Die Berliner Beauftragte für Datenschutz und Informationsfreiheit (BlnBDI) hat ein Bußgeld in Höhe von 215.000 EURO gegen ein Unternehmen u.a. wegen datenschutzwidriger Speicherung von Gesundheitsdaten und Interesse an Betriebsratsgründung von Beschäftigten in der Probezeit verhängt.
Die Pressemitteilung des der BlnBDI: Eine Liste mit Informationen über Beschäftigte in der Probezeit
Die Berliner Beauftragte für Datenschutz und Informationsfreiheit (BlnBDI) hat gegen ein Unternehmen Bußgelder in Höhe von insgesamt 215.000 Euro verhängt. Das Unternehmen hatte u. a. unzulässigerweise sensible Informationen über den Gesundheitszustand einzelner Beschäftigter oder deren Interesse an einer Betriebsratsgründung dokumentiert. Der Bußgeldbescheid ist noch nicht rechtskräftig.
Um mögliche Kündigungen zum Ende der Probezeit vorzubereiten, führte eine Vorgesetzte auf Weisung der Geschäftsführung des Unternehmens von März bis Juli 2021 eine tabellarische Übersicht aller Beschäftigten in der Probezeit. Die Berliner Datenschutzbeauftragte erfuhr durch Medienberichte und eine persönliche Beschwerde eines Betroffenen von dem Vorfall und leitete eine Prüfung ein.
In der Übersicht listete die Vorgesetzte alle Mitarbeitenden in der Probezeit auf und bewertete die weitere Beschäftigung von elf Personen als „kritisch“ oder „sehr kritisch“. Diese Einstufung wurde in einer Tabellenspalte mit der Überschrift „Begründung“ näher erläutert. Hier fanden sich Angaben zu persönlichen Äußerungen sowie gesundheitlichen und außerbetrieblichen Gründen, die einer flexiblen Schichteinteilung entgegenstehen würden. Auch ein mögliches Interesse an der Gründung eines Betriebsrates und die regelmäßige Teilnahme an einer Psychotherapie wurden hier genannt. In vielen Fällen hatten die Beschäftigten die aufgeführten Informationen selbst für die Dienstplanung mitgeteilt. Die Weiterverarbeitung in der Liste war ihnen nicht bekannt.
Die Berliner Datenschutzbeauftragte kam bei ihrer Prüfung zu dem Ergebnis, dass die Verarbeitung der erhobenen Daten in den beanstandeten Fällen nicht rechtmäßig war. Zusätzlich zur Ahndung dieses strukturellen Verstoßes verhängte die BlnBDI gegen das Unternehmen drei weitere Bußgelder in Höhe von insgesamt rund 40.000 Euro wegen fehlender Beteiligung der betrieblichen Datenschutzbeauftragten bei der Erstellung der Liste, verspäteter Meldung einer Datenpanne und fehlender Erwähnung der Liste im Verarbeitungsverzeichnis.
Meike Kamp, Berliner Beauftragte für Datenschutz und Informationsfreiheit: „Die Erhebung, Speicherung und Verwendung von Beschäftigtendaten müssen stets im zulässigen Zusammenhang mit dem Beschäftigungsverhältnis erfolgen. Das war in diesem Fall nicht gegeben. Insbesondere Gesundheitsdaten sind besonders sensitive Informationen, die nur in engen Grenzen verarbeitet werden dürfen.“
Grundsätzlich dürfen Arbeitgeber:innen Überlegungen anstellen, inwiefern Beschäftigte weiterbeschäftigt werden sollen und insofern auch personenbezogene Daten verarbeiten. Die verarbeiteten Daten müssen jedoch für diesen Zweck geeignet und erforderlich sein. Sie dürfen nur Rückschlüsse auf Leistung oder Verhalten zulassen, die in unmittelbarem Zusammenhang mit dem Beschäftigungsverhältnis stehen. Arbeitgeber:innen dürfen auch von Beschäftigten selbst mitgeteilte Informationen nicht einfach weiterverarbeiten, sondern müssen prüfen, ob die Verarbeitung erforderlich und angemessen ist.
Bei der Bemessung der Bußgelder berücksichtigte die BlnBDI den Umsatz des Unternehmens und die Anzahl der betroffenen Beschäftigten. Außerdem wurde berücksichtigt, dass insbesondere die Verarbeitung von Gesundheitsdaten ohne Rechtsgrundlage einen besonders schwerwiegenden Verstoß darstellt. Bußgeldmindernd wurde u. a. berücksichtigt, dass das Unternehmen umfassend mit der BlnBDI kooperiert hat und den Verstoß nach öffentlichem Bekanntwerden bereits ohne Aufforderung von sich aus abgestellt hat.
Die Berliner Beauftragte für Datenschutz und Informationsfreiheit (BlnBDI) hat ein Bußgeld in Höhe von 300.000 EURO gegen eine Bank wegen mangelnder Transparenz bei der automatisierter Ablehnung eines Kreditantrags verhängt.
Die Pressemitteilung der BlnBDI: 300.000 Euro Bußgeld gegen Bank nach mangelnder Transparenz über automatisierte Ablehnung eines Kreditkartenantrags - Computer sagt Nein
Die Berliner Beauftragte für Datenschutz und Informationsfreiheit (BlnBDI) hat gegen eine Bank ein Bußgeld in Höhe von 300.000 Euro wegen mangelnder Transparenz über eine automatisierte Einzelentscheidung verhängt. Die Bank hatte sich geweigert, einem Kunden nachvollziehbare Auskünfte über die Gründe der automatisierten Ablehnung eines Kreditkartenantrags zu erteilen. Das Unternehmen hat umfassend mit der BlnBDI kooperiert und den Bußgeldbescheid akzeptiert.
Eine automatisierte Entscheidung ist eine Entscheidung, die ein IT-System ausschließlich auf Grundlage von Algorithmen und ohne menschliches Eingreifen trifft. Für diesen Fall sieht die Datenschutz-Grundverordnung (DSGVO) spezielle Transparenzpflichten vor. So müssen personenbezogenen Daten in einer für die betroffenen Personen nachvollziehbaren Weise verarbeitet werden. Betroffene Personen haben einen Anspruch auf Erläuterung der nach einer entsprechenden Bewertung getroffenen Entscheidung. Beantragen betroffene Personen bei den Verantwortlichen eine Auskunft, müssen diese aussagekräftige Informationen über die involvierte Logik hinter der automatisierten Entscheidung erteilen.
In diesem Fall beherzigte die Bank dies jedoch bei ihrem digitalen Antrag für eine Kreditkarte nicht. Über ein Online-Formular fragte die Bank verschiedene Daten über Einkommen, Beruf und Personalien des Antragstellers ab. Anhand der abgefragten Informationen und zusätzlicher Daten aus externen Quellen lehnte der Bank-Algorithmus den Antrag des Kunden ohne besondere Begründung ab. Der Algorithmus basiert auf zuvor von der Bank definierten Kriterien und Regeln.
Da der Kunde einen guten Schufa-Score und ein regelmäßiges hohes Einkommen hatte, bezweifelte er die automatisierte Ablehnung. Die Bank machte auch auf Nachfrage lediglich pauschale und vom Einzelfall gelöste Angaben zum Scoring-Verfahren. Sie weigerte sich jedoch, ihm mitzuteilen, warum sie in seinem Fall von einer schlechten Bonität ausging. Der Beschwerdeführer konnte somit nicht nachvollziehen, welche Datenbasis und Faktoren der Ablehnung zugrunde lagen und anhand welcher Kriterien sein Kreditkartenantrag dementsprechend abgelehnt worden ist. Ohne diese Einzelfallbegründung war es ihm aber auch nicht möglich, die automatisierte Einzelentscheidung sinnvoll anzufechten. Daraufhin beschwerte er sich bei der Datenschutzbeauftragten.
Meike Kamp, Berliner Beauftragte für Datenschutz und Informationsfreiheit: „Wenn Unternehmen automatisiert Entscheidungen treffen, sind sie verpflichtet, diese stichhaltig und nachvollziehbar zu begründen. Die Betroffenen müssen in der Lage sein, die automatisierte Entscheidung nachzuvollziehen. Dass die Bank in diesem Fall auch auf Anfrage nicht transparent und nachvollziehbar über die automatisierte Ablehnung informiert hat, hat ein Bußgeld zur Folge. Eine Bank ist verpflichtet, die Kund:innen bei der automatisierten Entscheidung über einen Kreditkartenantrag über die tragenden Gründe einer Ablehnung zu unterrichten. Hierzu zählen konkrete Informationen zur Datenbasis und den Entscheidungsfaktoren sowie die Kriterien für die Ablehnung im Einzelfall.“
Die Datenschutzbeauftragte hat festgestellt, dass die Bank in dem konkreten Fall gegen Art. 22 Abs. 3, Art. 5 Abs. 1 lit. a und Art. 15 Abs. 1 lit. h DSGVO verstoßen hat. Bei der Bußgeldzumessung berücksichtigte die BlnBDI insbesondere den hohen Umsatz der Bank sowie die vorsätzliche Ausgestaltung des Antragsprozesses und der Auskunft. Als bußgeldmindernd wurde u. a. eingestuft, dass das Unternehmen den Verstoß eingeräumt sowie Änderungen an den Prozessen bereits umgesetzt und weitere Verbesserungen angekündigt hat.
Facebook / Meta soll 1,2 Milliarden EURO Bußgeld wegen DSGVO-widriger Übermittlung personenbezogener Daten in die USA zahlen.
Die Pressemitteilung des European Data Protection Board (EDPB): 1.2 billion euro fine for Facebook as a result of EDPB binding decision
Brussels, 22 May - Following the EDPB’s binding dispute resolution decision of 13 April 2023, Meta Platforms Ireland Limited (Meta IE) was issued a 1.2 billion euro fine following an inquiry into its Facebook service, by the Irish Data Protection Authority (IE DPA). This fine, which is the largest GDPR fine ever, was imposed for Meta’s transfers of personal data to the U.S. on the basis of standard contractual clauses (SCCs) since 16 July 2020. Furthermore, Meta has been ordered to bring its data transfers into compliance with the GDPR.
Andrea Jelinek, EDPB Chair, said: “The EDPB found that Meta IE’s infringement is very serious since it concerns transfers that are systematic, repetitive and continuous. Facebook has millions of users in Europe, so the volume of personal data transferred is massive. The unprecedented fine is a strong signal to organisations that serious infringements have far-reaching consequences.”
In its binding decision of 13 April 2023, the EDPB instructed the IE DPA to amend its draft decision and to impose a fine on Meta IE. Given the seriousness of the infringement, the EDPB found that the starting point for calculation of the fine should be between 20% and 100% of the applicable legal maximum. The EDPB also instructed the IE DPA to order Meta IE to bring processing operations into compliance with Chapter V GDPR, by ceasing the unlawful processing, including storage, in the U.S. of personal data of European users transferred in violation of the GDPR, within 6 months after notification of the IE SA’s final decision.
The IE DPA's final decision incorporates the legal assessment expressed by the EDPB in its binding decision, adopted on the basis of Art. 65(1)(a) GDPR after the IE DPA, as lead supervisory authority (LSA), had triggered a dispute resolution procedure concerning the objections raised by several concerned supervisory authorities (CSAs). Among others, CSAs issued objections aiming to include an administrative fine and/or an additional order to bring processing into compliance*.
The final decision taken by the IE DPA is available in the Register for Decisions taken by supervisory authorities and courts on issues handled in the consistency mechanism.
Der EuGH-Generalanwalt kommt in seinen Schlussanträge zu dem Ergebnis, dass die unmittelbare Verhängung einer Geldbuße gegen juristische Person nach Art. 83 Abs. 4-6 DSGVO möglich ist. § 30 OWiG greift insoweit nicht.
Das Ergebnis der Schlussanträge: Nach alledem schlage ich dem Gerichtshof vor, dem Kammergericht Berlin (Deutschland) wie folgt zu antworten:
Art. 58 Abs. 2 Buchst. i der Verordnung (EU) 2016/679 des Europäischen Parlaments und des Rates vom 27. April 2016 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten, zum freien Datenverkehr und zur Aufhebung der Richtlinie 95/46/EG (Datenschutz-Grundverordnung) in Verbindung mit Art. 4 Nr. 7 und Art. 83 dieser Verordnung
ist dahin auszulegen, dass
die Verhängung einer Geldbuße gegen eine juristische Person, die für die Verarbeitung personenbezogener Daten verantwortlich ist, nicht von der vorherigen Feststellung eines Verstoßes durch eine oder mehrere individualisierte natürliche Person(en), die im Dienst dieser juristischen Person stehen, abhängt.
Die Verwaltungsgeldbußen, die gemäß der Verordnung 2016/679 verhängt werden können, setzen voraus, dass festgestellt wird, dass das den geahndeten Verstoß begründende Verhalten vorsätzlich oder fahrlässig war.
Das BfH hat ein Bußgeldverfahren nach dem NetzDG gegen Twitter wegen systemischen Versagens des Beschwerdemanagements beim Umgang mit Nutzerbeschwerden wegen rechtswidriger Inhalte
Die Pressemitteilung des BfJ: Bundesamt für Justiz führt Bußgeldverfahren gegen die Twitter International Unlimited Company wegen unzureichenden Umgangs mit Nutzerbeschwerden
Das Bundesamt für Justiz (BfJ) hat ein Bußgeldverfahren nach dem Netzwerkdurchsetzungsgesetz (NetzDG) gegen die Twitter International Unlimited Company eingeleitet. Aus Sicht des BfJ liegen hinreichende Anhaltspunkte für Versäumnisse im Beschwerdemanagement der Anbieterin von Twitter in Deutschland vor.
Die Anbieterin von Twitter unterliegt den Vorschriften des NetzDG. Dem BfJ liegen hinreichende Anhaltspunkte dafür vor, dass sie gegen die gesetzliche Pflicht zum Umgang mit Beschwerden über rechtswidrige Inhalte verstoßen hat und es sich dabei um ein bußgeldbewehrtes systemisches Versagen im Beschwerdemanagement der Anbieterin handelt.
Fehlerhafter Umgang mit Nutzerbeschwerden
Die Anbieterin von Twitter ist nach dem NetzDG verpflichtet, ein wirksames und transparentes Verfahren für den Umgang mit Beschwerden von Nutzerinnen und Nutzern über rechtswidrige Inhalte vorzuhalten. Sie muss unter anderem unverzüglich von einem gemeldeten Inhalt Kenntnis nehmen, prüfen, ob dieser rechtswidrig im Sinne des NetzDG ist, und einen rechtswidrigen Inhalt, unter Beachtung der gesetzlichen Frist von regelmäßig sieben Tagen bzw. 24 Stunden im Falle offensichtlicher Rechtswidrigkeit, löschen oder den Zugang zu ihm sperren. Ein Inhalt gilt nach dem NetzDG als rechtwidrig, wenn er einen der in § 1 Absatz 3 NetzDG aufgeführten Tatbestände des Strafgesetzbuchs, wie beispielsweise Volksverhetzung, Beleidigung oder Bedrohung, erfüllt.
Dem BfJ wurden zahlreiche Inhalte gemeldet, die auf Twitter veröffentlicht wurden, nach Einschätzung der Behörde rechtswidrig sind und trotz Nutzerbeschwerden nicht innerhalb der gesetzlich vorgesehenen Fristen von der Anbieterin gelöscht oder gesperrt wurden. Hierauf gründet das eingeleitete Bußgeldverfahren.
Systemisches Versagen des Beschwerdemanagements
Bei vereinzelten Verstößen von Anbieterinnen und Anbietern sozialer Netzwerke gegen die Prüf- und Löschpflichten des NetzDG kann in der Regel noch nicht angenommen werden, dass kein wirksames Verfahren für den Umgang mit Beschwerden über rechtswidrige Inhalte vorgehalten wird. Bußgeldbewehrt ist aber ein systemisches Versagen des Beschwerdemanagements, das vorliegt, wenn Verfehlungen gegen die einschlägigen Vorgaben des NetzDG zeit- und sachnah wiederholt auftreten.
Die dem Bußgeldverfahren gegen die Anbieterin von Twitter zugrundeliegenden Inhalte weisen einen engen zeitlichen und sachlichen Zusammenhang auf und sind daher geeignet, ein systemisches Versagen im Beschwerdemanagement der Anbieterin zu begründen. Sie wurden in einem Zeitraum von rund vier Monaten auf Twitter veröffentlicht und der Anbieterin von Twitter von Nutzerinnen und Nutzern als rechtswidrig angezeigt. Alle Inhalte enthalten ähnlich gelagerte, nicht gerechtfertigte, ehrverletzende Meinungsäußerungen, die sich sämtlich gegen dieselbe Person richten. Sie erfüllen nach Einschätzung des BfJ den Tatbestand der Beleidigung.
Anhörung der Anbieterin und Vorabentscheidungsverfahren vor dem Amtsgericht Bonn
Das BfJ hat der Anbieterin von Twitter nunmehr zu dem Vorwurf eines systemischen Versagens des Beschwerdemanagements Gelegenheit zur Stellungnahme gegeben.
Im weiteren Verfahren wird das BfJ die in der Stellungnahme vorgebrachten Argumente prüfen. Sollte das BfJ zum Ergebnis kommen, dass der Vorwurf des rechtswidrigen Verhaltens weiterhin berechtigt ist, wird das BfJ beim Amtsgericht Bonn die Einleitung eines Vorabentscheidungsverfahrens beantragen und zugleich die Stellungnahme der Anbieterin vorlegen.
Vor dem Erlass eines Bußgeldbescheids gegen Anbieter sozialer Netzwerke wegen fehlerhafter Nichtlöschung oder Nichtsperrung rechtswidriger Inhalte soll nach § 4 Absatz 5 NetzDG die gerichtliche Feststellung der Rechtswidrigkeit der Inhalte herbeigeführt werden. Zuständig für dieses sogenannte Vorabentscheidungsverfahren ist das Amtsgericht Bonn.
Sollte das Amtsgericht Bonn die Rechtswidrigkeit der Inhalte feststellen, kann das BfJ eine Geldbuße gegen die Anbieterin von Twitter festsetzen.
Der Bundesbeauftragter für Datenschutz (BfDI) hat dem Bundespresseamt den Betrieb der Facebook Fanpage der Bundesregierung untersagt.
Die Pressemitteilung des BfDI: BfDI untersagt Betrieb der Fanpage der Bundesregierung
Der BfDI, Professor Ulrich Kelber, hat das Bundespresseamt (BPA) angewiesen, den Betrieb der Facebook Fanpage der Bundesregierung einzustellen. Ein entsprechendes Schreiben hat der BfDI zu Beginn der Woche versendet. Das BPA hat ab Erhalt des Bescheids vier Wochen Zeit diesen umzusetzen.
Der BfDI sagte dazu: „Ich habe lange darauf hingewiesen, dass der Betrieb einer Facebook Fanpage nicht datenschutzkonform möglich ist. Das zeigen unsere eigenen Untersuchungen und das Kurzgutachten der Datenschutzkonferenz. Alle Behörden stehen in der Verantwortung, sich vorbildlich an Recht und Gesetz zu halten. Dies ist nach dem Ergebnis meiner Prüfungen beim Betrieb einer Fanpage wegen der umfassenden Verarbeitung personenbezogener Daten der Nutzenden aktuell unmöglich. Ich finde es wichtig, dass der Staat über soziale Medien erreichbar ist und Informationen teilen kann. Das darf er aber nur, wenn die Grundrechte der Bürgerinnen und Bürger gewahrt bleiben.“
Da sich insbesondere die Interessen von Betreibenden von Fanpages und von Meta ergänzen, besteht nach Einschätzung des BfDI eine gemeinsame Verantwortlichkeit für die Verarbeitung der bei Nutzung der Fanpage erhobenen personenbezogenen Daten. Das BPA muss als Verantwortlicher nachweisen können, dass die Grundsätze des Datenschutzrechts eingehalten werden. Einen solchen Nachweis konnte das BPA im Verfahren nicht zur aufsichtsbehördlichen Überzeugung erbringen. Der BfDI kritisiert insbesondere, dass es nach seiner Begutachtung hier bislang an einer wirksamen Rechtsgrundlage für die Datenverarbeitung fehlt. Außerdem muss nach dem Telekommunikation-Telemedien-Datenschutz-Gesetz für die Verwendung nicht unbedingt erforderlicher Cookies und ähnlicher Trackingtechnologien eine Einwilligung eingeholt werden. Im Falle der Facebook Fanpages wird eine solche Einwilligung jedoch nach Ergebnis der aufsichtsbehördlichen Prüfungen derzeit nicht wirksam eingeholt.
Das BPA hat die Möglichkeit innerhalb eines Monats gegen den Bescheid des BfDI zu klagen.
Die Bundesnetzagentur hat mitgeteilt, dass es viele Beschwerden und hohe Bußgelder wegen unlauterer Telefonwerbung im Jahr 2022 gab.
Die Pressemitteilung des Bundesnetzagentur: Weiterhin viele Beschwerden zu unerlaubter Telefonwerbung
"Unsere Arbeit trägt Früchte. Im Jahr 2022 erreichten uns weniger Beschwerden als im Vorjahr, aber die Zahl ist immer noch viel zu hoch" , sagt Klaus Müller, Präsident der Bundesnetzagentur. "Wir werden daher weiterhin mit allen zur Verfügung stehenden Mitteln für die Rechte von Verbraucherinnen und Verbrauchern einsetzen."
Die Bundesnetzagentur erreichten im Jahr 2022 insgesamt 64.704 schriftliche Beschwerden zu unerlaubten Werbeanrufen. Dies ist ein deutlicher Rückgang um knapp 19 Prozent gegenüber dem Vorjahr. 2021 waren im Zuge eines besonders hohen Beschwerdeaufkommens 79.702 schriftliche Beschwerden eingegangen (2020: 63.273). Gleichwohl handelt es sich bei dem schriftlichen Beschwerdeaufkommen 2022 um den zweithöchsten Wert, den die Bundesnetzagentur je zu verzeichnen hat.
"Es ist wichtig und erfreulich, dass die Beschwerdezahlen zurückgehen. Wir sind aber noch längst nicht da, wo wir hinwollen. Wir werden mit unserer Arbeit weiter alles dafür tun, um unerlaubte Telefonwerbung nachhaltig einzudämmen. Ein wichtiger Baustein hierfür ist die neue Transparenzpflicht für Werbeeinwilligungen. Wir haben im vergangenen Jahr wichtige Grundlagen dafür gelegt, dass die Unternehmen ihre Telefonwerbung transparent und verbraucherfreundlich aufstellen", erläutert Klaus Müller.
Das Gesetz für faire Verbraucherverträge hatte zum 01.10.2021 neue Transparenzpflichten für werbetreibende Unternehmen geschaffen. Die damit neu ausgestaltete Pflicht zur Dokumentation und Aufbewahrung von Telefon-Werbeeinwilligungen soll Verbraucherinnen und Verbraucher besser vor unerlaubter Telefonwerbung schützen. Die Bundesnetzagentur hat im vergangenen Jahr detaillierte Auslegungshinweise konsultiert und veröffentlicht, um werbetreibenden Unternehmen die konkrete Umsetzung der Regelung zu erleichtern. Verstöße gegen die Dokumentationspflicht können künftig mit einem gesonderten Bußgeld von bis zu 50.000 EUR geahndet werden.
Beschwerden weiterhin auf hohem Niveau
Die Bandbreite der Beschwerdethemen war auch im Jahr 2022 groß. Besonders häufig wurden der Bundesnetzagentur allerdings Anrufe angezeigt, in denen unerlaubt für Energielieferverträge geworben wurde. Die Werbung erfolgte häufig unter dem Deckmantel eines angeblichen Preisvergleichs. So forderten die im Auftrag der Energieversorger anrufenden Callcenter in einer Vielzahl von Fällen die Betroffenen auf, persönliche Daten wie ihre Zählernummer oder ihren aktuellen Zählerstand preiszugeben, um einen angeblich kostengünstigeren Energiebezug ausrechnen und zugleich initiieren zu können. Häufig gaben sie sich dabei auch fälschlich als derzeitiger Energieversorger der Angerufenen aus, um das Vertrauen der Betroffenen zu gewinnen.
Auch Werbung für Finanz- und Versicherungsprodukte war wie bereits im Vorjahr wieder besonders auffällig. Ein weiteres häufiges Beschwerdethema bildeten schließlich auch aggressiv beworbene Zeitschriftenabonnements sowie Gewinnspiele.
Hohe Bußgelder verhängt
Die Bundesnetzagentur setzt ihren Kurs gegen unlauter agierende Unternehmen entschieden fort. Sie hat gegen zahlreiche Unternehmen Ermittlungsverfahren eingeleitet. Sie bündelte die Ermittlungsschwerpunkte in neun Großverfahren. Mit jedem dieser Verfahren wurden bis zu 3.000 Beschwerden verfolgt und hohe Bußgelder verhängt. So setzte die Bundesnetzagentur im vergangenen Jahr Bußgelder in einer Gesamthöhe von 1.151.000 EUR wegen unerlaubter Telefonwerbung und Rufnummernunterdrückung bei Werbeanrufen fest. Alle mit der Verhängung einer Geldbuße abgeschlossenen Verfahren werden unter www.bundesnetzagentur.de/massnahmen-telefonwerbung veröffentlicht.
Unerlaubte Telefonwerbung melden
Für die Verfolgung von unerlaubten Werbeanrufen ist die Bundesnetzagentur auf Hinweise von Verbraucherinnen und Verbrauchern angewiesen. Verbraucherinnen und Verbraucher können Werbeanrufe, in die sie vorher nicht eingewilligt haben oder für die sie einen Widerruf ausgesprochen haben, bei der Bundesnetzagentur melden. Hierfür können sie eine aktualisierte Version des Online-Formulars unter www.bundesnetzagentur.de/telefonwerbung-beschwerde nutzen, das Beschwerden nun noch gezielter und effektiver erfasst. Um die Täter überführen zu können, sind möglichst präzise und detaillierte Angaben notwendig.
Der LfDI Baden-Württemberg hat ein Bußgeld in Höhe von 50.000 EURO wegen der missbräuchlichen Verwendung von Grundbuchdaten durch ein Bauträgerunternehmen zu Werbezwecken verhängt.
Die Pressemitteilung der Datenschutzbehörde: Bußgeld: Daten aus dem Grundbuch stehen nicht zur freien Verfügung
LfDI Baden-Württemberg hat Geldbußen wegen missbräuchlicher Verwendung von Grundbuchdaten verhängt
Auch Daten aus öffentlichen Registern wie dem Grundbuch stehen nicht zur freien Verfügung
Der Landesbeauftragte Dr. Stefan Brink: „Verantwortliche sollten sich bewusstmachen, dass auch öffentliche Daten Schutz genießen und nicht zur freien Verfügung stehen. Die im vorliegenden Fall verhängten Geldbußen machen deutlich, dass sich heimliche Datenverarbeitungen unter Ausnutzung spezieller Zugriffsrechte nicht auszahlen. Die Datenschutz-Grundverordnung gilt auch im hart umkämpften Markt um Bauland.“
Wegen rechtswidriger Datenerhebung und –weitergabe und Verstößen gegen die Informationspflichten hat der Landesbeauftragte für den Datenschutz und die Informationsfreiheit Baden-Württemberg Geldbußen gegen ein Bauträgerunternehmen und einen Vermessungsingenieur in Höhe von 50.000 Euro und 5.000 Euro verhängt.
Ein Grundstückseigentümer in einem Neubaugebiet hatte ein Schreiben eines Bauträgers erhalten, in dem ihm ein Kaufpreisangebot für sein Grundstück unterbreitet wurde. Eine Information über die Herkunft seiner Daten enthielt das Schreiben nicht, auch auf Nachfrage wurde dem Adressaten nicht mitgeteilt, woher der Bauträger dessen Daten hatte, insbesondere die Kenntnis von dessen Eigentümerstellung.
Die Bußgeldstelle beim Landesbeauftragten ermittelte anschließend, dass ein Vermessungsingenieur von seiner Befugnis zur Einsichtnahme in das elektronische Grundbuch im automatisierten Abrufverfahren Gebrauch gemacht und in zwei Fällen mehrere Hundert Grundstückseigentümer ohne deren Kenntnis identifiziert und die entsprechenden Informationen an einen Bauträger weitergegeben hatte. Dieser wiederum schrieb die so ermittelten Eigentümer mit einem Kaufpreisangebot für deren Grundstücke an, ohne die notwendigen Informationen nach Art. 14 DS-GVO zu erteilen, insbesondere ohne über die Herkunft der Daten zu informieren.
Dieses Vorgehen stellt einerseits einen Verstoß gegen Art. 6 Abs. 1 DS-GVO dar. So ist bei der Interessenabwägung im Rahmen des Art. 6 Abs. 1 Buchst. f DS-GVO zu berücksichtigen, dass zwischen den Grundstückseigentümern und dem Bauträger keine vorherige Geschäftsbeziehung bestand und die Eigentümer nicht davon ausgehen mussten, dass ihre Daten im Grundbuch für werbliche Ansprachen zur Verfügung stehen. Hierbei kommt besondere Bedeutung der Tatsache zu, dass Grundstückseigentümer weder der Eintragung im Grundbuch noch der Datenübermittlung widersprechen können, vielmehr werden ihre Daten auf Grund einer gesetzlichen Pflicht erhoben. Diese gesetzliche Pflicht dient aber nicht der werblichen Ansprache, sondern der Rechtssicherheit bei Grundstücksgeschäften. Dementsprechend ist für das grundbuchrechtliche Einsichtsrecht auch allgemein anerkannt, dass ein alleiniges Erwerbsinteresse nicht zur Einsichtnahme berechtigt, es vielmehr bereits der konkreten Vertragsverhandlungen bedarf.
Zudem lag auch ein Verstoß gegen Art. 14 DS-GVO vor, indem den Eigentümern – auch bei Kontaktaufnahme – keine Informationen zur Datenverarbeitung zur Verfügung gestellt wurden. Diese Informationen sind aber wesentliche Voraussetzung für betroffene Personen, um ihre Betroffenenrechte nach den Art. 15 ff. DS-GVO geltend machen zu können. Ein Ausschlussgrund war vorliegend auch nicht gegeben, insbesondere stellt § 12 GBO keine Rechtsvorschrift im Sinne des Art. 14 Abs. 5 Buchst. c DS-GVO dar, da sich für betroffene Personen bei Einsichtnahme durch Dritte aus § 12 GBO weder die datenerhebende Stelle noch Umfang, Zweck oder Dauer der Datenerhebung ersichtlich sind.
Bei der Zumessung der Geldbuße wurde neben der Anzahl der betroffenen Personen, der Art der betroffenen Daten und der Bedeutung der verletzten Vorschriften vor allem die Kooperation der verantwortlichen Stellen im Bußgeldverfahren berücksichtigt.
Die Geldbußen wurden von den Verantwortlichen akzeptiert und sind zwischenzeitlich rechtskräftig.
Die Berliner Beauftragte für Datenschutz und Informationsfreiheit (BlnBDI) hat ein Bußgeld in Höhe von 525.000 EURO gegen einen Berliner E-Commerce-Konzern wegen Verstoßes gegen die Vorgaben der DSGVO durch einen Interessenkonflikt des betrieblichen Datenschutzbeauftragten verhängt. Die Datenschutzbehörde hatte vor Verhängung des Bußgelds fruchtlos eine Verwarnung ausgesprochen.
Die Pressemitteilung der BlnBDI: Interessenkonflikt des betrieblichen Datenschutzbeauftragten: 525.000 Euro Bußgeld gegen die Tochtergesellschaft eines Berliner E-Commerce-Konzerns
Die Berliner Beauftragte für Datenschutz und Informationsfreiheit (BlnBDI) hat gegen die Tochtergesellschaft eines Berliner Handelskonzerns ein Bußgeld in Höhe von 525.000 Euro wegen eines Interessenkonflikts des betrieblichen Datenschutzbeauftragten verhängt. Das Unternehmen hatte einen Datenschutzbeauftragten benannt, der Entscheidungen unabhängig kontrollieren sollte, die er selbst in einer anderen Funktion getroffen hatte. Das Bußgeld ist noch nicht rechtskräftig. Betriebliche Datenschutzbeauftragte haben eine wichtige Aufgabe: Sie beraten das Unternehmen hinsichtlich der datenschutzrechtlichen Pflichten und kontrollieren die Einhaltung der Datenschutzvorschriften. Diese Funktion dürfen gemäß Art. 38 Abs. 6 Satz 2 Datenschutz-Grundverordnung (DS-GVO) ausschließlich Personen ausüben, die keinen Interessenkonflikten durch andere Aufgaben unterliegen. Das wäre zum Beispiel bei Personen mit leitenden Funktionen im Unternehmen der Fall, die selber maßgebliche Entscheidungen über die Verarbeitung von personenbezogenen Daten im Unternehmen treffen. Die Aufgabe darf demnach nicht von Personen wahrgenommen werden, die sich dadurch selbst überwachen würden.
So ein Interessenkonflikt lag nach Auffassung der BlnBDI im Falle eines Datenschutzbeauftragten einer Tochtergesellschaft eines Berliner E-Commerce-Konzerns vor. Die Person war gleichzeitig Geschäftsführer von zwei Dienstleistungsgesellschaften, die im Auftrag genau jenes Unternehmens personenbezogene Daten verarbeiteten, für die er als Datenschutzbeauftragter tätig war. Diese Dienstleistungsgesellschaften sind ebenfalls Teil des Konzerns; stellen den Kund:innenservice und führen Bestellungen aus.
Der Datenschutzbeauftragte musste somit die Einhaltung des Datenschutzrechts durch die im Rahmen der Auftragsverarbeitung tätigen Dienstleistungsgesellschaften überwachen, die von ihm selbst als Geschäftsführer geleitet wurden. Die BlnBDI sah in diesem Fall einen Interessenkonflikt und damit einen Verstoß gegen die Datenschutz-Grundverordnung. Die Aufsichtsbehörde erteilte daher im Jahr 2021 zunächst eine Verwarnung gegen das Unternehmen.
Nachdem eine erneute Überprüfung in diesem Jahr ergab, dass der Verstoß trotz der Verwarnung weiterbestand, verhängte die BlnBDI das Bußgeld, das noch nicht rechtskräftig ist.
Volker Brozio, kommissarischer Dienststellenleiter der BlnBDI: „Dieses Bußgeld unterstreicht die bedeutende Rolle der Datenschutzbeauftragten in Unternehmen. Ein Datenschutzbeauftragter kann nicht einerseits die Einhaltung des Datenschutzrechts überwachen und andererseits darüber mitentscheiden. Eine solche Selbstkontrolle widerspricht der Funktion eines Datenschutzbeauftragten, der gerade eine unabhängige Instanz sein soll, die im Unternehmen auf die Einhaltung des Datenschutzes hinwirkt.“
Bei der Bußgeldzumessung berücksichtigte die BlnBDI den dreistelligen Millionenumsatz des ECommerce-Konzerns im vorangegangen Geschäftsjahr und die bedeutende Rolle des Datenschutzbeauftragten als Ansprechpartner für die hohe Zahl an Beschäftigten und Kund:innen. Berücksichtigung fand auch die vorsätzliche Weiterbenennung des Datenschutzbeauftragten über fast ein Jahr trotz der bereits erteilten Verwarnung. Als bußgeldmindernd wurde u. a. eingestuft, dass das Unternehmen umfangreich mit der BlnBDI zusammengearbeitet und den Verstoß während des laufenden Bußgeldverfahrens abgestellt hat.
„Zur Vermeidung von Datenschutzverstößen sollten Unternehmen etwaige Doppelrollen der betrieblichen Datenschutzbeauftragten in Konzernstrukturen auf Interessenkonflikte hin prüfen“, sagt Brozio. „Das gilt insbesondere dann, wenn Auftragsverarbeitungen oder gemeinsame Verantwortlichkeiten zwischen den Konzerngesellschaften bestehen.“
EuG
Urteil vom 14.09.2022 T-604/18
Google und Alphabet/Kommission (Google Android)
Das EuG hat die Geldbuße der EU-Kommission von mehr als 4 Milliarden EURO gegen Google / Alphabet wegen des Missbrauchs der marktbeherrschenden Stellung ganz überwiegend bestätigt.
Die Pressemitteilung des Gerichts: Das Gericht bestätigt weitgehend den Beschluss der Kommission, wonach Google den Herstellern von Android-Mobilgeräten und den Betreibern von Mobilfunknetzen rechtswidrige Beschränkungen auferlegt hat, um die beherrschende Stellung seiner Suchmaschine zu stärken.
Um Schwere und Dauer der Zuwiderhandlung besser Rechnung zu tragen, hält das Gericht es jedoch im Anschluss an Erwägungen, die in einigen Punkten von denen der Kommission abweichen, für angebracht, gegen Google eine Geldbuße in Höhe von 4,125 Mrd. Euro zu verhängen Google, ein auf Produkte und Dienstleistungen, die mit dem Internet in Zusammenhang stehen, spezialisiertes Unternehmen des Sektors der Informations- und Kommunikationstechnologien, erzielt seine Einkünfte im Wesentlichen mit seinem Schlüsselprodukt, der Suchmaschine Google Search. Sein Geschäftsmodell basiert auf dem Zusammenspiel einer Reihe von Produkten und Dienstleistungen, die den Nutzern meist kostenlos angeboten werden, und Online-Werbedienstleistungen, bei denen die bei diesen Nutzern gesammelten Daten verwendet werden. Google bietet ferner das Betriebssystem Android an, mit dem nach Angaben der Europäischen Kommission im Juli 2018 etwa 80 % der in Europa verwendeten intelligenten Mobilgeräte ausgestattet waren. Verschiedene Beschwerden, die wegen bestimmter Geschäftspraktiken von Google im Bereich des mobilen Internets an die Kommission gerichtet wurden, veranlassten sie, am 15. April 2015 gegen Google ein Verfahren betreffend Android zu eröffnen.
Mit Beschluss vom 18. Juli 20183 verhängte die Kommission gegen Google eine Sanktion wegen Missbrauchs seiner beherrschenden Stellung durch die Auferlegung wettbewerbswidriger vertraglicher Beschränkungen für die Hersteller von Mobilgeräten und die Betreiber von Mobilfunknetzen, bei einigen seit dem 1. Januar 2011. Die Beschränkungen hatten drei Formen:
1. Beschränkungen in den „Vertriebsvereinbarungen“, wonach die Hersteller von Mobilgeräten seine allgemeine Such-App (Google Search) und seinen Browser (Chrome) vorinstallieren mussten, um von Google eine Lizenz für die Nutzung seines App Store (Play Store) zu erhalten;
2. Beschränkungen in den „Anti-Fragmentierungsvereinbarungen“, wonach die für die Vorinstallation der Apps Google Search und Play Store durch die Hersteller von Mobilgeräten erforderlichen Lizenzen nur erteilt wurden, wenn die Hersteller sich verpflichteten, keine Geräte zu verkaufen, die mit nicht von Google zugelassenen Versionen des Betriebssystems Android ausgestattet sind;
3. Beschränkungen in den „Vereinbarungen über die Teilung von Einnahmen“, wonach Google nur dann einen Teil der Werbeeinnahmen an die betreffenden Hersteller von Mobilgeräten und Betreiber von Mobilfunknetzen weiterleitete, wenn diese sich verpflichteten, auf einem im Voraus festgelegten Sortiment von Geräten keinen konkurrierenden allgemeinen Suchdienst vorzuinstallieren.
Nach Ansicht der Kommission wurde mit all diesen Beschränkungen das Ziel verfolgt, die beherrschende Stellung von Google im Bereich der allgemeinen Suchdienste und damit seine Einnahmen aus Werbeanzeigen im Zusammenhang mit diesen Suchen zu schützen und zu stärken. Das gemeinsame Ziel der streitigen Beschränkungen und ihre Wechselwirkung veranlassten die Kommission daher, sie als einheitliche und fortdauernde Zuwiderhandlung gegen Art. 102 AEUV und Art. 54 des Abkommens über den Europäischen Wirtschaftsraum (EWR) einzustufen.
Infolgedessen verhängte die Kommission gegen Google eine Geldbuße in Höhe von fast 4,343 Mrd. Euro; dabei handelt es sich um die höchste jemals in Europa von einer Wettbewerbsbehörde verhängte Geldbuße. Die von Google erhobene Klage wird vom Gericht im Wesentlichen abgewiesen; es erklärt den Beschluss der Kommission nur insofern für nichtig, als darin festgestellt wird, dass die oben angesprochenen sortimentbezogenen Vereinbarungen über die Teilung von Einnahmen als solche einen Missbrauch darstellen. Angesichts der konkreten Umstände der Rechtssache hält das Gericht es ferner für angebracht, die gegen Google verhängte Geldbuße in Ausübung seiner Befugnis zu unbeschränkter Nachprüfung auf 4,125 Mrd. Euro festzusetzen.
Würdigung durch das Gericht
An erster Stelle prüft das Gericht den Klagegrund, dass bei der Definition der relevanten Märkte und der anschließenden Beurteilung der beherrschenden Stellung von Google auf einigen dieser Märkte Beurteilungsfehler begangen worden seien. In diesem Rahmen hebt das Gericht hervor, dass es im Wesentlichen unter Berücksichtigung des Vorbringens der Parteien und der Argumentation im angefochtenen Beschluss zu prüfen hat, ob Google aufgrund seiner Macht auf den relevanten Märkten in der Lage war, sich gegenüber den verschiedenen Faktoren, die geeignet waren, ihm bei seinem Verhalten Zwänge aufzuerlegen, in nennenswertem Umfang unabhängig zu verhalten.
Im vorliegenden Fall hat die Kommission in einem ersten Schritt vier relevante Märkte herausgearbeitet, und zwar erstens den weltweiten Markt (mit Ausnahme Chinas) für die Lizenzierung von Betriebssystemen für Mobilgeräte, zweitens den weltweiten Markt (mit Ausnahme Chinas) für Android-App-Stores, drittens die verschiedenen nationalen Märkte für allgemeine Suchdienste im EWR und viertens den weltweiten Markt der nicht betriebssystemspezifischen Internetbrowser für Mobilgeräte. In einem zweiten Schritt ist die Kommission zu dem Ergebnis gekommen, dass Google auf den drei erstgenannten Märkten eine beherrschende Stellung innehabe. Das Gericht weist darauf hin, dass die Kommission bei ihrer Darstellung der verschiedenen relevanten Märkte gebührend herausgearbeitet hat, dass sie einander ergänzen und miteinander in Verbindung stehen, insbesondere angesichts der weltweit umgesetzten Strategie von Google, seine Suchmaschine durch die Integration in ein „Ökosystem“ zu propagieren.
Speziell in Bezug auf die Definition des Umfangs des Marktes für die Lizenzierung von Betriebssystemen für intelligente Mobilgeräte und die anschließende Beurteilung der Stellung von Google auf diesem Markt stellt das Gericht fest, dass die Kommission – ohne dass die insoweit von Google vorgebrachten Rügen stichhaltig sind – zu dem Ergebnis gekommen ist, dass die ausschließlich von vertikal integrierten Produktentwicklern genutzten „nichtlizenzierbaren“ Betriebssysteme wie iOS von Apple oder Blackberry nicht zum gleichen Markt gehörten, da andere Hersteller von Mobilgeräten keine Lizenz dafür erwerben können. Die Kommission hat auch mit der Feststellung, dass die beherrschende Stellung von Google auf diesem Markt durch den mittelbaren Wettbewerbsdruck, der dort durch das von Apple angebotene nicht-lizenzierbare Betriebssystem ausgeübt werde, nicht in Frage gestellt werde, keinen Fehler begangen. Sie ist überdies zu Recht zu dem Ergebnis gekommen, dass der Open-Source-Charakter der Lizenz für die Nutzung des Android-Quellcodes keinen hinreichenden Wettbewerbsdruck erzeugte, um die fragliche beherrschende Stellung zu kompensieren.
An zweiter Stelle prüft das Gericht die verschiedenen Klagegründe, mit denen die fehlerhafte Beurteilung des missbräuchlichen Charakters der streitigen Beschränkungen gerügt wird. Erstens hat die Kommission die den Herstellern von Mobilgeräten auferlegten Bedingungen für die Vorinstallation4 als missbräuchlich eingestuft, indem sie zum einen das Bündel der Google -Search- und Play-StoreApps vom Bündel des Chrome-Browsers und von den vorgenannten Apps unterschieden und zum anderen die Ansicht vertreten hat, dass diese Bündel den Wettbewerb im Zeitraum der Zuwiderhandlung beschränkt hätten, ohne dass Google hierfür eine objektive Rechtfertigung habe anführen können.
Insoweit führt das Gericht aus, dass die Kommission das Vorliegen eines durch die streitigen Bedingungen für die Vorinstallation entstandenen Wettbewerbsvorteils damit begründet hat, dass eine solche Vorinstallation zu einer „Status-quo-Präferenz“ führen könne, resultierend aus der Neigung der Nutzer, sich der ihnen zur Verfügung stehenden Such- und Browser-Apps zu bedienen, die geeignet seien, die Nutzung des betreffenden Dienstes erheblich und nachhaltig zu verbessern, ohne dass dieser Vorteil von den Konkurrenten von Google wettgemacht werden könnte. Das Gericht stellt fest, dass die Analyse der Kommission zu diesem Punkt allen Einwänden von Google standhält.
Im Anschluss befasst sich das Gericht mit den Rügen, die sich gegen die Schlussfolgerung richten, dass die den Konkurrenten von Google zur Verfügung stehenden Mittel es ihnen nicht ermöglicht hätten, den von Google durch die fraglichen Bedingungen für die Vorinstallation erlangten erheblichen Wettbewerbsvorteil zu kompensieren, und führt dazu aus, dass diese Bedingungen zwar die Vorinstallation konkurrierender Apps nicht verbieten, doch ist ein solches Verbot für Geräte vorgesehen, die unter die Vereinbarungen über die Teilung von Einnahmen fallen – gleichgültig, ob diese sortimentbezogen sind oder für Ersatzgeräte gelten –, und damit für über 50 % der GoogleAndroid-Geräte, die von 2011 bis 2016 im EWR verkauft wurden; dies durfte die Kommission im Rahmen der kombinierten Wirkungen der fraglichen Beschränkungen berücksichtigen. Die Kommission war auch befugt, sich zur Stützung ihrer Schlussfolgerungen auf die Beobachtung der tatsächlichen Situation zu stützen, wobei sie feststellte, dass in der Praxis nur in begrenztem Umfang auf die Vorinstallation konkurrierender Apps, auf ihren Download oder über Browser auf konkurrierende Suchdienste zurückgegriffen wurde. Schließlich sieht das Gericht die Einwände von Google gegen die Erwägungen, aufgrund deren die Kommission jede objektive Rechtfertigung für die in die Prüfung einbezogenen Bündel verneinte, ebenfalls als nicht stichhaltig an und weist den Klagegrund der fehlerhaften Beurteilung des missbräuchlichen Charakters der Bedingungen für die Vorinstallation in vollem Umfang zurück.
Zweitens führt das Gericht in Bezug auf die Beurteilung der in den sortimentbezogenen Vereinbarungen über die Teilung von Einnahmen enthaltenen Bedingung der ausschließlichen Vorinstallation aus, dass die Kommission berechtigt war, die streitigen Vereinbarungen als Ausschließlichkeitsvereinbarungen einzustufen, da die vorgesehenen Zahlungen davon abhingen, dass bei dem betreffenden Produktsortiment keine konkurrierenden allgemeinen Suchdienste vorinstalliert wurden.
In Anbetracht dessen, dass die Kommission den missbräuchlichen Charakter dieser Vereinbarungen darin sah, dass sie geeignet gewesen seien, die betreffenden Hersteller von Mobilgeräten und Betreiber von Mobilfunknetzen davon abzuhalten, solche konkurrierenden Suchdienste vorzuinstallieren, musste sie allerdings nach der Rechtsprechung zu derartigen Praktiken anhand aller relevanten Umstände, zu denen der Umfang der Markterfassung durch die beanstandete Praxis sowie die ihr innewohnende Eignung zur Verdrängung mindestens ebenso leistungsfähiger Wettbewerber gehören, eine Analyse ihrer Befähigung zur Beschränkung des Leistungswettbewerbs vornehmen.
Die insoweit von der Kommission vorgelegte Analyse beruhte im Wesentlichen auf zwei Elementen, und zwar zum einen auf der Prüfung des Umfangs der Markterfassung durch die beanstandete Praxis und zum anderen auf den Ergebnissen ihrer Heranziehung des Kriteriums des ebenso leistungsfähigen Wettbewerbers. Soweit die Kommission im Rahmen des ersten Elements davon ausgegangen ist, dass die fraglichen Vereinbarungen, unabhängig von der Art des verwendeten Geräts, einen „erheblichen Teil“ der nationalen Märkte für allgemeine Suchdienste erfasst hätten, wird diese Feststellung nach den Erkenntnissen des Gerichts aber nicht durch die von der Kommission im angefochtenen Beschluss dargelegten Gesichtspunkte bestätigt. Gleiches gilt zudem für eine der Prämissen des AEC-Tests, und zwar den Teil der Suchanfragen, den ein hypothetisch mindestens ebenso leistungsfähiger Wettbewerber, dessen App neben Google Search vorinstalliert wurde, für sich hätte gewinnen können. Das Gericht konstatiert ferner mehrere Begründungsfehler bei der Beurteilung wesentlicher Variablen des von der Kommission durchgeführten AEC-Tests, und zwar der Schätzung der einem solchen Wettbewerber zurechenbaren Kosten, der Beurteilung seiner Befähigung, die Vorinstallation seiner App zu erreichen, sowie der Schätzung der Einnahmen, die nach Maßgabe des Alters der im Umlauf befindlichen Mobilgeräte erzielt werden können. Daraus folgt, dass der AEC-Test in der von der Kommission durchgeführten Form die Feststellung eines Missbrauchs, der sich aus den sortimentbezogenen Vereinbarungen über die Teilung von Einnahmen selbst ergibt, nicht zu bestätigen vermag, so dass das Gericht dem entsprechenden Klagegrund stattgibt.
Drittens weist das Gericht in Bezug auf die Beurteilung der Beschränkungen in den AntiFragmentierungsvereinbarungen darauf hin, dass die Kommission eine solche Praxis insofern als missbräuchlich ansieht, als sie darauf abzielt, die Entwicklung und die Marktpräsenz von Geräten mit einer inkompatiblen „AndroidFork“ zu verhindern, ohne Google das Recht abzusprechen, Kompatibilitätsanforderungen allein für die Geräte aufzustellen, auf denen seine Apps installiert sind. Im Anschluss an die Feststellung, dass es die fragliche Praxis tatsächlich gab, führt das Gericht weiter aus, dass die Kommission zu der Annahme berechtigt war, dass die inkompatiblen Android-Forks Wettbewerbsdruck auf Google ausüben konnten. Unter diesen Umständen durfte die Kommission angesichts der von ihr dargelegten, zum Nachweis des Hindernisses für die Entwicklung und Vermarktung von Konkurrenzprodukten auf dem Markt der lizenzierten Betriebssysteme geeigneten Gesichtspunkte davon ausgehen, dass die fragliche Praxis zur Stärkung der beherrschenden Stellung von Google auf dem Markt für allgemeine Suchdienste geführt hatte und zugleich ein Innovationshemmnis darstellte, da sie die Vielfalt der den Nutzern zur Verfügung stehenden Angebote einschränkte.
An dritter Stelle prüft das Gericht den Klagegrund einer Verletzung der Verteidigungsrechte, mit dem Google die Feststellung begehrt, dass sein Recht auf Akteneinsicht und sein Anspruch auf rechtliches Gehör verletzt worden seien. Es befasst sich erstens mit der geltend gemachten Verletzung des Rechts auf Akteneinsicht und führt dazu aus, dass die Rügen von Google den Inhalt einer Reihe von Aufzeichnungen über Treffen der Kommission mit Dritten während ihrer gesamten Untersuchung betreffen, die von der Kommission im Februar 2018 übermittelt wurden. Da alle diese Treffen der Einholung von Informationen, die sich auf den Gegenstand der Untersuchung bezogen, im Sinne von Art. 19 der Verordnung Nr. 1/20038 dienten, oblag es der Kommission, dafür zu sorgen, dass Aufzeichnungen erstellt wurden, die es dem betreffenden Unternehmen ermöglichten, sie zu gegebener Zeit zu konsultieren und seine Verteidigungsrechte wahrzunehmen. Im vorliegenden Fall stellt das Gericht fest, dass diesen Anforderungen nicht genügt wurde, zum einen wegen des zeitlichen Abstands zwischen den Treffen und der Übermittlung der sie betreffenden Aufzeichnungen und zum anderen wegen des summarischen Charakters der Aufzeichnungen. Zu den Folgen dieses Verfahrensfehlers führt das Gericht aus, dass ein solcher Fehler nach der Rechtsprechung nur dann zu einer Verletzung der Verteidigungsrechte führt, wenn das betreffende Unternehmen belegt, dass es sich ohne ihn besser hätte verteidigen können. Im vorliegenden Fall kommt das Gericht jedoch zu dem Ergebnis, dass sich den ihm hierzu unterbreiteten Anhaltspunkten und Argumenten kein derartiger Beleg entnehmen lässt.
Zweitens stellt das Gericht zur geltend gemachten Verletzung des Anspruchs auf rechtliches Gehör fest, dass das dahingehende Vorbringen von Google das verfahrensrechtliche Gegenstück zu den gegen die Begründetheit der Einstufung einiger Vereinbarungen zur Teilung von Einnahmen als missbräuchlich gerichteten Rügen darstellt, da es die Weigerung betrifft, Google zu dem in diesem Rahmen durchgeführten AEC-Test anzuhören. Da die Kommission dies ablehnte, obwohl sie Google zwei Sachverhaltsschreiben übersandt hatte, in denen Inhalt und Umfang der ursprünglich in der Mitteilung der Beschwerdepunkte dargelegten Vorgehensweise erheblich ergänzt worden waren, ohne dass die Kommission – wie es geboten gewesen wäre – eine ergänzende Mitteilung der Beschwerdepunkte erließ und daran eine Anhörung anschloss, bejaht das Gericht eine Verletzung der Verteidigungsrechte von Google seitens der Kommission, mit der Google eine Chance genommen wurde, sich durch die Geltendmachung ihrer Argumente bei einer Anhörung besser zu verteidigen. Das Gericht fügt hinzu, dass
angesichts der zuvor konstatierten Unzulänglichkeiten bei der Durchführung des AEC-Tests durch die Kommission im vorliegenden Fall ein umso größeres Interesse an einer Anhörung bestand. Infolgedessen ist die Feststellung der Missbräuchlichkeit der sortimentbezogenen Vereinbarungen zur Teilung von Einnahmen auch auf dieser Grundlage für nichtig zu erklären.
Schließlich führt das Gericht zu der von ihm im Rahmen der Ausübung seiner Befugnis zu unbeschränkter Nachprüfung vorzunehmenden eigenständigen Beurteilung der Höhe der Geldbuße zunächst aus, dass der angefochtene Beschluss zwar teilweise für nichtig zu erklären ist, soweit darin festgestellt wird, dass die sortimentbezogenen Vereinbarungen über die Teilung von Einnahmen als solche einen Missbrauch darstellen, doch hat diese teilweise Nichtigerklärung in Anbetracht der Verdrängungswirkungen, die sich aus den übrigen von Google im Zeitraum der Zuwiderhandlung angewandten missbräuchlichen Praktiken ergeben, bei einer Gesamtbetrachtung keine Auswirkungen auf die Gültigkeit der im angefochtenen Beschluss getroffenen Feststellung einer Zuwiderhandlung.
Die eigene Beurteilung aller die Sanktion betreffenden Umstände durch das Gericht führt zu dem Ergebnis, dass die wegen der begangenen Zuwiderhandlung gegen Google zu verhängende Geldbuße in Abänderung des angefochtenen Beschlusses auf 4,125 Mrd. Euro festzusetzen ist. Dabei hält es das Gericht wie die Kommission für angebracht, zu berücksichtigen, dass die Zuwiderhandlung vorsätzlich begangen wurde und welchen Wert die einschlägigen, von Google im letzten Jahr seiner vollständigen Beteiligung an der Zuwiderhandlung getätigten Verkäufe hatten. Hinsichtlich der Berücksichtigung von Schwere und Dauer der Zuwiderhandlung hält es das Gericht hingegen aus den im Urteil dargelegten Gründen für angebracht, bei der Beurteilung der Auswirkungen der von der Kommission im angefochtenen Beschluss zutreffend festgestellten Verdrängungswirkungen der zeitlichen Entwicklung der verschiedenen Aspekte der Zuwiderhandlung und der Komplementarität der fraglichen Praktiken Rechnung zu tragen.
LG Hamburg
Beschluss vom vom 28.10.2021 625 Qs 21/21 OWi
Das LG Hamburg hat entschieden, dass Dritte keinen Anspruch gegen den Hamburger Datenschutzbeauftragten (HmbBfDI ) auf Herausgabe des teilweise anonymisierten datenschutzrechtlichen Bußgeldbescheids gegen H&M haben.
Aus den Entscheidungsgründen: Der Antrag auf gerichtliche Entscheidung ist zulässig und hat auch in der Sache überwiegend Erfolg. Auf die mit Bescheid des HmbBfDI vom 28. Januar 2021 beabsichtigte umfassende Herausgabe des teilweise anonymisierten Bußgeldbescheids vom 30. September 2020 haben die vier Antragssteller keinen Anspruch. Ihnen ist lediglich hinsichtlich der Passage „Zumessung der Geldbuße“, Seite 9 des Bußgeldbescheids bis Seite 10, 3. Absatz, 1. Halbsatz „Anknüpfungspunkt ist daher der gesamte Umsatz im Onlinehandel“ Auskunft zuzubilligen.
[...]
Der Antrag auf gerichtliche Entscheidung hat in der Sache überwiegend Erfolg. Den vier auskunftssuchenden Antragsstellern steht kein Anspruch auf die Übermittlung des Bußgeldbescheids vom 30. September 2020 in der vom HmbBfDI teilanonymisierten Form, die dem angegriffenen Bescheid vom 28. Januar 2021 als Anlage 1 beigefügt war, und des Dokuments „ 2./2020 – Bußgeldzumessung unter Anwendung des DSK-Konzepts“ gemäß Anlage 2 des Bescheids vom 28. Januar 2021nach § 475 Abs. 1 und 4 StPO zu.
Gemäß § 475 Absatz 1 und 4 StPO können Privatpersonen Auskünfte aus Akten erteilt werden, soweit diese hierfür ein berechtigtes Interesse darlegen. Sie sind zu versagen, wenn der hiervon Betroffene ein schutzwürdiges Interesse an der Versagung hat. Im Übrigen soll Akteneinsicht grundsätzlich nur in dem Umfang erfolgen, als dies zur Wahrnehmung des berechtigten Interesses der Privatperson erkennbar erforderlich ist (vgl. LG Bochum, Beschluss vom 10.11.2004 – 1 AR 16/04).
Zwar haben alle auskunftssuchenden Antragssteller ein berechtigtes Interesse darlegt; deren Auskunftsinteresse der Antragsteller stehen aber die schutzwürdigen Interessen der Betroffenen an der Versagung der Auskünfte jedenfalls in Form der Übersendung des vom HmbBfDI lediglich geringfügig geschwärzten Bußgeldbescheids gemäß Anlage 1 und des Dokuments „ 2./2020 – Bußgeldzumessung unter Anwendung des DSK-Konzepts“ gemäß Anlage 2 zum Bescheid vom 28. Januar 2021 entgegen.
a. Berechtigtes Interesse der Antragssteller
Das „berechtigte Interesse“ i. S. d. § 475 StPO wird weit ausgelegt. Darunter fällt grundsätzlich jedes verständige, durch die Sachlage gerechtfertigte Interesse tatsächlicher, wirtschaftlicher oder ideeller Art, sofern es von dem jeweiligen Antragssteller schlüssig dargelegt wird; eine Glaubhaftmachung oder gar ein Beweis sind nicht erforderlich (BeckOK StPO/Wittig, 40. Ed. 1. Juli 2021, § 475 Rn. StPO, Rn. 9 f.).
Bei Anwendung dieser Maßstäbe habe alle vier Antragssteller ihr berechtigtes Interesse hinreichend dargelegt. Die Antragsteller 2 bis 4 haben angegeben, dass sie als (Syndikus-) Anwälte im Bereich Datenschutzrecht tätig sind. Antragssteller 2 und 3 haben ausgeführt, dass sie die Entscheidung für ihre berufliche Tätigkeit, d. h. in der Beratung ihrer Mandanten im Datenschutzrecht, nutzen wollen. Der Antragsteller zu 2 hat ferner ein Interesse daran dargelegt, zu erfahren, anhand welcher Kriterien die Adressatenauswahl und die Bußgeldberechnung erfolgt sei. Die Antragssteller 1, 3 und 4 haben weiter erklärt, dass sie beabsichtigten, einen wissenschaftlichen Aufsatz zu schreiben, der unter anderem den Bußgeldbescheid zum Gegenstand hat.
Diese Interessen sind grundsätzlich als ein berechtigtes Interesse anzuerkennen, denn dabei handelt es sich um verständige und durch die Sachlage gerechtfertigte Interessen.
b. Schutzwürdigen Interessen der Betroffenen
Dem Auskunftsinteresse der Antragssteller an der Übersendung des Bußgeldbescheids in der vom HmbBfDI teilgeschwärzten Fassung gemäß Anlage 1 zum Bescheid vom 28. Januar 2021 stehen jedoch die schutzwürdigen Interessen der Betroffenen an der Versagung der Auskunft entgegen (§ 475 Abs. 1 S. 2 StPO).
Im Unterschied zur ähnlich gelagerten Regelung des § 406e Abs. 2 StPO kommt es im Rahmen des § 475 StPO nicht auf ein „Überwiegen” der einer Auskunft entgegenstehenden schutzwürdigen Interessen an. Es genügt, dass ein schutzwürdiges Interesse an der Versagung besteht (LG Bochum, Beschluss vom 10.11.2004 – 1 AR 16/04, NJW 2005, 999). Ob die Interessen der Betroffenen i.S.d. § 475 Abs. 1 Satz 2 StPO schutzwürdig sind, ist dabei im Wege einer umfassenden Abwägung zwischen dem Informationsinteresse der Antragsteller und den entgegenstehenden Interessen der Betroffenen zu ermitteln. Entscheidend ist dabei, wie hoch das Informationsinteresse der Antragsteller an der begehrten Auskunft zu bewerten und wie stark der Eingriff in die Rechte der Betroffenen durch die Offenlegung der begehrten Informationen im Einzelfall zu gewichten ist. Je geringer der Eingriff in das Recht des Betroffenen, desto geringere Anforderungen sind an das Informationsinteresse der Antragsteller zu stellen; je intensiver und weitergehend die begehrte Auskunft reicht, desto gewichtiger muss das Informationsinteresse sein (vgl. VGH Baden-Württemberg DVBl 2014, 101 m.w.Nw, LG München, Beschluss vom 24.03.2015 – 7 Qs 5/15, ZD 2015, 483).
Ob eine Verletzung schutzwürdiger Interessen vorliegt, ist daher anhand des zu beurteilenden Einzelfalls festzustellen. Diese Abwägung geht hier zugunsten der Betroffenen aus:
Wie der HmbBfDI in dem angefochtenen Bescheid vom 28. Januar 2021 zutreffend ausführt, unterliegen die einzelnen Bestandteile des Bußgeldbescheids vom 30. September 2020 für sich bereits dem Schutz von Betriebs- und Geschäftsgeheimnissen der Betroffenen. Dies betrifft sämtliche in dem Bescheid vom 30. September 2020 enthaltenen Unternehmenskennzahlen (insb. Kennzahlen zur Mitarbeiterstruktur, Umsatzzahlen und sonstigen finanziellen Kennziffern) sowie Inhalte zu Arbeitsabläufen- und –organisation, die überwiegend bereits in der dem angegriffenen Bescheid vom 28. Januar 2021 als Anlage 1 beigefügten Fassung des Bußgeldbescheides geschwärzt worden waren. Insoweit wird ergänzend auf die diesbezüglichen Ausführungen des Bescheids vom 28. Januar 2021 Bezug genommen, denen sich die Kammer anschließt.
bb. Darüber hinaus steht dem Auskunftsinteresse der Antragsteller auch die durch Art. 12 Abs. 1 GG geschützte Berufsfreiheit der Betroffenen entgegen.
Art. 12 Abs. 1 GG gewährt das Recht der freien Berufswahl und -ausübung und ist gemäß Art. 19 Abs. 3 GG auch auf juristische Personen anwendbar, soweit sie - wie hier die Betroffenen - eine Erwerbszwecken dienende Tätigkeit ausüben, die ihrem Wesen und ihrer Art nach in gleicher Weise einer juristischen wie einer natürlichen Person offensteht. In der bestehenden Wirtschaftsordnung umschließt das Freiheitsrecht des Art. 12 Abs. GG das berufsbezogene Verhalten der Unternehmen am Markt nach den Grundsätzen des Wettbewerbs (Vgl. BVerfG, Beschlüsse vom 21. März 2018 - 1BVF113 1 BvF 1/13 - BVerfGE 148, Seite 40 = juris, Rn. 26 und vom 26. Juni 2002 - 1 BvR 558/91 -, BVerfGE 105, Seite 252 = juris, Rn. 41; OVG Münster Beschl. v. 17.5.2021 – 13 B 331/21, BeckRS 2021, 11654 Rn. 11).
Die in dem Bußgeldbescheid vom 30. September 2020 enthaltenen Informationen sind inhaltlich überwiegend geeignet, die Markt- und Wettbewerbssituation mittelbar-faktisch zum wirtschaftlichen Nachteil der Betroffenen zu verändern. Aus dem Bußgeldbescheid geht das konkret der Betroffenen zu 1 vorgeworfene Fehlverhalten der Führungskräfte aus dem C. S. C. in N. hervor. Dabei handelt es – auch aus Laiensphäre – um schwerwiegende Verstöße gegen die BSDG, deren Veröffentlichung geeignet ist, den Ruf von H. als Unternehmen zu schädigen und eine Prangerwirkung zu entfalten. Die Gefahr einer Prangerwirkung für das gesamte Unternehmen besteht dabei insbesondere, weil sich aus dem Bußgeldbescheid erstmals eine vollständige Offenlegung der Firma der Betroffenen zu 2 als weitere Beteiligte des Bußgeldverfahrens ergibt, obwohl sie selbst – wie sich aus dem Inhalt des Bußgeldbescheides ergibt und auch vom HmbBfDI selbst vorgetragen wird – die Verstöße nicht begangen hat. Eine solche Nennung der Betroffenen zu 2 im Zusammenhang mit den vorgeworfenen Datenschutzverstößen birgt erstmals die Gefahr einer erheblichen Rufschädigung für den gesamten Konzern der Betroffenen zu 2 und nicht nur für die in N. ansässige Betroffene zu 1. Dies ist auch geeignet, sich auf den Unternehmenswert insgesamt auszuwirken. Soweit der Inhalt des Bußgeldbescheides veröffentlicht wird, können bisherige Geschäftspartner der Betroffenen die mitgeteilten Informationen zum Anlass nehmen, aus Sorge vor einer eigenen Rufschädigung von einer weiteren Zusammenarbeit mit den Betroffenen Abstand zu nehmen. Potentielle neue Geschäftspartner können durch die mitgeteilten Informationen verschreckt werden und sich vorsorglich für die Inanspruchnahme anderer „unbelasteter“ Geschäftspartner entscheiden. Zudem können den Betroffenen die eigene Tätigkeit dadurch erschwert werden, dass zum einen ihr Ruf im Kreis der Verbraucher in Mitleidenschaft gezogen wird und sich dies auf deren Kaufverhalten auswirken kann, obwohl der Bußgeldbescheid nicht unmittelbar das Verhalten gegenüber den Kunden selbst betrifft. Dafür spricht, dass viele Konsumenten Wert darauf legen, dass Unternehmen bestimmte Wertestandards einhalten, und zwar auch betreffend den Umgang mit ihren eigenen Mitarbeitern. Zum anderen könnte die Veröffentlichung des Bußgeldbescheids auch potentielle Arbeitnehmer von einer Bewerbung bei H. abhalten.
Diese Erwägungen gelten auch unter Berücksichtigung der Art des geltend gemachten Interesses der Antragssteller und der grundsätzlichen Beschränkung der Verwendung der durch Akteneinsicht erlangten personenbezogenen Daten lediglich für die Zwecke, für die Akteneinsicht gewährt wurde, §§ 46, 49b OWIG i.V.m. § 479 Abs. 6 StPO i.V.m. § 32f Abs. 5 S. 2 StPO. Zwar haben die Antragssteller 2 und 3 geltend gemacht, den Bußgeldbescheid vorrangig für die Mandantenberatung nutzen zu wollen. Dies beinhaltet jedoch nicht ausschließbar auch, wesentliche Inhalte des Bescheids, insbesondere im Zusammenhang mit der Herleitung der Haftung der Betroffenen zu 2 für Verstöße der Betroffenen zu 1, im Rahmen eines Kanzlei-Newsletters über die Internetseite einer unbestimmten Anzahl an Personen zugänglich zu machen. Soweit die Antragsteller 1, 3 und 4 den Bußgelbescheid zudem in Publikationen bzw. Fachaufsätzen verarbeiten zu wollen, begehren die Antragssteller die Übermittlung des Bußgeldbescheids – entgegen der anderweitigen Auffassung des HmbBfDI – sehr wohl zum Zweck der (wissenschaftlichen) Veröffentlichung. Diese Veröffentlichungsform ist auch geeignet, die oben beschriebenen Verletzungen der Rechte der Betroffenen zu intensivieren. Auch hier erlangt eine unbekannte Anzahl Dritter Kenntnis über den Inhalt des Bußgeldbescheids. Zudem ist zu erwarten, dass die Publikationen in anderen Printmedien zitiert werden oder sonst wie weiterverbreitet werden. Hierbei ist auch zu berücksichtigen, dass die Übermittlungen zu wissenschaftlichen oder beruflichen Zwecken auch keine konkreten Vorgaben beinhalten, wie mit dem Bußgeldbescheid umzugehen ist. Auch eine Veröffentlichung zu wissenschaftlichen Zwecken könnte demnach freizugänglich im Internet erfolgen. Daneben ist zu erwarten, dass der Bußgeldbescheid oder dessen Inhalt auf anderen Medien – und wahrscheinlich auch unabhängig von einer etwaigen Publikation – öffentlich verbreitet werden. Dafür spricht auch, dass – so von den Betroffenen vorgetragen und anhand eines Screenshots belegt – der Antragssteller 1, S. H. auf seinem Twitter-Account bereits seine bisherige Kommunikation mit dem HmbBfDI betreffend den Bußgeldbescheid gegen die Betroffenen im Internet veröffentlicht hat (vgl. Tweet des Twitter Accounts @ s. h. vom 24. Februar 2021; https:// t..com/ s._ h./status/ ). In der Gesamtschau ist daher bei der Herausgabe des Bußgeldbescheids von einem Eingriff bzw. einer Intensivierung des Eingriffs (siehe nachfolgend, cc) in die Rechte der Betroffenen auszugehen.
cc. Das schutzwürdige Interesse der Betroffenen entfällt auch nicht dadurch, dass bereits Informationen über den Bußgeldbescheid in der Pressemitteilung vom 01. Oktober 2020 veröffentlicht wurden und die Vorgänge sowohl vor als auch nach Veröffentlichung der Pressemitteilung mehrfach Gegenstand von Presseberichterstattungen in Deutschland waren.
[...]
Insgesamt ist daher von einem Überwiegen der schutzwürdigen Interessen der Betroffenen aus Art. 12 GG auszugehen.
3. Daraus folgt, dass weite Teile des Bußgeldbescheids von der Akteneinsicht auszunehmen wären. Durch die Herausgabe eines geschwärzten Bußgeldbescheids in der bislang vom HmbBfDI vorgesehenen Form würde den schutzwürdigen Interessen der Betroffenen nicht hinreichend Rechnung getragen werden. Eine die Interessen der betroffenen wahrende Schwärzung des Bußgeldbescheides vom 30. September 2020 würde dazu führen, dass der Rest des Bußgeldbescheides überwiegend aus abstrakten Rechtssätzen, Normenketten und allgemeinen Ausführungen bestünde, die einer Nichtübermittlung des Bußgeldbescheides gleichkommen würden.
Die Landesbeauftragte für Datenschutz und Informationsfreiheit (LfDI) Bremen hat ein Bußgeld von rund 1,9 Millionen Euro nach Art. 83 DSGVO gegen eine Wohnungsbaugesellschaft wegen diskriminierender Datenerhebung und Datenverarbeitung verhängt.
Die Pressemitteilung der LfDI Bremen: LfDI verhängt gegen die BREBAU GmbH Geldbuße nach DSGVO
Am heutigen Tage hat die Landesbeauftragte für Datenschutz und Informationsfreiheit (LfDI) als datenschutzrechtliche Aufsichtsbehörde die BREBAU GmbH mit einer Geldbuße nach Artikel 83 Datenschutzgrundverordnung (DSGVO) belegt.
Die BREBAU GmbH hat mehr als 9.500 Daten über Mietinteressent:innen verarbeitet, ohne dass es hierfür eine Rechtsgrundlage gab. Beispielsweise Informationen über Haarfrisuren, den Körpergeruch und das persönliche Auftreten sind für den Abschluss von Mietverhältnissen nicht erforderlich.
Bei mehr als der Hälfte der Fälle handelte es sich darüber hinaus um Daten, die nach der DSGVO besonders geschützt sind. Rechtswidrig verarbeitet wurden auch Informationen über die Hautfarbe, die ethnische Herkunft, die Religionszugehörigkeit, die sexuelle Orientierung und über den Gesundheitszustand. Auch hat die BREBAU GmbH Anträge Betroffener auf Transparenz über die Verarbeitung ihrer Daten bewusst konterkariert.
Die nach Artikel 83 DSGVO verhängte Geldbuße beläuft sich auf rund 1,9 Millionen Euro. Der außerordentlichen Tiefe der Verletzung des Grundrechts auf Datenschutz wäre eine deutlich höhere Geldbuße angemessen gewesen. Weil die BREBAU GmbH im datenschutzrechtlichen Aufsichtsverfahren umfassend kooperierte, sich um Schadensminderung, eigene Aufklärung des Sachverhalts und darum bemühte, dass entsprechende Verstöße sich nicht wiederholen, konnte die Höhe der Geldbuße erheblich reduziert werden.
Anlässlich dieses Aufsichtsverfahrens äußerte die Landesbeauftragte für Datenschutz und Informationsfreiheit, Dr. Imke Sommer: "Im Zusammenhang mit der öffentlichen Diskussion über den Fall, der diesem datenschutzrechtlichen Aufsichtsverfahren zugrunde liegt, bin ich häufig gefragt worden, ob die DSGVO Diskriminierungen verbietet. Die Antwort auf diese Frage ist kompliziert, weil die DSGVO in spezifischer Weise auf Sachverhalte schaut. Nach der DSGVO ist es nur in wenigen Ausnahmefällen überhaupt erlaubt, Daten über Hautfarbe, ethnische Herkunft, Religionszugehörigkeit, sexuelle Orientierung und über den Gesundheitszustand zu verarbeiten. Damit sorgt die DSGVO dafür, dass diese besonders geschützten Daten in den allermeisten Fällen gar nicht erst erhoben und gespeichert werden dürfen. Nicht erhobene Daten können nicht missbraucht werden. In diesem Sinne schützt die DSGVO auch vor Diskriminierungen.
B. Die streitgegenständlichen Verfügungen im Bescheid vom 3. November 2011 in Gestalt des Widerspruchsbescheids vom 16. Dezember 2011 sind rechtmäßig und verletzen die Klägerin nicht in ihren Rechten, § 113 Abs. 1 Satz 1 VwGO.
I. Dies gilt zunächst für die Anordnung der Deaktivierung der Fanpage der Klägerin.
Maßgeblich für die Beurteilung der Rechtmäßigkeit der Anordnung der Deaktivierung der Fanpage der Klägerin ist die Sach- und Rechtslage im Zeitpunkt der letzten Verwaltungsentscheidung, hier des Widerspruchsbescheids vom 16. Dezember 2011. Nachträgliche Änderungen sind nicht zu berücksichtigen (vgl. BVerwG, Urteil vom 11. September 2019 – 6 C 15.18 –, Rn. 16, juris). Dies ergibt sich für den Senat bindend aus der vorliegenden Revisionsentscheidung des Bundesverwaltungsgerichts (vgl. § 144 Abs. 6 VwGO).
Lediglich ergänzend wird darauf hingewiesen, dass dem auch die von der Klägerin angeführte Rechtsprechung des Bundesverwaltungsgerichts zu Dauerverwaltungsakten, nach der für den Erfolg einer gegen einen Dauerverwaltungsakt gerichteten Anfechtungsklage regelmäßig die Sach- und Rechtslage zum Zeitpunkt der letzten tatsachengerichtlichen Verhandlung maßgeblich ist (stRspr BVerwG, vgl. Urteil vom 19. September 2013 – 3 C 15.12 – Rn. 9, juris; Beschluss vom 5. Januar 2012 – 8 B 62.11 – Rn. 13, juris), nicht entgegensteht. Die streitgegenständliche Anordnung der Deaktivierung der Fanpage ist bei einer an §§ 133, 157 BGB entsprechend orientierten Auslegung des Regelungsinhalts nicht als Dauerverwaltungsakt zu bewerten. Es muss auch davon ausgegangen werden, dass dies der Auffassung des Bundesverwaltungsgerichts entspricht, da es vorliegend den Zeitpunkt der letzten Behördenentscheidung für maßgeblich erachtet hat, ohne sich zu seiner eigenen Rechtsprechung zu Dauerverwaltungsakten zu verhalten.
1. Rechtsgrundlage der streitgegenständlichen Anordnung des Beklagten ist § 38 Abs. 5 Satz 2 BDSG i. d. F. der Bekanntmachung vom 14. Januar 2003 (BGBl. I S. 66), zuletzt geändert durch Art. 1 des Gesetzes zur Änderung datenschutzrechtlicher Vorschriften vom 14. August 2009 (BGBl. I S. 2814; im Folgenden BDSG a. F.). Gemäß § 38 Abs. 5 Satz 2 BDSG a. F. kann die Aufsichtsbehörde zur Gewährleistung der Einhaltung des Bundesdatenschutzgesetzes und anderer Vorschriften über den Datenschutz bei schwerwiegenden Verstößen bei der Erhebung, Verarbeitung oder Nutzung personenbezogener Daten oder schwerwiegenden technischen oder organisatorischen Mängeln, insbesondere solchen, die mit einer besonderen Gefährdung des Persönlichkeitsrechts verbunden sind, die Erhebung, Verarbeitung oder Nutzung oder den Einsatz einzelner Verfahren untersagen, wenn die Verstöße oder Mängel entgegen der Anordnung nach § 38 Abs. 5 Satz 1 BDSG a. F. und trotz der Verhängung eines Zwangsgeldes nicht in angemessener Zeit beseitigt werden.
Die an die Klägerin gerichtete Anordnung, ihre Fanpage zu deaktivieren, ist gemäß der den Senat bindenden Revisionsentscheidung des Bundesverwaltungsgerichts nach dem Eingriffsgewicht als Untersagung des Einsatzes eines Verfahrens gemäß § 38 Abs. 5 Satz 2 BDSG a. F. zu werten. Dass der Beklagte in der Überschrift des Bescheids vom 3. November 2011 in Gestalt des Widerspruchsbescheids vom 16. Dezember 2011 auf § 38 Abs. 5 Satz 1 BDSG a. F. abhebt, ist – wie das Bundesverwaltungsgericht ebenfalls mit Bindungswirkung für den Senat festgestellt hat – unschädlich (BVerwG, Urteil vom 11. September 2019 – 6 C 15.18 –, Rn. 17, juris).
§ 38 Abs. 5 Satz 2 BDSG a. F. ist mit Blick auf eine Inanspruchnahme der Klägerin auch sonst anwendbar (vgl. zur Anwendbarkeit des Dritten Abschnitts des Bundesdatenschutzgesetzes a. F. § 27 Abs. 1 Nr. 1 BDSG a. F.). Die Klägerin ist als nichtöffentliche Stelle im Sinne des § 1 Abs. 2 Nr. 3, § 2 Abs. 4 BDSG a. F., die keine Aufgaben der öffentlichen Verwaltung wahrnimmt (vgl. § 2 Abs. 1 bis 3 BDSG a. F.), zu qualifizieren. Es handelt sich um eine privatrechtlich organisierte gemeinnützige Gesellschaft.
[...]
3. Die Anordnung zur Deaktivierung der Fanpage der Klägerin ist materiell-rechtlich nicht zu beanstanden. Im Gebrauch der Registrierungsdaten und der übrigen vorhandenen personenbezogenen Daten von im Facebook-Netzwerk registrierten und angemeldeten Personen sowie in der unzureichenden Bereitstellung von Informationen über die Erhebung und Verwendung personenbezogener Daten für diese Personengruppe sind im hier maßgeblichen Zeitpunkt im Dezember 2011 Verstöße bei der Erhebung, Verarbeitung oder Nutzung personenbezogener Daten zu erkennen (dazu unter a). Die Klägerin kann auch als Adressatin einer auf § 38 Abs. 5 Satz 2 BDSG a. F. beruhenden Verfügung herangezogen werden, da sie für den Gebrauch der genannten Daten zur Erstellung der auf ihre Fanpage bezogenen Insights-Statistiken durch Facebook sowie für die unzureichende Bereitstellung von Informationen (mit)verantwortlich ist (dazu unter b). Ferner wiegen die Verstöße schwer (dazu unter c). Vor diesem Hintergrund kann die rechtliche Bewertung einzelner technischer Abläufe dahinstehen (dazu unter d). Der materiell-rechtlichen Rechtmäßigkeit der hier streitgegenständlichen Verfügung steht auch nicht die in § 38 Abs. 5 Satz 1 und Satz 2 BDSG a. F. vorgegebenen "Stufenfolge" entgegen (dazu unter e).
a) Verstöße bei der Erhebung, Verarbeitung oder Nutzung personenbezogener Daten im Sinne des § 38 Abs. 5 Satz 2 TMG a. F. ergeben sich hier aus einem Widerspruch verschiedener durch den Besuch der Fanpage der Klägerin angestoßener und durch die Beigeladene gesteuerter Vorgänge zu den Vorgaben der § 12 und § 13 TMG in der Fassung des Art. 1 des Gesetzes zur Vereinheitlichung von Vorschriften über bestimmte elektronische Informations- und Kommunikationsdienste vom 26. Februar 2007 (BGBl. I S. 179), für den hier maßgeblichen Zeitraum zuletzt geändert durch das Erste Gesetz zur Änderung des Telemediengesetzes vom 31. Mai 2010 (BGBl. I S. 692; im Folgenden TMG a. F.). Gemäß § 12 Abs. 1 und Abs. 2 TMG a. F. darf ein Diensteanbieter personenbezogene Daten zur Bereitstellung von Telemedien nur erheben und verwenden, soweit das Telemediengesetz oder eine andere Rechtsvorschrift, die sich ausdrücklich auf Telemedien bezieht, es erlaubt oder der Nutzer eingewilligt hat. Der Diensteanbieter darf für die Bereitstellung von Telemedien erhobene personenbezogene Daten für andere Zwecke nur verwenden, soweit dieses Gesetz oder eine andere Rechtsvorschrift, die sich ausdrücklich auf Telemedien bezieht, es erlaubt oder der Nutzer eingewilligt hat. Nach § 13 Abs. 1 Satz 1 TMG a. F. hat der Diensteanbieter den Nutzer zu Beginn des Nutzungsvorgangs über Art, Umfang und Zwecke der Erhebung und Verwendung personenbezogener Daten sowie über die Verarbeitung seiner Daten in allgemein verständlicher Form zu unterrichten, sofern eine solche Unterrichtung nicht bereits erfolgt ist.
aa) Die durch den Besuch der Fanpage der Klägerin im Facebook-Netzwerk angestoßenen Vorgänge unterfallen dem Anwendungsbereich des gegenüber dem Bundesdatenschutzgesetz a. F. spezielleren Telemediengesetz a. F. Das soziale Netzwerk Facebook ist Telemedium im Sinne des § 1 Abs. 1 Satz 1 TMG a. F. (vgl. i. E. Ricke, in: Spindler/Schuster, Recht der elektronischen Medien, 4. Aufl. 2019, § 1 TMG, Rn. 12; Altenhain, in: MüKo zum StGB, 3. Auflage 2019, § 1 TMG, Rn. 26). Gemäß § 1 Abs. 1 Satz 1 TMG a. F. sind unter Telemedien alle elektronischen Informations- und Kommunikationsdienste ("IuK-Dienst"), die nicht Telekommunikation im engeren Sinne oder Rundfunk sind, zu verstehen. Dazu gehören beispielsweise Online-Angebote von Waren oder Internet-Suchmaschinen (vgl. BT-Drucks. 16/3078, S. 13). Das soziale Netzwerk Facebook ermöglicht durch seine Strukturen die Bereitstellung von Informationen sowie Diskussion über Sachthemen, d. h. das Verbreiten derartiger Themen und den anschließenden Dialog hierüber. Es ist damit selbst als sogenannter elektronischer "IuK-Dienst" anzusehen. Gleiches gilt für die Fanpage der Klägerin innerhalb des Facebook-Netzwerkes.
Die Beigeladene und die damalige Facebook Inc. sind auch Diensteanbieter im Sinne des § 12 Abs. 1 und Abs. 2 TMG a. F. Diensteanbieter ist gemäß § 2 Satz 1 Nr. 1 HS 1 TMG a. F. jede natürliche oder juristische Person, die eigene oder fremde Telemedien zur Nutzung bereithält oder den Zugang zur Nutzung vermittelt. Da sowohl die Beigeladene als auch ihr Mutterkonzern das Telemedium, d. h. das soziale Netzwerk bzw. die Fanpage zur Verfügung stellen und allen Interessierten Zugang hierzu vermitteln, liegen die Voraussetzungen des § 2 Satz 1 Nr. 1 HS 1 TMG a. F. vor. Die Klägerin ist ebenfalls Diensteanbieter in diesem Sinne, da sie über die Errichtung der Fanpage einen (eigenen oder fremden) elektronischen Informations- und Kommunikationsdienst, d. h. ein Telemedium im Sinne des § 1 Abs. 1 Satz 1 TMG a. F., bereitstellt bzw. jedenfalls Zugang zur Nutzung vermittelt.
Die Vorgänge des Erhebens, Verarbeitens und Nutzens personenbezogener Daten im Sinne des § 38 Abs. 5 i.V.m. § 3 Abs. 3 bis 5 BDSG a.F. entsprechen denen des Erhebens und Verwendens im Sinne des Abschnitt 4 im Telemediengesetz a.F.; der Begriff der Verwendung ist als Sammelbezeichnung für das Verarbeiten und Nutzen personenbezogener Daten i.S.d. § 3 Abs. 4 und 5 BDSG auszulegen (Bizer/Hornung, in: Roßnagel, Beck´scher Kommentar zum Recht der Telemediendienste, 1. Auflage 2013, § 12 TMG, Rn. 53 m.w.N.).
Der Anwendbarkeit des Telemediengesetzes steht im vorliegenden Fall nicht entgegen, dass die Beigeladene mit Sitz in Irland nach eigenem Bekunden die tatsächliche Verantwortung für die hier maßgeblichen Datenerhebungs- und -verwendungsvorgänge trägt. Die §§ 12 ff. TMG a. F. werden nicht durch eine vorrangige Anwendbarkeit irisches Datenschutzrecht – ggf. in Kombination mit einer vorrangigen Prüfungskompetenz der irischen Datenschutzbehörde – verdrängt. Insoweit wird zur Begründung auf die Revisionsentscheidung des Bundesverwaltungsgerichts und die Entscheidung des Gerichtshofs der Europäischen Union im vorliegenden Verfahren verwiesen (BVerwG, Urteil vom 11. September 2019 – 6 C 15.18 –, Rn. 24 ff., EuGH, Urteil vom 5. Juni 2018 – C-210/16 –, Rn. 50 ff., juris).
bb) Für die Feststellung der maßgeblichen Datenerhebungs- und -verwendungsvorgänge bis Ende 2011 geht der Senat von folgenden, zu seiner Überzeugung (§ 108 Abs. 1 VwGO) feststehenden Sachverhalten aus:
(1) Bei jedem Aufruf der Fanpage der Klägerin wird die Internetadresse der aufgerufenen Seite sowie die IP-Adresse des jeweiligen Internetnutzers an Facebook übertragen. IP-Adressen sind Ziffernfolgen, die dem mit dem Internet verbundenen Computern zugewiesen werden, um deren Kommunikation im Internet zu ermöglichen. Beim Abruf einer Website wird die IP-Adresse des abrufenden Computers an den Server übermittelt, auf dem die abgerufene Website gespeichert ist. Dies ist erforderlich, um die abgerufenen Daten an den richtigen Empfänger übertragen zu können (vgl. Ergebnisbericht der Arbeitsgruppe des AK I "Staatsrecht und Verwaltung" zum Datenschutz in sozialen Netzwerken vom 4. April 2012, S. 7, Bl. 223 GA; Datenschutzrechtliche Bewertung der Reichweitenanalyse durch Facebook, 11. August 2011, S. 15, Bl. 128 GA). Nach Angaben der Beigeladenen werden die empfangenen IP-Adressen nicht einzeln – insbesondere nicht in Profilen zu den Internetnutzern – gespeichert.
(2) Ferner ist der Senat davon überzeugt, dass Facebook bei Besuch der Fanpage den Inhalt der c_user-Cookies ausliest, die zuvor im Browser von im Netzwerk angemeldeten Facebook-Mitgliedern gesetzt worden sind. Cookies sind eindeutig zuzuordnende alphanumerische Kennungen, die im Internetbrowser auf dem Endgerät des Nutzers gespeichert werden. Facebook-Mitglieder haben sich im Facebook-Netzwerk registriert und im Zuge der Registrierung ihren Vor- und Nachnamen, ihr Geburtsdatum, ihr Geschlecht und ihre E-Mail-Adresse angegeben. Der c_user-Cookie enthält eine User-ID des Facebook-Mitglieds. Er wird von Facebook gesetzt, wenn sich das Facebook-Mitglied erstmals registriert oder wenn ein registriertes Facebook-Mitglied sich erneut im Netzwerk anmeldet (bzw. "einloggt"). Die Gültigkeit dieses Cookies hängt davon ab, ob das Facebook-Mitglied in den Kontoeinstellungen die Option gewählt hat, im Netzwerk (auch bei Verlassen) angemeldet zu bleiben. Ist dies der Fall, verliert der c_user-Cookie seine Gültigkeit erst, wenn das Facebook-Mitglied den Facebook-Webserver 30 Tage nicht mehr aufruft. Ansonsten wird der c_user-Cookie mit dem Schließen des Browsers gelöscht (vgl. Ergebnisbericht der Arbeitsgruppe des AK I "Staatsrecht und Verwaltung" zum Datenschutz in sozialen Netzwerken vom 4. April 2012, S. 8, Bl. 224 GA).
Der Inhalt des c_user-Cookie wird innerhalb seines Gültigkeitszeitraums bei jeder Kommunikation mit Facebook an Facebook übermittelt und gibt Facebook die Möglichkeit einer Verknüpfung des Seitenaufrufs mit dem registrierten Mitglied. Diese Verknüpfung ermöglicht unter anderem die personalisierte Darstellung von Fanpage-Inhalten. Über die Personalisierung erfährt das Facebook-Mitglied beispielsweise, welche seiner Facebook-Freunde die Fanpage empfohlen oder kommentiert haben (vgl. Ergebnisbericht der Arbeitsgruppe des AK I "Staatsrecht und Verwaltung" zum Datenschutz in sozialen Netzwerken vom 4. April 2012, S. 3, 15, Bl. 219, 231 GA).
Die über den c_user-Cookie ermöglichte Verknüpfung von Fanpage-Aufruf und Facebook-Mitglied speichert Facebook in den über das Mitglied angelegten Profilen, die wiederum zu Werbezwecken genutzt werden. Diese Überzeugung hat der Senat aufgrund der durchgeführten mündlichen Verhandlung gewonnen. In dieser hat die Beigeladene auf entsprechende Frage des Gerichts eingeräumt, es "ist anzunehmen", dass der Fanpage-Aufruf in den Profilen der Mitglieder gespeichert wird. Bereits zu Beginn dieses Verfahrens war zwischen der Beigeladenen und dem Beklagten unstreitig, dass Facebook "bis zu einem bestimmten Grad" Profile seiner Mitglieder anlegt und diese zu Werbezwecken nutzt. Ferner deuten die Datenverwendungsrichtlinien 2011 von Facebook die Durchführung entsprechender Vorgänge an, indem sie darauf hinweisen, dass Facebook jedes Mal, wenn das Mitglied mit Facebook interagiert, beispielsweise eine bestimmte Seite aufruft, Daten erhält (vgl. Datenverwendungsrichtlinien 2011, Abschnitt I, Überschrift Informationen, die wir über dich erhalten, S. 1) und dass Werbeanzeigen bei den Personen eingeblendet werden, welche die vom Werbetreibenden ausgewählten Kriterien (beispielsweise "Kinobesucher") erfüllen (vgl. Datenverwendungsrichtlinien 2011, Abschnitt IV, Überschrift: Personalisierte Werbeanzeigen, S. 4). Letzteres ist nur dann möglich, wenn Facebook über die Registrierungsdaten hinaus Informationen zu den Personen, beispielsweise zu bestimmten Interessen und Vorlieben, speichert.
(3) Facebook unterhält außerdem den Dienst "Insights". Dieser beinhaltet die Erstellung von Statistiken über die Nutzung von Fanpages (auch als Seitenstatistik bezeichnet). Die Seitenstatistik umfasst unter anderem Angaben zur Anzahl der Seitenaufrufe, zur Verweildauer der Besucher, sowie zu deren Alter, Geschlecht, geographischer Herkunft und Sprache und zur Nutzung der einzelnen Funktionalitäten der Fanpage (vgl. Ergebnisbericht der Arbeitsgruppe des AK I "Staatsrecht und Verwaltung" zum Datenschutz in sozialen Netzwerken vom 4. April 2012, S. 9, Bl. 225 GA; Datenschutzrechtliche Bewertung der Reichweitenanalyse durch Facebook, 11. August 2011, S. 12, Bl. 126 GA). Die Erstellung dieser Statistiken ist Facebook insbesondere aufgrund des c_user-Cookies möglich, da mit diesem der Aufruf einer Fanpage mit den Facebook-Mitgliedern und den zu diesen bereits gewonnenen Informationen verknüpft werden kann. Nach Angaben der Beigeladenen fließt der Aufruf einer Fanpage durch ein Nicht-Facebook-Mitglied ausschließlich in die Gesamtzahl der Aufrufe der Fanpage im Rahmen der Insights-Statistik ein. Weitere Erkenntnisse über Nicht-Mitglieder werden nach Angabe der Beigeladenen nicht in Insights verarbeitet.
Fanpage-Betreiber erhalten über Insights die Seitenstatistiken in aggregierter und anonymisierter Form, ohne dass es dazu der Erteilung eines entsprechenden Auftrags an Facebook bedürfte. Die Klägerin kann ebenso wie andere Fanpage-Betreiber den Dienst Insights auch nicht an- oder abwählen. Sie kann nicht steuern, welche Angaben in der Statistik enthalten sind. Ferner haben Fanpagebetreiber auf die technische Konfiguration der Fanpage keinen Einfluss, sie können die Fanpages "lediglich" mit Inhalt füllen.
Die Erstellung von Seitenstatistiken dient dem Zweck, den Betrieb einer Fanpage auf die Nutzer anzupassen, d. h. die Fanpage attraktiver gestalten zu können. Gleichzeitig sollen diese Facebook ermöglichen, den Werbewert des Netzwerkes zu erhöhen.
Das KG Berlin hat dem EuGH Fragen zu Art. 83 Abs. 4-6 DSGVO und dem Verhältnis zu § 30 OWiG zur Entscheidung vorgelegt. Insbesondere geht es um die Streitfrage, ob Bußgeldverfahren unmittelbar gegen Unternehmen geführt werden können.
Die Vorlagefragen:
Dem Gerichtshof der Europäischen Union werden zur Auslegung von Art. 83 der Verordnung (EU) 2016/679 des Europäischen Parlaments und des Rates vom 27. April 2016 zum Schutz natürlicher Personen beider Verarbeitung personenbezogener Daten, zum freien Datenverkehr und zur Aufhebung der RL 95/46/EG (Datenschutz-Grundverordnung) folgende Fragen zur Vorabentscheidung vorgelegt:
1. Ist Art. 83 Abs. 4-6 DS-GVO dahin auszulegen, dass es den Art. 101 und 102 AEUV zugeordneten funktionalen Unternehmensbegriff und das Funktionsträgerprinzip in das innerstaatliche Recht mit der Folge inkorporiert, dass unter Erweiterung des § 30 OWiG zugrundeliegenden Rechtsträgerprinzips ein Bußgeldverfahren unmittelbar gegen ein Unternehmen geführt werden kann und die Bebußung nicht der Feststellung einer durch eine natürliche und identifizierte Person, gegebenenfalls volldeliktisch, begangenen Ordnungswidrigkeit bedarf ?
2. Wenn die Frage zu 1. bejaht werden sollte ist Art. 83 Abs.4 - 6 DS-GVO dahin auszulegen, dass das Unternehmen den durch einen Mitarbeiter vermittelten Verstoß schuldhaft begangen haben muss (vgl. Art. 23 der Verordnung (EG) Nr. 1/2003 des Rates vom 16. Dezember 2002 zur Durchführung der in den Art. 81 und 82 des Vertrags niedergelegten Wettbwerbsregeln), oder reicht für eine Bebußung des Unternehmens im Grundsatz bereits ein ihm zuzuordnender objektiver Pflichtenverstoß aus („strict liability") ?
Der Hamburgische Beauftragte für Datenschutz und Informationsfreiheit der Freien und Hansestadt Hamburg (HmbBfDI) hat ein Bußgeld in Höhe von 901.388,84 Euro gegen Vattenfall wegen Verstößen gegen die datenschutzrechtlichen Transparenzpflichten aus Art. 12 und Art. 13 DSGVO verhängt.
Die Pressemitteilung des HmbBfDI:
Bußgeld gegen Vattenfall Europe Sales GmbH verhängt
Die Vattenfall Europe Sales GmbH (Vattenfall) hat zwischen August 2018 und Dezember 2019 bei Vertragsanfragen für Sonderverträge, die mit besonderen Bonuszahlungen verbunden waren, routinemäßig überprüft, ob die Kundinnen und Kunden ein „wechselauffälliges Verhalten“ zeigten. Diese Überprüfung sollte verhindern, dass die Kundinnen und Kunden solche Bonus-Verträge nicht so regelmäßig abschließen, dass sich dieses Angebot zur Neukundenwerbung für das Unternehmen nicht mehr rentiert. Um dies zu überprüfen, nutzte Vattenfall Rechnungen aus früheren Vertragsbeziehungen mit diesen Kundinnen und Kunden, die nach steuer- und handelsrechtlichen Vorgaben ohnehin für bis zu zehn Jahre aufbewahrt werden müssen. Für die Kundinnen und Kunden war nicht erkennbar, dass ein solcher Datenabgleich stattfand.
Der Hamburgische Beauftragte für Datenschutz und Informationsfreiheit (HmbBfDI) kam nach einer Prüfung des Vorgangs zu dem Ergebnis, dass Vattenfall durch dieses Vorgehen gegen die datenschutzrechtlichen Transparenzpflichten (Artt. 12, 13 DSGVO) verstieß, da die Kundinnen und Kunden über den Datenabgleich nicht ausreichend informiert wurden. Betroffen waren insgesamt rund 500.000 Personen. Der HmbBfDI hat daraufhin gegen Vattenfall ein Bußgeld von 901.388,84 Euro verhängt. Die festgestellte Rechtswidrigkeit bezieht sich nicht auf den Datenabgleich an sich, sondern ist auf die nicht ausreichend erfüllten Transparenzpflichten beschränkt. Der Bescheid ist rechtskräftig.
Das verhängte Bußgeld berührt nicht die weitergehende Frage, ob ein solcher Abgleich überhaupt zulässig ist. Dies ist in der DSGVO nicht ausdrücklich geregelt, es existieren insoweit keine eindeutigen rechtlichen Vorgaben. Der HmbBfDI hat mit Vattenfall ein Verfahren abgestimmt, das nach seiner Auffassung sowohl die Datenschutzrechte von Kundinnen und Kunden als auch die wirtschaftlichen Belange des Unternehmens berücksichtigt. Sowohl erstmalig an einem Vertragsschluss mit Vattenfall Interessierte als auch Bestandskundinnen und -kunden werden transparent und verständlich über den Datenabgleich und dessen Zweck informiert. Verbraucherinnen und Verbraucher können künftig informiert entscheiden, ob sie einen rabattierten Bonusvertrag abschließen möchten, der die interne Überprüfung ihres Status als Neukunde beinhaltet oder einen nicht rabattierten Vertrag ohne einen solchen Abgleich.
Dazu Ulrich Kühn, der amtierende HmbBfDI: „Wir halten das nun praktizierte Verfahren für einen angemessenen Ausgleich aller betroffenen Interessen. Die in der Vergangenheit erfolgten Abgleiche wurden sanktioniert, weil Transparenzpflichten verletzt wurden, indem die Kundinnen und Kunden unter Missachtung der Vorgaben von Artt. 12, 13 DSGVO über den praktizierten Datenabgleich im Unklaren gelassen wurden. Da dies rund 500.000 Fälle betraf, war die Verhängung eines Bußgelds angezeigt. Vattenfall hat in dem Verfahren umfassend mit dem HmbBfDI kooperiert und den intransparenten Datenabgleich unmittelbar nach dem ersten Tätigwerden des HmbBfDI gestoppt. Deswegen war das Bußgeld deutlich zu reduzieren. Die dennoch verhängte Höhe sollte allen Unternehmen eine Warnung sein, die gesetzlichen Transparenzpflichten nicht zu vernachlässigen. Insbesondere bei einer Vielzahl von Betroffenen sind wie in dem vorliegenden Fall hohe Bußgelder klar angezeigt.“