Der BGH hat nochmals entschieden, dass kein Anspruch auf Löschung eines Jameda-Basisprofils aus Art. 17 DSGVO besteht. Es liegen auf Seiten des Portalbetreibers vorrangige berechtigte Gründe im Sinne des Art. 17 Abs. 1 Buchst. c Halbsatz 1 DSGVO vor.
Aus den Entscheidungsgründen: d) Auch der Löschungsgrund des Art. 17 Abs. 1 Buchst. c DS-GVO ist nicht gegeben. Denn für die von der Klägerin angegriffene Verarbeitung ihrer personenbezogenen Daten liegen jedenfalls vorrangige berechtigte Gründe im Sinne des Art. 17 Abs. 1 Buchst. c Halbsatz 1 DS-GVO vor. Die auch insoweit gebotene Gesamtabwägung führt zu keinem anderen Ergebnis als die oben zu Art. 6 Abs. 1 Satz 1 Buchst. f DS-GVO vorgenommene Abwägung (vgl. Senatsurteile vom 27. Juli 2020 - VI ZR 405/18, BGHZ 226, 285 Rn. 24 mwN; vom 12. Oktober 2021 - VI ZR 488/19, NJW 2022, 1098 Rn. 68 und VI ZR 489/19,
BGHZ 231, 263 Rn. 71, vom 15. Februar 2022 - VI ZR 692/20, NJW-RR 2022,693 Rn. 42).
2. Der ebenfalls aus Art. 17 Abs. 1 DS-GVO abzuleitende Unterlassungsanspruch (vgl. Senatsurteile vom 12. Oktober 2021 - VI ZR 489/19, BGHZ 231, 263 Rn. 10; vom 27. Juli 2020 - VI ZR 405/18, BGHZ 226, 285 Rn. 20, 23 zur Auslistung; BSGE 127, 181 Rn. 13) ist nicht gegeben. Das Berufungsgericht hat den geltend gemachten Unterlassungsanspruch aus Art. 17 Abs. 1 Buchst. d DS-GVO im Ergebnis zu Recht verneint. Da die Klägerin im Zusammenhang mit dem Unterlassungsbegehren keine weiteren Gestaltungsvarianten oder Verhaltensweisen der Beklagten beanstandet hat, kann zur Begründung der Rechtmäßigkeit der angegriffenen Datenverarbeitung auf die obigen Ausführungen zum Löschungsanspruch verwiesen werden.
Das VG Ansbach hat entschieden, dass das Fotografieren von Falschparkern und die Übermittlung an die Polizei bzw. Ordnungsbehörden durch Privatpersonen nicht datenschutzwidrig ist. Nach Ansicht des Gerichts liegt ein überwiegendes berechtigtes Interesse gemäß Art. 6 Abs 1 lit. f DSGVO vor.
Die Pressemitteilung des Gericht:
Verwaltungsgericht Ansbach gibt Klagen gegen Verwarnungen wegen Ablichtung von Falschparkern statt
Das Verwaltungsgericht Ansbach hat mit heute bekanntgegebenen Urteilen zwei Klagen gegen Verwarnungen des Landesamtes für Datenschutzaufsicht (LDA) stattgegeben, mit denen das LDA die Ablichtung von Falschparkern rügte.
Gegenstand der Verwarnungen waren von den Klägern angefertigte Fotoaufnahmen von ordnungswidrig geparkten Fahrzeugen, die die Kläger mitsamt Anzeigen an die zuständige Polizei übersandten. Bei den angezeigten Verstößen handelte es sich beispielsweise um Parken im absoluten Halteverbot oder ordnungswidrig auf Gehwegen.
Das Gericht hatte darüber zu entscheiden, ob die Übermittlung der Bildaufnahmen eine rechtmäßige Datenverarbeitung im Sinne des Art. 6 Abs. 1 Satz 1 Buchst. f der Datenschutz-Grundverordnung (DS-GVO) darstellte. Die Regelung setzt voraus, dass die Datenverarbeitung zur Wahrung der berechtigten Interessen des Verantwortlichen oder eines Dritten erforderlich ist. Die Beteiligten stritten insbesondere um die rechtliche Frage, ob für die Rechtmäßigkeit der Datenverarbeitung eine persönliche Betroffenheit des Anzeigenerstatters durch die Parkverstöße erforderlich sei und ob nicht für eine Anzeige die bloße schriftliche oder telefonische Schilderung des Sachverhalts unter Angabe des Fahrzeugkennzeichens genüge, sodass eine Übermittlung von Bildaufnahmen nicht erforderlich sei. Problematisch sei nach Ansicht des LDA zudem, dass mit den Fotos oft Daten erhoben würden, die über den reinen Parkvorgang hinausgingen, z.B. bei Ablichtung anderer Fahrzeuge und Personen. Die Kläger verwiesen auf ihnen gegenüber ergangene Hinweise der Polizei, wonach die Parksituation zum Beweis durch Fotoaufnahmen möglichst genau dokumentiert werden sollte. Zudem würde die Verfolgung der Ordnungswidrigkeiten durch die Anfertigung von Fotos
vereinfacht.
Die 14. Kammer des Verwaltungsgerichts Ansbach gab den Klagen mit Entscheidung vom 2. November 2022 statt. Die schriftlichen Urteilsbegründungen liegen noch nicht vor.
Die Entscheidungen sind nicht rechtskräftig. Gegen die Urteile kann Antrag auf Zulassung der Berufung zum Bayerischen Verwaltungsgerichtshof gestellt werden.
Das LG Berlin hat entschieden, dass ein Mieter einen Anspruch auf immateriellen Schadensersatz aus Art. 82 DSGVO gegen den Vermieter bei datenschutzwidriger Videoüberwachung des Innenhofs zusteht. Die Höhe richtet sich nach den Umständen des Einzelfalls.
Die Landesbeauftragte für den Datenschutz (LfD) Niedersachsen hat gegen ein Kreditinstitut wegen datenschutzwidriger Profilbildung zu Werbezwecken ein Bußgeld in Höhe von 900.000 EURO verhängt. Das Kreditinstitut kann sich nicht auf ein berechtigtes Interesse gemäß Art. 6 Abs. 1 lit. f DSGVO berufen. Vielmehr wäre die Einholung einer Einwilligung erforderlich gewesen.
Die Pressemitteilung der Datenschutzbehörde: 900.000 Euro Bußgeld gegen Kreditinstitut wegen Profilbildung zu Werbezwecken
Die Landesbeauftragte für den Datenschutz (LfD) Niedersachsen hat gegen ein Kreditinstitut eine Geldbuße in Höhe von 900.000 Euro festgesetzt. Der Bußgeldbescheid ist noch nicht rechtskräftig.
Das Unternehmen hatte Daten aktiver sowie ehemaliger Kundinnen und Kunden ohne deren Einwilligung ausgewertet. Dazu analysierte es das digitale Nutzungsverhalten und wertete unter anderem das Gesamtvolumen von Einkäufen in App-Stores, die Häufigkeit der Nutzung von Kontoauszugsdruckern sowie die Gesamthöhe von Überweisungen im Online-Banking im Vergleich zur Nutzung des Filialangebots aus. Hierzu bediente es sich eines Dienstleisters. Ergänzend wurden die Ergebnisse der Analyse mit einer Wirtschaftsauskunftei abgeglichen und von dort angereichert. Ziel war es, Kundinnen und Kunden mit einer erhöhten Neigung für digitale Medien zu identifizieren und diese adressatengerecht für vertragsrelevante oder werbliche Zwecke verstärkt auf elektronischen Kommunikationswegen anzusprechen. Den meisten Kundinnen und Kunden wurden zwar vorab zusammen mit anderen Unterlagen Informationen zugeschickt. Diese ersetzten die notwendigen Einwilligungen allerdings nicht.
Dem Unternehmen wird vorgeworfen, dass die vorgenommene Auswertung nicht mit Artikel 6 Absatz 1 Buchstabe f der Datenschutz-Grundverordnung (DS-GVO) vereinbar war. Danach kann ein Verantwortlicher personenbezogene Daten auf Grundlage einer Interessenabwägung verarbeiten. Die Interessen der betroffenen Person dürfen dabei nicht überwiegen. Bei der Festsetzung der Geldbuße wurde berücksichtigt, dass das Unternehmen die Ergebnisse seiner Auswertungen nicht weiterverwendet hatte. Zudem hat sich das Unternehmen im gesamten Verfahren kooperativ gezeigt.
Häufung ähnlicher Fälle
Der LfD Niedersachsen werden vermehrt Fälle bekannt, in denen Verantwortliche Daten von Kundinnen und Kunden, die zunächst rechtmäßig verarbeitet wurden, zur Profilbildung auswerten. Hierzu nutzen Sie teilweise externe Anbieter oder gleichen ihre Ergebnisse mit diesen ab.
„Die Verantwortlichen holen sich für solche Auswertungen häufig keine Einwilligung der Kundinnen und Kunden ein“, sagt die Landesdatenschutzbeauftragte Barbara Thiel. „Stattdessen berufen sie sich auf eine Interessenabwägung nach Artikel 6 Absatz 1 Buchstabe f DS-GVO. Diese Rechtsgrundlage erlaubt es aber nicht, Profile für Werbezwecke zu bilden, indem man große Datenbestände auswertet.“
Zwar liegt die werbliche Ansprache (potenzieller) Kundinnen und Kunden im Interesse der Verantwortlichen. Der Gesetzgeber stuft dieses Interesse aber als weniger gewichtig ein, indem er für die betroffenen Personen eine erleichterte Widerspruchsmöglichkeit vorsieht. Der Widerspruch muss nicht begründet werden. Bei der Interessenabwägung überwiegen zudem die Interessen der betroffenen Kundinnen und Kunden.
Vernünftige Erwartung maßgeblich
Verantwortliche müssen bei der Interessenabwägung unter anderem die vernünftigen Erwartungen der Kundinnen und Kunden berücksichtigten. „Die Betroffenen erwarten es aber in der Regel nicht, dass Verantwortliche im großen Umfang Datenbestände nutzen, um ihre Neigung zu bestimmten Produktkategorien oder Kommunikationswegen zu identifizieren“, so Barbara Thiel. Verantwortliche können sich in diesen Fällen deshalb nicht auf eine Interessenabwägung berufen und müssen stattdessen Einwilligungen einholen.
Werden zudem externe Stellen einbezogen (z. B. Wirtschaftsauskunfteien), können Daten aus unterschiedlichen Lebensbereichen verkettet und so genauere Profile erstellt werden. Hiermit müssen Kundinnen und Kunden erst recht nicht rechnen, weshalb auch hierfür Einwilligungen eingeholt werden müssen.
Das VG Ansbach hat entschieden, dass ein Verstoß gegen die Vorgaben der DSGVO durch Videoüberwachung der gesamten Trainingsfläche eines Fitnessstudios vorliegt.
Aus den Entscheidungsgründen: 2. Die Klage ist jedoch nur begründet, soweit sie sich gegen Ziffer II des streitgegenständlichen Bescheides wendet. Im Übrigen war sie als unbegründet abzuweisen.
Das Bayerische Landesamt für Datenschutzaufsicht ist richtiger Beklagter gemäß § 20 Abs. 4, Abs. 5 Satz 1 Nr. 2 BDSG.
a) Die Unterlassungsanordnung in Ziffer I des streitgegenständlichen Bescheids ist formell wie materiell rechtmäßig. Es sind keine Verfahrensfehler ersichtlich, insbesondere wurde die Klägerin ordnungsgemäß angehört i.S.d. Art. 28 BayVwVfG (vgl. auch DS-GVO-Erwägungsgrund 129).
Die Untersagungsanordnung beruht als Abhilfemaßnahme auf Art. 58 Abs. 2 DS-GVO. Da es sich um ein Verbot handelt, ist Buchst. f) einschlägig, nicht wie vom Beklagten vorgebracht Buchst. d). Tatbestandsvoraussetzung für die Abhilfemaßnahmen des Art. 58 Abs. 2 DS-GVO ist das Vorliegen eines Verstoßes gegen die DS-GVO (vgl. Nguyen in: Gola, DS-GVO, Art. 58, Rn. 4). Ein solcher Verstoß liegt insbesondere dann vor, wenn Daten ohne entsprechende Rechtsgrundlage verarbeitet werden. Dies war vorliegend der Fall.
(1) Die Videoüberwachung konnte nicht auf eine Einwilligung der Trainierenden gestützt werden. Gemäß Art. 6 Abs. 1 Buchst. a) DS-GVO dürfen personenbezogene Daten verarbeitet werden, wenn die betroffene Person ihre Einwilligung dazu gegeben hat. Eine solche Einwilligung erfordert gemäß Art. 4 Nr. 11 DS-GVO eine freiwillig für den bestimmten Fall, in informierter Weise und unmissverständlich abgegebene Willensbekundung in Form einer Erklärung oder einer sonstigen eindeutigen bestätigenden Handlung, mit der die betroffene Person zu verstehen gibt, dass sie mit der Verarbeitung der sie betreffenden personenbezogenen Daten einverstanden ist. Eine solche eindeutige bestätigende Handlung der Trainierenden kann allerdings nicht in der bloßen Kenntnisnahme der Hinweise auf die Videoüberwachung in den Datenschutzhinweisen und der Hinweisschilder an der Eingangstür gesehen werden, denn gemäß Satz 3 des DS-GVO-Erwägungsgrundes 32 sollen Stillschweigen oder Untätigkeit gerade keine Einwilligung darstellen. Dass die Klägerin anderweitig ein Einverständnis der Trainierenden mit der Videoüberwachung durch eine eindeutig bestätigende Handlung eingefordert hätte, ist weder vorgetragen noch sonst ersichtlich, sodass die Videoüberwachung nicht gemäß Art. 6 Abs. 1 Buchst. a) DS-GVO erlaubt war.
(2) Die Videoüberwachung konnte auch nicht auf vertragliche (Neben-)Pflichten der Klägerin, ihre Kundschaft im vorgetragenen Umfang vor Diebstählen und Übergriffen zu schützen, gestützt werden. Gemäß Art. 6 Abs. 1 Buchst. b) Alt. 1 DS-GVO ist eine Datenverarbeitung rechtmäßig, wenn sie für die Erfüllung eines Vertrags, dessen Vertragspartei die betroffene Person ist, erforderlich ist. Vertragliche Nebenpflichten wie Rücksichtnahme- und Schutzpflichten sind zwar auch von dieser Vorschrift erfasst (Buchner/Petri in: Kühling/Buchner, DS-GVO BDSG, Art. 6, Rn. 33), jedoch ging die streitgegenständliche lückenlose Videoüberwachung über diese Pflichten hinaus. Nach ständiger Rechtsprechung des BGH ist derjenige, der eine Gefahrenlage - wie hier durch den Betrieb eines Fitnessstudios - schafft, grundsätzlich verpflichtet, die notwendigen und zumutbaren Vorkehrungen zu treffen, um eine Schädigung anderer möglichst zu verhindern; umfasst werden hiervon diejenigen Maßnahmen, die ein umsichtiger und verständiger, in vernünftigen Grenzen vorsichtiger Betreiber für notwendig und ausreichend hält, um andere vor Schäden zu bewahren (vgl. BGH NJW 2018, 2956, Rn. 17 m.w.N.). Es muss dabei aber nicht für alle denkbaren Möglichkeiten eines Schadenseintritts vorgesorgt, sondern nur ein Sicherheitsgrad erreicht werden, den die herrschende Verkehrsauffassung im jeweiligen Bereich für erforderlich hält (vgl. BGH NJW 2018, 2956, Rn. 18 m.w.N.).
Inwiefern die Klägerin eine Schutzpflicht treffen soll, die über das Instandhalten der Fitnessgeräte und die Bereitstellung hilfsbereiten Personals und von Spinden o.Ä. hinausgeht, ist nicht nachvollziehbar. Es ist nicht davon auszugehen, dass es der herrschenden Verkehrsanschauung im Fitnessstudiobetrieb entspricht, die Trainierenden durch lückenlose Videoüberwachung vor Übergriffen und Diebstählen zu schützen oder ihnen eine erleichterte Verfolgung solcher Vorkommnisse durch die Videoüberwachung zu ermöglichen.
(3) Schließlich konnten auch nicht die berechtigten Interessen der Klägerin oder der Trainierenden selbst die Videoüberwachung rechtfertigen. Gemäß Art. 6 Abs. 1 Buchst. f) DS-GVO ist eine Datenverarbeitung rechtmäßig, wenn sie zur Wahrung der berechtigten Interessen des Verantwortlichen oder eines Dritten erforderlich ist, sofern nicht die Interessen oder Grundrechte und Grundfreiheiten der betroffenen Person, die den Schutz personenbezogener Daten erfordern, überwiegen […]. Die Klägerin kann zwar berechtigte Interessen im Sinne der Vorschrift geltend machen (hierzu (a)), zu deren Wahrung die Videoüberwachung erforderlich ist (hierzu (b)), jedoch überwiegen die Interessen der Trainierenden, namentlich deren Grundrecht auf informationelle Selbstbestimmung aus Art. 1 Abs. 1 i.V.m. Art. 2 Abs. 1 GG, diese Interessen (hierzu (c)).
(a) Die Klägerin machte als berechtigte Interessen zum einen eigene Interessen (Prävention und Verfolgung von Diebstahl und Sachbeschädigung) und zum anderen Interessen der Trainierenden (Schutz vor Diebstahl und Übergriffen) geltend. Erforderlich, aber auch ausreichend für den Begriff des berechtigten Interesses ist ein „guter Grund“, sprich ein schutzwürdiges und objektiv begründbares Interesse (BVerwG, U. v. 27. März 2019 - 6 C 2/18 - Rn. 25 bei juris (noch zu § 6b Abs. 1 BDSG a.F.)). Die Geltendmachung, Ausübung und Durchsetzung von Rechtsansprüchen (wie Schadensersatzansprüche nach Diebstahl oder Sachbeschädigung) sind berechtigte Interessen (Buchner/Petri in: Kühling/Buchner, DS-GVO BDSG, Art. 6 DS-GVO, Rn. 147). Ebenso kann das Interesse der Trainierenden, von einem Fitnessstudiobetreiber vor Diebstählen und Übergriffen geschützt zu werden, als „berechtigt“ i.S.d. Art. 6 Abs. 1 f) DS-GVO eingeordnet werden, da der Begriff des berechtigten Interesses weit auszulegen ist; eine normative Einschränkung erfolgt erst später im Rahmen der Interessenabwägung (Albers/Veit in: BeckOK Datenschutzrecht, Art. 6, Rn. 50).
(b) Auch die Erforderlichkeit der Videoüberwachung kann noch bejaht werden, da jedenfalls für die Aufklärung von Diebstählen, Sachbeschädigungen und Übergriffen kein anderes, gleich effektives Mittel (vgl. Buchner/Petri in: Kühling/Buchner, DS-GVO BDSG, Art. 6 DS-GVO, Rn. 147a) ersichtlich ist.
(c) Die Interessen der Trainierenden überwiegen jedoch die von der Klägerin vorgebrachten berechtigten Interessen an der Videoüberwachung. Die Trainierenden sind in ihrem Grundrecht auf informationelle Selbstbestimmung als Teil des allgemeinen Persönlichkeitsrechts aus Art. 1 Abs. 1 i.V.m. Art. 2 Abs. 1 GG berührt und zwar in ganz erheblicher Weise. Bei der durchgehenden Videoüberwachung im Fitnessstudio der Klägerin während der gesamten Öffnungszeiten auf allen Trainingsflächen handelt es sich um einen gravierenden Eingriff in dieses Grundrecht aller Trainierenden, mithin einer erheblichen Anzahl von Personen, ohne räumliche oder zeitliche Ausweichmöglichkeit. Schon aufgrund dieser Alternativlosigkeit der Trainierenden überwiegen deren Interessen die der Klägerin. Ihr stehen nämlich durchaus andere, zwar möglicherweise nicht genauso effektive, aber jedenfalls ausreichend effektive Maßnahmen zur Wahrung ihrer Interessen zur Verfügung wie beispielsweise eine Aufstockung des Personals. Die Klägerin kann sich nicht allein darauf berufen, die Videoüberwachung sei gegenüber der Personalaufstockung die wirtschaftlich sinnvollere Alternative (vgl. Buchner/Petri in: Kühling/Buchner, DS-GVO BDSG, Art. 6 DS-GVO, Rn. 147a).
Erschwerend kommt hinzu, dass die Trainierenden nicht mit einer Videoüberwachung im Fitnessstudio rechnen mussten. Bei der Abwägung der beiderseitigen Interessen ist zu berücksichtigen, dass gemäß Satz 4 des DS-GVO-Erwägungsgrundes 47 insbesondere dann, wenn personenbezogene Daten in Situationen verarbeitet werden, in denen eine betroffene Person vernünftigerweise nicht mit einer weiteren Verarbeitung rechnen muss, die Interessen und Grundrechte der betroffenen Person das Interesse des Verantwortlichen überwiegen könnten. Laut den gemäß Art. 70 Abs. 1 Buchst. e) DS-GVO zur Sicherstellung einer einheitlichen Anwendung der DS-GVO erlassenen Leitlinien des Europäischen Datenschutzausschusses (EDSA) ist entscheidendes Kriterium für die Auslegung des Begriffs der vernünftigen Erwartung, ob ein objektiver Dritter vernünftigerweise in der konkreten Situation erwarten kann, dass er überwacht wird (EDSA, Leitlinien 3/2019 zur Verarbeitung personenbezogener Daten durch Videogeräte, Version 2.0, Rn. 36, abgerufen unter edpb_guidelines_201903_video_devices_de.pdf (europa.eu)). Hinweisschilder, die über die Videoüberwachung informieren, sind zur Bestimmung, was eine betroffene Person objektiv in einer bestimmten Situation erwarten kann, unerheblich (EDSA, a.a.O, Rn. 40). In öffentlich zugänglichen Bereichen können betroffene Personen davon ausgehen, dass sie nicht überwacht werden, vor allem, wenn diese Bereiche typischerweise für Freizeitaktivitäten genutzt werden, wie es bei Fitnesseinrichtungen der Fall ist (EDSA, a.a.O., Rn. 38). Da vorliegend nichts dafür spricht, von diesem Grundsatz abzuweichen, führt auch dies zu einem Überwiegen der Interessen der Trainierenden.
Auch bei Betrachtung des Umfangs der der Klägerin entstandenen Schäden ist keine andere Gewichtung der Interessen geboten. Nach den Angaben der Klägerin in der mündlichen Verhandlung belaufen sich die Diebstähle auf circa zehn Fälle jährlich und die Sachbeschädigungen auf circa 10.000 EUR bis 15.000 EUR jährlich, während die Einnahmen beispielhaft im Jahr 2019 200.000 EUR betrugen. Die finanziellen Einbußen der Klägerin halten sich daher in einem Rahmen, der in keinem Verhältnis zu einer lückenlosen Videoüberwachung der Trainierenden steht. Wenn die Klägerin darüber hinaus in der mündlichen Verhandlung ausführt, dass hinsichtlich der Kleingeräte keinerlei Diebstahlsicherungen sinnvoll umsetzbar sind, muss letztlich aus unternehmerischer Sicht hingenommen werden, dass nicht jegliche finanziellen Risiken abgewendet werden können, ganz besonders nicht auf Kosten der informationellen Selbstbestimmung der gesamten Kundschaft.
Auch die berechtigten Interessen der Trainierenden selbst, die die Klägerin ebenfalls geltend macht, begründen kein anderes Abwägungsergebnis. Zwar mag die Videoüberwachung für manche eher ein willkommenes Gefühl der Sicherheit als einen unangenehmen Anpassungsdruck auslösen. Die Risiken der Aufklärbarkeit eines Diebstahls oder Übergriffs liegen aber primär im Verantwortungsbereich der Trainierenden selbst, nicht dem der Klägerin. Wer das Smartphone nicht in den Spind sperrt, ist sich regelmäßig der so erleichterten Möglichkeit eines Diebstahls im Trainingsraum im Fitnessstudio bewusst. Auch dass die Aufklärung von Straftaten in einem verhältnismäßig engen Raum unter vielen sich fremden Menschen erschwert ist, dürfte den Trainierenden als Teil des allgemeinen Lebensrisikos bewusst sein. Es liegt in der Hand der Trainierenden selbst, dieses Risiko bei Bedarf zu minimieren, indem beispielsweise Trainingsgeräte in der Nähe der Empfangstheke gewählt werden oder zu zweit oder zu einer „risikoärmeren“ Uhrzeit trainiert wird. Das Interesse der Trainierenden, vor diesem allgemeinen Lebensrisiko durch die Klägerin mittels Videoüberwachung geschützt zu werden, wiegt nicht so schwer, wie das Interesse daran, im Fitnessstudio überwachungsfrei trainieren zu können.
Das Gericht sieht hier auch keine Vergleichbarkeit mit dem Einzelhandel, da dort zum einen ein deutlich geringerer Eingriff in das allgemeine Persönlichkeitsrecht vorliegt (regelmäßig kürzerer Aufenthalt und auch weniger private Tätigkeit als im Fitnessstudio), zum anderen aber das Diebstahlrisiko und die Aufklärungsschwierigkeiten noch höher sein dürften durch den schnelleren Kundenwechsel, die höhere Zahl an kleinen Gegenständen und die leichteren Verstauungsmöglichkeiten beispielsweise in Jacken- und Hosentaschen.
Da somit mangels Rechtsgrundlage für die Datenverarbeitung mittels Videoüberwachung ein datenschutzrechtlicher Verstoß gegeben war, durfte die Beklagte eine Abhilfemaßnahme nach Art. 58 Abs. 2 DS-GVO ergreifen. Der Aufsichtsbehörde steht bezüglich der Wahl der konkreten Abhilfemaßnahme ein Ermessen zu (vgl. dazu DS-GVO-EG 129), welches gerichtlich nur eingeschränkt überprüfbar ist, § 20 Abs. 2 BDSG i.V.m. § 114 VwGO. Vorliegend sind Ermessensfehler hinsichtlich der Untersagungsanordnung weder vorgetragen noch sonst ersichtlich.
Die Untersagungsanordnung war auch verhältnismäßig (vgl. DS-GVO-Erwägungsgrund 129), insbesondere ist kein milderes, gleich effektives Mittel zur Herstellung des Einklangs mit der DS-GVO ersichtlich. Da die gesamte Trainingsfläche lückenlos überwacht wurde, könnte eine (nachträgliche) Einwilligung i.S.d. Art. 6 Abs. 1 Buchst. a) DS-GVO mangels Freiwilligkeit und Widerruflichkeit i.S.d. Art. 7 DS-GVO nicht wirksam eingeholt werden. Eine mögliche Anordnung des Beklagten nach Art. 58 Abs. 2 Buchst. d) DS-GVO, die Videoüberwachung wirksam zum Bestandteil des Vertrags mit den Trainierenden zu machen (statt des bloßen Hinweises in den Datenschutzhinweisen), erscheint zum einen schon mit Blick auf die zivilrechtlichen Vorschriften zur AGB-Kontrolle problematisch (vgl. dazu LG Koblenz BeckRS 2014, 1243) und hätte zum anderen einen erheblichen Eingriff in die Privatautonomie der Klägerin und somit auch kein milderes Mittel dargestellt. Das Verbot der Videoüberwachung war daher als ultima ratio erforderlich. Das Verbot war auch angemessen, denn das öffentliche Interesse an der Herstellung eines datenschutzkonformen Zustands im Fitnessstudio der Klägerin überwiegt das Interesse der Klägerin an der Videoüberwachung, da ein schwerwiegender Eingriff in das Persönlichkeitsrecht der Trainierenden vorlag (siehe hierzu auch die Ausführungen oben zu Art. 6 Abs. 1 Buchst. f) DS-GVO).
b) Die Mitteilungsanordnung in Ziffer II des streitgegenständlichen Bescheids ist demgegenüber materiell rechtswidrig und daher aufzuheben, denn der streitgegenständliche Bescheid enthält bezüglich seiner Ziffer II keinerlei Begründung i.S.d. Art. 39 BayVwVfG (vgl. auch DS-GVO-Erwägungsgrund 129) oder Ermessenserwägungen. An diesem Ermessensausfall konnte auch der Schriftsatz des Beklagten vom 31. Januar 2022 nichts ändern.
Die fehlende Begründung der Ziffer II stellte zunächst einen Formfehler dar, der aber durch die Ausführungen des Beklagten im Schriftsatz vom 31. Januar 2022 gemäß Art. 45 Abs. 1 Nr. 2, Abs. 2 BayVwVfG geheilt werden konnte, sodass Ziffer II formell rechtmäßig war.
Als Rechtsgrundlage für Ziffer II wurde in diesem Schreiben vom 31. Januar 2022 Art. 58 Abs. 1 Buchst. a) DS-GVO genannt. Hinsichtlich der Wahl der im Einzelfall anzuwendenden Untersuchungsbefugnis des Abs. 1 des Art. 58 DS-GVO steht der Aufsichtsbehörde ein Auswahlermessen zu (vgl. DS-GVO-Erwägungsgrund 129), welches gerichtlich nur eingeschränkt überprüfbar ist gemäß § 20 Abs. 2 BDSG i.V.m. § 114 Satz 1 VwGO. Der streitgegenständliche Bescheid enthält jedoch keine Ausführungen, aus denen ersichtlich wäre, dass der Beklagte dieses Ermessen bezüglich Ziffer II des Bescheids erkannt und ausgeübt hat. Dies allein stellt schon ein starkes Indiz für einen materiellen Ermessensausfall dar (BayVGH NVwZ-RR 2008, 787 (787 f.); Stelkens in: Stelkens/Bonk/Sachs, VwVfG, § 39, Rn. 28 m.w.N.).
Es können auch nicht die zur Untersagungsanordnung in Ziffer I des Bescheids angestellten Ermessenserwägungen auf Ziffer II übertragen werden, da sich diese in keiner Weise mit der Art und Weise, wie die Umsetzung der Untersagung überprüft werden könnte, auseinandersetzen (vgl. zur Übertragung von Ermessenserwägungen BVerwG NVwZ 2007, 470 (471)). Insgesamt ist schlicht nicht erkennbar, dass bei der Wahl der passenden Untersuchungsbefugnis zur Kontrolle der Umsetzung der Untersagungsanordnung die notwendige Abwägung zwischen den öffentlichen Interessen und den privaten Interessen der Klägerin stattgefunden hat. Auch das nachträgliche Vorbringen des Beklagten im Schriftsatz vom 31. Januar 2022 konnte diesbezüglich nicht berücksichtigt werden, denn § 114 Satz 2 VwGO ermöglicht lediglich die Ergänzung defizitärer Ermessenserwägungen, nicht aber die nachträgliche erstmalige Ausübung (BVerwG NVwZ 2007, 470 (471)). Nach alldem lag ein Ermessensausfall vor.
Ziffer II des streitgegenständlichen Bescheids war daher wegen des Ermessensausfalls rechtswidrig. Insoweit war die Klägerin als Adressatin des belastenden Verwaltungsakts auch in ihrem Recht auf wirtschaftliche Handlungsfreiheit aus Art. 2 Abs. 1 i.V.m. Art. 19 Abs. 3 GG verletzt, sodass Ziffer II gemäß § 113 Abs. 1 Satz 1 VwGO aufzuheben war.
c) Die formell rechtmäßige Zwangsgeldandrohung in Ziffer III des streitgegenständlichen Bescheids ist auch materiell rechtmäßig, insbesondere wurde wirksam eine Frist i.S.d. Art. 36 Abs. 1 Satz 2 VwZVG gesetzt. Zwar setzt Ziffer III nach ihrem Wortlaut selbst keine entsprechende Frist, jedoch enthält die Begründung zur Ziffer III auf Seite 4 des streitgegenständlichen Bescheids eindeutig die vom Beklagten beabsichtigte Frist, nämlich zwei Wochen nach Bestandskraft des Bescheids. Da die Begründung zur Bestimmung des Regelungsinhalts eines Verwaltungsakts zu Hilfe zu nehmen ist (Stelkens in: Stelkens/Bonk/Sachs, Verwaltungsverfahrensgesetz, Art. 35, Rn. 76), ist vorliegend eine Frist i.S.d. Art. 36 Abs. 1 Satz 2 VwZVG ordnungsgemäß gesetzt worden. Auch die Bestimmtheit gemäß Art. 37 BayVwVfG ist dabei gewahrt (vgl. hierzu Stelkens in: Stelkens/Bonk/Sachs, Verwaltungsverfahrensgesetz, Art. 39, Rn. 26).
Der BGH hat entschieden, dass kein Anspruch auf Löschung eines Jameda-Basisprofils aus Art. 17 DSGVO besteht. Dem steht ein berechtigtes Interesse des Portalbetreibers nach Art. 6 Abs.1 lit. f DSGVO entgegen.
Leitsätze des BGH:
a) Zu den Voraussetzungen eines Anspruchs auf Löschung von personenbezogenen Daten in einem Arztsuche- und -bewertungsportal im Internet (www.jameda.de).
b) Zum sogenannten "Medienprivileg" im Sinne des Art. 38 Abs. 1 BayDSG in Verbindung mit Art. 85 Abs. 2 DS-GVO.
BGH, Urteil vom 15. Februar 2022 - VI ZR 692/20 - OLG Frankfurt a.M. - LG Hanau
Das AG Pforzheim hat in diesem Fall dem Betroffenen 1.500 EURO Schadensersatz aus Art. 82 DSGVO wegen der unberechtigten Weitergabe von Name und Adresse zugesprochen.
Aus den Entscheidungsgründen: Durch die Weitergabe des Namens und der Adresse des Klägers ohne dessen Einwilligung an das Abrechnungszentrum Dr. G. hat die Beklagte gegen Art. 6 Abs. 1 DS-GVO verstoßen und des weiteren pflichtwidrig den Kläger hierüber nicht nach Art. 14 Abs. 1 DSGVO informiert. Aufgrund dessen steht dem Kläger ein Schadensersatzanspruch gem. Art. 82 Abs. 1 DS-GVO zu, wobei das Gericht einen Betrag in Höhe von 1.500,- € (zuzüglich 4,- € für Mahnkosten) für angemessen, aber auch ausreichend hält. Hierbei wurde zum einen berücksichtigt, dass sich der von der Beklagten begangene Verstoß nicht als besonders schwerwiegend darstellt, insbesondere keinerlei Anhaltspunkte für ein systematisches Vorgehen oder gar eine Schädigungs- oder Bereicherungsabsicht erkennen lassen. Andererseits sieht das Gesetz einen Ausschluss vermeintlicher Bagatellschäden nicht vor (s. hierzu sowie zum folgenden Kühling-Buchner, DS-GVO, Art. 82, Rd.-Nr. 18 a ff.). Vielmehr ist der Schadensbegriff der DS-GVO weit auszulegen und, da es sich um einen europarechtlichen Anspruch handelt, nicht mit den bisher in Deutschland üblichen Beträgen für einen Immateriellen Schadensersatz zu vergleichen. Um die geforderte Abschreckung zu erreichen, muss der zuzusprechende Schadensersatz über einen rein symbolischen Betrag hinaus gehen. Unter Berücksichtigung all dessen erachtet das Gericht einen Betrag in Höhe von 1.500,- € für insgesamt angemessen.
Weitergehende Ansprüche stehen dem Kläger nicht zu. Insbesondere kann er sich nicht darauf berufen, die Beklagte hätte auch im Folgenden unerlaubt seine geschützten personenbezogenen Daten weitergegeben bzw. verarbeitet, so dass ihm auch aufgrund dessen ein (höherer) Schadensersatzanspruch zustünde bzw. ein weiterer, über das Schreiben der Beklagten vom 21.04.2020 hinausgehender, Auskunftsanspruch. Denn die DSGVO gilt gem. Art. 2 Abs. 1 nur für die ganz oder teilweise automatisierte Verarbeitung personenbezogener Daten sowie für die nicht automatisierte Verarbeitung personenbezogener Daten, die in einem Dateisystem gespeichert sind oder gespeichert werden sollen. Die Voraussetzungen für diesen sachlichen Anwendungsbereich der DS-GVO sind im Übrigen jedoch weder ersichtlich noch hinreichend vorgetragen. Die Beklagte mag weitere Daten des Klägers an dessen geschiedene Ehefrau mitgeteilt haben; dies alleine - nämlich ohne automatisierte Verarbeitung oder Speicherung in einem Dateisystem - fällt jedoch eben nicht in den Anwendungsbereich der DS-GVO. Eine Weitergabe von Daten an ihren Prozessbevollmächtigten läge darüber hinaus in ihrem anerkennungswerten berechtigten Interesse, Art. 6 Abs. 1 Satz 1 f DS-GVO.
Das OLG Brandenburg hat entschieden, dass ein berechtigtes Interesse nach Art. 6 Abs. 1 lit. f DGSVO vorliegt, wenn die Datenverarbeitung der Überprüfung der Einhaltung der Verpflichtung zur Zahlung des Mindestlohns durch einen Subunternehmer
Aus den Entscheidungsgründen: b) Die Klägerin ist durch die Vorschriften der seit 2018 geltenden Regelungen der Datenschutzgrundverordnung (im Folgenden DSGVO) nicht gehindert, gegenüber der Beklagten Nachweise über die Zahlung des Mindestlohns an die Mitarbeiter, die sie zur Erfüllung von Aufträgen der Beklagten eingesetzt hat, zu erbringen. Diese Form der Verarbeitung personenbezogener Daten der Mitarbeiter der Klägerin ist vielmehr, soweit dabei die Grenzen der Erforderlichkeit und der Datensparsamkeit eingehalten werden, gemäß Art 6 Abs. 1 lit f. DSGVO erlaubt.
aa) Dabei verkennt der Senat nicht, dass Vereinbarungen zwischen einem Generalunternehmer – wie der Beklagten – und einem Subunternehmer – wie der Klägerin – über Vorlagepflichten und Einsichtsrechte zur Überprüfung der Einhaltung des Mindestlohngesetztes (im Folgenden MiLoG) zwar einerseits mit Blick auf die Haftung des Generalunternehmers aus § 13 MiLoG i.V.m. § 14 AEntG üblich sind und in der Literatur zum MiLoG sogar empfohlen werden (vgl. nur: Grimm in Tschöpe, Arbeitsrecht Handbuch, 12. Aufl. 2021, E. Arbeitnehmerentsendung und Mindestlohn Rn. 128; Bissels/Falter, Gesetzlicher Mindestlohn – Fallstricke bei der Haftung für Subunternehmer nach dem MiLoG) – DB 2015, 65, 67; Rittweger/Zieglmeier, Checkliste Mindestlohn, NZA 2015, 976,977), andererseits datenschutzrechtlich durchaus als problematisch (Tschöpe a.a.O., Datenschutzbeauftragte des Bundes du der Länger, z.B. Internetauftritt des Sächsischen Datenschutzbeauftragten), teilweise sogar als schlichtweg unzulässig (Frank/Krause, Datenschutzrechtliche Aspekte des Mindestlohngesetztes, DB 2015, 1285, 1286) erachtet werden.
Datenschutzrechtlich stellt sich die Rechtslage bezogen auf den für die Entscheidung des Rechtsstreits maßgeblichen Zeitraum August/September 2019 wie folgt dar:
Trotz Inkrafttretens der DSGVO mit Wirkung ab dem 25.05.2018 ist die Frage des Umgangs eines Unternehmers mit personenbezogenen Daten der bei ihm Beschäftigten grundsätzlich zunächst nach § 26 BDSG a.F. zu beurteilen, da die Bundesrepublik Deutschland mit dieser Vorschrift von der in Art. 88 DSGVO eingeräumten Befugnis, zur Gewährleistung des Schutzes der Rechte und Freiheiten hinsichtlich der Verarbeitung personenbezogener Beschäftigtendaten im Beschäftigungskontext spezifischere Vorschriften zu erlassen, Gebrauch gemacht hat. Dabei gehört zur Verarbeitung im Sinne des BDSG aufgrund der Begriffsdefinition in Art. 4 Ziff. 2 DSGVO auch die „Offenlegung durch Übermittlung, Verbreitung oder eine andere Form der Bereitstellung“. Gemäß § 26 Abs. 1 BDSG a.F. ist die Verarbeitung personenbezogener Daten für Zwecke des Beschäftigungsverhältnisses zulässig, wenn dies für die Entscheidung über die Begründung eines Beschäftigungsverhältnisses oder nach Begründung des Beschäftigungsverhältnisses für dessen Durchführung oder Beendigung oder zur Ausübung bestimmter Rechte und Pflichten der Interessenvertretung von Beschäftigten erforderlich ist. Die Überprüfung der Einhaltung der Verpflichtung zur Zahlung des Mindestlohns durch einen Generalunternehmer als Auftraggeber der Beschäftigten eines Unternehmens, mag sie auch im Interesse der Beschäftigten liegen, gehört nicht zu der danach erlaubten Verarbeitung persönlicher Daten. Erlaubt ist die Verarbeitung personenbezogener Daten der Beschäftigten darüber hinaus auf der Grundlage einer Einwilligung (§ 26 Abs. 2 BDSG a.F.). Derartige Einwilligungen der Mitarbeiter der Klägerin liegen indes – unbestritten – (jedenfalls bislang) nicht vor. Ebenso wenig gibt es einen Anhaltspunkt für das Vorliegen einer Kollektivvereinbarung (§ 26 Abs. 4 BDSG a.F.). Schließlich geht es auch nicht um die Verarbeitung personenbezogener Daten im Sinne von Art 9 DSGVO, für die § 26 Abs. 3 BDSG eine gesonderte Regelung trifft.
Der Umstand, dass danach die Regelungen in § 26 BDSG eine Übermittlung von Stundennachweisen und Lohnabrechnungen – dass diese personenbezogene Daten der Mitarbeiter der Klägerin enthalten, steht außer Frage - nicht erlauben, bedeutet gleichwohl nicht zwingend, dass die Beklagten sich mit pauschalen Versicherungen der Klägerin oder deren Steuerberaters in Bezug auf die Einhaltung der Verpflichtung zur Zahlung des Mindestlohns zufrieden geben muss. Zulässig ist vielmehr – ebenso wie dies im Verhältnis zwischen § 32 BDSG a.F. und § 28 Abs. 1 S. 1 Nr. 2 BGSG a.F. der Fall war (BAG, Urteil vom 29.06.2017 – 2 AZR 597/16 – Rn. 25 ff.) – ein Rückgriff auf Art. 6 DSGVO (Plath DSGVO/BDSG, 3. Aufl. 2018 Rn. 13 m.w.N.). Gemäß Art 6 Abs. 1 lit f. DSGVO ist jedoch eine Verarbeitung rechtmäßig, wenn sie zur Wahrung der berechtigten Interessen des Verantwortlichen oder eines Dritten erforderlich ist, sofern nicht die Interessen oder Grundrechte und Grundfreiheiten der betroffenen Person, die den Schutz personenbezogener Daten erfordern, überwiegen.
bb) Die Voraussetzungen des Art. 6 Abs. 1 lit. f DGSVO liegen für einen Nachweis der Einhaltung der Verpflichtung zur Zahlung des Mindestlohns durch einen Subunternehmer an den Generalunternehmer im Hinblick auf zur Nachweisführung erforderlichen persönliche Daten der Beschäftigten des Subunternehmers vor.
Der Generalunternehmer hat – wie das Landgericht zutreffend ausgeführt hat – ein berechtigtes Interesse, von dem Subunternehmer einen Nachweis zur Einhaltung der Mindestlohnzahlung zu verlangen. Dieses ergibt sich daraus, dass der Generalunternehmer gemäß § 13 MiLoG i.V.m. § 14 AEntG wie ein Bürge für die Verpflichtung des Subunternehmers gegenüber seinen Beschäftigten für die Zahlung des Mindestlohns einzustehen hat.
Die durch das Verlangen von Nachweisen über die Zahlung des Mindestlohns ermöglichte Kontrolle des Generalunternehmers gegenüber dem Subunternehmer ist zur Wahrung des berechtigten Interesses des Generalunternehmers auch erforderlich. Dem steht nicht entgegen (so aber Frank/Krause, Datenschutzrechtliche Aspekte des Mindestlohngesetztes, DB 2015, 1285, 1286), dass dem Generalunternehmer auch andere Möglichkeiten zur Minimierung seines Haftungsrisikos zur Verfügung stehen, so etwa die – hier von der Beklagten gemäß § 4 Abs. 3 und 4 des Nachunternehmervertrages auch ergriffenen - Möglichkeiten, sich durch vertragliche Vereinbarung im Verhältnis zu dem Subunternehmer freizuzeichnen oder sich im Falle des Verstoßes gegen das MiLoG ein Kündigungsrecht einräumen zu lassen. Daneben werden Vertragsstrafenregelungen oder, um auch das Insolvenzrisiko des Subunternehmers auszuschließen, die Möglichkeit des Verlangens der Absicherung einer Inanspruchnahme nach dem MiLoG durch eine Bürgschaft oder einen Sicherheitseinbehalt vorgeschlagen (vgl. nur etwa: Bissels/Falter, Gesetzlicher Mindestlohn – Fallstricke bei der Haftung für Subunternehmer nach dem MiLoG – DB 2015, 65, 67/68). Bei all diesen alternativen Maßnahmen muss der Generalunternehmer jedoch entweder in Kauf nehmen, dass der Subunternehmer von vornherein eine höhere Vergütung verlangt, etwa um Avalkosten oder Liquiditätseinbußen durch Sicherheitseinbehalte abzudecken, oder er kann lediglich reaktiv bei Verstößen das Vertragsverhältnis beenden und Ersatz seiner Aufwendungen/Schäden verlangen. Eine Vereinbarung, wonach sich der Subunternehmer verpflichtet, dem Generalunternehmer Unterlagen zum Nachweis der Mindestlohnzahl vorzulegen, wirkt dagegen allein wegen der damit verbundenen Kontrollfunktion präventiv, d.h. sie vermeidet – in den Grenzen einer im Geschäftsverkehr zwischen Unternehmen gebotenen Praktikabilität -, dass es überhaupt zu seiner Inanspruchnahme des Generalunternehmers durch die Beschäftigten des Subunternehmers kommen kann. Auch dieses Haftungsvermeidungsinteresse des Generalunternehmers ist jedoch gerade wegen des Gleichlaufs mit den Zwecken des Mindestlohngesetzes als berechtigt zu erachten.
Einer Weitergabe zur Kontrolle der Einhaltung der Verpflichtung zur Zahlung des Mindestlohns erforderlicher personenbezogener Daten der Beschäftigten des Subunternehmers an den Generalunternehmer stehen schließlich auch keine Interessen oder Grundrechte und Grundfreiheiten der Beschäftigten des Subunternehmers entgegen, die den Schutz personenbezogener Daten erfordern und das berechtigte Interesse des Generalunternehmers überwiegen. Den Rechten und Interessen der Beschäftigten des Subunternehmers kann nämlich im Rahmen der insoweit vorzunehmenden Interessenabwägung dadurch Rechnung getragen werden, dass die zur Erfüllung des – in seiner Präventivwirkung gerade auch die Beschäftigten des Subunternehmers in ihrem Interesse an der Zahlung des Mindestlohns schützenden - Kontrollinteresses des Generalunternehmers erforderliche Offenlegung ihrer personenbezogenen Daten so datensparsam wie eben möglich erfolgt, was – wie das Landgericht zu Recht ausgeführt hat – ggf. durch Anonymisierungen, Pseudonymisierungen oder Schwärzungen sicherzustellen ist.
Das VG Wiesbaden hat entschieden, dass kein Verstoß gegen die Vorgaben der DSGVO durch Verwendung von Gesundheitsdaten in einem Prozess besteht, da dies von Art. 9 Abs. 2 lit f) DSGVO gedeckt ist.
Aus den Entscheidungsgründen:
Es ist auch eine Datenverarbeitung im Sinne von Art. 4 Nr. 2 DS-GVO gegeben. Ein Verarbeitungsvorgang ist nach Art. 4 Nr. 2 DS-GVO jeder mit oder ohne Hilfe automatisierter Verfahren ausgeführter Vorgang oder jede solche Vorgangsreihe im Zusammenhang mit personenbezogenen Daten wie das Erheben, das Erfassen, die Organisation, das Ordnen, die Speicherung, die Anpassung oder Veränderung, das Auslesen, das Abfragen, die Verwendung, die Offenlegung durch Übermittlung, Verbreitung oder eine andere Form der Bereitstellung, der Abgleich oder die Verknüpfung, die Einschränkung, das Löschen oder die Vernichtung.
Die Datenverarbeitung ist nach Art. 6 Abs. 1 UA 1 S. 1 f) i.V.m. Art. 9 DS-GVO rechtmäßig, wenn die Verarbeitung ist zur Wahrung der berechtigten Interessen des Verantwortlichen oder eines Dritten erforderlich, sofern nicht die Interessen oder Grundrechte und Grundfreiheiten der betroffenen Person, die den Schutz personenbezogener Daten erfordern, überwiegen.
Für die Frage, ob ein berechtigtes Interesse vorliegt, ist zunächst das Interesse des Verantwortlichen auf Grundlage der Zweckbestimmung zu betrachten. In Betracht kommen bspw. rechtliche, wirtschaftliche oder ideelle Interessen (Gola, DS-GVO/Schulz, DS-GVO, 2. Aufl. 2018, Art. 6 Rn. 57).
Im vorliegenden Fall ist es das Interesse der Rechtsanwältin, die vertragliche Verpflichtung mit dem Mandanten, der Arbeitgeberin, zu erfüllen (vgl. § 3 Abs. 3 BRAO). Hierfür ist sie gehalten, die Prozessvertretung im arbeitsgerichtlichen Verfahren zu übernehmen und hierzu vorzutragen. Die Rechtsanwältin erklärte sich zudem nicht im eigenen Namen über die Daten des Klägers, sondern als Vertreterin und im Namen der Partei über die ihr vom Mandanten zugetragenen Tatsachen. Bei den Äußerungen eines Anwalts im Prozess handelt es sich um Parteivortrag.
Die Verarbeitung ist auch zur Wahrung der berechtigten Interessen der Mandantschaft, hier der beklagten Arbeitgeberin, erforderlich. Die Tätigkeit eines Rechtsanwalts wäre unmöglich, wenn er nicht grundsätzlich das vortragen dürfte, was ihm der Mandant mitteilt. Er würde sich sogar seinerseits der Gefahr der Anwaltshaftung aussetzen, wenn er entgegen § 138 Abs. 2, Abs. 3 ZPO nicht den Vortrag der gegnerischen Partei bestreitet und den Sachverhalt aus der Perspektive des Mandanten darstellt. Aus anwaltlicher Vorsicht ist der Rechtsanwalt gehalten, umfassend vorzutragen und zu bestreiten.
Die im Rahmen des Art. 6 Abs. 1 UA 1 S. 1 f) DS-GVO vorzunehmende Interessenabwägung zwischen dem berechtigten Interesse des Verantwortlichen bzw. einem Dritten (hier der Mandantschaft) an der Verarbeitung und dem Interesse des Klägers an der Vertraulichkeit seiner Daten geht zu Gunsten der Rechtsanwältin aus.
Die von der Rechtsanwältin verwendeten Daten sind weder falsch, noch durch diese in rechtswidriger Weise beschafft. Sie war bei dem Gespräch vom 29.08.2019 nicht anwesend. Sie hat auch umfassend dazu vorgetragen, dass sie selbst keinen Einblick in die „BEM-Akte“ hatte und auf Basis des Vortrags des Klägers Fragen an die Arbeitgeberin zur Sachverhaltsaufklärung stellte. Hieran besteht kein Zweifel.
In diesem Rahmen kommt es nicht darauf an, ob es sich um ein wirksames „BEM-Gespräch“ handelte. Selbst bei einem wirksam durchgeführten „BEM“ läge kein Geheimnisverrat durch die Rechtsanwältin vor. Diese darf alle Umstände nutzen, weil sie selbst mangels Teilnahme an dem Gespräch nicht der Verschwiegenheit unterliegt. Ansonsten würde sie die Interessen des Mandanten und ihre Verpflichtungen aus dem Mandatsverhältnis verletzen. Hierauf kommt es aber im vorliegenden Fall nicht an, da der Kläger selbst im arbeitsgerichtlichen Verfahren vorgetragen hat, dass es sich nicht um ein wirksames „BEM“ gehandelt habe. Demnach können die Inhalte des Gesprächs auch nicht der Geheimhaltung unterliegen. Der Inhalt des Gesprächs kann erst Recht verwendet werden. Dies hätte der Kläger, der promovierter Volljurist ist, erkennen müssen.
Zudem hat der Kläger die Daten und damit Gesundheitsdaten selbst ins Verfahren eingebracht, indem er den Prozess beim Arbeitsgericht mit seiner Klage einleitete und den Gegenstand dieses Verfahrens durch den von ihm geltend gemachten Anspruch auf eine leidensgerechte Beschäftigung denkbar weit fasste.
Die Verarbeitung von Gesundheitsdaten des Klägers nach Art. 9 Abs. 1 DS-GVO ist zulässig. Denn sie erfüllt die für eine Datenverarbeitung durch den Vortrag und Speicherung im Prozess geltenden Voraussetzungen des Art. 9 Abs. 2 lit f) DS-GVO.
Zwar ist vom Grundsatz her gemäß Art. 9 Abs. 1 DS-GVO die Verarbeitung von Gesundheitsdaten einer natürlichen Person untersagt. Aus Art. 9 Abs. 2 lit. f) DS-GVO ergibt sich jedoch, dass dieses Verbot dann nicht gilt, wenn die Verarbeitung zur Geltendmachung, Ausübung oder Verteidigung von Rechtsansprüchen oder bei Handlungen der Gerichte im Rahmen ihrer justiziellen Tätigkeit erforderlich ist.
Diese Norm dient der Sicherung des Justizgewährleistungsanspruchs (vgl. Art. 47 GRCh, Art. 20 Abs. 2 S. 2, Abs. 3 GG). Lässt sich ein rechtlicher Anspruch nur unter Verarbeitung besonderer Kategorien personenbezogener Daten, hier sensitiver Gesundheitsdaten, durchsetzen, so soll es hieran nicht scheitern (Kühling/Buchner/Weichert, 3. Aufl. 2020, DS-GVO Art. 9 Rn. 83). Das Datenschutzregime soll nicht so weit gehen, dass die legitime Durchsetzung von Rechten nicht mehr möglich ist (Paal/Pauly/Frenzel DS-GVO Art. 9 Rn. 37). Dasselbe muss vor dem Hintergrund der Waffengleichheit und des effektiven Rechtschutzes auch für die Abwehr von Ansprüchen gelten. Abs. 74
Art. 9 Abs. 2 lit. f) DS-GVO verweist auf die nationalen verfahrensrechtlichen Regelungen, die einen angemessenen Interessenausgleich der Beteiligten sicherstellen sollen. Ein expliziter Verweis auf nationale Regelungen war insofern nicht nötig (Kühling/Buchner/Weichert, 3. Aufl. 2020, DS-GVO Art. 9 Rn. 87).
Streitgegenstand der Verfahren vor dem ArbG Hannover und dem LAG Niedersachsen ist der vom Kläger in seinen Anträgen und Schriftsätzen geltend gemachte Anspruch auf eine leidensgerechte Beschäftigung. Hierfür legte der Kläger selbst insbesondere ärztliche Atteste, eine E-Mail vom Fr. [...] , die den Inhalt des „BEM“ zum Gegenstand hat und eine E-Mail von ihm an die Arbeitgeberin, die ebenfalls auf das „BEM“ Bezug nimmt, vor.
Falls man der Argumentation des Klägers folgt, so würde der Justizgewährleistungsanspruch einseitig zu Lasten des im arbeitsgerichtlichen Verfahren Beklagten ausgehebelt werden. Hierbei ist auch die besondere Stellung des Rechtsanwalts als unabhängiges Organ der Rechtspflege zu beachten, § 1 BRAO. Aus § 3 Abs. 3 BRAO folgt, dass jedermann hat im Rahmen der gesetzlichen Vorschriften das Recht hat, sich in Rechtsangelegenheiten aller Art durch einen Rechtsanwalt seiner Wahl beraten und vor Gerichten, Schiedsgerichten oder Behörden vertreten zu lassen. Auch § 11 Abs. 2 S. 1 ArbGG sieht dies vor. Das wäre unmöglich, wenn die Rechtsanwältin im vorliegenden Fall am Vortrag im Prozess gehindert wäre.
Da die Datenverarbeitung der Rechtsanwältin rechtmäßig war und ist, hat auch der Klageantrag zu 4), über den mangels Erfolgs der Klageanträge zu 1) bis 3) zu entscheiden ist, aus den oben aufgeführten Gründen ebenfalls keinen Erfolg.
Das LG München hat entschieden, dass der Besucher einer Website gegen den Websitebetreiber einen Unterlassungsanspruch aus §§ 1004, 823 BGB sowie einen Anspruch auf 100 EURO Schadensersatz aus Art. 82 DSGVO wegen der Verwendung von Google Fonts in der Variante, bei der eine Übermittlung von IP-Daten an Google erfolgt, hat.
Auch wir raten unseren Mandanten seit Jahren entweder auf Google Fonts komplett zu verzichten oder in der Variante zu verwenden, bei der keine IP-Daten-Übermittlung an Google erfolgt und die Schriftarten auf dem eigenen Server hinterlegt werden.
Aus den Entscheidungsgründen:
Der Kläger hat gegen die Beklagte einen Anspruch auf Unterlassung der Weitergabe von IP-Adressen des Klägers an Google aus § 823 Abs. 1 i.V.m. § 1004 BGB analog.
Die unerlaubte Weitergabe der dynamischen IP-Adresse des Klägers durch die Beklagte an Google stellt eine Verletzung des allgemeinen Persönlichkeitsrechtes in Form des informationellen Selbstbestimmungsrechts nach § 823 Abs. 1 BGB dar. Das Recht auf informationelle Selbstbestimmung beinhaltet das Recht des Einzelnen, über die Preisgabe und Verwendung seiner personenbezogenen Daten zu bestimmen.
1. Bei der von der Beklagten an Google weitergegebenen dynamischen IP-Adresse handelt es sich um ein personenbezogenes Datum im Sinne von § 12 Abs. 1 und 2 TMG (in der zum Übermittlungszeitraum geltenden Fassung, im weiteren alte Fassung), § 3 Abs. 1 BDSG, Art. 4 Nr. 1 DS-GVO.
Die dynamische IP-Adresse stellt für einen Webseitenbetreiber ein personenbezogenes Datum dar, denn der Webseitenbetreiber verfügt abstrakt über rechtliche Mittel, die vernünftigerweise eingesetzt werden könnten, um mithilfe Dritter, und zwar der zuständigen Behörde und des Internetzugangsanbieters, die betreffende Person anhand der gespeicherten IP-Adressen bestimmen zu lassen (BGH, Urteil vom 16.05.2017 - VI ZR 135/13). Dabei reicht es aus, dass für die Beklagte die abstrakte Möglichkeit der Bestimmbarkeit der Personen hinter der IP-Adresse besteht. Darauf, ob die Beklagte oder Google die konkrete Möglichkeit hat, die IP-Adresse mit dem Kläger zu verknüpfen, kommt es nicht an.
2. Die Beklagte verletzte das Recht des Klägers auf informationelle Selbstbestimmung, indem die Beklagte die dynamische IP-Adresse an Google weiterleitete, als der Kläger die Webseite der Beklagten aufrief.
Die automatische Weitergabe der IP-Adresse durch die Beklagte an Google war ein nach dem Datenschutzrecht unzulässiger Eingriff in das allgemeine Persönlichkeitsrecht des Klägers, da der Kläger unstreitig in diesem Eingriff nicht gemäß § 13 Abs. 2 TMG a.F., Art. 6 Abs. 1 a) DSGVO eingewilligt hat.
3. Es liegt auch kein Rechtfertigungsgrund für den Eingriff in das allgemeine Persönlichkeitsrecht vor. Ein berechtigtes Interesse der Beklagten i.S.d. Art. 6 Abs. 1 f) DS-GVO, wie von ihr behauptet, liegt nicht vor, denn Google Fonts kann durch die Beklagte auch genutzt werden, ohne dass beim Aufruf der Webseite eine Verbindung zu einem Google-Server hergestellt wird und eine Übertragung der IP-Adresse der Webseitennutzer an Google stattfindet.
4. Der Kläger war auch nicht verpflichtet, vor dem Aufrufen der Webseite der Beklagten seine eigene IP-Adresse zu verschlüsseln. Dies vom Kläger zu verlangen, würde dem Zweck des hier betroffenen Datenschutzrechtes, welches in erster Linie den Schutz natürlicher Personen bei der Verarbeitung ihrer personenbezogenen Daten vor Beeinträchtigung bezweckt, zuwiderlaufen, sondern diesen vielmehr umkehren, da durch eine solche Verpflichtung der Rechteinhaber bei der Ausübung seiner schützenswerten Rechte eingeschränkt werden würde {LG Dresden, Urteil vom 11.01.2019, Aktenzeichen 1 AO 1582/18).
5. Wiederholungsgefahr ist zu bejahen. Unstreitig wurde die IP-Adresse des Klägers bei Besuchen des Klägers auf der Webseite der Beklagten an Google weitergeleitet. Vorangegangene rechtswidrige Beeinträchtigungen begründen eine tatsächliche Vermutung für die Wiederholungsgefahr, die durch die Beklagte nicht widerlegt wurde. Die Wiederholungsgefahr wird nicht dadurch ausgeräumt, dass die Beklagte mittlerweile Google Fonts so benutzt, dass eine Kundgabe der IP-Adresse der Webseitenbesucher an Google nicht mehr stattfindet. Die Wiederholungsgefahr kann lediglich durch eine strafbewehrte Unterlassungserklärung beseitigt werden.
II. Der Auskunftsanspruch des Klägers folgt aus Art. 15, Art. 4 Nr. 2 DS-GVO.
III. Dem Kläger steht ein Schadensersatzanspruch aus Art. 82 Abs. 1 DS-GVO zu. Der Begriff des Schadens i.S.d. Art. 82 DS-GVO ist nach dem Erwägungsgrund 146 S. 3 dabei weit auszulegen. Die Auslegung soll den Zielen dieser Verordnung in vollem Umfang entsprechen, auch dem Ziel der Sanktion und Prävention (BeckOK Datenschutzrecht, Wolff/Bring, 38. Edition, DS-GVO Art. 82, Rn. 24). Ausreichend ist gern. Art. 82 Abs. 1 DS-GVO dabei auch ein immaterieller Schaden. Ob eine Erheblichkeitsschwelle erreicht bzw. überschritten sein muss und so genannte Bagatellschäden auszuschließen sind, ist umstritten (vgl. BVerfG NJW 2021, 1005,Rz. 20 m.w.N.; Kohn ZD 2019, 498 (501); Paal MMR 2020, 14 (16)), kann aber im hiesigen Fall dahingestellt bleiben. Die Beklagte räumt ein, dass sie vor der Modifizierung ihrer Webseite bei den Besuchen des Klägers auf ihrer Webseite dessen IP-Adresse an Google übermittelt hat. Die Übermittlung der IP-Adresse erfolgte damit nicht nur einmalig. Der damit verbundene Eingriff in das allgemeine Persönlichkeitsrecht ist im Hinblick auf den Kontrollverlust des Klägers über ein personenbezogenes Datum an Google, ein Unternehmen, das bekanntermaßen Daten über seine Nutzer sammelt und das damit vom Kläger empfundene individuelle Unwohlsein so erheblich, dass ein Schadensersatzanspruch gerechtfertigt ist. Berücksichtigt werden muss dabei auch, dass unstreitig die IP-Adresse an einen Server von Google in den USA übermittelt wurde, wobei dort kein angemessenes Datenschutzniveau gewährleistet ist (vgl. EuGH, Urteil vom 16.7.2020 - C-311/18 (Facebook Ireland u. Schrems), NJW 2020, 2613) und die Haftung aus Art. 82 Abs. 1 DS-GVO präventiv weiteren Verstößen vorbeugen soll und Anreiz für Sicherungsmaßnahmen schaffen soll. Die Hohe des geltend gemachten Schadensersatzes ist im Hinblick auf die inhaltliche Schwere und Dauer der Rechtsverletzung angemessen und wird von der Beklagten auch nicht angegriffen.
BGH
Beschluss vom 07.10.2021 I ZB 78/18
Spreewälder Gurken II
Verordnung (EU) Nr. 1151/2012 Art. 49 Abs. 3 Unterabsatz 1 und Abs. 4 Unterabsatz 2, Art. 53 Abs. 2 Unterabsatz 1
Leitsatz des BGH: Im Verfahren über Anträge auf nicht geringfügige Änderungen der Spezifikation für Erzeugnisse, die eine geschützte geografische Angabe tragen, kann jede aktuelle oder potenzielle, jedoch nicht außerhalb jeder Wahrscheinlichkeit liegende wirtschaftliche Betroffenheit einer natürlichen oder juristischen Person ein "berechtigtes Interesse" begründen, das erforderlich ist, um einen Einspruch gegen den Änderungsantrag oder ein Rechtsmittel gegen die positive Entscheidung über den gestellten Antrag einzulegen, sofern die Gefahr, dass die Interessen einer solchen Person beeinträchtigt werden, nicht äußerst unwahrscheinlich oder hypothetisch ist (Anschluss an EuGH, Urteil vom 15. April 2021 - C-53/20, GRUR 2021, 860 - Hengstenberg).
BGH, Beschluss vom 7. Oktober 2021 - I ZB 78/18 - Bundespatentgericht
Ärztebewertungsportal mit Basisdaten und Nutzerbewertungen
Ein Ärztebewertungsportal erfüllt eine von der Rechtsordnung gebilligte und gesellschaftlich erwünschte Funktion, sofern der Betreiber als neutraler Informationsmittler auftritt. Nutzerbewertungen in Form von Meinungsäußerungen auf einem solchen Portal sind hinzunehmen, wenn sie auf einer Tatsachengrundlage beruhen und die Grenze zur Schmähkritik nicht überschreiten, entschied das Oberlandesgericht Frankfurt am Main (OLG) mit einem heute veröffentlichten Urteil.
Die Klägerin ist Augenärztin in Hessen. Die Beklagte betreibt ein Arztsuche- und bewertungsportal, auf dem Informationen über Ärzte und Träger anderer Heilberufe kostenfrei abgerufen werden können. Die Beklagte bietet auf dem Portal als eigene Information sog. Basisdaten eines Arztes an (Name, Fachrichtung, Praxis Anschrift, Kontaktdaten ect.). Daneben sind Bewertungen abrufbar, die Nutzer in Form eines Notenschemas, aber auch in Form von Freitextkommentaren abgegeben haben. Gegen Bezahlung können die Ärzte als Anzeige gekennzeichnete zusätzliche Informationen veröffentlichen lassen, sog. Premiummitgliedschaft.
Die Klägerin bat um Löschung der negativen Bewertung und um Mitteilung des Urhebers. Die Bewertung wurde in der Folgezeit zunächst unsichtbar, nach einer Rücksprache mit dem/der Urheber/in des Kommentars jedoch wieder sichtbar gemacht. Der Urheber wurde nicht benannt. Eine Löschung der Basisdaten lehnte die Beklagte ebenfalls ab.
Die Klägerin nimmt die Beklagte nunmehr auf Löschung ihrer Basisdaten, hilfsweise auf Löschung des Nutzerkommentars in Anspruch. Das Landgericht hatte der Klage stattgegeben. Die hiergegen eingelegte Berufung hatte vor dem OLG Erfolg:
Die Klägerin könne nicht die Löschung ihrer Basisdaten verlangen, urteilte das OLG. Auch ohne Zustimmung der Klägerin liege hier eine rechtmäßige Datenverarbeitung vor. Dies sei gem. der DSGVO der Fall, „wenn die Datenverarbeitung zur Wahrnehmung des Verantwortlichen oder eines Dritten erforderlich ist, sofern nicht Interessen oder Grundrechte und Grundfreiheiten der betroffenen Person, die den Schutz personenbezogener Daten erfordern, überwiegen.“ Dritten seien hier die Nutzer de Portals, die sich über Ärzte informieren wollten.
Hier falle die „erforderliche Abwägung zwischen den berechtigten Interessen des Verantwortlichen oder eines Dritten einerseits und den Interessen oder Grundrechten und Grundfreiheiten der betroffenen Person auf der anderen Seite“ zulasten der Klägerin aus. Dabei sei zu berücksichtigen, dass das von der Beklagten betriebene Ärztebewertungsportal eine von der Rechtsordnung gebilligte und gesellschaftlich erwünschte Funktion erfülle, sofern die Betreiberin als neutraler Informationsmittler auftrete. Dies sei hier der Fall. Anders als in früher vom BGH entschiedenen Konstellationen lägen insbesondere keine verdeckten Vorteile für die sog. Prämienkunden (mehr) vor. Für den Nutzer sei vielmehr klar ersichtlich, dass für die Anzeigen, die als solche bezeichnet und farblich unterlegt seien, eine Vergütung zu entrichten sei. Es fehle demnach nicht an der erforderlichen Transparenz.
Die Klägerin könne auch nicht Löschung der Bewertung verlangen. Das vom Portalbetreiber in derartigen Fällen einzuhaltende Verfahren sei hier durchgeführt worden. Die bemängelte Kritik sei von der Klägerin hinzunehmen, da sie dadurch nicht rechtswidrig in ihrem Persönlichkeitsrecht verletzt werde. Es handele sich um Meinungsäußerungen, die die Grenze zur Schmähkritik nicht überschritten. Sie beruhten auch auf einem Besuch bei der Klägerin und entbehrten demnach nicht jeder Tatsachengrundlage.
Der Senat hat die Revision zugelassen, da die Sache grundsätzliche Bedeutung hat.
Oberlandesgericht Frankfurt am Main, Urteil vom 9.4.2020, Az. 16 U 218/18
(vorausgehend Landgericht Hanau, Urteil vom 8.11.2018, Az. 7 O 599/18)
