Skip to content

ArbG Neuruppin: 1.000 Euro Geldentschädigung aus Art. 82 DSGVO wenn ehemaliger Mitarbeiter nicht von Website des Arbeitgebers entfernt wird

ArbG Neuruppin
Urteil vom 14.12.2021
2 Ca 554/21


Das ArbG Neuruppin hat entschieden, dass ein Anspruch auf Zahlung von 1.000 Euro Geldentschädigung aus Art. 82 DSGVO besteht, wenn ein ehemaliger Mitarbeiter nicht von der Website des Arbeitgebers entfernt wird.

Aus den Entscheidungsgründen:

Der Anspruch der Klägerin ist in Höhe von 1.000,00 € abzüglich der geleisteten 150,00 Euro begründet. Im Übrigen war die Klage abzuweisen.

I. Der Anspruch der Klägerin folgt zunächst aus Art. 82 DSGVO als sogenannte "Basisvorschrift" (vgl. dazu: Wächter, Datenschutz im Unternehmen, 5. Aufl., Rz. 1158). Mit Art. 82 DSGVO enthält die Grundverordnung eine eigenständige deliktische Haftungsnorm. Voraussetzung ist eine rechtswidrige Datenverarbeitung, die zu einem Schaden der betroffenen Person (Art. 4 Nr. 1 DSGVO) führt. Art. 82 DSGVO ersetzt dabei die zuvor in Art. 23 DS-RL enthaltene Regelung sowie die mitgliedstaatlichen Regelungen zur Umsetzung dieser Vorschrift (im BDSG-alt die §§ 7,8) (vgl. nur: Ehmann/Selmayr, Datenschutzgrundverordnung, Art. 82, Rz. 4m.w.N.). Nicht jeder einer betroffenen Person entstandene Schaden ist jedoch auszugleichen. Voraussetzung ist, dass der Verstoß gegen die Bestimmungen der DSGVO, delegierte Rechtsakte oder konkretisierende nationale Bestimmungen kausal für den eingetretenen Schaden ist (Specht/Manz, Handbuch Europäisches und deutsches Datenschutzrecht, Teil A, Rz. 243). Dabei gewährt Art. 82 DSGVO gegenüber der verantwortlichen Stelle (hier der Beklagten, da sie für den Inhalt ihrer Homepage verantwortlich im datenschutzrechtlichen Sinne ist i.S.v. Art. 4 Ziff. 7 DSGVO), einen Anspruch auf Ersatz des Schadens, der durch die unrichtige bzw. unzulässige Verwendung von personenbezogenen Daten entstanden ist (Weth/Herberger/Wächter/Sorge, Daten- und Persönlichkeitssschutz im Arbeitsverhältnis, 2. Auflage, Teil A XV, Rz. 24). Der unbefugte Umgang mit den Daten muss darüber hinaus schuldhaft i.S.v. § 276 BGB erfolgen, damit vorsätzlich oder zumindest fahrlässig (Weth/Herberger/Wächter/Sorge, a.a.0.). Dabei wird mit der nunmehr seit Mai 2018 geltenden Norm des Art. 82 III DSGVO ein schuldhaftes Verhalten vermutet, was eine deutliche Verschärfung gegenüber dem bis dahin geltenden Recht bedeutet. Von dieser Vermutung kann sich der Verantwortliche oder auch der Auftragsverarbeiter gemäß Art. 82 III DSGVO nur dann entlasten (exkulpieren), wenn er in keinerlei Hinsicht für den Umstand, durch welchen der Schaden entstanden ist, verantwortlich ist (Weth/Herberger/Wächter/Sorge, a.a.O.). Der Schaden kann ein materieller sein. Ebenfalls ist jedoch ein immaterieller Schaden wegen Verletzung des allgemeinen Persönlichkeitsrechtes auszugleichen. Der Erwägungsgrund 146 stellt für die Auslegung von Art. 82 DSGVO klar, dass es sich um einen "vollständigen und wirksamen Schadensersatz" handeln muss. Dies zielt auf die Ersatzhöhe ab (vgl. nur Körner, NZA 2021, 1137 ff. m. w. N.). Dem Grunde nach sind damit sämtliche Verletzungen des allgemeinen Persönlichkeitsrechtes erfasst. Da der Schadensersatzanspruch nach Art. 82 DSGVO im Übrigen auch im Umfang auch die Elemente der Wirksamkeit und Abschreckung enthalten soll, können in die Berechnung des Haftungsumfangs auch präventive Gesichtspunkte einfließen (Specht/Manz, a.a.O. Rz. 247).

II. Die Beklagte hat trotz entsprechender Hinweise der Klägervertreterin im Schreiben vom 28.08.2020 die Daten der Klägerin nicht umgehend von ihrer Internetseite entfernt, obwohl das Arbeitsverhältnis beendet wurde. Unabhängig davon war sie jedoch auch bereits ohne anwaltliches Schreiben dazu verpflichtet gewesen, sämtliche im Zusammenhang mit der Klägerin veröffentlichten Daten von ihrer Homepage zu entfernen, da das Arbeitsverhältnis beendet wurde. Dies ergibt sich nicht nur aufgrund der bestehenden datenschutzrechtlichen Pflichten, sondern stellt auch eine allgemeine Nebenpflicht aus dem Arbeitsverhältnis i.S.v. § 241 Abs. 2 BGB dar. Auch mehrere Monate später waren die entsprechenden Daten jedoch noch verfügbar. Die Klägerin wurde - was unstreitig ist - weiterhin auf der Internetseite geführt, obwohl sie dort nicht als Biologin tätig war, sondern lediglich im Büromanagement beschäftigt wurde, insofern waren die Daten auch nicht zutreffend. Dabei spielt es entgegen der Ansicht der Beklagten auch keine Rolle, dass die Klägerin leidglich mit ihrem "Mädchennamen" dort aufgeführt wird und nicht mit ihrem tatsächlichen "Doppelnamen". Bereits dadurch wurde die Klägerin in ihren Persönlichkeitsrechten verletzt.

Dass die Beklagte erkannt hat, dass sie einen Fehler im datenschutzrechtlichen Sinne begangen hat, zeigt sich insbesondere auch darin, dass sie der Aufforderung der Klägerin entsprechend eine Unterlassungserklärung abgegeben und sodann 150,00 Euro in der Folgezeit gezahlt hat.

Der Hinweis der Beklagten, dass es sich um eine "alte Version" der Homepage gehandelt habe, stellt keine wirksame Exkulpation von der Haftung i.S.v. Art. 82 III DSGVO dar. Die Beklagte als verantwortliche Stelle hätte gerade nach den anwaltlichen Hinweisen der Klägervertreterin ihr besonderes Augenmerk auf ihre Homepage lenken müssen, da sie diesbezüglich zumindest seit dem anwaltlichen Schreiben vom 28.08.2020 sensibilisiert war.

Die Erwägungsgründe 75 und 85 stehen dem Anspruch ebenfalls nicht entgegen. Die dort genannten Gründe sind weder abschließend, noch dazu geeignet, den Anspruch der Klägerin dem Grunde nach zu negieren.

III. Hinsichtlich der Höhe des begehrten Schadensersatzes hat die Kammer einen Anspruch in Höhe von 1.000,00 Euro für angemessen erachtet, wobei berücksichtigt wurde, dass 150,00 Euro bereits geleistet wurden.

Dies auch unter Beachtung der aktuellen Rechtsprechung (vgl. dazu Böhm/Brams NZA RR, 2021, 521 ff.).

Mit einer Entscheidung des LAG Köln vom 14.09.2020 (LAG Köln 14.09.2020, 2 Sa 358/20, juris) wurden der dortigen Klägerin 300,00 Euro zugesprochen. In diesem Fall war jedoch zu beachten, dass die Beklagte nachgewiesen hatte, dass eine fahrlässige Nichtlöschung des Profils der Klägerin vorlag. Die dortige Klägerin war jedoch im Gegensatz zur Klägerin nicht insgesamt weiterhin auf der Homepage der Beklagten "verfügbar", sondern lediglich auf einer weiteren Datei im Internet, welche aufgrund einer "Verknüpfung" zu finden war. Das Arbeitsgericht Neumünster hat mit der Entscheidung vom 11.08.2020 (ArbG Neumünster vom 11.08.2020, 1 Ca 247 c/20, ZD 2021, 171) einen Schadensersatz in Höhe von 1.500,00 Euro wegen verspäteter Auskurftserteilung zugesagt. Auch wenn es in diesem Rechtsstreit nicht um einen Schadensersatz nach Art. 82 DSGVO, sondern um einen solchen wegen verspäteter Auskunft nach Art. 15 DSGVO ging, wurde dort auch bei der Bezifferung des Schadensersatzanspruches auf die Grundsätze der Art. 83 Abs. 2 Satz 9 DSGVO verwiesen. Ein solcher Rückgriff wurde bejaht, da Schadensersatz nach Art. 82 DSGVO ebenso wie Bußgelder nach Art. 83 DSGVO Datenschutzverstöße effektiv sanktionieren und abschreckend wirken sollten.

Das Landesarbeitsgericht Hamm hat mit Entscheidung vom 11.05.2021 (LAG Hamm vom 11.05.2021, 6 Sa 1260/20, juris) wegen verspäteter und unzureichender Datenauskunft einen Schadensersatz in Höhe von 1.000,00 Euro festgesetzt.

Unter Berücksichtigung vorstehender Rechtsprechung ist die Kammer ausdrücklich entgegen der Entscheidung des LG Köln vom 30.09.2021 (LG Köln vom 03.08.2021, 5 O 84/21, juris) sowie des Landgerichtes Bonn (LG Bonn vom 01.07.2021, 15 O 372/20, juris) davon ausgegangen, dass der Klägerin ein Schadensersatzanspruch in der ausgeurteilten Höhe zuzugestehen ist, da die Beklagte trotz des entsprechenden Begehrens der Klägerin über mehrere Monate hin deren Daten auf ihrer Internetseite nicht gelöscht hat. Dies auch unabhängig von der Tatsache, dass die Klägerin keine immateriellen Beeinträchtigungen vorgetragen hat. Dieses ist nach Auffassung der Kammer auch nicht erforderlich, da - wie unter I. dargestellt - Art. 82 DSGVO ebenfalls eine Warn- und Abschreckungsfunktion beinhaltet. Schließlich vermögen deswegen auch die Argumente des LG Bonn nicht zu überzeugen, dass ein Schadensersatzanspruch deswegen nicht auszuurteilen sei, da einer "uferlosen" Geltendmachung solcher Ansprüche" entsprechend zu begegnen sei. Derartige Überlegungen müssen bei der Ausurteilung von Schadensersatzansprüchen grundsätzlich ausscheiden. Dies dürfte zumindest seit dem Inkrafttreten des AGG für das Arbeitsrecht allgemein anerkannt sein.

Im Ergebnis hält die Kammer unter Beachtung der §§ 286, 287 ZPO im vorliegenden Fall einen Anspruch in Höhe von 1.000,00 Euro für angemessen. Hiervon hat die Beklagte bereits 150,00 Euro geleistet, so dass sie verpflichtet ist, weitere 850,00 Euro zu zahlen.

Ein weitergehender Schadensersatzanspruch steht der Klägerin jedoch nicht zu. Dementsprechend war die Klage im Übrigen abzuweisen.


Den Volltext der Entscheidung finden Sie hier:


BGH: Kein Anspruch auf Geldentschädigung aus Art. 82 Abs. 1 DSGVO wegen identifizierender Verdachtsberichterstattung in Presseartikel

BGH
Urteil vom 22.02.2022
VI ZR 1175/20
BGB § 823 Abs. 1; GG Art. 5


Der BGH hat entschieden, dass kein Anspruch auf Geldentschädigung aus Art. 82 Abs. 1 DSGVO wegen identifizierender Verdachtsberichterstattung in einem Presseartikel besteht. Dem Anspruch steht schon das Medienprivileg entgegen.

Leitsatz des BGH:
Zu den Voraussetzungen einer zulässigen Verdachtsberichterstattung (hier: Pressebericht über bevorstehende Hauptverhandlung im Strafverfahren).

BGH, Urteil vom 22. Februar 2022 - VI ZR 1175/20 - OLG Köln - LG Köln

Aus den Entscheidungsgründen:
Das Berufungsgericht ist zu Recht davon ausgegangen, dass dem Kläger kein Anspruch auf Zahlung einer Geldentschädigung zusteht.

1. Wie das Berufungsgericht zutreffend ausgeführt hat, folgt ein solcher Anspruch nicht aus Art. 82 Abs. 1 DS-GVO. Aufgrund der Öffnungsklausel des Art. 85 Abs. 2 DS-GVO sind Datenverarbeitungen zu journalistischen Zwecken von den die Rechtmäßigkeit der Datenverarbeitung betreffenden Vorschriften in Art. 6 und Art. 7 DS-GVO durch Regelungen der Länder ausgenommen worden (vgl. Senatsurteile vom 7. Juli 2020 - VI ZR 250/19, VersR 2021, 189 Rn. 10; - VI ZR 246/19, NJW 2020, 3715 Rn. 11; jeweils mwN).

Für den Bereich der Telemedien, der die streitgegenständliche Internetberichterstattung umfasst, galt zur Zeit der Berichterstattung § 57 Abs. 1 Satz 4 RStV (jetzt gleichlautend § 23 Abs. 1 Satz 4 MStV). Für die Printberichterstattung existierten und existieren entsprechende Vorschriften der einzelnen Länder (für Berlin, den Sitz der Beklagten zu 2, siehe § 19 Abs. 1 Satz 1 des Berliner Datenschutzgesetzes und jetzt § 22a Abs. 1 Satz 4 des Berliner Pressegesetzes; weitere Nachweise bei Lauber-Rönsberg, AfP 2019, 373 Rn. 29 mit Fn. 50). Es liegt auf der Hand, dass ein Schadensersatzanspruch gemäß § 82 Abs. 1 DS-GVO nicht auf die Verletzung datenschutzrechtlicher Bestimmungen durch eine journalistische Tätigkeit gestützt werden kann, wenn die Bestimmungen für die Tätigkeit gar nicht gelten (vgl. Senatsbeschluss vom 16. Februar 2021 - VI ZA 6/20, juris; Senatsurteile vom 7. Juli 2020 - VI ZR 250/19, VersR 2021, 189 Rn. 10; - VI ZR 246/19, NJW 2020, 3715 Rn. 11). Insoweit spielt es auch keine Rolle, dass die Öffnungsklausel des Art. 85 Abs. 2 DS-GVO die in Kapitel VIII der Verordnung enthaltene Vorschrift des Art. 82 Abs. 1 DS-GVO nicht erfasst. Im Übrigen stellen § 23 Abs. 1 Satz 5 MStV (zuvor § 57 Abs. 1 Satz 5 RStV) und die presserechtlichen Vorschriften der Länder (etwa § 22a Abs. 1 Satz 5 des Berliner Pressegesetzes, § 19 Abs. 1 Satz 2 des Berliner Datenschutzgesetzes) klar, dass Art. 82 Abs. 1 DS-GVO im Geltungsbereich des Medienprivilegs nicht greift (vgl. Lauber-Rönsberg, AfP 2019, 373 Rn. 30). Einer Vorlage an den Gerichtshof der Europäischen Union bedarf es nicht, weil diese Frage klar zu beantworten ist (vgl. zu den Voraussetzungen
der Vorlagepflicht EuGH, EuZW 2018, 1038 Rn. 110 - Kommission/Frankreich mwN).

2. Entgegen der Auffassung der Revision hat das Berufungsgericht dem Kläger zu Recht keine Geldentschädigung wegen Verletzung seines allgemeinen Persönlichkeitsrechts durch die Wort- und Bildberichterstattungen nach § 823 Abs. 1 BGB i.V.m. Art. 1 Abs. 1, Abs. 2 Abs. 1 GG und §§ 22, 23 KUG zuerkannt.


Den Volltext der Entscheidung finden Sie hier:

VG Ansbach: Verstoß gegen DSGVO durch Videoüberwachung der gesamten Trainingsfläche eines Fitnessstudios

VG Ansbach
Urteil vom 23.02.2022
AN 14 K 20.00083


Das VG Ansbach hat entschieden, dass ein Verstoß gegen die Vorgaben der DSGVO durch Videoüberwachung der gesamten Trainingsfläche eines Fitnessstudios vorliegt.

Aus den Entscheidungsgründen:
2. Die Klage ist jedoch nur begründet, soweit sie sich gegen Ziffer II des streitgegenständlichen Bescheides wendet. Im Übrigen war sie als unbegründet abzuweisen.

Das Bayerische Landesamt für Datenschutzaufsicht ist richtiger Beklagter gemäß § 20 Abs. 4, Abs. 5 Satz 1 Nr. 2 BDSG.

a) Die Unterlassungsanordnung in Ziffer I des streitgegenständlichen Bescheids ist formell wie materiell rechtmäßig. Es sind keine Verfahrensfehler ersichtlich, insbesondere wurde die Klägerin ordnungsgemäß angehört i.S.d. Art. 28 BayVwVfG (vgl. auch DS-GVO-Erwägungsgrund 129).

Die Untersagungsanordnung beruht als Abhilfemaßnahme auf Art. 58 Abs. 2 DS-GVO. Da es sich um ein Verbot handelt, ist Buchst. f) einschlägig, nicht wie vom Beklagten vorgebracht Buchst. d). Tatbestandsvoraussetzung für die Abhilfemaßnahmen des Art. 58 Abs. 2 DS-GVO ist das Vorliegen eines Verstoßes gegen die DS-GVO (vgl. Nguyen in: Gola, DS-GVO, Art. 58, Rn. 4). Ein solcher Verstoß liegt insbesondere dann vor, wenn Daten ohne entsprechende Rechtsgrundlage verarbeitet werden. Dies war vorliegend der Fall.

(1) Die Videoüberwachung konnte nicht auf eine Einwilligung der Trainierenden gestützt werden. Gemäß Art. 6 Abs. 1 Buchst. a) DS-GVO dürfen personenbezogene Daten verarbeitet werden, wenn die betroffene Person ihre Einwilligung dazu gegeben hat. Eine solche Einwilligung erfordert gemäß Art. 4 Nr. 11 DS-GVO eine freiwillig für den bestimmten Fall, in informierter Weise und unmissverständlich abgegebene Willensbekundung in Form einer Erklärung oder einer sonstigen eindeutigen bestätigenden Handlung, mit der die betroffene Person zu verstehen gibt, dass sie mit der Verarbeitung der sie betreffenden personenbezogenen Daten einverstanden ist. Eine solche eindeutige bestätigende Handlung der Trainierenden kann allerdings nicht in der bloßen Kenntnisnahme der Hinweise auf die Videoüberwachung in den Datenschutzhinweisen und der Hinweisschilder an der Eingangstür gesehen werden, denn gemäß Satz 3 des DS-GVO-Erwägungsgrundes 32 sollen Stillschweigen oder Untätigkeit gerade keine Einwilligung darstellen. Dass die Klägerin anderweitig ein Einverständnis der Trainierenden mit der Videoüberwachung durch eine eindeutig bestätigende Handlung eingefordert hätte, ist weder vorgetragen noch sonst ersichtlich, sodass die Videoüberwachung nicht gemäß Art. 6 Abs. 1 Buchst. a) DS-GVO erlaubt war.

(2) Die Videoüberwachung konnte auch nicht auf vertragliche (Neben-)Pflichten der Klägerin, ihre Kundschaft im vorgetragenen Umfang vor Diebstählen und Übergriffen zu schützen, gestützt werden. Gemäß Art. 6 Abs. 1 Buchst. b) Alt. 1 DS-GVO ist eine Datenverarbeitung rechtmäßig, wenn sie für die Erfüllung eines Vertrags, dessen Vertragspartei die betroffene Person ist, erforderlich ist. Vertragliche Nebenpflichten wie Rücksichtnahme- und Schutzpflichten sind zwar auch von dieser Vorschrift erfasst (Buchner/Petri in: Kühling/Buchner, DS-GVO BDSG, Art. 6, Rn. 33), jedoch ging die streitgegenständliche lückenlose Videoüberwachung über diese Pflichten hinaus. Nach ständiger Rechtsprechung des BGH ist derjenige, der eine Gefahrenlage - wie hier durch den Betrieb eines Fitnessstudios - schafft, grundsätzlich verpflichtet, die notwendigen und zumutbaren Vorkehrungen zu treffen, um eine Schädigung anderer möglichst zu verhindern; umfasst werden hiervon diejenigen Maßnahmen, die ein umsichtiger und verständiger, in vernünftigen Grenzen vorsichtiger Betreiber für notwendig und ausreichend hält, um andere vor Schäden zu bewahren (vgl. BGH NJW 2018, 2956, Rn. 17 m.w.N.). Es muss dabei aber nicht für alle denkbaren Möglichkeiten eines Schadenseintritts vorgesorgt, sondern nur ein Sicherheitsgrad erreicht werden, den die herrschende Verkehrsauffassung im jeweiligen Bereich für erforderlich hält (vgl. BGH NJW 2018, 2956, Rn. 18 m.w.N.).

Inwiefern die Klägerin eine Schutzpflicht treffen soll, die über das Instandhalten der Fitnessgeräte und die Bereitstellung hilfsbereiten Personals und von Spinden o.Ä. hinausgeht, ist nicht nachvollziehbar. Es ist nicht davon auszugehen, dass es der herrschenden Verkehrsanschauung im Fitnessstudiobetrieb entspricht, die Trainierenden durch lückenlose Videoüberwachung vor Übergriffen und Diebstählen zu schützen oder ihnen eine erleichterte Verfolgung solcher Vorkommnisse durch die Videoüberwachung zu ermöglichen.

(3) Schließlich konnten auch nicht die berechtigten Interessen der Klägerin oder der Trainierenden selbst die Videoüberwachung rechtfertigen. Gemäß Art. 6 Abs. 1 Buchst. f) DS-GVO ist eine Datenverarbeitung rechtmäßig, wenn sie zur Wahrung der berechtigten Interessen des Verantwortlichen oder eines Dritten erforderlich ist, sofern nicht die Interessen oder Grundrechte und Grundfreiheiten der betroffenen Person, die den Schutz personenbezogener Daten erfordern, überwiegen […]. Die Klägerin kann zwar berechtigte Interessen im Sinne der Vorschrift geltend machen (hierzu (a)), zu deren Wahrung die Videoüberwachung erforderlich ist (hierzu (b)), jedoch überwiegen die Interessen der Trainierenden, namentlich deren Grundrecht auf informationelle Selbstbestimmung aus Art. 1 Abs. 1 i.V.m. Art. 2 Abs. 1 GG, diese Interessen (hierzu (c)).

(a) Die Klägerin machte als berechtigte Interessen zum einen eigene Interessen (Prävention und Verfolgung von Diebstahl und Sachbeschädigung) und zum anderen Interessen der Trainierenden (Schutz vor Diebstahl und Übergriffen) geltend. Erforderlich, aber auch ausreichend für den Begriff des berechtigten Interesses ist ein „guter Grund“, sprich ein schutzwürdiges und objektiv begründbares Interesse (BVerwG, U. v. 27. März 2019 - 6 C 2/18 - Rn. 25 bei juris (noch zu § 6b Abs. 1 BDSG a.F.)). Die Geltendmachung, Ausübung und Durchsetzung von Rechtsansprüchen (wie Schadensersatzansprüche nach Diebstahl oder Sachbeschädigung) sind berechtigte Interessen (Buchner/Petri in: Kühling/Buchner, DS-GVO BDSG, Art. 6 DS-GVO, Rn. 147). Ebenso kann das Interesse der Trainierenden, von einem Fitnessstudiobetreiber vor Diebstählen und Übergriffen geschützt zu werden, als „berechtigt“ i.S.d. Art. 6 Abs. 1 f) DS-GVO eingeordnet werden, da der Begriff des berechtigten Interesses weit auszulegen ist; eine normative Einschränkung erfolgt erst später im Rahmen der Interessenabwägung (Albers/Veit in: BeckOK Datenschutzrecht, Art. 6, Rn. 50).

(b) Auch die Erforderlichkeit der Videoüberwachung kann noch bejaht werden, da jedenfalls für die Aufklärung von Diebstählen, Sachbeschädigungen und Übergriffen kein anderes, gleich effektives Mittel (vgl. Buchner/Petri in: Kühling/Buchner, DS-GVO BDSG, Art. 6 DS-GVO, Rn. 147a) ersichtlich ist.

(c) Die Interessen der Trainierenden überwiegen jedoch die von der Klägerin vorgebrachten berechtigten Interessen an der Videoüberwachung. Die Trainierenden sind in ihrem Grundrecht auf informationelle Selbstbestimmung als Teil des allgemeinen Persönlichkeitsrechts aus Art. 1 Abs. 1 i.V.m. Art. 2 Abs. 1 GG berührt und zwar in ganz erheblicher Weise. Bei der durchgehenden Videoüberwachung im Fitnessstudio der Klägerin während der gesamten Öffnungszeiten auf allen Trainingsflächen handelt es sich um einen gravierenden Eingriff in dieses Grundrecht aller Trainierenden, mithin einer erheblichen Anzahl von Personen, ohne räumliche oder zeitliche Ausweichmöglichkeit. Schon aufgrund dieser Alternativlosigkeit der Trainierenden überwiegen deren Interessen die der Klägerin. Ihr stehen nämlich durchaus andere, zwar möglicherweise nicht genauso effektive, aber jedenfalls ausreichend effektive Maßnahmen zur Wahrung ihrer Interessen zur Verfügung wie beispielsweise eine Aufstockung des Personals. Die Klägerin kann sich nicht allein darauf berufen, die Videoüberwachung sei gegenüber der Personalaufstockung die wirtschaftlich sinnvollere Alternative (vgl. Buchner/Petri in: Kühling/Buchner, DS-GVO BDSG, Art. 6 DS-GVO, Rn. 147a).

Erschwerend kommt hinzu, dass die Trainierenden nicht mit einer Videoüberwachung im Fitnessstudio rechnen mussten. Bei der Abwägung der beiderseitigen Interessen ist zu berücksichtigen, dass gemäß Satz 4 des DS-GVO-Erwägungsgrundes 47 insbesondere dann, wenn personenbezogene Daten in Situationen verarbeitet werden, in denen eine betroffene Person vernünftigerweise nicht mit einer weiteren Verarbeitung rechnen muss, die Interessen und Grundrechte der betroffenen Person das Interesse des Verantwortlichen überwiegen könnten. Laut den gemäß Art. 70 Abs. 1 Buchst. e) DS-GVO zur Sicherstellung einer einheitlichen Anwendung der DS-GVO erlassenen Leitlinien des Europäischen Datenschutzausschusses (EDSA) ist entscheidendes Kriterium für die Auslegung des Begriffs der vernünftigen Erwartung, ob ein objektiver Dritter vernünftigerweise in der konkreten Situation erwarten kann, dass er überwacht wird (EDSA, Leitlinien 3/2019 zur Verarbeitung personenbezogener Daten durch Videogeräte, Version 2.0, Rn. 36, abgerufen unter edpb_guidelines_201903_video_devices_de.pdf (europa.eu)). Hinweisschilder, die über die Videoüberwachung informieren, sind zur Bestimmung, was eine betroffene Person objektiv in einer bestimmten Situation erwarten kann, unerheblich (EDSA, a.a.O, Rn. 40). In öffentlich zugänglichen Bereichen können betroffene Personen davon ausgehen, dass sie nicht überwacht werden, vor allem, wenn diese Bereiche typischerweise für Freizeitaktivitäten genutzt werden, wie es bei Fitnesseinrichtungen der Fall ist (EDSA, a.a.O., Rn. 38). Da vorliegend nichts dafür spricht, von diesem Grundsatz abzuweichen, führt auch dies zu einem Überwiegen der Interessen der Trainierenden.

Auch bei Betrachtung des Umfangs der der Klägerin entstandenen Schäden ist keine andere Gewichtung der Interessen geboten. Nach den Angaben der Klägerin in der mündlichen Verhandlung belaufen sich die Diebstähle auf circa zehn Fälle jährlich und die Sachbeschädigungen auf circa 10.000 EUR bis 15.000 EUR jährlich, während die Einnahmen beispielhaft im Jahr 2019 200.000 EUR betrugen. Die finanziellen Einbußen der Klägerin halten sich daher in einem Rahmen, der in keinem Verhältnis zu einer lückenlosen Videoüberwachung der Trainierenden steht. Wenn die Klägerin darüber hinaus in der mündlichen Verhandlung ausführt, dass hinsichtlich der Kleingeräte keinerlei Diebstahlsicherungen sinnvoll umsetzbar sind, muss letztlich aus unternehmerischer Sicht hingenommen werden, dass nicht jegliche finanziellen Risiken abgewendet werden können, ganz besonders nicht auf Kosten der informationellen Selbstbestimmung der gesamten Kundschaft.

Auch die berechtigten Interessen der Trainierenden selbst, die die Klägerin ebenfalls geltend macht, begründen kein anderes Abwägungsergebnis. Zwar mag die Videoüberwachung für manche eher ein willkommenes Gefühl der Sicherheit als einen unangenehmen Anpassungsdruck auslösen. Die Risiken der Aufklärbarkeit eines Diebstahls oder Übergriffs liegen aber primär im Verantwortungsbereich der Trainierenden selbst, nicht dem der Klägerin. Wer das Smartphone nicht in den Spind sperrt, ist sich regelmäßig der so erleichterten Möglichkeit eines Diebstahls im Trainingsraum im Fitnessstudio bewusst. Auch dass die Aufklärung von Straftaten in einem verhältnismäßig engen Raum unter vielen sich fremden Menschen erschwert ist, dürfte den Trainierenden als Teil des allgemeinen Lebensrisikos bewusst sein. Es liegt in der Hand der Trainierenden selbst, dieses Risiko bei Bedarf zu minimieren, indem beispielsweise Trainingsgeräte in der Nähe der Empfangstheke gewählt werden oder zu zweit oder zu einer „risikoärmeren“ Uhrzeit trainiert wird. Das Interesse der Trainierenden, vor diesem allgemeinen Lebensrisiko durch die Klägerin mittels Videoüberwachung geschützt zu werden, wiegt nicht so schwer, wie das Interesse daran, im Fitnessstudio überwachungsfrei trainieren zu können.

Das Gericht sieht hier auch keine Vergleichbarkeit mit dem Einzelhandel, da dort zum einen ein deutlich geringerer Eingriff in das allgemeine Persönlichkeitsrecht vorliegt (regelmäßig kürzerer Aufenthalt und auch weniger private Tätigkeit als im Fitnessstudio), zum anderen aber das Diebstahlrisiko und die Aufklärungsschwierigkeiten noch höher sein dürften durch den schnelleren Kundenwechsel, die höhere Zahl an kleinen Gegenständen und die leichteren Verstauungsmöglichkeiten beispielsweise in Jacken- und Hosentaschen.

Da somit mangels Rechtsgrundlage für die Datenverarbeitung mittels Videoüberwachung ein datenschutzrechtlicher Verstoß gegeben war, durfte die Beklagte eine Abhilfemaßnahme nach Art. 58 Abs. 2 DS-GVO ergreifen. Der Aufsichtsbehörde steht bezüglich der Wahl der konkreten Abhilfemaßnahme ein Ermessen zu (vgl. dazu DS-GVO-EG 129), welches gerichtlich nur eingeschränkt überprüfbar ist, § 20 Abs. 2 BDSG i.V.m. § 114 VwGO. Vorliegend sind Ermessensfehler hinsichtlich der Untersagungsanordnung weder vorgetragen noch sonst ersichtlich.

Die Untersagungsanordnung war auch verhältnismäßig (vgl. DS-GVO-Erwägungsgrund 129), insbesondere ist kein milderes, gleich effektives Mittel zur Herstellung des Einklangs mit der DS-GVO ersichtlich. Da die gesamte Trainingsfläche lückenlos überwacht wurde, könnte eine (nachträgliche) Einwilligung i.S.d. Art. 6 Abs. 1 Buchst. a) DS-GVO mangels Freiwilligkeit und Widerruflichkeit i.S.d. Art. 7 DS-GVO nicht wirksam eingeholt werden. Eine mögliche Anordnung des Beklagten nach Art. 58 Abs. 2 Buchst. d) DS-GVO, die Videoüberwachung wirksam zum Bestandteil des Vertrags mit den Trainierenden zu machen (statt des bloßen Hinweises in den Datenschutzhinweisen), erscheint zum einen schon mit Blick auf die zivilrechtlichen Vorschriften zur AGB-Kontrolle problematisch (vgl. dazu LG Koblenz BeckRS 2014, 1243) und hätte zum anderen einen erheblichen Eingriff in die Privatautonomie der Klägerin und somit auch kein milderes Mittel dargestellt. Das Verbot der Videoüberwachung war daher als ultima ratio erforderlich. Das Verbot war auch angemessen, denn das öffentliche Interesse an der Herstellung eines datenschutzkonformen Zustands im Fitnessstudio der Klägerin überwiegt das Interesse der Klägerin an der Videoüberwachung, da ein schwerwiegender Eingriff in das Persönlichkeitsrecht der Trainierenden vorlag (siehe hierzu auch die Ausführungen oben zu Art. 6 Abs. 1 Buchst. f) DS-GVO).

b) Die Mitteilungsanordnung in Ziffer II des streitgegenständlichen Bescheids ist demgegenüber materiell rechtswidrig und daher aufzuheben, denn der streitgegenständliche Bescheid enthält bezüglich seiner Ziffer II keinerlei Begründung i.S.d. Art. 39 BayVwVfG (vgl. auch DS-GVO-Erwägungsgrund 129) oder Ermessenserwägungen. An diesem Ermessensausfall konnte auch der Schriftsatz des Beklagten vom 31. Januar 2022 nichts ändern.

Die fehlende Begründung der Ziffer II stellte zunächst einen Formfehler dar, der aber durch die Ausführungen des Beklagten im Schriftsatz vom 31. Januar 2022 gemäß Art. 45 Abs. 1 Nr. 2, Abs. 2 BayVwVfG geheilt werden konnte, sodass Ziffer II formell rechtmäßig war.

Als Rechtsgrundlage für Ziffer II wurde in diesem Schreiben vom 31. Januar 2022 Art. 58 Abs. 1 Buchst. a) DS-GVO genannt. Hinsichtlich der Wahl der im Einzelfall anzuwendenden Untersuchungsbefugnis des Abs. 1 des Art. 58 DS-GVO steht der Aufsichtsbehörde ein Auswahlermessen zu (vgl. DS-GVO-Erwägungsgrund 129), welches gerichtlich nur eingeschränkt überprüfbar ist gemäß § 20 Abs. 2 BDSG i.V.m. § 114 Satz 1 VwGO. Der streitgegenständliche Bescheid enthält jedoch keine Ausführungen, aus denen ersichtlich wäre, dass der Beklagte dieses Ermessen bezüglich Ziffer II des Bescheids erkannt und ausgeübt hat. Dies allein stellt schon ein starkes Indiz für einen materiellen Ermessensausfall dar (BayVGH NVwZ-RR 2008, 787 (787 f.); Stelkens in: Stelkens/Bonk/Sachs, VwVfG, § 39, Rn. 28 m.w.N.).

Es können auch nicht die zur Untersagungsanordnung in Ziffer I des Bescheids angestellten Ermessenserwägungen auf Ziffer II übertragen werden, da sich diese in keiner Weise mit der Art und Weise, wie die Umsetzung der Untersagung überprüft werden könnte, auseinandersetzen (vgl. zur Übertragung von Ermessenserwägungen BVerwG NVwZ 2007, 470 (471)). Insgesamt ist schlicht nicht erkennbar, dass bei der Wahl der passenden Untersuchungsbefugnis zur Kontrolle der Umsetzung der Untersagungsanordnung die notwendige Abwägung zwischen den öffentlichen Interessen und den privaten Interessen der Klägerin stattgefunden hat. Auch das nachträgliche Vorbringen des Beklagten im Schriftsatz vom 31. Januar 2022 konnte diesbezüglich nicht berücksichtigt werden, denn § 114 Satz 2 VwGO ermöglicht lediglich die Ergänzung defizitärer Ermessenserwägungen, nicht aber die nachträgliche erstmalige Ausübung (BVerwG NVwZ 2007, 470 (471)). Nach alldem lag ein Ermessensausfall vor.

Ziffer II des streitgegenständlichen Bescheids war daher wegen des Ermessensausfalls rechtswidrig. Insoweit war die Klägerin als Adressatin des belastenden Verwaltungsakts auch in ihrem Recht auf wirtschaftliche Handlungsfreiheit aus Art. 2 Abs. 1 i.V.m. Art. 19 Abs. 3 GG verletzt, sodass Ziffer II gemäß § 113 Abs. 1 Satz 1 VwGO aufzuheben war.

c) Die formell rechtmäßige Zwangsgeldandrohung in Ziffer III des streitgegenständlichen Bescheids ist auch materiell rechtmäßig, insbesondere wurde wirksam eine Frist i.S.d. Art. 36 Abs. 1 Satz 2 VwZVG gesetzt. Zwar setzt Ziffer III nach ihrem Wortlaut selbst keine entsprechende Frist, jedoch enthält die Begründung zur Ziffer III auf Seite 4 des streitgegenständlichen Bescheids eindeutig die vom Beklagten beabsichtigte Frist, nämlich zwei Wochen nach Bestandskraft des Bescheids. Da die Begründung zur Bestimmung des Regelungsinhalts eines Verwaltungsakts zu Hilfe zu nehmen ist (Stelkens in: Stelkens/Bonk/Sachs, Verwaltungsverfahrensgesetz, Art. 35, Rn. 76), ist vorliegend eine Frist i.S.d. Art. 36 Abs. 1 Satz 2 VwZVG ordnungsgemäß gesetzt worden. Auch die Bestimmtheit gemäß Art. 37 BayVwVfG ist dabei gewahrt (vgl. hierzu Stelkens in: Stelkens/Bonk/Sachs, Verwaltungsverfahrensgesetz, Art. 39, Rn. 26).


Den Volltext der Entscheidung finden Sie hier:



OLG Brandenburg: Berechtigtes Interesse nach Art. 6 Abs. 1 lit. f DGSVO - Datenübermittlung zur Überprüfung der Einhaltung der Verpflichtung zur Zahlung des Mindestlohns durch einen Subunternehmer

OLG Brandenburg
Urteil vom 23.02.2022
4 U 111/21


Das OLG Brandenburg hat entschieden, dass ein berechtigtes Interesse nach Art. 6 Abs. 1 lit. f DGSVO vorliegt, wenn die Datenverarbeitung der Überprüfung der Einhaltung der Verpflichtung zur Zahlung des Mindestlohns durch einen Subunternehmer

Aus den Entscheidungsgründen:
b) Die Klägerin ist durch die Vorschriften der seit 2018 geltenden Regelungen der Datenschutzgrundverordnung (im Folgenden DSGVO) nicht gehindert, gegenüber der Beklagten Nachweise über die Zahlung des Mindestlohns an die Mitarbeiter, die sie zur Erfüllung von Aufträgen der Beklagten eingesetzt hat, zu erbringen. Diese Form der Verarbeitung personenbezogener Daten der Mitarbeiter der Klägerin ist vielmehr, soweit dabei die Grenzen der Erforderlichkeit und der Datensparsamkeit eingehalten werden, gemäß Art 6 Abs. 1 lit f. DSGVO erlaubt.

aa) Dabei verkennt der Senat nicht, dass Vereinbarungen zwischen einem Generalunternehmer – wie der Beklagten – und einem Subunternehmer – wie der Klägerin – über Vorlagepflichten und Einsichtsrechte zur Überprüfung der Einhaltung des Mindestlohngesetztes (im Folgenden MiLoG) zwar einerseits mit Blick auf die Haftung des Generalunternehmers aus § 13 MiLoG i.V.m. § 14 AEntG üblich sind und in der Literatur zum MiLoG sogar empfohlen werden (vgl. nur: Grimm in Tschöpe, Arbeitsrecht Handbuch, 12. Aufl. 2021, E. Arbeitnehmerentsendung und Mindestlohn Rn. 128; Bissels/Falter, Gesetzlicher Mindestlohn – Fallstricke bei der Haftung für Subunternehmer nach dem MiLoG) – DB 2015, 65, 67; Rittweger/Zieglmeier, Checkliste Mindestlohn, NZA 2015, 976,977), andererseits datenschutzrechtlich durchaus als problematisch (Tschöpe a.a.O., Datenschutzbeauftragte des Bundes du der Länger, z.B. Internetauftritt des Sächsischen Datenschutzbeauftragten), teilweise sogar als schlichtweg unzulässig (Frank/Krause, Datenschutzrechtliche Aspekte des Mindestlohngesetztes, DB 2015, 1285, 1286) erachtet werden.

Datenschutzrechtlich stellt sich die Rechtslage bezogen auf den für die Entscheidung des Rechtsstreits maßgeblichen Zeitraum August/September 2019 wie folgt dar:

Trotz Inkrafttretens der DSGVO mit Wirkung ab dem 25.05.2018 ist die Frage des Umgangs eines Unternehmers mit personenbezogenen Daten der bei ihm Beschäftigten grundsätzlich zunächst nach § 26 BDSG a.F. zu beurteilen, da die Bundesrepublik Deutschland mit dieser Vorschrift von der in Art. 88 DSGVO eingeräumten Befugnis, zur Gewährleistung des Schutzes der Rechte und Freiheiten hinsichtlich der Verarbeitung personenbezogener Beschäftigtendaten im Beschäftigungskontext spezifischere Vorschriften zu erlassen, Gebrauch gemacht hat. Dabei gehört zur Verarbeitung im Sinne des BDSG aufgrund der Begriffsdefinition in Art. 4 Ziff. 2 DSGVO auch die „Offenlegung durch Übermittlung, Verbreitung oder eine andere Form der Bereitstellung“. Gemäß § 26 Abs. 1 BDSG a.F. ist die Verarbeitung personenbezogener Daten für Zwecke des Beschäftigungsverhältnisses zulässig, wenn dies für die Entscheidung über die Begründung eines Beschäftigungsverhältnisses oder nach Begründung des Beschäftigungsverhältnisses für dessen Durchführung oder Beendigung oder zur Ausübung bestimmter Rechte und Pflichten der Interessenvertretung von Beschäftigten erforderlich ist. Die Überprüfung der Einhaltung der Verpflichtung zur Zahlung des Mindestlohns durch einen Generalunternehmer als Auftraggeber der Beschäftigten eines Unternehmens, mag sie auch im Interesse der Beschäftigten liegen, gehört nicht zu der danach erlaubten Verarbeitung persönlicher Daten. Erlaubt ist die Verarbeitung personenbezogener Daten der Beschäftigten darüber hinaus auf der Grundlage einer Einwilligung (§ 26 Abs. 2 BDSG a.F.). Derartige Einwilligungen der Mitarbeiter der Klägerin liegen indes – unbestritten – (jedenfalls bislang) nicht vor. Ebenso wenig gibt es einen Anhaltspunkt für das Vorliegen einer Kollektivvereinbarung (§ 26 Abs. 4 BDSG a.F.). Schließlich geht es auch nicht um die Verarbeitung personenbezogener Daten im Sinne von Art 9 DSGVO, für die § 26 Abs. 3 BDSG eine gesonderte Regelung trifft.

Der Umstand, dass danach die Regelungen in § 26 BDSG eine Übermittlung von Stundennachweisen und Lohnabrechnungen – dass diese personenbezogene Daten der Mitarbeiter der Klägerin enthalten, steht außer Frage - nicht erlauben, bedeutet gleichwohl nicht zwingend, dass die Beklagten sich mit pauschalen Versicherungen der Klägerin oder deren Steuerberaters in Bezug auf die Einhaltung der Verpflichtung zur Zahlung des Mindestlohns zufrieden geben muss. Zulässig ist vielmehr – ebenso wie dies im Verhältnis zwischen § 32 BDSG a.F. und § 28 Abs. 1 S. 1 Nr. 2 BGSG a.F. der Fall war (BAG, Urteil vom 29.06.2017 – 2 AZR 597/16 – Rn. 25 ff.) – ein Rückgriff auf Art. 6 DSGVO (Plath DSGVO/BDSG, 3. Aufl. 2018 Rn. 13 m.w.N.). Gemäß Art 6 Abs. 1 lit f. DSGVO ist jedoch eine Verarbeitung rechtmäßig, wenn sie zur Wahrung der berechtigten Interessen des Verantwortlichen oder eines Dritten erforderlich ist, sofern nicht die Interessen oder Grundrechte und Grundfreiheiten der betroffenen Person, die den Schutz personenbezogener Daten erfordern, überwiegen.

bb) Die Voraussetzungen des Art. 6 Abs. 1 lit. f DGSVO liegen für einen Nachweis der Einhaltung der Verpflichtung zur Zahlung des Mindestlohns durch einen Subunternehmer an den Generalunternehmer im Hinblick auf zur Nachweisführung erforderlichen persönliche Daten der Beschäftigten des Subunternehmers vor.

Der Generalunternehmer hat – wie das Landgericht zutreffend ausgeführt hat – ein berechtigtes Interesse, von dem Subunternehmer einen Nachweis zur Einhaltung der Mindestlohnzahlung zu verlangen. Dieses ergibt sich daraus, dass der Generalunternehmer gemäß § 13 MiLoG i.V.m. § 14 AEntG wie ein Bürge für die Verpflichtung des Subunternehmers gegenüber seinen Beschäftigten für die Zahlung des Mindestlohns einzustehen hat.

Die durch das Verlangen von Nachweisen über die Zahlung des Mindestlohns ermöglichte Kontrolle des Generalunternehmers gegenüber dem Subunternehmer ist zur Wahrung des berechtigten Interesses des Generalunternehmers auch erforderlich. Dem steht nicht entgegen (so aber Frank/Krause, Datenschutzrechtliche Aspekte des Mindestlohngesetztes, DB 2015, 1285, 1286), dass dem Generalunternehmer auch andere Möglichkeiten zur Minimierung seines Haftungsrisikos zur Verfügung stehen, so etwa die – hier von der Beklagten gemäß § 4 Abs. 3 und 4 des Nachunternehmervertrages auch ergriffenen - Möglichkeiten, sich durch vertragliche Vereinbarung im Verhältnis zu dem Subunternehmer freizuzeichnen oder sich im Falle des Verstoßes gegen das MiLoG ein Kündigungsrecht einräumen zu lassen. Daneben werden Vertragsstrafenregelungen oder, um auch das Insolvenzrisiko des Subunternehmers auszuschließen, die Möglichkeit des Verlangens der Absicherung einer Inanspruchnahme nach dem MiLoG durch eine Bürgschaft oder einen Sicherheitseinbehalt vorgeschlagen (vgl. nur etwa: Bissels/Falter, Gesetzlicher Mindestlohn – Fallstricke bei der Haftung für Subunternehmer nach dem MiLoG – DB 2015, 65, 67/68). Bei all diesen alternativen Maßnahmen muss der Generalunternehmer jedoch entweder in Kauf nehmen, dass der Subunternehmer von vornherein eine höhere Vergütung verlangt, etwa um Avalkosten oder Liquiditätseinbußen durch Sicherheitseinbehalte abzudecken, oder er kann lediglich reaktiv bei Verstößen das Vertragsverhältnis beenden und Ersatz seiner Aufwendungen/Schäden verlangen. Eine Vereinbarung, wonach sich der Subunternehmer verpflichtet, dem Generalunternehmer Unterlagen zum Nachweis der Mindestlohnzahl vorzulegen, wirkt dagegen allein wegen der damit verbundenen Kontrollfunktion präventiv, d.h. sie vermeidet – in den Grenzen einer im Geschäftsverkehr zwischen Unternehmen gebotenen Praktikabilität -, dass es überhaupt zu seiner Inanspruchnahme des Generalunternehmers durch die Beschäftigten des Subunternehmers kommen kann. Auch dieses Haftungsvermeidungsinteresse des Generalunternehmers ist jedoch gerade wegen des Gleichlaufs mit den Zwecken des Mindestlohngesetzes als berechtigt zu erachten.

Einer Weitergabe zur Kontrolle der Einhaltung der Verpflichtung zur Zahlung des Mindestlohns erforderlicher personenbezogener Daten der Beschäftigten des Subunternehmers an den Generalunternehmer stehen schließlich auch keine Interessen oder Grundrechte und Grundfreiheiten der Beschäftigten des Subunternehmers entgegen, die den Schutz personenbezogener Daten erfordern und das berechtigte Interesse des Generalunternehmers überwiegen. Den Rechten und Interessen der Beschäftigten des Subunternehmers kann nämlich im Rahmen der insoweit vorzunehmenden Interessenabwägung dadurch Rechnung getragen werden, dass die zur Erfüllung des – in seiner Präventivwirkung gerade auch die Beschäftigten des Subunternehmers in ihrem Interesse an der Zahlung des Mindestlohns schützenden - Kontrollinteresses des Generalunternehmers erforderliche Offenlegung ihrer personenbezogenen Daten so datensparsam wie eben möglich erfolgt, was – wie das Landgericht zu Recht ausgeführt hat – ggf. durch Anonymisierungen, Pseudonymisierungen oder Schwärzungen sicherzustellen ist.


Den Volltext der Entscheidung finden Sie hier:



LAG Mecklenburg-Vorpommern: Recht des Arbeitnehmers sich auf Unwirksamkeit des Widerrufs der Bestellung zum Datenschutzbeauftragten zu berufen kann verwirken

LAG Mecklenburg-Vorpommern
Urteil vom 07.12.2021
5 Sa 113/21

Das LAG Mecklenburg-Vorpommern hat entschieden, dass das Recht des Arbeitnehmers, sich auf die Unwirksamkeit des Widerrufs der Bestellung zum Datenschutzbeauftragten zu berufen, verwirken kann.

Aus den Entscheidungsgründen:
Die ordentliche Kündigung des Klägers ist nicht aufgrund seiner früheren Stellung als Datenschutzbeauftragter der Beklagten ausgeschlossen.

Nach § 6 Abs. 4 Satz 2, § 38 Abs. 2 BDSG ist die Kündigung eines Datenschutzbeauftragten unzulässig, es sei denn, dass Tatsachen vorliegen, welche den Arbeitgeber zur Kündigung aus wichtigem Grund ohne Einhaltung einer Kündigungsfrist berechtigen. Nach dem Ende der Tätigkeit als Datenschutzbeauftragter ist die Kündigung des Arbeitsverhältnisses innerhalb eines Jahres unzulässig, es sei denn, dass der Arbeitgeber zur Kündigung aus wichtigem Grund ohne Einhaltung einer Kündigungsfrist berechtigt ist (§ 6 Abs. 4 Satz 3, § 38 Abs. 2 BDSG).

Zum Zeitpunkt des Zugangs der Kündigung war der Kläger nicht mehr Datenschutzbeauftragter der Beklagten. Der nachwirkende einjährige Kündigungsschutz war ebenfalls ausgelaufen. Die Beklagte hat die Bestellung des Klägers zum Datenschutzbeauftragten mit Schreiben vom 19.02.2018 widerrufen. Dieser Widerruf ist wirksam geworden. Es kann dahinstehen, ob seinerzeit gemäß § 4f Abs. 3 Satz 4 BDSG in der bis zum 24.05.2018 geltenden Fassung ein wichtiger Grund in entsprechender Anwendung des § 626 BGB für einen Widerruf vorlag. Der Kläger hat jedenfalls das Recht, die Unwirksamkeit des Widerrufs geltend zu machen, unter Berücksichtigung der besonderen Umstände des Einzelfalls verwirkt. Ist die Abberufung als Datenschutzbeauftragter wirksam geworden, ist diese Arbeitsaufgabe nicht mehr Bestandteil der vertraglich geschuldeten Leistung. Es bedarf dann keiner Teilkündigung mehr (BAG, Urteil vom 23. März 2011 – 10 AZR 562/09 – Rn. 30, juris = ZTR 2011, 561).

Die Verwirkung ist ein Sonderfall der unzulässigen Rechtsausübung (§ 242 BGB). Mit ihr wird die illoyal verspätete Geltendmachung von Rechten ausgeschlossen. Sie beruht auf dem Gedanken des Vertrauensschutzes und trägt dem Bedürfnis nach Rechtssicherheit und Rechtsklarheit Rechnung. Die Verwirkung verfolgt nicht den Zweck, den Schuldner bereits dann von seiner Verpflichtung zu befreien, wenn dessen Gläubiger seine Rechte längere Zeit nicht geltend gemacht hat (Zeitmoment). Der Berechtigte muss vielmehr unter Umständen untätig geblieben sein, die den Eindruck erweckten, dass er sein Recht nicht mehr geltend machen wolle, so dass der Verpflichtete sich darauf einstellen durfte, nicht mehr in Anspruch genommen zu werden (Umstandsmoment). Hierbei muss das Erfordernis des Vertrauensschutzes auf Seiten des Verpflichteten das Interesse des Berechtigten derart überwiegen, dass ihm die Erfüllung des Anspruchs nicht mehr zuzumuten ist

(z. B. BAG, Urteil vom 22. Juli 2021 – 2 AZR 6/21 – Rn. 26, juris = NZA 2021, 1405).

Die Beklagte durfte spätestens bei Zugang der Kündigung vom 28.05.2020 davon ausgehen, dass der Kläger ihr gegenüber eine evtl. Unwirksamkeit des Widerrufs seiner Bestellung zum Datenschutzbeauftragten nicht mehr geltend machen werde. Der Kläger hat sich zwar gegen die beiden außerordentlichen Kündigungen der Beklagten gewehrt. Die Abberufung als Datenschutzbeauftragter hat er ihr gegenüber jedoch weder gerichtlich noch in anderer Weise ausreichend geltend gemacht. Soweit der Kläger die Beklagte im Nachgang zur Kündigung mit Schreiben vom 22.07.2020 aufgefordert hat, seinen Status als Datenschutzbeauftragter anzuerkennen, ist diese Aufforderung für die rechtliche Bewertung der Kündigung nicht von Bedeutung, da hierfür allein der Zeitpunkt des Kündigungszugangs maßgeblich ist. Gerichtlich geltend gemacht hat der Kläger die Unwirksamkeit des Widerrufs seiner Bestellung zum Datenschutzbeauftragten durch die Beklagte lediglich gegenüber der Universitätsmedizin A-Stadt. Das Urteil des Landesarbeitsgerichts hierzu vom 25.02.2020 (Aktenzeichen 5 Sa 108/19) bindet nur die Universitätsmedizin A-Stadt, nicht aber die Beklagte, was im Übrigen auch insoweit gilt, als das Arbeitsgericht die Klage – u. a. hinsichtlich des Widerrufs der Beklagten – rechtskräftig abgewiesen hat. Das Vertrauen der Beklagten in die Wirksamkeit der Abberufung ist schutzwürdig. Der Kläger hat ihr gegenüber mehr als zwei Jahre lang eine evtl. Unwirksamkeit des Widerrufs nicht geltend gemacht. Die Beklagte durfte davon ausgehen, nunmehr über den Arbeitsplatz des Klägers betrieblich disponieren zu können.

Den Volltext der Entscheidung finden Sie hier:

LAG Hamm: DSGVO-Verstoß durch nicht notwendige Datenübermittlung innerhalb eines Konzerns - Unterlassungsanspruch und Schadensersatz in Höhe von 2.000 EURO

LAG Hamm
Urteil vom 14.12.2021
17 Sa 1185/20


Das LAG Hamm hat entschieden, dass einem Arbeitnehmer ein Unterlassungsanspruch und immaterieller Schadensersatz in Höhe von 2.000 EURO zusteht, wenn der Arbeitgeber durch Datenweitergabe innerhalb des Konzerns, die nicht für die Durchführungen des Arbeitsverhältnisses erforderlich ist, gegen die Vorgaben der DSGVO verstößt.

Aus den Entscheidungsgründen:

1. Die Klägerin hat gegen die Beklagte einen Anspruch auf Unterlassung der Übermittlung der streitgegenständlichen Daten an die AKG. Der Anspruch folgt aus § 1004 Abs. 1 BGB, § 823 Abs. 2 Satz 1 BGB iVm. Art. 5 Abs. 1 Buchstabe a Var. 1, Art. 6 Abs. 1 DSGVO.

a) Nach allgemeinen Grundsätzen kann in entsprechender Anwendung des § 1004 Abs. 1 BGB die Unterlassung objektiv rechtswidriger Eingriffe in geschützte Rechtsgüter im Sinne des § 823 Abs. 2 Satz 1 BGB verlangt werden. Demnach ist derjenige, der gegen ein den Schutz eines anderen bezweckendes Gesetz im Sinne des § 823 Abs. 2 Satz 1 BGB verstößt, dem anderen entsprechend § 1004 Abs. 1 BGB zur Unterlassung verpflichtet. Ist nach dem Inhalt des Gesetzes ein Verstoß gegen dieses auch ohne Verschulden möglich, so tritt die Unterlassungspflicht - anders als die Ersatzpflicht (§ 823 Abs. 2 Satz 2 BGB) - auch ohne ein Verschulden des Verletzers ein (BGH 17.07.2008 – I ZR 219/05 – Rn. 13; Grüneberg/Sprau BGB 81. Aufl. Einf. v. § 823 Rn. 27ff.).

b) Art. 5 Abs. 1 Buchstabe a Var. 1 und Art. 6 Abs. 1 DSGVO sind Schutzgesetze iSd. § 823 Abs. 2 Satz 1 BGB.

aa) Eine Rechtsnorm ist ein Schutzgesetz iSd. § 823 Abs. 2 BGB, wenn sie zumindest auch dazu dienen soll, den Einzelnen oder einzelne Personenkreise gegen die Verletzung eines bestimmten Rechtsguts zu schützen. Dafür kommt es nicht auf die Wirkung, sondern auf Inhalt und Zweck des Gesetzes sowie darauf an, ob der Gesetzgeber bei Erlass des Gesetzes gerade einen Rechtsschutz, wie er wegen der behaupteten Verletzung in Anspruch genommen wird, zugunsten von Einzelpersonen oder bestimmten Personenkreisen gewollt oder doch mitgewollt hat. Es genügt, dass die Norm auch das Interesse des Einzelnen schützen soll, mag sie auch in erster Linie dasjenige der Allgemeinheit im Auge haben. Nicht ausreichend ist aber, dass der Individualschutz durch Befolgung der Norm nur als ihr Reflex objektiv erreicht wird; er muss vielmehr im Aufgabenbereich der Norm liegen (BGH 25.05.2020 – VI ZR 252/19 - Rn. 73 mwN).

bb) Gemäß Art. 5 Abs. 1 Buchstabe a Var. 1 DSGVO müssen personenbezogene Daten auf rechtmäßige Weise verarbeitet werden. Gemäß Art. 6 Abs. 1 DSGVO ist die Verarbeitung nur rechtmäßig, wenn mindestens eine der in den Buchstaben a bis f aufgeführten Bedingungen erfüllt ist. Die zitierten Bestimmungen dienen dem Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten (vgl. Art. 1 Abs. 1 DSGVO). Der in ihnen zum Ausdruck kommende Grundsatz der Rechtmäßigkeit der Verarbeitung personenbezogener Daten schützt gemeinsam mit den anderen in Art. 5 DSGVO niedergelegten Grundsätzen die Grundrechte und Grundfreiheiten natürlicher Personen und insbesondere deren Recht auf Schutz personenbezogener Daten (vgl. Art. 1 Abs. 2 DSGVO). Dass dieser Schutz im Aufgabenbereich der Normen liegt, wird auch aus den Erwägungsgründen (fortan: EG) der DSGVO deutlich: Gemäß EG 2 DSGVO sollen durch die Grundsätze zum Schutz natürlicher Personen bei der Verarbeitung ihrer personenbezogenen Daten - zu diesen gehört nach EG 39 Satz 1 DSGVO auch der hier maßgebliche Grundsatz der Rechtmäßigkeit der Verarbeitung - gewährleistet werden, dass ihre Grundrechte und Grundfreiheiten und insbesondere ihr Recht auf Schutz personenbezogener Daten ungeachtet ihrer Staatsangehörigkeit oder ihres Aufenthaltsorts gewahrt bleiben. Art. 5 Abs. 1 Buchstabe a Var. 1 und Art. 6 Abs. 1 DSGVO sind daher als Schutzgesetze iSd. § 823 Abs. 2 Satz 1 BGB einzuordnen (im Ergebnis ebenso Frenzel in Paal/Pauly DSGVO 3. Aufl. Art. 6 Rn. 2; zur Einordnung von Regelungen des BDSG als Schutzgesetze vgl. BGH 24.07.2018 – VI ZR 330/17 – Rn. 30; 27.02.2018 – VI ZR 489/16 – Rn. 42).

c) Der Anwendungsbereich der DSGVO ist eröffnet (Art. 2 DSGVO). Die von der AKG angefragten Informationen über die Klägerin stellen personenbezogene Daten iSd. Art. 4 Nr. 1 DSGVO dar. Durch die Übermittlung an die AKG hat die Beklagte diese Daten iSv. Art. 4 Nr. 2 DSGVO verarbeitet. Es liegt auch eine zumindest teilweise automatisierte Verarbeitung vor, weil die Daten per E-Mail übermittelt wurden (vgl. Ernst in Paal/Pauly DSGVO 3. Aufl. Art. 2 Rn. 5). Zudem ist davon auszugehen, dass die AKG die übermittelten Daten zur Vergleichsbildung in einem Dateisystem iSd. Art. 4 Nr. 6 DSGVO gespeichert hat. Ein Ausnahmetatbestand nach Art. 2 Abs. 2 DSGVO liegt im Streitfall nicht vor.

d) Die Beklagte ist im Hinblick auf die streitgegenständliche Datenübermittlung „Verantwortlicher“ iSd. Art. 4 Nr. 7 DSGVO, weil ihr die Entscheidungsgewalt über die Daten oblag und sie über das Ob und den Umfang der Datenübermittlung entschied (vgl LAG Baden-Württemberg 25.02.2021 – 17 Sa 37/20 – Rn. 45; EuArbRK/Franzen 4. Aufl. Art. 4 DSGVO Rn. 12; Hartung in Kühling/Buchner DSGVO 3. Aufl. Art. 4 Nr. 7 Rn. 13; Spindler/Dalby in Spindler/Schuster, Recht der elektronischen Medien 4. Aufl. Art. 4 DSGVO Rn. 18). Die Beklagte war damit gemäß Art. 5 Abs. 2 DSGVO für die Einhaltung von Art. 5 Abs. 1 Buchstabe a Var. 1 und Art. 6 Abs. 1 DSGVO verantwortlich.

e) Es liegt ein Verstoß gegen Art. 5 Abs. 1 Buchstabe a Var. 1 DSGVO („Grundsatz der Rechtmäßigkeit der Verarbeitung“) vor. Keiner der in Art. 6 Abs. 1 Buchstabe a bis f genannten Tatbestände ist im Streitfall erfüllt.

aa) Eine Einwilligung der Klägerin iSv. Art. 6 Abs. 1 Buchstabe a DSGVO liegt nicht vor. Auch die Tatbestände in Art. 6 Abs. 1 Buchstabe c, d und e kommen hier als Rechtsgrundlage erkennbar nicht in Betracht.

bb) Die Beklagte kann die Verarbeitung auch nicht auf § 26 BDSG stützen, der als speziellere Vorschrift Art. 6 Abs. 1 Buchstabe b DSGVO im Beschäftigungskontext verdrängt.

(1) § 26 BDSG stellt eine spezifischere Vorschrift iSv. Art. 88 DSGVO dar, welche ihrerseits den Erlaubnistatbestand des Art. 6 Abs. 1 Buchstabe b DSGVO im Beschäftigungskontext konkretisiert. Demnach verdrängt § 26 BDSG in seinem Anwendungsbereich die Regelung des Art. 6 Abs. 1 Buchstabe b DSGVO (LAG Baden-Württemberg 25.02.2021 – 17 Sa 37/20 – Rn. 74; ErfK/Franzen 22. Aufl. § 26 BDSG Rn. 4f. mwN; HWK/Lembke Arbeitsrecht Kommentar 9. Aufl. Einl. DSGVO Rn. 64; Buchner/Petri in: Kühling/Buchner Art. 6 DSGVO Rn. 49f.). Demgegenüber bleiben die übrigen Tatbestände des Art. 6 Abs. 1 DSGVO weiterhin anwendbar (ErfK/Franzen 22. Aufl. § 26 BDSG Rn. 4f.; Gola in: Gola DSGVO 2. Aufl. Art. 6 Rn. 101; Gräber/Nolden in: Paal/Pauly DSGVO 3. Aufl. § 26 BDSG Rn. 10).

(2) Die Verarbeitung ist nicht nach § 26 Abs. 1 BDSG gerechtfertigt.

(a) Nach dieser Vorschrift dürfen personenbezogene Daten von Beschäftigten für Zwecke des Beschäftigungsverhältnisses verarbeitet werden, wenn dies für die Entscheidung über die Begründung eines Beschäftigungsverhältnisses oder nach Begründung des Beschäftigungsverhältnisses für dessen Durchführung oder Beendigung oder zur Ausübung oder Erfüllung der sich aus einem Gesetz oder einem Tarifvertrag, einer Betriebs- oder Dienstvereinbarung (Kollektivvereinbarung) ergebenden Rechte und Pflichten der Interessenvertretung der Beschäftigten erforderlich ist. Für die Durchführung des Arbeitsverhältnisses ist eine Verarbeitung von personenbezogenen Daten danach erforderlich, wenn und soweit der Arbeitgeber sie benötigt, um die Pflichten zu erfüllen und die Rechte geltend machen zu können, welche im Hinblick auf das Arbeitsverhältnis in gesetzlichen Vorschriften, Kollektivverträgen und Individualvereinbarungen mit dem Arbeitnehmer geregelt sind (vgl. HWK/Lembke Arbeitsrecht Kommentar 9. Aufl. Art. 88 DSGVO Rn. 29; BeckOK DatenschutzR/Riesenhuber, 37. Ed. § 26 BDSG Rn. 114).

(b) Die streitgegenständliche Datenübermittlung war zur Durchführung des Arbeitsverhältnisses mit der Klägerin nicht erforderlich. Die AKG ist keine Personalabteilung oder personalverwaltende Stelle der Beklagten. Sämtliche das Arbeitsverhältnis der Klägerin betreffenden Abrechnungs- und Personalverwaltungsvorgänge werden ohne Mitwirkung der AKG vorgenommen. Das Arbeitsverhältnis weist auch keinen anderweitigen Konzernbezug auf (vgl. hierzu allg. Gola in: Gola/Heckmann BDSG 13. Aufl. § 26 Rn. 92; BeckOK DatenschutzR/Riesenhuber, 37. Ed. § 26 BDSG Rn. 183; Gola in: Gola DSGVO 2. Aufl. Art. 6 Rn. 104). Insbesondere ist ein konzernweiter Einsatz der Klägerin nicht vorgesehen; die Versetzungsklausel in § 1 Abs. 5 des Arbeitsvertrags beschränkt den Einsatz auf andere Orte „innerhalb des Unternehmens“. Auch die Beklagte hat nicht behauptet, sie sei zur Durchführung des Arbeitsverhältnisses mit der Klägerin auf die Übermittlung der Daten angewiesen. Sie hat vielmehr geltend gemacht, eine Übermittlung der Daten an die AKG sei für interne Verwaltungszwecke, nämlich zur Schaffung einer einheitlichen Vergütungsstruktur im Konzern, erforderlich.

(3) Die Verarbeitung ist auch nicht nach § 26 Abs. 4 BDSG gerechtfertigt. Zwar existiert die BV LNT. Die hier im Streit stehende Datenübermittlung erfolgte jedoch nicht unter Nutzung der Software, auf die sich die BV LNT bezieht, sondern per E-Mail.

cc) Die Datenverarbeitung ist auch nicht nach Art. 6 Abs. 1 Buchstabe f DSGVO gerechtfertigt.

aa) Nach dieser Bestimmung ist die Verarbeitung personenbezogener Daten rechtmäßig, wenn sie zur Wahrung der berechtigten Interessen des Verantwortlichen oder eines Dritten erforderlich ist, sofern nicht die Interessen oder Grundrechte und Grundfreiheiten der betroffenen Person, die den Schutz personenbezogener Daten erfordern, überwiegen, insbesondere dann, wenn es sich bei der betroffenen Person um ein Kind handelt. Ob die Voraussetzungen der Norm erfüllt sind, ist anhand einer dreistufigen Prüfung zu ermitteln (LAG Baden-Württemberg 25.02.2021 – 17 Sa 37/20 – Rn. 75; Buchner/Petri in: Kühling/Buchner Art. 6 DSGVO Rn. 146).

(1) Zunächst ist zu klären, ob zum Zeitpunkt der Verarbeitung ein berechtigtes Interesse des Verantwortlichen oder eines Dritten, dem die Daten übermittelt werden, vorliegt. Zu den berechtigten Interessen des Verantwortlichen oder Dritten zählen neben rechtlichen auch tatsächliche, wirtschaftliche oder ideelle Interessen, nicht jedoch bloße Allgemeininteressen (Buchner/Petri in: Kühling/Buchner, Art. 6 DS-GVO Rn. 146 f.). Die in den EG 47–50 der DSGVO genannten Beispiele berechtigter Interessen wie unter anderem die Verarbeitung im Rahmen einer konzerninternen Übermittlung (EG 48 Satz 1 DSGVO) zeigen, dass vielfältige und unterschiedlich bedeutsame berechtigte Interessen berücksichtigungsfähig sind (BGH 12.07.2018 – III ZR 183/17 - Rn. 76).

(2) Sind die Interessen, die mit einer Datenverarbeitung verfolgt werden, grundsätzlich als berechtigte Interessen einzustufen, ist in einem weiteren Schritt zu klären, ob die konkrete Datenverarbeitung zur Wahrung dieser berechtigten Interessen auch erforderlich ist. Der EuGH hat im Hinblick auf das Kriterium der Erforderlichkeit darauf hingewiesen, dass sich die Ausnahmen und Einschränkungen in Bezug auf den Schutz der personenbezogenen Daten auf das absolut Notwendige beschränken müssen (vgl. zur Vorgängerregelung in Art. 7 Buchst. f der RL 95/46/EG EuGH 11.12.2019 – C-708/18 –Rn. 46; 04.05.2017 – C-13/16 – Rn. 30). Das Gericht hat im Einzelfall zu prüfen, ob das berechtigte Interesse des Verantwortlichen nicht mit anderen Mitteln, die weniger stark in die Grundrechte und Grundfreiheiten der betroffenen Personen eingreifen, vernünftigerweise ebenso wirksam erreicht werden kann (EuGH 11.12.2019 – C-708/18 – Rn. 46). Entsprechende Anhaltspunkte für das Kriterium der Erforderlichkeit finden sich auch in EG 39 DSGVO: Nach dessen Satz 7 soll die Verarbeitung der personenbezogen Daten auf das für sie notwendige Maß beschränkt sein. Satz 9 bestimmt, dass personenbezogene Daten nur verarbeitet werden dürfen, wenn der Zweck der Verarbeitung nicht in zumutbarer Weise durch andere Mittel erreicht werden kann. Die Datenverarbeitung ist daher erforderlich, wenn kein milderes, gleich effektives Mittel zur Verfügung steht, um die Interessen des Verantwortlichen zu erreichen (BGH 12.7.2018 – III ZR 183/17 - Rn. 82; ebenso zum Begriff der Erforderlichkeit in Art. 6 Abs. 1 Buchstabe c und e DSGVO BAG 26.08.2021 – 8 AZR 253/20 (A) - Rn. 31).

[...]

bb) Die Voraussetzungen des Art. 6 Abs. 1 Buchstabe f DSGVO liegen im Streitfall nicht vor.

(1) Es besteht allerdings grundsätzlich ein berechtigtes Interesse der Beklagten, der AKG und der DRV KBS an der Übermittlung der Gehaltsdaten der Klägerin. Diese Verarbeitung soll einen konzernweiten Vergleich der Gehälter und sonstigen Entgeltbestandteile der im Konzern beschäftigten AT-Mitarbeiter ermöglichen. Das damit verbundene Ziel, die Vergütungspraxis von außertariflichen Angestellten in vergleichbaren Positionen konzernweit einheitlich und widerspruchsfrei zu gestalten, ist ein berechtigtes wirtschaftliches Interesse iSd. Vorschrift. Die konzerninterne Datenübermittlung für solche internen Verwaltungszwecke wird auch durch EG 48 Satz 1 DSGVO grundsätzlich anerkannt.

Dieses berechtigte Interesse hat zum einen die AKG als „Dritter“ iSd. Vorschrift, weil sie die übermittelten Daten unmittelbar für die genannten Ziele nutzen kann. Daneben besteht auch ein eigenes berechtigtes Interesse der Beklagten an der Verarbeitung. Den bezweckten Gehältervergleich kann sie zwar nicht unmittelbar selbst nutzen, weil sie nach eigenem Vortrag keinen Zugriff auf die Daten hat. Die Verarbeitung kommt ihr aber jedenfalls mittelbar zugute, indem die Erkenntnisse bei zukünftigen Vertragsabschlüssen und - änderungen, die gemäß § 7 Abs. 2 Buchstabe e GO-AKG jeweils der Zustimmung der AKG bedürfen, zu ihren Gunsten Berücksichtigung finden. Ein durch Art. 6 Abs. 1 Buchstabe f DSGVO geschütztes Interesse an der Schaffung konzernweit einheitlicher Vergütungsstrukturen hat schließlich auch die DRV KBS als Konzernobergesellschaft.

(2) Die Übermittlung der Daten war in ihrer konkreten Ausgestaltung jedoch nicht erforderlich. Die Gehaltsdaten der Klägerin hätten in pseudonymisierter Form übermittelt werden können.

(a) Der Zweck der Verarbeitung bestand nach dem Vorbringen der Beklagten darin, einen Überblick über das aktuelle Gehaltsgefüge der AT-Mitarbeiter der Verbundkliniken zu erhalten, um zukünftig homogene Arbeitsbedingungen für diese Personengruppe zu schaffen und die Gehälter der AT-Mitarbeiter bei zukünftigen Vertragsabschlüssen bzw. -änderungen an vergleichbare Positionen anzupassen. Zur Erreichung dieses Zwecks war lediglich die Übermittlung der Gehaltsdaten (Jahresbruttogehalt, Zielprämie und sonstige Leistungen), der Funktion des jeweiligen Beschäftigten und seiner Organisationseinheit erforderlich. Die weiteren von der Beklagten übermittelten Daten der Klägerin (Name, Vorname, Personalnummer, Geburtsdatum, Privatadresse, Konzerngesellschaft, bei der sie tätig ist, Krankenhaus, in dem sie tätig ist, Arbeitsvertrag) sind für die Vergleichsdatenbildung hingegen nicht erforderlich. Denn auch ohne diese Daten könnte die AKG das Gehaltsgefüge vergleichbarer AT-Mitarbeiter in den Verbundkliniken feststellen und in der Zukunft für homogene Arbeitsbedingungen sorgen. Dass die Beklagte mehr Daten übermittelte, als zur Erreichung des Zwecks erforderlich waren, belegt auch der Umstand, dass die AKG nach dem Vortrag der Beklagten unmittelbar nach Erhalt der Daten einige dieser Daten wieder löschte und auf den Arbeitsverträgen schwärzte. Soweit die Beklagte zur Rechtfertigung dieses Vorgehens vorbringt, es habe verhindert werden sollen, dass „Daten durcheinander geraten“ und „falsche Zuordnungen“ erfolgen, ist dies für die Berufungskammer nicht nachvollziehbar. Eine ordnungsgemäße Nutzung und Einordnung der Daten für den angestrebten Zweck wäre ohne weiteres auch dann möglich gewesen, wenn nur die notwendigen, oben aufgeführten Daten übermittelt worden wären. In diesem Fall hätten die Gehaltsdaten der Klägerin nicht ohne Hinzuziehung zusätzlicher Informationen zugeordnet werden können (vgl. zum Begriff der Pseudonomysierung Art. 4 Nr. 5 DS-GVO).

(b) Die Beklagte hat eingewandt, dass eine derart eingeschränkte Datenübermittlung nicht zielführend sei. Da nur ein kleiner Personenkreis von der Datenverarbeitung betroffen sei und zum Teil in den einzelnen Unternehmen nur jeweils eine Person mit einem entsprechenden Tätigkeitsfeld arbeite, was auch auf die Klägerin zutreffe, könnten die Gehaltsdaten der Klägerin auch ohne Mitteilung des Namens und weiterer persönlicher Daten zugeordnet werden. Dieser Einwand greift nicht durch. Zum einen handelt es sich nicht um einen kleinen Personenkreis, sondern um 156 Mitarbeiter, davon 21 bei der Beklagten. Für die Kammer ist zudem nicht nachvollziehbar, wie die Identität der Klägerin ohne weitere Informationen herausgefunden werden könnte, wenn lediglich ihre Gehaltsdaten, ihre Funktion und ihre Organisationseinheit mitgeteilt würden. Da keine weiteren Daten, insbesondere auch nicht die Konzerngesellschaft und das Krankenhaus, in dem die Klägerin beschäftigt ist, übermittelt werden müssen, handelte es sich, selbst wenn die Position der Klägerin in jeder Klinikgesellschaft nur einmal vorhanden wäre, um einen Kreis von dann immerhin sechs Personen. Aber selbst wenn eine Identifizierung der Klägerin auch bei einer Datenübermittlung in dem oben dargelegten, eingeschränkten Umfang noch (theoretisch) möglich wäre, wäre die Identifizierung jedenfalls erheblich erschwert, weil diese erst unter Zuhilfenahme anderer Informationsquellen durchgeführt werden könnte. Durch eine solche Pseudonymisierung würden die datenschutzrechtlichen Risiken für die Klägerin folglich gesenkt (vgl. EG 29 Satz 1 DSGVO). Zudem entspräche ein solches Vorgehen dem Grundsatz der Datenminimierung (Art. 5 Abs. 1 Buchstabe c DSGVO). Eine pseudonymisierte Übermittlung der Gehaltsdaten würde daher in jedem Fall weniger stark in die Grundrechte der Klägerin eingreifen, den von der Beklagten erstrebten Zweck aber ebenso wirksam erreichen. Die Datenübermittlung in ihrer konkreten Ausgestaltung war daher nicht erforderlich.

[...]

dd) Art. 6 Abs. 4 DSGVO kann die Datenübermittlung an die AKG ebenfalls nicht rechtfertigen.

(1) Zwar liegt im Streitfall eine Verarbeitung zu einem anderen Zweck als zu demjenigen, zu dem die personenbezogenen Daten erhoben wurden, vor (s.o.). Die Klägerin hat in diese jedoch nicht eingewilligt. Die Datenübermittlung beruht auch nicht auf einer Rechtsvorschrift zum Schutz der in Art. 23 Abs. 1 DSGVO genannten Ziele iSv. § 6 Abs. 4 DSGVO. Die Voraussetzungen des § 24 Abs. 1 BDSG liegen ebenfalls nicht vor.

(2) In einem solchen Fall berücksichtigt der Verantwortliche – um festzustellen, ob die Verarbeitung zu einem anderen Zweck mit demjenigen, zu dem die personenbezogenen Daten ursprünglich erhoben wurden, vereinbar ist – unter anderem die in Art. 6 Abs. 4 Buchstabe a bis e DSGVO genannten Kriterien. Der Rechtscharakter dieser Regelung wird uneinheitlich beurteilt. Nach einer Ansicht ist sie als ein Erlaubnistatbestand für eine zweckändernde Weiterverarbeitung personenbezogener Daten einzuordnen. Wenn die Voraussetzungen der Regelung vorliegen, bedarf es danach für die Zulässigkeit der Weiterverarbeitung keiner gesonderten Rechtsgrundlage iSv. Art. 6 Abs. 1 DSGVO. Ausreichend soll dann vielmehr gemäß EG 50 Satz 2 DSGVO der ursprüngliche Legitimationstatbestand für die Datenerhebung sein (Schulz in: Gola DSGVO 2. Aufl. Art. 6 Rn. 210 mwN; EuArbRK/Franzen 4. Aufl. Art. 6 DSGVO Rn. 14). Nach der Gegenansicht beschränkt sich die Funktion des Art. 6 Abs. 4 DSGVO auf einen Kompatibilitätstest. Danach bedarf auch eine nach Abs. 4 zweckkompatible Weiterverarbeitung von Daten darüber hinaus stets zusätzlich noch einer entsprechenden Rechtsgrundlage iSd. Art. 6 Abs. 1 DSGVO (Buchner/Petri in: Kühling/Buchner DSGVO 3. Aufl. Art. 6 Rn. 182ff. mwN; BeckOK DatenschutzR/Albers/Veit 38. Ed. Art. 6 DSGVO Rn. 96 ff.; Heberlein in: Ehmann/Selmayr 2. Aufl. DSGVO Art. 6 Rn. 48).

(a) Aus Sicht der Berufungskammer ist der letztgenannten Ansicht zu folgen. Der Einordnung von Art. 6 Abs. 4 DSGVO als selbständiger Erlaubnistatbestand steht der Wortlaut des Art. 6 Abs. 1 DSGVO entgegen, nach dem eine Verarbeitung „nur rechtmäßig“ ist, wenn einer der dort genannten Erlaubnistatbestände erfüllt ist; einen Vorbehalt hinsichtlich Abs. 4 macht Art. 6 Abs. 1 DSGVO gerade nicht (Buchner/Petri in: Kühling/Buchner 3. Aufl. Art. 6 DSGVO Rn. 183). Ein entsprechendes Verständnis kommt auch in der englischen und der französischen Fassung von Art. 6 Abs. 1 DSGVO zum Ausdruck.

Art. 6 Abs. 4 DSGVO betrifft nicht den Grundsatz der Rechtmäßigkeit der Datenverarbeitung iSv. Art. 5 Abs. 1 Buchstabe a Var. 1 DSGVO, sondern konkretisiert den Grundsatz der Zweckbindung iSd. Art. 5 Abs. 1 Buchstabe b DSGVO und regelt die Frage, ob der neue mit einer Datenverarbeitung verfolgte Zweck mit dem ursprünglich verfolgten vereinbar ist (Buchner/Petri in: Kühling/Buchner 3. Aufl. Art. 6 DSGVO Rn. 183; Heberlein in: Ehmann/Selmayr 2. Aufl. DSGVO Art. 6 Rn. 48). Die Grundsätze der Zweckbindung und der Rechtmäßigkeit sind jedoch unabhängig voneinander zu erfüllen (EuGH 01.10.2015 – C-201/14 – Rn. 30 mwN.).

(b) Selbst wenn man der Gegenansicht folgte, führte dies im Streitfall zu keinem anderen Ergebnis. Die Beklagte, die als Verantwortliche für die Rechtmäßigkeit der Datenverarbeitung verantwortlich ist und die Einhaltung dieses Grundsatzes nachweisen muss (Art. 5 Abs. 2 DSGVO), hat nicht behauptet, vor der Datenübermittlung den nach Art. 6 Abs. 4 vorgesehenen Kompatibilitätstest durchgeführt zu haben (vgl. zum Charakter der Regelung als Vorgabe für den Verantwortlichen auch BeckOK DatenschutzR/Albers/Veit, 38. Ed. Art. 6 DSGVO Rn. 102; Heberlein in: Ehmann/Selmayr 2. Aufl. DSGVO Art. 6 Rn. 49). Zudem ist die Datenübermittlung an die AKG unter Berücksichtigung der in Art. 6 Abs. 4 Buchstabe a bis e DSGVO genannten Kriterien mit dem ursprünglichen Erhebungszweck nicht kompatibel. Eine Pseudonymisierung wurde im Streitfall nicht vorgenommen, obwohl dies möglich gewesen wäre (Buchstabe e). Die Datenübermittlung hätte wie oben dargelegt nachteilige Auswirkungen für die Klägerin haben können (Buchstabe d). Die Daten wurden ausschließlich zum Zwecke der Begründung und Durchführung des Arbeitsverhältnisses erhoben. Die Klägerin musste nicht davon ausgehen, dass die Daten für andere Zwecke genutzt würden (Buchstabe b, vgl. auch EuArbRK/Franzen 4. Aufl. Art. 6 DSGVO Rn. 17). Es handelt sich um Personaldaten, die der Arbeitgeber grundsätzlich vertraulich zu behandeln hat (Buchstabe c). Der ursprüngliche Zweck für die Erhebung der Daten steht auch in keinem unmittelbaren Zusammenhang mit der Übermittlung der Daten zum Zwecke der Schaffung einer konzernweiten Vergleichsdatenbank (Buchstabe a).

f) Es besteht auch die erforderliche Wiederholungsgefahr.

aa) Die Besorgnis weiterer Beeinträchtigungen (§ 1004 Abs. 1 Satz 2 BGB) ist Tatbestandsmerkmal des auf §§ 1004, 823 BGB gestützten Unterlassungsanspruchs und damit materielle Anspruchsvoraussetzung (BAG 20.11.2012 - 1 AZR 179/11 - Rn. 82 mwN). Künftige Beeinträchtigungen eines geschützten Rechts sind grundsätzlich zu besorgen, wenn sie auf einer Verletzungshandlung beruhen (Wiederholungsgefahr) oder eine solche ernsthaft zu befürchten ist (Erstbegehungsgefahr). Wiederholungsgefahr ist die objektive Gefahr der erneuten Begehung einer konkreten Verletzungshandlung. Sie ist nicht auf die identische Verletzungsform beschränkt, sondern umfasst alle im Kern gleichartigen Verletzungsformen (BAG 18.11.2014 - 1 AZR 257/13 - Rn. 39). Für sie besteht eine tatsächliche Vermutung, wenn es bereits zu einer Verletzung des geschützten Rechts gekommen ist (BAG 07.06.2017 – 1 ABR 32/15 – Rn. 24).

bb) Angesichts des Verstoßes der Beklagten gegen Art. 5 Abs. 1 Buchstabe a Var. 1, Art. 6 Abs. 1 DSGVO besteht eine tatsächliche Vermutung für eine Wiederholungsgefahr, der die Beklagte nicht entgegengetreten ist. Sie macht vielmehr weiterhin geltend, dass die streitgegenständliche Datenübermittlung rechtmäßig gewesen sei (vgl. hierzu Staudinger/Thole BGB Neubearb. 2019 § 1004 Rn. 461).

2. Die Klägerin hat gegen die Beklagte gemäß Art. 82 Abs. 1 DSGVO Anspruch auf Ersatz des immateriellen Schadens. Nach dieser Vorschrift hat jede Person, der wegen eines Verstoßes gegen die DSGVO ein materieller oder immaterieller Schaden entstanden ist, Anspruch auf Schadenersatz gegen den Verantwortlichen oder gegen den Auftragsverarbeiter. Diese Voraussetzungen liegen vor.

a) Die Klägerin ist anspruchsberechtigt. Sie gehört zu den von Art. 82 Abs. 1 DSGVO geschützten betroffenen Personen iSv. Art. 4 Nr. 1 DS-GVO. Die Verletzung von Bestimmungen der DSGVO geschah bei der Verarbeitung „ihrer“ personenbezogenen Daten (vgl. BAG 26.08.2021 – 8 AZR 253/20 (A) – Rn. 33; LAG Niedersachsen 22.10.2021 – 16 Sa 761/20 – Rn. 185).
b) Die Beklagte ist anspruchsverpflichtet. Wie bereits oben ausgeführt, ist sie im Hinblick auf die durchgeführte Datenübermittlung „Verantwortlicher“ iSd. Art. 4 Nr. 7 DSGVO und haftet daher für den Schaden, der durch eine nicht der DSGVO entsprechende Verarbeitung verursacht wurde.

c) Es liegt ein Verstoß gegen die DSGVO vor. Die personenbezogenen Daten der Klägerin wurden entgegen den Vorgaben von Art. 5 Abs. 1 Buchstabe a Var. 1 und Art. 6 Abs. 1 DSGVO nicht in rechtmäßiger Weise übermittelt. Auf die Ausführungen im Rahmen des Klageantrags zu 1) wird verwiesen.

d) Die Beklagte ist für den Verstoß gegen die DSGVO auch verantwortlich iSv. Art. 82 Abs. 3 DSGVO.

aa) Die Haftung des Verantwortlichen nach Art. 82 Abs. 1 DSGVO ist verschuldensunabhängig, dh. sie setzt nicht das Vorliegen oder den Nachweis eines Verschuldens voraus (BAG 26.08.2021 - 8 AZR 253/20 (A) – Rn. 39). Aus Art. 82 Abs. 3 DSGVO ergibt sich nichts Abweichendes. Die darin enthaltene Bestimmung, wonach bei Nachweis der Nichtverantwortlichkeit für den Umstand, durch den der Schaden eingetreten ist, eine Befreiung von der Haftung eintritt, betrifft nach Auffassung des BAG nicht das Verschulden im Sinne eines „Vertretenmüssens“, sondern die Frage nach einer „Beteiligung“ bzw. nach der Urheberschaft im Sinne der Kausalität (BAG 26.08.2021 - 8 AZR 253/20 (A) – Rn. 40). Danach ist die Beklagte hier verantwortlich, weil sie den Verstoß gegen die DSGVO durch die von ihr vorgenommene Datenübermittlung kausal verursacht hat.

bb) Selbst wenn man demgegenüber Verantwortlichkeit iSd. Art. 82 Abs. 3 DSGVO im Sinne von Verschulden verstünde (vgl. LAG Niedersachsen 22.10.2021 – 16 Sa 761/20 – Rn. 223; EuArbRK/Franzen 4. Aufl. Art. 82 DSGVO Rn. 17); führte dies zu keinem anderen Ergebnis. Denn das Verschulden der Beklagten wird nach Art. 82 Abs. 3 DSGVO vermutet. Die Beklagte hat keinen entgegenstehenden Vortrag geleistet. Sie handelte zumindest fahrlässig, was unter näher ausgeführt wird.

e) Durch den Verstoß der Beklagten gegen Bestimmungen der DSGVO ist der Klägerin ein immaterieller Schaden entstanden.

Der Rechtsanspruch auf immateriellen Schadenersatz nach Art. 82 Abs. 1 DSGVO erfordert über eine Verletzung der DSGVO hinaus nicht zusätzlich, dass die verletzte Person einen (weiteren) von ihr erlittenen immateriellen Schaden darlegt. Sie muss also keine „Konsequenz oder Folge der Rechtsverletzung von zumindest einigem Gewicht“ oder das Überschreiten einer „Erheblichkeitsschwelle“ darlegen. Bereits die Verletzung der DSGVO selbst führt zu einem auszugleichenden immateriellen Schaden (BAG 26.08.2021 – 8 AZR 253/20 (A) – Rn. 33; LAG Hamm 11.05.2021 – 6 Sa 1260/20 – Rn. 62ff.; LAG Niedersachsen 22.10.2021 – 16 Sa 761/20 – Rn. 228). Für dieses Verständnis spricht EG 146 Satz 3 DSGVO, wonach der Begriff des Schadens im Lichte der Rechtsprechung des EuGH weit und auf eine Weise ausgelegt werden soll, die den Zielen der Verordnung in vollem Umfang entspricht. Bereits der - auch hier eingetretene - Verlust über die Kontrolle der eigenen personenbezogenen Daten kann nach EG 75 und 85 DSGVO einen immateriellen Schaden begründen. Bei diesem Verständnis bleiben die Schwere eines Pflichtenverstoßes und das Ausmaß der damit einhergehenden Beeinträchtigungen auch nicht unberücksichtigt. Sie können effektiv im Rahmen der Bemessung der Höhe des Schadensersatzes berücksichtigt werden (LAG Niedersachsen 22.10.2021 – 16 Sa 761/20 – Rn. 228).

f) Die Klägerin hat die Bemessung der Höhe des immateriellen Schadensersatzes in das Ermessen des Gerichts gestellt, § 287 Abs. 1 Satz 1 ZPO. Unter Würdigung aller Umstände des Einzelfalles geht die Berufungskammer im Einklang mit der Entscheidung des Arbeitsgerichts davon aus, dass der Klägerin zur Abgeltung des immateriellen Schadens ein Geldanspruch in Höhe von 2.000,00 € zusteht.

aa) Nach EG 146 Satz 6 der DSGVO sollen die betroffenen Personen einen vollständigen und wirksamen Schadenersatz für den erlittenen Schaden erhalten. Bei der Bemessung des immateriellen Schadenersatzes durch das Gericht sind daher alle Umstände des Einzelfalls zu berücksichtigen. Es soll ein tatsächlicher und wirksamer rechtlicher Schutz der aus der DSGVO hergeleiteten Rechte gewährleistet werden BAG 26.08.2021 – 8 AZR 253/20 (A) – Rn. 36).

bb) Unter Berücksichtigung und Abwägung aller Umstände des Einzelfalls ist ein Schadensersatz in Höhe von 2.000,00 € angemessen.

(1) Ein vorsätzliches Handeln der Beklagten ist nicht festzustellen. Sie holte vor Durchführung der streitgegenständlichen Verarbeitung eine rechtliche Stellungnahme eines Rechtsanwalts und Fachanwalts für Arbeitsrecht und Informationstechnologierecht ein, nach der die Datenübermittlung aufgrund eines gesetzlichen Erlaubnistatbestandes grundsätzlich zulässig sein sollte. Zu berücksichtigen ist auch, dass die konkrete Rechtsfrage im Zeitpunkt der Datenverarbeitung nicht höchstrichterlich geklärt war. Die Beklagte hat den Verstoß gegen die DSGVO jedoch fahrlässig herbeigeführt. Sie hätte bei Beachtung der im Verkehr erforderlichen Sorgfalt (§ 276 Abs. 2 BGB) erkennen können und müssen, dass die Verarbeitung in ihrer durchgeführten Form nicht erforderlich war, sondern über das für den Zweck erforderliche Maß hinausging. Das eingeholte rechtliche Gutachten wies selbst darauf hin, dass eine anonymisierte Weitergabe der Daten Vorrang hätte, wenn die Vorgaben der Geschäftsführung durch eine solche Weitergabe ebenso erreicht werden könnten. Der Personalleiter der Beklagten E. hatte in seiner E-Mail vom 22.01.2019 (Bl. 157 GA) ebenfalls auf die Möglichkeit einer anonymisierten bzw. pseudonymisierten Datenübermittlung hingewiesen. Darüber hinaus sieht auch die BV LNT, die nur drei Wochen vor der hier in Rede stehenden Datenvereinbarung abgeschlossen worden war, vor, dass Beschäftigtendaten für Controlling- und Benchmark-Zwecke grundsätzlich nur pseudonymisiert genutzt werden dürfen. Auch vor diesem Hintergrund lag eine pseudonymisierte Verarbeitung der Daten nahe. Die Übermittlung beinhaltete in ihrer konkreten Form schließlich auch Daten wie das Geburtsdatum und die Privatadresse der Klägerin, die von vornherein und ganz offensichtlich nicht vom Zweck der Übermittlung gedeckt waren.

(2) Zulasten der Beklagten war darüber hinaus zu berücksichtigen, dass sie den Grundsatz der Transparenz (Art. 5 Abs. 1 Buchstabe a Var. 3 DSGVO) nicht beachtet und die ihr gegenüber der Klägerin obliegenden Informationspflichten im Hinblick auf die Datenübermittlung nachhaltig nicht erfüllt hat, obwohl sie in dem eingeholten Rechtsgutachten vom 05.03.2019 ausdrücklich auf die ihr obliegenden Informationspflichten nach der DSGVO hingewiesen worden war. Deshalb hatte die Klägerin keine Möglichkeit, ihr Widerspruchsrecht nach Art. 21 Abs. 1 DSGVO rechtzeitig und effektiv auszuüben. Zur Vermeidung von Wiederholungen wird insoweit auf die obigen Ausführungen verwiesen. Zudem entsprach die Datenübermittlung in ihrer konkreten Ausgestaltung nicht dem Grundsatz der Datenminimierung (Art. 5 Abs. 1 Buchstabe c DSGVO). Die Klägerin musste auch nicht mit einer Übermittlung ihrer Daten an die AKG rechnen. Die Verarbeitung betraf Personaldaten der Klägerin, die grundsätzlich vertraulich zu behandeln sind. Die Datenübermittlung war auch - jedenfalls bis zur Löschung der Daten durch die AKG - geeignet, sich für die Klägerin nachteilig auszuwirken. Ergänzend wird auch bezüglich dieser Aspekte auf die obigen Ausführungen Bezug genommen.

(3) Die Berufungskammer hat auch berücksichtigt, dass die Beklagte mit Schreiben vom 16.01.2020 – und damit wenige Tage vor dem am 22.01.2020 stattfindenden Termin vor dem Landgericht Bochum – einen Versuch unternommen hat, die streitgegenständliche Datenübermittlung im Nachhinein zu legitimieren. Sie übersandte der Klägerin eine „Information und Einverständniserklärung zur Verarbeitung ihrer Beschäftigtendaten“ mit dem Ziel, dass die Klägerin ihr schriftliches Einverständnis zur Übermittlung von Daten an die AKG geben würde. Dabei hat die Beklagte der Klägerin jedoch keine vollständige Wahlfreiheit im Hinblick auf die Erteilung einer Einwilligung eingeräumt, sondern mitgeteilt, dass die Klägerin ihre Zielvereinbarung für das Jahr 2020 (erst) erhalten würde, wenn sie die beigefügte Einverständniserklärung unterzeichnet an die Personalabteilung zurückgegeben hätte. Ein solches Vorgehen steht im Widerspruch zu Art. 7 Abs. 4 DSGVO. Die Klägerin hat gemäß § 2 Abs. 3 des Arbeitsvertrags einen Anspruch auf eine jährliche Zielvereinbarung. Die von der Beklagten verlangte Einwilligungserklärung war für den Abschluss der Zielvereinbarung nicht erforderlich und stand mit dieser in keinem Zusammenhang.

(4) Zugunsten der Beklagten war zu berücksichtigen, dass sie Maßnahmen zum Schutz der personenbezogenen Daten der Klägerin ergriffen hat. Einer ersten Aufforderung zur Datenübermittlung hat sich der Personalleiter der Beklagten E. mit E-Mail vom 22.01.2019 unter Hinweis auf datenschutzrechtliche Bedenken widersetzt. In der Folge wurde ein Rechtsgutachten eingeholt, um die Rechtslage klären zu lassen. Vor der Datenübermittlung wurde erörtert, wer Zugriff auf die Daten erhalten sollte, was sich unter anderem aus der E-Mail der MKSG vom 17.01.2019 (Bl. 65 GA) ergibt. Für die Datenübermittlung innerhalb des Konzerns bestand auch grundsätzlich ein berechtigtes Interesse. Eine Weitergabe der Daten an externe Dritte außerhalb des Konzerns ist nicht erfolgt. Es handelte sich um eine einmalige Datenübermittlung. Es ist nicht erkennbar, dass aus ihr konkrete nachteilige Folgen materieller Art für die Klägerin resultieren. Die Berufungskammer hat allerdings auch berücksichtigt, dass die wenn auch nur einmalige Datenübermittlung dauerhafte, auch nachteilige Auswirkungen für die Klägerin hätte haben können (s.o.). Dass derartige Auswirkungen zukünftig nicht eintreten werden, beruht nicht auf einem Verhalten der Beklagten, sondern auf dem Umstand, dass die AKG gerichtlich zur Löschung der Daten verurteilt wurde.

(5) Die Berufungskammer hat beachtet, dass die AKG im Hinblick auf die im Anschluss an die Übermittlung erfolgte Speicherung und Nutzung der personenbezogenen Daten der Klägerin durch das rechtskräftige Urteil des OLG Hamm vom 31.08.2021 zur Zahlung eines Schadensersatzes gemäß Art. 82 Abs. 1 DSGVO iHv. 4000,00 € verurteilt worden ist. Im vorliegenden Verfahren war allein der immaterielle Schaden der Klägerin zu bemessen, der durch die Datenübermittlung an die AKG entstanden ist.

(6) Unter Berücksichtigung der vorgenannten Aspekte und aller weiteren Umstände des vorliegenden Streitfalls, welche die Berufungskammer bei ihrer Entscheidung ebenfalls berücksichtigt hat, hält sie einen Schadensersatz iHv. 2.000,00 € für angemessen. Nach Überzeugung der Berufungskammer erhält die Klägerin damit einen vollständigen und wirksamen Schadenersatz für den erlittenen Schaden, der gleichzeitig gegenüber der Beklagten eine abschreckende Wirkung entfaltet.

g) Die Beklagte haftet allein und nicht gemeinsam mit der AKG als Gesamtschuldner. Eine gesamtschuldnerische Haftung kommt nach Art. 82 Abs. 4 DSGVO nur bei der Beteiligung mehrerer Verantwortlicher an „derselben Verarbeitung“ in Betracht. Hier liegen mit der Übermittlung der Daten durch die Beklagte einerseits und der Speicherung und Nutzung der Daten durch die AKG andererseits zwei unterschiedliche Verarbeitungsvorgänge iSd. Art. 4 Nr. 2 DSGVO mit jeweils unterschiedlichen Verantwortlichen vor. Das in zweiter Instanz durch das OLG Hamm entschiedene Verfahren der Klägerin gegen die AKG betraf nicht den hier streitgegenständlichen Verarbeitungsvorgang, sondern ausschließlich die Speicherung und Nutzung der Daten durch die AKG.


Den Volltext der Entscheidung finden Sie hier:


OVG Schleswig-Holstein: Datenschutzbehörde durfte 2011 anordnen dass Unternehmen seine Facebook-Fanpage schließt - Entscheidung nach 10 Jahren nach dem Weg durch die Instanzen bis zum EuGH

OLG Schleswig-Holstein
Urteil vom 25.11.2021
4 LB 20/13


Das OVG Schleswig-Holstein hat entschieden, dass die zuständige Datenschutzbehörde 2011 anordnen durfte, dass ein Unternehmen seine Facebook-Fanpage schließt. Somit liegt nach 10 Jahren eine Entscheidung nach dem Weg durch die Instanzen bis zum EuGH (siehe dazu EuGH: Betreiber einer Facebook-Seite / Facebook-Fanpage gemeinsam mit Facebook für Verarbeitung der personenbezogenen Daten der Besucher verantwortlich) vor.

Den Volltext der Entscheidung finden Sie hier:1

Aus den Entscheidungsgründen:

B. Die streitgegenständlichen Verfügungen im Bescheid vom 3. November 2011 in Gestalt des Widerspruchsbescheids vom 16. Dezember 2011 sind rechtmäßig und verletzen die Klägerin nicht in ihren Rechten, § 113 Abs. 1 Satz 1 VwGO.

I. Dies gilt zunächst für die Anordnung der Deaktivierung der Fanpage der Klägerin.

Maßgeblich für die Beurteilung der Rechtmäßigkeit der Anordnung der Deaktivierung der Fanpage der Klägerin ist die Sach- und Rechtslage im Zeitpunkt der letzten Verwaltungsentscheidung, hier des Widerspruchsbescheids vom 16. Dezember 2011. Nachträgliche Änderungen sind nicht zu berücksichtigen (vgl. BVerwG, Urteil vom 11. September 2019 – 6 C 15.18 –, Rn. 16, juris). Dies ergibt sich für den Senat bindend aus der vorliegenden Revisionsentscheidung des Bundesverwaltungsgerichts (vgl. § 144 Abs. 6 VwGO).

Lediglich ergänzend wird darauf hingewiesen, dass dem auch die von der Klägerin angeführte Rechtsprechung des Bundesverwaltungsgerichts zu Dauerverwaltungsakten, nach der für den Erfolg einer gegen einen Dauerverwaltungsakt gerichteten Anfechtungsklage regelmäßig die Sach- und Rechtslage zum Zeitpunkt der letzten tatsachengerichtlichen Verhandlung maßgeblich ist (stRspr BVerwG, vgl. Urteil vom 19. September 2013 – 3 C 15.12 – Rn. 9, juris; Beschluss vom 5. Januar 2012 – 8 B 62.11 – Rn. 13, juris), nicht entgegensteht. Die streitgegenständliche Anordnung der Deaktivierung der Fanpage ist bei einer an §§ 133, 157 BGB entsprechend orientierten Auslegung des Regelungsinhalts nicht als Dauerverwaltungsakt zu bewerten. Es muss auch davon ausgegangen werden, dass dies der Auffassung des Bundesverwaltungsgerichts entspricht, da es vorliegend den Zeitpunkt der letzten Behördenentscheidung für maßgeblich erachtet hat, ohne sich zu seiner eigenen Rechtsprechung zu Dauerverwaltungsakten zu verhalten.

1. Rechtsgrundlage der streitgegenständlichen Anordnung des Beklagten ist § 38 Abs. 5 Satz 2 BDSG i. d. F. der Bekanntmachung vom 14. Januar 2003 (BGBl. I S. 66), zuletzt geändert durch Art. 1 des Gesetzes zur Änderung datenschutzrechtlicher Vorschriften vom 14. August 2009 (BGBl. I S. 2814; im Folgenden BDSG a. F.). Gemäß § 38 Abs. 5 Satz 2 BDSG a. F. kann die Aufsichtsbehörde zur Gewährleistung der Einhaltung des Bundesdatenschutzgesetzes und anderer Vorschriften über den Datenschutz bei schwerwiegenden Verstößen bei der Erhebung, Verarbeitung oder Nutzung personenbezogener Daten oder schwerwiegenden technischen oder organisatorischen Mängeln, insbesondere solchen, die mit einer besonderen Gefährdung des Persönlichkeitsrechts verbunden sind, die Erhebung, Verarbeitung oder Nutzung oder den Einsatz einzelner Verfahren untersagen, wenn die Verstöße oder Mängel entgegen der Anordnung nach § 38 Abs. 5 Satz 1 BDSG a. F. und trotz der Verhängung eines Zwangsgeldes nicht in angemessener Zeit beseitigt werden.

Die an die Klägerin gerichtete Anordnung, ihre Fanpage zu deaktivieren, ist gemäß der den Senat bindenden Revisionsentscheidung des Bundesverwaltungsgerichts nach dem Eingriffsgewicht als Untersagung des Einsatzes eines Verfahrens gemäß § 38 Abs. 5 Satz 2 BDSG a. F. zu werten. Dass der Beklagte in der Überschrift des Bescheids vom 3. November 2011 in Gestalt des Widerspruchsbescheids vom 16. Dezember 2011 auf § 38 Abs. 5 Satz 1 BDSG a. F. abhebt, ist – wie das Bundesverwaltungsgericht ebenfalls mit Bindungswirkung für den Senat festgestellt hat – unschädlich (BVerwG, Urteil vom 11. September 2019 – 6 C 15.18 –, Rn. 17, juris).

§ 38 Abs. 5 Satz 2 BDSG a. F. ist mit Blick auf eine Inanspruchnahme der Klägerin auch sonst anwendbar (vgl. zur Anwendbarkeit des Dritten Abschnitts des Bundesdatenschutzgesetzes a. F. § 27 Abs. 1 Nr. 1 BDSG a. F.). Die Klägerin ist als nichtöffentliche Stelle im Sinne des § 1 Abs. 2 Nr. 3, § 2 Abs. 4 BDSG a. F., die keine Aufgaben der öffentlichen Verwaltung wahrnimmt (vgl. § 2 Abs. 1 bis 3 BDSG a. F.), zu qualifizieren. Es handelt sich um eine privatrechtlich organisierte gemeinnützige Gesellschaft.

[...]

3. Die Anordnung zur Deaktivierung der Fanpage der Klägerin ist materiell-rechtlich nicht zu beanstanden. Im Gebrauch der Registrierungsdaten und der übrigen vorhandenen personenbezogenen Daten von im Facebook-Netzwerk registrierten und angemeldeten Personen sowie in der unzureichenden Bereitstellung von Informationen über die Erhebung und Verwendung personenbezogener Daten für diese Personengruppe sind im hier maßgeblichen Zeitpunkt im Dezember 2011 Verstöße bei der Erhebung, Verarbeitung oder Nutzung personenbezogener Daten zu erkennen (dazu unter a). Die Klägerin kann auch als Adressatin einer auf § 38 Abs. 5 Satz 2 BDSG a. F. beruhenden Verfügung herangezogen werden, da sie für den Gebrauch der genannten Daten zur Erstellung der auf ihre Fanpage bezogenen Insights-Statistiken durch Facebook sowie für die unzureichende Bereitstellung von Informationen (mit)verantwortlich ist (dazu unter b). Ferner wiegen die Verstöße schwer (dazu unter c). Vor diesem Hintergrund kann die rechtliche Bewertung einzelner technischer Abläufe dahinstehen (dazu unter d). Der materiell-rechtlichen Rechtmäßigkeit der hier streitgegenständlichen Verfügung steht auch nicht die in § 38 Abs. 5 Satz 1 und Satz 2 BDSG a. F. vorgegebenen "Stufenfolge" entgegen (dazu unter e).

a) Verstöße bei der Erhebung, Verarbeitung oder Nutzung personenbezogener Daten im Sinne des § 38 Abs. 5 Satz 2 TMG a. F. ergeben sich hier aus einem Widerspruch verschiedener durch den Besuch der Fanpage der Klägerin angestoßener und durch die Beigeladene gesteuerter Vorgänge zu den Vorgaben der § 12 und § 13 TMG in der Fassung des Art. 1 des Gesetzes zur Vereinheitlichung von Vorschriften über bestimmte elektronische Informations- und Kommunikationsdienste vom 26. Februar 2007 (BGBl. I S. 179), für den hier maßgeblichen Zeitraum zuletzt geändert durch das Erste Gesetz zur Änderung des Telemediengesetzes vom 31. Mai 2010 (BGBl. I S. 692; im Folgenden TMG a. F.). Gemäß § 12 Abs. 1 und Abs. 2 TMG a. F. darf ein Diensteanbieter personenbezogene Daten zur Bereitstellung von Telemedien nur erheben und verwenden, soweit das Telemediengesetz oder eine andere Rechtsvorschrift, die sich ausdrücklich auf Telemedien bezieht, es erlaubt oder der Nutzer eingewilligt hat. Der Diensteanbieter darf für die Bereitstellung von Telemedien erhobene personenbezogene Daten für andere Zwecke nur verwenden, soweit dieses Gesetz oder eine andere Rechtsvorschrift, die sich ausdrücklich auf Telemedien bezieht, es erlaubt oder der Nutzer eingewilligt hat. Nach § 13 Abs. 1 Satz 1 TMG a. F. hat der Diensteanbieter den Nutzer zu Beginn des Nutzungsvorgangs über Art, Umfang und Zwecke der Erhebung und Verwendung personenbezogener Daten sowie über die Verarbeitung seiner Daten in allgemein verständlicher Form zu unterrichten, sofern eine solche Unterrichtung nicht bereits erfolgt ist.

aa) Die durch den Besuch der Fanpage der Klägerin im Facebook-Netzwerk angestoßenen Vorgänge unterfallen dem Anwendungsbereich des gegenüber dem Bundesdatenschutzgesetz a. F. spezielleren Telemediengesetz a. F. Das soziale Netzwerk Facebook ist Telemedium im Sinne des § 1 Abs. 1 Satz 1 TMG a. F. (vgl. i. E. Ricke, in: Spindler/Schuster, Recht der elektronischen Medien, 4. Aufl. 2019, § 1 TMG, Rn. 12; Altenhain, in: MüKo zum StGB, 3. Auflage 2019, § 1 TMG, Rn. 26). Gemäß § 1 Abs. 1 Satz 1 TMG a. F. sind unter Telemedien alle elektronischen Informations- und Kommunikationsdienste ("IuK-Dienst"), die nicht Telekommunikation im engeren Sinne oder Rundfunk sind, zu verstehen. Dazu gehören beispielsweise Online-Angebote von Waren oder Internet-Suchmaschinen (vgl. BT-Drucks. 16/3078, S. 13). Das soziale Netzwerk Facebook ermöglicht durch seine Strukturen die Bereitstellung von Informationen sowie Diskussion über Sachthemen, d. h. das Verbreiten derartiger Themen und den anschließenden Dialog hierüber. Es ist damit selbst als sogenannter elektronischer "IuK-Dienst" anzusehen. Gleiches gilt für die Fanpage der Klägerin innerhalb des Facebook-Netzwerkes.

Die Beigeladene und die damalige Facebook Inc. sind auch Diensteanbieter im Sinne des § 12 Abs. 1 und Abs. 2 TMG a. F. Diensteanbieter ist gemäß § 2 Satz 1 Nr. 1 HS 1 TMG a. F. jede natürliche oder juristische Person, die eigene oder fremde Telemedien zur Nutzung bereithält oder den Zugang zur Nutzung vermittelt. Da sowohl die Beigeladene als auch ihr Mutterkonzern das Telemedium, d. h. das soziale Netzwerk bzw. die Fanpage zur Verfügung stellen und allen Interessierten Zugang hierzu vermitteln, liegen die Voraussetzungen des § 2 Satz 1 Nr. 1 HS 1 TMG a. F. vor. Die Klägerin ist ebenfalls Diensteanbieter in diesem Sinne, da sie über die Errichtung der Fanpage einen (eigenen oder fremden) elektronischen Informations- und Kommunikationsdienst, d. h. ein Telemedium im Sinne des § 1 Abs. 1 Satz 1 TMG a. F., bereitstellt bzw. jedenfalls Zugang zur Nutzung vermittelt.

Die Vorgänge des Erhebens, Verarbeitens und Nutzens personenbezogener Daten im Sinne des § 38 Abs. 5 i.V.m. § 3 Abs. 3 bis 5 BDSG a.F. entsprechen denen des Erhebens und Verwendens im Sinne des Abschnitt 4 im Telemediengesetz a.F.; der Begriff der Verwendung ist als Sammelbezeichnung für das Verarbeiten und Nutzen personenbezogener Daten i.S.d. § 3 Abs. 4 und 5 BDSG auszulegen (Bizer/Hornung, in: Roßnagel, Beck´scher Kommentar zum Recht der Telemediendienste, 1. Auflage 2013, § 12 TMG, Rn. 53 m.w.N.).

Der Anwendbarkeit des Telemediengesetzes steht im vorliegenden Fall nicht entgegen, dass die Beigeladene mit Sitz in Irland nach eigenem Bekunden die tatsächliche Verantwortung für die hier maßgeblichen Datenerhebungs- und -verwendungsvorgänge trägt. Die §§ 12 ff. TMG a. F. werden nicht durch eine vorrangige Anwendbarkeit irisches Datenschutzrecht – ggf. in Kombination mit einer vorrangigen Prüfungskompetenz der irischen Datenschutzbehörde – verdrängt. Insoweit wird zur Begründung auf die Revisionsentscheidung des Bundesverwaltungsgerichts und die Entscheidung des Gerichtshofs der Europäischen Union im vorliegenden Verfahren verwiesen (BVerwG, Urteil vom 11. September 2019 – 6 C 15.18 –, Rn. 24 ff., EuGH, Urteil vom 5. Juni 2018 – C-210/16 –, Rn. 50 ff., juris).

bb) Für die Feststellung der maßgeblichen Datenerhebungs- und -verwendungsvorgänge bis Ende 2011 geht der Senat von folgenden, zu seiner Überzeugung (§ 108 Abs. 1 VwGO) feststehenden Sachverhalten aus:

(1) Bei jedem Aufruf der Fanpage der Klägerin wird die Internetadresse der aufgerufenen Seite sowie die IP-Adresse des jeweiligen Internetnutzers an Facebook übertragen. IP-Adressen sind Ziffernfolgen, die dem mit dem Internet verbundenen Computern zugewiesen werden, um deren Kommunikation im Internet zu ermöglichen. Beim Abruf einer Website wird die IP-Adresse des abrufenden Computers an den Server übermittelt, auf dem die abgerufene Website gespeichert ist. Dies ist erforderlich, um die abgerufenen Daten an den richtigen Empfänger übertragen zu können (vgl. Ergebnisbericht der Arbeitsgruppe des AK I "Staatsrecht und Verwaltung" zum Datenschutz in sozialen Netzwerken vom 4. April 2012, S. 7, Bl. 223 GA; Datenschutzrechtliche Bewertung der Reichweitenanalyse durch Facebook, 11. August 2011, S. 15, Bl. 128 GA). Nach Angaben der Beigeladenen werden die empfangenen IP-Adressen nicht einzeln – insbesondere nicht in Profilen zu den Internetnutzern – gespeichert.

(2) Ferner ist der Senat davon überzeugt, dass Facebook bei Besuch der Fanpage den Inhalt der c_user-Cookies ausliest, die zuvor im Browser von im Netzwerk angemeldeten Facebook-Mitgliedern gesetzt worden sind. Cookies sind eindeutig zuzuordnende alphanumerische Kennungen, die im Internetbrowser auf dem Endgerät des Nutzers gespeichert werden. Facebook-Mitglieder haben sich im Facebook-Netzwerk registriert und im Zuge der Registrierung ihren Vor- und Nachnamen, ihr Geburtsdatum, ihr Geschlecht und ihre E-Mail-Adresse angegeben. Der c_user-Cookie enthält eine User-ID des Facebook-Mitglieds. Er wird von Facebook gesetzt, wenn sich das Facebook-Mitglied erstmals registriert oder wenn ein registriertes Facebook-Mitglied sich erneut im Netzwerk anmeldet (bzw. "einloggt"). Die Gültigkeit dieses Cookies hängt davon ab, ob das Facebook-Mitglied in den Kontoeinstellungen die Option gewählt hat, im Netzwerk (auch bei Verlassen) angemeldet zu bleiben. Ist dies der Fall, verliert der c_user-Cookie seine Gültigkeit erst, wenn das Facebook-Mitglied den Facebook-Webserver 30 Tage nicht mehr aufruft. Ansonsten wird der c_user-Cookie mit dem Schließen des Browsers gelöscht (vgl. Ergebnisbericht der Arbeitsgruppe des AK I "Staatsrecht und Verwaltung" zum Datenschutz in sozialen Netzwerken vom 4. April 2012, S. 8, Bl. 224 GA).

Der Inhalt des c_user-Cookie wird innerhalb seines Gültigkeitszeitraums bei jeder Kommunikation mit Facebook an Facebook übermittelt und gibt Facebook die Möglichkeit einer Verknüpfung des Seitenaufrufs mit dem registrierten Mitglied. Diese Verknüpfung ermöglicht unter anderem die personalisierte Darstellung von Fanpage-Inhalten. Über die Personalisierung erfährt das Facebook-Mitglied beispielsweise, welche seiner Facebook-Freunde die Fanpage empfohlen oder kommentiert haben (vgl. Ergebnisbericht der Arbeitsgruppe des AK I "Staatsrecht und Verwaltung" zum Datenschutz in sozialen Netzwerken vom 4. April 2012, S. 3, 15, Bl. 219, 231 GA).

Die über den c_user-Cookie ermöglichte Verknüpfung von Fanpage-Aufruf und Facebook-Mitglied speichert Facebook in den über das Mitglied angelegten Profilen, die wiederum zu Werbezwecken genutzt werden. Diese Überzeugung hat der Senat aufgrund der durchgeführten mündlichen Verhandlung gewonnen. In dieser hat die Beigeladene auf entsprechende Frage des Gerichts eingeräumt, es "ist anzunehmen", dass der Fanpage-Aufruf in den Profilen der Mitglieder gespeichert wird. Bereits zu Beginn dieses Verfahrens war zwischen der Beigeladenen und dem Beklagten unstreitig, dass Facebook "bis zu einem bestimmten Grad" Profile seiner Mitglieder anlegt und diese zu Werbezwecken nutzt. Ferner deuten die Datenverwendungsrichtlinien 2011 von Facebook die Durchführung entsprechender Vorgänge an, indem sie darauf hinweisen, dass Facebook jedes Mal, wenn das Mitglied mit Facebook interagiert, beispielsweise eine bestimmte Seite aufruft, Daten erhält (vgl. Datenverwendungsrichtlinien 2011, Abschnitt I, Überschrift Informationen, die wir über dich erhalten, S. 1) und dass Werbeanzeigen bei den Personen eingeblendet werden, welche die vom Werbetreibenden ausgewählten Kriterien (beispielsweise "Kinobesucher") erfüllen (vgl. Datenverwendungsrichtlinien 2011, Abschnitt IV, Überschrift: Personalisierte Werbeanzeigen, S. 4). Letzteres ist nur dann möglich, wenn Facebook über die Registrierungsdaten hinaus Informationen zu den Personen, beispielsweise zu bestimmten Interessen und Vorlieben, speichert.

(3) Facebook unterhält außerdem den Dienst "Insights". Dieser beinhaltet die Erstellung von Statistiken über die Nutzung von Fanpages (auch als Seitenstatistik bezeichnet). Die Seitenstatistik umfasst unter anderem Angaben zur Anzahl der Seitenaufrufe, zur Verweildauer der Besucher, sowie zu deren Alter, Geschlecht, geographischer Herkunft und Sprache und zur Nutzung der einzelnen Funktionalitäten der Fanpage (vgl. Ergebnisbericht der Arbeitsgruppe des AK I "Staatsrecht und Verwaltung" zum Datenschutz in sozialen Netzwerken vom 4. April 2012, S. 9, Bl. 225 GA; Datenschutzrechtliche Bewertung der Reichweitenanalyse durch Facebook, 11. August 2011, S. 12, Bl. 126 GA). Die Erstellung dieser Statistiken ist Facebook insbesondere aufgrund des c_user-Cookies möglich, da mit diesem der Aufruf einer Fanpage mit den Facebook-Mitgliedern und den zu diesen bereits gewonnenen Informationen verknüpft werden kann. Nach Angaben der Beigeladenen fließt der Aufruf einer Fanpage durch ein Nicht-Facebook-Mitglied ausschließlich in die Gesamtzahl der Aufrufe der Fanpage im Rahmen der Insights-Statistik ein. Weitere Erkenntnisse über Nicht-Mitglieder werden nach Angabe der Beigeladenen nicht in Insights verarbeitet.

Fanpage-Betreiber erhalten über Insights die Seitenstatistiken in aggregierter und anonymisierter Form, ohne dass es dazu der Erteilung eines entsprechenden Auftrags an Facebook bedürfte. Die Klägerin kann ebenso wie andere Fanpage-Betreiber den Dienst Insights auch nicht an- oder abwählen. Sie kann nicht steuern, welche Angaben in der Statistik enthalten sind. Ferner haben Fanpagebetreiber auf die technische Konfiguration der Fanpage keinen Einfluss, sie können die Fanpages "lediglich" mit Inhalt füllen.

Die Erstellung von Seitenstatistiken dient dem Zweck, den Betrieb einer Fanpage auf die Nutzer anzupassen, d. h. die Fanpage attraktiver gestalten zu können. Gleichzeitig sollen diese Facebook ermöglichen, den Werbewert des Netzwerkes zu erhöhen.




VG Köln: Anordnung der Abberufung eines Datenschutzbeauftragten durch Datenschutzbehörde jedenfalls nach summarischer Prüfung unzulässig

VG Köln
Beschluss vom 10.11.2021
13 L 1707/21


Das VG Köln hat entschieden, dass die Anordnung der Abberufung eines Datenschutzbeauftragten durch di Datenschutzbehörde jedenfalls nach summarischer Prüfung unzulässig ist.

Aus den Entscheidungsgründen:

Der zulässige – sinngemäß gestellte - Antrag nach § 80 Abs. 5 der Verwaltungsgerichtsordnung (VwGO),Gründe

die aufschiebende Wirkung der Klage des Antragstellers (13 K 5069/21) gegen Ziffern 2. und 3. der Anweisungsverfügung des Antragsgegners vom 27. September 2021wiederherzustellen,

hat in der aus dem Tenor ersichtlichen Form Erfolg.

Dabei ist zunächst die Anordnung der sofortigen Vollziehung schon formell rechtswidrig. Insoweit genügt bereits die Begründung der Anordnung der sofortigen Vollziehung in dem Bescheid des Antragsgegners vom 27. September 2021 nicht den maßgeblichen Anforderungen.

Gemäß § 80 Abs. 3 Satz 1 VwGO ist bei der Anordnung der sofortigen Vollziehung das besondere Interesse an der sofortigen Vollziehung schriftlich zu begründen. Dies soll den Betroffenen in die Lage versetzen, in Kenntnis dieser Gründe seine Rechte wirksam wahrzunehmen und die Erfolgsaussichten des Rechtsbehelfs abzuschätzen. Der Behörde wird zugleich der Ausnahmecharakter der Vollziehungsanordnung verdeutlicht und eine besonders sorgfältige Prüfung des Vollzugsinteresses auferlegt. Diese Warnfunktion soll zu einer sorgfältigen Prüfung des Interesses an der sofortigen Vollziehung veranlassen. Der Betroffene wird über die Gründe, die für die behördliche Entscheidung maßgebend gewesen sind, unterrichtet; er kann danach die Erfolgsaussichten eines Aussetzungsantrags gemäß § 80 Abs. 5 Satz 1 VwGO abschätzen. Dem Gericht erlaubt die Kenntnis der verwaltungsbehördlichen Erwägungen für die sofortige Vollziehbarkeit eine ordnungsgemäße Rechtskontrolle und ermöglicht gleichzeitig bei der eigenständig vom Gericht zu treffenden Ermessensentscheidung das Erkennen der gegebenenfalls maßgeblichen Parameter.

Notwendig ist dafür eine auf die Umstände des konkreten Falles bezogene Darlegung des besonderen Interesses gerade an der sofortigen Vollziehbarkeit des Verwaltungsakts. Insbesondere muss die Vollziehbarkeitsanordnung erkennen lassen, dass sich die Behörde des rechtlichen Ausnahmecharakters der Anordnung bewusst ist. Formelhafte, also für beliebige Fallgestaltungen passende Wendungen, formblattmäßige oder pauschale Argumentationsmuster oder die bloße Wiederholung des Gesetzestextes genügen nicht. Ebenso wenig reicht es aus, dass sich die Begründung erst aus dem Gesamtzusammenhang eines Bescheids ermitteln lässt, sofern nicht ausnahmsweise die den Erlass des Verwaltungsakts rechtfertigenden Gründe zugleich die Dringlichkeit der Vollziehung belegen. Das besondere Vollziehbarkeitsinteresse ist vielmehr gesondert zu begründen. Aus ihr muss hervorgehen, dass und warum die Verwaltung im konkreten Fall dem sofortigen Vollziehbarkeitsinteresse Vorrang vor dem Aufschubinteresse des Betroffenen einräumt,

vgl. nur Schoch in: Schoch/Schneider/Bier, VwGO, 41. EL Juli 2021, § 80 Rdn. 247 m.w.N.

Gemessen an diesen Grundsätzen genügt die Begründung des Sofortvollzuges der Ziffer 2 und 3 in der angegriffenen Anweisungsverfügung vom 27. September 2021 den Anforderungen des § 80 Abs. 3 Satz 1 VwGO nicht:

Zwar wird aus der Begründung, die sich ausführlich zu der abstrakten Frage verhält, ob die Aufsichtsbehörde überhaupt – entgegen § 20 Abs. 7 des Bundesdatenschutzgesetzes (BDSG) - die sofortige Vollziehung gegenüber einer Behörde anordnen darf, hinreichend deutlich, dass sich der Antragsgegner des Ausnahmecharakters der Anordnung der sofortigen Vollziehung bewusst gewesen ist. In der Folge werden in der Begründung jedoch keinerlei konkrete Umstände des Einzelfalles in den Blick genommen. Zudem wird sodann lediglich einseitig das öffentliche Interesse an einer sofortigen Vollziehung hervorgehoben, ohne dass eine Abwägung mit den Interessen des Antragstellers an der aufschiebenden Wirkung der Klage erfolgte. Etwaige Interessen des Antragstellers werden vielmehr nicht einmal bezeichnet.

Dieses Vorgehen genügt nach den aufgezeigten Maßstäben nicht den Anforderungen des § 80 Abs. 3 Satz 1 VwGO, weil bereits die Parameter für die Interessenabwägung nicht benannt werden.

Der Aussetzungsantrag hat mit der Maßgabe Erfolg, dass die aufschiebende Wirkung der Klage 13 K 5069/21, soweit Ziffern 2. und 3. der Anweisungsverfügung vom 27. September 2021 in Rede stehen, festzustellen war.

Es steht nämlich im Ergebnis ein so genannter Fall der „faktischen“ Vollziehung in Rede, d.h. einer Vollziehung, die unter Missachtung der aufschiebenden Wirkung eines Rechtsbehelfs erfolgt,

vgl. hierzu: W.-R. Schenke in: Kopp/Schenke, VwGO, 27. Auflage 2021, § 80 Rdn. 20.

Dies ergibt sich aus Folgendem:

Nach § 20 Abs. 7 BDSG darf die Aufsichtsbehörde gegenüber einer Behörde oder deren Rechtsträger nicht die sofortige Vollziehung gemäß § 80 Absatz 2 Satz 1 Nummer 4 der Verwaltungsgerichtsordnung anordnen.

Dies hat der Antragsgegner im Hinblick auf den Anwendungsvorrang des Unionrechts dennoch getan, weil er § 20 Abs. 7 BDSG für unanwendbar hält.

Es kann dahinstehen, ob die europarechtlichen Bedenken, die gegen die Regelung des § 20 Abs. 7 BDSG geltend gemacht werden,

vgl. hierzu statt Vieler: Schoch, a.a.O., § 80 Rdn. 222a,

zutreffen:

Zwar kann gerade bei Rechtsverletzungen im Datenschutzrecht mitunter schnelles aufsichtsbehördliches Handeln zur Vermeidung irreversibler Folgen geboten sein. Im Konfliktfall mag daraus die Unanwendbarkeit der innerstaatlichen Bestimmung bei Maßnahmen der Aufsichtsbehörde nach Art. 58 der Datenschutzgrundverordnung (DSGVO),

Verordnung Nr. 2016/679 des Europäischen Parlaments und Rates vom 27. April 2016 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten zum freien Datenverkehr und zur Aufhebung der Richtlinie 95/46/EG (Abl. L 119),

folgen,

vgl. Schoch, a.a.O.

Dass aber hier ein solcher Konfliktfall vorläge bzw. schnelles aufsichtsbehördliches Handeln zur Vermeidung irreversibler Folgen geboten wäre, ist vom Antragsgegner nicht dargelegt worden. Eine solche Konstellation ist auch sonst nicht ersichtlich, zumal der Antragsteller derzeit über einen behördlichen Datenschutzbeauftragten (Herrn C. F. ) verfügt.

Weiter maßgeblich zu berücksichtigen ist in diesem Zusammenhang, dass nach der im vorliegenden Eilverfahren allein möglichen und gebotenen summarischen Prüfung voraussichtlich die tatbestandlichen Voraussetzungen der vom Antragsgegner herangezogene Ermächtigungsgrundlage des § 58 Abs. 2 lit. d) DSGVO ohnehin nicht gegeben sind.

Nach der genannten Norm darf die Aufsichtsbehörde den Verantwortlichen oder den Auftragsverarbeiter anweisen, Verarbeitungsvorgänge gegebenenfalls auf bestimmte Weise und innerhalb eines bestimmten Zeitraums in Einklang mit der DSGVO zu bringen.

„Verarbeitung“ im Sinne der DSGVO meint jeden mit oder ohne Hilfe automatisierter Verfahren ausgeführten Vorgang oder jede Vorgangsreihe im Zusammenhang mit personenbezogenen Daten wie das Erheben, das Erfassen, die Organisation, das Ordnen, die Speicherung, die Anpassung oder Veränderung, das Auslesen, das Abfragen, die Verwendung, die Offenlegung durch Übermittlung, Verbreitung oder eine andere Form der Bereitstellung, den Abgleich oder die Verknüpfung, die Einschränkung, das Löschen oder die Vernichtung, Art. 4 Abs. 2 DSGVO.

Dabei stellen die – allenfalls als einschlägig heranzuziehende - Organisation und das Ordnen von Daten Vorgänge dar, durch die Möglichkeiten zur Auffindung und Auswertung dieser Daten vereinfacht oder verbessert werden, etwa indem sie in einer in bestimmter Weise aufgebauten Datei gespeichert werden. Das Ordnen stellt einen Unterfall des allgemeineren Begriffs der Organisation dar; der Begriff des Ordnens stellt auf ein bestimmtes Kriterium ab, nach dem jeweils die Daten geordnet werden (z.B. nach alphabetischer oder numerischer Reihenfolge).

vgl. Kühling/Buchner/Herbst, 3. Aufl. 2020, DSGVO Art. 4 Abs. 2 Rdn. 23.

Dass die (Ab-)Berufung eines behördlichen Datenschutzbeauftragten hierunter fallen könnte, ist nicht ersichtlich.


Den Volltext der Entscheidung finden Sie hier:




LG Essen: Versendung eines USB-Sticks mit persönlichen Daten per einfachem Brief mit DSGVO vereinbar - Anspruch aus Art. 82 DSGVO kann abgetreten werden

LG Essen
Urteil vom 23.09.2021
6 O 190/21


Das LG Essen hat entschieden, dass die Versendung eines USB-Sticks mit persönlichen Daten per einfachem Brief mit den Vorgaben der DSGVO vereinbar ist. Zudem hat das Gericht entschieden, dass ein Anspruch aus Art. 82 DSGVO abgetreten werden kann.

Aus den Entscheidungsgründen:

Dem Kläger steht gegen die Beklagte der geltend gemachte immaterielle Schadensersatzanspruch aus keinem rechtlichen Gesichtspunkt zu.

a) Ein Anspruch des Klägers ergibt sich zunächst nicht aus Art. 82 Abs. 1 DSGVO.

Danach hat jede Person, der wegen eines Verstoßes gegen die DSGVO ein materieller oder immaterieller Schaden entstanden ist, einen Anspruch auf Schadensersatz gegen den Verantwortlichen i.S.d. DSGVO. Zwar ist der Kläger auch hinsichtlich der Ansprüche seiner Ehefrau aktivlegitimiert. Es liegt auch - zumindest hinsichtlich der fehlenden Mitteilung an die Landesbeauftragte für Datenschutz und Informationsfreiheit in NRW - ein Verstoß gegen die DSGVO vor. Der Kläger hat jedoch nicht hinreichend substantiiert dargetan, dass ihm ein erheblicher Schaden entstanden ist. Im Einzelnen:

aa) Der Kläger ist zunächst aktivlegitimiert. Für seinen eigenen Anspruch ist dies unproblematisch der Fall. Die Aktivlegitimation besteht darüber hinaus - entgegender Ansicht der Beklagten - auch hinsichtlich des Anspruchs seiner Ehefrau.

Aufgrund des Abtretungsvertrags vom 06.06.2021 (Anlage K 5, Bl. 20 d. A.) ist der Kläger Forderungsinhaber geworden, § 398 BGB.

Grundsätzlich ist jede Forderung abtretbar (vgl. Grüneberg in: Palandt, 80. Aufl. 2021, § 398 BGB Rn. 8); insbesondere auch Schmerzensgeldansprüche (vgl. Grüneberg in: Palandt, 80. Aufl. 2021, § 253 BGB Rn. 22). Ein Abtretungsverbot nach §§ 399, 400 BGB besteht nicht. Die vermeintliche Forderung der Ehefrau des Klägers gegen die Beklagte unterliegt weder der Pfändung (§ 400 BGB) noch wurde die Abtretung durch Vereinbarung ausgeschlossen oder erfordert die Abtretung eine Inhaltsänderung der Leistung (§ 399 BGB).

Die Abtretung ist zudem wirksam, insbesondere ist sie hinreichend bestimmt. Dabei genügt es, wenn im Zeitpunkt des Entstehens der Forderung bestimmbar ist, ob sie von der Abtretung erfasst wird (vgl. Grüneberg in: Palandt, 80. Aufl. 2021, § 398 BGB Rn. 14). Das ist hier der Fall. In dem Abtretungsvertrag ist unter Ziffer 1 das Rechtsverhältnis, aus dem sich etwaige Ansprüche ergeben können, hinreichend bestimmt bezeichnet. Dort heißt es, dass dem Zedenten aus einer datenschutzrechtlichen Verletzung Schadensersatzansprüche gegen die [xxx] - die hiesige Beklagte - in einer noch durch ein Gericht festzulegenden Höhe zustehen. Zudem wird der Grund des Schadensersatzanspruchs noch näher beschrieben; nämlich der Verlust eines USB-Sticks mit umfangreichen persönlichen und sensiblen Daten.

bb) Der Beklagten ist ein Verstoß gegen Art. 33 DSGVO vorzuwerfen - unterstellt, der USB-Stick ist tatsächlich verloren gegangen.

Gemäß Art. 33 Abs. 1 DSGVO meldet der Verantwortliche im Falle einer Verletzung des Schutzes personenbezogener Daten unverzüglich und möglichst binnen 72 Stunden, nachdem ihm die Verletzung bekannt wurde, diese der zuständigen Aufsichtsbehörde, es sei denn, dass die Verletzung des Schutzes personenbezogener Daten voraussichtlich nicht zu einem Risiko für die Rechte und Freiheiten natürlicher Personen führt. Die erforderlichen zu meldenden Informationen ergeben sich aus Art. 33 Abs. 3 DSGVO. Eine solche Meldung ist indes - unstreitig - nicht erfolgt. Unerheblich ist dabei, dass der Kläger und seine Ehefrau als Betroffene bereits Kenntnis von dem vermeintlichen Datenverlust hatten, da sie ihn selbst gemeldet haben.

Denn die Meldepflicht dient zum einen der Minimierung der negativen Auswirkungen von Datenschutzverletzungen durch Publizität gegenüber der Aufsichtsbehörde (und dem Betroffenen). Gleichzeitig gewährt die Vorschrift so vorbeugenden Schutz der informationellen Selbstbestimmung des Betroffenen, indem sie Anreize zur Vermeidung zukünftiger Verletzungen beim Verantwortlichen setzt. Die Vorschrift dient also nicht nur dem Schutz des Betroffenen. Die Meldung gegenüber der Aufsichtsbehörde ermöglicht es dieser, über Maßnahmen zur Eindämmung und Ahndung der Rechtsverletzung zu entscheiden (vgl. BeckOK DatenschutzR/Brink, 37. Ed. 1.11.2019 Rn. 10, DS-GVO Art. 33 Rn. 10). Insofern genügt bereits ein solch formeller Verstoß gegen die DSGVO zur Begründung eines Schadensersatzanspruches dem Grunde nach (BeckOK DatenschutzR/Quaas, 37. Ed. 1.8.2021, DS-GVO Art. 82 Rn. 14).

Zudem liegt ein Verstoß gegen Art. 34 Abs. 2 DSGVO vor. Zwar ist der Beklagten insofern zuzustimmen, als sie selbst erst durch den Kläger bzw. seine Ehefrau von dem vermeintlichen Datenverlust informiert wurde. Die Informationspflichten des Art. 34 DSGVO sehen über die reine Information über den Datenverlust selbst hinaus jedoch vor, dass die in Art. 33 Abs. 3 lit. b- d DSGVO genannten Informationen und Maßnahmen auch dem Betroffenen - hier dem Kläger und seiner Ehefrau - mitgeteilt werden. Dies ist jedoch - unstreitig - nicht erfolgt.

cc) Dagegen liegt kein Verstoß gegen Art. 24, 25 Abs. 1, 32 DSGVO vor.

Danach hat der Verantwortliche i.S.d. DSGVO unter Berücksichtigung des Stands der Technik, der Implementierungskosten, der Art, des Umfangs, der Umstände und der Zwecke der Verarbeitung sowie der unterschiedlichen Eintrittswahrscheinlichkeit
und Schwere der Risiken für die Rechte und Freiheiten natürlicher Personen geeignete technische und organisatorische Maßnahmen zu treffen und umzusetzen, um sicherzustellen, dass die Verarbeitung gemäß der DSGVO erfolgt und die Rechte der betroffenen Personen geschützt werden. In Art. 25 Abs. 1 und Art. 32 Abs. 1 DSGVO werden dafür exemplarisch die Pseudonymisierung und Verschlüsselung personenbezogener Daten genannt. Ein Verstoß der Beklagten liegt indes nicht vor.

Die Kammer konnte kein Fehlverhalten im Haus der Beklagten feststellen. Dabei ist zunächst zu berücksichtigen, dass der vermeintliche Verlust der Daten jedenfalls nicht im Haus der Beklagten erfolgt ist. Dies wird auch von Klägerseite nicht behauptet. Vielmehr soll der USB-Stick auf dem Postversand verloren gegangen sein.

Die Kammer sieht zudem keinen Grund, weshalb die Beklagte den USB-Stick nicht per einfachem Brief an den Kläger und seine Ehefrau hätte versenden dürfen. Zwar waren auf dem USB-Stick Dokumente mit sensiblen persönlichen und wirtschaftlichen Informationen enthalten. Dies ist jedoch kein Grund, nicht den Service der Deutschen Post nutzen zu dürfen. Von verschiedensten Stellen werden ausgedruckte Dokumente mit sensiblen Informationen, z.B. Steuerbescheide, Schreiben von Anwälten und Steuerberatern o.Ä., mit einfacher Post versandt. Hiergegen ist ebenfalls nichts einzuwenden; eine irgendwie geartete Pflichtverletzung der handelnden Stellen ist nicht ersichtlich. Weshalb zwischen ausgedruckten Dokumenten, die naturgemäß unverschlüsselt übersandt werden, und digitalen Dokumenten auf einem unverschlüsselten USB-Stick im Zuge der postalischen Übermittlung unterschieden werden soll, erschließt sich der Kammer nicht.

Die Beklagte war zudem nicht gehalten, den USB-Stick in einem gepolsterten Umschlag zu versenden. Bei dem USB-Stick handelt es sich weder um einen leicht zu beschädigenden Gegenstand, der vor äußeren Einwirkungen geschützt werden müsste, noch musste die Beklagte davon auszugehen, dass ein USB-Stick als relativ leichter Gegenstand ohne scharfe Kanten den Briefumschlag von innen heraus zerstören könnte.

Ferner bestand keine Verpflichtung der Beklagten, den USB-Stick dem Kläger oder seiner Verlobten persönlich zu übergeben. Unstreitig wurde dies nicht durch den Kläger oder seine Ehefrau gefordert. Zudem bestand für die Beklagte - wie bereits ausgeführt - keine Veranlassung, an dem zuverlässigen Versand durch die Deutsche Post zu zweifeln.

dd) Der Kläger hat jedoch ohnehin nicht hinreichend substantiiert dargetan, dass ihm und seiner Ehefrau ein konkreter immaterieller Schaden entstanden ist.

Für den - hier geltend gemachten - immateriellen Schadensersatz gelten dabei die im Rahmen von § 253 BGB entwickelten Grundsätze; die Ermittlung obliegt dem Gericht nach § 287 ZPO (BeckOK DatenschutzR/Quaas, 32. Ed. 1.2.2020, DS-GVO Art. 82 Rn. 31). Es können für die Bemessung die Kriterien des Art. 83 Abs. 2 DSGVO herangezogen werden, bspw. die Art, Schwere und Dauer des Verstoßes unter Berücksichtigung der Art, des Umfangs oder des Zwecks der betreffenden Verarbeitung sowie die betroffenen Kategorien personenbezogener Daten. Zu berücksichtigen ist auch, dass die beabsichtigte abschreckende Wirkung nur durch für den Anspruchsverpflichtenden empfindliche Schmerzensgelder erreicht wird, insbesondere wenn eine Kommerzialisierung fehlt. Ein genereller Ausschluss von Bagatellfällen ist damit nicht zu vereinbaren (BeckOK DatenschutzR/Quaas, 32. Ed. 1.2.2020, DS-GVO Art. 82 Rn. 31) (vgl. LG Köln, Urteil vom 07.10.2020 - 28 O 71/20). Die Pflicht zur Erstattung immaterieller Schäden ist daher nicht nur auf schwere Schäden beschränkt (vgl. LG Landshut, Urteil vom 06.11.2020 - 51 O 513/20).

Allein die - etwaige - Verletzung des Datenschutzrechts als solche begründet allerdings nicht bereits für sich gesehen einen Schadensersatzanspruch für betroffene Personen. Die Verletzungshandlung muss in jedem Fall auch zu einer konkreten, nicht nur unbedeutenden oder empfundenen Verletzung von Persönlichkeitsrechten der betroffenen Personen geführt haben (vgl. LG Hamburg, Urteil vom 04.09.2020 - 324 S 9/19). Es ist zwar eine schwere Verletzung des Persönlichkeitsrechts nicht (mehr) erforderlich. Andererseits ist auch weiterhin nicht für einen Bagatellverstoß ohne ernsthafte Beeinträchtigung bzw. für jede bloß individuelle empfundene Unannehmlichkeit ein Schmerzensgeld zu gewähren; vielmehr muss dem Betroffenen ein spürbarer Nachteil entstanden sein und es muss um eine objektiv nachvollziehbare, mit gewissem Gewicht erfolgte Beeinträchtigung von persönlichkeitsbezogenen Belangen gehen (vgl. LG Landshut, Urteil vom 06.11.2020 - 51 O 513/20).

Gemessen an diesen Grundsätzen kann die Kammer anhand des klägerischen Vortrags spürbare Beeinträchtigung von persönlichen Belangen des Klägers und seiner Ehefrau in keiner Weise feststellen.

Der Kläger hat lediglich vorgetragen, dass er und seine Ehefrau infolge des vermeintlichen Verlustes des USB-Sticks einen Kontrollverlust erlitten hätten. Weiter wird dies indes nicht ausgeführt. Die Kammer hat dabei berücksichtigt, dass der Verlust eines USB-Sticks, auf dem sich ungesicherte persönliche und wirtschaftliche Informationen befinden, durchaus zu einem „unguten Gefühl“ führen kann. Der Kläger hat jedoch in keiner Weise vorgetragen, inwiefern sich für ihn bzw. seine Ehefrau eine ernsthafte Beeinträchtigung ergeben hat. Negative Auswirkungen des Verlustes haben sich nicht gezeigt -zumindest wurden sie weder vorgetragen noch ergeben sie sich aus den sonstigen Umständen des Falles. Es ist zudem völlig unklar, was mit dem USB-Stick passiert ist - unterstellt, er ist tatsächlich abhandengekommen. Negative Auswirkungen des behaupteten Verlustes - etwa in Form eines Identitätsdiebstahls oder ähnliches - müssten der Kläger und seine Ehefrau allenfalls befürchten, wenn der USB-Stick in die Hände eines Dritten gelangt ist. Ob das der Fall ist, ist völlig unklar. Genauso gut ist es möglich, dass der USB-Stick bei der Verarbeitung der Briefe im Bereich der Deutschen Post zerstört oder beschädigt wurde. Im klägerischen Schriftsatz vom 15.09.2021 ist die Rede von einer walzen- und rollenbetriebenen Sortieranlage der Deutschen Post. Insofern ist es durchaus wahrscheinlich, dass ein USB-Stick in dieser Sortieranlage beschädigt werden kann. In diesem Fall wäre es somit ausgeschlossen, dass ein unbefugter Dritter überhaupt an die Daten des Klägers und seiner Ehefrau gelangen könnte.

Dieses Ergebnis steht nicht im Widerspruch zu der Entscheidung des Bundesverfassungsgerichts vom 14.01.2021 (1 BvR 2853/19), in der es um die‚ Ablehnung eines immateriellen Schadensersatzanspruchs wegen fehlender Erheblichkeit ging, was „weder unmittelbar in der DSGVO angelegt [sei], noch von der Literatur befürwortet oder vom Gerichtshof der Europäischen Union verwendet [werde]. Denn im vorliegenden Fall wurde nicht einmal eine spürbare Beeinträchtigung des Klägers und seiner Ehefrau vorgetragen. Über die Frage der Erheblichkeit musste die Kammer daher nicht entscheiden.

Im Übrigen hält die Kammer das Vorgehen des Klägers, außergerichtlich zunächst einen niedrigeren Schmerzensgeldbetrag zu fordern, unter Androhung, den Betrag zu erhöhen, falls ein gerichtliches Verfahren erforderlich werde, für äußerst befremdlich. Generell ist der vom Kläger geforderte Betrag deutlich übersetzt, wie insbesondere ein Vergleich mit Schmerzensgeldansprüchen wegen Körperverletzungen verdeutlicht, was insgesamt ein überbordendes Gewinnstreben des Klägers aufzeigt, hingegen nicht, dass er sich durch die behaupteten Vorgänge in irgendeiner Art und Weise persönlich beeinträchtigt sieht.

b) Ein Anspruch des Klägers folgt ferner nicht aus Schadensersatzgesichtspunkten. Sowohl vorvertragliche Schadensersatzansprüche (§§ 280 Abs. 1, 311 Abs. 2, 241 Abs. 2, 253 Abs. 2 BGB) als auch deliktische Schadensersatzansprüche wegen einer möglichen Verletzung des allgemeinen Persönlichkeitsrechts (§§ 823 Abs. 1, 253 Abs. 2 BGB i.V.m. Art. 2 Abs. 1 und Art. 1 Abs. 1 GG) erfordern den Eintritt eines immateriellen Schadens, den der Kläger nicht schlüssig dargelegt hat. Insofern wird auf die obigen Ausführungen Bezug genommen, die hier sinngemäß gelten.


Den Volltext der Entscheidung finden Sie hier:


BAG legt EuGH vor: Stehen Anforderungen des BDSG an Abberufung eines betrieblichen Datenschutzbeauftragten mit DSGVO im Einklang ?

BAG
Beschluss vom 27.04.2021 - 9 AZR 383/19 (A)
Beschluss vom 27.04.2021 - 9 AZR 621/19 (A)


Das BAG hat dem EuGH zu Entscheidung vorgelegt, ob die Anforderungen des BDSG an die Abberufung eines betrieblichen Datenschutzbeauftragten mit den Vorgaben der DSGVO in Einklang stehen.

Die Pressemitteilung des Gerichts:

Abberufung eines Beauftragten für Datenschutz

Zur Klärung der Frage, ob die Anforderungen des Bundesdatenschutzgesetzes (BDSG) an die Abberufung eines betrieblichen Datenschutzbeauftragten im Einklang mit der europäischen Datenschutz-Grundverordnung (DSGVO) stehen, hat der Neunte Senat des Bundesarbeitsgerichts ein Vorabentscheidungsersuchen an den Gerichtshof der Europäischen Union gerichtet.

Der Kläger ist der von der Arbeit teilweise freigestellte Vorsitzende des bei der Beklagten gebildeten Betriebsrats. Mit Wirkung zum 1. Juni 2015 wurde er zusätzlich zum betrieblichen Datenschutzbeauftragten der Beklagten und - parallel dazu - drei weiterer Konzernunternehmen bestellt. Die Beklagte berief den Kläger (ebenso wie die drei weiteren Konzernunternehmen) mit Schreiben vom 1. Dezember 2017 und - nach Inkrafttreten der DSGVO - mit weiterem Schreiben vom 25. Mai 2018 als Datenschutzbeauftragten ab. Mit seiner Klage hat der Kläger geltend gemacht, seine Rechtsstellung als Datenschutzbeauftragter bestehe unverändert fort. Die Beklagte hat die Auffassung vertreten, es drohten Interessenkonflikte, wenn der Kläger zugleich Datenschutzbeauftragter und Betriebsratsvorsitzender sei. Dies führe zu einer Unvereinbarkeit beider Ämter, die einen wichtigen Grund zur Abberufung des Klägers darstelle.

Die Vorinstanzen haben der Klage stattgegeben. Für die Entscheidung, ob die Beklagte den Kläger wirksam von seinem Amt als betrieblicher Datenschutzbeauftragter abberufen hat, kommt es auf die Auslegung von Unionsrecht an, die dem Gerichtshof der Europäischen Union vorbehalten ist. Das nationale Datenschutzrecht regelt in § 38 Abs. 2 iVm. § 6 Abs. 4 Satz 1 BDSG, dass für die Abberufung eines betrieblichen Datenschutzbeauftragten ein wichtiger Grund iSv. § 626 BGB vorliegen muss. Damit knüpft es die Abberufung eines Datenschutzbeauftragten an strengere Voraussetzungen als das Unionsrecht, nach dessen Art. 38 Abs. 3 Satz 2 DSGVO die Abberufung lediglich dann nicht gestattet ist, wenn sie wegen der Aufgabenerfüllung des Datenschutzbeauftragten vorgenommen wird. Einen wichtigen Grund zur Abberufung verlangt das europäische Recht nicht.

Der Neunte Senat des Bundesarbeitsgerichts hält unter Zugrundelegung der bisherigen Rechtsprechung vorliegend keinen wichtigen Abberufungsgrund für gegeben. Deshalb hat er sich nach Art. 267 AEUV mit der Frage an den Gerichtshof gewandt, ob neben der Regelung in Art. 38 Abs. 3 Satz 2 DSGVO mitgliedstaatliche Normen anwendbar sind, die - wie § 38 Abs. 2 iVm. § 6 Abs. 4 Satz 1 BDSG - die Möglichkeit der Abberufung eines Datenschutzbeauftragten gegenüber den unionsrechtlichen Regelungen einschränken. Sollte der Gerichtshof

die Anforderungen des BDSG an eine Abberufung für unionsrechtskonform erachten, hält der Senat es zudem für klärungsbedürftig, ob die Ämter des Betriebsratsvorsitzenden und des Datenschutzbeauftragten in einem Betrieb in Personalunion ausgeübt werden dürfen oder ob dies zu einem Interessenkonflikt iSv. Art. 38 Abs. 6 Satz 2 DSGVO führt.

Bundesarbeitsgericht, Beschluss vom 27. April 2021 - 9 AZR 383/19 (A) -
Vorinstanz: Sächsisches Landesarbeitsgericht, Urteil vom 19. August 2019 - 9 Sa 268/18

Der Senat hat mit weiterem Beschluss vom 27. April 2021 den Gerichtshof in der Sache - 9 AZR 621/19 (A) - mit teilweise gleichgelagerten Fragen um Vorabentscheidung ersucht.



ArbG Mannheim: Kein Anspruch auf Geldentschädigung aus Art. 82 DSGVO wenn Kläger nicht darlegt welche datenschutzrechtlichen Vorschriften durch welche Handlungen konkret verletzt wurden

ArbG Mannheim
Urteil vom 25.03.2021
8 Ca 409/20


Das ArbG Mannheim hat wenig überraschend entschieden, dass kein Anspruch auf Geldentschädigung aus Art. 82 DSGVO zugesprochen werden kann, wenn der Kläger nicht darlegt, welche datenschutzrechtlichen Vorschriften durch welche Handlungen konkret verletzt wurden.


OVG Schleswig-Holstein: Berufung auf Auskunftsverweigerungsrecht nach § 40 Abs. 4 S. 2 BDSG erstmals im Zwangsgeldverfahren ist zu spät

OVG Schleswig-Holstein
Beschluss vom 19.03.2021
8 B 7/21


Das OVG Schleswig-Holstein hat entschieden, dass die Berufung auf ein Auskunftsverweigerungsrecht nach § 40 Abs. 4 S. 2 BDSG erstmals im Zwangsgeldverfahren zu spät ist.

Aus den Entscheidungsgründen:

Der Antrag nach § 80 Abs. 5 S. 1 VwGO, die aufschiebende Wirkung der Klage 8 A 47/21 vom 19.02.2021 gegen die mit Bescheid vom 05.02.2021 (Bl. 30 Beiakte „A“) verfügte Zwangsgeldfestsetzung anzuordnen, ist zulässig, aber unbegründet.

Die Zwangsgeldfestsetzung erweist sich nach summarischer Prüfung als offensichtlich rechtmäßig, so dass das gesetzlich indizierte (§ 248 Abs. 1 S. 2 LVwG) öffentliche Vollziehungsinteresse das Aussetzungsinteresse der Antragstellerin überwiegt. Ihre Rechtsgrundlage findet die Zwangsgeldfestsetzung in § 237 LVwG. Das Zwangsgeld ist ordnungsgemäß i. S. d. § 236 Abs. 1 S. 1 LVwG angedroht worden. Es hält sich im gesetzlichen Rahmen (§ 237 Abs. 3 LVwG) und steht zum öffentlichen Interesse einerseits und der wirtschaftlichen Bedeutung für die Antragstellerin andererseits in einem angemessenen Verhältnis. Die zugrundeliegende Ordnungsverfügung vom 21.12.2020 (Bl. 17 Beiakte A) ist unstreitig bestandskräftig geworden und die Antragstellerin ist den in dieser Verfügung angeordneten Auskünften nicht nachgekommen.

Die Antragstellerin kann sich gegenüber der Zwangsgeldfestsetzung auch nicht auf das aus § 40 Abs. 4 S. 2 BDSG folgende Auskunftsverweigerungsrecht berufen. Nach dieser Vorschrift kann der Auskunftspflichtige die Auskunft auf solche Fragen verweigern, deren Beantwortung ihn selbst oder einen Angehörigen der Gefahr strafgerichtlicher Verfolgung oder eines Verfahrens nach dem Gesetz über Ordnungswidrigkeiten aussetzen würde, worauf der Auskunftspflichtige hinzuweisen ist.

Die Antragstellerin greift mit ihrer Berufung auf ein Auskunftsverweigerungsrecht die hier zugrundeliegende Verfügung vom 21.12.2020 an. Diese ist jedoch bestandskräftig. Anhaltspunkte für eine Nichtigkeit sind nicht ersichtlich. Sie hat sich im die Grundverfügung betreffenden Verfahren zu keinem Zeitpunkt auf ein Auskunftsverweigerungsrecht berufen. In einem solchen Fall gilt der allgemeine Grundsatz des § 248 Abs. 2 LVwG, dass Einwendungen gegen den dem Vollzug zugrundeliegenden Verwaltungsakt nur außerhalb des Vollzugsverfahrens mit den dafür zugelassenen Rechtsbehelfen geltend gemacht werden können. Folglich kann ein Auskunftsverweigerungsrecht im Vollzugsverfahren nicht mehr mit Erfolg geltend gemacht werden (vgl. VG Göttingen, Urteil vom 31.05.2017, 1 A 83/15, BeckRS 2017, 116998 zu § 38 Abs. 3 S. 2 BDSG a.F.; VG Minden, Urteil vom 26.04.2012, 2 K 884/12, zitiert nach juris). Damit wird dem rechtsstaatlichen Gehalt des Aussagverweigerungsrechts ausreichend Rechnung getragen.


Den Volltext der Entscheidung finden Sie hier:

LfD Niedersachsen: 10,4 Millionen Euro Bußgeld gegen notebooksbilliger.de wegen nicht datenschutzkonformer Videoüberwachung von Mitarbeitern

Die Landesbeauftragte für den Datenschutz (LfD) Niedersachsen hat gegen die notebooksbilliger.de AG eine Bußgeld in Höhe von 10,4 Millionen Euro wegen angeblich nicht datenschutzkonformer Videoüberwachung seiner Mitarbeiter verhängt. Der Bescheid ist nicht rechtskräftig.

Die Pressemitteilung der LfD Niedersachsen:

LfD Niedersachsen verhängt Bußgeld über 10,4 Millionen Euro gegen notebooksbilliger.de

Die Landesbeauftragte für den Datenschutz (LfD) Niedersachsen hat eine Geldbuße über 10,4 Millionen Euro gegenüber der notebooksbilliger.de AG ausgesprochen. Das Unternehmen hatte über mindestens zwei Jahre seine Beschäftigten per Video überwacht, ohne dass dafür eine Rechtsgrundlage vorlag. Die unzulässigen Kameras erfassten unter anderem Arbeitsplätze, Verkaufsräume, Lager und Aufenthaltsbereiche.

Das Unternehmen hatte sich darauf berufen, dass es Ziel der installierten Videokameras gewesen sei, Straftaten zu verhindern und aufzuklären sowie den Warenfluss in den Lagern nachzuverfolgen. Zur Verhinderung von Diebstählen muss eine Firma aber zunächst mildere Mittel prüfen (z. B. stichprobenartige Taschenkontrollen beim Verlassen der Betriebsstätte). Eine Videoüberwachung zur Aufdeckung von Straftaten ist zudem nur rechtmäßig, wenn sich ein begründeter Verdacht gegen konkrete Personen richtet. Ist dies der Fall, kann es zulässig sein, diese zeitlich begrenzt mit Kameras zu überwachen. Bei notebooksbilliger.de war die Videoüberwachung aber weder auf einen bestimmten Zeitraum noch auf konkrete Beschäftigte beschränkt. Hinzu kam, dass die Aufzeichnungen in vielen Fällen 60 Tage gespeichert wurden und damit deutlich länger als erforderlich.

Generalverdacht reicht nicht aus

„Wir haben es hier mit einem schwerwiegenden Fall der Videoüberwachung im Betrieb zu tun“, sagt die LfD Niedersachsen, Barbara Thiel, „Unternehmen müssen verstehen, dass sie mit einer solch intensiven Videoüberwachung massiv gegen die Rechte ihrer Mitarbeiterinnen und Mitarbeiter verstoßen“. Auch die immer wieder vorgebrachte, angeblich abschreckende Wirkung der Videoüberwachung rechtfertige keinen dauerhaften und anlasslosen Eingriff in die Persönlichkeitsrechte der Beschäftigten. „Wenn das so wäre, könnten Unternehmen die Überwachung grenzenlos ausdehnen. Die Beschäftigten müssen aber ihre Persönlichkeitsrechte nicht aufgeben, nur weil ihr Arbeitgeber sie unter Generalverdacht stellt“, so Thiel. „Videoüberwachung ist ein besonders intensiver Eingriff in das Persönlichkeitsrecht, da damit theoretisch das gesamte Verhalten eines Menschen beobachtet und analysiert werden kann. Das kann nach der Rechtsprechung des Bundesarbeitsgerichts dazu führen, dass die Betroffenen den Druck empfinden, sich möglichst unauffällig zu benehmen, um nicht wegen abweichender Verhaltensweisen kritisiert oder sanktioniert zu werden.“

Auch Kundinnen und Kunden von notebooksbilliger.de waren von der unzulässigen Videoüberwachung betroffen, da einige Kameras auf Sitzgelegenheiten im Verkaufsraum gerichtet waren. In Bereichen, in denen sich Menschen typischerweise länger aufhalten, zum Beispiel um die angebotenen Geräte ausgiebig zu testen, haben die datenschutzrechtlich Betroffenen hohe schutzwürdige Interessen. Das gilt besonders für Sitzbereiche, die offensichtlich zum längeren Verweilen einladen sollen. Deshalb war die Videoüberwachung durch notebooksbilliger.de in diesen Fällen nicht verhältnismäßig.

Die 10,4 Millionen Euro sind das bisher höchste Bußgeld, das die LfD Niedersachsen unter Geltung der Datenschutz-Grundverordnung (DS-GVO) ausgesprochen hat. Die DS-GVO ermöglicht es den Aufsichtsbehörden, Geldbußen von bis zu 20 Millionen Euro oder bis zu 4 Prozent des gesamten weltweit erzielten Jahresumsatzes eines Unternehmens zu verhängen – je nachdem, welcher Betrag höher ist. Das gegen notebooksbilliger.de ausgesprochene Bußgeld ist noch nicht rechtskräftig. Das Unternehmen hat seine Videoüberwachung mittlerweile rechtmäßig ausgestaltet und dies der LfD Niedersachsen nachgewiesen.


LG Detmold: Vertrag bei unberechtigter Datenweitergabe unter Verstoß gegen Vorgaben von DSGVO / BDSG nicht nach § 134 BGB nichtig

LG Detmold
Urteil vom 06.03.2020
01 O 392/18


Das LG Detmold hat entschieden, dass ein Vertrag bei unberechtigter Datenweitergabe unter Verstoß gegen die Vorgaben von DSGVO bzw. BDSG nicht nach § 134 BGB nichtig ist.

Aus den Entscheidungsgründen:

Die Verträge sind auch nicht nach § 134 BGB nichtig, selbst für den Fall, dass eine unberechtigte Datenweitergabe durch die Klägerin erfolgte. Unterstellt, es läge ein Verstoß gegen das BDSG bzw. die DSGVO vor, so wären die Voraussetzungen des § 134 BGB nicht erfüllt. Nach der Rechtsprechung des BGH handelt es sich dabei nämlich nicht um ein Verbotsgesetz iSv § 134 BGB. Daran habe sich auch mit dem Inkrafttreten der DSGVO nichts geändert (BGH NJW 2011, 3024; Vossler, in: beck-online.GROSSKOMMENTAR, Stand: 01.10.2019, § 134, Rn. 344).

Den Volltext der Entscheidung finden Sie hier:



BAG legt EuGH Fragen zur ordentlichen Kündigung des Arbeitsverhältnisses des Datenschutzbeauftragten und der Vereinbarkeit von §§ 6 Abs. 4 Satz 2, 38 BDSG mit Art. 38 DSGVO vor

BAG
Beschluss vom 30.7.2020
2 AZR 225/20 (A)


Das BAG hat dem EuGH Fragen zur ordentlichen Kündigung des Arbeitsverhältnisses des Datenschutzbeauftragten und der Vereinbarkeit von §§ 6 Abs. 4 Satz 2, 38 BDSG mit Art. 38 DSGVO zur Entscheidung vorgelegt.

Leitsätze des BAG:

Der Gerichtshof der Europäischen Union wird gemäß Art. 267 des Vertrags über die Arbeitsweise der Europäischen Union (AEUV) um die Beantwortung der folgenden Fragen ersucht:

1. Ist Art. 38 Abs. 3 Satz 2 der Verordnung (EU) 2016/679 (Datenschutz-Grundverordnung; im Folgenden DSGVO) dahin auszulegen, dass er einer Bestimmung des nationalen Rechts, wie hier § 38 Abs. 1 und Abs. 2 iVm. § 6 Abs. 4 Satz 2 des Bundesdatenschutzgesetzes (BDSG), entgegensteht, die die ordentliche Kündigung des Arbeitsverhältnisses des Datenschutzbeauftragten durch den Verantwortlichen, der sein Arbeitgeber ist, für unzulässig erklärt, unabhängig davon, ob sie wegen der Erfüllung seiner Aufgaben erfolgt?

Falls die erste Frage bejaht wird:

2. Steht Art. 38 Abs. 3 Satz 2 DSGVO einer solchen Bestimmung des nationalen Rechts auch dann entgegen, wenn die Benennung des Datenschutzbeauftragten nicht nach Art. 37 Abs. 1 DSGVO verpflichtend ist, sondern nur nach dem Recht des Mitgliedstaats?

Falls die erste Frage bejaht wird:

3. Beruht Art. 38 Abs. 3 Satz 2 DSGVO auf einer ausreichenden Ermächtigungsgrundlage, insbesondere soweit er Datenschutzbeauftragte erfasst, die in einem Arbeitsverhältnis zum Verantwortlichen stehen?


Den Volltext der Entscheidung finden Sie hier: