BECKMANN UND NORDA - Rechtsanwälte Bielefeld

Das BMJV den Entwurf eines Gesetzes zur Änderung der Strafprozessordnung – digitale Ermittlungsmaßnahmen

Aus dem Entwurf:
A. Problem und Ziel Der Entwurf verfolgt das Ziel, Strafverfolgungsbehörden mit neuen Befugnissen auszustatten, um die Effektivität der Strafverfolgung zu steigern.

Bislang gibt es keine ausdrückliche Ermächtigungsgrundlage, die den automatisierten Abgleich biometrischer Daten aus einem Strafverfahren mit im Internet öffentlich zugänglichen Daten regelt. Daher dürfen die Ermittlungsbehörden einen solchen Abgleich derzeit nur manuell, also ohne den Einsatz einer speziellen, für den Abgleich entwickelten Software, unter Einsatz gängiger Internet-Suchmaschinen, vornehmen, um Personen zu identifizieren, lokalisieren oder Tat-Täter-Zusammenhänge zu erschließen. Dies kann insbesondere im Falle großer Datenmengen im Einzelfall zur Erfolglosigkeit von Ermittlungsmaßnahmen führen und außerdem in erheblichem Umfang Personal der Strafverfolgungsbehörden binden. Aus der am 1. August 2024 in Kraft getretenen Verordnung (EU) 2024/1689 des Europäischen Parlaments und des Rats vom 13. Juni 2024 zur Festlegung harmonisierter Vorschriften für künstliche Intelligenz und zur Änderung der Verordnungen (EG) Nr. 300/2008, (EU) Nr. 167/2013, (EU) Nr. 168/2013, (EU) 2018/858, (EU) 2018/1139 und (EU) 2019/2144 sowie der Richtlinien 2014/90/EU, (EU) 2016/797 und (EU) 2020/1828 (Verordnung über künstliche Intelligenz) (ABl. L, 2024/1689, 12.7.2024) ergibt sich die Notwendigkeit, spezielle Regelungen für den Einsatz von Systemen künstlicher Intelligenz im Sinne von Artikel 3 Nummer 1 (KI-Systeme) zu schaffen, wenn sie zur biometrischen Fernidentifizierung eingesetzt werden sollen.

Gegenwärtig gibt es auch keine Ermächtigungsgrundlage für den Einsatz verfahrensübergreifender Recherche- und Analyseplattformen zur Strafverfolgung. Das Bundesverfassungsgericht hat in dem zur Gefahrenabwehr ergangenen Urteil vom 16. Februar 2023 – 1 BvR 1547/19 und andere – deutlich gemacht, dass deren Nutzung einer ausdrücklichen Ermächtigungsgrundlage bedarf. Derzeit beruht die operative IT-Infrastruktur der Polizeibehörden teilweise noch auf einem unverbundenen Nebeneinander zahlreicher automatisierter Dateien und Datenquellen, die zur Strafverfolgung noch jeweils einzeln mit einem bestimmten personenbezogenen Datum abgeglichen werden müssen. Dies bindet zum einen personelle Ressourcen, zum anderen birgt dies ein Risiko von Übertragungsfehlern, Informationsverlusten oder paralleler Datenhaltung, zumal jede neue Fragestellung erneut unter den vorangestellten Einschränkungen und Aufwänden bearbeitet werden muss. Mit dem Einsatz verfahrensübergreifender Recherche- und Analyseplattformen könnten bisher unverbundene Dateien und Datenquellen der Polizei, die sowohl die Daten aus der Gefahrenabwehr als auch aus der Strafverfolgung enthalten, in einer Analyseplattform vernetzt werden und durch Suchfunktionen systematisch erschlossen und analysiert werden.

B. Lösung
Für den automatisierten Abgleich biometrischer Daten aus einem Strafverfahren mit biometrischen Daten aus im Internet öffentlich zugänglichen Daten soll eine klare Rechtsgrundlage geschaffen werden. Des Weiteren wird den Strafverfolgungsbehörden die Befugnis eingeräumt, zur Strafverfolgung verfahrensübergreifende Recherche- und Analyseplattformen einzusetzen.

EuGH
Urteil vom 19.03.2026
C-371/24

Der EuGH hat entschieden, dass die Erhebung biometrischer Daten im Rahmen eines strafrechtlichen Ermittlungsverfahrens durch Polizeibehörden nur bei unbedingter Erorderlichkeit zulässig ist.

Die Pressemitteilung des EuGH:
Die Erhebung biometrischer Daten im Rahmen eines strafrechtlichen Ermittlungsverfahrens durch eine Polizeibehörde kann nur mit einer unbedingten Erforderlichkeit gerechtfertigt werden

Erkennungsdienstliche Maßnahmen dürfen nicht systematisch angeordnet werden, sondern müssen klar begründet werden, andernfalls ist die strafrechtliche Sanktion für die Verweigerung, sich ihnen zu unterziehen, unwirksam.

Im Mai 2020 wurde HW in Paris wegen der Organisation einer nicht angemeldeten Demonstration und wegen Aufruhrs festgenommen. Während seines Polizeigewahrsams weigerte er sich, sich erkennungsdienstlichen Maßnahmen (Abnahme von Fingerabdrücken und Anfertigung von Fotografien) zu unterziehen.

HW wurde wegen dieser Weigerung verurteilt2, obwohl er wegen des Vergehens, das der beabsichtigten erkennungsdienstlichen Behandlung zugrunde lag, freigesprochen wurde. Er wandte sich gegen seinen Schuldspruch und trug vor, dass die anwendbare französische Regelung nicht mit den europäischen Rechtsvorschriften über den Schutz personenbezogener Daten im Bereich des Strafrechts vereinbar sei.

n diesem Zusammenhang hat sich das Berufungsgericht Paris an den Gerichtshof gewandt. Es möchte im Wesentlichen wissen, ob das Unionsrecht nationalen Behörden gestattet, von jeder Person, die einer Straftat verdächtigt wird, systematisch Fingerabdrücke abzunehmen und Fotografien anzufertigen, ohne diese Maßnahme im Einzelfall rechtfertigen zu müssen. Es möchte auch wissen, ob eine Person für die Weigerung, sich erkennungsdienstlichen Maßnahmen zu unterziehen, selbst dann strafrechtlich verfolgt werden darf, wenn sie für die Straftat, derer sie verdächtigt wurde, letztlich nicht verfolgt wird.

Der Gerichtshof konkretisiert in seinem Urteil die Anforderungen, die an die nationalen Behörden gestellt werden, wenn sie biometrische Daten (Fingerabdrücke, Fotografien) für strafrechtliche Ermittlungsverfahren erheben.

Zunächst weist der Gerichtshof darauf hin, dass biometrische Daten zu den sensiblen personenbezogenen Daten im Sinne des Unionsrechts gehören, die einem verstärkten Schutz unterliegen: Ihre Verarbeitung ist nur erlaubt, wenn sie unbedingt erforderlich4 ist und geeignete Garantien für die Rechte und Freiheiten der betroffenen Person bestehen.

Das bloße Vorliegen eines oder mehrerer plausibler Gründe für den Verdacht einer Straftat reicht nicht aus, um die Erhebung biometrischer Daten zu rechtfertigen. Jede Entscheidung, erkennungsdienstliche Maßnahmen durchzuführen, muss daher mit einer klaren Begründung versehen sein, die auch summarisch sein kann und es der betroffenen Person ermöglicht, die Gründe der Maßnahme zu verstehen und ihr Recht auf Einlegung eines Rechtsbehelfs auszuüben. Da die Erhebung nicht systematisch erfolgen darf, stellt diese Begründungspflicht keine unverhältnismäßige Belastung für die Behörde dar.

Der Gerichtshof stellt außerdem klar, dass eine nationale Regelung, die eine systematische Erhebung vorschriebe, ohne dass die zuständige Polizeibehörde die Möglichkeit hätte, die Erforderlichkeit im Einzelfall zu prüfen, mit dem Unionsrecht unvereinbar wäre, da sie zu einer unterschiedslosen und allgemeinen Erhebung biometrischer Daten führen würde. Das nationale Recht muss daher die konkreten Zwecke der Erhebung festlegen.

Zur Rechtmäßigkeit einer Sanktion für die Weigerung, sich einer Erhebung biometrischer Daten zu unterziehen, entscheidet der Gerichtshof, dass sie davon abhängt, ob die zugrunde liegende Erhebung die Voraussetzung der unbedingten Erforderlichkeit erfüllt: Erfüllt sie diese Voraussetzung, verstößt die Sanktion nicht gegen das Unionsrecht, sofern sie dem in der Charta der Grundrechte der Europäischen Union vorgesehenen Grundsatz der Verhältnismäßigkeit genügt.

Tenor der Entscheidung:
1. Art. 10 in Verbindung mit Art. 4 Abs. 1 Buchst. a bis c und Art. 8 der Richtlinie (EU) 2016/680 des Europäischen Parlaments und des Rates vom 27. April 2016 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten durch die zuständigen Behörden zum Zwecke der Verhütung, Ermittlung, Aufdeckung oder Verfolgung von Straftaten oder der Strafvollstreckung sowie zum freien Datenverkehr und zur Aufhebung des Rahmenbeschlusses 2008/977/JI des Rates ist dahin auszulegen, dass er einer nationalen Regelung entgegensteht, die die systematische Erhebung biometrischer Daten jeder Person vorsieht, gegen die ein oder mehrere plausible Gründe für den Verdacht bestehen, dass sie eine Straftat begangen hat oder versucht hat, eine Straftat zu begehen, es sei denn, dass das nationale Recht die mit dieser Erhebung verfolgten speziellen und konkreten Zwecke angemessen und hinreichend genau definiert und die zuständige Behörde verpflichtet ist, in jedem Einzelfall zu prüfen, ob die Erhebung zur Erreichung dieser Zwecke unbedingt erforderlich ist, so dass sie nicht systematisch erfolgt.

2. Art. 10 in Verbindung mit Art. 4 Abs. 4 und Art. 54 der Richtlinie 2016/680 ist unter erücksichtigung von Art. 47 der Charta der Grundrechte der Europäischen Union dahin auszulegen, dass er einer nationalen Regelung entgegensteht, die für die zuständige Behörde keine Verpflichtung vorsieht, in jedem Einzelfall angemessen zu begründen, dass es im Sinne von Art. 10 der Richtlinie „unbedingt erforderlich“ ist, die biometrischen Daten jeder Person zu erheben, gegen die ein oder mehrere plausible Gründe für den Verdacht bestehen, dass sie eine Straftat begangen hat oder versucht hat, eine Straftat zu begehen.

3. Art. 10 in Verbindung mit Art. 4 Abs. 1 Buchst. a bis c und Art. 8 der Richtlinie 2016/680 ist unter Berücksichtigung von Art. 49 Abs. 3 der Charta der Grundrechte dahin auszulegen, dass
er einer nationalen Regelung, die es erlaubt, eine Person wegen einer eigenständigen Straftat zu verfolgen und zu verurteilen, mit der ihre Weigerung, die Erhebung ihrer biometrischen Daten zu gestatten, geahndet wird, obwohl sie wegen der Straftat, die der beabsichtigten Datenerhebung zugrunde lag, nicht verfolgt oder verurteilt wurde, nicht entgegensteht, sofern die Erhebung „unbedingt erforderlich“ im Sinne von Art. 10 der Richtlinie ist und die insoweit verhängte strafrechtliche Sanktion dem Verhältnismäßigkeitsgrundsatz genügt.

Den Volltext der Entscheidung finden Sie hier:

OLG Jena
Urteil vom 17.11.2025
3 U 885/24

Das LG Jena hat entschieden, dass die Nutzung einer Gesichtserkennungssoftware durch eine Universität zur Authentifizierung bei einer Online-Prüfung nur mit Einwilligung zulässig ist. Vorliegend hat das Gericht dem Betroffenen 200 EURO Schadensersatz aus Art. 82 DSGVO zugesprochen.

Aus den Entscheidungsgründen:
Der Klägerin steht gemäß Art. 82 Abs. 1 DSGVO ein Anspruch auf Ersatz des ihr entstandenen immateriellen Schadens aufgrund der rechtswidrigen Verarbeitung biometrischer Daten der Kläger durch die Beklagte zu.

Bei der Nutzung der Gesichtserkennungssoftware des Anbieters Uniwise sind biometrische Daten der Klägerin im Sinne von Art. 4 Nr. 14 DSGVO verarbeitet worden. Durch den automatisierten Abgleich der während der Online-Prüfungen aufgenommenen Bilder vom Gesicht der Klägerin mit dem am 09.07.2020 erstellten Referenzbild wurden mit speziellen technischen Verfahren gewonnene personenbezogene Daten zu den physischen, physiologischen oder verhaltenstypischen Merkmalen der Klägerin, die ihre eindeutige Identifizierung ermöglichen oder bestätigen, zur Feststellung möglicher Täuschungsversuche verwendet. Diese Verarbeitung der biometrischen Daten der Klägerin war unter den hier vorliegenden Umständen auch rechtswidrig. Gemäß Art 9 Abs. 1 DSGVO ist die Verarbeitung biometrischer Daten zur eindeutigen Identifizierung einer natürlichen Person grundsätzlich untersagt, es sei denn es liegt ein in Art. 9 Abs. 2 DSGVO geregelter Ausnahmefall vor. Ein solcher Ausnahmefall kann hier jedoch nicht angenommen werden.

Der in § 9 Abs. 2 Buchst. a DSGVO geregelte Fall einer ausdrücklichen Einwilligung der von der Verarbeitung ihrer biometrischen Daten betroffenen Person ist hier nicht gegeben. Eine solche ausdrückliche Einwilligung kann insbesondere nicht durch den Umstand angenommen werden, dass die Klägerin aus dem Katalog der möglichen Durchführung von Prüfungen während der Corona-Pandemie die Möglichkeit 1 (Absolvierung der Prüfung außerhalb des Unicampus) ausgewählt hat. In der Wahl dieser Prüfungsart liegt weder eine konkludente noch eine von der genannten Norm erforderte ausdrückliche Einwilligung der Klägerin mit der Verarbeitung ihrer biometrischen Daten. Der Umstand, dass nach der entsprechenden Auswahl durch die Klägerin ein Referenzbild von ihr angefertigt wurde, konnte zwar die Vermutung der Klägerin begründen, dass bei der Online-Prüfung eine automatisierte Gesichtserkennungssoftware zum Einsatz kommt. Durch die bloße Hinnahme dieses Procederes hat sie jedoch nicht ihr Einverständnis mit der konkreten Verarbeitung ihrer biometrischer Daten durch die zum Einsatz gebrachte Gesichtserkennungssoftware erklärt. Jedenfalls fehlt es insoweit an der im Gesetz vorgeschriebenen Ausdrücklichkeit der Einwilligungserklärung. Hierzu hätte es einer expliziten Belehrung der Klägerin über die durch die Nutzung der Gesichtserkennungssoftware ermöglichte Verarbeitung ihrer biometrischen Daten und einer hierauf bezogenen konkreten Einwilligungserklärung der Klägerin bedurft. Eine solche ausdrückliche Einwilligungserklärung hat sie nicht abgegeben. Auch die Möglichkeit, sich bei Auskunftsstellen der Universität näher über den Prüfungsablauf informieren zu können, ersetzt das Erfordernis einer solchen ausdrücklichen Einwilligungserklärung nicht.

Die Zulässigkeit der Verarbeitung der biometrischen Daten der Klägerin ergibt sich auch nicht aus Art. 9 Abs. 2 Buchst. e DSGVO. Durch die Veröffentlichung von Gesichtsbildern in den sozialen Medien seit dem Jahr 2015 hat die Klägerin keine biometrischen Daten veröffentlicht, sondern lediglich die Möglichkeit geschaffen, dass Dritte biometrische Daten aus diesen Bildern gewinnen können. Ob die Klägerin durch die vorherige Veröffentlichung ihrer Bilder im Internet bereits die Kontrolle über diese personenbezogenen Daten verloren hat, spielt in diesem Zusammenhang keine Rolle, sondern ist erst für die Frage relevant, inwieweit ihr durch den Datenschutzverstoß ein Schaden entstanden ist.

Auch aus der Norm des Art. 9 Abs. 2 Buchst. g DSGVO kann keine Rechtfertigung für die Verarbeitung der biometrischen Daten hergeleitet werden. Zwar mag die Durchführung von Fernprüfungen während der Corona-Pandemie zwecks Aufrechterhaltung des Lehr- und Prüfungsbetriebes in den Hochschulen einem gewissen öffentlichen Interesse entsprochen haben. Dieses öffentliche Interesse erforderte es jedoch nicht wie geschehen eine Verarbeitung biometrischer Daten, durch die nicht unerheblich in das informationelle Selbstbestimmungsrecht des Betroffenen eingegriffen wird, ohne Einholung einer ausdrücklichen Einwilligungserklärung des Betroffenen vorzunehmen, zumal auch andere Möglichkeiten der Prüfungsdurchführung während der Pandemie zur Verfügung standen.

Durch die unzulässige Verarbeitung der biometrischen Daten der Klägerin bei der Durchführung der Online-Prüfungen ist dieser auch ein wenn auch eher als nicht allzu intensiv einzuschätzender Schaden in Form einer psychischen Beeinträchtigung entstanden, für den die Beklagte gemäß Art. 82 Abs. 1 DSGVO Ersatz zu leisten hat.

Die Klägerin hat bei ihrer Anhörung durch das Landgericht erklärt, dass sie während der Fernprüfungen aufgrund der Nutzung der Gesichtserkennungssoftware dauerhaft befürchtet habe, durch bestimmte Bewegungen ihres Kopfes den Übereinstimmungsreferenzwert zwischen aktuellem Bild und dem Referenzbild zu unterschreiten und hierdurch infolge der Softwarefunktion dem Prüfer automatisch Veranlassung zur Überprüfung eines Täuschungsversuches ihrerseits bieten könnte. Der Senat hält diese Bekundungen auch für plausibel. Insbesondere der Umstand, dass eine automatisierte Erkennungssoftware zum Einsatz gekommen ist, lässt das wenn auch vielleicht diffuse Gefühl, dass ohne eigene Einflussmöglichkeit ständig die Möglichkeit besteht, dem Vorwurf eines Täuschungsversuches ausgesetzt zu sein, durchaus nachvollziehbar erscheinen. Entgegen dem Vorbringen der Beklagten ist die Behauptung auch nicht deshalb unglaubhaft, weil sie erst im späteren Verlauf des Verfahrens aufgestellt wurde. Vielmehr hat die Klägerin bereits in der Klageschrift vorgetragen, dass die automatische Überwachung sie während der Prüfungssituation unter erheblichen Stress gesetzt habe und in ihr die Angst ausgelöst habe, dem unbegründeten Verdacht eines Täuschungsversuchs ausgesetzt zu sein. Dass das Landgericht diese Bekundung der Klägerin für unglaubhaft gehalten hat, ergibt sich aus den Ausführungen im Urteil nicht. Vielmehr meinte das Landgericht, hieraus nicht den Schluss ziehen zu können, dass der Klägerin ein immaterieller Schaden entstanden ist. Soweit das Landgericht damit argumentiert hat, dass der Umstand, dass sich die Klägerin vor den Prüfungen nicht bei Auskunftsstellen der Beklagten über den genauen Ablauf der Fernprüfungen informiert habe, gegen die Annahme eines immateriellen Schadens spreche, handelt es sich nach Auffassung des Senats letztlich um die unbewusste Anwendung des Erfordernisses einer Erheblichkeitsschwelle für die Annahme eines immateriellen Schadens durch das Landgericht, da dieses Argument nicht geeignet ist, die Befürchtungen der Klägerin als solche zu widerlegen, sondern die Annahme begründet, dass die Befürchtungen nicht allzu intensiv gewesen sein können. Die weitere Schlussfolgerung des Landgerichts, dass die psychische Beeinträchtigung nicht spezifisch auf die Verarbeitung biometrischer Daten zurückzuführen ist, da anzunehmen sei, dass diese auch bei der Durchführung herkömmlicher videoüberwachter Prüfungen aufgetreten sei, vermag der Senat nicht zu teilen. Zwischen diesen Prüfungssituationen besteht ein erheblicher Unterschied. Während bei einer bloß videoüberwachten Prüfung für den Prüfer nur dann Anlass besteht, Ermittlungen wegen eines möglichen Täuschungsversuchs aufzunehmen, wenn er durch eigene Anschauung entsprechende Anhaltspunkte hierfür gewonnen hat, wird die entsprechende Verdachtsprüfung durch den automatisierten Einsatz der Gesichtserkennungssoftware ausgelöst. Für den Prüfling besteht hierdurch ein Gefühl, „der Technik ausgeliefert zu sein“ und das Auslösen eines Verdachts der Täuschung letztlich nicht beeinflussen zu können. Die von der Klägerin geschilderten Befürchtungen sind also gerade auf die Verwendung der Gesichtserkennungssoftware und die hierdurch erfolgte Verarbeitung biometrischer Daten zurückzuführen.

Eine nochmalige Anhörung der Klägerin war entgegen der Auffassung der Beklagten nicht erforderlich, um bezüglich der Beweiswürdigung in Bezug auf den Eintritt einer psychischen Beeinträchtigung zu einem anderen Ergebnis zu kommen als das Landgericht. Die von derjenigen des Landgerichts abweichende Beweiswürdigung des Senats beruht nicht auf einer unterschiedlichen Einschätzung der Glaubhaftigkeit der Aussage der Klägerin, sondern auf divergierenden Schlussfolgerungen, die aus den Bekundungen der Klägerin im Hinblick auf den Eintritt eines ersatzfähigen Schadens gezogen wurden.

Der Senat bewertet den der Klägerin durch die erlittene psychische Beeinträchtigung entstandenen immateriellen Schaden mit einem Betrag von 200 EUR. Dabei war zu beachten, dass es sich nach Einschätzung durch den Senat vorliegend um eine eher geringfügige Beeinträchtigung von nicht sehr hoher Intensität handelt. Die Befürchtungen bestanden vorliegend nicht dauerhaft, wie das etwa bei der Veröffentlichung personenbezogener Daten im Internet der Fall ist, sondern nur punktuell während der Zeit der Fernprüfungen. Darüber hinaus drohten der Klägerin bei einem Auslösen des „Alarms“ durch die Software bei Unterschreitung des Referenzwertes noch keine unmittelbar nachteiligen Konsequenzen, sondern lediglich Maßnahmen zur Überprüfung des Grundes für das Auslösen der Software. Ein solche Überprüfung ist zwar für den Prüfling nachvollziehbarerweise mit unangenehmen Gefühlen verbunden, stellt aber noch kein so gravierendes Übel dar, dass von einer hohen psychischen Beeinträchtigung ausgegangen werden kann. Hinzu kommt, dass mit der Absolvierung mehrerer Fernprüfungen, bei denen der „Alarm“ durch die Software gerade nicht ausgelöst worden war, bei der Klägerin ein Gewöhnungseffekt eingetreten sein dürfte, der bei den später absolvierten Klausuren die Intensität der Befürchtungen, wenn sie überhaupt noch vorhanden waren, deutlich verringert haben dürfte. Der Senat hält daher die Bewertung des Schmerzensgeldbetrages mit einem im unteren Bereich der Bemessungsskala angesiedelten Betrag für gerechtfertigt.

Ein weitergehender Schaden in Form eines Kontrollverlustes über ihre biometrischen Schaden ist der Klägerin nicht entstanden. Allerdings hat der BGH in seiner nach Erlass des Urteils des Landgerichts ergangenen Leitentscheidung vom 18.11.2024, Az.:VI ZR 10/24, juris entschieden, dass der bloße Kontrollverlust über personenbezogene Daten bei dem von einem Datenschutzverstoß Betroffenen bereits einen ersatzfähigen Schaden darstellt. Jedoch muss der Betroffene den Eintritt eines solchen Kontrollverlusts darlegen und gegebenenfalls beweisen. Der Datenschutzverstoß als solcher stellt noch keinen Nachweis eines Kontrollverlusts dar.

Vorliegend hat die Klägerin durch die Verarbeitung ihrer biometrischen Daten schon deshalb keinen Kontrollverlust erlitten, weil sie zum Zeitpunkt der Datenverarbeitung bereits keine Kontrolle mehr über ihre ihr Gesicht betreffenden biometrischen Daten gehabt hat. Die Klägerin hat unstreitig Fotos von ihrem Gesicht seit 2015 auf stark besuchten Internetplattformen, insbesondere Instagram, veröffentlicht und erst 2022 die Sichtbarkeit dieser Bilder zumindest auf einen beschränkten Personenkreis reduziert. Damit bestand für eine unbegrenzte Vielzahl von Nutzern der Plattform Instagram über eine lange Zeitdauer die potentielle Möglichkeit, aus den Gesichtsfotos der Klägern biometrische Daten zu gewinnen. Dieses Vorbringen der Beklagten hat die Klägerin nicht bestritten. Die Generierung und Nutzung der biometrischen Daten der Klägerin war somit für eine unbegrenzte Vielzahl von Internetnutzern auf aller Welt gegeben, so dass die Klägerin nicht mehr die Kontrolle über ihre biometrischen Daten, soweit sie ihr Gesicht betreffen, besaß. Der Umstand, dass die Generierung und Nutzung von biometrischen Daten aus den von ihr veröffentlichten Bildern regelmäßig rechtswidrig sein dürfte, ändert am Eintritt des Kontrollverlusts nichts. Einem Kontrollverlust über personenbezogene Daten ist es gerade immanent, dass deren - insbesondere missbräuchliche - Verwendung durch Dritte durch den Betroffenen nicht mehr verhindert werden kann. Die Annahme der Klägerin, dass der von einem vor dem Datenschutzverstoß bereits eingetretenen Kontrollverlust Betroffene der Verwendung seiner Daten schutzlos ausgeliefert sei, ist unzutreffend. Selbstverständlich kann der Betroffene bei einer rechtswidrigen Generierung oder Verwendung seiner biometrischen (oder sonstigen personenbezogenen) Daten Schadensersatz geltend machen, wenn ihm hierdurch ein materieller oder immaterieller Schaden entstanden ist. Er kann lediglich keinen Schadensersatz wegen des (bloßen) Kontrollverlusts über seine personenbezogenen Daten mehr verlangen.

Schadensersatz wegen eines etwaigen Kontrollverlusts über ihre biometrischen Daten, der sich angesichts der Rechtsprechung des BGH im Urteil vom 18.11.2024, Az.: VI 10/24, wonach selbst der Kontrollverlust über dauerhaft im Darknet veröffentlichte personenbezogene Daten mit einem Schadensbetrag von etwa 100 EUR zu bewerten ist, ohnehin in einem eher symbolischen Bereich bewegen dürfte, kann die Klägerin somit nicht geltend machen.

Ein Verstoß gegen Art. 22 DSGVO liegt nicht vor. In dem Umstand, dass das Unterschreiten oder Nichtunterschreiten des Referenzwertes die Grundlage für eine Überprüfung des Vorliegens eines Täuschungsversuches bildet, sieht der Senat wie das Landgericht weder eine rechtliche wirksame Entscheidung für die Klägerin noch diese hierdurch „in ähnlicher Weise beeinträchtigt“. Das ist auch dann der Fall, wenn man wie angeblich in anderen Sprachversionen eine „beträchtliche Auswirkung“ fordert. Selbst wenn man einen Verstoß gegen Art. 22 DSGVO bejahen würde, stünde der Klägerin kein weitergehender Ersatz eines Schadens, den sie nicht bereits durch den Verstoß gegen Art. 9 Abs. 1 DSGVO verlangen kann, zu. Aus demselben Grund kann auch dahinstehen, ob dem Grunde nach Schadensersatzansprüche aus § 823 Abs. 2 BGB aus § 839 BGB i.V.m. Art. 34 GG oder aus § 25 TMMG gegeben sind.

Ein Verstoß gegen Art. 44 DSGVO (Übermittlung von Daten in Staaten außerhalb der EU) begründet ebenfalls keinen Schadensersatzanspruch, da eine entsprechende Datenschutzverletzung schon nicht feststeht. Insbesondere steht nicht fest, dass Daten an die in den USA ansässigen Gesellschaften der Mutterkonzerne Amazon bzw. Google übermittelt wurden. Darüber hinaus wäre die Klägerin durch die Übermittlung von Daten an den in den USA ansässigen Mutterkonzern Amazon aufgrund des bereits zuvor eingetretenen Kontrollverlust über ihre biometrischen Daten nicht zusätzlich geschädigt.

Ein Verstoß gegen die Verpflichtung der Beklagten, gemäß Art. 28 Abs. 3 und 4 DSGVO Verträge mit dem dort geregelten Inhalt mit den Auftrags- bzw. Unterauftragsverarbeitern zu schließen, dürfte zwar vorliegen, da die Beklagte solche Verträge trotz ausdrücklichen Bestreitens der Behauptung durch die Klägerin, dass solche existieren, nicht vorgelegt hat. Auch diesbezüglich hat die Klägerin jedoch keinen weitergehenden Schaden erlitten.

Auf die Geltendmachung von Schadensersatz wegen der Übermittlung von IP-Adressen der Klägerin an den Google-Konzern im Zusammenhang mit der Verwendung der Software WISEflow hat diese im Laufe des Verfahrens verzichtet. Die streitige Rechtsfrage (vgl. den Vorlagebeschluss des BGH an den EuGH vom 28.08.2025, Az.: VI ZR 258/24), in welchen Konstellationen an Dritte übermittelte IP-Adressen als personenbezogene Daten im Sinne von Art. 4 Nr. 1 DSGVO anzusehen sind, kann somit offenbleiben.

Die Klägerin kann ebenfalls keinen Schadensersatz wegen der Verwendung des Lock-Down-Browsers der Firma Respondus verlangen. Hierbei handelt es sich nicht um einen Datenschutzverstoß durch die Beklagte. Dass durch den Zugriff auf das seitens der Klägerin auf ihrem Laptop installierte Programm auf auf dem Endgerät gespeicherte Daten zugegriffen wurde, die über die Programmbibliotheken des Lock-Down-Programms selbst hinausgehen, hat die Klägerin weder substantiiert vorgetragen noch hierzu Beweis angetreten. Der Zugriff auf die Daten des Programms, welches die Klägerin selbst auf Veranlassung der Beklagten zur Verhinderung der Inanspruchnahme unerlaubter Hilfsmittel bei den Fernprüfungen installiert hat, ist nicht rechtswidrig. Die Klägerin hat sich durch die Installation des Programms zwecks Teilnahme an der Fernprüfung mit dem Zugriff auf die Programmdaten während der Prüfung zumindest konkludent einverstanden erklärt. Zudem ist nicht ersichtlich, dass die Klägerin durch den Zugriff auf die Programmbibliotheken des Lock-Down-Programms einen Schaden erlitten hat.

Die Klägerin hat gegen die Beklagte daher einen Anspruch auf Ersatz des ihr entstandenen immateriellen Schadens in Höhe von 200 EUR, so dass das Urteil des Landgerichts entsprechend abzuändern war.

Den Volltext der Entscheidung finden Sie hier:

EuGH
Urteil vom 30.01.2024
C-118/22

Der EuGH hat entschieden, dass die lebenslange Speicherung biometrischer und genetischer Daten von Straftätern ohne regelmäßige Notwendigkeitsprüfung gegen die Vorgaben der DSGVO verstößt.

Tenor der Entscheidung:
Art. 4 Abs. 1 Buchst. c und e der Richtlinie (EU) 2016/680 des Europäischen Parlaments und des Rates vom 27. April 2016 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten durch die zuständigen Behörden zum Zwecke der Verhütung, Ermittlung, Aufdeckung oder Verfolgung von Straftaten oder der Strafvollstreckung sowie zum freien Datenverkehr und zur Aufhebung des Rahmenbeschlusses 2008/977/JI des Rates in Verbindung mit ihren Art. 5 und 10, ihrem Art. 13 Abs. 2 Buchst. b und ihrem Art. 16 Abs. 2 und 3 sowie im Licht der Art. 7 und 8 der Charta der Grundrechte der Europäischen Union

ist dahin auszulegen, dass

er nationalen Rechtsvorschriften entgegensteht, die vorsehen, dass die Polizeibehörden zum Zweck der Verhütung, Ermittlung, Aufdeckung oder Verfolgung von Straftaten oder der Strafvollstreckung personenbezogene und insbesondere biometrische und genetische Daten, die wegen einer vorsätzlichen Offizialstraftat rechtskräftig verurteilte Personen betreffen, speichern, und zwar bis zum Tod der betroffenen Person und auch im Fall ihrer Rehabilitierung, ohne den Verantwortlichen zu verpflichten, regelmäßig zu überprüfen, ob diese Speicherung noch notwendig ist, und ohne dieser Person das Recht auf Löschung dieser Daten, sobald deren Speicherung für die Zwecke, für die sie verarbeitet worden sind, nicht mehr erforderlich ist, oder gegebenenfalls das Recht auf Beschränkung der Verarbeitung dieser Daten zuzuerkennen.

Den Volltext der Entscheidung finden Sie hier:

EuGH
Urteil vom 27.01.2023
c-205/21
Ministerstvo na vatreshnite raboti (Registrierung biometrischer und genetischer Daten durch die Polizei)

Der EuGH hat entschieden, dass die systematische Erhebung biometrischer und genetischer Daten aller beschuldigten Personen für Zwecke polizeilicher Registrierung unzulässig ist.

Die Pressemitteilung des EuGH:
Die systematische Erhebung biometrischer und genetischer Daten aller beschuldigten Personen für die Zwecke ihrer polizeilichen Registrierung verstößt gegen die Anforderung, einen erhöhten Schutz gegen die Verarbeitung sensibler personenbezogener Daten zu gewährleisten

V. S. wurde im Rahmen eines von den bulgarischen Behörden eingeleiteten Strafverfahrens wegen Steuerhinterziehung beschuldigt, an einer kriminellen Vereinigung beteiligt zu sein, die zu Bereicherungszwecken gebildet worden sei, um in abgestimmter Weise im bulgarischen Hoheitsgebiet Straftaten zu begehen. Auf diese Beschuldigung hin forderte die bulgarische Polizei V. S. auf, sich der Erhebung daktyloskopischer und fotografischer Daten für die Zwecke ihrer Registrierung sowie der Entnahme von Proben zum Zweck der Erstellung ihres DNAProfils zu unterziehen. V. S. verweigerte diese Erhebung.

Gestützt auf das nationale Recht, das die „polizeiliche Registrierung“ von Personen vorsieht, die einer vorsätzlichen, von Amts wegen verfolgten Straftat (im Folgenden: vorsätzliche Offizialstraftat) beschuldigt werden, beantragten die Polizeibehörden beim Spetsializiran nakazatelen sad (Spezialisiertes Strafgericht, Bulgarien), die zwangsweise Durchführung der Erhebung genetischer und biometrischer Daten von V. S. zu bewilligen. Dem Antrag der Polizeibehörden waren lediglich Kopien des Beschlusses über die Beschuldigung von V. S. und von deren Erklärung, dass sie die Erhebung ihrer Daten verweigere, beigefügt.

Das genannte Gericht hegte Zweifel an der Vereinbarkeit der für diese „polizeiliche Registrierung“ geltenden bulgarischen Rechtsvorschriften mit der Richtlinie 2016/6801 in Verbindung mit der Charta der Grundrechte der Europäischen Union (im Folgenden: Charta) und hat den Gerichtshof daher um Vorabentscheidung ersucht.

In seinem Urteil präzisiert der Gerichtshof zunächst die Voraussetzungen, unter denen die Verarbeitung biometrischer und genetischer Daten durch die Polizeibehörden als nach nationalem Recht im Sinne der Richtlinie 2016/680 zulässig angesehen werden kann. Sodann äußert er sich zur Umsetzung der in dieser Richtlinie aufgestellten Anforderung betreffend die Verarbeitung von Daten einer Kategorie von Personen, bezüglich deren der begründete Verdacht der Beteiligung an einer Straftat besteht, sowie zur Achtung des Rechts auf effektiven gerichtlichen Rechtsschutz und des Grundsatzes der Unschuldsvermutung in Fällen, in denen das nationale Recht dem zuständigen nationalen Gericht gestattet, die zwangsweise Erhebung dieser Daten, die vom Unionsgesetzgeber als „sensibel“ angesehen werden, zu bewilligen. Schließlich befasst er sich mit der Frage, ob die nationalen Rechtsvorschriften, die die systematische Erhebung dieser Daten vorsehen, mit den die Verarbeitung dieser Daten betreffenden Bestimmungen der Richtlinie 2016/680 unter Berücksichtigung der dort verankerten Grundsätze vereinbar sind.

Würdigung durch den Gerichtshof
Der Gerichtshof stellt zunächst fest, dass die Richtlinie 2016/680 im Licht der Charta2 dahin auszulegen ist, dass die Verarbeitung biometrischer und genetischer Daten durch die Polizeibehörden für ihre Untersuchungstätigkeiten zu Zwecken der Kriminalitätsbekämpfung und der Aufrechterhaltung der öffentlichen Ordnung nach nationalem Recht zulässig ist, wenn Letzteres eine hinreichend klare und präzise Rechtsgrundlage für die Zulässigkeit dieser Verarbeitung enthält. Der Umstand, dass der nationale Gesetzgebungsakt, der eine solche Rechtsgrundlage enthält, im Übrigen auf die Datenschutz- Grundverordnung und nicht auf die Richtlinie 2016/680 Bezug nimmt, ist für sich genommen nicht geeignet, diese Zulässigkeit in Frage zu stellen, sofern die Auslegung aller anwendbaren Bestimmungen des nationalen Rechts hinreichend klar, präzise und unmissverständlich ergibt, dass die fragliche Verarbeitung biometrischer und genetischer Daten in den Anwendungsbereich dieser Richtlinie und nicht in den der DSGVO fällt.

In diesem Zusammenhang stellt der Gerichtshof in Anbetracht dessen, dass sich die einschlägigen nationalen Rechtsvorschriften auf die Bestimmungen der DSGVO zur Regelung der Verarbeitung sensibler Daten beziehen und dabei den Inhalt der Bestimmungen der Richtlinie 2016/680 wiedergeben, die die Verarbeitung eben dieser Daten betreffen, fest, dass diese Bestimmungen nicht gleichwertig sind. Während nämlich eine Verarbeitung sensibler Daten durch die zuständigen Behörden u. a. für die unter die Richtlinie 2016/680 fallenden Zwecke der Verhütung und Aufdeckung von Straftaten nur erlaubt sein kann, wenn sie unbedingt erforderlich ist, und mit geeigneten Garantien einhergehen und im Unionsrecht oder im nationalen Recht vorgesehen sein muss, sieht die DSGVO ein grundsätzliches Verbot der Verarbeitung solcher Daten, versehen mit einer Liste von Ausnahmen, vor. Der nationale Gesetzgeber kann zwar im Rahmen ein und desselben legislativen Instruments die
Verarbeitung personenbezogener Daten zu Zwecken, die unter die Richtlinie 2016/680 fallen, und zu anderen Zwecken, die unter die DSGVO fallen, vorsehen, jedoch ist er verpflichtet, sich zu vergewissern, dass keine Unklarheiten hinsichtlich der Anwendbarkeit des einen oder des anderen Unionsrechtsakts auf die Erhebung sensibler Daten bestehen.

Des Weiteren weist der Gerichtshof in Bezug auf eine etwaige nicht ordnungsgemäße Umsetzung der Richtlinie 2016/680, die das vorlegende Gericht vorgebracht hat, darauf hin, dass diese Richtlinie nicht verlangt, dass die nationalen Vorschriften, die die in ihren Anwendungsbereich fallende Verarbeitung von Daten erlauben, eine Bezugnahme auf diese Richtlinie enthalten müssten. Er stellt klar, dass der nationale Gesetzgeber, wenn er die Verarbeitung biometrischer und genetischer Daten durch die zuständigen Behörden vorsieht, die entweder in den Anwendungsbereich dieser Richtlinie oder in den der DSGVO fallen können, aus Gründen der Klarheit und Genauigkeit zum einen ausdrücklich auf die Vorschriften des nationalen Rechts, die die Umsetzung dieser Richtlinie gewährleisten, und zum anderen auf die DSGVO Bezug nehmen kann, ohne verpflichtet zu sein, die genannte Richtlinie zu erwähnen. Bei einem offensichtlichen Widerspruch zwischen den nationalen Bestimmungen, die die
in Rede stehende Datenverarbeitung erlauben, und jenen, die sie auszuschließen scheinen, muss das nationale Gericht diese Bestimmungen jedoch so auslegen, dass die praktische Wirksamkeit der Richtlinie 2016/680 gewahrt bleibt.

Sodann entscheidet der Gerichtshof, dass die Richtlinie 2016/6805 und die Charta6 nationalen Rechtsvorschriften nicht entgegenstehen, die vorsehen, dass das zuständige Strafgericht im Fall der Weigerung einer Person, die einer vorsätzlichen Offizialstraftat beschuldigt wird, freiwillig an der Erhebung der sie betreffenden biometrischen und genetischen Daten für die Zwecke ihrer Registrierung mitzuwirken, verpflichtet ist, eine Maßnahme der zwangsweisen Durchführung dieser Erhebung zu bewilligen, ohne befugt zu sein, zu beurteilen, ob ein begründeter Verdacht besteht, dass die betreffende Person die Straftat, derer sie beschuldigt wird, begangen hat, sofern das nationale Recht später eine wirksame gerichtliche Kontrolle der Voraussetzungen dieser Beschuldigung, aus denen sich die Bewilligung dieser Erhebung ergibt, gewährleistet.

Insoweit weist der Gerichtshof darauf hin, dass die Mitgliedstaaten nach der Richtlinie 2016/6807 sicherstellen müssen, dass eine klare Unterscheidung zwischen den Daten der verschiedenen Kategorien betroffener Personen getroffen wird, damit auf diese nicht unterschiedslos das gleiche Maß an Eingriffen in ihr Grundrecht auf Schutz ihrer personenbezogenen Daten, unabhängig davon, welcher Kategorie sie zugehören, angewandt wird. Diese Verpflichtung gilt jedoch nicht absolut. Soweit diese Richtlinie die Kategorie von Personen betrifft, gegen die ein begründeter Verdacht besteht, dass sie eine Straftat begangen haben, stellt der Gerichtshof im Übrigen klar, dass das Vorliegen einer hinreichenden Zahl von Beweisen für die Schuld einer Person grundsätzlich zu einem begründeten Verdacht führt, dass diese Person die betreffende Straftat begangen hat. Somit steht die Richtlinie 2016/680 nationalen Rechtsvorschriften nicht entgegen, die die zwangsweise Erhebung von Daten von Personen für die Zwecke ihrer Registrierung vorsehen, bezüglich deren hinreichende Beweise dafür vorliegen, dass sie sich der Begehung einer vorsätzlichen Offizialstraftat schuldig gemacht haben, und die aus diesem Grund beschuldigt worden sind.

Was die Achtung des Rechts auf effektiven gerichtlichen Rechtsschutz, wenn das zuständige nationale Gericht im Hinblick auf die Bewilligung einer Maßnahme der zwangsweisen Durchführung der Erhebung sensibler Daten einer beschuldigter Person die Voraussetzungen für die Beschuldigung nicht in der Sache überprüfen kann, anbelangt, weist der Gerichtshof insbesondere darauf hin, dass sich der Umstand, dass die Würdigung der Beweise, auf die sich die Beschuldigung der betroffenen Person stützt, vorübergehend der gerichtlichen Kontrolle entzogen ist, während des strafrechtlichen Ermittlungsverfahrens als gerechtfertigt erweisen kann. Eine solche Kontrolle in diesem Verfahren könnte nämlich den Ablauf der strafrechtlichen Ermittlungen, in deren Verlauf diese Daten erhoben werden, behindern und die Fähigkeit der Ermittler, weitere Straftaten auf der Grundlage eines Abgleichs dieser Daten mit Daten, die bei anderen Ermittlungen gesammelt wurden, aufzuklären, übermäßig einschränken. Diese Einschränkung des effektiven gerichtlichen Rechtsschutzes ist daher nicht unverhältnismäßig, wenn das
nationale Recht später eine effektive gerichtliche Kontrolle gewährleistet.

Was die Achtung des Rechts auf die Unschuldsvermutung durch eine gerichtliche Entscheidung, mit der die Erhebung der in Rede stehenden Daten bewilligt wird, anbelangt, weist der Gerichtshof zum einen darauf hin, dass, da das nationale Recht im vorliegenden Fall vorsieht, dass diese Erhebung auf die Kategorie der Personen beschränkt ist, deren strafrechtliche Verantwortlichkeit noch nicht festgestellt worden ist, diese Erhebung nicht als geeignet angesehen werden kann, den Eindruck der Behörden widerzuspiegeln, dass diese Personen schuldig seien. Zum anderen stellt der Umstand, dass das Gericht, das über die Schuld der betroffenen Person zu entscheiden hat, in diesem Stadium des Strafverfahrens nicht beurteilen kann, ob die Beweise, auf denen die Beschuldigung dieser Person beruht, ausreichend sind, eine Garantie für die Achtung ihres Rechts auf die Unschuldsvermutung dar.

Schließlich gelangt der Gerichtshof zu dem Ergebnis, dass die Richtlinie 2016/6808 nationalen Rechtsvorschriften entgegensteht, die die systematische Erhebung biometrischer und genetischer Daten aller Personen, die einer vorsätzlichen Offizialstraftat beschuldigt werden, für die Zwecke ihrer Registrierung vorsehen, ohne die Verpflichtung der zuständigen Behörde vorzusehen, zum einen zu überprüfen und nachzuweisen, ob bzw. dass diese Erhebung für die Erreichung der konkret verfolgten Ziele unbedingt erforderlich ist, und zum anderen, ob bzw. dass diese Ziele nicht durch Maßnahmen erreicht werden können, die einen weniger schwerwiegenden Eingriff in die Rechte und Freiheiten der betroffenen Person darstellen.

Insoweit weist der Gerichtshof darauf hin, dass die Richtlinie 2016/680 u. a. einen erhöhten Schutz gegen eine Verarbeitung sensibler Daten, zu denen biometrische und genetische Daten gehören, gewährleisten soll, da eine solche erhebliche Risiken für die Grundrechte und Grundfreiheiten mit sich bringen kann. Die dort genannte Anforderung, dass diese Verarbeitung „nur dann erlaubt [ist], wenn sie unbedingt erforderlich ist“, ist dahin auszulegen, dass sie verschärfte Voraussetzungen für die Rechtmäßigkeit der Verarbeitung dieser sensiblen Daten festlegt.

Außerdem ist die Tragweite dieser Anforderung auch anhand der Grundsätze in Bezug auf die Datenverarbeitung zu bestimmen, wie etwa der Zweckbindung und der Datenminimierung. In diesem Zusammenhang verstoßen nationale Rechtsvorschriften, die die systematische Erhebung biometrischer und genetischer Daten aller Personen, die einer vorsätzlichen Offizialstraftat beschuldigt werden, für die Zwecke ihrer Registrierung vorsehen, grundsätzlich gegen diese Anforderung. Sie können nämlich unterschiedslos und allgemein zur Erhebung von Daten der meisten beschuldigten Personen führen, da der Begriff „vorsätzliche Offizialstraftat“ besonders allgemein gehalten ist und auf eine große Zahl von Straftaten unabhängig von ihrer Art, ihrer Schwere, den besonderen Umstände dieser Straftaten, ihres etwaigen Zusammenhangs mit
anderen laufenden Verfahren, den Vorstrafen der betroffenen Person oder von deren individuellem Profil angewendet werden kann.

Tenor der Entscheidung:

1. Art. 10 Buchst. a der Richtlinie (EU) 2016/680 des Europäischen Parlaments und des Rates vom 27. April 2016 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten durch die zuständigen Behörden zum Zwecke der Verhütung, Ermittlung, Aufdeckung oder Verfolgung von Straftaten oder der Strafvollstreckung sowie zum freien Datenverkehr und zur Aufhebung des Rahmenbeschlusses 2008/977/JI des Rates ist im Licht von Art. 52 der Charta der Grundrechte der Europäischen Union

dahin auszulegen, dass

die Verarbeitung biometrischer und genetischer Daten durch die Polizeibehörden für ihre Untersuchungstätigkeiten zu Zwecken der Kriminalitätsbekämpfung und der Aufrechterhaltung der öffentlichen Ordnung nach dem Recht eines Mitgliedstaats im Sinne von Art. 10 Buchst. a dieser Richtlinie zulässig ist, wenn das Recht dieses Mitgliedstaats eine hinreichend klare und präzise Rechtsgrundlage für die Zulässigkeit dieser Verarbeitung enthält. Der Umstand, dass der nationale Gesetzgebungsakt, der eine solche Rechtsgrundlage enthält, im Übrigen auf die Verordnung (EU) 2016/679 des Europäischen Parlaments und des Rates vom 27. April 2016 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten, zum freien Datenverkehr und zur Aufhebung der Richtlinie 95/46/EG (Datenschutz-Grundverordnung) und nicht auf die Richtlinie 2016/680 Bezug nimmt, ist für sich genommen nicht geeignet, diese Zulässigkeit in Frage zu stellen, sofern die Auslegung aller anwendbaren Bestimmungen des nationalen Rechts hinreichend klar, präzise und unmissverständlich ergibt, dass die fragliche Verarbeitung biometrischer und genetischer Daten in den Anwendungsbereich dieser Richtlinie und nicht in den dieser Verordnung fällt.

2. Art. 6 Buchst. a der Richtlinie 2016/680 sowie Art. 47 und 48 der Charta der Grundrechte der Europäischen Union

sind dahin auszulegen, dass

sie nationalen Rechtsvorschriften nicht entgegenstehen, die vorsehen, dass das zuständige Strafgericht im Fall der Weigerung einer Person, die einer vorsätzlichen Offizialstraftat beschuldigt wird, freiwillig an der Erhebung der sie betreffenden biometrischen und genetischen Daten für die Zwecke ihrer Registrierung mitzuwirken, verpflichtet ist, eine Maßnahme der zwangsweisen Durchführung dieser Erhebung zu bewilligen, ohne befugt zu sein, zu beurteilen, ob ein begründeter Verdacht besteht, dass die betreffende Person die Straftat, derer sie beschuldigt wird, begangen hat, sofern das nationale Recht später eine wirksame gerichtliche Kontrolle der Voraussetzungen dieser Beschuldigung, aus denen sich die Bewilligung zur Erhebung dieser Daten ergibt, gewährleistet.

3. Art. 10 der Richtlinie 2016/680 in Verbindung mit Art. 4 Abs. 1 Buchst. a bis c sowie mit Art. 8 Abs. 1 und 2 dieser Richtlinie

ist dahin auszulegen, dass

er nationalen Rechtsvorschriften entgegensteht, die die systematische Erhebung biometrischer und genetischer Daten aller Personen, die einer vorsätzlichen Offizialstraftat beschuldigt werden, für die Zwecke ihrer Registrierung vorsehen, ohne die Verpflichtung der zuständigen Behörde vorzusehen, zum einen zu überprüfen und nachzuweisen, ob bzw. dass diese Erhebung für die Erreichung der konkret verfolgten Ziele unbedingt erforderlich ist, und zum anderen, ob bzw. dass diese Ziele nicht durch Maßnahmen erreicht werden können, die einen weniger schwerwiegenden Eingriff in die Rechte und Freiheiten der betroffenen Person darstellen.

Den Volltext der Entscheidung finden Sie hier:

ArbG Berlin
Urteil vom 16.10.2019
29 Ca 5451/19

Das ArbG Berlin hat entschieden, dass die Arbeitszeiterfassung mittels Fingerprint nicht erforderlich gemäß § 26 Abs. 1 BDSG ist und daher nur mit Einwilligung des Betroffenen zulässig ist.

Aus den Entscheidungsgründen:

"Die Abmahnung vom 05. Oktober 2018 sowie die Abmahnung vom 26. März 2019 wegen Nichtbenutzung des Zeiterfassungssystems ZEUS sind aus der Personalakte des Klägers zu entfernen.

Arbeitnehmer können in entsprechender Anwendung von §§ 242, 1004 Abs. 1 Satz 1 BGB die Entfernung einer zu Unrecht erteilten Abmahnung aus ihrer Personalakte verlangen. Der Anspruch besteht, wenn die Abmahnung inhaltlich unbestimmt ist, unrichtige Tatsachenbehauptungen enthält, auf einer unzutreffenden rechtlichen Bewertung des Verhaltens des Arbeitnehmers beruht oder den Grundsatz der Verhältnismäßigkeit verletzt (ständige Rechtsprechung des BAG, hier nur herausgreifend Urteil vom 20. Januar 2015, 9 AZR 860/13, juris).

Diese Voraussetzungen liegen im Streitfall vor. Der Kläger ist nicht verpflichtet, das Zeiterfassungssystem ZEUS zu nutzen.

Erfolgte die Zeiterfassung früher üblicherweise analog mittels Stechuhr, ist heute eine digitale Zeiterfassung, zum Beispiel über softwarebasierte oder webbasierte Zeiterfassungssysteme, teilweise auch per Smartphone oder Tablet, die Regel. Relativ neu ist die digitale Zeiterfassung mittels Fingerprint. Diese Form der Arbeitszeiterfassung soll unter anderem verhindern, dass Mitarbeiter für Kollegen „mitstempeln“ und hierdurch Arbeitszeitbetrug begehen.

Bei der Zeiterfassung mittels Fingerprint meldet sich der Mitarbeiter durch Abgleich seines Fingerabdrucks mit den im Zeiterfassungsterminal gespeicherten Daten im Zeiterfassungsprogramm an und ab. Hierfür werden aus dem Fingerabdruck des Mitarbeiters zunächst sogenannte Minutien (individuelle, nicht vererbbare Fingerlinienverzweigungen) mittels eines speziellen Algorithmus extrahiert. Der Minutiendatensatz wird sodann im Zeiterfassungsterminal gespeichert und zum Abgleich des Fingerabdrucks des Mitarbeiters bei der An- und Abmeldung verwendet. Nicht gespeichert wird grundsätzlich der Fingerabdruck des Mitarbeiters. Aus dem gespeicherten Minutiendatensatz kann der Fingerabdruck des Mitarbeiters auch nicht wieder generiert werden.

Datenschutzrechtlich handelt es sich bei dem Minutiendatensatz um biometrische Daten nach Artikel 9 Abs. 1 DSGVO und besondere Kategorien personenbezogener Daten im Sinne von § 26 Abs. 3 BDSG. Diesen Daten ist eigen, dass eine Verarbeitung die Privatsphäre des Mitarbeiters und damit das Recht auf informationelle Selbstbestimmung im besonderen Maße verletzen kann. Die Verarbeitung von biometrischen Daten – und somit auch von Minutiendatensätzen – ist daher nach Artikel 9 Abs. 1 GSGVO grundsätzlich verboten. Allerdings enthält Artikel 9 Abs. 2 GSGVO mehrere Erlaubnistatbestände, bei deren Vorliegen eine Verarbeitung (ausnahmsweise) doch zulässig ist. Arbeitsrechtlich relevant sind insbesondere die Erlaubnistatbestände „Erforderlichkeit“, „Freiwillige Einwilligung“ und „Kollektivvereinbarung“.

Eine Einwilligung und eine Kollektivvereinbarung liegen hier nicht vor.

Folglich ist zu prüfen, ob die Verarbeitung der biometrischen Daten im Rahmen der Zwecke der Beschäftigungsverhältnisses im Sinne des § 26 Abs. 1 BDSG erforderlich ist, damit der Verantwortliche (Arbeitgeber) den ihm „aus dem Arbeitsrecht, dem Recht der sozialen Sicherheit und des Sozialschutzes“ erwachsenden Rechte und Pflichten nachkommen kann. Es darf kein Grund zu der Annahme bestehen, dass das schutzwürdige Interesse der betroffenen Person (des Beschäftigten) an dem Ausschluss der Verarbeitung überwiegt. Biometrische Merkmale eines Beschäftigten darf der Arbeitgeber nach § 26 Abs. 3 BDSG somit nur dann verarbeiten, wenn dies für die Begründung, Durchführung oder Beendigung des Beschäftigungsverhältnisses erforderlich ist. Die Erhebung und Verwendung von biometrischen Merkmalen muss im Rahmen der dreistufigen Prüfung folgende Voraussetzungen erfüllen:

1. Das biometrische Verfahren muss für die Zwecke des Beschäftigungsverhältnisses geeignet sein, das heißt, der jeweils auf das Beschäftigungsverhältnis bezogene Zweck muss tatsächlich gefördert werden können.

2. Es darf kein anderes, gleich wirksames, das Persönlichkeitsrecht weniger beeinträchtigendes Mittel existieren.

3. Als Ergebnis einer umfassenden Abwägung der schutzwürdigen Interessen und Grundrechte des Arbeitnehmers und des Arbeitgebers muss die Beeinträchtigung des Persönlichkeitsrechts des Beschäftigten durch das Biometrische Verfahren in einem angemessenen Verhältnis zu dem angestrebten Zweck der Datenverwendung stehen (Weth/Herberger/Wächter/Sorge-Kramer B XI. Rn.-Nr. 9f mit weiteren Nachweisen).

Dabei gilt folgende Regel: Je intensiver in das Persönlichkeitsrecht eingegriffen werden soll, desto schwerer muss der vom Arbeitgeber mit dem Verfahren verfolgte konkrete Zweck wiegen. So wird das Interesse des Arbeitgebers an einer biometrischen Zugangskontrolle zu Bereichen mit sensiblen Geschäfts-, Produktions- und Entwicklungsgeheimissen eher überwiegen als bei einer angestrebten Zugangs-sicherung zu normalen Bürobereichen. So können biometrische Daten zwar zur Kontrolle beim Eintritt in Sicherheitsbereiche, nicht jedoch im Rahmen der Arbeitszeiterfassung verwendet werden (Gola / Heckmann, 13. Auflage 2019, Rn.-Nr. 157 zu § 26 BDSG).

Vorliegend stellt sich die Frage, ob die Arbeitszeiterfassung durch Fingerprint wirklich erforderlich ist. Dabei ist zu berücksichtigen, dass dadurch die Grundrechte und Grundfreiheiten der betroffenen Personen erheblich beeinträchtigt werden. Wenn auch vereinzelt Missbrauch von Zeiterfassungssystemen durch Falscheintragungen oder im Falle einer Stempelkarte durch „mitstempeln“ durch Kollegen auftreten mögen, so ist dennoch in der Regel davon auszugehen, dass sich die weit überwiegende Mehrheit der Arbeitnehmer rechtstreu verhält, also für eine solche Art von Kontrollen keinerlei Anlass gegeben ist, es sei denn, dass konkrete Umstände im Einzelfall (Nachweise über Missbräuche in nicht unerheblichem Umfang) die Erforderlichkeit einer solchen Maßnahme begründen können.

Derartiges hat die Beklagte jedoch nicht vorgetragen. Sie hat weder vorgetragen, dass durch das bisherige „händische“ System der Zeiterfassung erheblicher Missbrauch betrieben worden ist, noch hat sie darlegen können, dass im Fall der Einführung eines anderen Zeiterfassungssystems (ohne die Speicherung biometrischer Daten) Missbrauch in erheblichem Umfang oder auch nur in nennenswertem Umfang zu befürchten ist. Es ist auch nicht dargetan, dass etwa der Kläger in der Vergangenheit durch Falschangaben betreffend seine Arbeitszeit negativ aufgefallen ist.

Nach alledem vermag die Kammer nicht festzustellen, dass vorliegend die Interessen der Beklagten das schutzwürdige Interesse des Klägers an dem Ausschluss der Verarbeitung überwiegen.

Daher sind diese Abmahnungen aus der Personalakte des Klägers zu entfernen."

Den Volltext der Entscheidung finden Sie hier: