest zu akzeptieren, greift das zu kurz. Die Datenschutzgrundverordnung regelt den Schutz personenbezogener Daten; sie schützt nicht daher, dass von der betroffenen Person selbst und aus freien Stücken öffentlich gemachte Daten öffentlich diskutiert und zum Anlass wertender Schlussfolgerungen genommen werden. Auf die Frage, ob zudem - wie die Antragsgegner vortragen - Art. 17 Abs. 3 lit. a DSGVO dem geltend gemachten Anspruch entgegensteht, kommt es angesichts dessen nicht an.

Den Volltext der Entscheidung finden Sie hier:

OLG Naumburg
Urteile vom 07.11.2019
9 U 6/19 und 9 U 39/18

Das OLG Naumburg hat entschieden, dass ein Verstoß gegen die Vorgaben der DSGVO wettbewerbswidrig ist und Mitbewerbern ein Unterlassungsanspruch zusteht, wenn die verletzte Norm in der konkreten Fallkonstellation als Marktverhaltensregelung einzuordnen ist. Vorliegend ging es um die Verarbeitung von Gesundheitsdaten beim Verkauf von Medikamenten über Amazon Markteplace. Das Gericht hat einen Wettbewerbsverstoß durch Verletzung von Art. 9 Abs. 1 DSGVO angenommen.

Aus den Entscheidungsgründen:

Dem Kläger steht ein Unterlassungsanspruch gemäß § 8 Abs. 1 S. 1 i.V.m. 3a UWG wegen Verstoßes gegen Art. 9 Abs. 1 DSGVO zu.

I. Der Kläger ist als Mitbewerber aktivlegitimiert (vgl. II.,1.). In der vorliegenden Fallkonstellation sind die Regeln der DSGVO als Marktverhaltensregeln im Sinne des § 3 a UWG anzusehen (vgl. II., 2). Bei den erfassten Daten handelt es sich um Gesundheitsdaten im Sinne von Art. 9 Abs. 1 DSGVO (II., 3.). Der Beklagte verarbeitet die von der Handelsplattform erhobenen Daten ohne ausdrückliche Einwilligung im Sinne des Art. 9 Abs. 2 Buchst. a DSGVO (II., 4.).

Berufsrechtliche Verstöße vermag der Senat im vorliegenden Fall nicht festzustellen (vgl. III.). Ein Schadensersatzanspruch oder ein vorgeschalteter Anspruch auf Auskunft scheidet aus, da dem Beklagten kein Verschulden vorzuwerfen ist (IV.).

II.

1. Der Kläger ist aktivlegitimiert. Die Parteien sind Mitbewerber im Sinne des § 8 Abs. 3 Nr. 1 UWG.

aa) Die Eigenschaft als Mitbewerber gemäß § 8 Abs. 3 Nr. 1 UWG erfordert ein konkretes Wettbewerbsverhältnis im Sinne des § 2 Abs. 1 Nr. 3 UWG. Das ist gegeben, wenn beide Parteien gleichartige Waren oder Dienstleistungen innerhalb desselben Endverbraucherkeises abzusetzen versuchen und daher das Wettbewerbsverhalten des einen den anderen beeinträchtigen, das heißt im Absatz behindern oder stören kann (BGH, Urteil vom 13. Juli 2006 - I ZR 241/03, BGHZ 168, 314 Rn. 14 - Kontaktanzeigen; Urteil vom 28. September 2011 - I ZR 92/09, GRUR 2012, 193 = WRP 2012, 201 Rn. 17 - Sportwetten im Internet II).

Da im Interesse eines wirksamen lauterkeitsrechtlichen Individualschutzes grundsätzlich keine hohen Anforderungen an das Vorliegen eines konkreten Wettbewerbsverhältnisses zu stellen sind, reicht es hierfür aus, dass sich der Verletzer durch seine Verletzungshandlung im konkreten Fall in irgendeiner Weise in Wettbewerb zu dem Betroffenen stellt (BGH, Urteil vom 29. November 1984 - I ZR 158/82, BGHZ 93, 96, 97 f. - DIMPLE, mwN; Urteil vom 10. April 2014 – I ZR 43/13, GRUR 2014, 1114 = WRP 2014, 1307 Rn. 32 - nickelfrei; Urteil vom 19. März 2015 - I ZR 94/13, GRUR 2015, 1129 Rn. 19 = WRP 2015, 1326 - Hotelbewertungsportal). Nach der Rechtsprechung des Bundesgerichtshofes ist daher ein konkretes Wettbewerbsverhältnis anzunehmen, wenn zwischen den Vorteilen, die die eine Partei durch eine Maßnahme für ihr Unternehmen oder das eines Dritten zu erreichen sucht, und den Nachteilen, die die andere Partei dadurch erleidet, eine Wechselwirkung in dem Sinne besteht, dass der eigene Wettbewerb gefördert und der fremde Wettbewerb beeinträchtigt werden kann (BGH, GRUR 2014, 1114 Rn. 32 - nickelfrei; GRUR 2015, 1129 Rn. 19 - Hotelbewertungsportal). Nicht ausreichend ist es allerdings, wenn die Maßnahme den anderen nur irgendwie in seinem Marktstreben betrifft. Eine bloße Beeinträchtigung reicht zur Begründung eines Wettbewerbsverhältnisses nicht aus, wenn es an jeglichem Konkurrenzmoment im Angebots- oder Nachfragewettbewerb fehlt (BGH, Urteil vom 26. Januar 2017 – I ZR 217/15 –, Rn. 16, juris m.w.N.)

bb) Da das Internet auch im Einzugsbereich der Apotheke des Klägers verfügbar ist, konkurrieren die Parteien räumlich. Sachlich führen beide die gleichen Waren. Es ist daher denkbar, dass ein Kunde ein apothekenpflichtiges Medikament statt in der Apotheke des Klägers über den Amazon Marketplace bei dem Beklagten kauft.

Die Argumentation des Beklagten, dass die Kunden einer Präsenz-Apotheke an Beratung interessiert seien, während Kunden, die keine Beratung benötigten, im Internet kauften, vermag den Senat nicht zu überzeugen. Es mag sein, dass ein Kunde, der eine Beratung möchte, in der Regel eine Präsenz-Apotheke aufsuchen wird. Dagegen ist es keinesfalls zwingend, dass ein Kunde ohne Interesse an Beratung nur im Internet kauft.

2. Nach Auffassung des Senats sind die Regelungen der DSGVO in der vorliegenden Fallkonstellation als Marktverhaltensregeln im Sinne des § 3a UWG aufzufassen.

a) Eine Norm regelt das Marktverhalten im Interesse der Mitbewerber, Verbraucher oder sonstigen Marktteilnehmer, wenn sie einen Wettbewerbsbezug in der Form aufweist, dass sie die wettbewerblichen Belange der als Anbieter oder Nachfrager von Waren oder Dienstleistungen in Betracht kommenden Personen schützt (vgl. BGH, Urteil vom 3. Juli 2003 - I ZR 211/01, BGHZ 155, 301, 305 - Telefonischer Auskunftsdienst; Urteil vom 12. Juli 2007 - I ZR 18/04, BGHZ 173, 188 Rn. 35 - Jugendgefährdende Medien bei eBay). Eine Vorschrift, die dem Schutz von Rechten, Rechtsgütern oder sonstigen Interessen von Marktteilnehmern dient, ist eine Marktverhaltensregelung, wenn das geschützte Interesse gerade durch die Marktteilnahme (vgl. BGH, Urteil vom 8. Oktober 2015 - I ZR 225/13, GRUR 2016, 513 Rn. 21 = WRP 2016, 586 - Eizellspende; MünchKomm.UWG/Schaffert, 2. Aufl., § 4 Nr. 11 Rn. 60), also durch den Abschluss von Austauschverträgen und den nachfolgenden Verbrauch oder Gebrauch der erworbenen Ware oder in Anspruch genommenen Dienstleistung berührt wird (vgl. GroßKomm.UWG/Metzger, 2. Aufl., § 4 Nr. 11 Rn. 38; Köhler in Köhler/Bornkamm, UWG, 35. Aufl., § 3a Rn. 1.67). Nicht erforderlich ist eine spezifisch wettbewerbsbezogene Schutzfunktion in dem Sinne, dass die Regelung die Marktteilnehmer speziell vor dem Risiko einer unlauteren Beeinflussung ihres Marktverhaltens schützt (vgl. BGH, Urteil vom 10. Dezember 2009 - I ZR 189/07, GRUR 2010, 754 Rn. 20 ff. = WRP 2010, 869 - Golly Telly; Urteil vom 4. November 2010 - I ZR 139/09, GRUR 2011, 633 Rn. 34 = WRP 2011, 858 – BIO TABAK; aA Ohly in Ohly/Sosnitza, UWG, 7. Aufl., § 3a Rn. 25; Gärtner/Heil, WRP 2005, 20, 22; Scherer, WRP 2006, 401, 404). Die Vorschrift muss jedoch - zumindest auch - den Schutz der wettbewerblichen Interessen der Marktteilnehmer bezwecken; lediglich reflexartige Auswirkungen zu deren Gunsten genügen daher nicht (BGH, Urteil vom 27. April 2017 – I ZR 215/15 –, Rn. 20, juris m.w.N.)

b) Die Frage, ob Datenschutzbestimmungen nach Inkrafttreten der DSGVO Marktverhaltensregeln darstellen, ist bisher in Literatur und Rechtsprechung nicht abschließend geklärt.

aa) In der Literatur wird nunmehr vertreten, dass Datenschutzbestimmungen nach Inkrafttreten der DSGVO keine Marktverhaltensregeln im Sinne des § 3 Buchst. a UWG darstellen (Köhler in: Köhler/Dornkamp/Feddersen, UWG, 36. Aufl., 2018, § 3a Rn. 1.40a und 1.74a).

bb) Das Hanseatische Oberlandesgericht Hamburg nimmt dagegen auch nach Inkrafttreten der DSGVO an, dass insoweit die jeweilige Norm konkret darauf überprüft werden muss, ob gerade jene Norm eine Regelung des Marktverhaltens zum Gegenstand hat (Urteil vom 25. Oktober 2018 – 3 U 66/17 –, Rn. 72, juris).

cc) Der Senat schließt sich der Auffassung des Hanseatischen Oberlandesgerichts Hamburg an. Selbstverständlich schützen Datenschutzregeln in erster Linie das informationelle Selbstbestimmungsrecht des Betroffenen. Gleichwohl verfolgt die DSGVO auch andere Zielsetzungen: In den Erwägungsgründen 6 bis 8 der DS-RL heißt es, dass die Richtlinie auch den grenzüberschreitenden Verkehr personenbezogener Daten auf ein einheitliches Schutzniveau heben soll (Erwägungsgründe 6 und 7), weil ein unterschiedliches Schutzniveau ein Hemmnis für die Ausübung von Wirtschaftstätigkeiten auf Gemeinschaftsebene darstellen und den Wettbewerb verfälschen könne (Erwägungsgrund 7 Satz 2), und die Regelungen der Richtlinie auch der Beseitigung solcher Hemmnisse diene, um einen grenzüberschreitenden Fluss personenbezogener Daten kohärent in allen Mitgliedsstaaten und in Übereinstimmung mit dem Ziel des Binnenmarktes zu regeln (Erwägungsgrund 8).

Vor Inkrafttreten der DSGVO war außerdem in der Rechtsprechung bereits anerkannt, dass die Nutzung von Daten zu Werbezwecken nach § 28 Abs. 3 BDSG a.F. als Marktverhaltensregel anzusehen ist (OLG Stuttgart, MMR 2007, 437, Rn. 27; OLG Köln, MMR 2009, 845; CR 2011, 680; ZD 2012, 421; OLG Karlsruhe, ZD 2012, 432, Rn. 34; OLG Dresden, BeckRS 2014, 15220, insoweit unklar, ob nur die dort ebenfalls allein streitige Regelung des § 28 Abs. 3 BDSG a.F.
oder § 28 BDSG a.F. generell als marktverhaltensregelnd angesehen worden ist).

c) Im vorliegenden Fall hat der Beklagte die Plattform Amazon Marketplace in das Feilbieten der von ihm vertriebenen Medikamente und Medizinprodukte in der Weise einbezogen, dass er die Popularität dieser Plattform nutzt, um Kunden zu gewinnen. Er setzt damit die Plattform als Werbeträger ein. Amazon selbst wertet die Daten – wenn auch anonym – aus, um zu werben: "Kunden, die sich Produkt A angesehen haben, interessieren sich auch für Produkte B". Dies zielt
auf den Markt ab und berührt die wettbewerblichen Interessen der Marktteilnehmer. Denn durch die Auswertung der Absatzdaten können Kunden zielgerichtet angesprochen werden.

3. Bei den Bestelldaten der Kunden handelt es sich um Gesundheitsdaten im Sinne von Art. 9 Abs. 1 DSGVO. Die Daten, die Amazon für den Bestellvorgang erfasst, stellen sicher keine Gesundheitsdaten im engeren Sinne dar, wie z.B. ärztliche Befunde. Gleichwohl können aus den Bestelldaten Rückschlüsse auf die Gesundheit des Bestellers gezogen werden. Soweit der Beklagte einwendet, dass eine Internetbestellung auch für Mitglieder der Familie und andere Personen erfolgen könne, trifft dies zu. Dies senkt aber nur die Wahrscheinlichkeit, mit der der gezogene Rückschluss zutrifft. Dies reicht nach Auffassung des Senates nicht aus, um die Gesundheitsbezogenheit der Daten entfallen zu lassen. Dies würde zu einer Absenkung des Schutzniveaus führen.

Soweit der Beklagte einwendet, dass die Datenschutzbehörden auf EU-Ebene beim Kauf von medizinischen Standardprodukten nicht von Gesundheitsdaten ausgehen, beachtet er nicht, dass hier nicht nur medizinische Standardprodukte verkauft werden, sondern eben auch apothekenpflichtige Medikamente. Insbesondere die Kombination aus mehreren apothekenpflichtigen Medikamenten lässt durchaus einen Rückschluss auf den Gesundheitszustand des Bestellers zu, wenn auch die Wahrscheinlichkeit eines zutreffenden Rückschlusses durch die Möglichkeit der Drittbestellung – wie bereits ausgeführt – an Sicherheit gemindert ist.

4. Im vorliegenden Fall liegen zwei Datenverarbeitungen im Sinne des § 9 Abs. 1 DSGVO vor.

a) Die Datenverarbeitung durch die Plattform Amazon Marketplace ist keine Auftragsdatenverarbeitung für den Beklagten im Sinne der DSGVO. Die allgemeinen Geschäftsbedingungen von Amazon enthalten diesen Passus. Eine Auftragsdatenverarbeitung ist auch von keiner Seite behauptet worden; der Beklagte räumt sie selbst ein, dass es sich nicht um eine Auftragsdatenverarbeitung handelt.

b) Eventuelle Datenschutzverstöße der Plattform Amazon Marketplace sind nicht Teil des Rechtsstreits; der Kläger weist hierauf ausdrücklich hin (vgl. Bd. III Bl. 6 und Bl. 28 d.A. [= Schriftsatz des Klägers vom 24.09.2018]). Insoweit geht es auch nicht um die Frage, ob eventuelle Datenschutzverstöße der Plattform dem Beklagten zugerechnet werden können.

c) Entscheidend ist hier die Datenverarbeitung durch den Beklagten selbst. Hierfür fehlt eine wirksame Einwilligung im Sinne des Art. 9 Abs. 2 lit. a DSGVO.

aa) Nach Art. 9 Abs. 1 DSGVO kommt es nicht auf die Erhebung, sondern auf die Verarbeitung der dort genannten personenbezogenen Daten an.

bb) An einer Einwilligung für die Verarbeitung durch den Beklagten im Sinne des Art. 9 Abs. 2 Buchst. a DSGVO fehlt es hier.

α) Eine ausdrückliche Einwilligung der Kunden beim Bestellvorgang ist von keiner Seite behauptet worden.

β) Angesichts des Wortlauts des Art. 9 Abs. 2 Buchst. a DSGVO ("ausdrücklich eingewilligt") dürfte eine konkludente Einwilligung die Voraussetzung dieser Vorschrift nicht erfüllen. Darüber hinaus ist die Verpflichtung des Apothekers zur Einholung einer schriftlichen Einwilligung berufsrechtlich durch die Berufsordnung der Apothekenkammer Sachsen-Anhalt konkretisiert.

§ 15 Abs. 2 dieser Berufsordnung lautet:
"Die Speicherung und Nutzung patientenbezogener Daten bedarf der vorherigen schriftlichen Einwilligung des Betroffenen, sofern sie nicht nach dem Bundesdatenschutzgesetz und anderen Ermächtigungsgrundlagen zulässig sind oder von gesetzlichen Bestimmungen gefordert werden."

III.

Abgesehen von § 15 Abs. 2 der zitierten Berufsordnung hat der Beklagte nicht gegen Berufsrecht der Apotheker verstoßen.

1. Nicht zu folgen vermag der Senat der Auffassung des Klägers, dass der Beklagte durch das gewählte Vertriebsmodell Arzneimittel unter Verstoß gegen § 43 Abs. 1 AMG in Verkehr bringe und die Einbeziehung von Personen zu verantworten habe, die nicht der Geheimhaltungspflicht des § 203 StGB unterliegen.

a) Bei Anpreisung im Internet handelt es sich nach ständiger Rechtsprechung regelmäßig nur um die Aufforderung zur Abgabe eines Angebots. Der Senat sieht keine Veranlassung, für den Bereich des Apothekenrechts von dieser Grundregel abzuweichen.

b) Damit setzt der Kunde die Verkaufsplattform zur Übermittlung seines Angebots auf Abschluss eines Kaufvertrages zivilrechtlich als Bote ein. Er offenbart damit seine Gesundheitsdaten der Verkaufsplattform selbst.

c) Die Entscheidung diesen Weg zu wählen, um ein Medikament zu erwerben, trifft der Kunde eigenverantwortlich.

Es kommt daher weder ein Verstoß nach § 43 Abs. 1 AMG noch gegen § 203 StGB in Betracht. Denn der Apotheker setzt die Verkaufsplattform nur zur Reichweitenerhöhung, nicht aber für den Vertrieb ein. Nach der Übermittlung der Bestelldaten durch Amazon ist die Situation mit einer direkten Bestellung bei der Online-Apotheke des Beklagten – von der bereits ausgeführten datenschutzrechtlichen Problematik abgesehen – vergleichbar. Den Betrieb von Online-Apotheken hat der Gesetzgeber jedoch ausdrücklich zugelassen. Damit scheidet auch ein Verstoß gegen § 3 Abs. 5 ApBetrO aus. Denn die pharmazeutischen Tätigkeiten beginnen erst nach der Übermittlung der Daten durch Amazon an den Beklagten.

2. Ein Verstoß gegen das Selbstbedienungsverbot gemäß § 17 Abs. 3 ApBetrO scheidet aus den vom Landgericht genannten Gründen aus. Der Senat nimmt auf die entsprechenden Ausführungen im angegriffenen Urteil ausdrücklich Bezug. 3. Die Werbemaßnahmen auf der Handelsplattform gehen erkennbar – wie das Landgericht zutreffend ausführt - auf Amazon bzw. mittelbar auf die Kunden zurück, die Rezensionen schreiben. Die Werbemaßnahmen beziehen sich auf das Produkt und nicht auf eine konkrete Online-Apotheke und kommen daher nicht einem, sondern allen auf der Plattform vertretenen Apothekern zugute. Der Senat sieht daher keinen Verstoß gegen § 11 HWG oder § 14 Berufsordnung der Apothekenkammer Sachsen-Anhalt.

4. Die behauptete Umsatzbeteiligung von Amazon beruht auf Vermutungen. Es liegt außerdem weder ein partiarisches Darlehen oder einen am Umsatz ausgerichteter Mietvertrag vor. Ein Verstoß gegen § 8 Abs. 2 ApoG scheidet daher aus.

IV. Ein möglicher Schadensersatzanspruch gemäß § 9 UWG und ein vorbereitender Auskunftsanspruch setzen ein Verschulden voraus. Angesichts der bisher noch nicht abschließend von der Rechtsprechung geklärten Rechtslage zum marktregelnden Charakter der DSGVO billigt der Senat dem Beklagten einen unvermeidbaren Verbotsirrtum gemäß § 17 S. 1 StGB analog zu.

Den Volltext der Entscheidungen finden Sie hier:

OLG Naumburg, Urteil vom 07.11.2019 - 9 U 6/19

OLG Naumburg, Urteil vom 07.11.20199 U 39/18