EuGH
Urteil vom 12.01.2023 C-132/21
Nemzeti Adatvédelmi és Információszabadság Hatóság
Der EuGH hat entschieden, dass sich zivilrechtliche und verwaltungsrechtliche Rechtsbehelfe bzw. Ansprüche der DSGVO einander nicht ausschließen und parallel geltend gemacht werden können.
Die Pressemitteilung des Gerichts: Die in der Datenschutz-Grundverordnung vorgesehenen verwaltungs- und zivilrechtlichen Rechtsbehelfe können nebeneinander und unabhängig voneinander eingelegt werden
Es obliegt den Mitgliedstaaten, dafür zu sorgen, dass die parallele Einlegung dieser Rechtsbehelfe die gleichmäßige und einheitliche Anwendung dieser Verordnung nicht beeinträchtigt.
Im April 2019 nahm BE an der Hauptversammlung einer Aktiengesellschaft teil, deren Aktionär er ist, und richtete bei dieser Gelegenheit Fragen an die Mitglieder des Verwaltungsrats und an andere Teilnehmer. Im Anschluss forderte er die Gesellschaft auf, ihm den während der Hauptversammlung aufgezeichneten Tonmitschnitt zu übermitteln. Die Gesellschaft stellte ihm jedoch nur die Abschnitte der Aufzeichnung zur Verfügung, die seine eigenen Beiträge wiedergaben, nicht aber jene der anderen Teilnehmer, selbst wenn es sich hierbei um die Antworten auf seine Fragen handelte.
BE beantragte daraufhin bei der nach der Allgemeinen Datenschutzverordnung (DSGVO) zuständigen ungarischen Aufsichtsbehörde, der Gesellschaft aufzugeben, ihm die fragliche Aufzeichnung zu übermitteln. Da die Behörde seinen Antrag ablehnte, erhob BE eine verwaltungsrechtliche Klage gegen die ablehnende Entscheidung beim Hauptstädtischen Stuhlgericht Budapest. Parallel dazu erhob er auch bei den ungarischen Zivilgerichten eine Klage gegen die Entscheidung der Gesellschaft über die Verweigerung des Zugangs. Diese Klage stützte sich auf eine Bestimmung der DSGVO, die jeder Person, die der Ansicht ist, dass die ihr durch diese Verordnung garantierten Rechte verletzt wurden, das Recht auf einen wirksamen gerichtlichen Rechtsbehelf verleiht. Das erste dieser Verfahren ist noch anhängig; die im zweiten Verfahren angerufenen ungarischen Zivilgerichte stellten jedoch bereits in einem rechtskräftig gewordenen Urteil fest, dass die Gesellschaft das Recht von BE auf Zugang zu seinen personenbezogenen Daten verletzt habe.
Das Hauptstädtische Stuhlgericht Budapest fragt den Gerichtshof, ob es im Rahmen der Überprüfung der Rechtmäßigkeit der Entscheidung der nationalen Aufsichtsbehörde an das rechtskräftige Urteil der Zivilgerichte gebunden sei, das sich auf denselben Sachverhalt und dieselbe Behauptung eines Verstoßes gegen die DSGVO durch die betreffende Gesellschaft beziehe. Da eine parallele Einlegung von verwaltungs- und zivilrechtlichen Rechtsbehelfen zu einander widersprechenden Entscheidungen führen könne, möchte das ungarische Gericht außerdem wissen, ob einer der Rechtsbehelfe gegenüber dem anderen Vorrang habe.
Der Gerichtshof erinnert daran, dass die DSGVO Personen, die einen Verstoß gegen deren Bestimmungen geltend machen, verschiedene Rechtsbehelfe bietet, wobei jeder dieser Rechtsbehelfe „unbeschadet“ der anderen eingelegt werden können muss. Somit sieht die Verordnung weder eine vorrangige oder ausschließliche Zuständigkeit noch einen Vorrang der Beurteilung der Aufsichtsbehörde oder eines Gerichts zum Vorliegen einer Verletzung der betreffenden Rechte vor. Folglich können die in der DSGVO vorgesehenen verwaltungs- und zivilrechtlichen Rechtsbehelfe nebeneinander und unabhängig voneinander eingelegt werden.
Was die Gefahr einander widersprechender Entscheidungen der betroffenen nationalen Verwaltungsbehörden und Gerichte betrifft, betont der Gerichtshof, dass es den Mitgliedstaaten obliegt, durch den Erlass der hierfür erforderlichen Verfahrensvorschriften und in Ausübung ihrer Verfahrensautonomie sicherzustellen, dass die in der DSGVO nebeneinander und unabhängig voneinander vorgesehenen Rechtsbehelfe weder die praktische Wirksamkeit und den effektiven Schutz der durch diese Verordnung garantierten Rechte noch die gleichmäßige und einheitliche Anwendung ihrer Bestimmungen oder das Recht auf einen wirksamen Rechtsbehelf bei einem Gericht in Frage stellen.
Der LfDI Baden-Württemberg hat ein Bußgeld in Höhe von 50.000 EURO wegen der missbräuchlichen Verwendung von Grundbuchdaten durch ein Bauträgerunternehmen zu Werbezwecken verhängt.
Die Pressemitteilung der Datenschutzbehörde: Bußgeld: Daten aus dem Grundbuch stehen nicht zur freien Verfügung
LfDI Baden-Württemberg hat Geldbußen wegen missbräuchlicher Verwendung von Grundbuchdaten verhängt
Auch Daten aus öffentlichen Registern wie dem Grundbuch stehen nicht zur freien Verfügung
Der Landesbeauftragte Dr. Stefan Brink: „Verantwortliche sollten sich bewusstmachen, dass auch öffentliche Daten Schutz genießen und nicht zur freien Verfügung stehen. Die im vorliegenden Fall verhängten Geldbußen machen deutlich, dass sich heimliche Datenverarbeitungen unter Ausnutzung spezieller Zugriffsrechte nicht auszahlen. Die Datenschutz-Grundverordnung gilt auch im hart umkämpften Markt um Bauland.“
Wegen rechtswidriger Datenerhebung und –weitergabe und Verstößen gegen die Informationspflichten hat der Landesbeauftragte für den Datenschutz und die Informationsfreiheit Baden-Württemberg Geldbußen gegen ein Bauträgerunternehmen und einen Vermessungsingenieur in Höhe von 50.000 Euro und 5.000 Euro verhängt.
Ein Grundstückseigentümer in einem Neubaugebiet hatte ein Schreiben eines Bauträgers erhalten, in dem ihm ein Kaufpreisangebot für sein Grundstück unterbreitet wurde. Eine Information über die Herkunft seiner Daten enthielt das Schreiben nicht, auch auf Nachfrage wurde dem Adressaten nicht mitgeteilt, woher der Bauträger dessen Daten hatte, insbesondere die Kenntnis von dessen Eigentümerstellung.
Die Bußgeldstelle beim Landesbeauftragten ermittelte anschließend, dass ein Vermessungsingenieur von seiner Befugnis zur Einsichtnahme in das elektronische Grundbuch im automatisierten Abrufverfahren Gebrauch gemacht und in zwei Fällen mehrere Hundert Grundstückseigentümer ohne deren Kenntnis identifiziert und die entsprechenden Informationen an einen Bauträger weitergegeben hatte. Dieser wiederum schrieb die so ermittelten Eigentümer mit einem Kaufpreisangebot für deren Grundstücke an, ohne die notwendigen Informationen nach Art. 14 DS-GVO zu erteilen, insbesondere ohne über die Herkunft der Daten zu informieren.
Dieses Vorgehen stellt einerseits einen Verstoß gegen Art. 6 Abs. 1 DS-GVO dar. So ist bei der Interessenabwägung im Rahmen des Art. 6 Abs. 1 Buchst. f DS-GVO zu berücksichtigen, dass zwischen den Grundstückseigentümern und dem Bauträger keine vorherige Geschäftsbeziehung bestand und die Eigentümer nicht davon ausgehen mussten, dass ihre Daten im Grundbuch für werbliche Ansprachen zur Verfügung stehen. Hierbei kommt besondere Bedeutung der Tatsache zu, dass Grundstückseigentümer weder der Eintragung im Grundbuch noch der Datenübermittlung widersprechen können, vielmehr werden ihre Daten auf Grund einer gesetzlichen Pflicht erhoben. Diese gesetzliche Pflicht dient aber nicht der werblichen Ansprache, sondern der Rechtssicherheit bei Grundstücksgeschäften. Dementsprechend ist für das grundbuchrechtliche Einsichtsrecht auch allgemein anerkannt, dass ein alleiniges Erwerbsinteresse nicht zur Einsichtnahme berechtigt, es vielmehr bereits der konkreten Vertragsverhandlungen bedarf.
Zudem lag auch ein Verstoß gegen Art. 14 DS-GVO vor, indem den Eigentümern – auch bei Kontaktaufnahme – keine Informationen zur Datenverarbeitung zur Verfügung gestellt wurden. Diese Informationen sind aber wesentliche Voraussetzung für betroffene Personen, um ihre Betroffenenrechte nach den Art. 15 ff. DS-GVO geltend machen zu können. Ein Ausschlussgrund war vorliegend auch nicht gegeben, insbesondere stellt § 12 GBO keine Rechtsvorschrift im Sinne des Art. 14 Abs. 5 Buchst. c DS-GVO dar, da sich für betroffene Personen bei Einsichtnahme durch Dritte aus § 12 GBO weder die datenerhebende Stelle noch Umfang, Zweck oder Dauer der Datenerhebung ersichtlich sind.
Bei der Zumessung der Geldbuße wurde neben der Anzahl der betroffenen Personen, der Art der betroffenen Daten und der Bedeutung der verletzten Vorschriften vor allem die Kooperation der verantwortlichen Stellen im Bußgeldverfahren berücksichtigt.
Die Geldbußen wurden von den Verantwortlichen akzeptiert und sind zwischenzeitlich rechtskräftig.
Die Berliner Beauftragte für Datenschutz und Informationsfreiheit (BlnBDI) hat ein Bußgeld in Höhe von 525.00 EURO gegen einen Berliner E-Commerce-Konzern wegen Verstoßes gegen die Vorgaben der DSGVO durch einen Interessenkonflikt des betrieblichen Datenschutzbeauftragten verhängt. Die Datenschutzbehörde hatte vor Verhängung des Bußgelds fruchtlos eine Verwarnung ausgesprochen.
Die Pressemitteilung der BlnBDI: Interessenkonflikt des betrieblichen Datenschutzbeauftragten: 525.000 Euro Bußgeld gegen die Tochtergesellschaft eines Berliner E-Commerce-Konzerns
Die Berliner Beauftragte für Datenschutz und Informationsfreiheit (BlnBDI) hat gegen die Tochtergesellschaft eines Berliner Handelskonzerns ein Bußgeld in Höhe von 525.000 Euro wegen eines Interessenkonflikts des betrieblichen Datenschutzbeauftragten verhängt. Das Unternehmen hatte einen Datenschutzbeauftragten benannt, der Entscheidungen unabhängig kontrollieren sollte, die er selbst in einer anderen Funktion getroffen hatte. Das Bußgeld ist noch nicht rechtskräftig. Betriebliche Datenschutzbeauftragte haben eine wichtige Aufgabe: Sie beraten das Unternehmen hinsichtlich der datenschutzrechtlichen Pflichten und kontrollieren die Einhaltung der Datenschutzvorschriften. Diese Funktion dürfen gemäß Art. 38 Abs. 6 Satz 2 Datenschutz-Grundverordnung (DS-GVO) ausschließlich Personen ausüben, die keinen Interessenkonflikten durch andere Aufgaben unterliegen. Das wäre zum Beispiel bei Personen mit leitenden Funktionen im Unternehmen der Fall, die selber maßgebliche Entscheidungen über die Verarbeitung von personenbezogenen Daten im Unternehmen treffen. Die Aufgabe darf demnach nicht von Personen wahrgenommen werden, die sich dadurch selbst überwachen würden.
So ein Interessenkonflikt lag nach Auffassung der BlnBDI im Falle eines Datenschutzbeauftragten einer Tochtergesellschaft eines Berliner E-Commerce-Konzerns vor. Die Person war gleichzeitig Geschäftsführer von zwei Dienstleistungsgesellschaften, die im Auftrag genau jenes Unternehmens personenbezogene Daten verarbeiteten, für die er als Datenschutzbeauftragter tätig war. Diese Dienstleistungsgesellschaften sind ebenfalls Teil des Konzerns; stellen den Kund:innenservice und führen Bestellungen aus.
Der Datenschutzbeauftragte musste somit die Einhaltung des Datenschutzrechts durch die im Rahmen der Auftragsverarbeitung tätigen Dienstleistungsgesellschaften überwachen, die von ihm selbst als Geschäftsführer geleitet wurden. Die BlnBDI sah in diesem Fall einen Interessenkonflikt und damit einen Verstoß gegen die Datenschutz-Grundverordnung. Die Aufsichtsbehörde erteilte daher im Jahr 2021 zunächst eine Verwarnung gegen das Unternehmen.
Nachdem eine erneute Überprüfung in diesem Jahr ergab, dass der Verstoß trotz der Verwarnung weiterbestand, verhängte die BlnBDI das Bußgeld, das noch nicht rechtskräftig ist.
Volker Brozio, kommissarischer Dienststellenleiter der BlnBDI: „Dieses Bußgeld unterstreicht die bedeutende Rolle der Datenschutzbeauftragten in Unternehmen. Ein Datenschutzbeauftragter kann nicht einerseits die Einhaltung des Datenschutzrechts überwachen und andererseits darüber mitentscheiden. Eine solche Selbstkontrolle widerspricht der Funktion eines Datenschutzbeauftragten, der gerade eine unabhängige Instanz sein soll, die im Unternehmen auf die Einhaltung des Datenschutzes hinwirkt.“
Bei der Bußgeldzumessung berücksichtigte die BlnBDI den dreistelligen Millionenumsatz des ECommerce-Konzerns im vorangegangen Geschäftsjahr und die bedeutende Rolle des Datenschutzbeauftragten als Ansprechpartner für die hohe Zahl an Beschäftigten und Kund:innen. Berücksichtigung fand auch die vorsätzliche Weiterbenennung des Datenschutzbeauftragten über fast ein Jahr trotz der bereits erteilten Verwarnung. Als bußgeldmindernd wurde u. a. eingestuft, dass das Unternehmen umfangreich mit der BlnBDI zusammengearbeitet und den Verstoß während des laufenden Bußgeldverfahrens abgestellt hat.
„Zur Vermeidung von Datenschutzverstößen sollten Unternehmen etwaige Doppelrollen der betrieblichen Datenschutzbeauftragten in Konzernstrukturen auf Interessenkonflikte hin prüfen“, sagt Brozio. „Das gilt insbesondere dann, wenn Auftragsverarbeitungen oder gemeinsame Verantwortlichkeiten zwischen den Konzerngesellschaften bestehen.“
Das VG Berlin hat entschieden, dass nach der DSGVO kein individueller Anspruch auf Einschreiten der Datenschutzbehörde und Einleitung bestimmter Maßnahmen besteht.
Aus den Entscheidungsgründen: Die Klage ist voraussichtlich unbegründet. Der Antragsteller und künftige Kläger hat keinen Anspruch darauf, dass der Antragsgegner (Beklagte) über seine Beschwerde vom 1. August 2019 erneut entscheidet. Mögliche Anspruchsgrundlage ist Art. 57 Abs. 1 lit. f) DS-GVO. Erhebt eine betroffene Person eine Beschwerde im Sinne von Art. 77 DS-GVO, muss sich die Aufsichtsbehörde nach Art. 57 Abs. 1 lit. f) DS-GVO mit der Beschwerde befassen, den Gegenstand der Beschwerde in angemessenem Umfang untersuchen und den Beschwerdeführer innerhalb einer angemessenen Frist über den Fortgang und das Ergebnis der Untersuchung unterrichten. Die Aufsichtsbehörde ist hiernach verpflichtet, die Beschwerde mit der gebotenen Sorgfalt und in angemessenem Umfang zu prüfen. Maßstab für den Umfang der Ermittlungen ist insbesondere die Schwere des in Rede stehenden Verstoßes, aber auch alle weiteren relevanten Aspekte sind zu berücksichtigen, insbesondere die in Art. 83 Abs. 2 DS-GVO genannten (Bergt, in: Kühling/Buchner, Datenschutz-Grundverordnung BDSG, 3. Auflage 2020, Art. 77 DS-GVO, Rn. 16). Nach Maßgabe dieser Grundsätze hat der Antragsgegner seine Pflichten bei der Bearbeitung der Beschwerde des Antragstellers erfüllt. Er hat den Sachverhalt ermittelt, indem er das Beschwerdevorbringen zur Kenntnis genommen und die D... zur Stellungnahme aufgefordert hat. Er hat den Sachverhalt anschließend bewertet und dem Antragsteller das Ergebnis seiner Prüfung mit Abschlussbescheid der Berliner Beauftragten für Datenschutz und Informationsfreiheit vom 25. September 2019 mitgeteilt. Weiter hat er den Antragsteller auf die Möglichkeit gerichtlichen Rechtschutzes gegen die Beschwerdeentscheidung nach Art. 78 Abs. 1 DS-GVO hingewiesen und der Mitteilung eine entsprechende Rechtsmittelbelehrung beigefügt (siehe hierzu Art. 77 Abs. 2 DS-GVO).
Umstritten ist zwar, ob eine weitergehende gerichtliche Überprüfung zum Inhalt der Beschwerdeentscheidung vorzunehmen ist. Dies hat die Kammer in einer Eilentscheidung verneint, weil das Beschwerderecht als Petitionsrecht ausgestaltet sei (Beschluss vom 28. Januar 2019, VG 1 L 1.19, juris, Rn. 5; so nunmehr auch OVG Koblenz, Urteil vom 26. Oktober 2020 – 10 A 10613/20, juris, Rn. 37 ff.; a.A. Halder, jurisPR-ITR 16/2020 Anm. 6; Bergt, a.a.O., Rn. 17, jeweils mwN). Ausgehend hiervon ist der Anspruch des Antragstellers erfüllt, weil dessen Beschwerde zur Kenntnis genommen, geprüft und beschieden worden ist. Selbst unter Zugrundelegung der Gegenmeinung wäre der Anspruch hier erfüllt. Nach der Gegenauffassung steht der betroffenen Person ein Anspruch auf eine ermessensfehlerfreie Entscheidung zu, welche gerichtlich überprüfbar und durchsetzbar sein soll (Halder, jurisPR-ITR 16/2020 Anm. 6); eine konkrete Maßnahme kann die betroffene Person hingegen nicht verlangen (vgl. Urteil der Kammer vom 18. Januar 2021 – VG 1 K 206.19; Bergt, a.a.O., Rn. 17). Auch unter Zugrundelegung dieses Maßstabs gilt im Ergebnis nichts anderes. Der Anspruch des Antragstellers auf eine ermessensfehlerfreie Entscheidung über ein Einschreiten des Beklagten gegen die D... ist erfüllt. Der Abschlussbescheid der Berliner Beauftragten für Datenschutz und Informationsfreiheit vom 25. September 2019 führt aus, dass die D... wegen ihrer unvollständigen Auskunft gegen Art. 15 DS-GVO verstoßen habe und sie deshalb verwarnt worden sei. Den datenschutzrechtlichen Belangen des Antragstellers ist damit ausreichend Rechnung getragen. Warum der Antragsteller gleichwohl meint, der Abschlussbescheid sei für ihn nicht positiv, bleibt unklar. Ein Anspruch auf Verhängung eines Bußgeldes gegen die D... steht ihm dagegen nicht zu, weil er eine konkrete Maßnahme nicht verlangen kann.
Das OVG Koblenz hat entschieden, dass kein individueller Anspruch auf Einschreiten der Datenschutzbehörde und Einleitung bestimmter Maßnahmen besteht. Die DSGVO enthält keine entsprechende Anspruchsgrundlage.
Das VG Mainz hat entschieden, dass eine datenschutzrechtliche Beschwerde alle Informationen enthalten muss, so dass die datenschutzrechtliche Aufsichtsbehörde die Sache prüfen kann.
Aus den Entscheidungsgründen:
II. Die Klage hat ungeachtet dessen auch in der Sache keinen Erfolg. Der Bescheid des Beklagten vom 26. April 2019 ist rechtmäßig und verletzt den Kläger nicht in seinen Rechten. Die Beendigung des vom Kläger erhobenen Beschwerdeverfahrens durch den Beklagten ist nicht zu beanstanden, weil der Kläger keine prüffähige Beschwerde beim LFDI erhoben hat. Dabei hat der Beklagte das Beschwerdeverfahren nicht etwa deshalb eingestellt – wie der Kläger wohl meint –, weil der Kläger nur die aus seiner Sicht bestehenden Missstände und seine Rechtsauffassung mitteilt, sondern weil die Beschwerde des Klägers mangels konkreter Informationen zu einem Datenschutzrechtsverstoß vom LFDI nicht geprüft werden konnte.
1. Eine Beschwerde kann gemäß Art. 77 Abs. 1 DSGVO bei der Aufsichtsbehörde – hier: LFDI – eingelegt werden, wenn die betroffene Person der Ansicht ist, dass die Verarbeitung der sie betreffenden personenbezogenen Daten gegen diese Verordnung verstößt. Der Beschwerdeführer hat nicht nur – wie es bei einer Petition der Fall wäre – ein Recht auf Beantwortung und Bescheidung seiner Beschwerde, sondern einen darüberhinausgehenden Anspruch auf fehlerfreie Ermessensausübung und im Falle einer Ermessensreduzierung auf Null einen Anspruch auf ein konkretes Einschreiten der Aufsichtsbehörde (vgl. VG Mainz, Urteil vom 16. Januar 2020 – 1 K 129/19.MZ –, juris, Rn. 35; VG Ansbach, Urteil vom 8. August 2019 – AN 14 K 19.272 –, BeckRS 2019, 30069, Rn. 25; Albrecht/Jotzo, Das neue Datenschutzrecht der EU, 1. Aufl. 2017, Teil 8, Rn. 6 f., beck-online; Mundil, in Wolff/Brink, BeckOK Datenschutzrecht, 30. Ed. Stand: 1. Februar 2017, Art. 78 DSGVO, Rn. 7). Eine Beschwerde kann formlos eingereicht werden, da Art. 77 Abs. 1 DSGVO keine ausdrücklichen Formerfordernisse regelt. Inhaltlich dürfen an die Beschwerde zwar keine zu strengen Anforderungen gestellt werden, damit das Beschwerderecht grundsätzlich einfach und unbürokratisch ausgeübt werden kann (vgl. Bergt, in: Kühling/Buchner, DS-GVO/BDSG, 2. Aufl. 2018, Art. 77, Rn. 10; Körffer, in: Paal/Pauly, DS-GVO/BDSG, 2. Aufl. 2018, Art. 77, Rn. 3). Gleichwohl muss die Beschwerde zumindest alle Informationen enthalten, die erforderlich sind, dass die Aufsichtsbehörde den Sachverhalt erfassen und gegebenenfalls weiter aufklären und etwaige Datenschutzrechtsverstöße prüfen kann. Die Beschwerde muss daher Angaben über die betroffene Person und den Verantwortlichen aufweisen und zumindest ansatzweise zum Ausdruck bringen, welcher Verstoß gegen datenschutzrechtliche Vorschriften gerügt wird (vgl. Mundil, in: Wolff/Brink, BeckOK Datenschutzrecht, 31. Edition, Stand: 1. Februar 2020, Art. 77, Rn. 7). Schließlich kann der Beschwerdeführer keine Ermittlungen ins Blaue hinein durch den LFDI beantragen. Dabei kann von der betroffenen Person zwar keine rechtliche Analyse erwartet werden, allerdings muss die Behauptung eines Rechtsverstoßes substantiiert durch Tatsachen dargelegt werden. Sofern die Beschwerde noch nicht hinreichend substantiiert ist, ist es Aufgabe der Aufsichtsbehörde den Beschwerdeführer hierauf hinzuweisen und auf eine Konkretisierung der Beschwerde hinzuwirken (vgl. Nemitz, in: Ehmann/Selmayr, DSGVO, 2. Aufl. 2018, Art. 77, Rn. 8).
2. Unter Anwendung des dargestellten Rechtsmaßstabs fehlt es hier an einer hinreichend substantiierten, überprüfbaren Beschwerde des Klägers. Der Kläger hat mit seiner Beschwerde vom 5. Februar 2019 zwar mitgeteilt, dass er Unterstützung bei seinem Auskunftsbegehren nach Art. 15 DSGVO benötige. Er habe verschiedene Behörden um Auskunft gebeten und verweise insofern auf seine beigefügten Anfrageschreiben an die jeweiligen Behörden sowie die Rückantworten des Sozialgerichts Mainz, des Landessozialgerichts Rheinland-Pfalz, der Staatskanzlei und der Generalstaatsanwaltschaft Koblenz. Aus seinem Beschwerdeschreiben und auch der weiteren Korrespondenz mit dem LFDI sowie aus seinem Vortrag im Klageverfahren ergibt sich jedoch nicht, ob und warum er überhaupt von einer Datenverarbeitung durch die angefragten Stellen ausgeht (a)), ob ihm alle angefragten Behörden geantwortet haben bzw. welche Behörden sich nicht zurückgemeldet haben (b)) und warum die Rückantworten, die er erhalten und seiner Beschwerde beigefügt hat, nicht ausreichen (c)).
a) Sofern der Kläger nicht erklärt, dass (und warum) er von einer Datenverarbeitung durch die verantwortliche Behörde ausgeht und sich dies auch nicht aus den Umständen ergibt, kann der LFDI teilweise bereits seine Zuständigkeit nicht prüfen.
Art. 55 Abs. 3 DSGVO regelt, dass die Aufsichtsbehörden – hier: der LFDI – nicht zuständig sind für die Aufsicht über die von den Gerichten im Rahmen ihrer justiziellen Tätigkeit vorgenommenen Verarbeitungen von personenbezogenen Daten (vgl. insofern auch Erwägungsgrund 20 der DSGVO). Das bedeutet, dass der LFDI keine Aufsichtsbefugnisse über Gerichte hat, sofern diese Tätigkeiten ausüben, die mit der gerichtlichen Entscheidungsfindung in Zusammenhang stehen (vgl. Selmayr, in: Ehmann/Selmayr, 2. Aufl. 2018, DS-GVO Art. 55 Rn. 12). Damit soll der verfassungsrechtlich gebotenen Unabhängigkeit der Justiz Rechnung getragen werden (vgl. Schaar, „Datenschutz und Rechtspflege“, DRiZ 2018, 166, beck-online). Die Gerichtsverwaltung ist von der Zuständigkeit der Aufsichtsbehörden hingegen nicht ausgenommen. Damit unterliegen die Verarbeitung personenbezogener Daten der Mitarbeiter der Justizverwaltung, die Datenverarbeitung bei der Mittelbeschaffung für die Gerichte sowie bei Justizverwaltungsakten und Rechtspflegetätigkeiten der Kontrolle des LFDI (vgl. Selmayr, in: Ehmann/Selmayr, DS-GVO, 2. Aufl. 2018, Art. 55, Rn. 14). In Bezug auf die Gerichte (Sozialgericht Mainz, Landessozialgericht Rheinland-Pfalz), an die der Kläger ein Auskunftsersuchen adressiert hat, konnte der LFDI mangels substantiierten Vortrags durch den Kläger nicht prüfen, ob sich die betroffene Datenverarbeitung – über die der Kläger eine Auskunft begehrt – auf die justizielle Tätigkeit der Gerichte oder die Gerichtsverwaltung bezieht. In seinem Schreiben vom 7. März 2019 führt der Kläger zwar aus, dass die jeweiligen Gerichtsverwaltungen Stellung zu seinen Anfragen genommen hätten. Es kommt für eine Überprüfung durch den LFDI jedoch nicht darauf an, wer das Auskunftsersuchen beantwortet, sondern wer die personenbezogenen Daten verarbeitet hat.
Ebenso war es dem LFDI nicht möglich, seine Zuständigkeit hinsichtlich der Beschwerde des Klägers in Bezug auf sein Auskunftsbegehren gegenüber dem Petitionsausschuss des Rheinland-Pfälzischen Landtags zu prüfen und positiv festzustellen. Gemäß § 2 Abs. 3 LDSG unterliegen der Landtag, seine Gremien, seine Mitglieder, die Fraktionen sowie deren Verwaltungen und deren Beschäftigte nicht den Bestimmungen dieses Gesetzes, soweit sie in Wahrnehmung parlamentarischer Aufgaben personenbezogene Daten verarbeiten. Der Landtag erlässt insoweit unter Berücksichtigung seiner verfassungsrechtlichen Stellung, der DSGVO und der Grundsätze des Landesdatenschutzgesetzes eine Datenschutzordnung. Soweit das Auskunftsersuchen des Klägers also eine Verarbeitung personenbezogener Daten betrifft, die im Rahmen parlamentarischer Aufgaben erfolgt ist, ist der LFDI als Aufsichtsbehörde nicht zuständig. Ob und inwieweit vorliegend eine Datenverarbeitung des Klägers im Bereich parlamentarischer Aufgaben von seinem Auskunftsersuchen betroffen ist, konnte der LFDI jedoch gar nicht erst prüfen, weil ihm insofern nicht hinreichende Informationen übermittelt wurden.
In diesem Zusammenhang ist zu berücksichtigen, dass der LFDI in seinen Schreiben vom 15. Februar 2019 und vom 1. April 2019 auf seine eingeschränkte Zuständigkeit hingewiesen und mitgeteilt hat, dass aus den Schreiben des Klägers ein Datenschutzverstoß nicht substantiiert erkennbar sei und deshalb um Konkretisierung der Beschwerde gebeten werde. Der Kläger wurde auf seine nicht prüffähige Beschwerde hingewiesen und hat zwei Mal die Möglichkeit erhalten, seine Beschwerde zu konkretisieren.
b) Aus der Beschwerde wird weiterhin nicht erkennbar, ob der Kläger von allen Behörden, an die er ein Auskunftsersuchen adressiert hat, eine Rückantwort erhalten hat. Er hat jedenfalls nur von manchen der angeschriebenen Behörden eine Antwort seiner Beschwerde beigelegt (Sozialgericht Mainz, Staatskanzlei Rheinland-Pfalz, Landessozialgericht Rheinland-Pfalz, Generalstaatsanwaltschaft Koblenz). In dem Schreiben des Sozialgerichts Mainz wird der Kläger nur darüber informiert, dass die Beschwerde zur Bearbeitung an die Gerichtsverwaltung weitergeleitet wurde, sodass nicht erkennbar ist, ob und in welcher Weise eine inhaltliche Beantwortung des Auskunftsersuchens später noch erfolgt ist und den rechtlichen Anforderung entspricht. In dem Schreiben des Landessozialgerichts Rheinland-Pfalz vom 18. Januar 2019 wird nur Bezug genommen auf eine mit Schreiben vom 8. Januar 2019 wohl vom Landessozialgericht erteilte Antwort. Dieses Antwortschreiben hat der Kläger nicht seiner Beschwerde beigelegt, sodass ein etwaiger Verstoß gegen das Auskunftsrecht nach Art. 15 DSGVO nicht überprüfbar ist. Ob es Rückantworten des Petitionsausschusses des Landtags, des Justizministeriums und der Staatsanwaltschaft Mainz gab, wird aus der Beschwerde nicht erkennbar. Etwaige fehlende Antworten werden vom Kläger auch nicht ausdrücklich gerügt.
c) Zur Begründung seiner Beschwerde führt der Kläger zwar an, dass aus den ihm zugegangenen Antworten (mit Ausnahme der Angaben der Generalstaatsanwaltschaft Koblenz) nicht erkennbar sei, welche Dokumente er löschen lassen könne. Allerdings ist vom Auskunftsrecht nach Art. 15 Abs. 1 lit. e) DSGVO allein umfasst, dass die betroffene Person über das Bestehen ihres Rechts auf Löschung der sie betreffenden personenbezogenen Daten gemäß Art. 17 DSGVO informiert werden muss – wie es die Staatskanzlei Rheinland-Pfalz in ihrem Auskunftsschreiben (dem einzigen Schreiben, das der Kläger neben der Antwort der Generalstaatsanwaltschaft Koblenz vorgelegt hat) im Übrigen auch in rechtlich hinreichender Weise getan hat. Ein Anspruch auf Mitteilung, welche konkreten Dokumente mit personenbezogenen Daten vorhanden sind und gegebenenfalls gemäß Art. 17 DSGVO gelöscht werden müssen, lässt sich aus Art. 15 Abs. 1 DSGVO nicht ableiten. Aus seinem Auskunftsbegehren („ich nehme hiermit mein Auskunftsrecht nach Art. 15 DSGVO wahr und bitte um Rückantwort innerhalb der im Gesetz vorgesehenen Fristsetzung.“) ergibt sich auch weder, dass der Kläger etwa gemäß Art. 15 Abs. 3 DSGVO Kopien der personenbezogenen Daten, die Gegenstand der Verarbeitung bei dem jeweiligen Verantwortlichen sind, bekommen wollte, noch, dass er die Löschung seiner personenbezogenen Daten verlangt. Jedenfalls wäre es dem Kläger im Rahmen seiner Mitwirkungspflichten zuzumuten gewesen, im Falle einer aus seiner Sicht unzureichenden Beantwortung gegenüber der Behörde sein Auskunftsersuchen zu präzisieren und beispielsweise ausdrücklich eine Kopie zu verlangen. Im Übrigen ist auch nicht ersichtlich, dass eine betroffene Person für die Ausübung ihres Löschungsrechts nach Art. 17 DSGVO die Kenntnis bestimmter Dokumente benötigt; vielmehr dürfte es ausreichen die Löschung bestimmter personenbezogener Daten, die bei dem Verantwortlichen vorhanden sind, zu verlangen.
Darüber hinaus verlangt der Kläger aufgrund seiner Beschwerde offenbar, dass der LFDI Schulungen bei den verschiedenen Behörden durchführt. Hierauf hat der Kläger jedoch keinen durchsetzbaren Anspruch. Ebenso wenig kann er im Beschwerde- oder Klageverfahren eine einheitliche Rechtsanwendung durchsetzen, wobei insofern auch unklar ist, worin er anhand der verschiedenen, ihm zugegangenen Rückantworten der Behörden eine uneinheitliche Rechtsanwendung sieht.
Hinsichtlich der vom Kläger gerügten vermeintlich unvollständig und fehlerhaft geführte Verwaltungsakte ist nicht ersichtlich, in welcher Weise die Akte manipuliert sein soll und sich dieser Vorwurf auf das streitgegenständliche Verfahren auswirken könnte. In der Anpassung des Datums auf dem Bescheid vom 26. April 2019 (S. 77 der Verwaltungsakte) ist keine rechtswidrige Manipulation zu erkennen. Es ist offensichtlich, dass es sich bei dem Schreiben auf S. 77 der Verwaltungsakte um den finalen Entwurf des Bescheids handelte. Dies wird dadurch deutlich, dass der Landesdatenschutzbeauftragte Herr L. nur mit seinem Kürzel unterzeichnet hat und auf der Rückseite (S. 76 der Verwaltungsakte) eine interne Verfügung vermerkt ist. Dabei wurde in dem Schreiben das Datum der finalen Erstellung des Schreibens (Freitag, der 26. April 2019) über dem ursprünglich vermerkten Datum (24. April 2019) handschriftlich korrigiert. Diese Vorgehensweise wurde von dem Beklagtenvertreter in der mündlichen Verhandlung am 18. Juni 2020 auch bestätigt (vgl. Protokoll über die öffentliche Sitzung der 1. Kammer am 18. Juni 2020). Aus einer Datumskorrektur kann nicht ohne weitere Anhaltspunkte auf eine Aktenmanipulation geschlossen werden, zumal es auf das genaue Datum, an dem der Bescheid verfasst wurde, hier nicht ankommt. Die Verwaltungsakte ist allein dahingehend unvollständig, als sie eine Kopie des originalen, an den Kläger abgesendeten Bescheids über die finale Entwurfsfassung hinaus nicht zusätzlich in Kopie enthält. Wenngleich es wünschenswert wäre, dass der Beklagte auch den Originalbescheid in Kopie in die Verwaltungsakte aufnimmt, lässt sich aus der bisherigen Verwaltungspraxis des Beklagten für den Kläger keine Rechtsverletzung ableiten, zumal das Schreiben auf S. 77 – bis auf das handschriftlich korrigierte Datum – inhaltlich identisch ist mit dem Bescheid, den der Kläger nachweislich (Bl. 1 (Rückseite) der Gerichtsakte) erhalten hat. Entgegen der Auffassung des Klägers muss die Verwaltungsakte auch nicht die innere Entscheidungsbildung der Behördenmitarbeiter im Einzelnen abbilden.
Dem Kläger wurde auch Akteneinsicht im Sinne von § 100 VwGO gewährt. Er ist zwei Mal im Verwaltungsgericht erschienen, um Einsicht in die Akte zu nehmen; ihm wurden weitere Möglichkeiten zur Akteneinsicht angeboten, die er nicht wahrgenommen hat. Darüber hinaus wurde dem Kläger zwar verwehrt Fotografien oder Kopien von der Verwaltungsakte selbst zu erstellen, ihm wurde aber angeboten, dass auf seine Kosten Kopien durch die Geschäftsstelle angefertigt werden. Von dieser Möglichkeit hat er keinen Gebrauch gemacht.
Im Übrigen geht der Verweis des Klägers auf eine Entscheidung des Verwaltungsgerichts Mainz vom 5. April 2017 (– 3 K 569/16.MZ –) fehl, da es darin nicht um eine Akteneinsicht in Gerichts- und Verwaltungsakten nach § 100 VwGO ging, sondern um die Gebührenfreiheit bei der Einsichtnahme in amtliche Informationen vor Ort nach § 13 Abs. 1 Satz 2 Landesinformationsfreiheitsgesetz – LIFG –.
Das LG Essen hat entschieden, dass ein Unternehmen hinsichtlich der Einhaltung einer zuvor abgegebenen strafbewehrten Unterlassungserklärung für seine Mitarbeiter nach § 278 BGB haftet. Vorliegend ging es um ein fehlerhaftes Impressum auf einer Drittplattform.
Aus den Entscheidungsgründen:
"Der Kläger hat einen Anspruch auf Zahlung der Vertragsstrafe in Höhe von 3.000,00 € gegen die Beklagte gemäß § 339 S. 1, 2 BGB in Verbindung mit der Unterlassungserklärung, § 311 Abs. 1 BGB. Die Parteien haben einen wirksamen Unterlassungsvertrag mit einer wirksamen Vertragsstrafenvereinbarung geschlossen. Ein entsprechender Vertrag mit Strafversprechen im Sinne der §§ 339 ff. BGB wurde durch die Unterlassungserklärung der Beklagten vom 28.3.2018 und Annahme seitens des Klägers am 29.3.2018 begründet. In diesem verpflichtet sich die Beklagte gegenüber dem Kläger es zu unterlassen, Telemedien im Sinne des § 1 Abs. 1 TMG anzubieten, ohne innerhalb dieser angebotenen Telemedien leicht erkennbar, unmittelbar erreichbar und ständig verfügbar im Impressum die zuständige Aufsichtsbehörde anzugeben, die die aus der Erteilung der Erlaubnis nach § 34 c GewO resultierenden Verpflichtungen überwacht. Für den Fall der Zuwiderhandlung verpflichtete sich die Beklagte zur Zahlung einer Vertragsstrafe in Höhe von 3.000 Euro an den Kläger.
Dieser Vertrag ist auch entgegen der Ansicht der Beklagten insgesamt wirksam. Insbesondere ergibt sich keine Unwirksamkeit nach § 307 Abs. 1 BGB. Die §§ 305 ff. BGB sind auf Unterlassungsverträge mit der Maßgabe anwendbar, dass sich die Inhaltskontrolle im unternehmerischen Verkehr nach den §§ 307, 310 Abs. 1 BGB richtet (Schaub in: Erman, BGB, 15. Aufl. 2017, Vorbemerkung vor § 339, Rn. 4; ebenda, § 339 BGB, Rn. 1). Es liegt eine allgemeine Geschäftsbedingung im Sinne von § 305 Abs. 1 BGB vor. Bei der Vereinbarung, die die Grundlage des geltend gemachten Vertragsstrafenanspruchs darstellt, handelt es sich um eine allgemeine Geschäftsbedingung des Klägers, die dieser, ohne vorher im Sinne von § 305 Abs. 3 BGB ausgehandelt worden zu sein, einseitig stellte. Hierfür spricht, dass die Unterlassungserklärung bereits mit der Abmahnung übersandt wurde. Ferner folgt aus der inhaltlichen Gestaltung („Ich/Wir verpflichte(n) mich/uns“), dass es sich um für eine Vielzahl von Fällen vorformulierte Bedingungen im Sinne von § 305 Abs. 1 BGB handelt. Die Inhaltskontrolle ist auch nach § 307 Abs. 3 BGB eröffnet, da es sich nicht um bloß deklaratorische Bestimmungen, sowie nicht Hauptleistungspflichten oder das Verhältnis von Leistung und Gegenleistung handelt. Es fehlt jedoch an der, von der Beklagten behaupteten, unangemessenen Benachteiligung entgegen den Geboten von Treu und Glauben. Eine unangemessene Benachteiligung im Sinne von § 307 Abs. 1 BGB liegt vor, wenn der Verwender der Klausel missbräuchlich eigene Interessen auf Kosten des Vertragspartners durchzusetzen versucht, ohne die des Vertragspartners von vornherein hinreichend zu berücksichtigen (BGH, Urteil vom 13. November 2013 – I ZR 77/12 – , Rn. 13). Die Prüfung erfolgt dabei anhand eines generalisierenden, überindividuellen Maßstabs, dem eine von den im Einzelfall bestehenden Besonderheiten abstrakte, typisierende Betrachtung zu Grunde zu legen ist (Beater in: Herberger/Martinek/Rüßmann/Weth/Würdinger, jurisPK-BGB, 9. Aufl., § 339 BGB (Stand: 01.02.2020), Rn. 75; BGH, Urteil vom 13. November 2013 – I ZR 77/12 –, Rn. 13).
Die Unterlassungserklärung verpflichtet die Beklagte im Sinne dieses generalisierenden Maßstabs nicht, eine ihr unmögliche Handlung vorzunehmen. Die Beklagte hat sich in der Unterlassungserklärung lediglich verpflichtet, das Anbieten von Telemedien ohne die Nennung der Aufsichtsbehörde zu unterlassen. Insofern geht die Behauptung der Beklagten fehl, es liege ein Fall der subjektiven Unmöglichkeit vor, da nicht ersichtlich ist, warum die Nennung der richtigen Aufsichtsbehörde generell nicht durch die Beklagte erfolgen kann.
Die Beklagte kann auch nicht mit der Behauptung gehört werden, eine unangemessene Benachteiligung ergebe sich daraus, dass der Kläger mit Schreiben vom 14.5.2018 mitteilte, dass die für die Beklagte zuständige Aufsichtsbehörde der Kreis S sei. Insoweit ist nicht ersichtlich, wie sich die Äußerung am 14.5.2018 auf die Wirksamkeit der zuvor am 28.3.2018 abgegebene Unterlassungserklärung auswirken soll. Denn der Beurteilungszeitpunkt für das Vorliegen der Voraussetzungen des § 307 Abs. 1 BGB ist der Zeitpunkt des Vertragsschlusses (vgl. BGH, Urteil vom 30. März 2010 - XI ZR 200/09, NJW 2010, 2041 Rn. 30; BGH, Urteil vom 13. November 2013 – I ZR 77/12 –, Rn. 13).
Eine unangemessene Benachteiligung des Vertragspartners im Sinne des § 307 Abs. 1 BGB durch eine erhebliche und in dieser Höhe unübliche Vertragsstrafe liegt ebenso nicht vor. § 348 HGB wirkt sich auf die Inhaltskontrolle der Klausel nicht aus (Steimle/Dornieden in: Röhricht/Graf von Westphalen/Haas, HGB, 5. Aufl. 2019, § 348 HGB, Rn. 18). Die Höhe der Vertragsstrafe von 3.000 EUR ist angemessen, weil die Beklagte wiederholt gegen den Unterlassungsvertrag verstoßen hat. Die Beklagte muss durch eine hohe Vertragsstrafe dazu angehalten werden, es künftig zu unterlassen, Telemedien im Sinne des § 1 Abs. 1 TMG anzubieten, ohne innerhalb dieser angebotenen Telemedien leicht erkennbar, unmittelbar erreichbar und ständig verfügbar im Impressum die zuständige Aufsichtsbehörde anzugeben, die die aus der Erteilung der Erlaubnis nach § 34c GewO resultierenden Verpflichtungen überwacht. Im kaufmännischen Verkehr ist der Unterlassungsschuldner generell weniger schutzwürdig und es überwiegt die Präventivfunktion der Strafe (Beater in: Herberger/Martinek/Rüßmann/Weth/Würdinger, jurisPK-BGB, 9. Aufl., § 339 BGB (Stand: 01.02.2020), Rn. 83). Auch muss die drohende Strafe hoch angesetzt werden, da der Unterlassungsschuldner nicht etwa, wie bei Austauschverträgen, durch vertragsoriginäres Eigeninteresse zur eigenen Vertragstreue angehalten wird.
Die Grenze, die erst dann überschritten sein soll, wenn die Strafe „bereits auf den ersten Blick außer Verhältnis zu dem mit der Vertragsstrafe sanktionierten Verstoß und den Gefahren steht, die mit möglichen zukünftigen Verstößen für den Unterlassungsgläubiger verbunden sind“ (BGH 13. 11. 2013 - I ZR 77/12, NJW 2014, 2180, Rn, 19), ist hier nicht erreicht.
Denn es handelt sich nicht um nicht abmahnfähige Bagatellverstöße. Dies gilt zum einen, da die vertragsstrafengesicherte Unterlassungserklärung ausdrücklich unter Anerkennung der gerügten Wettbewerbsverstöße erfolgte. Mit der vertraglichen Absicherung einer gesetzlichen Pflicht einigen sich die Parteien in aller Regel auch darüber, dass die gesetzliche Pflicht besteht (vgl. Rieble in: Staudinger (2015), Vorbemerkungen zu §§ 339 ff, Rn. 103). Die Vertragsstrafe dient vorliegend zur Durchsetzung einer solchen gesetzlichen Pflicht aus § 5 Abs. 1 Nr.3 TMG. Insoweit kann die Beklagte nicht damit gehört werden, das Unterlassen der Angabe stelle keinen Verstoß dar, da sie doch gerade diesen Verstoß gegen gesetzliche Vorschriften zuvor anerkannt hat. Auch liegt tatsächlich ein Verstoß gegen § 3 a UWG vor, so dass der Vertragstext der Unterlassungserklärung nicht weiter geht, als es die gesetzlichen Vorschriften des Wettbewerbsrecht verlangen. § 5 TMG enthält Marktverhaltensregeln. Das Vorenthalten der dort festgelegten Informationspflichten ist stets spürbar im Sinne von § 3 a UWG, da die dort enthaltenen Verbraucherschutzvorschriften der Umsetzung von Unionsrecht dienen (vgl. BGH, Urteil vom 25.02.2016 I ZR 238/14, Rn.34).
Zum anderen steht die Vertragsstrafe auch nicht außer Verhältnis zum sanktionierten Verstoß und den, mit einem etwaigen zukünftigen Verstoß verbundenen Gefahren für den Unterlassungsgläubiger. § 5 Abs. 1 Nr. 3 TMG dient dem Verbraucherschutz und der Transparenz (vgl. OLG Düsseldorf, Urteil vom 26.07.2017 I – 15 U 100/16, S.7). Hierdurch soll es dem Verbraucher ermöglicht werden, sich bei der angegebenen Aufsichtsbehörde über den Bestand der Genehmigung (etwa der nach § 34 c I Nr.1 GewO) und somit letztlich über die Zuverlässigkeit des Gewerbetreibenden zu informieren. Angesichts dieser Zielsetzung wird somit ein wichtiges Ziel, die Einhaltung der Verbraucherschutzvorschriften, angestrebt.
Ferner ist der Verstoß gegen die Marktverhaltensregeln des § 5 TMG auch im Zusammenhang mit dem großen wirtschaftlichen Nutzen des Internets für die Beklagte und der dadurch erreichbaren hohen Reichweite des geschäftlichen Verkehrs zu sehen. Soweit die Beklagte im Internet für ihre Dienstleistungen werben will, hat sie auch die entsprechende unternehmerische Sorgfalt walten und sich anderenfalls die Folgen von fehlerhaften oder fehlenden Informationen vorhalten zu lassen.
Gegen diesen Unterlassungsvertrag wurde verstoßen, indem mindestens am 11.6.2018 die Angabe der zuständigen Aufsichtsbehörde im Impressum des Internetauftritts bei der Plattform G entgegen § 5 Abs. 1 Nr. 3 TMG fehlte und somit die Vertragsstrafe verwirkt wurde, § 339 S. 2 BGB.
Diesen Verstoß hat die Beklagte auch zu vertreten. Der Haftungsmaßstab richtet sich nach den §§ 276, 278 BGB, § 347 I HGB. Für das Fehlen des grundsätzlich vermuteten Verschuldens trägt der Schuldner, also die Beklagte, die Beweislast (Beater in: Herberger/Martinek/Rüßmann/Weth/Würdinger, jurisPK- BGB, 9. Aufl., § 339 BGB (Stand: 01.02.2020), Rn. 66). Zwar trägt die Beklagte vor, sie sei ihrer aus der Unterlassungserklärungen resultierenden Pflicht nachgekommen, in dem sie alles versucht habe, um auf den ehemaligen Mitarbeiter einzuwirken und bei G die Löschung beantragt habe.
Dies kann jedoch dahinstehen, da ihr auch ein Verschulden des ehemaligen Mitarbeiters nach § 278 Alt. 2 BGB zuzurechnen ist. Denn hiernach hat der Schuldner sich das Verschulden seiner Erfüllungsgehilfen auch bezüglich einer Unterlassung zurechnen zu lassen (Caspers in: Staudinger, 2019, BGB § 278, Rn. 42; Heymann in: Heymann, HGB, 2. Aufl., § 348, Rn. 5). Dieser Gedanke, wie etwa § 8 Abs. 2 UWG zeigt, ist auch dem Wettbewerbsrecht nicht fremd. Verhindert werden sollen gerade solche Konstellationen, in denen sich der Unternehmensinhaber, hinter seinen Arbeitnehmern verstecken will. Auch das zwischenzeitliche Ausscheiden des Mitarbeiters vermag nicht an der Haftung der Unternehmensinhabers zu ändern (Seichter in: Ullmann, jurisPK-UWG, 4. Aufl., § 8 UWG (Stand: 26.03.2020), Rn. 151). Soweit also die Beklagte vorträgt, der Wettbewerbsverstoß sei nicht von ihr, sondern von einem ehemaligen Mitarbeiter begangen worden, führt dies nicht zu einer Widerlegung der Verschuldensvermutung.
Der Verstoß ist auch nicht bereits durch die Zahlung der Beklagten vom 29.5.2018 abgegolten. Denn die Parteien haben in ihrer Strafabrede vereinbart, dass die Vertragsstrafe bei jeder Zuwiderhandlung verwirkt sein soll. Jedenfalls scheint ein Abstand der jeweiligen Mahnung von fast einem Monat nicht dafür zu sprechen, von einem zeitlich einheitlichen Verstoß auszugehen. Ferner spricht der Sinn der wettbewerbsrechtlichen Abmahnung nicht dafür, von nur einem Verstoß auszugehen. Denn aus der Unterlassungserklärung geht nicht der Wille hervor, nur einen Verstoß mahnen und bestehende oder weitere Verstöße dulden zu wollen.
Auch steht der Geltendmachung der Vertragsstrafe nicht das aus § 242 BGB folgende Gebot „venire contra factum proprium“ entgegen. Der Einwand rechtsmissbräuchlichen Verhaltens wäre gerechtfertigt, wenn im Rahmen einer wertenden Betrachtung der Gläubiger letztlich für den Strafverfall allein verantwortlich ist. Die Beklagte beruft sich hier auf das Schreiben vom 14.5.2018, in dem der Kläger den „Kreis S, L-Allee … in … S1“ als zuständige Aufsichtsbehörde aufführt.
Insoweit mag der Vorwurf, der Kläger habe sich widersprüchlich verhalten, nicht den Ausschluss nach § 242 BGB begründen. Vorliegend könnte ein relevantes widersprüchliches Verhalten nur angenommen werden, wenn ein Verhalten des Klägers für den Verstoß gegen die Unterlassungserklärung ursächlich gewesen wäre. Dies ist jedoch nicht der Fall. Denn eine richtige Impressumsangabe unterblieb gänzlich und erfolgte nicht bloß, wegen des benannten Klägerschreibens, unrichtig.
Hier ist jedoch nicht ersichtlich, warum eine gegebenenfalls ungenaue Angabe der Aufsichtsbehörde durch den Kläger dafür ursächlich war, dass eine Angabe bei G gänzlich unterblieb. Letztlich obliegt es auch der Beklagten sicherzustellen, dass die ihr zuzurechnenden Telemedien den gesetzlichen Anforderungen entsprechen.
Ferner steht der Geltendmachung der Vertragsstrafe unter diesem Gesichtspunkt auch die aus § 8 Abs. 4 UWG folgende Wertung nicht entgegen. Denn ein Missbrauch würde voraussetzen, dass für den Gläubiger rechtsfremde Motive bei der Geltendmachung leitend waren (Seichter in: Ullmann, jurisPK-UWG, 4. Aufl., § 8 UWG (Stand: 26.03.2020), Rn. 201). Ausschlaggebend bei der Bestimmung eines solchen Missbrauchs muss vorliegend der mit § 8 Abs. 4 UWG intendierte rechtspolitische Zweck, nämlich die Begrenzung eines kommerziellen Abmahnungswesens, sein. Entsprechende Tatsachen, die eine solche Annahme rechtfertigen könnten, wurden von dem Beklagten nicht vorgetragen.
Bezüglich der vorgebrachten subjektiven Unmöglichkeit ist das Vorbringen der Beklagten widersprüchlich, so dass dieses nicht im Rahmen einer, der Inhaltskontrolle nachgeschalteten, Ausübungskotrolle nach § 242 BGB berücksichtigt werden kann. Zwar lässt sie vortragen, dass sie selber die Zugangsdaten für die G-Seite nicht habe. Andererseits behauptet sie in den vorgerichtlichen Schriftsätzen, sie habe die „systemimmanente Löschfunktion“ veranlasst und zitiert die von G verschickte Bestätigung („Bitte beachte, dass deine Seite erst nach 14 Tagen dauerhaft gelöscht wird“). Insoweit ist dem Gericht nicht ersichtlich, wie ohne Kenntnis der Zugangsdaten überhaupt eine solche systemimmanente Löschung erfolgen konnte, die doch zwangsläufig nur von dem autorisierten Betreiber der Seite nach Bestätigung der Zugangsdaten erfolgen kann. Der Beklagten obliegt es insgesamt, wenn sie eine solche Unterlassungserklärung unterzeichnet, bestmöglich sicherzustellen, dass weitere Verstöße unterbleiben (vgl. BGH, Urteil vom 13. November 2013 – I ZR 77/12 –, Rn. 26). Dies hätte, abstrakt gesehen, einfach erfordert, die richtigen Angaben entsprechend einzufügen. Wählt die Beklagte hingegen von sich aus die Löschung ihres Accounts, so begründet dies keine Verpflichtung zu einer unmöglichen Handlung, sondern ist lediglich Ausdruck ihres Unvermögens im Sinne der abgegebenen Verpflichtung zu handeln. In diesem Sinne hat die Beklagte durch das Einleiten des Löschvorgangs selbstverschuldet den Einfluss aus der Hand gegeben.
Der Geltendmachung steht auch nicht der Gesichtspunkt der unzulässigen Rechtsausübung im Sinne der Verwirkung entgegen. Erforderlich für die Annahme einer Verwirkung ist das Vorliegen eines Zeit- und ein Umstandsmoments. Der Gläubiger muss ein ihm zustehendes Recht innerhalb eines gewissen Zeitraums nicht ausgeübt haben, so dass sich der Schuldner in schutzwürdiger Weise darauf verlassen durfte, nun nicht mehr in Anspruch genommen zu werden (Looschelders/Olzen in: Staudinger, 2019, BGB § 242, Rn. 300). Die Beklagte beruft sich zu Unrecht darauf, der Umstand, dass der Kläger seit dem 22.6.2018 von der Anspruchsverfolgung abgesehen habe, begründe die Verwirkung des Rechts. Denn gerade in dem Schreiben vom 22.6.2018 behält sich der Kläger die Wahrnehmung seiner Rechte vor, indem er klarstellt, dass das momentane Absehen von gerichtlichen Maßnahmen nicht die Duldung bestehender oder weiterer Zuwiderhandlungen enthalte. Ferner spricht gerade der durch § 5 TMG verfolgte Verbraucherschutz und das Interesse der Allgemeinheit an dessen strikter Durchsetzung gegen eine Verwirkung.
Die geltend gemachte Zinsforderung ergibt sich aus §§ 280 Abs. 1 und 2, 286, 288 Abs. 1, 247 BGB. Das Schreiben vom 12.6.2018 hatte verzugsbegründende Wirkung. Die geltend gemachte Vertragsstrafe ist wirksam und durchsetzbar. Nach Fristablauf am 20.6.2018 war die Zahlung fällig, so dass sich die Beklagte am 21.6.2018 im Verzug befand. Die Verschuldensvermutung nach § 286 Abs. 4 BGB wurde nicht widerlegt. Zwar stellt der Kläger in seinem Schreiben vom 15.8.2019 auf das Schreiben vom 14.5.2018 ab, dass den Verzug ab dem 21.06.2018 begründet haben soll. Die in dem Schreiben vom 15.8.2019 geforderte Vertragsstrafe wurde jedoch unstreitig gezahlt, so dass sich die Beklagte mit dieser nicht in Verzug befinden kann. Angesichts des richtig angegeben Verzugsbeginns (21.06.2018) ist das Schreiben der Klägerin jedoch dahingehend auszulegen, dass es sich um das Schreiben vom 12.6.2018 und die darin geforderte erneute Vertragsstrafe handeln soll."
Auch das VG Ansbach hat entschieden, dass kein individueller Anspruch auf Einschreiten der Datenschutzbehörde und Einleitung bestimmter Maßnahmen besteht. Die DSGVO enthält keine entsprechende Anspruchsgrundlage.
Aus den Entscheidungsgründen:
"1.2. Die Klage ist als Leistungsklage statthaft. Der Kläger hat einen sehr umfassenden Klageantrag gestellt, und zwar im Schriftsatz vom 9. Februar 2019, ergänzt um sein Begehren im Schriftsatz vom 18. Februar 2019. Letztlich geht es ihm dabei um die Reichweite der inhaltlichen Befassung der Aufsichtsbehörde mit seiner Beschwerde sowie um aufsichtliches Einschreiten des staltung er ins Ermessen des Beklagten unter Beachtung der Rechtsauffassung des Gerichtes stellt.
Der Erwägungsgrund 143 zur DS-GVO besagt, dass ein Verfahren gegen eine Aufsichtsbehörde „im Einklang mit dem Verfahrensrecht“ des Mitgliedstaats durchzuführen ist. Die unionsrechtlichen Grundlagen haben zu den Sondervorgaben des § 20 BDSG (Bundesdatenschutzgesetz) geführt, der aber zunächst auf die allgemeinen Vorschriften der VwGO verweist, § 20 Abs. 2 BDSG.
Beim streitgegenständlichen Schreiben des Beklagten vom 21. Januar 2019 handelt es sich um eine vom Verwaltungsgericht gemäß Art. 78 DS-GVO überprüfbare Maßnahme mit Außenwirkung, jedoch nicht um einen Verwaltungsakt im Sinne von Art. 35 BayVwVfG mit Regelungscharakter, so dass nicht die Anfechtungsklage, sondern die allgemeine Leistungsklage statthaft ist. Der Antrag des Klägers in der Klageschrift ist dahingehend auszulegen, § 88 VwGO.
Ein Verwaltungsakt im Sinne von Art. 35 BayVwVfG setzt eine einseitige Maßnahme eines Hoheitsträgers auf dem Gebiet des öffentlichen Rechts für einen konkreten Einzelfall voraus, die Regelungswirkung mit Außenwirkung entfaltet. Vorliegend fehlt es am Regelungscharakter der Abschlussmitteilung vom 21. Januar 2019.
Das Schreiben des Beklagten vom 21. Januar 2019 ist auch kein sog. feststellender Verwaltungsakt, also ein Bescheid mit der verbindlichen Feststellung eines Rechtsverhältnisses oder sich daraus ergebender Rechte und Pflichten, die mit Rechtsbeständigkeit festgestellt werden sollen (vgl. BayVGH, B.v. 21.3.2002 - 24 ZB 01.592 -, juris). Hier sollte dem Kläger eine Rechtsauskunft erteilt werden, es sollten aber nicht mit verbindlicher Feststellung i.S. des Art. 35 BayVwVfG strittige Rechte oder Pflichten geregelt werden.
Zwar kommt es dafür, ob ein behördliches Schreiben eine verbindliche Regelung durch Verwaltungsakt enthält, auf eine Auslegung nach den im öffentlichen Recht entsprechend anwendbaren Normen der §§ 133, 157 BGB an. Maßgeblich ist also nicht der innere Wille der Behörde, sondern der erklärte Wille, wie ihn der Empfänger bei objektiver Würdigung verstehen konnte, wobei Unklarheiten zu Lasten der Verwaltung gehen. Hier hat der Beklagte lediglich Auskunft darüber gegeben, dass er das Verhalten der Kreissparkasse für Rechtens erachtet und keinen Anlass für ein datenschutzaufsichtliches Einschreiten erkennt, aber nicht zu erkennen gegeben, dass in einer rechtlich ungewissen Situation die Sach- und Rechtslage in diesem Einzelfall durch eine verbindliche Feststellung mit Bindungswirkung als bestehend oder nicht bestehend festgestellt, konkretisiert bzw. individualisiert wird (s. OVG NRW, B.v. 29.9.2016 - 14 B 1056/16 -, juris).
Mangels eines Verwaltungsaktes ist die Rechtsbehelfsbelehrung:des Beklagten im Schreiben vom 21. Januar 2019 unrichtig. Es ist zwar korrekt und durch Art. 77 Abs. 2 DS-GVO sogar geboten, den Kläger auf seine Möglichkeit der Einlegung eines Rechtsmittels hinzuweisen. Die in der Rechtsbehelfsbelehrung:enthaltene Monatsfrist würde aber einen Verwaltungsakt voraussetzen, der nicht vorliegt. Der Antrag des Klägers indes ist nicht auf einen bestimmten Verwaltungsakt des Beklagten, sondern auf ein allgemein aufsichtliches Einschreiten gerichtet (auch im Hilfsantrag), kennzeichnend für eine Leistungsklage. Hätte der Kläger eine ganz konkrete Maßnahme im Sinne eines Verwaltungsaktes vom Beklagten verlangt, hätte er also seine Beschwerde gemäß Art. 77 DS-GVO in diesem Sinne an die Aufsichtsbehörde gerichtet, und hätte der Beklagte diese so gestaltete Beschwerde abgelehnt, wäre die Verpflichtungsklage in Form der Versagungsgegenklage in Frage gekommen. Dann wäre die Ablehnung der Beschwerde als ein Verwaltungsakt zu qualifizieren, der den Erlass eines Verwaltungsaktes ablehnen würde.
Für den Fall, dass es sich bei einer Abschlussmitteilung einer Aufsichtsbehörde nach der DSGVO - wie hier - um keinen Verwaltungsakt handelt, ist die Leistungsklage nach Art. 78 DSGVO statthaft. Das Klagerecht aus Art. 78 Abs. 1 DS-GVO erfasst damit umfassend auch die Ablehnung oder Zurückweisung einer Beschwerde nach Art. 77 DS-GVO (vgl. 143. Erwägungsgrund zur DS-GVO zur Ablehnung oder Abweisung von Beschwerden). Wird eine Maßnahme von der Aufsichtsbehörde erbeten, die ein schlichtes Verwaltungshandeln zum Gegenstand hat, ist die allgemeine Leistungsklage die statthafte Klageart, so dass umfassender Rechtsschutz besteht. Zulässige Streitgegenstände können sämtliche rechtsverbindliche Maßnahmen einer Aufsichtsbehörde sein. Unter rechtsverbindlich i.d.S. sind nicht nur Verwaltungsakte zu verstehen, sondern sämtliche Handlungen, die Außenwirkung besitzen, also Auswirkungen auf die Rechte des Betroffenen oder des Verantwortlichen i.S.d. DS-GVO haben können. Solche Auswirkungen sind auf allen Ebenen eines Verwaltungsverfahrens denkbar.
Die Rechtsansicht des Verwaltungsgerichts Berlin vom 28. Januar 2019 (AZ. VG 1 L 1.19), das bei Beschwerden nach der DS-GVO von Petitionen ausgeht, geht dabei zu weit. Ein eine Petition beantwortendes Schreiben wäre jedenfalls kein Verwaltungsakt im Sinne von § 42 VwGO (BVerwG, B.v. 1.9.1976 - VII B 101.75 -, juris; unstreitig, keine unmittelbare rechtliche Außenwirkung, sondern nur die tatsächliche Erfüllung der Verpflichtung aus Art. 17 GG; kein Gebot der Möglichkeit einer Anfechtungsklage aus Art. 19 Abs. 4 Satz 1 GG). Nach der DS-GVO indes hat der Bürger nicht nur einen Anspruch auf Verbescheidung, sondern ggf. einen Anspruch auf Einschreiten der Aufsichtsbehörde (bei Ermessenreduzierung auf Null, sonst Anspruch auf fehlerfreie Ermessensausübung), die aufgrund Art. 58 DS-GVO umfassende Eingriffskompetenzen hat (i.d.R. im Gegensatz zum Petitionsadressaten). Das Schreiben des Beklagten vom 21. Januar 2019 ist nicht lediglich die Beantwortung einer Petition.
1.3. Es besteht für den Kläger eine Klagebefugnis aus Art. 78 Abs. 1 DS-GVO gegen die Zurückweisung der Beschwerde des Klägers nach Art. 77 DS-GVO. Der Kläger ist ebenso klagebefugt im Sinne des § 42 Abs. 2 VwGO, denn § 42 Abs. 2 VwGO ist für die Klagebefugnis nach herrschender Ansicht analog auf die Leistungsklage anzuwenden, da die Rechtsweggarantie des Art. 19 Abs. 4 GG dann greift, wenn ein Bürger durch die öffentliche Gewalt in seinen subjektiven Rechten verletzt ist. Es ist aber fragwürdig, ob neben Art. 78 DS-GVO (Unionsrecht mit Anwendungsvorrang) § 42 VwGO insoweit überhaupt noch anwendbar ist, da die Betroffenheit in subjektivöffentlichen Rechtspositionen eine namentlich deutsche Zulässigkeitsvoraussetzung für eine Klage darstellt. Da im Hinblick auf Maßnahmen des Art. 58 DS-GVO der Kläger aber auch im Hinblick auf § 42 VwGO möglicherweise in seinen Rechten tangiert sein könnte, wären auch die Voraussetzungen des § 42 VwGO erfüllt, so dass der Kläger jedenfalls klagebefugt ist.
1.4. Aufgrund des Vorliegens einer Leistungsklage war im gegebenen Verfahren keine Klagefrist zu wahren. Die auf eine Monatsfrist hinweisende Rechtsbehelfsbelehrung:in der Abschlussmitteilung des Beklagten vom 21. Januar 2019 ist insofern unrichtig.
1.5. Gemäß § 20 Abs. 5 Satz 1 BDSG sind die Beteiligten eines Verfahrens nach § 20 Abs. 1 Satz 1 BDSG die natürliche Person als Kläger sowie die Aufsichtsbehörde als Beklagter. Der Kläger ist Beteiligter gemäß § 20 Abs. 5 Satz 1 Nr. 1 BDSG. Beklagter ist das Bayerische Landesamt … … Zwar wäre gemäß § 78 Abs. 1 Nr. 1 VwGO die Klage gegen den Rechtsträger des Landesamtes zu richten, hier also gegen den Freistaat Bayern. Vorrangig vor § 78 VwGO ist aber § 20 Abs. 5 Satz 1 Nr. 2 BDSG als lex specialis, wonach die Aufsichtsbehörde direkt als Beklagte beteiligt ist. Mithin liegt eine unionsrechtlich durch die Selbstständigkeit der Aufsichtsbehörde bedingte abweichende bundesrechtliche Spezialregelung vor (so auch Mundil, in BeckOK, Datenschutzrecht, Wolff/Brink, 28. Edition, 1.5.2018, Rn. 5 zu § 20 BDSG, Lapp, in Gola/Heckmann, BDSG, Kommentar, 13. Auflage 2019, Rn 12 zu § 20 BDSG, Bergt in Kühling/Buchner, DS-GVO, BDSG, 2. Auflage 2018, Rn 10 zu § 20 BDSG, a. A. wohl nur Frenzel in Paal/Pauly, DS-GVO/BDSG, 2. Auflage 2018, Rn. 10 zu § 20 BDSG, ohne Begründung hierfür). Die hier zum Ausdruck kommende unionsrechtlich vorgegebene Selbstständigkeit der Aufsichtsbehörde würde im Übrigen, falls es sich beim Schreiben vom 21. Januar 2019 um einen Verwaltungsakt gehandelt hätte, dazu führen, dass gem. § 20 Abs. 6 BDSG kein Vorverfahren stattfindet.
1.6. Im vorliegenden Fall hat das Gericht von einer Beiladung der Kreissparkasse … … … abgesehen. § 20 Abs. 5 BDSG bestimmt, dass natürliche oder juristische Personen Kläger oder Antragsteller (§ 20 Abs. 5 Satz 1 Nummer 1 BDSG) sind und die Aufsichtsbehörden Beklagte oder Antraggegner (§ 20 Abs. 5 Satz 1 Nummer 2 BDSG). In § 20 Abs. 5 Satz 2 BDSG ist aber festgelegt, dass § 63 Nummer 3 und 4 VwGO nicht tangiert wird, was zur Folge hat, dass Beiladungen möglich sind. Zwar ist der Zweck einer Beiladung der der Prozessökonomie und Rechtseinheitlichkeit, wobei hier durch die Schaffung verwaltungsrechtlicher Rechtsbehelfe in den Art. 78 DS-GVO und gleichzeitig der Möglichkeit, gegen den Verantwortlichen selbst gerichtlich vorzugehen, die Existenz sich widersprechender gerichtlicher Entscheidungen für denselben Sachverhalt vom Normgeber in Kauf genommen wird. Der Prozess des Betroffenen gegen die Aufsichtsbehörde, der Prozess ggf. des Verantwortlichen (hier wäre das die Kreissparkasse … … …) gegen die Aufsichtsbehörde sowie der Prozess des Betroffenen gegen den Verantwortlichen haben unterschiedliche Streitgegenstände, da zum Beispiel der Klageantrag gegen die Aufsichtsbehörde aufgrund des weiten Entschließungs- und Auswahlermessens der Aufsichtsbehörde normalerweise nur auf ein aufsichtliches Einschreiten - wie hier - gerichtet ist, wohingegen regelmäßig ein Anfechtungsantrag im Prozess des Verantwortlichen gegen eine Anordnung der Aufsichtsbehörde eine ganz konkrete Maßnahme betrifft.
Es liegt hier kein Fall der notwendigen Beiladung im Sinne des § 65 Abs. 2 VwGO vor, da der für eine notwendige Beiladung erforderliche unmittelbare Eingriff in die Rechtsposition der Kreissparkasse … … … nicht schon durch eine gerichtliche Verpflichtung des Beklagten zum aufsichtlichen Einschreiten gegeben wäre, sondern erst durch dieses Einschreiten selbst, also die Umsetzung durch die Aufsichtsbehörde, die Kreissparkasse … … … unmittelbar betroffen wäre. Die Kreissparkasse … … … ist deshalb an dem streitigen Rechtsverhältnis zwischen dem Kläger und dem Beklagten nicht derart beteiligt, dass die Entscheidung darüber auch ihr gegenüber nur einheitlich ergehen kann, wie § 65 Abs. 2 VwGO es fordert. Vergleichbar ist dies etwa mit der Verpflichtungsklage eines Bauherrn gegen die Bauaufsichtsbehörde auf Einschreiten gegen den Nachbarn, wo gefestigter Rechtsprechung zufolge der Nachbar nicht notwendig beizuladen ist, auch falls er bereits gegen das Bauvorhaben im Verwaltungsverfahren Einwendungen erhoben haben sollte (vgl. statt vieler BVerwG, B.v. 20.5.1992 - 1 B 22.92 -, NVwZ-RR 1993, 18).
Die tatbestandlichen Voraussetzungen einer einfachen Beiladung im Sinne des § 65 Abs. 1 VwGO sind allerdings gegeben, da hier rechtliche Interessen der Kreissparkasse … … … tangiert werden können, und sich die Entscheidung in dieser Verwaltungsstreitsache auf die rechtlichen Interessen der Kreissparkasse auswirken kann. Das Gericht sah von einer Beiladung, die im Ermessen des Gerichts steht, ab, da zum einen beide Beteiligte (Kläger und Beklagter) in der mündlichen Verhandlung eine Beiladung der Kreissparkasse … … … abgelehnt haben, da das Gericht die mögliche Verletzung von Rechten der Kreissparkasse ohnehin von Amts wegen zu prüfen hatte und prüfte, und vor allen Dingen, weil das Gericht in keinem Stadium des Verfahrens davon auszugehen hatte, dass der Beklagte zu einer Maßnahme i.S.d. Art. 58 DS-GVO gegen die Kreissparkasse … … … zu verurteilen ist.
1.7. Die Zuständigkeit des Verwaltungsgerichts Ansbach ergibt sich sachlich aus § 45 VwGO und örtlich aus § 20 Abs. 3 BDSG als Sondervorschrift zu § 52 VwGO. Gemäß § 20 Abs. 3 BDSG (vgl. auch Art. 78 Abs. 3 DS-GVO) ist für Verfahren nach § 20 Abs. 1 Satz 1 BDSG - wie hier - das Verwaltungsgericht örtlich zuständig, in dessen Bezirk die Aufsichtsbehörde ihren Sitz hat, mithin das Verwaltungsgericht Ansbach.
2. Die zulässige Klage ist unbegründet, da der Kläger weder einen Anspruch gegen den Beklagten auf weitere Befassung und Überprüfung seiner Beschwerde nach Art. 78 Abs. 2 DS-GVO i.V.m. Art. 57 DS-GVO hat noch einen Anspruch auf aufsichtliches Einschreiten des Beklagten gegenüber der Kreissparkasse … … … gemäß Art. 58 DS-GVO.
2.1. Der Aufgabenbereich des Art. 57 DS-GVO ist eröffnet. Der Beklagte hat gemäß Art. 78 Abs. 2 DS-GVO in Verbindung mit Art. 57 Abs. 1 Buchst. f DS-GVO die Beschwerde des Klägers in angemessenem Umfang geprüft und dem Kläger rechtzeitig Bescheid gegeben. Ein darüber hinaus gehender Anspruch des Klägers ist nicht ersichtlich.
Mit dem Bayerischen Landesamt … hat die zuständige Datenschutzaufsichtsbehörde gehandelt. Der Anwendungsbereich der DS-GVO war eröffnet. Die Kreissparkasse … … … war sog. Verantwortlicher im Rahmen der Verarbeitung und Speicherung personenbezogener Daten des Klägers (Art. 4 Nr. 2 DS-GVO) im Rahmen einer seit dem Jahre 1985 währenden Geschäftsbeziehung. Es handelt sich durchweg auch um personenbezogene Daten des Klägers, Art. 4 Nr. 1 DS-GVO. In diese Datenverarbeitung und -speicherung hatte der Kläger eingewilligt, Art. 6 Abs. 1 Satz 1 DS-GVO (vgl. Art. 7 und Art. 4 Nr. 11 DSGVO). Die Einwilligung war freiwillig.
Art. 57 Absatz 1 Buchst. a und f DS-GVO, wonach der Beklagte die Anwendung dieser Verordnung überwachen und durchsetzen muss sowie sich mit Beschwerden einer betroffenen Person befassen muss, den Gegenstand der Beschwerde in angemessenem Umfang untersuchen und den Beschwerdeführer innerhalb einer angemessenen Frist über den Fortgang und das Ergebnis der Untersuchung unterrichten muss, wurde vom Beklagten nach Überzeugung des Gerichts beachtet. Zwar können sich aus Art. 57 DS-GVO allein, einer reinen Aufgabennorm, keine subjektivöffentlichen Rechte des Betroffenen ergeben. Art. 57 Abs. 1 Buchst f DS-GVO ist ausschließlich an die Aufsichtsbehörde gerichtet und schafft per se keine subjektivöffentlichen Rechte der Betroffenen. Die Untersuchungspflicht des Art. 57 Abs. 1 Buchst. f DS-GVO ist aber im Gesamtzusammenhang der DS-GVO von hohem Gewicht. Art. 57 Abs. 1 Buchst. f DS-GVO enthält dezidierte Vorgaben zum Verfahren und dessen Umfang, die über Art. 78 Abs. 2 DSGVO zu einem Rechtsanspruch des Betroffenen führen können (so wohl auch Kühling/Buchner/Boehm, DS-GVO, 2. Aufl. 2018, Art. 57 Rn. 12: „dem Bestehen eines Rechtsanspruchs ähnlich“, „weil die Vorschrift im Zusammenhang mit Art. 78 Abs. 2“ zu sehen ist), demzufolge jede betroffene Person unbeschadet eines anderweitigen verwaltungsrechtlichen oder außergerichtlichen Rechtbehelfs das Recht auf einen wirksamen gerichtlichen Rechtsbehelf hat, wenn die nach den Art. 55 f. DS-GVO zuständige Aufsichtsbehörde sich nicht mit einer Beschwerde befasst oder die betroffene Person nicht innerhalb von drei Monaten über den Stand oder das Ergebnis der gemäß Art. 77 DS-GVO erhobenen Beschwerde in Kenntnis gesetzt hat. Gemäß Art. 57 Abs. 1 Buchst. f DS-GVO hat der Beklagte den Kläger innerhalb einer angemessenen Frist über den Fortgang und das Ergebnis der Untersuchung mit Schreiben vom 21. Januar 2019 unterrichtet, und zwar unter Beachtung von Art. 78 Abs. 2 DS-GVO, wonach der Beschwerdeführer spätestens innerhalb von drei Monaten über den Sachstand informiert werden muss.
Die Unterscheidung der DS-GVO von Aufgabennorm, Art. 57 DS-GVO, und Befugnisnorm, Art. 58 DS-GVO, ähnelt der Aufteilung im Sicherheits- und Polizeirecht. Im Bereich der DS-GVO besteht aber eine Besonderheit: Art. 57 DS-GVO, der ohnehin nicht abschließend Aufgaben normiert (vgl. Art. 57 Abs. 1 Buchst. v) ist in seiner Umfassendheit zum Beispiel nicht vergleichbar mit Art. 2 Bayerisches Polizeiaufgabengesetz (BayPAG), weil er bei der Aufgabenzuweisung dezidiert auf eine „Angemessenheit“ abstellt. Die Behandlung von individuellen Beschwerden wie hier ist unionsrechtlich restriktiv geregelt (vgl. auch Erwägungsgrund 141 Satz 2 zur DSGVO). Zwar ist es eine der vorrangigsten Aufgaben des Beklagten, Beschwerden von Betroffenen nach Art. 77 DS-GVO zu bearbeiten, zumal für die Aufsichtsbehörden (ähnlich wie für die Polizei) Hinweise und Beschwerden von Bürgern zur Erfüllung ihrer Aufgaben unverzichtbar sind. Allerdings nimmt Art. 57 Abs. 1 Buchst. f DS-GVO unzweifelhaft mit der Formulierung „in angemessenem Umfang“ auf die Ressourcen und Möglichkeiten der Aufsichtsbehörden Rücksicht. Die Angemessenheit der Untersuchung richtet sich auch nach der Schwere des Eingriffs in Rechte des Betroffenen.
2.2. Der Kläger hat keinen Anspruch auf behördliches Einschreiten nach Art. 58 DS-GVO. Ein solches scheidet bereits deshalb aus, weil sich nach Befassung und Prüfung im Rahmen des Art. 57 DS-GVO keine Anhaltspunkte ergeben haben, die ein Einschreiten nach Art. 58 DS-GVO nahelegten. Ein Datenschutzrechtsverstoß des Verantwortlichen hat sich nicht aufgedrängt. Die Abschlussmitteilung des Beklagten vom 21. Januar 2019 ist damit inhaltlich nicht zu beanstanden.
Art. 58 DS-GVO regelt das Verhältnis Aufsichtsbehörde zu Datenverantwortlichem. Ein Anspruch auf aufsichtliches Einschreiten des Betroffenen ist ähnlich wie im Sicherheits- und Polizeirecht (vgl. BVerwGE 11, 95, 97) grundsätzlich anzuerkennen, jedoch nur im Falle einer (möglichen) Verletzung von eigenen Rechten sowie (kumulativ) einer Reduktion des Ermessens auf Null, so dass mithin allenfalls regelmäßig nur ein subjektivöffentliches Recht auf fehlerfreie Ermessensausübung besteht.
Neben dem Auswahlermessen besteht für den Beklagten auch hinsichtlich des Entschlusses zum Tätigwerden ein Entschließungsermessen (vgl. das Wort „gestattet“ in Art. 58 Abs. 1 und 2 DS-GVO). Zwar sieht Art. 58 Abs. 2 DS-GVO ein Bündel verschiedener, zum Teil weitreichender Maßnahmen vor, das dem Beklagten zu Gebote steht. Die Aufsichtsbehörde entscheidet dann, ob sie beispielsweise von dem Verantwortlichen gemäß Art. 58 Abs. 1 Buchst. a eine Stellungnahme einfordert, eine Kontrolle vor Ort gemäß Art. 58 Abs. 1 Buchst. f vornimmt, oder wie hier über den Sachverhalt bereits aufgrund der vom Kläger vorgelegten Informationen und Abschriften entscheidet. Der Kläger hat grundsätzlich einen Anspruch auf Wahrung des Transparenzgebotes des Art. 12 DS-GVO, auf Auskunft gemäß Art. 15 DS-GVO, darauf, dass gemäß Art. 5 Abs. 1 Buchst. a DS-GVO seine personenbezogenen Daten auf rechtmäßige Weise, nach Treu und Glauben und in einer für ihn nachvollziehbaren Weise verarbeitet werden.
Der Kläger hätte im Übrigen selbst bei Vorliegen eines festgestellten oder wahrscheinlichen Verstoßes gegen die DS-GVO indes nur einen Anspruch auf fehlerfreie Ermessensausübung hinsichtlich einer Maßnahme des Beklagten nach Art. 58 DS-GVO, aber keinen Anspruch auf bestimmte aufsichtsrechtliche Maßnahmen gegen die Kreissparkasse (so auch Gola/Nguyen, DS-GVO, 2. Aufl. 2018, Art. 57 Rn. 10 m.w.N.; außer im Fall der Ermessensreduzierung auf Null), wobei dann im Rahmen des Art. 58 DS-GVO die Aufsichtsbehörde wie erwähnt ein weites Entschließungs- und Auswahlermessen hat und Art. 58 Abs. 2 DS-GVO mit den unterschiedlich gestuften Maßnahmen dem Grundsatz der Verhältnismäßigkeit gerecht wird (vgl. Art. 58 Abs. 2 Buchst. a, b, d als mildere Maßnahmen im Vergleich zu Art. 58 Abs. 2 Buchst. f DS-GVO, so Ingold JuS 2018, 1214, 1217).
Eine Ermessensreduktion auf Null kommt nur in Betracht, wenn ein Datenschutzrechtsverstoß naheliegt bzw. sich aufdrängen muss, d.h. es müssen Tatsachen vorliegen, die einen Verstoß gegen datenschutzrechtliche Vorschriften als wahrscheinlich erscheinen lassen und wenn dieser Verstoß von einer Schwere ist, die ein Einschreiten der Aufsichtsbehörde als erforderlich erscheinen lässt. Vor dem Hintergrund dieses Maßstabes ist hier von keinem Anspruch auf Einschreiten nach Art. 58 DS-GVO auszugehen: Die Einwände des Klägers gegen die Vorgehensweise des Beklagten in den Schriftsätzen sowie in der mündlichen Verhandlung greifen in der Sache nicht durch. Die Kreissparkasse … … … hat ausführlich auf die Anfragen des Klägers reagiert, alle erdenklichen Auskünfte erteilt und ebenso ihre Bereitschaft zu weiteren Auskünften zugesagt. Daher ist es nicht so, dass der Kläger, wie behauptet, seine Daten nicht vollständig erhält. Auf seine Bitte um eine Vervollständigung der Auskunft vom 30. Juli 2017 hat die Kreissparkasse … … … ihm mit Schreiben vom 2. Oktober 2018 wunschgemäß weitere Angaben gemacht, wobei die Auskunft vom 30. Juli 2018 bereits den gesetzlichen Anforderungen genügte. Es ist nicht erkennbar, worin hier ein Verstoß gegen das Transparenzgebot des Art. 12 DS-GVO vorliegen sollte. Die Vorgehensweise und Praxis der Kreissparkasse … … … entsprechen dem Erwägungsgrund 39 zur DS-GVO, da die Verarbeitung personenbezogener Daten des Klägers rechtmäßig und nach Treu und Glauben erfolgte sowie die Auskunft an den Kläger gemäß Art. 15 DS-GVO korrekt war. Gemäß Art. 5 Abs. 1 Buchst. a DS-GVO sind seine personenbezogenen Daten auf rechtmäßige Weise, nach Treu und Glauben und in einer für ihn nachvollziehbaren Weise verarbeitet worden. Die falsche Berufsbezeichnung des Klägers wurde seitens der Kreissparkasse in Anwendung von Art. 5 Abs. 1 Buchst. d DS-GVO sofort berichtigt. Die Abspeicherung des abgelaufenen Passes des Klägers von 1988, der bei Begründung des Vertragsverhältnisses 1985 die gültige, vom Kläger vorgelegte, Legitimation war, ist insbesondere kein Verstoß gegen Art. 15 Abs. 1 Buchst. d DS-GVO, sondern gerechtfertigt durch Art. 17 Abs. 1 Buchst. a DS-GVO, da die Kreissparkasse … … … zum Zugang des Klägers auf seine Daten dessen Legitimationsgrundlage verfügbar haben muss(te). Nichts anderes ergibt sich aus dem Erwägungsgrund 39 zur DS-GVO. Es ist auch nicht notwendig, dass die Kreissparkasse … … … durch ihre eigenen Bediensteten Kenntnisse von der Verarbeitung von elektronischen Kundenunterschriften hat. Es ist üblich und datenschutzrechtlich sowohl korrekt als auch unbedenklich, wenn sich Unternehmen weiterer Dienstleistungen Dritter bedienen, solange sie datenschutzrechtlich - wie hier - die Datensicherheit gewährleisten können; zumindest bestehen für eine gegenteilige Annahme keinerlei Anhaltspunkte."
SG Frankfurt (Oder)
Gerichtsbescheid vom 08.05.2019 S 49 SF 8/19
Das SG Frankfurt (Oder) hat entschieden, dass ein Betroffener mangels Anspruchsgrundlage in der DSGVO gegen die zuständige Datenschutzbehörde keinen Anspruch auf Vornahme bestimmter Maßnahmen bei einem Verstoß gegen die Vorgaben der DSGVO hat. Art. 77 DSGVO sieht lediglich ein Beschwerderecht vor.
Aus den Entscheidungsgründen:
"Die Kammer durfte ohne mündliche Verhandlung durch Gerichtsbescheid gemäß § 105 SGG entscheiden, weil die Sache keine besonderen Schwierigkeiten tatsächlicher oder rechtlicher Art aufweist und der Sachverhalt geklärt ist. Die Beteiligten hatten Gelegenheit, sich zu dieser Entscheidungsform zu äußern.
Die Klage ist bereits unzulässig, denn für das Begehren der Kläger fehlt es ungeachtet der Frage, ob hierfür das Sozialgericht funktional zuständig ist, an jedweder Anspruchsgrundlage.
Weder aus den Vorschriften des Sozialrechts (§§ 25, 83 SGB X) noch insbesondere aus der Datenschutz-Grundverordnung ist ein individueller Anspruch eines Bürgers gegen den Beklagten auf die Vornahme einer bestimmten Maßnahme herleitbar.
Zwar besteht aus Art 78 Absatz 2 DSGVO ein Klagerecht dem Grunde nach. Im Falle einer Beschwerde bei dem Beklagten nach § 77 DSGVO ist der Klagegrund indes beschränkt darauf, dass der Beklagte länger als drei Monate untätig geblieben sei mit der Mitteilung über das Ergebnis der Beschwerde. Dies ist hier jedoch weder Klagegegenstand, noch liegt oder lag eine dahingehende Untätigkeit vor.
Nach Art. 77 Abs. 1 DSGVO hat jede betroffene Person das Recht auf Beschwerde bei einer Aufsichtsbehörde, wenn diese der Ansicht ist, dass die Verarbeitung der sie betreffenden Daten gegen die DSGVO verstößt. Der Beklagte ist aufgrund dieser Vorschrift alleine verpflichtet, sich mit einer Beschwerde zu befassen, soweit sie nicht offensichtlich unbegründet oder exzessiv ist und den Gegenstand der Beschwerde zu untersuchen und den Beschwerdeführer über den Fortgang und das Ergebnis der Untersuchung zu unterrichten. Eine weitergehende Verpflichtung besteht grundsätzlich nicht. In der Rechtsprechung wird daher das Beschwerderecht nach Art 77 DSGVO als Petitionsrecht verstanden, vgl. Beschluss des VG Berlin vom 28.01.2019, Az: VG 1 L 1.19.
Diesem Anspruch ist der Beklagte vollumfänglich nachgekommen. Eine Verurteilung zu einer aufsichtsrechtlichen Maßnahme gegen das Jobcenter kann das Gericht den Beklagten nicht verurteilen. Dies ist aus der DSGVO nicht herleitbar.
Auf das weitere Vorbringen der Kläger kommt es daher nicht an.
Das VG Karlsruhe hat entschieden, dass Anweisungen nach der nach der EU-Datenschutz-Grundverordnung (EU-DSGVO) erst ab In-Kraft-Treten am 25.05.2018 zulässig sind.
Aus den Entscheidungsgründen:
"1. Für die datenschutzrechtliche Verfügung des Beklagten liegt keine Ermächtigungsgrundlage vor.
a) Die tatbestandlichen Voraussetzungen des als Ermächtigungsgrundlage herangezogenen § 38 Abs. 5 S. 1 BDSG liegen nicht vor. Hiernach kann die Aufsichtsbehörde zur Gewährleistung der Einhaltung des Bundesdatenschutzgesetzes und anderer Vorschriften über den Datenschutz Maßnahmen zur Beseitigung festgestellter Verstöße bei der Erhebung, Verarbeitung oder Nutzung personenbezogener Daten oder technischer oder organisatorischer Mängel anordnen. Die Ausübung der Befugnisse nach § 38 Abs. 5 S. 1 BDSG kommt in Betracht, wenn bei kontrollierten Stellen keine Bereitschaft zur Behebung der von der Aufsichtsbehörde gerügten Mängel oder Rechtsverletzungen festzustellen ist (Petri in Simitis, BDSG, 8. Aufl. 2014, § 38 Rn. 72). Eine aufsichtsbehördliche Maßnahme ist nicht erst dann zulässig, wenn die betreffende Datenverarbeitung ins Werk gesetzt ist. Insbesondere bei besonders sensiblen und sogar strafrechtlich geschützten Daten kann die Aufsichtsbehörde Anordnungen bereits treffen, wenn die unzulässige Datenverarbeitung durch ein Vertragswerk schon deutlich vorgezeichnet ist und dieses Vertragswerk in Kraft getreten ist (vgl. OVG Schleswig-Holstein, Beschluss vom 12.01.2011 - 4 MB 56/10 -, juris).
Diese Voraussetzungen sind vorliegend nicht erfüllt. Festgestellte Datenschutzverstöße durch die Klägerin, welche seitens der Aufsichtsbehörde gerügt worden wären, liegen der angefochtenen Verfügung unstreitig nicht zugrunde. Gleiches gilt für technische oder organisatorische Mängel. Ausweislich der Verfügungsbegründung sollen keine gegenwärtigen Datenschutzverstöße der Klägerin unterbunden, sondern vielmehr Missstände verhindert werden, die nach dem 24.05.2018 zu erwarten seien. Soweit der Landesbeauftragte für den Datenschutz Baden-Württemberg insoweit die aus der Rechtsprechung des Oberverwaltungsgerichts Schleswig-Holstein abgeleiteten Grundsätze für anwendbar hält, wonach bei Vorliegen besonderer Umstände auch künftig zu erwartende Datenschutzverstöße bereits ein Tätigwerden der Aufsichtsbehörde zuließen, vermag die erkennenden Kammer dem nicht zu folgen. Denn anders als in der der herangezogenen Entscheidung zugrundliegenden Konstellation ist das künftige Verhalten der Klägerin nicht durch ein bereits in Kraft getretenes Vertragswerk oder eine vergleichbare tragfähige Grundlage deutlich vorgezeichnet. Es ist vielmehr noch völlig ungewiss, wie die Prüf- und Löschpraxis der Klägerin bezüglich forderungsbezogener Daten künftig unter Geltung der EU-Datenschutzgrundverordnung aussehen wird und ob diese rechtswidrig sein wird, zumal auch der genaue rechtliche Rahmen hierfür noch unklar ist.
Die derzeit geltende Regelung des § 35 Abs. 2 S. 2 Nr. 4 BDSG, wonach personenbezogene Daten zu löschen sind, wenn sie geschäftsmäßig zum Zweck der Übermittlung verarbeitet werden und eine Prüfung jeweils am Ende des vierten, soweit es sich um Daten über erledigte Sachverhalte handelt und der Betroffene der Löschung nicht widerspricht am Ende des dritten Kalenderjahres beginnend mit dem Kalenderjahr, das der erstmaligen Speicherung folgt, ergibt, dass eine längerwährende Speicherung nicht erforderlich ist, wird mit Neufassung des Bundesdatenschutzgesetz durch das Datenschutz-Anpassungs- und Umsetzungsgesetz EU vom 30.06.2017 (BGBl. I, S. 2097 ff.) nicht fortbestehen. Die Datenschutzgrundverordnung enthält über den Erforderlichkeitsgrundsatz (vgl. Art. 5 Abs. 1 Buchst. e EU-DSGVO) hinaus keine konkreten Vorgaben zu den Prüf- und Löschfristen. Ihr ist lediglich – unter anderem in Erwägungsgrund 39 – zu entnehmen, dass der Verantwortliche die Dauer seiner Datenverarbeitung unabhängig von einem entsprechenden Verlangen des Betroffenen nach Art. 17 EU-DSGVO („Recht auf Vergessenwerden“) regelmäßig zu überprüfen hat. Hierbei kann auf typisierte Regelprüffristen für wiederkehrende Vorgänge zurückgegriffen werden, da es gerade Unternehmen, die in großem Umfang Daten verarbeiten – wie etwa Auskunfteien – nicht zuzumuten ist, jeden Einzelfall gesondert zu bewerten (vgl. Plath in: Plath, BDSG/DSGVO, 2. Aufl. 2016, Art. 5 EU-DSGVO Rn. 18). Eine Überprüfung kann in bestimmten Intervallen erfolgen, so wie es beispielsweise bislang nach § 35 Abs. 2 S. 2 Nr. 4 BDSG möglich und zulässig war (vgl. Kamlah in: Plath, a.a.O., Art. 17 EU-DSGVO Rn. 6).
Einen Vorschlag bezüglich der Prüf- und Löschfristen unter Geltung der EU-Datenschutzgrundverordnung enthält der vom Verband der Wirtschaftsauskunfteien, dem auch die Klägerin angehört, ausgearbeitete Entwurf von Verhaltensregeln („Code of Conduct“). Nach Art. 40 Abs. 2 EU-DSGVO können Verbände oder andere Vereinigungen, die Kategorien von Verantwortlichen oder Auftragsverarbeitern vertreten, Verhaltensregeln ausarbeiten oder ändern oder erweitern, mit denen die Anwendung der Verordnung präzisiert wird. Auf Antrag nimmt die zuständige Aufsichtsbehörde in einem zweistufigen Verfahren dazu Stellung, ob die vorgelegten Verhaltensregeln mit der Verordnung vereinbar sind und genehmigt diese, soweit sie „ausreichende geeignete Garantien“ bieten (vgl. Art. 40 Abs. 5 S. 2 EU-DSGVO). Ein entsprechender Antrag bei der hier zuständigen Aufsichtsbehörde des Landes Nordrhein-Westfalen ist – wie die Prozessbevollmächtigten der Klägerin in der mündlichen Verhandlung vom 06.07.2017 angegeben haben – formal noch nicht gestellt worden. Aktuell finde noch die Abstimmung und Konsensbildung mit den im Düsseldorfer Kreis vertretenen Aufsichtsbehörden des Bundes und der Länder für den nicht-öffentlichen Bereich statt. Ausweislich des Protokolls der letzten Sitzung des Düsseldorfer Kreises vom 07.03.2017 (abrufbar unter: https://www.ldi.nrw.de/mainmenu_Service/submenu_Entschliessungsarchiv/Inhalt/Protokolle/Inhalt/Protokolle_des_Duesseldorfer_Kreises/Inhalt/7_-Maerz-2017/DK-2017_1-Protokoll.pdf) hat der „Code of Conduct Prüf- und Löschfristen in der Fassung des Entwurfs vom 28.02.2017“ bei einer Probeabstimmung zwar eine mehrheitliche Zustimmung, jedoch nicht die nach der Geschäftsordnung des Düsseldorfer Kreises erforderliche einstimmige Zustimmung erhalten. Mehrheitlich befürworte der Düsseldorfer Kreis, dass Nordrhein-Westfalen als genehmigende Aufsichtsbehörde dem Verband der Wirtschaftsauskunfteien empfehlen solle, den Bundesverband Verbraucherzentralen bei der „weiteren Ausarbeitung des Code of Conduct“ zu beteiligen (vgl. Protokoll der Sitzung vom 07.03.2017, S. 7). Vor dem Hintergrund des nach wie vor laufenden Verfahrens steht weder fest, ob es überhaupt zu einer späteren Genehmigung von Verhaltensregeln zu den Prüf- und Löschfristen kommen wird, noch wie diese letztlich ausgestaltet sein werden. Angesichts dessen kann die weitere Frage der Wirkung und Verbindlichkeit von genehmigten Verhaltensregeln dahingestellt bleiben. Nach dem Voranstehenden fehlt es bereits an einer Grundlage, welche die getroffene Einschätzung tragen könnte, wonach die Klägerin mit ihrer – derzeit im Übrigen noch ungewissen – künftigen Prüf- und Löschpraxis gegen die – ggf. noch zu konkretisierenden – Vorgaben der EU-Datenschutzgrundverordnung verstoßen würde.
Insbesondere kann auch nicht davon ausgegangen werden, dass nur eine Handhabung entsprechend der in der angegriffenen Verfügung vorgesehenen Prüf- und Löschpraxis mit der EU-Datenschutzgrundverordnung vereinbar wäre. Denn die vom Landesbeauftragen für den Datenschutz Baden-Württemberg für angemessen erachtete Frist, wonach Forderungen im Sinne von § 28a BDSG und die mit diesen in Zusammenhang stehenden Informationen über Personen, die die Klägerin in ihren Datenbeständen, aus denen Bonitätsauskünfte erteilt würden, nach dem 24.05.2018 speichere, spätestens nach Ablauf von drei Jahren, beginnend mit dem Zeitpunkt der Fälligkeit der Forderung, zu löschen seien, es sei denn, dass der Betroffene zu diesem Zeitpunkt zahlungsunfähig oder zahlungsunwillig sei, stellt keineswegs die einzig mögliche Speicher- und Löschkonzeption dar, die mit der EU-Datenschutzgrundverordnung in Einklang steht bzw. sich aus selbiger zwingend ergibt. Die künftige Prüf- und Löschpraxis der Auskunfteien muss sich – wie bereits dargestellt wurde – am Erforderlichkeitsmaßstab des Art. 5 Abs. 1 Buchst. e EU-DSGVO messen lassen, der in Hinblick auf Fristlänge und Anknüpfungsmoment einen Spielraum eröffnet. Die erkennende Kammer muss vorliegend nicht darüber entscheiden, wo die Grenzen dieses Spielraums erreicht sind. Sie geht aber – worauf es hier alleine ankommt – jedenfalls davon aus, dass innerhalb des vorhandenen Spielraums eine gewisse Bandbreite an mit der EU-Datenschutzgrundverordnung in Einklang stehenden Prüf- und Löschfristen zulässig ist.
b) Entgegen den Ausführungen der Beklagten ergibt sich eine Ermächtigungsgrundlage für die angegriffene Verfügung auch nicht aus § 38 Abs. 5 S. 1 BDSG i.V.m. Erwägungsgrund 39 der EU-DSGVO. Aus diesem Erwägungsgrund geht unter anderem hervor, dass der Verantwortliche Fristen für die Löschung oder regelmäßige Überprüfung personenbezogener Daten vorsehen sollte, um sicherzustellen, dass die Daten nicht länger als nötig gespeichert werden.
Zunächst kann dahingestellt bleiben, ob aus einem Erwägungsgrund einer zwar in Kraft getretenen, jedoch noch nicht anwendbaren Verordnung in Verbindung mit einer Regelung, die bei Geltung der Verordnung weggefallen sein wird, eine Rechtsgrundlage hergeleitet werden kann. Denn jedenfalls ergibt sich auch aus dem ergänzend herangezogenen Erwägungsgrund nicht, dass die Klägerin bereits vor Geltung der Verordnung verpflichtet wäre, der Verfügung entsprechende Überprüfungs- und Löschfristen zu schaffen und sie hierzu bereits vor Anwendbarkeit der Verordnung durch die Aufsichtsbehörde verpflichtet werden könnte. Eine frühzeitige Anpassung ihrer Datenschutzlöschkonzeption an die EU-Datenschutzgrundverordnung liegt unzweifelhaft im Interesse der Klägerin, da bei Verstößen gegen das europäische Datenschutzrecht erhebliche Sanktionen drohen (vgl. nur Art. 83 Abs. 5 Buchst. a EU-DSGVO zu Verstößen gegen die Grundsätze der Verarbeitung gemäß Art. 5 EU-DSGVO). Eine Ermächtigung für ein Tätigwerden der Aufsichtsbehörde bereits vor Geltung der EU-Datenschutzgrundverordnung – gewissermaßen um frühzeitig sicherzustellen, dass die künftig anwendbaren Vorschriften unter Berücksichtigung der Rechtsauffassung der Aufsichtsbehörde durch die Verantwortlichen eingehalten werden – lässt sich jedoch weder der Verordnung im Wege einer Vorwirkung, noch den aktuell geltenden Bestimmungen des Bundesdatenschutzgesetzes entnehmen.
c) Soweit der Beklagte auf Art. 58 Abs. 2 Buchst. d EU-DSGVO verweist, wonach jede Aufsichtsbehörde über Abhilfebefugnisse verfügt, die es ihr gestatten, den Verantwortlichen oder den Auftragsverarbeiter anzuweisen, Verarbeitungsvorgänge gegebenenfalls auf bestimmte Weise und innerhalb eines bestimmten Zeitraums in Einklang mit der Verordnung zu bringen, kann die am 25.11.2016 erlassene Verfügung bereits deshalb nicht auf diese Ermächtigungsgrundlage gestützt werden, da diese erst ab 25.05.2018 Gültigkeit beanspruchen wird (vgl. Art. 99 Abs. 2 EU-DSGVO)."
§ 5 TMG sieht zahlreiche Pflichtangaben für das Impressum vor. Natürlich müssen nur die Informationen hinsichtlich der unkkte angegeben werden, über die der Anbieter tatsächlich auch verfügt. So ist nicht jeder Anbieter im Handelsregister eingetragen. Leider finden sich immer wieder zahlreichen Angebote, wo diese Angaben dann nicht weggelassen werden, sondern Platzhalter in der Anbieterkennzeichnung wiedergegeben werden.
Das OLG Frankfurt hat nun wenig überraschend entschieden, dass die Angaben "Registergericht 000" und "Handelsregister HR0000" in der nach § 5 Abs. 1 TMG erforderlichen Anbieterkennzeichnung unzulässig sind und einen abmahnfähigen Wettbewerbsverstoß darstellen. Dies gilt auch für andere Platzhalterangaben (z.B. Aufsichtsbehörde oder USt.-ID).
Aus den Entscheidungsgründen:
"2. Der Klägerin steht gegen den Beklagten ein Anspruch auf Unterlassung aus §§ 3, 3a,5a IV, 8 I,8 III Nr. 1 UWG, § 5 I TMG zu.
a) Die Klägerin ist als Mitbewerberin aktivlegitimiert.
b) Die Bestimmungen des § 5 Abs. 1 TMG sind Marktverhaltensregelungen im Sinne von § 3a UWG, § 4 Nr. 11 UWG a.F. (BGH GRUR 2016, 957 Rn. 9 [BGH 25.02.2016 - I ZR 238/14] - Mehrwertdienstenummer).
c) Der Beklagte hat es versäumt, im Rahmen seines Internetauftritts ausreichende Impressumsangaben im Sinne des § 5 Abs. 1 Nr. 3 TMG zu machen. Versicherungsvermittler (Makler und Mehrfachagenten) und Versicherungsberater bedürfen einer Erlaubnis nach der Gewerbeordnung und müssen daher die zuständige Aufsichtsbehörde im Internet-Impressum angeben. Zuständige Aufsichtsbehörde im Bereich Versicherungsvermittlung und -beratung ist die jeweilige Industrie- und Handelskammer, denn sie ist für die Erteilung der Erlaubnis, die Rücknahme und den Widerruf der Erlaubnis nach § 34d GewO und § 34e GewO zuständig. Der Beklagte hat mit der Angabe "IHK 000" insoweit keine ausreichenden Angaben gemacht.
d) Entgegen der Ansicht des Landgerichts fehlt es dem Verstoß nicht an der Spürbarkeit im Sinne des § 3a UWG. Die Angabe "Zuständige Aufsichtsbehörde: IHK 000" ist nicht nur unvollständig, sondern auch irreführend. Entgegen der Ansicht des Landgerichts liegt es für Verbraucher nicht ohne weiteres nahe, dass die IHK Stadt1 zuständige Aufsichtsbehörde ist, weil der Beklagte in Stadt1 ansässig ist. Die Angabe "000" ist mehrdeutig. Sie kann auch darauf hindeuten, dass es gar keine zuständige Aufsichtsbehörde gibt, weil kein erlaubnispflichtiges Gewerbe vorliegt. Hierfür spricht der Kontext des Impressums. Der Beklagte hat auch bei sämtlichen anderen Pflichtangaben deren Nichtvorhandensein mit mehreren Nullen gekennzeichnet. Es heißt zum Beispiel "Registergericht: Amtsgericht 000". Damit soll - nach Ansicht des Beklagten - nicht das für Stadt1 zuständige Amtsgericht bezeichnet werden, sondern verdeutlicht werden, dass gar keine Eintragung im Handelsregister vorliegt. Ein entsprechender Eindruck kann bei der Angabe "IHK 000" entstehen. Die Fortsetzung des Impressumsverstoßes kann deshalb nicht geduldet werden.
e) Das Fehlen der Angabe der zuständigen Aufsichtsbehörde stellt zugleich einen Verstoß gegen § 5a I, IV UWG dar. Bei § 5 TMG handelt es sich um Informationspflichten, die ihre Grundlage im Unionsrecht (Art. 5 I e-commerce-Richtlinie) haben und damit nach § 5a IV UWG per se als "wesentlich" gelten. Die fehlende Angabe ist auch geeignet, geschäftliche Entscheidungen der Verbraucher zu beeinflussen (§ 5 a II UWG). Geht der Verbraucher davon aus, dass kein erlaubnispflichtiges Gewerbe mit einer zuständigen Aufsichtsbehörde vorliegt, wird er möglicherweise davon abgehalten, sich vor einem Geschäftsabschluss über die Seriosität des Unternehmers bei der Behörde zu informieren. Das Erfordernis dient außerdem neben der vorvertraglichen Informationsmöglichkeit auch der nachvertraglichen Rechtsdurchsetzung oder einer Anzeige von möglichen Rechtsverletzungen durch einen Diensteanbieter auf seiner Internetseite.
f) Das beanstandete Impressum ist auch in den anderen angegriffenen Punkten fehlerhaft. Es liegt ein Verstoß gegen § 5 I Nr. 4 und Nr. 6 TMG vor. Der Beklagte hat Angaben zum Registergericht, der Registernummer, der Umsatzsteueridentifikationsnummer und der Wirtschaftsidentifikationsnummer jeweils mit "Nullen" gekennzeichnet. Entgegen der Ansicht des Landgerichts wird aus diesen Angaben nicht ohne weiteres erkennbar, dass der Beklagte über entsprechende Registrierungen und Nummern nicht verfügt. Sofern ein Unternehmer nicht Adressat der im Katalog des § 5 TMG aufgeführten Pflichtangaben ist, haben Angaben zu unterbleiben. Falsche Angaben sind ebenso unlauter wie fehlende Angaben (vgl. Lorenz, WRP 2010, 1224, 1229). Die Angaben dürfen zudem nicht unklar und intransparent sein. Dies ergibt sich aus Sinn und Zweck des § 5 TMG. Die Angaben zur Anbieterkennzeichnung sind im Interesse des Verbraucherschutzes und der Transparenz von geschäftsmäßig erbrachten Telemediendiensten vorgesehen. Nach der Rechtsprechung des Gerichtshofs der Europäischen Union sollen die vom Diensteanbieter mitgeteilten Informationen den Nutzern ermöglichen, die Tragweite ihrer zukünftigen Verpflichtung zu beurteilen und so die Gefahr bestimmter Irrtümer zu vermeiden, die zum Abschluss eines nachteiligen Vertrags führen können (BGH GRUR 2016, 957 Rn. 24 [BGH 25.02.2016 - I ZR 238/14] - Mehrwertdienstenummer). Auch wenn der Verkehr die Angabe "000" als "keine Angabe" interpretieren mag, bedeutet dies nicht, dass ihm auch klar ist, dass entsprechende Angaben gar nicht veranlasst sind, weil eine Eintragung im Handelsregister bzw. eine Umsatzsteueridentifikationsnummer gar nicht vorliegen. Die Angaben sind mehrdeutig. Sie können auch darauf hindeuten, dass der Beklagte die Angaben nicht veröffentlichen möchte oder dass die Daten nur vorrübergehend noch nicht vorliegen.
g) Entgegen der Ansicht des Beklagten fehlt es nicht an der Wiederholungsgefahr. Die durch den einmaligen Verstoß begründete Wiederholungsgefahr kann nur durch Abgabe einer strafbewehrten Unterlassungserklärung ausgeräumt werden. Das offline-Stellen der Internetseite genügt nicht. Dadurch wird nicht gewährleistet, dass der Beklagte in Zukunft im Internet nicht mehr in vergleichbarer Weise Dienstleistungen ohne ausreichende Impressumsangaben anbietet.
3. Der Beklagte hat gemäß § 12 I 2 UWG die Kosten für die vorgerichtliche Rechtsverfolgung iHv € 475,78 zu erstatten. Soweit die Klägerin eine höhere Kostenerstattung beansprucht, war die Berufung zurückzuweisen. Die Geschäftsgebühr für die Abmahnung bemisst sich aus einem Streitwert von € 8.000,00. Sie beläuft sich auf € 592,80 zzgl. Auslagenpauschale € 20,00 = € 612,80. Unter Anrechnung der € 0,65-Gebühr aus dem Eilverfahren ergibt sich ein Betrag von € 338,98. Hinzu kommen die Kosten für das Abschlussschreiben. Das Abschlussschreiben ist entsprechend den Grundsätzen der BGH-Entscheidung "Kosten für das Abschlussschreiben" (GRUR 2010, 1038 [BGH 04.02.2010 - I ZR 30/08]) als Schreiben einfacher Art anzusehen, das nur eine 0,3-Gebühr iHv € 136,80 auslöst."
Rechtliche Auseinandersetzungen mit Datenschutzbehörden beim Einsatz von Videoüberwachungsmaßnahmen nehmen zu. Dabei sind längst nicht alle Forderungen der Datenschutzbehörden berechtigt.
Das VG Saarloius hat sich in dieser Entscheidung mit der Zulässigkeit der Videoüberwachung in einer Apotheke und zur Möglichkeit der Einwilligung der Angestellten zur Videoüberwachung von Betriebsräumen befasst.
Aus den Entscheidungsgründen:
"Die streitige Videoüberwachung im Verkaufsraum und am Betäubungsmittelschrank unterfällt den Anforderungen des Bundesdatenschutzgesetzes. Die im Rahmen einer Videoüberwachung erstellten Bilder und Aufnahmen stellen personenbezogene Daten dar. Unerheblich ist insoweit, dass regelmäßig nur ein geringer Prozentsatz der so gewonnenen Aufnahmen zur tatsächlichen Identifizierung von Personen genutzt wird. Ausreichend für die Anwendbarkeit des Gesetzes ist es, dass, wie hier, der Zweck der Videoüberwachung ist, die auf den Aufzeichnungen festgehaltenen Personen zu identifizieren, wenn die verantwortliche Stelle (der Kläger) dies für erforderlich hält. Nach §§ 27 Abs. 1 S. 1 Nr.1, 38 Abs. 5 S. 1 BDSG kann die Beklagte zur Gewährleistung der Einhaltung des Bundesdatenschutzgesetzes und anderer Vorschriften über den Datenschutz Maßnahmen zur Beseitigung festgestellter Verstöße bei der Erhebung, Verarbeitung oder Nutzung personenbezogener Daten oder technischer oder organisatorischer Mängel anordnen.
Die Erhebung, Verarbeitung und Nutzung personenbezogener Daten sind nur zulässig, soweit das Bundesdatenschutzgesetz oder eine andere Rechtsvorschrift dies erlaubt oder anordnet oder der Betroffene eingewilligt hat, § 4 Abs. 1 BDSG.
Hinsichtlich aller Kameras im Verkaufsraum fehlt es an einer Einwilligung der Betroffenen, der Kunden. Vom Vorliegen einer Einwilligungserklärung kann nicht schon dann ausgegangen werden, wenn die betroffenen Personen aufgrund eines Hinweises von der Videoüberwachung Kenntnis haben. Aus der Tatsache, dass der Kläger (mittlerweile) auf die in dem Verkaufsraum stattfindende Videoüberwachung durch Beschilderung an den Eingangstüren zur Apotheke hinweist, kann keine konkludente Einwilligung der Kunden, die dennoch und damit in Kenntnis der Videoüberwachung die Verkaufsräume der Apotheke betreten, abgeleitet werden,
Die Videoüberwachung der Kundeneingänge und des Freiwahlbereichs des Verkaufsraums ist mit § 6 b Abs. 1 BDSG unvereinbar.
Die drei im Verkaufsraum befindlichen Kameras erfassen (nunmehr) ausschließlich Kundeneingänge und den Freiwahlbereich der Apotheke. In diesem werden nicht apothekenpflichtige Waren angeboten, wie sie auch in Drogerien, Reform- oder Sanitätshäusern vorgehalten werden. Bei dem Freiwahlbereich der betroffenen Apotheke handelt es sich um einen öffentlich zugänglichen Raum. Er steht allen Kunden offen. Die Kameras zeichnen diese auf. Sie werden auch beobachtet, weil sie optisch unter Einsatz technischer Einrichtungen für eine gewisse Dauer erfasst werden und insgesamt die Möglichkeit zur anlassbezogenen oder stichprobenartigen Inaugenscheinnahme der Aufzeichnungen geschaffen ist.
§ 6 b Abs. 1 BDSG erklärt die Beobachtung öffentlich zugänglicher Räume mit optisch – elektronischen Einrichtungen (Videoüberwachung) nur für zulässig, soweit sie
(Nr. 1) zur Aufgabenerfüllung öffentlicher Stellen,
(Nr. 2) zur Wahrnehmung des Hausrechts oder
(Nr. 3) zur Wahrnehmung berechtigter Interessen für konkret festgelegte Zwecke
erforderlich ist und keine Anhaltspunkte bestehen, dass schutzwürdige Interessen der Betroffenen überwiegen.
Nach § 6 b Abs. 3 BDSG ist die Verarbeitung oder Nutzung von nach Abs. 1 erhobenen Daten zulässig, wenn sie zum Erreichen des verfolgten Zwecks erforderlich ist und keine Anhaltspunkte bestehen, dass schutzwürdige Interessen der Betroffenen überwiegen.
§ 6 b Abs. 1 BDSG definiert mithin die materiell-rechtlichen Voraussetzungen einer datenschutzrechtlich zulässigen Videoüberwachung öffentlich zugänglicher Räume und regelt sodann mit § 6 b Abs. 3 BDSG die zulässige Verarbeitung oder Nutzung, wobei inhaltlich die Voraussetzungen nach Abs. 1 wiederholt werden,
Die Videoüberwachung im Verkaufsraum dient der Wahrnehmung des Hausrechts nach § 6 b Abs. 1 Nr. 2 BDSG, nicht aber der Wahrnehmung berechtigter Interessen nach § 6 b Abs. 1 Nr. 3 BDSG. Zur Wahrnehmung des Hausrechts ist sie jedoch nicht erforderlich.
Die Videoüberwachung der Kundeneingänge und des Freiwahlbereichs durch die Kameras im Verkaufsraum, ist nicht durch die Wahrnehmung berechtigter Interessen im Sinne des § 6 b Abs. 1 Nr. 3 BDSG gerechtfertigt. Zu diesen berechtigten Interessen gehört zwar grundsätzlich jedes rechtliche, wirtschaftliche und ideelle Interesse, sofern es objektiv begründbar ist und sich nicht nur an den subjektiven Wünschen und Vorstellungen der verantwortlichen Stelle orientiert. Kommt die Videoüberwachung zum Zweck der Gefahrenabwehr zum Einsatz, wird man regelmäßig eine Wahrnehmung berechtigter Interessen annehmen können. Insoweit ist aber eine konkrete oder zumindest abstrakte Gefährdungslage darzulegen. Daran fehlt es im vorliegenden Fall. Hinsichtlich der konkreten Gefährdungslage liegt die erforderliche objektive Begründbarkeit der Gefährdungslage nur dann vor, wenn sie auf konkrete, einzelfallbezogene Tatsachen gestützt werden kann, aus denen sich der zu erwartende Eintritt einer Gefahr ergibt. Der Kläger kann nicht aufzeigen, welche Arzneimittel und ob überhaupt und wenn ja welche nicht apothekenpflichtigen Waren abhandengekommen sind Sein Hinweis auf Entwendungen in der Apotheke, reicht allein nicht aus. Dabei handelt es sich um einen generellen Verdacht, nicht um einen einzelfallbezogenen Vorfall, welcher eine konkrete Gefährdungslage zu begründen vermag. Die erforderliche Darlegung kann durch die Nennung konkreter Vorfälle erfolgen. Die bloße Behauptung oder die allgemeine Vermutung einer Rechtsverletzung - insbesondere hinsichtlich des Warenbestands des Freiwahlbereichs, den die drei Kameras im Verkaufsraum erfassen - reicht nicht aus und schließt mithin eine Videoüberwachung zur konkreten Gefahrenvorsorge aus.
Der Kläger hat auch keine abstrakte Gefährdungslage dargelegt. Eine abstrakte Gefährdungslage ist dann objektiv begründbar, wenn eine Situation gegeben ist, welche nach der allgemeinen Lebenserfahrung typischerweise gefährlich ist. Insoweit werden weitläufige oder schwer einsehbare Geschäftsräume für Vermögensdelikte als potentiell gefährdet eingestuft werden können. Gleiches gilt für Geschäfte, die in Gegenden hoher Kriminalitätsdichte liegen oder besonders wertvolle Ware verkaufen.
Dafür, dass die Apotheke in einem Gebiet liegt, das bekanntermaßen eine hohe Kriminalitätsdichte aufweist, bestehen keine Anhaltspunkte. Auch kann auf Grundlage des eingereichten Grundrissplans und den zur Akte gereichten Fotos nicht von einer erschwerten Überschaubarkeit des Verkaufsraums ausgegangen werden. Die Verkaufstresen sind so angeordnet, dass der gesamte Verkaufsraum überschaubar ist. Daran ändert auch die Tatsache nichts, dass mehrere Eingänge vorhanden sind. In dem Verkaufsraum halten sich während der Öffnungszeiten der Apotheke, in Abgrenzung zu den Notdienstzeiten, regelmäßig mehrere Mitarbeiter auf, denen eine Überwachung möglich ist. Zwar mag die Apotheke auch im gewissen Maße kurzfristig wertvolle Medikamente lagern. Jedoch wird der Freiwahlbereich dadurch nicht zu einem Ort, an dem regelmäßig besonders wertvolle Waren verkauft werden, wie es etwa bei einem Juwelier der Fall ist.
Die Videoüberwachung im Verkaufsraum kann auch nicht auf das berechtigte Interesse der Verfolgung von Straftaten, das von der Gefahrenabwehr unterschieden wird, gestützt werden. Die Wahrnehmung berechtigter Interessen für konkret festgelegte Zwecke im Sinne des § 6 b Abs. 1 Nr. 3 BDSG erfordert mehr als eine allgemeine Zweckbeschreibungen wie „Zur Gefahrenabwehr“ oder „Zur Verfolgung von Straftaten“.
Soweit der Kläger sich darauf beruft, die Videoüberwachung durch die drei im Verkaufsraum befindlichen Kameras diene der Wahrnehmung des Hausrechts nach § 6 b Abs. 1 Nr. 2 BDSG, ist ihre Erforderlichkeit im streitigen Einzelfall nicht ersichtlich.
Die Wahrnehmung des Hausrechts umfasst die Befugnis, darüber entscheiden zu können und zu dürfen, wer bestimmte Gebäude oder befriedetes Besitztum betreten und darin verweilen darf. Der Hausrechtsinhaber ist berechtigt, die zum Schutz des Objekts, der sich darin aufhaltenden Personen sowie zur Abwehr unbefugten Betretens erforderlichen Maßnahmen zu ergreifen. Davon ist umfasst, das Recht Störer zu verweisen und ihnen das Betreten für die Zukunft zu untersagen. Erfolgt eine Videoüberwachung zur Wahrnehmung des Hausrechts, kann diese der Verfolgung präventiver Zwecke dienen, sofern Ziel der Maßnahme ist, Personen von der Begehung von Rechtsverstößen innerhalb des vom Hausrecht geschützten Bereichs abzuhalten. Rechtsverstöße können insoweit auch die Verübung von Diebstählen sein. Zugleich kann das Beobachten aber auch repressiven Zwecken dienen. Das ist der Fall, wenn es um die Aufklärung von Straftaten oder die Durchsetzung zivilrechtlicher Schadenersatzansprüche geht,
Das Hausrecht steht dem unmittelbaren Besitzer zu. Auf ein solches Hausrecht kann sich der Kläger als Inhaber der Apotheke grundsätzlich berufen. Er hat ein Interesse daran, die in der Apotheke befindlichen Arzneimittel und die Waren des Freiwahlbereichs zu schützen sowie Personen, die die Apotheke zu unberechtigten Zwecken betreten, aus dieser zu verweisen. Zwar steht noch nicht zweifelsfrei fest, dass der Fehlbestand auf Diebstähle zurückzuführen ist, ebenso wenig wie die Tatsache, dass der oder die Täter aus dem Kreis der Kunden der Apotheke kommen. Allerdings ist eine dahingehende Ermittlung gerade Zweck des Einsatzes der Kameras. Sie sollen im Hinblick auf ihre repressive Wirkung helfen, etwaige Diebstähle aufzuklären und die Täter zu überführen.
Die Videoüberwachung der Eingänge und des Freiwahlbereichs des Verkaufsraums ist jedoch nicht erforderlich zur Wahrnehmung des Hausrechts durch den Kläger. Die Erforderlichkeit im Sinne des § 6 b Abs. 1 BDSG liegt dann vor, wenn das festgelegte Ziel mit der Überwachung tatsächlich erreicht werden kann und es dafür kein anderes, gleich wirksames, aber hinsichtlich der informationellen Selbstbestimmung der betroffenen Personen weniger einschneidendes Mittel gibt. Die dahingehende Bewertung hat ausgehend von einer objektiven Betrachtungsweise im Rahmen einer Einzelfallprüfung zu erfolgen,
Die Videoüberwachung ist zur Abschreckung von Straftätern allgemein geeignet. Die offene Überwachung ermöglicht es abschreckend auf potentielle Störer einzuwirken. Unberücksichtigt muss auch dabei bleiben, dass es bislang noch zu keiner Täterüberführung gekommen ist. Eine Maßnahme ist nicht nur dann zu einem bestimmten Zweck geeignet, wenn dieser mit Hilfe der Maßnahme vollständig erreicht werden kann, sondern schon dann, wenn die Maßnahme geeignet ist, den Zweck zu fördern. Es muss sich nicht um eine optimale Maßnahme zur Zweckerreichung handeln,
Der Kläger hat aber im konkreten Fall keine Tatsachen dargelegt, die es nachvollziehbar machten, dass das festgelegte Ziel mit der Überwachung tatsächlich erreicht werden kann. Er bezweckt die Reduzierung des Fehlbestandes. Er hat es aber unterlassen, den von ihm lediglich in der Summe z. B. mit 44.000,-- EUR vorgetragenen Fehlbestand dezidiert zu erläutern und aufzuschlüsseln. Auch zum Zeitpunkt der mündlichen Verhandlung ist nicht nachvollziehbar, ob und wenn ja in welcher Höhe überhaupt ein Fehlbestand im mit den drei Kameras im Verkaufsraum überwachten Freiwahlbereich, in dem nicht apothekenpflichtige Waren angeboten werden, aufgetreten ist. Entsprechendes gilt für die Arzneimittel, die apothekenpflichtig aber nicht verschreibungspflichtig sind, im Bereich der Sichtwahl des Verkaufsraums, auf die ein Kunde gegebenenfalls Zugriff hätte, während das Personal das rückwärtige Lager aufsucht. Zudem wird dieser Bereich nicht von den Kameras abgebildet. Ist damit nicht ersichtlich, ob überhaupt einem Fehlbestand im Verkaufsraum entgegengewirkt wird, kann die Erforderlichkeit der Videoüberwachung zur Wahrnehmung des Hausrechts nicht bejaht werden.
Auf die die Erforderlichkeit voraussetzende, im Rahmen einer am Verhältnismäßigkeitsgrundsatz orientierte und umfassende Abwägung zwischen der durch die Zwecke der Videoüberwachung bestimmten grundrechtlich geschützten Position des Verwenders der Videotechnik und dem Recht auf informationelle Selbstbestimmung der Beobachteten zur Beantwortung der Frage, ob der Zulässigkeit der Videoüberwachung des Verkaufsraums überwiegende Interessen der Betroffenen - hier der Kunden - entgegenstehen, kommt es danach nicht mehr an.
Das danach im Ermessen der Beklagten stehende Einschreiten gegen den rechtswidrigen Zustand im Verkaufsraum ist nicht zu beanstanden. Soweit der Kläger sich darauf beruft, die Beklagte schreite willkürlich nur gegen ihn ein und verschone andere Apotheken, kann dem nicht gefolgt werden. Die Beklagte hat zu den vom Kläger bezeichneten Objekten erklärt, ihre Überprüfung habe ergeben, dass kein Verstoß gegen datenschutzrechtliche Bestimmungen vorliege. Daran zu zweifeln besteht kein Anlass. In diesem Zusammenhang lässt der Kläger unberücksichtigt, dass sich allein durch das Vorhandensein einer Videokamera nicht deren Betrieb belegen lässt, gegenüber dem allein die Beklagte zum Einschreiten befugt ist.
Die offene Videoüberwachung an dem Betäubungsmittelschrank ist hingegen datenschutzrechtlich zulässig, weil die Beschäftigten eingewilligt haben.
Sie ist nicht an § 6 b BDSG zu messen. Diese Vorschrift findet dann keine Anwendung, wenn es um die Videoüberwachung von Arbeitsplätzen geht, die sich in nicht öffentlich zugänglichen Bereichen befinden. Um so einen Bereich handelt es sich bei dem Lager der Apotheke, das nur dem Zutritt von Apothekenpersonal offensteht.
Soweit keine Einwilligung vorliegt, beurteilt sich die Zulässigkeit der Videoüberwachung in diesen Bereichen daher nach § 32 BDSG. Im konkreten Fall liegen dessen Voraussetzungen jedoch nicht vor.
Gemäß § 32 Abs. 1 BGSG dürfen personenbezogene Daten eines Beschäftigten für Zwecke des Beschäftigungsverhältnisses erhoben, verarbeitet oder genutzt werden, wenn dies für die Entscheidung über die Begründung eines Beschäftigungsverhältnisses oder nach Begründung des Beschäftigungsverhältnisses für dessen Durchführung oder Beendigung erforderlich ist. Zur Aufdeckung von Straftaten dürfen personenbezogene Daten eines Beschäftigten nur dann erhoben, verarbeitet oder genutzt werden, wenn zu dokumentierende tatsächliche Anhaltspunkte den Verdacht begründen, dass der Betroffene im Beschäftigungsverhältnis eine Straftat begangen hat, die Erhebung, Verarbeitung oder Nutzung zur Aufdeckung erforderlich ist und das schutzwürdige Interesse des Beschäftigten an dem Ausschluss der Erhebung, Verarbeitung oder Nutzung nicht überwiegt, insbesondere Art und Ausmaß im Hinblick auf den Anlass nicht unverhältnismäßig sind.
Zur Aufdeckung von Straftaten erlaubt § 32 Abs. 1 S. 2 BDSG den Einsatz von datenschutzrechtlich relevanten Maßnahmen, wozu auch die Videoüberwachung gehört, nicht allein zu präventiven Zwecken. Immer erforderlich sind tatsächliche Verdachtsmomente. Daran mangelt es im vorliegenden Fall. Der Kläger konnte nicht dartun, warum gerade Anhaltspunkte gegen Mitarbeiter bestehen sollten. Anfänglich hat er die Nutzen der Videokameras vielmehr mit einem grundsätzlichen Verdacht nur gegen Kunden und nicht gegen Betriebsangehörige begründet. Mittlerweile bringt er auch einen Verdacht gegen Mitarbeiter vor. Es fehlen jedoch tatsächliche Anhaltspunkte dafür, dass von dem Fehlbestand bestimmte Medikamente, die in dem Betäubungsmittelschrank aufbewahrt werden, betroffen sind. Des Weiteren ist die Videoüberwachung am Betäubungsmittelschrank auch nicht erforderlich. Das wäre sie nur dann, wenn es kein milderes, gleich geeignetes Mittel zur Erreichung des Zwecks gäbe. Dies ist wiederum einzelfallabhängig. Das Verschließen des Betäubungsmittelschranks und das Führen von Entnahme- und Kontrolllisten ermöglicht effektiv, den Zugriff auf den Betäubungsmittelschrank zu kontrollieren, ist aber im Hinblick auf das Recht auf informationelle Selbstbestimmung der Arbeitnehmer das weniger einschneidende Mittel. Demgegenüber sind kurzzeitige Verzögerungen, auch wenn sie sich auf den Kundenstamm auswirken sollten, hinzunehmen.
Auch wenn die verdachtsunabhängige Ermittlung bzw. präventive Maßnahmen zur Verhinderung von Straftaten § 32 Abs. 1 S. 1 BDSG unterfielen bzw. auf § 28 BDSG - Datenerhebung und -speicherung für eigene Geschäftszwecke - gestützt werden könnten, verlangt das Bundesdatenschutzgesetz stets die Erforderlichkeit der konkreten Maßnahme. Daran mangelt es in jedem Fall, weil ein regelmäßiges Verschließen des Betäubungsmittelschranks und das Führen von Entnahme- und Kontrolllisten das weniger einschneidende und zumutbare Mittel zur Verhinderung von Straftaten ist.
Es liegt jedoch zum maßgeblichen Zeitpunkt der mündlichen Verhandlung,
entsprechend VG Berlin, Urteil vom 24.05.2011 - 1 K 133.10 -, juris,
eine Einwilligung aller Beschäftigten vor.
Die gesetzlichen Anforderungen an eine zulässige Datenverarbeitung im Bundesdatenschutzgesetz konkretisieren und aktualisieren den Schutz des Rechts auf informationelle Selbstbestimmung als Ausprägung des durch Art. 2 Abs. 1 i.V.m. Art. 1 Abs. 1 GG geschützten allgemeinen Persönlichkeitsrechts und regeln, in welchem Umfang im Anwendungsbereich des Gesetzes Eingriffe in dieses Recht zulässig sind. Dies stellt § 1 Abs. 1 BDSG ausdrücklich klar. Nur wenn keine Einwilligung des Betroffenen vorliegt, beurteilt sich die Datenverarbeitung nach dem Gesamtkonzept des Bundesdatenschutzgesetzes danach, ob eine verfassungsgemäße Rechtsvorschrift diese erlaubt,
vgl. BAG, Urteil vom 12.02.2015 - 6 AZR 845/13 -, juris, Rz. 69 zu § 32 BDSG.
Im Rahmen eines Arbeitsverhältnisses können Arbeitnehmer sich grundsätzlich „frei entscheiden", wie sie ihr Grundrecht auf informationelle Selbstbestimmung ausüben wollen. Dem steht weder die grundlegende Tatsache, dass Arbeitnehmer abhängig Beschäftigte sind noch das Weisungsrecht des Arbeitgebers, § 106 GewO, entgegen. Mit der Eingehung eines Arbeitsverhältnisses und der Eingliederung in einen Betrieb begeben sich die Arbeitnehmer nicht ihrer Grund- und Persönlichkeitsrechte. Die zu § 4a BDSG formulierte Gegenauffassung (Simitis in Simitis BDSG 8. Aufl. § 4a Rn. 62) verkennt, dass schon nach § 32 BDSG Datenverarbeitung im Arbeitsverhältnis möglich ist, unter den Voraussetzungen des § 32 BDSG sogar einwilligungsfrei. Löste die Verweigerung einer außerhalb von § 32 BDSG erforderlichen schriftlichen Einwilligung Benachteiligungen aus, so stellte dies einen groben Verstoß gegen die arbeitgeberseitigen Pflichten aus § 241 Abs. 2 und § 612a BGB dar, der zum Schadensersatz nach §§ 282, 280 Abs. 1 BGB verpflichtete. Eine Nebenpflicht des Arbeitnehmers aus dem Arbeitsverhältnis, der Erhebung, Verarbeitung und Veröffentlichung seiner Daten - soweit erforderlich - zuzustimmen, besteht nicht,
Eine Einwilligung in die Datenerhebung, -verarbeitung und -nutzung ist im Arbeitsverhältnis überhaupt zulässig. Der Einwand, Arbeitnehmer könnten aufgrund des Machtungleichgewichts nicht i.S.v. § 4a Abs. 1 Satz 1 BDSG frei entscheiden und damit einwilligen, steht der Einwilligung nicht allgemein entgegen. Nach § 4a Abs. 1 Satz 2 BDSG muss der Arbeitgeber den Arbeitnehmer auf den Zweck der Erhebung, Verarbeitung oder Nutzung hinweisen, also auf den konkreten Kontrollzweck (Grundsatz der informierten Einwilligung). Unwirksam ist beispielsweise die für eine noch nicht konkretisierte Vielzahl von Fällen - und in der betrieblichen Praxis oft vorzufindende - Pauschaleinwilligung im Arbeitsvertrag. Eine Einwilligung bedarf der Schriftform und kann zudem jederzeit und ohne Angabe von Gründen widerrufen werden. Daher ist sie als sichere Rechtsgrundlage für die Datenerhebung, -verarbeitung und -nutzung und damit die Überwachung (z.B. die Einsichtnahme in einen E-Mail-Account oder bei Torkontrollen) eher ungeeignet,
so Grimm, Überwachung im Arbeitsverhältnis: Von Befragungen bis zur GPS-Ortung – wie viel Kontrolle ist erlaubt?, jM 2016, 17.
Durch die Videoüberwachung am Betäubungsmittelschrank wird auch nicht in so schwerwiegender Weise in das allgemeine Persönlichkeitsrecht der Beschäftigten des Klägers eingegriffen, dass deren Einwilligung mit der Rechtsordnung unvereinbar wäre. Wie hinsichtlich der punktuellen Videoüberwachung der Schleuse, deren Betrieb die Beklagte nicht untersagte, besteht auch hinsichtlich des Betäubungsmittelschranks eine generelle Ausweichmöglichkeit der Beschäftigten vor Videoüberwachung, so dass von einem ständigen Überwachungsdruck der Arbeitnehmer, nicht gesprochen werden kann. Der Arbeitnehmer kann die Videoüberwachung vermeiden oder ihr dadurch entgehen, dass er den beobachteten Bereich verlässt. Er muss nicht davon ausgehen, seine Tätigkeit werde ununterbrochen beobachtet und kontrolliert,
Seitens der Beschäftigten wurde im Verwaltungsverfahren eine Einwilligung nicht wirksam erklärt. Die dem klägerischen Schreiben vom 12.12.2013 beigefügte Unterschriftenliste unter dem alleinigen Satz - „Mir ist bekannt, dass in der S.-Apotheke 5 Überwachungskameras aufgestellt sind und ich erkläre mich damit einverstanden.“ - genügt offensichtlich auf keinen Fall den Anforderungen des § 4 a Abs. 1 BDSG.
Danach ist die Einwilligung nur wirksam, wenn sie auf der freien Entscheidung des Betroffenen beruht. Er ist auf den vorgesehenen Zweck der Erhebung, Verarbeitung oder Nutzung sowie, soweit nach den Umständen des Einzelfalles erforderlich oder auf Verlangen, auf die Folgen der Verweigerung der Einwilligung hinzuweisen. Die Einwilligung bedarf der Schriftform, soweit nicht wegen besonderer Umstände eine andere Form angemessen ist. Soll die Einwilligung zusammen mit anderen Erklärungen schriftlich erteilt werden, ist sie besonders hervorzuheben.
Die während des gerichtlichen Verfahrens vorgelegten 18 einzelnen Einwilligungserklärungen der Beschäftigten genügen formal den Anforderungen des § 4 a Abs. 1 BDSG.
Die Einwilligung ist jedoch nur dann wirksam, wenn sie auf einer freien Entscheidung des Betroffenen beruht. Von einer generell bestehenden Unfreiwilligkeit kann in einem Arbeitsverhältnis nicht ausgegangen werden. Das Gesetz selbst schließt die Erteilung einer Einwilligung im Arbeitsverhältnis nicht aus. Eine solche kann daher nur angenommen werden, wenn die Entscheidung über die Erteilung derselben aufgrund der bestehenden Abhängigkeit vom Arbeitgeber nicht von der erforderlichen Freiwilligkeit geprägt ist. Auch in einem Verhältnis des Machtungleichgewichts muss die Selbstbestimmung nicht unbedingt ausgeschlossen sein. Es bedarf daher konkreter Anhaltspunkte dafür, dass der Arbeitnehmer im Einzelfall die Einwilligung nicht ohne Zwang abgegeben hat. Als Indiz für einen zusätzlichen Druck kann der Zwang zur Unterschrift auf einer gemeinsamen Erklärung angesehen werden. So wird ein gewisser Gruppenzwang zwischen den Arbeitnehmern erzeugt und setzt diejenigen, die eigentlich nicht unterschreiben wollen, unter Zwang. Werden dann, wie im Laufe des Verfahrens hier geschehen, Einzelerklärungen jedes einzelnen Arbeitnehmers nachgereicht, kann der ursprünglich generierte Gruppenzwang damit fortgesetzt werden. Weiter muss für die Einwilligenden klar zu erkennen gewesen sein, unter welchen Bedingungen sie sich mit der Verarbeitung welcher Daten einverstanden erklärt haben.
Bestehen Zweifel an den Tatsachen der Freiwilligkeit der Einwilligung bzw. des Genügens der Hinweispflicht können diese durch die Einvernahme der Betroffenen geklärt werden. So bestand Anlass, das Bestehen von Zweifeln hinsichtlich der Einwilligungserklärung Bl. 79 der Gerichtsakte zu prüfen, weil in dieser der Text über der Unterschrift mit zwei Fragezeichen am Rand versehen ist. Diese lassen es jedoch offen, ob die Zeichen vor der Unterzeichnung gesetzt wurden und dem damit bekundeten Aufklärungsbedarf vor dem Unterschreiben genügt wurde, bzw. die Bedingungen für das Einverständnis nicht bekannt waren. Bei dieser Sachlage sah der Einzelrichter keine Veranlassung zur Beweiserhebung von Amts wegen. Auf den dahingehenden Hinweis in der mündlichen Verhandlung wurden Beweisanträge nicht gestellt. Damit ist das Einverständnis der Beschäftigten nachgewiesen. Anhaltspunkte dafür, dass nicht alle Beschäftigten ihr Einverständnis erklärt hätten, bestehen nicht. Der sich für den Rechtstreit nicht stellenden Frage, in welcher Weise neu hinzukommende Beschäftigte jeweils ihre Einwilligung erteilen, ist nicht nachzugehen.
Ist somit die Videoüberwachung am Betäubungsmittelschrank zulässig, erweist sich die diesbezügliche Anordnung als rechtswidrig, was auch die dahingehende Androhung und aufschiebende bedingte Festsetzung des Zwangsgeldes erfasst."
BGB
Urteil vom 10.06.2009 I ZR 37/07
BGB § 339; UWG § 13 Abs. 2 Nr. 1 a.F.
Aufsichtsbehörde
In dieser Entscheidung hat sich der BGH mit der Auslegung einer strafbewehrten Unterlassungserklärung befasst. Der Betreiber hatte in seiner Anbieterkennzeichnung u.a. die Angabe der Aufsichtsbehörde gemäß § 34c GewO vergessen. Auf eine Abmahnung durch einen Mitbewerber hatte der Beklagte dahingehend eine strafbewehrte Unterlassungerklärung abgegeben. In der Folgezeit gab der Beklagte leider die falsche Aufsichtsbehörde an. Der Kläger verlangte nun die Vertragsstrafe. Der BGH bejaht den Anspruch mit den Hinweis, dass es sich um einen kerngleichen Verstoß handelt. Offen gelassen hat der BGH die Frage, ob das Fehlen oder die Angabe einer falschen Aufsichtsbehörde wettbewerbswidrig ist. Hierauf kommt es nicht an, da sich der Beklagte mit Abgabe der Unterlassungserklärung entsprechend verpflichtet hat.
Leitsätze des BGH:
a) Hat sich der Schuldner gegenüber einem Gläubiger i.S. von § 13 Abs. 2 Nr. 1 UWG a.F. strafbewehrt unterworfen, setzt die Verwirkung der Vertragsstrafe ohne eine ausdrückliche oder konkludente Einschränkung der Unterwerfungserklärung nicht voraus, dass der Verstoß gegen das Unterlassungsgebot i.S. von § 13 Abs. 2 Nr. 1 UWG a.F. geeignet ist, den Wettbewerb auf dem relevanten Markt wesentlich zu beeinträchtigen.
b) Mehrere Vertragsstrafen, die auf jeweils gesonderte Verstöße gegen eine Unterlassungsvereinbarung gestützt werden, sind im Regelfall unterschiedliche Streitgegenstände.