Skip to content

OVG Schleswig-Holstein: Bei YouTube veröffentlichte Dashcam-Aufnahmen müssen vom Uploader verpixelt werden so dass Personen und KfZ-Kennzeichen nicht zu erkennen sind

OVG Schleswig-Holstein
Urteil vom 07.08.2024
8 A 159/20


Das OVG Schleswig-Holstein hat entschieden, dass bei YouTube veröffentlichte Dashcam-Aufnahmen vom Uploader verpixelt werden müssen, so dass Personen und KfZ-Kennzeichen nicht zu erkennen sind.

Aus den Entscheidungsgründen:
Rechtsgrundlage für die Anordnung der Beklagten ist Art. 58 Abs. 2 Buchst. d DS-GVO in Verbindung mit Art. 12, 13 Abs. 1 Buchst. d DS-GVO. Gemäß Art. 58 Abs. 2 Buchst. d DS-GVO verfügt jede Aufsichtsbehörde – und damit auch die Beklagte – über sämtliche Abhilfebefugnisse, die es ihr gestatten, den Verantwortlichen oder den Auftragsverarbeiter anzuweisen, Verarbeitungsvorgänge gegebenenfalls auf bestimmte Weise und innerhalb eines bestimmten Zeitraums in Einklang mit dieser Verordnung zu bringen.

Nach Art. 12 Abs. 1 Satz 1 und 2 DS-GVO trifft der Verantwortliche geeignete Maßnahmen, um der betroffenen Person alle Informationen gemäß den Artikeln 13 und 14 und alle Mitteilungen gemäß den Artikeln 15 bis 22 und Artikel 34, die sich auf die Verarbeitung beziehen, in präziser, transparenter, verständlicher und leicht zugänglicher Form in einer klaren und einfachen Sprache zu übermitteln. Die Übermittlung der Informationen erfolgt schriftlich oder in anderer Form, gegebenenfalls auch elektronisch.

Entgegen der Ansicht des Klägers folgen die ihn treffenden Informationspflichten bei der Erstellung von Videoaufnahmen aus Art. 13 DS-GVO und nicht aus Art. 14 DS-GVO. Insoweit besteht zwischen Art. 13 und 14 DS-GVO im Hinblick auf den Zeitpunkt der Informationspflichten ein wesentlicher Unterschied. Bei Art. 13 DS-GVO sind die nach der Vorschrift erforderlichen Informationen der betroffenen Person zum Zeitpunkt der Erhebung dieser Daten zu erteilen, während bei Art. 14 DS-GVO die Informationen erst innerhalb einer angemessenen Frist nach Erlangung der personenbezogenen Daten, längstens jedoch innerhalb eines Monats erteilt werden müssen (Art. 14 Abs. 3 DS-GVO).

Art. 13 DS-GVO betrifft die Datenerhebung bei der betroffenen Person, während Art. 14 DS-GVO greift, wenn die Daten nicht bei der betroffenen Person erhoben wurden. Unter welchen Voraussetzungen von einer Datenerhebung bei der betroffenen Person auszugehen ist, ist Art. 13 und 14 DS-GVO nicht zu entnehmen.

Die Abgrenzung der Datenerhebung nach Art. 13 DS-GVO von derjenigen nach Art. 14 DS-GVO hat nach Auffassung des erkennenden Einzelrichters nach objektiven Kriterien zu erfolgen, insbesondere anhand des Ortes der Datenerhebung (vgl. Schmidt-Wudy in: BeckOK Datenschutzrecht, 48. Ed., Stand: 1. Mai 2024, Art. 14 Rn. 30) oder der Mitwirkung der betroffenen Person. Einer Abgrenzung nach subjektiven Kriterien, insbesondere der Kenntnis der betroffenen Person von der Datenerhebung (vgl. dazu Franck in: Gola/Heckmann, DS-GVO - BDSG, 3. Aufl. 2022, Art. 13 Rn. 4) stehen einerseits Abgrenzungsschwierigkeiten entgegen und der Umstand, dass der Verantwortliche anderenfalls durch offene oder verdeckte Datenerhebung wählen könnte, ob Art. 13 oder 14 DS-GVO eingreift. Letzteres wiederum hätte zur Folge, dass sich der Verantwortliche den Informationspflichten letztendlich vollständig durch verdeckte Datenerhebungen entziehen könnte, weil die betroffenen Personen dem Verarbeitenden oftmals unbekannt sind mit der Folge, dass Informationen im Nachhinein aus tatsächlichen Gründen nicht mehr erteilt werden können und der Ausschlusstatbestand des Art. 14 Abs. 5 Buchst. b DS-GVO griffe (Bäcker in: Kühling/Buchner, DS-GVO BDSG, 4. Aufl. 2024, Art. 13 Rn. 13 f.). Dies ist mit dem in Erwägungsgrund 6 DS-GVO normierten Ziel der Gewährleistung eines hohen Datenschutzniveaus trotz Zunahme des Datenaustausches nicht zu vereinbaren.

Vor diesem Hintergrund sind Videoaufzeichnungen unabhängig von der Frage, ob es sich um offene (mit Hinweisschild oder ähnlichem Hinweis) oder verdeckte Aufzeichnungen handelt, als Datenerhebung bei der betroffenen Person nach Art. 13 DS-GVO anzusehen (vgl. Bäcker in: Kühling/Buchner, DS-GVO BDSG, 4. Aufl. 2024, Art. 13 Rn. 15; a. A. Paal/Hennemann in: Paal/Pauly, DS-GVO BDSG, 3. Aufl. 2021, Art. 13 Rn. 11b; Schmidt-Wudy in: BeckOK Datenschutzrecht, 48. Ed., Stand: 1. Mai 2024, Art. 14 DS-GVO Rn. 31.2).

Die Differenzierung nach offenen und verdeckten Videoaufzeichnungen hätte auch hier zur Folge, dass der Verantwortliche im Ergebnis selbst wählen könnte, ob Art. 13 oder 14 DS-GVO einschlägig ist, indem er die Videoaufzeichnung entweder offen oder verdeckt ausführt. Dies hätte wiederum zur Folge, dass bei verdeckten Videoaufzeichnungen letztendlich oft keine Informationspflichten eingehalten werden müssten, weil die aufgezeichneten Personen dem Verantwortlichen unbekannt sind und deshalb der Ausschlusstatbestand des Art. 14 Abs. 5 Buchst. b DS-GVO greift (vgl. Bäcker in: Kühling/Buchner, DS-GVO BDSG, 4. Aufl. 2024, Art. 13 Rn. 13 f.).

Bezogen auf das streitgegenständliche Filmen mittels einer auf das Autodach montierten Kamera hätte die Abgrenzung nach dem subjektiven Merkmal der Kenntnis zudem Abgrenzungsprobleme in der Form zur Folge, dass der Kläger jeweils prüfen müsste, ob die Person die Kamera gesehen und damit Kenntnis von den Videoaufzeichnungen hat. In diesem Fall griffe dann Art. 13 DS-GVO. Im anderen Fall, in dem die betroffene Person die Kamera nicht gesehen hat, griffe Art. 14 DS-GVO ein und der Kläger müsste die darin normierten nachträglichen Informationspflichten erfüllen. Dazu müsste der Kläger bei jeder gefilmten Person prüfen, ob diese die Kamera gesehen beziehungsweise auf irgend eine Art davon Kenntnis erlangt hat. Bei allen anderen Personen müsste er prüfen, ob er die Informationen nachträglich erteilen kann oder der Ausschlusstatbestand des Art. 14 Abs. 5 Buchst. b DS-GVO greift. Diese Vorgehensweise erscheint nicht praxistauglich.

Der Kläger ist ausgehend von diesen Maßstäben nach Art. 13 Abs. 1 Buchst. d DS-GVO verpflichtet, der betroffenen Person zum Zeitpunkt der Datenerhebung die berechtigten Interessen mitzuteilen, die von dem Verantwortlichen oder einem Dritten verfolgt werden, wenn die Verarbeitung auf Art. 6 Abs. 1 Buchst. f DS-GVO beruht.

Der Kläger hat sich vorliegend insbesondere auf seine Kunstfreiheit und seine Berufsfreiheit und damit auf berechtigte Interessen im Sinne des Art. 6 Abs. 1 Buchst. f DS-GVO berufen.

Nach Art. 12 Abs. 1 Satz 2 DS-GVO erfolgt die Übermittlung der Informationen schriftlich oder in anderer Form, gegebenenfalls auch elektronisch. Jedenfalls über seine berechtigten Interessen im Sinne des Art. 6 Abs. 1 Buchst. f DS-GVO kann der Kläger auch in der von ihm gewählten Form informieren, dass sich auf dem Kraftfahrzeug ein Hinweis auf seine Website befindet, auf der dann wiederum die erforderlichen Informationen nachzulesen sind. Insoweit ist ein Medienbruch zulässig (vgl. Bäcker in: Kühling/Buchner, DS-GVO BDSG, 4. Aufl. 2024, Art. 12 Rn. 16). Gewisse Verarbeitungssituationen lassen es schlichtweg nicht zu, sämtliche Transparenzinformationen unmittelbar zur Verfügung zu stellen (vgl. Franck in: Gola/Heckmann, DS-GVO – BDSH, 3. Aufl. 2022, Art. 13 DS-GVO Rn. 43).

So ist auch hier zu berücksichtigen, dass beim Vorbeifahren eines Kraftfahrzeuges nur in begrenztem Umfang auf dem Kraftfahrzeug angebrachte Informationen von den betroffenen Personen wahrgenommen werden können und diese deshalb auf die essentiellen Informationen beschränkt werden müssen. Dazu zählen die berechtigten Interessen im Sinne des Art. 6 Abs. 1 Buchst. f DS-GVO nicht. Hier ist es ausreichend, wenn die betroffenen Personen die Informationen auf Sekundärebene über eine Website abrufen können.

Vor diesem Hintergrund ist auch Ziffer 4 des Bescheides der Beklagten vom 19. Oktober 2020 rechtswidrig und verletzt den Kläger in seinen Rechten, soweit sich die Nachweispflicht mittels eines Fotos auf die Pflicht bezieht, bei der Anfertigung von personenbezogenen Filmaufnahmen sichtbar darauf hinzuweisen, welche berechtigten Interessen im Sinne des Art. 6 Abs. 1 Buchst. f DS-GVO durch die Anfertigung der Filmaufnahmen verfolgt werden.

Im Übrigen sind Ziffer 3 und 4 des Bescheides der Beklagten vom 19. Oktober 2020 rechtmäßig und verletzen den Kläger nicht in seinen Rechten.

Die für die betroffenen Personen essentiellen Informationen nach Art. 13 Abs. 1 DS-GVO müssen ohne Medienbruch bei der Verarbeitung mitgeteilt werden (vgl. Franck in: Gola/Heckmann, DS-GVO – BDSH, 3. Aufl. 2022, Art. 13 DS-GVO Rn. 43). Dazu zählen jedenfalls die von der Beklagten angenommenen Hinweise darauf, dass Filmaufnahmen für den Zweck der Veröffentlichung im Internet erstellt werden (Art. 12 Abs. 1 Buchst. c DS-GVO), wer Verantwortlicher der Verarbeitung ist sowie dessen Kontaktdaten (Art. 12 Abs. 1 Buchst. a DS-GVO).

Diese überschaubare Anzahl an Daten kann bei gefilmten Personen bei einem Hinweis auf dem Kraftfahrzeug des Klägers noch wahrgenommen werden. Gleichzeitig ist die Information über diese Daten für die Wahrung der Rechte der betroffenen Personen notwendig, damit auch Personen mit wenig Medienkompetenz hinreichend informiert sind und ihre Rechte möglichst umfassend ausüben können.

Ziffer 4 des streitgegenständlichen Bescheides ist hinsichtlich der nicht zu beanstandenden Informationspflichten nach Ziffer 3 des Bescheides ebenfalls nicht zu beanstanden. Rechtsgrundlage ist Art. 58 Abs. 1 Buchst. a DS-GVO. Danach verfügt Jede Aufsichtsbehörde über sämtliche Untersuchungsbefugnisse, die es ihr gestatten, unter anderem den Verantwortliche anzuweisen, alle Informationen bereitzustellen, die für die Erfüllung ihrer Aufgaben erforderlich sind.

Das von der Beklagten geforderte Foto ist notwendig, um überprüfen zu können, ob der Kläger die von der Beklagten geforderten Informationspflichten nach Art. 13 DS-GVO beachtet. Dazu ist die Beklagte nach Art. 57 Abs. 1 Buchst. a DS-GVO verpflichtet. Ermessensfehler sind insoweit weder vorgetragen noch ersichtlich. An der Verhältnismäßigkeit bestehen keine Zweifel.

Im Übrigen ist der Bescheid der Beklagten vom 19. Oktober 2020 rechtmäßig und verletzt den Kläger nicht in seinen Rechten.

Zunächst leidet der Bescheid nicht an fehlender Bestimmtheit. Gemäß § 37 Abs. 1 VwVfG muss ein Verwaltungsakt inhaltlich hinreichend bestimmt sein. Das bedeutet zum einen, dass der Adressat in die Lage versetzt werden muss, zu erkennen, was von ihm gefordert wird. Zum anderen muss der Verwaltungsakt geeignete Grundlage für Maßnahmen zu seiner zwangsweisen Durchsetzung sein können. Im Einzelnen richten sich die Anforderungen an die notwendige Bestimmtheit eines Verwaltungsakts nach den Besonderheiten des jeweils anzuwendenden und mit dem Verwaltungsakt umzusetzenden materiellen Rechts (BVerwG, Urt. v. 15. Februar 1990 – 4 C 41.87 – juris Rn. 29).

Der Regelungsgehalt eines Verwaltungsakts ist entsprechend §§ 133, 157 BGB durch Auslegung zu ermitteln. Dabei ist der erklärte Wille maßgebend, wie ihn der Empfänger bei objektiver Würdigung verstehen konnte. Bei der Ermittlung dieses objektiven Erklärungswertes sind alle dem Empfänger bekannten oder erkennbaren Umstände heranzuziehen, insbesondere auch die Begründung des Verwaltungsakts. Die Begründung hat einen unmittelbaren Zusammenhang mit dem Regelungsgehalt. Sie ist die Erläuterung der Behörde, warum sie den verfügenden Teil ihres Verwaltungsakts so und nicht anders erlassen hat. Die Begründung bestimmt damit den Inhalt der getroffenen Regelung mit, sodass sie in aller Regel unverzichtbares Auslegungskriterium ist (BVerwG, Urt. v. 16. Oktober 2013 – 8 C 21.12 – juris Rn. 14).

Gemessen an diesen Maßstäben ist der Bescheid hinreichend bestimmt. Für den Kläger ist unter Berücksichtigung von Tenor und Begründung des Bescheides hinreichend klar, unter welchen Voraussetzungen die Aufnahmen so verändert werden müssen, dass Personen, nicht mehr anhand ihrer äußerlichen Erscheinung identifiziert werden können (Ziffer 1 und 2 des Bescheides) und was für ein Foto er einreichen soll (Ziffer 4 des Bescheides).

Dies ist bei Auslegung des Bescheides aus dem objektiven Empfängerhorizont immer dann der Fall, wenn aufgrund besonderer Umstände des Straßenverkehrs nicht mehr die Straße und die sie umgebende Landschaft die Aufnahme prägt. In den vom Kläger bislang veröffentlichten Aufnahmen prägt – im fließenden Verkehr – ganz überwiegend die Straße und die sie umgebende Straßenlandschaft das Bild. Gelegentlich passiert der Kläger dabei Personen, die jedoch im Hintergrund bleiben und kaum zu erkennen sind.

Anders verhält es sich unterdessen, wenn Personen aufgrund der äußeren Umstände der Verkehrssituation dicht an die auf dem Fahrzeugdach montierte Kamera herantreten, insbesondere an Ampeln, bei Verkehrsüberwegen und an Kreuzungen. In diesem Fall gerät die Person – angesichts der geringen Geschwindigkeit eines Fußgängers, Fahrradfahrers etc. über einen längeren Zeitraum – in den Fokus der Aufnahme mit der Folge, dass die Straße und die Straßenlandschaft verdeckt wird und in den Hintergrund gerät.

Zugegebenermaßen verbleiben dabei Abgrenzungsschwierigkeiten, weil nicht anhand fester Kriterien vom Kläger oder einem eingesetzten Algorithmus festgestellt werden kann, wie lange etwa eine Person aufgezeichnet werden muss, welchen Anteil sie vom Bildausschnitt ausfüllen muss beziehungsweise ab welcher Entfernung zur Kamera eine Anonymisierung zu erfolgen hat. Derartige feste Kriterien sind jedoch für die Abgrenzung nicht geeignet, weil anhand festgelegter Werte die Umstände der jeweils gegebenen konkreten Situation der Aufnahme nicht hinreichend gewürdigt werden können. Verbleibende Abgrenzungsschwierigkeiten sind in Kauf zu nehmen.

Dies vorangestellt hat die Beklagte zu Recht die Abgrenzungskriterien der sogenannten Beiwerk-Rechtsprechung zu § 23 Abs. 1 Nr. 2 KUG entsprechend herangezogen.

Nach dieser Vorschrift dürfen ohne die nach § 22 KUG erforderliche Einwilligung verbreitet und zur Schau gestellt werden Bilder, auf denen die Personen nur als Beiwerk neben einer Landschaft oder sonstigen Örtlichkeit erscheinen. Auch hier ist die Abgrenzung zwischen Haupt- und Beiwerk schwierig.

Die Vorschrift stellt in erster Linie auf das Verhältnis des Abgebildeten zu der übrigen Aussage des Bildes, auf seinen Stellenwert im Gesamteindruck des Bildes, nicht auf den Grad seiner Erkennbarkeit ab. Von einem Beiwerk in diesem Sinn kann grundsätzlich dann keine Rede sein, wenn die Person das Bild fast ganz ausfüllt (BGH, Urt. v. 26. Juni 1979 – VI ZR 108/78 – juris Rn. 18). Maßgeblich ist, ob entsprechend dem Gesamteindruck der Veröffentlichung die Landschaft oder die sonstige Örtlichkeit Abbildungsgegenstand ist und die einzelnen Abgebildeten nur "bei Gelegenheit" erscheinen oder ob einzelne aus der Anonymität herausgelöst werden (LG Oldenburg, Beschl. v. 23. uar 1986 – 5 O 3667/85GRUR 1986, 464, 465). Voraussetzung hierfür ist, dass nach dem Gesamteindruck der Veröffentlichung die Landschaft der den Gesamtcharakter des Bildes prägende Abbildungsgegenstand ist und die auf dem Bild erkennbaren Personen derart untergeordnetes Beiwerk darstellen, dass sie auch entfallen könnten, ohne dass Inhalt und Charakter des Bildes sich veränderten (OLG Oldenburg (Oldenburg), Urt. v. 14. November 1988 – 13 U 72/88 – juris Rn. 28). Die Personenabbildung muss derart untergeordnet sein, dass sie auch entfallen könnte, ohne dass Gegenstand und Charakter des Bildes sich verändern. Wesentlich ist damit, dass die Personendarstellung untergeordnet und nicht selbst Thema des Bildes ist (OLG Karlsruhe, Urt. v. 18. August 1989 – 14 U 105/88 – juris Rn. 27). Der Stellenwert der Personen entsprechend dem Gesamteindruck des Bildes muss gegenüber dem Stellenwert der Landschaft erheblich niedriger sein (OLG München, Urt. v. 13. November 1987 – 21 U 2979/87 – juris Rn. 31).

Ausgehend von dieser Rechtsprechung hat die Beklagte zu Recht für maßgeblich im Hinblick auf die Pflicht zur Anonymisierung darauf abgestellt, ob sich eine Person nach dem Gesamteindruck im Vordergrund des Bildausschnitts befindet.

In Bezug auf die in Ziffer 4 des Bescheides angeordnete Verpflichtung, durch Übersendung eines Fotos die Erfüllung der Informationspflichten nach Ziffer 3 des Bescheides nachzuweisen, bestehen im Hinblick auf den Bestimmtheitsgrundsatz keine Bedenken. Es ist ohne weiteres verständlich, dass ein Foto des klägerischen Kraftfahrzeuges mit den nach Ziffer 3 des Bescheides geforderten Informationen einzureichen ist.

Rechtsgrundlage für Ziffer 1 und 2 des streitgegenständlichen Bescheides ist Art. 58 Abs. 2 Buchst. f DS-GVO. Danach verfügt jede Aufsichtsbehörde über Abhilfebefugnisse, die es ihr gestatten, eine vorübergehende oder endgültige Beschränkung der Verarbeitung, einschließlich eines Verbots, zu verhängen.

Tatbestandsvoraussetzung für die Abhilfemaßnahmen des Art. 58 Abs. 2 DS-GVO ist das Vorliegen eines Verstoßes gegen die DS-GVO. Ein solcher Verstoß liegt insbesondere dann vor, wenn Daten ohne entsprechende Rechtsgrundlage verarbeitet werden. Dies war vorliegend der Fall.

Das Veröffentlichen von Aufnahmen, bei denen Personen, soweit sie sich nach dem Gesamteindruck im Vordergrund des Bildausschnitts befinden und Kraftfahrzeug-Kennzeichen gelesen werden können, stellt eine rechtswidrige Datenverarbeitung dar.

Bei der Veröffentlichung von Filmen, auf denen betroffene Personen zu erkennen sind, handelt es sich um personenbezogene Daten. Dazu zählen nach Art. 4 Nr. 1 Hs. 1 DS-GVO alle Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person beziehen. Als identifizierbar wird nach Art. 4 Nr. 1 Hs. 2 DS-GVO eine natürliche Person angesehen, die direkt oder indirekt, insbesondere mittels Zuordnung zu einer Kennung wie einem Namen, zu einer Kennnummer, zu Standortdaten, zu einer Online-Kennung oder zu einem oder mehreren besonderen Merkmalen, die Ausdruck der physischen, physiologischen, genetischen, psychischen, wirtschaftlichen, kulturellen oder sozialen Identität dieser natürlichen Person sind, identifiziert werden kann.

Das von einer Kamera aufgezeichnete Bild einer Person fällt daher unter den Begriff der personenbezogenen Daten, sofern es die Identifikation der betroffenen Person ermöglicht (vgl. EuGH, Urt. v. 11. Dezember 2014 – C-212/13 – juris Rn. 22). Dies ist jedenfalls für Personen anzunehmen, die sich nach dem Gesamteindruck im Vordergrund des Bildausschnitts befinden. Anhand ihrer äußeren Erscheinung können sie zumindest über Fotos sowie durch Personen, denen die äußere Erscheinung bekannt ist, identifiziert werden.

Auch Kraftfahrzeug-Kennzeichen stellen personenbezogene Daten dar, weil sie einem Halter und gegebenenfalls auch einem Fahrer zurechenbar sind (vgl. Schild in: BeckOK Datenschutzrecht, 48. Ed., Stand: 1. Mai 2024, Art. 4 DS-GVO Rn. 21). Daran ändert auch der Umstand nichts, dass Halterabfragen beim Kraftfahrt Bundesamt nur unter bestimmten Voraussetzungen zulässig sind.

Dies gilt uneingeschränkt für alle Kennzeichen, unabhängig davon, ob das Fahrzeug auf eine natürliche oder juristische Person zugelassen ist, weil die Kennzeichen auch bei auf juristische Personen zugelassenen Kraftfahrzeugen Rückschlüsse auf die Fahrer vermitteln können. Die DS-GVO findet nach Erwägungsgrund 14 auf juristische Personen keine Anwendung. Die hinter der juristischen Person stehenden natürliche Personen sind jedoch geschützt, wenn sich die Daten der juristischen Person auch auf sie beziehen (vgl. Gola in: Gola/Heckmann, DS-GVO - BDSG, 3. Aufl. 2022, Art. 4 Rn. 28). Jedenfalls Mitarbeiter oder anderweitig informierte Personen können ein Kraftfahrzeug einer juristischen Person über das Kennzeichen einer natürlichen Person als Fahrer zuordnen. So könnte etwa festgestellt werden, dass der Fahrer eines Fahrzeugs seines Arbeitsgebers (juristische Person) bei einer Dienstfahrt von der vorgegebenen Route abgewichen und in seiner Dienstzeit einer privaten Tätigkeit nachgegangen ist.

Im Einzelfall mag bei auf juristische Personen zugelassenen Fahrzeugen eine Identifizierung des Fahrers selbst unter Auswertung sämtlicher Datenquellen nicht möglich sein. Unter dem Aspekt einer praxistauglichen datenschutzrechtlichen Verfügung ist es jedoch nicht zu beanstanden, dass die Beklagte in Ziffer 1 und 2 des streitgegenständlichen Bescheides diese Fälle nicht vom Anwendungsbereich ihrer Anordnung ausgenommen hat. Es ist in tatsächlicher Hinsicht nicht möglich, zu erkennen, ob ein Kraftfahrzeug auf eine juristische oder eine natürliche Person zugelassen und deshalb dem Anwendungsbereich der DS-GVO unterfällt oder nicht. Dies ließe sich allenfalls durch eine Halterauskunft ermitteln. Auch Werbeaufschriften oder Ähnliches auf Fahrzeugen lassen keinen sicheren Schluss auf den Halter des Fahrzeugs zu, weil jeder Halter beziehungsweise Eigentümer eines Kraftfahrzeuges grundsätzlich frei über die äußere Gestaltung seines Fahrzeugs entscheiden kann. Zudem kann der Verantwortliche nicht erkennen, ob über das Kennzeichen etwa mittels eines Fahrtenbuches möglicherweise Rückschlüsse auf den Fahrer als natürliche Person gezogen werden können.

Das von dem Bescheid der Beklagten erfasste Veröffentlichen der Filme auf der Website Youtube stellt eine Datenverarbeitung dar. Nach Art. 4 Nr. 2 DS-GVO bezeichnet „Verarbeitung“ jeden mit oder ohne Hilfe automatisierter Verfahren ausgeführten Vorgang oder jede solche Vorgangsreihe im Zusammenhang mit personenbezogenen Daten wie unter anderem die Speicherung und die Offenlegung durch Verbreitung.

Die Datenverarbeitung ist nach Art. 6 Abs. 1 DS-GVO nur rechtmäßig, wenn mindestens eine der unter den Buchst. a bis f aufgeführten Bedingungen erfüllt ist.

Insbesondere eine Einwilligung der gefilmten Personen liegt nicht vor. Nach Art. 6 Abs. 1 Buchst. f DS-GVO ist die Datenverarbeitung rechtmäßig, wenn die Verarbeitung zur Wahrung der berechtigten Interessen des Verantwortlichen oder eines Dritten erforderlich ist, sofern nicht die Interessen oder Grundrechte und Grundfreiheiten der betroffenen Person, die den Schutz personenbezogener Daten erfordern, überwiegen, insbesondere dann, wenn es sich bei der betroffenen Person um ein Kind handelt.

Das Filmen und die Veröffentlichung der Aufnahmen ohne Anonymisierung ist zunächst als Betätigung der von Art. 13 GRCh geschützten Kunstfreiheit, der von Art. 15 Abs. 1 GRCh geschützten Berufsfreiheit und der von Art. 16 GRCh geschützten Unternehmerischen Freiheit einzuordnen und stellt damit ein berechtigtes Interesse dar.

Die Verarbeitung ist zur Wahrung der berechtigten Interessen des Verantwortlichen auch erforderlich. Dieses Tatbestandsmerkmal ist erfüllt, wenn kein anderes, gleich effektives Mittel ersichtlich ist (VG Ansbach, Urt. v. 23. Februar 2022 – AN 14 K 20.00083 – juris Rn. 40). Die Anonymisierung stellt kein gleich effektives Mittel dar, weil sie den Kläger in seiner Kunstfreiheit, Berufsfreiheit und der Unternehmerischen Freiheit beeinträchtigt.

Die Beklagte ist jedoch zu Recht davon ausgegangen, dass die Abwägung hier zu Lasten des Klägers ausfällt.

Abzuwiegen sind hier die berechtigten Interessen des Klägers als Verantwortlichen einerseits und die Interessen oder Grundrechte und Grundfreiheiten der betroffenen Person, die den Schutz personenbezogener Daten erfordern, andererseits. Erfasst – wie hier – derselbe Sachverhalt eine Vielzahl von betroffenen Personen, erfolgt die Abwägung anhand einer summarischen Prüfung der Belange der betroffenen Personen unter Zugrundelegung von Erfahrungswerten (Schulz in: Gola/Heckmann, DS-GVO – BDSG, 3. Aufl. 2022, Art. 6 Rn. 63).

Maßgeblich ist insoweit insbesondere die Eingriffsintensität, die Art der betroffenen Personen, die Zwecke der Datenverarbeitung sowie die Sphäre, in die eingegriffen wird (vgl. Schulz in: Gola/Heckmann, DS-GVO – BDSG, 3. Aufl. 2022, Art. 6 Rn. 63).

Die gefilmten Personen sind in ihrem Grundrecht auf informationelle Selbstbestimmung sowie des Rechts am eigenen Bild als Teil des allgemeinen Persönlichkeitsrechts aus Art. 1 Abs. 1 in Verbindung mit Art. 2 Abs. 1 GG berührt und zwar in erheblicher Weise.

Zunächst handelt es sich angesichts der Vielzahl an veröffentlichten Videos um eine erhebliche Vielzahl an betroffenen Personen, auch wenn je Video abhängig von der gefilmten Straßenlandschaft teilweise nur vereinzelt Personen in den Vordergrund des Bildausschnitts geraten. Die zufällig gefilmten Personen können sich dem Filmen zudem kaum beziehungsweise nur dann entziehen, wenn sie die Kamera bemerkt haben. Dies ist gerade bei größeren Kreuzungen oder unübersichtlicheren Verkehrssituationen oder wenn die gefilmten Personen durch Gespräche, Telefonate etc. abgelenkt sind nicht unbedingt der Fall.

Eingriffsmindernd ist auf der anderen Seite zu berücksichtigen, dass die Personen lediglich in ihrer Sozialsphäre betroffen sind. Die belastenden Auswirkungen der Verarbeitung auf die betroffenen Personen stellen sich zudem nach allgemeiner Lebenserfahrung und mangels entgegenstehender Anhaltspunkte als eher gering dar.

Dennoch überwiegen diese Interessen der betroffenen Personen die berechtigten Interessen des Klägers. Die Verpflichtung des Klägers, die veröffentlichten Filmaufnahmen aus dem öffentlichen Straßenverkehr so zu verändern, dass Personen, soweit sie sich nach dem Gesamteindruck im Vordergrund des Bildausschnitts befinden, nicht mehr anhand ihrer äußerlichen Erscheinung identifiziert werden können und Kraftfahrzeug-Kennzeichen nicht gelesen werden können, stellt nach Auffassung des erkennenden Einzelrichters einen Eingriff von geringer Intensität dar. Betroffen sind zunächst nur besondere Situationen, in denen Personen – anders als im fließenden Verkehr – in den Vordergrund geraten. Der ganz überwiegende Anteil der Aufnahmen ist nicht von der Pflicht zur Anonymisierung betroffen. Unter Würdigung der Gesamtumstände werden die vom Kläger erstellten und veröffentlichten Aufnahmen von Straßenlandschaften in ihrer Darstellung und Wirkung durch die Anonymisierung der Personen, die sich nach dem Gesamteindruck im Vordergrund des Bildausschnitts befinden, lediglich geringfügig beeinträchtigt, weil sich der Eindruck der Straßenlandschaft durch die Anonymisierung kaum verändert. Die abgebildete Person ist lediglich nicht mehr zu erkennen.

Erwägungsgrund 47 Satz 4 DS-GVO sieht zudem vor, dass insbesondere dann, wenn personenbezogene Daten in Situationen verarbeitet werden, in denen eine betroffene Person vernünftigerweise nicht mit einer weiteren Verarbeitung rechnen muss, die Interessen und Grundrechte der betroffenen Person das Interesse des Verantwortlichen überwiegen könnten.

Im öffentlichen Straßenverkehr können betroffene Personen grundsätzlich davon ausgehen, dass sie nicht gefilmt werden. Da vorliegend nichts dafür spricht, von diesem Grundsatz abzuweichen, führt auch dies zu einem Überwiegen der Interessen der betroffenen Personen.

Diese Wertung muss erst Recht für Kraftfahrzeug-Kennzeichen gelten. Es mag für den Kläger zusätzlichen Aufwand bedeuten, die Kennzeichen etwa durch eine Verpixelung zu anonymisieren. Im Übrigen werden die Aufnahmen der Straßenlandschaften durch die Anonymisierung der Kennzeichen jedoch nur sehr geringfügig verändert, so dass das Grundrecht auf informationelle Selbstbestimmung sowie das Recht am eigenen Bild als Teil des allgemeinen Persönlichkeitsrechts aus Art. 1 Abs. 1 in Verbindung mit Art. 2 Abs. 1 GG der Halter beziehungsweise Fahrer der gefilmten Kraftfahrzeuge überwiegt.

Rechtsfolge von Art. 58 Abs. 2 Buchst. f DS-GVO ist, dass der Aufsichtsbehörde bezüglich der Wahl der konkreten Abhilfemaßnahme ein Ermessen zusteht (vgl. dazu Erwägungsgrund 129 DS-GVO), welches gerichtlich nur eingeschränkt überprüfbar ist, § 114 VwGO. Vorliegend sind Ermessensfehler nicht ersichtlich. Die Beklage hat ihr Ermessen ausgeübt, indem sie unter den verschiedenen Möglichkeiten die aus ihrer Sicht am wenigsten einschränkende, lediglich punktuelle Veränderung der Aufnahmen angeordnet hat (vgl. S. 8 des Bescheides).

Den Volltext der Entscheidung finden SIe hier:

OLG Stuttgart: Übersendung von Werbung per Briefpost ohne vorherige Einwilligung auch mit den Vorgaben der DSGVO vereinbar

OLG Stuttgart
Hinweisbeschluss vom 02.02.2024
2 U 63/22


Das OLG Stuttgart hat im Rahmen eines Hinweisbeschlusses ausgeführt, dass die Übersendung von Werbung per Briefpost ohne vorherige Einwilligung des Empfängers auch mit den Vorgaben der DSGVO vereinbar ist

Aus den Entscheidungsgründen:
Der Senat ist einstimmig der Auffassung, dass die Berufung offensichtlich keine Aussicht auf Erfolg hat, der Rechtssache auch keine grundsätzliche Bedeutung zukommt, weder die Fortbildung des Rechts noch die Sicherung einer einheitlichen Rechtsprechung eine Entscheidung des Berufungsgerichts erfordert und die Durchführung einer mündlichen Verhandlung über die Berufung nicht geboten ist.

Das Landgericht hat zutreffend einen Anspruch des Klägers auf Schadensersatz abgewiesen. Auf die überzeugende Begründung des Landgerichts wird zur Vermeidung von Wiederholungen verwiesen.

I. Insbesondere hat das Landgericht zutreffend und überzeugend herausgearbeitet, dass sowohl die Erhebung der öffentlich zugänglichen Daten als auch die der Übersendung des Werbeschreibens zugrundeliegende Verarbeitung der Daten in Übereinstimmung mit Artikel 6 Absatz 1 Satz 1 lit. f DS-GVO erfolgte.

Entgegen der Auffassung der Berufung ist für die Rechtmäßigkeit einer Direktwerbung nicht Voraussetzung, dass bereits eine Kundenbeziehung besteht. Bei seiner Auslegung des Artikels 6 Absatz 1 Satz 1 lit. f DS-GVO hat das Landgericht überzeugend den Erwägungsgrund Nr. 47 herangezogen, der die Direktwerbung beispielhaft als berechtigtes Interesse im Sinne der genannten Norm anerkennt. Unter diesem Begriff versteht die Verordnung – etwa in Artikel 21 Absatz 2 DS-GVO – jede unmittelbare Ansprache der betroffenen Person, etwa durch Zusendung von Briefen (Buchner/Petri in: Kühling/Buchner, DS-GVO, 4. Aufl. 2024, Artikel 21 DS-GVO Rn. 26). Weder aus Artikel 6 Absatz 1 Satz 1 lit. f DS-GVO noch aus den Erwägungsgründen ergeben sich Anhaltspunkte dafür, dass die Direktwerbung nur innerhalb einer bestehenden Kundenbeziehung als berechtigtes Interesse anerkannt wird. Unter dem Begriff der berechtigten Interessen sind vielmehr sämtliche rechtlichen, wirtschaftlichen oder ideellen Interessen zu verstehen (OVG Lüneburg, Beschluss vom 19. Januar 2021 – 11 LA 16/20, juris Rn. 16), die auch außerhalb oder im Vorfeld einer Kundenbeziehung liegen können. Zutreffend hat das Landgericht auch gesehen, dass das berechtigte Interesse eines Dritten – hier das Interesse der X. Lebensversicherung AG an der Verteilung der Werbebotschaft – dem Interesse des Beklagten als Verantwortlichen gleichsteht.

Weiter hat das Landgericht überzeugend herausgearbeitet, dass die Verarbeitung der personenbezogenen Daten erforderlich war. Insbesondere steht der Erforderlichkeit nicht der Einwand der Berufung entgegen, dass auch eine Übersendung der Werbung per elektronischer Post möglich wäre. Zwar sollen personenbezogene Daten nicht verarbeitet werden, wenn der Zweck der Verarbeitung in zumutbarer Weise durch andere Mittel erreicht werden kann, die weniger stark in die Grundrechte und Grundfreiheiten der betroffenen Personen eingreifen (EuGH, Urteil vom 4. Juli 2023 – C-252/21, Rn. 108). Dabei kann der Kläger die Beklagte allerdings nicht darauf verweisen, die Zusendung elektronischer Nachrichten sei weniger belastend für Betroffene. Nach der Wertung der deutschen Rechtsordnung stellt die Versendung elektronischer Nachrichten ohne vorherige ausdrückliche Einwilligung vielmehr eine unzumutbare Belästigung dar (vgl. § 7 Absatz 2 Nr. 2 UWG), während die Zusendung eines Briefes mit einer sofort als Werbung erkennbaren Botschaft als zulässig bewertet wird (BGH, Urteil vom 30. April 1992 – I ZR 287/90, juris Rn. 14 – Briefwerbung; BGH, Urteil vom 3. März 2011 – I ZR 167/09, juris Rn. 19 – Kreditkartenübersendung).

Weiter hat das Landgericht auch überzeugend die Interessen der Streitparteien miteinander abgewogen und ist zutreffend davon ausgegangen, dass die Interessen, Grundrechte und Grundfreiheiten des Klägers die Interessen der Beklagten und ihrer Auftraggeberin jedenfalls nicht überwiegen. Alleine das Interesse des Klägers, keine Werbung zu erhalten, führt nicht zu einer ihm günstigen Interessenabwägung. Erst wenn er einen Widerspruch erhebt, ist die künftige Direktwerbung unzulässig (Artikel 21 Absatz 2 DS-GVO).

II. Zutreffend hat das Landgericht auch die weiteren gerügten Handlungen nicht als Verstöße gegen die Datenschutz-Grundverordnung bewertet. Insbesondere wurde der Kläger ganz offenkundig nicht im Sinne von Artikel 22 Absatz 1 DS-GVO einer ihm gegenüber verbindlichen oder erheblich beeinträchtigenden Entscheidung unterworfen, die auf einer automatisierten Verarbeitung seiner Daten getroffen wurde (sog. Profiling). Eine derartige beeinträchtigende Entscheidung legt der Kläger schon nicht dar.

Auch die Behauptung, dass die Beklagte dem Kläger eine unvollständige Auskunft über die Verarbeitung seiner Daten erteilt habe, kann nicht festgestellt werden. Vorgerichtlich wurde danach nicht gefragt, und in der ersten Instanz hat die Beklagte ausgeführt, die personenbezogenen Daten des Klägers nicht mit zusätzlichen Informationen verknüpft zu haben. Auf die Frage, ob eine unvollständige Auskunft überhaupt zu einem Schadensersatzanspruch gem. Art. 82 DS-GVO führen kann, kommt es nicht mehr an (zum Streitstand: OLG Stuttgart, Urteil vom 22. November 2023 – 4 U 20/23, juris Rn. 381 ff.).

III. Unabhängig davon, dass datenschutzrechtliche Verstöße nicht feststellbar sind, hat der Kläger auch nicht ausreichend dargelegt, einen Schaden erlitten zu haben. Zwar ist es nach der Rechtsprechung des Europäischen Gerichtshofs nicht erforderlich, dass der Schaden einen bestimmten Grad an Erheblichkeit überschreitet. Gleichwohl löst der bloße Verstoß gegen Bestimmungen der Verordnung einen Schadensersatzanspruch noch nicht aus. Es muss vielmehr festgestellt werden, dass tatsächlich ein Schaden entstanden ist (EuGH, Urteil vom 4. Mai 2023 – C-300/21, Rn. 42, 51). Insoweit beruft sich der Kläger auf eine mit dem Verlust der Daten seelisch belastende Ungewissheit über das Schicksal der Daten. Dieser Vortrag genügt nicht für die Darlegung eines Schadens, denn es muss festgestellt werden können, ob die Befürchtung einer künftigen missbräuchlichen Datenverwendung unter den gegebenen besonderen Umständen und im Hinblick auf die betroffene Person als begründet angesehen werden (vgl. EuGH, Urteil vom 14. Dezember 2023 – C-340/21, Rn. 85). Dies ist jedoch nicht ersichtlich auf der Grundlage der überzeugenden und unangefochtenen Feststellung des Landgerichts, dass die Beklagte die personenbezogenen Daten nicht an Dritte übermittelt hat. Zudem hat die Beklagte die Daten gelöscht bzw. intern mit einem Sperrvermerk versehen, um künftige Werbesendungen zu verhindern.


Den Volltext der Entscheidung finden Sie hier:

OLG Frankfurt: Microsoft haftet für Setzen von Cookies ohne Einwilligung über Websites Dritter

OLG Frankkfurt
Urteil vom 27.06.2024
6 U 192/23


Das OLG Frankfurt hat entschieden, dass Microsoft für das Setzen von Cookies ohne Einwilligung über Websites Dritter haftet.

Die Pressemitteilung des Gericht:
Cookie-Speicherung: Microsoft haftet für einwilligungsfreie Cookie-Speicherung über Webseiten Dritter

Willigen Endnutzer nicht in die Speicherung von Cookies auf ihren Endgeräten gegenüber den Webseiten-Betreibern ein, die Cookies verwenden, haftet die hier beklagte Microsoft-Tochter für die mit ihrer Unternehmenssoftware begangene Rechtsverletzung. Es entlastet sie nicht, dass nach ihren Allgemeinen Geschäftsbedingungen die Webseiten-Betreiber für die Einholung der Einwilligung verantwortlich sind. Das Oberlandesgericht Frankfurt am Main (OLG) hat mit heute veröffentlichter Entscheidung Microsoft verpflichtet, es zu unterlassen, ohne Einwilligung Cookies auf Endeinrichtungen der Klägerin einzusetzen.

Die Klägerin wendet sich gegen die Speicherung und das Auslesen sog. Cookies zu werblichen Zwecken auf ihren Endgeräten ohne ihre Einwilligung. Die Beklagte gehört zur Microsoft Corporation (i.F: „Microsoft“). Ihr Dienst „Microsoft Advertising“ ermöglicht es Webseiten-Betreibern, Anzeigen in den Suchergebnissen des „Microsoft Search Network“ zu schalten und den Erfolg ihrer Werbekampagnen zu messen. Über Microsoft Advertising können u.a. Informationen über die Besucher einer Webseite gesammelt und für die Besucher zielgerichtete Anzeigen geschaltet werden. Für die Erfassung der Onlineaktivitäten und Interessen der Nutzer verwendet die Beklagte sog. Cookies. Webseiten-Betreibern wird von der Beklagten ein Code zur Verfügung gestellt, den diese in ihre eigene Webseite bzw. dortige Anwendungen integrieren. Sobald die Seite aufgerufen wird, wird der Cookie gesetzt bzw. ein schon vorhandener ausgelesen. Das Setzen von Cookies wird ausschließlich von den Betreibern der Webseiten durch eine entsprechende Programmierung der Seite veranlasst. Microsoft verpflichtet die Betreiber der Webseiten vertraglich, für die erforderlichen Einwilligungen zu sorgen.

Die Klägerin besuchte Webseiten Dritter. Sie behauptet, dass ohne ihre Einwilligung Cookies auf ihrem Gerät gesetzt worden seien und begehrt von der Beklagten, es zu unterlasen, auf ihren Endgeräten ohne ihre Einwilligung Cookies einzusetzen.

Das Landgericht hat mit dem angefochtenen Urteil den Erlass der beantragten einstweiligen Verfügung abgelehnt. Hiergegen richtet sich die Berufung der Klägerin, die vor dem OLG Erfolg hatte. Der Klägerin stehe ein Unterlassungsanspruch zu. Durch das Setzen von Cookies habe die Beklagte gegen die gesetzlichen Vorgaben verstoßen. Die Klägerin habe substantiiert vorgetragen, dass auf ihren Geräten Cookies beim Besuch mehrerer Internetseiten ohne ihre Einwilligung gespeichert worden seien. Das Gesetz verpflichte auch die Beklagte. Es verbiete „jedermann den Zugriff auf vernetzte Endeinrichtungen ohne die Einwilligung des Endnutzers“, betont der Senat. Damit erfasse es jeden Akteur, der eine konkrete Speicher- oder Zugriffshandlung beabsichtige. Die Beklagte hafte auch als Täterin für diese Rechtsverletzung. Sie speichere die Informationen in Form von Cookies auf den Endeinrichtungen der Nutzer, sobald die entsprechende Anforderung durch den von ihr bereit gestellten Programmcode auf der vom Nutzer besuchten Internetseite ausgelöst werde. Zudem greife sie auf die hinterlegten Informationen zu, in dem sie sich diese von den Betreibern der Internetseiten zur Verfügung stellen lasse, nachdem diese die Informationen ausgelesen haben. Sie habe damit die Speicherung der Cookies ohne Einwilligung adäquat kausal verwirklicht.

Soweit die Beklagte sich darauf verlasse, dass die jeweiligen Webseiten-Betriebe die erforderliche Einwilligung einholten, entlaste sie dies nicht. Sie bleibe darlegungs- und beweisbelastet für den Umstand, dass die Endnutzer vor der Speicherung von Cookies auf ihren Endgeräten eingewilligt haben. Wie sie diesen Nachweis führe, obliege ihr. Sie müsste aber sicherstellen, dass diese Einwilligung vorliege. Das Gesetz gehe zu Recht davon aus, dass dieser Nachweis der Beklagten sowohl technisch - als auch rechtlich - möglich sei.

Die im Eilverfahren ergangene Entscheidung ist nicht anfechtbar.

Oberlandesgericht Frankfurt am Main, Urteil vom 27.6.2024, Az. 6 U 192/23
(vorausgehend Landgericht Frankfurt am Main, Urteil vom 3.11.2023, Az. 2-02 O 217/22)


Erläuterungen:
§ 2 TTDSG Begriffsbestimmungen
(1) Die Begriffsbestimmungen des Telekommunikationsgesetzes, des Digitale-Dienste-Gesetzes
und der Verordnung (EU) 2016/679 des Europäischen Parlaments und des Rates vom 27. April 2016 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten, zum freien Datenverkehr und zur Aufhebung der Richtlinie 95/46/EG (Datenschutz-Grundverordnung) gelten auch für dieses Gesetz, soweit in Absatz 2 keine abweichende Begriffsbestimmung getroffen wird.

(2) Im Sinne dieses Gesetzes ist oder sind

1.„Anbieter von digitalen Diensten“ jede natürliche oder juristische Person, die eigene oder fremde digitale Dienste erbringt, an der Erbringung mitwirkt oder den Zugang zur Nutzung von eigenen oder fremden digitalen Diensten vermittelt,
...

§ 25 TTDSG Schutz der Privatsphäre bei Endeinrichtungen
(1) 1Die Speicherung von Informationen in der Endeinrichtung des Endnutzers oder der Zugriff auf Informationen, die bereits in der Endeinrichtung gespeichert sind, sind nur zulässig, wenn der Endnutzer auf der Grundlage von klaren und umfassenden Informationen eingewilligt hat. 2Die Information des Endnutzers und die Einwilligung haben gemäß der Verordnung (EU) 2016/679 zu erfolgen.

(2) Die Einwilligung nach Absatz 1 ist nicht erforderlich,

1.wenn der alleinige Zweck der Speicherung von Informationen in der Endeinrichtung des Endnutzers oder der alleinige Zweck des Zugriffs auf bereits in der Endeinrichtung des Endnutzers gespeicherte Informationen die Durchführung der Übertragung einer Nachricht über ein öffentliches Telekommunikationsnetz ist oder
2.wenn die Speicherung von Informationen in der Endeinrichtung des Endnutzers oder der Zugriff auf bereits in der Endeinrichtung des Endnutzers gespeicherte Informationen unbedingt erforderlich ist, damit der Anbieter eines digitalen Dienstes einen vom Nutzer ausdrücklich gewünschten digitalen Dienst zur Verfügung stellen kann.


BGH: Name des Datenschutzbeauftragten muss nach Art. 13 Abs. 1 Buchst. b DSGVO nicht zwingend genannt werden

BGH
Urteil vom 14.05.2024
VI ZR 370/2
DS-GVO Art. 13 Abs. 1 Buchst. b; ZPO § 551 Abs. 3 Satz 1 Nr. 2 Buchst. a


Der BGH hat entschieden, dass der Name des Datenschutzbeauftragten nach Art. 13 Abs. 1 Buchst. b DSGVO nicht zwingend genannt werden muss.

Leitsätze des BGH:
a) Nach § 551 Abs. 3 Satz 1 Nr. 2 Buchst. a ZPO muss sich die Revisionsbegründung mit den tragenden Gründen des angefochtenen Urteils auseinandersetzen und konkret darlegen, warum die Begründung des Berufungsgerichts rechtsfehlerhaft sein soll. Hierdurch soll der Revisionskläger dazu angehalten werden, die angegriffene Entscheidung nicht nur im Ergebnis, sondern auch in der konkreten Begründung zu überprüfen und im Einzelnen darauf hinzuweisen, in welchen Punkten und mit welchen Gründen er das angefochtene Urteil für unrichtig hält.

b) Bei Mitteilung der Kontaktdaten des Datenschutzbeauftragten nach Art. 13 Abs. 1 Buchst. b DSGVO ist die Nennung des Namens nicht zwingend. Entscheidend und zugleich ausreichend für den Betroffenen ist die Mitteilung der Informationen, die für die Erreichbarkeit der zuständigen Stelle erforderlich sind. Ist die Erreichbarkeit ohne Nennung des Namens gewährleistet, muss dieser nicht mitgeteilt werden.

BGH, Urteil vom 14. Mai 2024 - VI ZR 370/22 - LG Darmstadt - AG Seligenstadt

Den Volltext der Entscheidung finden Sie hier:

AG Seligenstadt

OLG Köln: Anspruch auf Entfernung von Inhalten aus dem Google-Suchindex gemäß Art. 17 Abs. 1 DSGVO kann auch gegenüber Google Ireland und nicht nur Google USA geltend gemacht werden

OLG Köln
Urteil vom 04.07.2024
15 U 60/23

Das OLG Köln hat entschieden, dass der Anspruch auf Entfernung von Inhalten aus dem Google-Suchindex gemäß Art. 17 Abs. 1 DSGVO auch gegenüber Google Ireland und nicht nur gegenüber Google USA geltend gemacht werden kann.

Aus den Entscheidungsgründen:
2. Die Berufung hat Erfolg. Der Klageantrag zu 1 ist entgegen der Auffassung des Landgerichts zulässig und begründet. Über den in der Berufungsinstanz hilfsweise gestellten Antrag zu 3 ist deshalb nicht zu entscheiden.

a) Der mit dem Antrag zu 1 b geltend gemachte Unterlassungsanspruch folgt aus Art. 17 Abs. 1 DSGVO.

aa) In Fällen, in denen ein Betroffener - wie vorliegend der Kläger - vom Betreiber einer Internetsuchmaschine die Auslistung bestimmter Ergebnislinks verlangt, ist das in Art. 17 Abs. 1 DSGVO niedergelegte Recht auf Löschung schon aufgrund der für den Betroffenen letztlich unwägbaren und zudem stetem Entwicklungsfortschritt unterworfenen technischen Voraussetzungen der beanstandeten Datenverarbeitung nicht auf das schlichte Löschen von Daten zu verengen, sondern es umfasst unabhängig von der technischen Umsetzung auch das Begehren, eine erneute Listung zu unterlassen (vgl. BGH, Beschluss vom 26. September 2023 - VI ZR 97/22, GRUR 2023, 2472 Rn. 20 mwN).

bb) Die Haftung der Beklagten ist nicht subsidiär gegenüber der Haftung derjenigen Personen, die für die Veröffentlichung des Artikels vom 00.00. 2019 unmittelbar verantwortlich sind (vgl. BGH, Urteil vom 3. Mai 2022 - VI ZR 832/20, GRUR 2022, 1009 Rn. 12; vgl. auch EuGH, Urteil vom 8.12.2022 - C-460/20, GRUR 2023, 184).

cc) Der für das Auslistungsbegehren erforderliche Antrag ist jedenfalls in der Klageschrift zu sehen, in der der Kläger die Beklagte in formeller Hinsicht hinreichend deutlich auf die aus seiner Sicht vorliegende Rechtswidrigkeit der Datenverarbeitung hingewiesen hat (vgl. BGH, Urteil vom 23. Mai 2023 - VI ZR 476/18, BGHZ 237, 137 Rn. 29 mwN). Soweit die Beklagte in der mündlichen Verhandlung geltend gemacht hat, dass der Antrag keine Rückwirkung entfaltet, trifft dies zwar zu. Für den Unterlassungsanspruch kommt es jedoch nur darauf an, dass der Antrag geeignet ist, für die Zukunft eine datenschutzrechtliche Verantwortlichkeit der Beklagten zu begründen.

dd) Der auf den Internetseiten, auf die in den Suchergebnissen verwiesen wird, veröffentlichte Artikel vom 00.00. 2019 enthält unstreitig den Kläger betreffende personenbezogene Daten (Art. 4 Nr. 1 DSGVO).

ee) Entgegen der Auffassung des Landgerichts ist die Beklagte Verantwortlicher. Verantwortlicher ist nach Art. 4 Nr. 7 DSGVO die natürliche oder juristische Person, Behörde, Einrichtung oder andere Stelle, die allein oder gemeinsam mit anderen über die Zwecke und Mittel der Verarbeitung von personenbezogenen Daten entscheidet.

Nach der Rechtsprechung des Europäischen Gerichtshofs, von der auch das Landgericht ausgegangen ist, soll durch die weite Definition des Ausdrucks „Verantwortlicher“ ein wirksamer und umfassender Schutz der betroffenen Person gewährleistet werden (vgl. EuGH, Urteil vom 11. Januar 2024 - C-231/22, NJW 2024, 641 Rn. 28). Die Tätigkeit einer Suchmaschine, die darin besteht, von Dritten ins Internet gestellte oder dort veröffentlichte Informationen zu finden, automatisch zu indexieren, vorübergehend zu speichern und schließlich den Internetnutzern in einer bestimmten Rangfolge zur Verfügung zu stellen, ist, sofern die Informationen personenbezogene Daten enthalten, als Verarbeitung personenbezogener Daten im Sinne von Art. 4 Nummern 1 und 2 DSGVO einzustufen. Ferner ist der Betreiber einer solchen Suchmaschine als für diese Verarbeitung Verantwortlicher im Sinne von Art. 4 Nr. 7 DSGVO anzusehen (vgl. EuGH, Urteil vom 8. Dezember 2022 - C-460/20, GRUR 2023, 184 Rn. 49 mwN). Vorliegend ist unstreitig, dass die Beklagte in Deutschland und anderen europäischen Ländern Betreiberin der MN.-Suchmaschine ist (vgl. auch LG München, Urteil vom 22. März 2023 - 26 O 1037/21, MMR 2023, 602 Rn. 29).

Unerheblich ist es, dass die Beklagte nach ihrem Vortrag lediglich den Zugang zu der Suchmaschine anbietet, während die Entscheidungen darüber, wie auf eine Suchanfrage reagiert wird und wie die relevanten Suchergebnisse angezeigt werden, nicht von ihr, sondern der MN. LLC getroffen werden. Bei seiner abweichenden Würdigung hat das Landgericht ebenso wie die Landgerichte Rostock und Mosbach in ihren von der Beklagten als Anlage BB 1 vorgelegten Entscheidungen (LG Rostock, Urteil vom 24. Mai 2023 - 3 O 95/22; LG Mosbach Urteil im Verfahren 2 O 86/24) nicht berücksichtigt, dass nach der Rechtsprechung des Europäischen Gerichtshofs bereits die Anzeige personenbezogener Daten auf einer Seite mit Suchergebnissen eine Verarbeitung dieser Daten darstellt (vgl. EuGH, Urteil vom 13. Mai 2014 - C-131/12, GRUR 2014, 895 Rn. 57; zu einer Veröffentlichung auch EuGH, Urteil vom 11. Januar 2024 - C-231/22, NJW 2024, 641 Rn. 28). Indem die Beklagte - wie von ihr selbst vorgetragen - den deutschen Internetnutzern den Zugang zur MN.-Suchmaschine anbietet, stellt sie den Nutzern die von ihrer Muttergesellschaft aufbereiteten Suchergebnisse bereit und führt damit, soweit personenbezogene Daten in Rede stehen (Art. 4 Nr. 1 DSGVO), eine Datenverarbeitung im Sinne von Art. 4 Nr. 2 DSGVO aus (vgl. EuGH, Urteil vom 13. Mai 2014 - C-131/12, GRUR 2014, 895 Rn. 28; LG Heidelberg, Urteil vom 31. März 2023 - 6 S 1/22, juris Rn. 32). Dass die Beklagte sich die Inhalte der verlinkten Internetseiten zu eigen macht, ist dafür nicht erforderlich, weshalb die entsprechenden Erwägungen des Landgerichts dahinstehen können.

Ebenfalls unerheblich ist es, dass in der auf der Seite MN..com veröffentlichten Datenschutzerklärung die MN. LLC als zuständige Datenverantwortliche benannt ist. Denn nach den insoweit zutreffenden Ausführungen des Landgerichts kann die Beklagte sich nicht durch eine Datenschutzerklärung von ihrer aus den tatsächlichen Umständen folgenden Verantwortlichkeit befreien.

Soweit das Kammergericht in einem von der Beklagten vorgelegten Hinweisbeschluss (Beschluss vom 4. Februar 2022 - 10 W 1024/20, Anlage B 5) eine Verantwortlichkeit der Beklagten letztlich allein mit der Erwägung verneint hat, der Bundesgerichtshof (Urteil vom 27. Juli 2020 - VI ZR 405/18, BGHZ 226, 285 Rn. 13) habe ausgeführt, dass im Zusammenhang mit der Tätigkeit der Suchmaschine MN. die MN. LLC Verantwortliche im Sinne des Art. 4 Nr. 7 DSGVO sei, überzeugt dies nicht. Denn eine Verantwortlichkeit der MN. LLC schließt es, wie auch die Vorschrift des § 26 DSGVO zeigt, nicht aus, dass daneben auch die Beklagte Verantwortlicher im Sinne des Art. 4 Nr. 7 DSGVO ist (vgl. LG München, Urteil vom 22. März 2023 - 26 O 1037/21, MMR 2023, 602 Rn. 29; LG Heidelberg, Urteil vom 31. März 2023 - 6 S 1/22, juris Rn. 32).

ff) Die personenbezogenen Daten des Klägers werden unrechtmäßig verarbeitet (Art. 17 Abs. 1 Buchstabe d DSGVO) und die Verarbeitung ist nicht erforderlich zur Ausübung des Rechts auf freie Meinungsäußerung und Information (Art. 17 Abs. 3 Buchstabe a DSGVO). Die insoweit gebotene Gesamtabwägung der widerstreitenden Grundrechte, nämlich der Grundrechte des Klägers auf Achtung des Privatlebens (Art. 7 GRCh) und auf Schutz personenbezogener Daten (Art. 8 GRCh) sowie des Rechts der Beklagten auf unternehmerische Freiheit (Art. 16 GRCh), des Rechts der Inhalteanbieter auf Meinungsfreiheit (Art. 11 GRCh) und der Informationsinteressen der Nutzer (vgl. BGH, Urteile vom 27. Juli 2020 - VI ZR 405/18, BGHZ 226, 285 Rn. 20 ff.; vom 3. Mai 2022 - VI ZR 832/20, GRUR 2022, 1009 Rn. 14 ff.) geht zu Gunsten des Klägers aus. Denn der Artikel vom 00.00. 2019 enthält zumindest eine für das Gesamtverständnis des Artikels bedeutsame Information, die tatsächlich unwahr ist und die der Kläger nicht hinnehmen muss (vgl. EuGH, Urteil vom 8. Dezember 2022 - C-460/20, GRUR 2023, 184 Rn. 65; BGH, Beschluss vom 27. Juli 2020 - VI ZR 476/18, GRUR 2020, 1338 Rn. 24; Urteil vom 23. Mai 2023 - VI ZR 476/18, BGHZ 237, 137 Rn. 32).

(1) Nach der Rechtsprechung des Europäischen Gerichtshofs obliegt der Person, die wegen der Unrichtigkeit eines aufgelisteten Inhalts die Auslistung begehrt, der Nachweis, dass die in diesem Inhalt enthaltenen Informationen offensichtlich unrichtig sind oder zumindest ein für diesen gesamten Inhalt nicht unbedeutender Teil dieser Informationen offensichtlich unrichtig ist. Damit dieser Person jedoch keine übermäßige Belastung auferlegt wird, die die praktische Wirksamkeit des Rechts auf Auslistung beeinträchtigen könnte, hat sie lediglich die Nachweise beizubringen, die unter Berücksichtigung der Umstände des Einzelfalls von ihr vernünftigerweise verlangt werden können, um diese offensichtliche Unrichtigkeit festzustellen (vgl. EuGH, Urteil vom 8. Dezember 2022 - C-460/20, GRUR 2023, 184 Rn. 68; BGH, Urteil vom 23. Mai 2023 - VI ZR 476/18, BGHZ 237, 137 Rn. 33 f.).

Der Betreiber der Suchmaschine ist im Rahmen der Prüfung der Anwendungsvoraussetzungen von Art. 17 Abs. 3 Buchstabe a DSGVO nicht verpflichtet, bei der Suche nach Tatsachen, die von dem Auslistungsantrag nicht gestützt werden, aktiv mitzuwirken, um festzustellen, ob dieser Antrag stichhaltig ist. Daher ist der Betreiber der Suchmaschine bei der Bearbeitung eines solchen Antrags nicht verpflichtet, den Sachverhalt zu ermitteln und hierfür mit dem Inhalteanbieter einen kontradiktorischen Schriftwechsel zu führen, der darauf gerichtet ist, fehlende Angaben zur Richtigkeit des aufgelisteten Inhalts zu erlangen. Denn da eine solche Verpflichtung den Betreiber der Suchmaschine dazu zwingen würde, selbst einen Beitrag zum Nachweis der Richtigkeit oder Unrichtigkeit des aufgelisteten Inhalts zu erbringen, würde sie zu einer Belastung dieses Betreibers führen, die über das hinausginge, was von ihm im Hinblick auf seinen Verantwortungsbereich, seine Befugnisse und seine Möglichkeiten vernünftigerweise erwartet werden kann (vgl. EuGH, Urteil vom 8. Dezember 2022 - C-460/20, GRUR 2023, 184 Rn. 70 f.).

Folglich ist der Betreiber der Suchmaschine, wenn die eine Auslistung begehrende Person relevante und hinreichende Nachweise vorlegt, die ihren Antrag zu stützen vermögen und belegen, dass die in dem aufgelisteten Inhalt enthaltenen Informationen offensichtlich unrichtig sind oder zumindest ein für diesen gesamten Inhalt nicht unbedeutender Teil dieser Informationen offensichtlich unrichtig ist, verpflichtet, diesem Auslistungsantrag stattzugeben (vgl. EuGH, Urteil vom 8. Dezember 2022 - C-460/20, GRUR 2023, 184 Rn. 72).

Wenn die fraglichen Informationen zu einer Debatte von allgemeinem Interesse beitragen können, ist unter Berücksichtigung aller Umstände des Einzelfalls dem Recht auf freie Meinungsäußerung und Information besondere Bedeutung beizumessen. Zudem wäre eine Auslistung von Artikeln mit der Folge, dass es schwierig würde, im Internet Zugang zu der Gesamtheit dieser Artikel zu haben, auch dann unverhältnismäßig, wenn sich nur bestimmte Informationen, die im Hinblick auf den gesamten Inhalt dieser Artikel von untergeordneter Bedeutung sind, als unrichtig erweisen (vgl. EuGH, Urteil vom 8. Dezember 2022 - C-460/20, GRUR 2023, 184 Rn. 73 f.).

(2) Gemessen daran hat im Streitfall der Kläger den ihm obliegenden Nachweis durch sein Vorbringen in der Klageschrift geführt.

Er hat aufgezeigt, dass die in dem Artikel vom 00.00. 2019 aufgestellte Behauptung, auf einem von ihm auf seinem Blog geposteten und neben dem Artikel gezeigten Bild habe er an der Uniform einen Patch des T. getragen, offensichtlich nicht der Wahrheit entspricht. Der Kläger hat durch Vorlage zweier Lichtbilder des von ihm getragenen Abzeichens (Anlage K 3) und durch Vorlage zweier Internetausdrucke (Anlagen K 4 und 5) belegt, dass das von ihm getragene Abzeichen einem von der Logistikschule der Bundeswehr verwandten Logo (Anlage K 4) entspricht und sich - was bei Betrachtung der Anlagen K 3 bis 5 bereits auf den ersten Blick klar erkennbar ist - stark unterscheidet von dem Vereinszeichen des Y. TR. (Anlage K 5). Dass das als Anlage K 3 vorgelegte Lichtbild dasselbe Abzeichen zeigt, das der Kläger auch auf dem im Artikel vom 00.00. 2019 eingeblendeten Foto getragen hat, ist jedenfalls bei einer Vergrößerung des eingeblendeten Fotos, die der Beklagten ebenso wie dem Senat unschwer möglich ist und die Beklagte nicht unzumutbar belastet, ebenfalls hinreichend erkennbar. Soweit der Senat das Foto in der mündlichen Verhandlung als nicht eindeutig bezeichnet hat, bezog sich dies, wie der Senat von Anfang ausgeführt und auf den Einwand des Prozessbevollmächtigten der Beklagten bereits in der Verhandlung auch nochmals klargestellt hat, nicht auf den angeblichen Patch des T., sondern nur auf den angeblichen DR.-Orden.

Entgegen der Auffassung der Beklagten ist die Falschbehauptung nicht wertneutral. Denn zwar bestreitet der Kläger nicht, Mitglied im T. zu sein, der in dem Artikel vom 00.00. 2019 als ein „„Zitat wurde entfernt““ vorgestellt wird. Die angegriffene Falschbehauptung enthält aber eine Kritik am Kläger, die über den Vorwurf der Mitgliedschaft in einem militaristischen Verein hinausgeht. Mit der angegriffenen Falschbehauptung wird dem Kläger nämlich vorgehalten, sich auch bei der Ausübung seines Dienstes als N. und beim Tragen einer Uniform öffentlich als Mitglied des Verbandes zu erkennen gegeben zu haben, weshalb er „„Zitat wurde entfernt““ müsse. Ein derartiger Vorwurf ist deutlich schwerwiegender.

Die Falschbehauptung, der Kläger habe auf dem Foto einen Patch des T. getragen, ist auch kein ganz unbedeutender Teil des Artikels vom 00.00. 2019. Denn zwar enthält der Artikel eine Vielzahl weiterer Informationen und ist der Kläger nicht der einzige Politiker, der in dem Artikel vorgestellt wird. Die Vorstellung seiner Person ist aber für den Gesamtinhalt des Artikels zumindest ebenso bedeutend wie die Vorstellung der anderen Personen, zumal die den Kläger betreffenden Ausführungen an zweiter Stelle stehen und außer ihm nur noch zwei weitere Politiker auch im Bild gezeigt werden. Es kommt noch hinzu, dass der Kläger eine Auslistung nur insoweit begehrt, als die Nutzer der Suchmaschine Suchbegriffe eingeben, die zumindest seinen Nachnamen enthalten. Für diese Nutzer wird die Vorstellung des Klägers typischer Weise von größerer Bedeutung sein als die Vorstellung der anderen Politiker. Schließlich ist die Falschbehauptung betreffend das angebliche Tragen eines Patches des T. auch im Verhältnis zu den anderen den Kläger betreffenden Aussagen nicht nur von untergeordneter Bedeutung. Das folgt schon daraus, dass die fragliche Falschbehauptung durch das den Kläger zeigende Foto belegt werden soll. Zudem ist - wie ausgeführt - der gegen den Kläger gerichtete Vorwurf, er habe sich bei der Ausübung seines Dienstes als OM. als Mitglied eines militaristischen Verbandes zu erkennen gegeben, von erheblicher Tragweite.

Des Weiteren fällt entgegen der Auffassung der Beklagten die Abwägung nicht deshalb zu ihren Gunsten aus, weil dem Kläger die erfolgreiche Inanspruchnahme derjenigen Personen, die für die Veröffentlichung des Artikels vom 00.00. 2019 unmittelbar verantwortlich sind, möglich und - ohne erhebliche Maßnahmen und Zeitaufwand - zumutbar wäre. Die für diesen - möglichen - Einwand darlegungs- und beweisbelastete Beklagte (vgl. BGH, Urteil vom 3. Mai 2022 - VI ZR 832/20, GRUR 2022, 1009 Rn. 56) hat hierzu jedenfalls nicht ausreichend vorgetragen. Nach dem unwiderlegten Vortrag des Klägers war ihm eine Inanspruchnahme anderer Verantwortlicher nicht zuzumuten, weil die hinter den beiden fraglichen Internetseiten stehende Antifaschistische Aktion und die für sie handelnden Personen nicht greifbar und die Registrare der beiden Domains im Ausland ansässig sind.

Entgegen der Auffassung der Beklagten steht es dem Auslistungsbegehren des Klägers schließlich auch nicht entgegen, dass die Beklagte den Artikel vom 00.00. 2019 dem Antrag des Klägers zufolge nicht schon bei bloßer Eingabe des Namens des Klägers (vgl. dazu EuGH, Urteil vom 13. Mai 2014 - C-131/12, GRUR 2014, 895 Rn. 80), sondern nur bei zusätzlicher Eingabe weiterer - im Antrag wiedergegebener - Suchbegriffe nicht anzeigen soll. Der Kläger hat insoweit zu Recht geltend gemacht, dass allein auf Grund der Eingabe der weiteren Suchbegriffe nicht davon ausgegangen werden kann, dass der jeweilige Nutzer den rechtswidrigen Drittinhalt bereits kennt und gezielt nach ihm sucht.

Da das Auslistungsbegehren nach alledem alleine auf Grund der Falschbehauptung, der Kläger habe auf dem Foto einen Patch des T. getragen, gerechtfertigt ist, kommt es auf die Angriffe des Klägers gegen weitere Inhalte des Artikels vom 00.00. 2019 nicht an.

b) Der mit dem Antrag zu 1 a geltend gemachte Unterlassungsanspruch folgt aus § 97 Abs. 1 Satz 1 UrhG.

Das neben dem Artikel vom 00.00. 2019 gezeigte Lichtbild wird urheberrechtlich jedenfalls nach § 72 Abs. 1 UrhG geschützt. Das Recht stand nach § 72 Abs. 2 UrhG zunächst der Ehefrau des Klägers als Lichtbildnerin zu, da die Ehefrau das Bild nach den nicht angegriffenen tatbestandlichen Feststellungen des Landgerichts, die Beweis für das mündliche Parteivorbringen liefern (§ 314 Satz 1 ZPO), aufgenommen hat. Der Umstand, dass das Foto nach Angaben des Klägers im Bereich seiner Arbeitsstelle aufgenommen worden ist, schließt es im Übrigen keineswegs aus, dass die Ehefrau das Bild aufgenommen hat. Mit Vertrag vom 15. März 2021 hat die Ehefrau als Rechteinhaberin dem Kläger das ausschließliche, zeitlich, räumlich und inhaltlich unbeschränkte Recht eingeräumt, das Lichtbild umfassend zu nutzen, weshalb nunmehr der Kläger aktiv legitimiert ist. Dafür, dass die Ehefrau vor Abschluss des Vertrags Rechte an dem Bild an Dritte übertragen hatte, gibt es keinerlei Anhaltspunkte.

Dadurch, dass die Beklagte ihren Nutzern Hyperlinks auf die beiden im Klageantrag wiedergegebenen Internetseiten anzeigt, auf denen das Lichtbild veröffentlicht ist, verletzt sie ein unbenanntes ausschließliches Recht des Klägers zur öffentlichen Wiedergabe des Lichtbildes (§ 15 Abs. 2 UrhG). Zwar ist die Bereitstellung eines Hyperlinks nur dann als öffentliche Wiedergabe anzusehen, wenn der Betreffende wusste oder hätte wissen müssen, dass der von ihm gesetzte Link Zugang zu einem unbefugt im Internet veröffentlichten Werk schafft, etwa weil er vom Urheberrechtsinhaber zuvor darauf hingewiesen wurde (vgl. BGH, Urteil vom 21. September 2017 - I ZR 11/16, GRUR 2018, 178 Rn. 55, 67).

Ein solcher Hinweis ist aber im Streitfall mit den vorgerichtlichen Abmahnungen und dem Vortrag in der Klageschrift erfolgt. Der Kläger hat insbesondere durch Vorlage des schriftlichen Vertrags vom 15. März 2021 hinreichend nachgewiesen, dass seine Ehefrau das Bild aufgenommen und sie dem Kläger umfassende Nutzungsrechte eingeräumt hat. Dass der Vereinbarung nicht das Ursprungsbild, sondern offenbar nur ein Screenshot des Verletzungsmusters beigefügt war, ändert daran nichts.

Die öffentliche Wiedergabe des Fotos ist - wovon sich die Beklagte ohne eingehende rechtliche Prüfung überzeugen konnte und kann (vgl. EuGH, Urteil vom 22. Juni 2021 - C-682/18 u.a., GRUR 2021, 1054 Rn. 116) - auch nicht nach § 51 Satz 1 UrhG zulässig. Nach dieser Vorschrift ist die öffentliche Wiedergabe eines veröffentlichten Werkes zum Zwecke des Zitats zulässig, sofern die Nutzung in ihrem Umfang durch den besonderen Zweck gerechtfertigt ist. Eine solche Rechtfertigung scheidet im Streitfall offensichtlich aus. Der Zweck der Nutzung des Fotos lag vorliegend darin, dass es dem Verfasser des Artikels vom 00.00. 2019 als Beleg für seine Behauptungen diente, der Kläger habe an seiner Uniform einen Patch des T. - eines Militaristenverbandes - und ein Abzeichen des DR.-Ordens - eines seltsamen Templerordens - getragen. Bei der ersten Behauptung handelt es sich - wie ausgeführt - um eine Falschbehauptung, deren Unwahrheit der Kläger der Beklagten gegenüber nachgewiesen hat. Zum Beleg der zweiten Behauptung ist das Foto nicht geeignet, weil das fragliche Abzeichen auf dem Foto schon nicht hinreichend deutlich zu erkennen ist; hiervon geht die Beklagte selbst aus. Unter diesen Umständen ist nicht zweifelhaft, dass das Recht des Verfassers des Artikels auf Meinungsfreiheit hinter dem Recht des Klägers am geistigen Eigentum zurücktreten muss.

Entsprechendes gilt, soweit die Beklagte sich erstmals in der mündlichen Verhandlung auf § 50 UrhG berufen hat. Die insoweit gebotene Abwägung der betroffenen Grundrechte (vgl. BGH, Urteil vom 30. April 2020 - I ZR 228/15, GRUR 2020, 859 Rn. 48) geht aus den oben zu § 51 UrhG genannten Gründen zu Lasten der Beklagten aus. Aus den als Anlage BB2 vorgelegten Entscheidungen des Landgerichts Hamburg (Beschluss vom 21. Februar 2023 - 308 O 2/23) und des Hanseatischen Oberlandesgerichts (Beschluss vom 4. August 2023 - 5 W 3/23) folgt nichts anderes, weil in dem von diesen Gerichten entschiedenen Fall eine Falschbehauptung nicht in Rede stand.


Den Volltext der Entscheidung finden Sie hier:

EuGH: Verbandsklagebefugnis von Verbraucherschutzverbänden bei DSGVO-Verstößen - hier: Verstöße gegen Art. 12 Abs. 1 Satz 1 und Art. 13 Abs. 1 Buchst. c und e DSGVO

EuGH
Urteil vom 11.07.2024
C‑757/22
Meta Platforms Ireland Ltd, vormals Facebook Ireland Ltd
gegen
Bundesverband der Verbraucherzentralen und Verbraucherverbände – Verbraucherzentrale Bundesverband e. V
.

Der EuGH hat die Verbandsklagebefugnis von Verbraucherschutzverbänden bei DSGVO-Verstößen abermals bejaht und seine Rechtsprechung weiter präzisiert. Vorliegend ging es um Verstöße gegen Art. 12 Abs. 1 Satz 1 und Art. 13 Abs. 1 Buchst. c und e DSGVO.

Tenor der Entscheidung:
Art. 80 Abs. 2 der Verordnung (EU) 2016/679 des Europäischen Parlaments und des Rates vom 27. April 2016 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten, zum freien Datenverkehr und zur Aufhebung der Richtlinie 95/46/EG (Datenschutz-Grundverordnung)

ist dahin auszulegen, dass

die Voraussetzung, wonach eine befugte Einrichtung, um eine Verbandsklage im Sinne dieser Bestimmung erheben zu können, geltend machen muss, dass ihres Erachtens die in dieser Verordnung vorgesehenen Rechte einer betroffenen Person „infolge einer Verarbeitung“ im Sinne dieser Bestimmung verletzt wurden, erfüllt ist, wenn sich diese Einrichtung darauf beruft, dass die Verletzung der Rechte dieser Person anlässlich einer Verarbeitung personenbezogener Daten geschieht und auf einer Missachtung der Pflicht beruht, die dem Verantwortlichen gemäß Art. 12 Abs. 1 Satz 1 und Art. 13 Abs. 1 Buchst. c und e der Verordnung obliegt, der betroffenen Person spätestens bei dieser Datenerhebung Informationen über den Zweck der Datenverarbeitung und die Empfänger der Daten in präziser, transparenter, verständlicher und leicht zugänglicher Form in einer klaren und einfachen Sprache zu übermitteln.

Den Volltext der Entscheidung finden Sie hier:

BAG: Zulässige Verarbeitung von Gesundheitsdaten nach Art. 9 Abs. 2 Buchst. h DSGVO durch Medizinischen Dienst für Gutachten über eigenen Arbeitnehmer

BAG
Urteil vom 20.06.2024
8 AZR 253/20


Das BAG hat entschieden, dass die Verarbeitung von Gesundheitsdaten nach Art. 9 Abs. 2 Buchst. h DSGVO durch einen Medizinischen Dienst für ein Gutachten über den eigenen Arbeitnehmer, dass von einer Krankenkasse beauftragt wurde, zulässig ist.

Die Pressemitteilung des Gerichts:
"Verarbeitung von Gesundheitsdaten im Arbeitsverhältnis - Medizinischer Dienst - Schadenersatz

Die Verarbeitung von Gesundheitsdaten durch einen Medizinischen Dienst, der von einer gesetzlichen Krankenkasse mit der Erstellung einer gutachtlichen Stellungnahme zur Beseitigung von Zweifeln an der Arbeitsunfähigkeit eines Versicherten beauftragt worden ist, kann nach Art. 9 Abs. 2 Buchst. h DSGVO* auch dann zulässig sein, wenn es sich bei dem Versicherten um einen eigenen Arbeitnehmer des Medizinischen Dienstes handelt. Ein Arbeitgeber, der als Medizinischer Dienst Gesundheitsdaten eines eigenen Arbeitnehmers verarbeitet, ist nicht verpflichtet zu gewährleisten, dass überhaupt kein anderer Beschäftigter Zugang zu diesen Daten hat.

Der beklagte Medizinische Dienst Nordrhein führt ua. im Auftrag der gesetzlichen Krankenkassen medizinische Begutachtungen zur Beseitigung von Zweifeln an der Arbeitsunfähigkeit gesetzlich Versicherter durch, und zwar auch dann, wenn der Auftrag seine eigenen Mitarbeiter betrifft. Im letztgenannten Fall ist es – nach den Regelungen in einer zwischen dem Beklagten und dem Personalrat geschlossenen Dienstvereinbarung und einer vom Beklagten erlassenen Dienstanweisung – einer begrenzten Zahl von Mitarbeitern einer jeweils in Düsseldorf und in Duisburg eingerichteten besonderen Einheit (sog. Organisationseinheit „Spezialfall“), gestattet, unter Verwendung eines gesperrten Bereichs des IT-Systems des Beklagten die anfallenden (Gesundheits-)Daten betroffener Arbeitnehmer zu verarbeiten und nach Abschluss des Begutachtungsauftrags Zugang zum elektronischen Archiv zu erhalten. Der Zugriff auf die Daten erfolgt durch den Einsatz personalisierter Softwarezertifikate und darf nur innerhalb vergebener Zugriffsrechte, die sich an den zu erledigenden Aufgaben orientieren, stattfinden. In der Dienstanweisung ist zudem ua. festgelegt, dass für die Beschäftigten am Standort Düsseldorf bestimmte – in einem „Zugriffskonzept“ namentlich benannte – Mitarbeiter (Assistenzkräfte und Gutachter) der Organisationseinheit „Spezialfall“ in Duisburg zuständig sind. Nach der Dienstvereinbarung zugangsberechtigt sind außerdem – wiederum ausschließlich zur Erledigung ihrer Aufgaben – die Mitarbeiter der beim Beklagten standortübergreifend in Düsseldorf eingerichteten IT-Abteilung, der im Streitzeitraum neun Beschäftigte angehörten.

Der Kläger war zuletzt als Systemadministrator und Mitarbeiter „Helpdesk“ in der IT-Abteilung des Beklagten tätig. Seit November 2017 war er ununterbrochen arbeitsunfähig erkrankt. Ab Mai 2018 bezog er von seiner gesetzlichen Krankenkasse Krankengeld. Diese beauftragte im Juni 2018 den Beklagten mit der Erstellung einer gutachtlichen Stellungnahme zur Beseitigung von Zweifeln an der Arbeitsunfähigkeit des Klägers. Eine bei dem Beklagten angestellte Ärztin, die der Organisationseinheit „Spezialfall“ in Duisburg angehörte, fertigte ein Gutachten, das die Diagnose der Krankheit des Klägers enthielt. Vor Erstellung des Gutachtens holte die Ärztin bei dem behandelnden Arzt telefonisch Auskünfte über den Gesundheitszustand des Klägers ein. Nachdem der Kläger über seinen behandelnden Arzt von dem Telefonat Kenntnis erlangt hatte, kontaktierte er eine Kollegin aus der IT-Abteilung, die auf seine Bitten im Archiv nach dem Gutachten recherchierte, hiervon mit ihrem Mobiltelefon Fotos machte und anschließend die Fotos dem Kläger mittels eines Messenger-Dienstes übermittelte.

Mit seiner Klage hat der Kläger vom Beklagten die Zahlung von immateriellem Schadenersatz ua. auf der Grundlage von Art. 82 Abs. 1 DSGVO mit der Begründung verlangt, die Verarbeitung seiner Gesundheitsdaten durch den Beklagten sei unzulässig gewesen. Das Gutachten habe durch einen anderen Medizinischen Dienst erstellt werden müssen; jedenfalls sei die Gutachterin nicht berechtigt gewesen, bei seinem behandelnden Arzt telefonisch Auskünfte einzuholen. Auch seien die Sicherheitsmaßnahmen rund um die Archivierung des Gutachtens unzureichend gewesen. Die unrechtmäßige Verarbeitung seiner Gesundheitsdaten habe bei ihm bestimmte – näher ausgeführte – Sorgen und Befürchtungen ausgelöst. Zweitinstanzlich hat der Kläger außerdem im Wege der Leistungs- und der Feststellungsklage materiellen Schadenersatz in Gestalt eines ihm entstandenen bzw. künftig entstehenden (Erwerbs-)Schadens mit der Begründung geltend gemacht, die Kenntnis von dem Telefonat zwischen der Gutachterin und seinem behandelnden Arzt habe zu einer Verlängerung seiner Arbeitsunfähigkeit geführt.

Die Vorinstanzen haben die Klage abgewiesen. Die Revision des Klägers blieb vor dem Achten Senat des Bundesarbeitsgerichts erfolglos. Die Grundvoraussetzungen eines Schadenersatzanspruchs nach Art. 82 Abs. 1 DSGVO, die – kumulativ – in einem Verstoß gegen die DSGVO, einem dem Betroffenen entstandenen materiellen und/oder immateriellen Schaden und einem Kausalzusammenhang zwischen dem Schaden und dem Verstoß bestehen, liegen nicht vor. Es fehlt bereits an einem Verstoß gegen die Bestimmungen der DSGVO. Die Verarbeitung der Gesundheitsdaten des Klägers durch den Beklagten war insgesamt unionsrechtlich zulässig. Sie genügte den Vorgaben des Europäischen Gerichtshofs aus der Vorabentscheidung vom 21. Dezember 2023 (- C-667/21 – [Krankenversicherung Nordrhein]), um die ihn der Senat durch Beschluss vom 26. August 2021 (- 8 AZR 253/20 (A) -) ersucht hat. Die Verarbeitung war zur Erstellung der von der gesetzlichen Krankenkasse beauftragten gutachtlichen Stellungnahme, die ihre Grundlage im nationalen Recht hat, zur Beseitigung von Zweifeln an der Arbeitsunfähigkeit des Klägers iSv. Art. 9 Abs. 2 Buchst. h DSGVO erforderlich. Das betrifft auch das zwischen der Gutachterin des Beklagten und dem behandelnden Arzt des Klägers geführte Telefonat. Die Datenverarbeitung genügte zudem den Garantien des Art. 9 Abs. 3 DSGVO, da sämtliche Mitarbeiter des Beklagten, die Zugang zu Gesundheitsdaten des Klägers hatten, einer beruflichen Verschwiegenheitspflicht bzw. jedenfalls dem Sozialgeheimnis, das die Mitarbeiter des Beklagten auch untereinander zu beachten haben, unterlagen. Das Unionsrecht enthält in den genannten Bestimmungen keine Vorgabe, wonach in einem Fall wie dem Vorliegenden ein anderer Medizinischer Dienst mit der Gutachtenerstellung beauftragt werden müsste oder sichergestellt werden müsste, dass kein anderer Arbeitnehmer des beauftragten Medizinischen Dienstes Zugang zu Gesundheitsdaten des Betroffenen erhält. Entsprechende Beschränkungen der (Gesundheits-)Datenverarbeitung, die die Mitgliedstaaten nach Art. 9 Abs. 4 DSGVO einführen oder aufrechterhalten dürfen, sind im nationalen (deutschen) Recht nicht enthalten. Die Datenverarbeitung durch den Beklagten war auch im Übrigen rechtmäßig. Sie erfüllte die allgemeinen Bedingungen für eine rechtmäßige Verarbeitung des neben Art. 9 DSGVO anwendbaren Art. 6 DSGVO. Die vom Beklagten hinsichtlich der Wahrnehmung seiner gesetzlichen Aufgaben als Medizinischer Dienst zum Schutz der Gesundheitsdaten eigener Mitarbeiter getroffenen organisatorischen und technischen Maßnahmen wurden überdies den im Unionsrecht verankerten Grundsätzen der Integrität und Vertraulichkeit gerecht. Davon war umso mehr auszugehen als der einzige nachgewiesene Fall eines unberechtigten Zugriffs auf Gesundheitsdaten eines Beschäftigten, die der Beklagte als Medizinischer Dienst verarbeitet hat, auf eine Initiative des Betroffenen selbst – hier des Klägers – zurückzuführen war.

Bundesarbeitsgericht, Urteil vom 20. Juni 2024 – 8 AZR 253/20
Vorinstanz: Landesarbeitsgericht Düsseldorf, Urteil vom 11. März 2020 – 12 Sa 186/19

*Art. 9 der Verordnung (EU) 2016/679 des Europäischen Parlaments und des Rates vom 27. April 2016 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten, zum freien Datenverkehr und zur Aufhebung der Richtlinie 95/46/EG (DSGVO) lautet auszugsweise:

„(1) Die Verarbeitung personenbezogener Daten, aus denen die rassische und ethnische Herkunft, politische Meinungen, religiöse oder weltanschauliche Überzeugungen oder die Gewerkschaftszugehörigkeit hervorgehen, sowie die Verarbeitung von (…) Gesundheitsdaten (…) einer natürlichen Person ist untersagt.

(2) Absatz 1 gilt nicht in folgenden Fällen:
(…)
h) die Verarbeitung ist (…) für die Beurteilung der Arbeitsfähigkeit des Beschäftigten (…) auf der Grundlage des Unionsrechts oder des Rechts eines Mitgliedstaats (…) und vorbehaltlich der in Absatz 3 genannten Bedingungen und Garantien erforderlich,
(…)
(3) Die in Absatz 1 genannten personenbezogenen Daten dürfen zu den in Absatz 2 Buchstabe h genannten Zwecken verarbeitet werden, wenn diese Daten von Fachpersonal oder unter dessen Verantwortung verarbeitet werden und dieses Fachpersonal nach dem Unionsrecht oder dem Recht eines Mitgliedstaats (…) dem Berufsgeheimnis unterliegt, oder wenn die Verarbeitung durch eine andere Person erfolgt, die ebenfalls nach dem Unionsrecht oder dem Recht eines Mitgliedstaats (…) einer Geheimhaltungspflicht unterliegt.

(4) Die Mitgliedstaaten können zusätzliche Bedingungen, einschließlich Beschränkungen, einführen oder aufrechterhalten, soweit die Verarbeitung von genetischen, biometrischen oder Gesundheitsdaten betroffen ist.



OLG Celle: Massenverfahren gegen Musikstreamingdienst wegen DSGVO-Verstößen - Jeweils Streitwert von 300 EURO für Unterlassungsanspruch, Feststellungsanspruch und Auskunftsanspruch

OLG Celle
Beschluss vom 10.06.2024
5 W 46/24

Das OLG Celle hat entschieden, dass in Massenverfahren gegen einen Musikstreamingdienst wegen DSGVO-Verstößen aufgrund eines Datenlecks für den Unterlassungsanspruch, Feststellungsanspruch und Auskunftsanspruch ein Streitwert in Höhe von jeweils 300 EURO angemessen ist.

Aus den Entscheidungsgründen:
Die Prozessbevollmächtigte des Klägers wendet sich mit ihrer Beschwerde gegen die Streitwertfestsetzung des Landgerichts in erster Instanz, die sie als zu niedrig erachtet.

In dem dem vorliegenden Beschwerdeverfahren zugrunde liegenden Hauptsacheverfahren hat der Kläger gegen die Beklagte Ansprüche aus der DSGVO geltend gemacht. Die Beklagte - die D. - betreibt einen internationalen Musikstreaming-Dienst gleichen Namens, der in über 180 Ländern verfügbar und unter der Internetadresse www.D..com erreichbar ist. Das wesentliche Angebot besteht aus einem Streaming-Angebot, zusammengesetzt aus Musik, Hörbüchern, Hörspielen und Podcasts. Die Parteien haben über einen sogenannten Cyber- / Hackerangriff auf Kundendaten der Beklagten gestritten, wobei dessen zeitliche Abfolge, die Reaktion der Beklagten sowie das Ausmaß des Angriffs zwischen den Parteien streitig gewesen sind.

Der Kläger hat mit seiner Klage als Ausgleich für behauptete Datenschutzverstöße die Zahlung eines immateriellen Schadensersatzes in Höhe von 1.000 Euro, einen Feststellungsantrag betreffend die Ersatzpflicht der Beklagten hinsichtlich zukünftiger materieller Schäden, einen Unterlassungsantrag sowie einen Auskunftsantrag geltend gemacht. Das Landgericht hat der Klage (nur) zum Teil stattgegeben. Dagegen hat der Kläger Berufung eingelegt. Unter Ziffer IV. der Entscheidungsgründe des angefochtenen Urteils hat das Landgericht den Streitwert für das erstinstanzliche Verfahren auf 3.500 Euro festgesetzt. Den Zahlungsantrag hat es dabei mit 1.000 Euro bemessen, den Antrag auf Unterlassung mit 2.000 Euro, sowie die Auskunfts- und Feststellungsanträge jeweils mit 250 Euro. Dagegen richtet sich die Streitwertbeschwerde der Prozessbevollmächtigten des Klägers, mit der diese eine Heraufsetzung des Streitwerts auf "mindestens 6.000 Euro" begehrt, wobei sie den Schadensersatzanspruch mit 1.000 Euro bemisst, den Unterlassungsanspruch mit 4.000 Euro, den Feststellungsanspruch mit 500 Euro, und den Auskunftsanspruch mit 500 Euro.

II.

Die Beschwerde der Prozessbevollmächtigten des Klägers ist nach §§ 68 Abs. 1 GKG, 32 Abs. 2 Satz 1 RVG statthaft und auch im Übrigen zulässig. Im Ergebnis hat die Beschwerde keinen Erfolg. Im Gegenteil war der Streitwert für den Rechtsstreit in erster Instanz von Amts wegen herabzusetzen.

1. Der Senat ist nicht daran gehindert, den vom Landgericht festgesetzten Streitwert entgegen dem Ziel der Beschwerde, diesen heraufzusetzen, von Amts wegen herabzusetzen. Der im Zivilprozessrecht sonst fast ausnahmslos geltende Grundsatz des Verbots der "reformatio in peius" gilt im Streitwertrecht grundsätzlich nicht (einhellige Auffassung, vgl. z. B. Senat, Beschluss vom 29. April 2024 - 5 W 19/24, juris Rn. 7; OLG Stuttgart, Beschluss vom 9. Oktober 2019 - 6 W 47/19, juris Rn. 26; OLG Karlsruhe, Beschluss vom 4. Januar 2018 - 12 W 37/17, juris Rn. 17; OLG Düsseldorf, Beschluss vom 16. August 2010 - 24 W 9/10, juris Rn. 10).

2. Der Senat setzt den Streitwert für das erstinstanzliche Verfahren auf 1.900 Euro fest. Dabei entfällt auf den Zahlungsantrag ein Wert von 1.000 Euro sowie auf die restlichen drei Unterlassungs-, Feststellungs- und Auskunftsanträge jeweils ein Wert von 300 Euro.

a) Der Senat hat unter dem 4. April 2024 in den Verfahren 5 U 31/23 und 5 U 77/23 (jeweils bei juris) Urteile in Verfahren erlassen, die beide zum Gegenstand hatten, dass die jeweiligen Klageparteien Ansprüche aus der DSGVO auf Schadensersatz, Unterlassung, Feststellung und Auskunft aus Anlass eines sogenannten "Datenscraping-Vorfalls" bei der dortigen Beklagten, die Betreiberin eines weltweit agierenden sozialen Netzwerks ist, geltend machten. Die Prozessbevollmächtigten der dortigen Klageparteien - die identisch sind mit der hiesigen Beschwerdeführerin - haben bundesweit eine höhere vierstellige Anzahl von Verfahren dieser Art gegen die dortige Beklagte bei deutschen Gerichten anhängig gemacht. Zu dem Streitwert in diesen Verfahren hat der Senat beispielsweise in dem Verfahren 5 U 31/23 folgende Ausführungen gemacht (a.a.O., juris Rn. 113 ff.):

"Den Streitwert sowohl für das Berufungs- wie für das erstinstanzliche Verfahren setzt der Senat - jeweils unter Abänderung des Senatsbeschlusses vom 23. Januar 2024 - auf 2.100,00 € fest. Davon entfallen auf die einzelnen Klageanträge folgende Werte:

- Klageantrag zu Ziffer 1. (Zahlung): 1.000,00 € EUR

- Klageantrag zu 2. (Feststellung): 300,00 €

- Klageantrag zu Ziffer 3. (Unterlassung): 500,00 € (insoweit meint der Senat, dass hier ein einheitlicher Streitwert zu bilden ist, entsprechend der - aus Sicht des Senats vergleichbaren - Rechtslage bei mehreren ehrkränkenden Äußerungen, bspw. in einem Buch oder einem anderen Schriftstück, deren Unterlassung mit der Klage begehrt wird: vgl. dazu Kurpart in Schneider/Kurpart, Streitwertkommentar, 15. Aufl., Rn. 2.1006, Seite 328)

- Klageantrag zu Ziffer 4. (Auskunft): 300,00 €.

Das begründet sich wie folgt:

1. Der Senat hatte bislang in ständiger Rechtsprechung den Streitwert in Verfahren wie dem vorliegenden auf 7.500,00 € festgesetzt und dabei den Zahlungsantrag nach Ziffer 1. der Klageschrift mit 1.000,00 €, den Feststellungsantrag nach Ziffer 2. der Klageschrift mit 1.000,00 €, den Unterlassungsantrag nach Ziffer 3. der Klageschrift mit 5.000,00 € und den Auskunftsantrag nach Ziffer 4. der Klageschrift mit 500,00 € bemessen. Nachdem der Senat zwischenzeitlich einen "Gesamtüberblick" über die Verfahren der vorliegenden Art bekommen sowie Kenntnis von insbesondere den Entscheidungen des OLG Hamm (Urteil vom 15. August 2023 - 7 U 19/23, juris Rn. 271 ff.) sowie des OLG Köln (Urteil vom 7. Dezember 2023 - 15 U 33/23, juris Rn. 89) erlangt hat, hat der Senat seine bisherige Rechtsprechung überdacht und neu bewertet. Danach ergibt sich Folgendes:

a) Die bisherige Bewertung des Unterlassungsanspruches mit 5.000,00 € durch den Senat in Verfahren wie dem vorliegenden hatte seine Grundlage in den Vorschriften der §§ 48 Abs. 2 GKG, 23 Abs. 3 Satz 2 RVG, 36 Abs. 3 GNotKG. Den Wert des Feststellungs- sowie des Auskunftsanspruchs hatte der Senat nach § 3 ZPO geschätzt.

b) Indes hat sich für den Senat zwischenzeitlich gezeigt, dass von einem eigenen Interesse der jeweiligen Klagepartei (§ 3 ZPO) in Verfahren wie dem vorliegenden an dem Unterlassungs-, dem Auskunfts- sowie dem Feststellunganspruch im Regelfall nicht oder allenfalls in einem geringen Maße ausgegangen werden kann. Das zeigte sich für den Senat instruktiv im Rahmen der Anhörung des Klägers in dem vorliegenden Verfahren. Danach gefragt, welche "Zielrichtung" seine Klageanträge auf Unterlassung, Feststellung und Auskunft haben bzw. welches Interesse für ihn an der Durchsetzung dieser Anträge besteht, war der - ansonsten überaus eloquente - Kläger nicht in der Lage, substanzielle Antworten zu geben, er blieb mit seinen diesbezüglichen Ausführungen vielmehr im Vagen und hat sich auf "Allgemeinplätze" verlegt (wie z.B. in Bezug auf den Unterlassungsantrag: "Ich möchte natürlich nicht, dass das noch mal passiert"). Mindestens zum Teil hatte der Senat von dem Kläger auch den Eindruck, dass diesem noch nicht einmal bewusst war, welchen Inhalt diese Klageanträge haben.

Der Senat hat insgesamt von dem hiesigen Kläger den Eindruck gewonnen, dass ein eigenes Interesse an diesen drei Klageanträgen - also neben dem Zahlungsantrag - für ihn nicht besteht. Im Gegenteil hat der Senat zwischenzeitlich - und zwar ausdrücklich nicht nur aufgrund des persönlichen Eindrucks des Klägers in dem vorliegenden Verfahren, der zwangsläufig nur für die Wertfestsetzung in dem vorliegenden Verfahren von Relevanz sein kann - aufgrund des Gesamteindrucks der Verfahren der vorliegenden Art den Eindruck gewonnen, dass diese jeweiligen drei Klageanträge in den massenhaften Verfahren, die die Prozessbevollmächtigten des hiesigen Klägers zwischenzeitlich in ganz Deutschland anhängig gemacht haben, mindestens in erster Linie der Anreicherung des Prozessstoffs ohne ein wesentliches eigenes materielles Interesse der jeweiligen Klagepartei dienen. Damit im Einklang steht im Übrigen der Umstand, dass die Prozessbevollmächtigten des Klägers in Verfahren wie dem vorliegenden bei dem Senat Streitwertbeschwerden im eigenen Namen (§ 32 Abs. 2 RVG) in einer inzwischen dreistelligen Anzahl erhoben haben, jeweils mit dem Ziel, den Streitwert heraufzusetzen.

Nach Abwägung der vorgenannten sowie aller weiteren Umstände des vorliegenden Falles bewertet der Senat mithin den Feststellungsantrag sowie den Auskunftsantrag jeweils auf der niedrigsten Wertstufe, also jeweils mit 300,00 € und den Unterlassungsantrag mit 500 €. Dies gilt für das vorliegende Verfahren und wird der Senat nunmehr - sofern nicht im Einzelfall konkrete Umstände eine andere Entscheidung bedingen - in Verfahren der vorliegenden Art regelmäßig praktizieren."

b) Diese Grundsätze wendet der Senat entsprechend auch für das vorliegende Verfahren an. Zwar sind bei dem Senat bislang von Seiten der Beschwerdeführerin - bei der es sich um dieselbe Rechtsanwaltskanzlei handelt, die auch die jeweiligen Klageparteien in den vorstehend genannten Senatsverfahren 5 U 31/23 und 5 U 77/23 vertreten hat - als Prozessbevollmächtigte von Klageparteien noch keine Verfahren in größerer Anzahl gegen die hiesige Beklagte anhängig gemacht worden. Indes hat der Senat aufgrund anderer Umstände des vorliegenden Falles davon auszugehen, dass auch die dem vorliegenden Beschwerdeverfahren zugrundeliegende Klage Teil eines "Massenverfahrens" ist, dass die Beschwerdeführerin für eine Vielzahl von Klageparteien gegen die hiesige Beklagte führt. Auf Seite 14 der Klageerwiderung vom 12. Januar 2024 (Bl. 135 R d. A.) hat die Beklagte nämlich auszugsweise Folgendes vorgetragen:

"Der formelhafte, pauschale Vortrag der Klagepartei hat keinen individuellen Bezug zur Person der Klagepartei. Die außergerichtliche Darstellung ihrer angeblichen persönlichen Betroffenheit entspricht wortlautidentisch einer Vielzahl von mehr als 2.200 (!) Anspruchsschreiben, welche die Kanzlei des Prozessbevollmächtigten der Klagepartei für andere Mandanten an die Beklagte versendet hat. Auch der Vortrag in der Klageschrift entspricht zu großen Teilen wortlautidentisch anderen Klagen, die die Prozessbevollmächtigten der Klagepartei bei anderen deutschen Gerichten eingereicht hat."

Dieses Tatsachenvorbringen der Beklagten ist erstinstanzlich unstreitig geblieben, weil der Kläger hierauf in der Folgezeit bis zum Schluss der mündlichen Verhandlung in erster Instanz inhaltlich nicht eingegangen ist (vgl. insbesondere erster Absatz auf Seite 7 des Schriftsatzes vom 6. Februar 2024, Bl. 158 d. A.). Der Senat hat das vorgenannte Tatsachenvorbringen der Beklagten daher seiner Entscheidung in dem vorliegenden Beschwerdeverfahren zugrunde zu legen (§ 138 Abs. 3 ZPO).

In diesen - unbestrittenen - Tatsachenvortrag der Beklagten fügt sich im Übrigen noch der - im Sinne von § 291 ZPO offenkundige (vgl. dazu, dass hierzu auch Informationen aus dem Internet gehören: BGH, Beschluss vom 7. Mai 2020 - IX ZB 84/19, juris Rn. 15) - Umstand ein, dass die Beschwerdeführerin auf der Startseite ihres Internet-Auftritts Kundenakquise in dem hier erörterten tatsächlichen Zusammenhang betreibt ("D.-Datenleck Steht Ihnen Schadensersatz zu? 14 Millionen betroffene Deutsche! Jetzt checken"). Des Weiteren hat die Beschwerdeführerin auf YouTube ein Video hochgeladen, mit dem sie Kundenakquise in Bezug auf den im hiesigen Klageverfahren streitgegenständlichen Vorfall betreibt.

Nach dieser Maßgabe gilt aber die Argumentation, die der Senat in seinen beiden vorgenannten Entscheidungen vom 4. April 2024 in den Verfahren 5 U 31/23 und 5 U 77/23 (sowie - bezogen auf die hiesige Beklagte - auch schon in seinem Beschluss vom 29. April 2024 - 5 W 19/24, juris) gemacht hat, entsprechend auch in dem vorliegenden Verfahren. Auch hier muss der Senat davon ausgehen, dass die Aufnahme der Feststellungs-, Unterlassungs- und Auskunftsanträge in die Klage in erster Linie der "Anreicherung des Prozessstoffs" gedient hat, ohne ein wesentliches eigenes materielles Interesse der hiesigen Klägerin. Demgemäß hat der Senat vorliegend die Feststellungs-, Unterlassungs- und Auskunftsanträge jeweils auf der untersten Wertstufe, nämlich jeweils mit 300 Euro, bemessen. In Bezug auf den Unterlassungsantrag besteht der Unterschied zu der diesbezüglichen Wertfestsetzung in den Verfahren 5 U 31/23 und 5 U 77/23 darin, dass in jenen Verfahren - anders als vorliegend - mit dem jeweiligen Unterlassungsantrag gleich zwei verschiedene Unterlassungsbegehren verfolgt worden sind.


Den Volltext der Entscheidung finden Sie hier:

LG Kiel: Cyberversicherung muss bei falscher Beantwortung der Risikofragen im Schadensfall nicht zahlen sondern kann den Vertrag wegen arglistiger Täuschung anfechten

LG Kiel
Urteil vom 23.05.2024
5 O 128/21


Das LG Kiel hat entschieden, dass eine Cyberversicherung bei falscher Beantwortung der Risikofragen im Schadensfall nicht zahlen muss, sondern den Vertrag deshalb wegen arglistiger Täuschung anfechten kann.

Aus den Entscheidungsgründen:
Der Klägerin steht gegen die Beklagte kein Anspruch auf Zahlung von Versicherungsleistungen aus dem zwischen den Parteien geschlossenen Versicherungsvertrag zu, da der Vertrag aufgrund der von der Beklagten erklärten Anfechtung wegen arglistiger Täuschung nichtig ist (§§ 20, 22 VVG i.V.m. §§ 123 Abs. 1, 142 Abs. 1 BGB).

Die Beklagte hat mit der Klagerwiderung vom 18.08.2021 und damit noch binnen der Jahresfrist des § 124 BGB die Anfechtung des Vertrages wegen arglistiger Täuschung erklärt.

Die Klägerin hat die Beklagte bei Vertragsschluss über vertragsrelevante Risiken arglistig getäuscht, indem sie nach Überzeugung der Kammer jedenfalls die im Rahmen der Invitatio gestellten Risikofragen zu Ziffer 3) und 4) durch ihren beauftragten Verhandlungsgehilfen, den Zeugen J. falsch beantworten ließ, der seine Angaben im Bewusstsein seiner Unkenntnis ins Blaue hinein machte. Zwischen den Parteien ist unstreitig, dass, wie sich auch aus der von der Klägerin vorgelegten Anlage K 11 ergibt, dem Abschluss des Versicherungsvertrages zunächst eine sogenannte Invitatio vorausgeht, bei der der künftige Versicherungsnehmer, also hier die Klägerin über ihren Makler, nicht nur allgemeine Angaben zu ihrem Unternehmen und den Umfang des gewünschten Versicherungsschutzes über ein Onlineportal eingibt, sondern auch die dort abgefragten Risikofragen entweder mit ja oder nein beantworten muss, um im Anschluss die Invitatio starten zu können, das heißt die Beklagte als Versicherung zur Abgabe eines Angebotes auf Abschluss eines Versicherungsvertrages einzuladen. Es handelt sich also nicht um den von der Klägerseite angeführten Fall einer Täuschung über nicht erfragte Umstände. Unerheblich ist in diesem Zusammenhang, ob die über das Onlineportal gestellten Risikofragen im weiteren Verlauf der Vertragsverhandlung und des Abschlusses des Vertrages auch in Textform gemäß § 126b BGB, wie im Fall des § 19 Abs. 1 VVG gefordert, gestellt worden sind. Eine arglistige Täuschung liegt selbst dann vor, wenn vor dem Vertragsschluss gestellte mündliche Fragen objektiv falsch beantwortet worden sind. Dies gilt damit erst recht, wenn die über ein Onlineportal auf dem Bildschirm sichtbaren Fragen falsch beantwortet werden (OLG Celle VersR 2020, 830; OLG Hamm BeckRS 2019, 37498; Langheid/Wandt- Bußmann Münchener Komm. z. VVG § 22 R. 19; Piontek r+s 2019 S. 1 ff (4)). Anzumerken ist in diesem Zusammenhang jedoch, dass der Zeuge J., der zum Vertragsschluss und den dortigen Angaben vernommen worden ist von sich auch erklärte, dass er die dortigen Angaben und Erklärungen für sich nochmals ausgedruckt habe, da er noch ein Anhänger der Papierform sei, was gegen die Darstellung der Klägerseite spricht, die gestellten Risikofragen hätten vor Vertragsschluss nicht in Textform im Sinne des § 126b BGB vorgelegen.

Jedenfalls die hier gestellten Risikofragen zu Ziffer 3) und 4) wurden bezogen auf den als Speicherplatz genutzten Windows 2003 Rechner, den für den Betrieb des WEB-Shops eingesetzten Windows 2008 SQL-Server und den noch im Auslieferungszustand von 2019 befindlichen Domain-Controller DC09 objektiv falsch beantwortet, so dass dahin gestellt bleiben kann, inwieweit auch weitere Fragen falsch beantwortet worden sind. Die Frage zu 3), ob „alle stationären und mobilen Arbeitsrechner mit aktueller Software zur Erkennung und Vermeidung von Schadsoftware ausgestattet“ sind, wurde mit „ja“ beantwortet. Ebenso wurde die Frage zu Ziffer 4) nach der Durchführung verfügbarer Sicherheitsupdates ohne schuldhaftes Zögern und dem Einsatz von Produkten für die Software für Betriebssysteme, Virenscanner, Firewall, Router, NAS-Systeme usw., für die vom Hersteller Sicherheitsupdates bereitgestellt werden, bejaht. Tatsächlich war unstreitig auf dem Windows 2003 Rechner kein Virenschutzprogramm installiert und Sicherheitsupdates des Herstellers für die Klägerin nicht verfügbar. Das gilt auch für den zum Betrieb des WEB-Shops als Verbindung zum Warenwirtschaftssystem der Klägerin eingesetzten Windows 2008 Rechner. Auch hier war vor dem Vertragsschluss im Januar 2020 das von dem Hersteller bereit gestellte Sicherheitsupdate ausgelaufen. Einen erweiterten Supportvertrag, über den weiterhin Sicherheitsupdates hätten abgerufen werden können, hatte die Klägerin unstreitig für diesen Rechner nicht abgeschlossen. Zudem bestätigte der Zeuge J., dass, wie sich auch aus der von der Beklagten beauftragten forensischen Analyse durch die Diplom-Informatikerin R. ergibt, der Microsoft Windows 2008 R2 Rechner, der als WEB-SQL Server genutzt worden ist, nicht über einen Virenscanner verfügte. Schließlich befand sich auch der Domaincontroller DC 09 noch im Auslieferungszustand von 2019, dass heißt weder waren Sicherheitsupdates und Aktualisierung erfolgt noch ein Virenschutz installiert. Die Fragen zu Ziffer 3) und 4) sind damit objektiv falsch beantwortet worden.

Die Klägerin kann nicht damit gehört werden, dass unter den Begriff des Arbeitsrechners in Frage 3) lediglich die Arbeitsplatzrechner, auf denen ein Virenscanner installiert war, nicht jedoch die im Netzwerk der Klägerin installierten Server, insbesondere nicht der - nach dem Klägervortrag - bei Vertragsschluss in einer demilitarisierten Zone (DMZ) befindliche SQL- Server, erfasst sei.

Nach ständiger Rechtsprechung des Bundesgerichtshofs ist für die Auslegung von allgemeinen Versicherungsbedingungen wie auch für Erklärungen des Versicherers und damit den hier gestellten Risikofragen auf den durchschnittlichen, um Verständnis bemühten Versicherungsnehmer ohne versicherungsrechtliche Spezialkenntnisse abzustellen. In erster Linie ist bei der Auslegung vom Wortlaut auszugehen. Zudem ist der verfolgte Zweck und der Sinnzusammenhang zu berücksichtigen (BGH Urteil vom 23.06.1993 - IV ZR 135/92). Der Versicherungsnehmer, der eine Cyberversicherung zur Absicherung seines betrieblichen IT-Netzwerkes vor Schäden durch Hackerangriffe oder Ähnlichem absichern möchte, wird hierbei ohne weiteres erkennen, dass die vor dem Versicherungsvertragsschluss erfolgende Risikobewertung durch den Versicherer maßgeblich von verfügbaren Schutzmaßnahmen gegen IT-Angriffe von außen, wie installierten Virenschutzprogrammen und vom Hersteller bereitgestellten und auch abgerufenen Sicherheitsupdates abhängt. Gerade wenn die in der Verfügungsgewalt des Versicherungsnehmers stehenden Rechner in einem Netzwerk verbunden sind, ist ohne weiteres ersichtlich, dass die Gesamtheit des Netzes nur so sicher sein kann, wie deren schwächsten Glieder. Er wird daher den Begriff des Arbeitsrechners weiter verstehen als den des bloßen Arbeitsplatzrechners und hierunter alle Computersysteme verstehen, die in dem Betrieb Funktionen, sei es als Eingabegerät oder als Server wahrnehmen, weil bereits durch den Zugriff auf einzelne Komponenten mit Malware das gesamte Netzwerk Schaden nehmen kann. Er wird aus der Formulierung in Frage 4), in der nach „durchgeführten“ Sicherheitsupdates gefragt wird, des Weiteren erkennen, dass der Versicherer sich hier nach tatsächlich verfügbaren und von dem Anfragenden genutzte Sicherheitsupdates des Herstellers erkundigt.

Die Klägerin kann auch nicht damit gehört werden, dass ein ausreichender Virenschutz über die mit den Windows 2003 verbundenen mobilen Arbeitsplatzrechner gewährt worden sei oder der Windows 2008 SQL Rechner zum Zeitpunkt des Vertragsschlusses sich in einer sogenannten DMZ befunden habe und es sich hierbei nicht um einen Arbeitsrechner handele. Damit blieben weiterhin die im Netzwerk eingebundenen, als Speicherplatz genutzten Server mit dem Windows 2003 Betriebssystem sowie der WEB-SQL-Server mit dem Windows 2008 System ohne aktuellen Virenschutz und Sicherheitsupdates. Sie waren dennoch, wie der Sachverständige S. im Rahmen der Erörterung in der mündlichen Verhandlung erklärte, über die angeschlossenen Arbeitsplatzrechner mit dem Internet verbunden. Die älteren Rechner verfügten über allgemein bekannte Sicherheitsmängel, wie zum Beispiel das aktive SMB1 Protokoll, die von externen Angreifern zur Kompromittierung des gesamten Netzsystems genutzt werden konnten. Es steht der Klägerin als Versicherungsnehmerin nicht zu, an Stelle des Versicherers und ohne dies offen zu legen, die Risikobewertung selbst vorzunehmen. Dies ist vergleichbar mit dem Fall, in dem im Rahmen einer Berufsunfähigkeits- oder Lebensversicherung die Gesundheitsfrage nach einem Bluthochdruck von dem Versicherungsnehmer verneint wird, weil dieser durch die Einnahmen von Medikamenten gut eingestellt ist. Auch wenn daneben weitere Schutzmaßnahmen vor einem Schadangriff getroffen worden sein sollten, bleibt es dabei, dass die Fragen zu Ziffer 3) und 4) objektiv falsch beantwortet worden sind.

Der Zeuge J. hat die zu Ziffer 3)und 4) gestellten Fragen ins Blaue hinein unrichtig beantwortet und damit arglistig getäuscht.

Die Klägerin hat sich dahingehend eingelassen, dass der Zeuge J. bei der Beantwortung der Risikofragen weder an den Windows 2003 Server und Speicherplatz, noch an den als SQL Server für den Betrieb des WEB-Shops genutzten Windows 2008 Rechner gedacht habe. Auch sei ihm unbekannt gewesen, dass der Domain-Controller DC09 seit März 2019 kein Update oder Virenschutz erhalten hatte und sich noch im Auslieferungszustand befunden habe. Der Zeuge J. bestätigte diesen Vortrag der Klägerin im Rahmen seiner Vernehmung und gab an, er habe sich darauf verlassen, dass die von ihm hierzu beauftragten Mitarbeiter, wie der inzwischen verstorbene Angestellte P. sowie der externe Dienstleister F., die ihnen übertragenen Aufgaben zur Absicherung des Netzwerkes korrekt wahrgenommen hätten. Das überzeugt die Kammer nicht. Hinsichtlich der Falschbeantwortung der Risikofragen zu 3) und 4) zu den oben genannten Rechnern liegt kein Fall der bloß fahrlässigen Unkenntnis vor, sondern der „bewussten Unkenntnis“ in dem Sinne des „na wenn schon“, was den Tatbestand der arglistigen Täuschung erfüllt.

Der Zeuge J. gab im Rahmen seiner Vernehmung an, dass die als Speicherplatz genutzten Rechner mit Windows 2003 Betriebssystem bei Beantwortung der Risikofragen „geflissentlich übersehen“ worden seien. Zu berücksichtigen ist weiter, dass es sich bei den oben genannten drei Rechnersystemen nicht um im Betrieb funktionell untergeordnete Rechner handelte, wie beispielsweise der ebenfalls mit einem Windows 2003 System ausgestattete, nach Angaben des Zeugen J. nicht mehr genutzte, gleichwohl im Netz angeschlossene Fax-Server an dem Standort G.. Vielmehr hatten sowohl die Windows 2003 und 2008 Rechner als auch der Domain Controller 09 entscheidende und zentrale Funktionen im Betrieb der Klägerin, sodass es nicht vorstellbar ist, dass diese Rechner „einfach vergessen“ worden sind. So dienten die Windows 2003 Rechner als zentraler Speicherplatz für Vertragsunterlagen, Rechnungen oder sonstige Dokumente des Unternehmens, waren über die angeschlossenen Arbeitsplatzrechner erreichbar und auf diese Weise mit dem IT-Netz verbunden. Die Rechner wurden, wie es der Zeuge J. angab, als „riesiger USB-Stick“ genutzt.

Ebenso hatte der als WEB-SQL-Server genutzte, mit dem Windows 2008 Betriebssystem ausgestattete Rechner, der schließlich das Einfallstor für den Hackerangriff bot, eine zentrale Rolle im Unternehmen der Klägerin. Er diente zum Betrieb des Herzstückes des Unternehmens, nämlich dem Betrieb des WEB-Shops, indem er eine Verbindung zu dem Warenwirtschaftssystem der Klägerin herstellte. Hierdurch erhielt der bestellende Kunde eine Rückmeldung, inwieweit der von ihm angefragte Artikel auf Lager und verfügbar war. Hierbei war man sich im Unternehmen der Klägerin durchaus der Risiken eines Schadangriffes auf diesen Server bewusst, da dieser, nach ihrem Vortrag, durch eine doppelte Firewall abgesichert gewesen sei und sich in einer sogenannten DMZ befunden habe. Es ist nicht vorstellbar, dass dieser so gesondert gesicherte Server bei den ausdrücklich gestellten Risikofragen nach Software zum Erkennen und Vermeiden von Schadsoftware und Sicherheitsupdates von dem Zeugen J. als Leiter der IT-Abteilung einfach vergessen worden ist.

Schließlich kam auch dem Domain-Controller DC09 eine zentrale Funktion im Unternehmen zu. Der Domain-Controller, der von der Beklagten als „Schatztruhe mit den Schlüsseln zum Königreich“ bezeichnet worden ist, wurde von dem Zeugen J. weniger poetisch als „Telefonbuch des Unternehmens“ bezeichnet. Die Funktion des Domain-Controller sei so wichtig, wie der Zeuge J. weiter anmerkte, dass im Unternehmen deshalb zwei davon zur Verfügung stünden, da bei einem Ausfall eines Domain-Controllers bei der Klägerin praktisch niemand mehr arbeiten könne. Der Domain-Controller ist ein Server zur zentralen Authentifizierung von Computern und Rechner in einem Rechnernetz, also von zentraler Bedeutung für die Funktionsweise des gesamten, 400 Rechner umfassenden Rechnernetzes der Klägerin.

Hinzu kommt, dass, wie der Sachverständige S. im Termin vom 28.02.2024 erläuterte, der Sicherheitszustand des IT-Netzwerkes von dem Zeugen J. vor Beantwortung der Risikofragen relativ leicht durch einen Blick hätte überprüft werden können. So gibt es in der Regel eine zentrale Konsole, über die der Virenschutz verwaltet wird und die nach den Angaben des Sachverständigen eigentlich auch täglich angeschaut werden müsste, um den Sicherheitszustand des IT-Systems zu prüfen. Hierdurch wäre für den Zeugen J. leicht erkennbar gewesen, inwieweit der Virenschutz im Netzwerk vollständig vorliegt und aktualisiert ist und ob hiervon alle Rechner, wie angegeben, erfasst sind. Gleiches gilt für die durchgeführten, vom Hersteller angebotenen Sicherheitsupdates. Diese hätten über das im Betrieb der Klägerin genutzte WSUS-System sofort erfasst werden können und hier wären dann die nicht aktualisierten Windows-Rechner und der Domain-Controller in der Gruppe der Rechner aufgefallen, bei denen kein Update erfolgt war. Eine Kontrolle dieser Systeme hatte der Zeuge J. nach eigenen Angaben nicht vorgenommen, so dass er seine Antworten ins Blaue hinein abgegeben hat. Er hat, jedenfalls nach der ersten Antwort auf die Frage, welche Erkundigungen er vor Beantwortung der Risikofragen eingeholt habe, bekundet, dass er sich heute nicht daran erinnere, bezüglich der Risikofragen Rücksprache mit Herrn P. gehalten zu haben. Er hatte vor Beantwortung der Risikofragen auch keine Systemüberprüfung durchgeführt, obgleich, wie oben geschildert, dies durch einen einfachen Blick möglich gewesen wäre. Die nach seinen Vorgaben dem Mitarbeiter des Maklers, dem Zeugen H., mitgeteilten Antworten auf die Risikofragen waren danach ungeprüft mitgeteilt worden. Der Zeuge J. hielt es daher jedenfalls für möglich, dass die von ihm auf die Risikofragen der Beklagten abgegebenen Antworten falsch waren. Auch Verhaltensweisen, die auf bedingten Vorsatz im Sinne eines „Fürmöglichhalten“ reduziert sind, sind von der Arglist im Sinne des § 123 BGB umfasst. Die Kammer ist nach Wertung aller Gesamtumstände zudem davon überzeugt, dass der Zeuge J. es jedenfalls für möglich hielt, dass die Beklagte durch seine Antworten zum Vertragsschluss bestimmt wird und den Vertrag jedenfalls bei der wahrheitsgemäßen Beantwortung der Fragen diesen nicht oder zu anderen Bedingungen geschlossen hätte.

Das Verhalten des Zeugen J. muss sich die Klägerin zurechnen lassen. Sie hat sich des Zeugen als Verhandlungsgehilfen bei Abschluss des Versicherungsvertrages bezüglich der Beantwortung der Risikofragen bedient. Er ist daher nicht Dritter im Sinne des § 123 Abs. 2 Satz 1 BGB (Münchener Kommentar Langheid/Wandt/Bußmann VVG § 22 Rn. 37).

Schließlich war die Falschbeantwortung der Risikofragen und damit die erfolgte Täuschung auch kausal für den Vertragsschluss. Dies ist bereits dann der Fall, wenn der Vertrag nicht in der erfolgten Weise abgeschlossen worden wäre. Es versteht sich ohne weiteres, dass die Frage der Absicherung des IT-Netzwerkes durch verfügbare Virenscanner oder auch Sicherheitsupdates entscheidend ist für die Frage eines möglichen zukünftigen Schadenseintritts und damit geeignet ist, die Entscheidung der Beklagten zur Übernahme dieses Risikos und zum Abschluss des Versicherungsvertrages zu beeinflussen. Jedenfalls auf die Höhe der zu entrichtenden Prämie hat die Beantwortung der Risikofragen, wie sich aus der eingereichten Anlage K 11 unmittelbar ergibt, Einfluss. Der Eindeckungsprozess erfolgt danach in einzelnen Schritten, wie sie in der Anlage K 11 anhand von Screenshots dargestellt ist. Nach der Eingabe allgemeiner Unternehmensdaten und der Auswahl des Versicherungsschutzes wird zunächst eine sogenannte Indikationsprämie, also eine vorläufige Prämie angegeben. Dann erfolgt unter Schritt 5 die Beantwortung der im Tatbestand dargestellten Risikofragen, indem der Anfragende die neben den Fragen befindlichen Button entweder bei ja oder nein festlegen kann. Im Anschluss erfolgt unter Schritt 6 eine neue Prämienübersicht, in der nun die endgültig ausgewiesene individuelle Prämie angegeben wird. Damit steht fest, dass jedenfalls die Höhe der Versicherungsprämie durch die Falschbeantwortung der Risikofragen beeinflusst wird.

Nach alledem ist der Versicherungsvertrag aufgrund der begründeten Anfechtung des Vertrages wegen arglistiger Täuschung nichtig. Die Beklagte ist zur Erbringung der vereinbarten Versicherungsleistungen nicht verpflichtet. Angesichts der arglistigen Täuschung kommt es auf die Regelung in der Anerkenntnisklausel in der Sondervereinbarung der X-Gruppe nicht an. Die Klage ist daher insgesamt, das heißt auch bezüglich des geltend gemachten Feststellungsantrages und der als Nebenforderungen beantragten vorgerichtlichen Rechtsanwaltskosten abzuweisen.


Den Volltext der Entscheidung finden Sie hier:

AG Gelnhausen: Unterlassungsanspruch gegen Nachbarn wegen möglicher Videoüberwachung durch schwenkbare Kamera

AG Gelnhausen
Urteil vom 04.03.2024
52 C 76/24


Das AG Gelnhausen hat entschieden, dass ein Unterlassungsanspruch gegen Nachbarn bereits wegen möglicher Videoüberwachung durch eine schwenkbare Kamera besteht.

Aus den Entscheidungsgründen:
Der Verfügungskläger hat gegen die Verfügungsbeklagte einen Anspruch auf die im Tenor bezeichneten Maßnahmen aus §§ 1004, 823 Abs. 1 BGB.

Unerheblich ist, ob in dem Haus des Verfügungsklägers tatsächlich bereits Mieter wohnen. Unstreitig steht dieses im Eigentum des Verfügungsklägers, so dass der Anspruchsgrund bereits in seiner Person selbst liegt. Unabhängig davon ist das Gericht aufgrund der vorgelegten eidesstattlichen Versicherungen der Mieter des Verfügungsklägers davon überzeugt, dass jedenfalls seit Mitte Dezember 2023 Mieter in dem Objekt wohnen.

Der Anspruch des Verfügungsklägers ist in einer nicht gerechtfertigten Verletzung seines allgemeinen Persönlichkeitsrechts begründet, das über §§ 1004 Abs. 1, 823 BGB zu dem im Tenor bezeichneten Anspruch führt.

Soweit zwischen den Parteien streitig ist, ob die Kamera das Grundstück des Klägers erfassen kann oder nicht, kommt es hierauf entscheidungserheblich nicht an.

Nach ständiger Rechtsprechung ist es erforderlich, für einen Unterlassungsanspruch aber auch ausreichend, dass ein sog. Überwachungsdruck erzeugt wird (vgl. hierzu LG Hamburg ZD 2018, 491; OLG Köln NJW 2017, 835; LG Bonn, NJW-RR 2005, 1067; LG Darmstadt, NZM 2000, 360; AG Winsen/Luhe, Urt. v. 30.12.2005 – 16 C 1642/05, BeckRS 2010, 11190; vgl. weiter für das Nachbarrecht AG Brandenburg, ZD 2016, 380; für das Mietrecht LG Berlin, ZD 2016, 189; für das Wohnungseigentumsrecht AG Bergisch Gladbach, NJW 2015, 3729). Maßstab ist, dass dritte Personen eine Überwachung durch die Kamera ernsthaft objektiv befürchten müssen. Dies ist immer bereits dann erfüllt, wenn die Befürchtung einer Überwachung durch vorhandene Kameras aufgrund konkreter Umstände nachvollziehbar und verständlich erscheint. Dafür ist bereits ausreichend, dass ein angespanntes Nachbarschaftsverhältnis besteht und die Kamera eines mittels nach außen nicht wahrnehmbaren elektronischen Steuerungsmechanismus auf das Grundstück des Nachbarn ausgerichtet werden kann. Es kommt dabei lediglich darauf an, dass die Kamera eine solche Funktion besitzt. Ob sie angewendet wird, ist unerheblich. Ein Überwachungsdruck kann nur dann ausscheiden, wenn der Winkel der Kamera nur mit erheblichem und sichtbarem manuellen Aufwand, also eben nicht durch einen elektronischen Steuerungsmechanismus, auf das Nachbargrundstück gerichtet werden kann (BGH NJW 2010, 1533). Dass die Kamera einen elektronischen Steuerungsmechanismus hat, ist zwischen den Parteien allerdings unstreitig. Im Übrigen konnte der Verfügungskläger durch die zur Akte gereichten Lichtbilder auch hinreichend glaubhaft machen, dass die Kamera sich selbstständig drehen kann und das Grundstück des Verfügungsklägers erfassen kann. So zeigt das Lichtbild Anlage AS 7 eindeutig die Balkonbrüstung des benachbarten Hauses, zudem aber ebenso eindeutig die vollständige Kamera.

Ein überwiegendes Interesse der Verfügungsbeklagten an solchen Videoaufnahmen ist nicht erkennbar. Dass die Verfügungsbeklagte ihr Eigentum schützen will, stellt zwar durchaus ein legitimes Interesse dar. Vorliegend geht dieser Zweck aber mit einer unverhältnismäßigen Beeinträchtigung des allgemeinen Persönlichkeitsrechts des Verfügungsklägers einher. In Anbetracht des ohnehin schon deutlich angespannten Nachbarschaftsverhältnisses muss ein Anlass für eine weitere Eskalation verhindert werden. Die Verfügungsbeklagte hat die Möglichkeit, eine Videoaufzeichnung ihres Eigentums anhand der Grundsätze des zitierten Urteils des BGH durchzuführen. Sofern die Videoaufzeichnung aber erfolgt wie in diesem Fall, ist dies unzulässig.

Die Androhung von Zwangsgeld hat ihre Grundlage in § 890 Abs. 2 ZPO. Der Antrag ist auch in der gestellten Form begründet. Der Verfügungsbeklagten kann nicht aufgegeben werden, jegliche Kameraüberwachung ihres Grundstücks in aller Zukunft zu unterlassen, allerdings solche, die geeignet ist, das Grundstück des Verfügungsklägers zu erfassen.


Den Volltext der Entscheidung finden Sie hier:

BVerwG: Art. 79 Abs. 1 DSGVO schließt öffentlich-rechtlichen Unterlassungsanspruch gegen kommunale Videoüberwachung zur Gefahrenabwehr und Gefahrenvorsorge nicht aus

BVerwG
Beschluss vom 02.05.2024
6 B 66.23


Das Bundesverwaltungsgericht hat entschieden, das Art. 79 Abs. 1 DSGVO einen öffentlich-rechtlichen Unterlassungsanspruch gegen die kommunale Videoüberwachung einer Grünfläche zur Gefahrenabwehr und Gefahrenvorsorge nicht ausschließt.

Leitsatz des Gerichts:
Art. 79 Abs. 1 DSGVO schließt die Geltendmachung eines öffentlich-rechtlichen Unterlassungsanspruchs gegen die Datenverarbeitung im Bereich der kommunalen Gefahrenabwehr und Gefahrenvorsorge - hier durch Videoüberwachung einer als öffentliche Einrichtung gewidmeten Grünfläche - nicht aus.

Den Volltext der Entscheidung finden Sie hier:

EuGH: Mitgliedstaat darf in anderen Mitgliedstaaten ansässigen Online-Dienste-Anbietern keine generellen und abstrakten Verpflichtungen auferlegen

EuGH
Urteile vom 30.05.2024
in den verbundenen Rechtssachen C-662/22 - Airbnb Ireland und C-667/22 - Amazon Services Europe Sàrl,
in der Rechtssache C-663/22 - Expedia Inc.,
in den verbundenen Rechtssachen C-664/22 - Google Ireland Limited und C-666/22 - Eg Vacation Rentals Ireland Limited
in der Rechtssache C-665/22 - Amazon Services Europe


Der EuGH hat entschieden, dass ein Mitgliedstaat in anderen Mitgliedstaaten ansässigen Online-Dienste-Anbietern keine generellen und abstrakten Verpflichtungen auferlegen darf.

Die Pressemitteilung des EuGH:
E-Commerce: Ein Mitgliedstaat darf einem Anbieter von Online-Diensten, der in einem anderen Mitgliedstaat niedergelassen ist, keine zusätzlichen Verpflichtungen auferlegen

In Italien unterliegen Anbieter von Online-Vermittlungsdiensten und von Online-Suchmaschinen wie Airbnb, Expedia, Google, Amazon und Vacation Rentals aufgrund von nationalen Vorschriften bestimmten Verpflichtungen. Diese Vorschriften wurden 2020 und 2021 mit dem erklärten Ziel erlassen, für eine angemessene und wirksame Durchsetzung der Verordnung zur Förderung von Fairness und Transparenz für gewerbliche Nutzer von OnlineVermittlungsdiensten zu sorgen1. Wer solche Dienste anbietet, muss sich u. a. in ein von einer Verwaltungsbehörde (AGCOM) geführtes Register eintragen, ihr regelmäßig ein Dokument über seine wirtschaftliche Lage übermitteln, ihr eine Reihe detaillierter Informationen mitteilen und ihr einen finanziellen Beitrag entrichten. Bei Nichterfüllung dieser Verpflichtungen sind Sanktionen vorgesehen.

Die oben genannten Gesellschaften wenden sich vor einem italienischen Gericht gegen diese Verpflichtungen, weil die sich daraus ergebende Erhöhung des Verwaltungsaufwands gegen das Unionsrecht verstoße. Alle Gesellschaften – mit Ausnahme von Expedia, die in den Vereinigten Staaten niedergelassen ist – berufen sich u. a. auf den Grundsatz des freien Dienstleistungsverkehrs und machen geltend, sie unterlägen in erster Linie dem Rechtsrahmen des Mitgliedstaats ihrer Niederlassung (hier Irland bzw. Luxemburg). Sie vertreten daher die Auffassung, das italienische Recht dürfe ihnen keine zusätzlichen Anforderungen hinsichtlich der Aufnahme der Tätigkeit eines Dienstes der Informationsgesellschaft auferlegen. In diesem Zusammenhang hat das italienische Gericht beschlossen, sich an den Gerichtshof zu wenden.

Der Gerichtshof befindet, dass das Unionsrecht Maßnahmen wie den von Italien erlassenen entgegensteht.

Nach der Richtlinie über den elektronischen Geschäftsverkehr regelt der Herkunftsmitgliedstaat der Gesellschaft, die Dienste der Informationsgesellschaft anbietet, deren Erbringung. Die Bestimmungsmitgliedstaaten, die an den Grundsatz der gegenseitigen Anerkennung gebunden sind, dürfen den freien Verkehr solcher Dienstleistungen, von Ausnahmen abgesehen, nicht beschränken. Somit darf Italien in anderen Mitgliedstaaten niedergelassenen Anbietern dieser Dienste keine zusätzlichen Verpflichtungen auferlegen, die für die Erbringung der fraglichen Dienste nicht im Niederlassungsmitgliedstaat, wohl aber in Italien vorgesehen sind.

Diese Verpflichtungen fallen nicht unter die von der Richtlinie über den elektronischen Geschäftsverkehr zugelassenen Ausnahmen. Sie haben nämlich zum einen vorbehaltlich einer Überprüfung durch das italienische Gericht eine allgemeine und abstrakte Geltung. Zum anderen sind sie nicht erforderlich, um eines der in dieser Richtlinie genannten Ziele des Allgemeininteresses zu schützen. Die Einführung dieser Verpflichtungen ist außerdem nicht mit der von den italienischen Behörden geltend gemachten Absicht zu rechtfertigen, für eine angemessene und wirksame Durchsetzung der genannten Verordnung zu sorgen.


Den Volltext der Entscheidung finden Sie hier:
Verbundene Rechtssachen C-662/22 - Airbnb Ireland und C-667/22 - Amazon Services Europe Sàrl
Rechtssache C-663/22 - Expedia Inc.
Verbundene Rechtssachen C-664/22 - Google Ireland Limited und C-666/22 - Eg Vacation Rentals Ireland Limited
Rechtssache C-665/22 - Amazon Services Europe


BGH: Auskunftsanspruch aus Art. 15 DSGVO umfasst alle Schreiben der betroffenen Person an die verantwortliche Stelle

BGH,
Urteil vom 16.04.2024
VI ZR 223/21
DSGVO Art. 15 Abs. 1, 3


Der BGH hat entschieden, dass der Auskunftsanspruch aus Art. 15 DSGVO alle Schreiben der betroffenen Person an die verantwortliche Stelle umfasst.

Leitsatz des BGH:
Zum Auskunftsanspruch aus Art. 15 Abs. 1 und 3 DSGVO (Anschluss an Senatsurteil vom 5. März 2024 - VI ZR 330/21).

BGH, Urteil vom 16. April 2024 - VI ZR 223/21 - OLG Stuttgart - LG Stuttgart

Aus den Entscheidungsgründen:
1. Die Klägerin hat aus Art. 15 Abs. 1 und Abs. 3 DSGVO einen Anspruch auf Überlassung von Abschriften der bei der Beklagten gespeicherten, von ihr selbst verfassten Erklärungen (Auskunftsbegehren zu a).

a) Art. 15 DSGVO ist in zeitlicher Hinsicht anwendbar. Die Datenschutz-Grundverordnung bezieht sich auch auf Verarbeitungsvorgänge, die vor dem 25. Mai 2018 als dem Anwendungsdatum der Datenschutz-Grundverordnung (Art. 99 Abs. 2 DSGVO) ausgeführt wurden, wenn das Auskunftsersuchen nach diesem Datum vorgebracht wurde (vgl. EuGH, Urteil vom 22. Juni 2023 - C-579/21, NJW 2023, 2555 Rn. 36). Nach den Feststellungen des Berufungsgerichts hat die Klägerin mit Schreiben vom 3. April 2019 von der Beklagten Auskunft und Überlassung von Kopien verlangt.

b) Art. 15 Abs. 1 DSGVO gibt der betroffenen Person gegenüber dem datenschutzrechtlich Verantwortlichen (Art. 4 Nr. 7 DSGVO) ein Recht auf Auskunft über die Verarbeitung personenbezogener Daten. Art. 15 Abs. 3 DSGVO legt die praktischen Modalitäten für die Erfüllung der dem datenschutzrechtlich Verantwortlichen obliegenden Verpflichtung fest, indem er unter anderem die Form bestimmt, in der die personenbezogenen Daten zur Verfügung zu stellen sind, nämlich in Form einer "Kopie" der Daten, gewährt aber kein anderes Recht als das in Art. 15 Abs. 1 DSGVO vorgesehene (Senatsurteil vom 5. März 2024 - VI ZR 330/21, juris Rn. 14; vgl. EuGH, Urteil vom 4. Mai 2023 - C-487/21, NJW 2023, 2253 Rn. 31 f.).

c) Gemäß Art. 4 Nr. 1 DSGVO sind personenbezogene Daten alle Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person ("betroffene Person") beziehen. Nach der Rechtsprechung des Gerichtshofs der Europäischen Union ist der Begriff weit zu verstehen. Er ist nicht auf sensible oder private Informationen beschränkt, sondern umfasst potenziell alle Arten von Informationen sowohl objektiver als auch subjektiver Natur, unter der Voraussetzung, dass es sich um Informationen über die in Rede stehende Person handelt. Die letztgenannte Voraussetzung ist erfüllt, wenn die Information aufgrund ihres Inhalts, ihres Zwecks oder ihrer Auswirkungen mit einer bestimmten Person verknüpft ist (vgl. EuGH, Urteil vom 4. Mai 2023 - C-487/21, NJW 2023, 2253 Rn. 23 f.; Senatsurteil vom 15. Juni 2021 - VI ZR 576/19, NJW 2021, 2726 Rn. 22 mwN).

Nach diesen Grundsätzen sind Schreiben der betroffenen Person an den Verantwortlichen ihrem gesamten Inhalt nach als personenbezogene Daten einzustufen, da die personenbezogene Information bereits darin besteht, dass die betroffene Person sich dem Schreiben gemäß geäußert hat, umgekehrt aber Schreiben des Verantwortlichen an die betroffene Person nur insoweit, als sie Informationen über die betroffene Person nach den oben genannten Kriterien enthalten (vgl. Senatsurteile vom 5. März 2024 - VI ZR 330/21, juris Rn. 16; vom 6. Februar 2024 - VI ZR 15/23, WM 2024, 555 Rn. 8; vom 15. Juni 2021 - VI ZR 576/19, NJW 2021, 2726 Rn. 25; BGH, Urteil vom 27. September 2023 - IV ZR 177/22, NJW 2023, 3490 Rn. 48). Dass diese Schreiben der betroffenen Person bereits bekannt sind, schließt den datenschutzrechtlichen Auskunftsanspruch nicht aus (vgl. Senatsurteil vom 15. Juni 2021 - VI ZR 576/19, NJW 2021, 2726 Rn. 25 mwN).

d) Danach handelt es sich bei den von der Klägerin verfassten Erklärungen, die der Beklagten vorliegen (Auskunftsbegehren zu a), ihrem gesamten Inhalt nach um personenbezogene Daten, weshalb die Klägerin im Ergebnis nach Art. 15 Abs. 3 DSGVO eine Kopie dieser Erklärungen fordern kann, auch wenn sich der Begriff der Kopie in dieser Vorschrift nicht auf ein Dokument als solches bezieht, sondern auf die personenbezogenen Daten, die es enthält (vgl. EuGH, Urteile vom 26. Oktober 2023 - C-307/22, NJW 2023, 3481 Rn. 72; vom 4. Mai 2023 - C-487/21, NJW 2023, 2253 Rn. 32). Denn die Kopie muss alle personenbezogenen Daten enthalten, die Gegenstand der Verarbeitung sind (vgl. EuGH, Urteile vom 26. Oktober 2023 - C-307/22, NJW 2023, 3481 Rn. 73; vom 4. Mai 2023 - C-487/21, NJW 2023, 2253 Rn. 32, 39). Der Vollständigkeit der Auskunft kann hier nur durch eine Kopie des gesamten Dokuments genügt werden (Senatsurteil vom 5. März 2024 - VI ZR 330/21, juris Rn. 17).


Den Volltext der Entscheidung finden Sie hier:

BMDV: Entwurf der Einwilligungsverwaltungs-Verordnung (EinwVO) nach § 26 Abs. 2 TTDSG - Stand 07.03.2024

Der Regierungsentwurf der Einwilligungsverwaltungs-Verordnung (EinwVO) nach § 26 Abs. 2 TTDSG (Einwilligung zum Speichern von Informationen nach § 25 Abs.1 TTDSG) liegt nunmehr mit Stand vom 07.03.2024 vor.

Aus dem Entwurf:
A. Problem und Ziel
§ 26 Absatz 1 des Telekommunikation-Telemedien-Datenschutz-Gesetzes vom 23. Juni 2021 (BGBl. I S. 1982; 2022 I S. 1045) (TTDSG) bestimmt, dass eine unabhängige Stelle Dienste anerkennen kann, die unter anderem nutzerfreundliche und wettbewerbskonforme Verfahren bereitstellen, um die nach § 25 Absatz 1 TTDSG erforderliche Einwilligung von Endnutzern zu verwalten. Viele Anbieter von Telemedien greifen auf die Endeinrichtungen der Endnutzer (§ 2 Absatz 2 Nummer 6 TTDSG) zu, um hier Informationen zu speichern oder bereits gespeicherte Informationen abzurufen. Dies geschieht häufig durch den Einsatz von Cookies oder ähnlich funktionierenden Trackingtechnologien. Anhand der im Cookie oder durch ähnliche Trackingtechnologien gespeicherten Informationen kann der Webserver unter anderem den Endnutzer wiedererkennen, benutzerspezifische Einstellungen wiederherstellen, Reichweitenmessungen vornehmen, Aktivitäten nachverfolgen (sog. Tracking) oder individuelle Werbung einblenden. Nach § 25 Absatz 1 TTDSG dürfen Anbieter von Telemedien nur dann Informationen in der Endeinrichtung des Endnutzers speichern oder auf dort bereits gespeicherte Informationen zugreifen, wenn der Endnutzer nach Maßgabe der Verordnung (EU) 2016/679 des Europäischen Parlaments und des Rates vom 27. April 2016 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten, zum freien Datenverkehr und zur Aufhebung der Richtlinie 95/46/EG (Datenschutz-Grundverordnung) (ABl. L 119 vom 4.5.2016, S. 1, L 314 vom 22.11.2016, S. 72, L 127 vom 23.5.2018, S. 2, L 74 vom 4.3.2021, S. 35) eingewilligt hat. Eine Ausnahme vom Erfordernis einer Einwilligung in den Einsatz von Cookies oder ähnlichen Trackingtechnologien besteht nach § 25 Absatz 2 TTDSG nur, wenn der alleinige Zweck hierfür die Übertragung einer Nachricht über ein öffentliches Telekommunikationsnetz ist oder wenn der Einsatz unbedingt erforderlich ist, damit der Anbieter eines Telemediendienstes einen vom Endnutzer ausdrücklich gewünschten Telemediendienst zur Verfügung stellen kann. Für das Erfordernis einer Einwilligung nach § 25 Absatz 1 TTDSG kommt es nicht darauf an, dass personenbezogene Daten verarbeitet werden. Die in Artikel 6 Absatz 1 Buchstabe b bis f der Verordnung (EU) 2016/679 vorgesehenen Möglichkeiten, Daten ohne Einwilligung zu verarbeiten, finden hier keine Anwendung. Deshalb müssen Anbieter von Telemedien die Endnutzer bei jeder Inanspruchnahme ihres Dienstes nach einer Einwilligung in den Einsatz der unterschiedlichen Arten von Cookies oder ähnlicher Trackingtechnologien fragen. In der Praxis erfolgt dies mittels sogenannter Einwilligungsbanner. Einwilligungsbanner dienen den Anbietern von Telemedien auch dazu, Einwilligungen in die weitere Verarbeitung personenbezogener Daten nach Artikel 6 Absatz 1 Buchstabe a der Verordnung (EU) 2016/679 einzuholen, sodass Endnutzer häufig mit einer Vielzahl von Einwilligungsbannern im Internet Anerkannte Dienste zur Einwilligungsverwaltung sollen eine anwenderfreundliche Alternative zu der Vielzahl zu treffender Einzelentscheidungen für Endnutzer schaffen. Sie verwalten die vom Endnutzer getroffene Entscheidung darüber, ob er eine Einwilligung gegenüber einem Anbieter von Telemedien erteilt oder nicht erteilt, und sie übermitteln diese Entscheidung dem Anbieter von Telemedien, wenn dieser sie nachfragt. Bekommen die Anbieter von Telemedien die Einwilligung oder die Nichterteilung der Einwilligung auf diese Weise übermittelt, sind sie nicht mehr auf eine eigene Nachfrage beim Endnutzer nach § 25 Absatz 1 Satz 1 TTDSG angewiesen. Die Endnutzer werden durch die Reduzierung von Einwilligungsanfragen entlastet.

§ 26 Absatz 2 TTDSG ermächtigt die Bundesregierung, durch eine Rechtsverordnung mit Zustimmung des Bundestages und des Bundesrates Folgendes zu regeln:

- die Anforderungen an nutzerfreundliche und wettbewerbskonforme Verfahren, die ein Dienst zur Einwilligungsverwaltung anbieten muss, um anerkannt zu werden,

- das Verfahren der Anerkennung und

- die technischen und organisatorischen Maßnahmen, damit Software zum Abrufen und Darstellen von Informationen aus dem Internet und Anbieter von Telemedien die über einen eingebundenen anerkannten Dienst zur Einwilligungsverwaltung verwalteten Einstellungen der Endnutzer hinsichtlich der Einwilligung nach § 25 Absatz 1 TTDSG berücksichtigen können.

Mit dieser Rechtsverordnung soll diese Ermächtigung umgesetzt werden.

B. Lösung
Durch die Einbindung eines anerkannten Dienstes zur Einwilligungsverwaltung soll den Endnutzern ein transparentes Werkzeug zur Verfügung stehen, mittels dessen sie ihre Einwilligungen erteilen oder nicht erteilen und ihre Entscheidungen jederzeit nachvollziehen und überprüfen können. Die Anerkennung durch eine unabhängige Stelle soll für die Endnutzer und die Anbieter von Telemedien einen Anreiz bieten, solche Dienste zur Einwilligungsverwaltung zu nutzen, und das Vertrauen in ein rechtssicheres Verfahren stärken. Für Anbieter von Telemedien bietet dieses Verfahren eine Möglichkeit, die Einwilligungen der Endnutzer nach § 25 Absatz 1 TTDSG nutzerfreundlich zu erfragen, ohne den Endnutzer bei der Inanspruchnahme ihres Dienstes durch die Einblendung ihres Einwilligungsbanners stören zu müssen. Neben der Verwaltung von erteilten und nicht erteilten Einwilligungen nach § 25 Absatz 1 TTDSG, die sich auf das Speichern und das Auslesen von Informationen auf Endeinrichtungen des Endnutzers beziehen, können die anerkannten Dienste zur Einwilligungsverwaltung auch, soweit es mit den Vorgaben von § 26 TTDSG und dieser Rechtsverordnung vereinbar ist, weitere Dienste für die Endnutzer übernehmen. Hierzu zählen beispielsweise die Geltendmachung von Datenschutz-Betroffenenrechten oder die Verwaltung von Einwilligungen in die Verarbeitung personenbezogener Daten. Letzteres kann insbesondere dann für Endnutzer und Anbieter von Telemedien vorteilhaft sein, wenn der Einsatz eines Cookies oder einer ähnlichen Trackingtechnologie die einwilligungsbedürftige Verarbeitung personenbezogener Daten zur Folge hat.


Den vollständigen Entwurf finden Sie hier:

EuGH: Anforderung von EncroChat-Daten aus Frankreich durch deutsche Staatsanwaltschaft per Europäischer Ermittlungsanordnung unionsrechtskonform

EuGH
Urteil vom
C-670/22
Staatsanwaltschaft Berlin - EncroChat


Der EuGH hat entschieden, dass die Anforderung von EncroChat-Daten aus Frankreich durch die deutsche Staatsanwaltschaft per Europäischer Ermittlungsanordnung unionsrechtskonform ist.

Die Pressemitteilung des EuGH:
EncroChat: Der Gerichtshof präzisiert die Voraussetzungen für die Übermittlung und die Verwendung von Beweismitteln im grenzüberschreitenden Strafverfahren

Im Zusammenhang mit in Deutschland geführten Strafverfahren wegen illegalen Handeltreibens mit Betäubungsmitteln mit Hilfe des EncroChat-Diensts für verschlüsselte Telekommunikation präzisiert der Gerichtshof bestimmte, sich aus der Richtlinie über die Europäische Ermittlungsanordnung in Strafsachen ergebende Voraussetzungen für die Übermittlung und Verwendung von Beweismitteln. So kann eine Europäische Ermittlungsanordnung, die auf die Übermittlung von Beweismitteln gerichtet ist, die von einem anderen Mitgliedstaat bereits erhoben wurden, unter bestimmten Voraussetzungen von einem Staatsanwalt erlassen werden. Für ihren Erlass ist es nicht erforderlich, dass die Voraussetzungen erfüllt sind, die für die Erhebung der Beweismittel im Anordnungsstaat gelten. Eine spätere gerichtliche Überprüfung der Wahrung der Grundrechte der betroffenen Personen muss allerdings möglich sein. Außerdem ist ein Mitgliedstaat von einer Überwachungsmaßnahme, die ein anderer Mitgliedstaat auf seinem Hoheitsgebiet vornimmt, rechtzeitig zu unterrichten. Das Strafgericht muss unter bestimmten Voraussetzungen Beweismittel unberücksichtigt lassen, wenn die betroffene Person nicht in der Lage ist, zu ihnen Stellung zu nehmen.

Der französischen Polizei gelang es mit Hilfe niederländischer Experten und nach Genehmigung durch ein französisches Gericht, den EncroChat-Dienst für verschlüsselte Telekommunikation zu infiltrieren. Dieser Dienst wurde auf Kryptohandys weltweit für den illegalen Handel mit Betäubungsmitteln genutzt. Das deutsche Bundeskriminalamt konnte die so gesammelten Daten der EncroChat-Nutzer in Deutschland auf einem EuropolServer abrufen.

Auf von der deutschen Staatsanwaltschaft erlassene Europäische Ermittlungsanordnungen hin genehmigte das französische Gericht die Übermittlung dieser Daten und ihre Verwendung in Strafverfahren in Deutschland.

Das mit einem solchen Verfahren befasste Landgericht Berlin hat Zweifel an der Rechtmäßigkeit dieser Europäischen Ermittlungsanordnungen. Es hat deshalb dem Gerichtshof mehrere Fragen zur Richtlinie über die Europäische Ermittlungsanordnung in Strafsachen1 zur Vorabentscheidung vorgelegt.

Der Gerichtshof antwortet, dass eine Europäische Ermittlungsanordnung, die auf die Übermittlung von Beweismitteln gerichtet ist, die sich bereits im Besitz der zuständigen Behörden des Vollstreckungsstaats (hier: Frankreich) befinden, nicht notwendigerweise von einem Richter erlassen werden muss. Sie kann von einem Staatsanwalt erlassen werden, wenn dieser in einem rein innerstaatlichen Verfahren dafür zuständig ist, die Übermittlung bereits erhobener Beweise anzuordnen.

Der Erlass einer solchen Anordnung unterliegt denselben materiell-rechtlichen Voraussetzungen, wie sie für die Übermittlung ähnlicher Beweismittel bei einem rein innerstaatlichen Sachverhalt gelten. Dagegen ist nicht erforderlich, dass er denselben materiell-rechtlichen Voraussetzungen unterliegt, wie sie für die Erhebung der Beweise gelten. Der Umstand, dass im vorliegenden Fall die französischen Behörden diese Beweise in Deutschland und im Interesse der deutschen Behörden erhoben haben, ist insoweit grundsätzlich unerheblich. Jedoch muss ein Gericht, das mit einem Rechtsbehelf gegen diese Anordnung befasst ist, die Wahrung der Grundrechte der betroffenen Personen überprüfen können.

Der Gerichtshof stellt außerdem klar, dass der Mitgliedstaat, in dem sich die Zielperson der Überwachung befindet (hier: Deutschland), von einer mit der Infiltration von Endgeräten verbundenen Maßnahme zur Abschöpfung von Verkehrs-, Standort- und Kommunikationsdaten eines internetbasierten Kommunikationsdienstes unterrichtet werden muss. Die zuständige Behörde dieses Mitgliedstaats hat dann die Möglichkeit, mitzuteilen, dass die Überwachung des Telekommunikationsverkehrs nicht durchgeführt werden kann oder zu beenden ist, wenn diese Überwachung in einem vergleichbaren innerstaatlichen Fall nicht genehmigt würde. Diese Verpflichtungen und diese Möglichkeiten sollen nicht nur die Achtung der Souveränität des unterrichteten Mitgliedstaats gewährleisten, sondern dienen auch dem Schutz der betroffenen Personen.

Das nationale Strafgericht muss in einem Strafverfahren gegen eine Person, die der Begehung von Straftaten verdächtig ist, Beweismittel unberücksichtigt lassen, wenn die betroffene Person nicht in der Lage ist, zu ihnen Stellung zu nehmen, und wenn sie geeignet sind, die Würdigung der Tatsachen maßgeblich zu beeinflussen.


Tenor der Entscheidung:
1. Art. 1 Abs. 1 und Art. 2 Buchst. c der Richtlinie 2014/41/EU des Europäischen Parlaments und des Rates vom 3. April 2014 über die Europäische Ermittlungsanordnung in Strafsachen sind dahin auszulegen, dass eine Europäische Ermittlungsanordnung, die auf die Übermittlung von Beweismitteln gerichtet ist, die sich bereits im Besitz der zuständigen Behörden des Vollstreckungsstaats befinden, nicht notwendigerweise von einem Richter erlassen werden muss, wenn nach dem Recht des Anordnungsstaats in einem rein innerstaatlichen Verfahren dieses Staates die originäre Erhebung dieser Beweismittel von einem Richter hätte angeordnet werden müssen, ein Staatsanwalt aber dafür zuständig ist, die Übermittlung dieser Beweise anzuordnen.

2. Art. 6 Abs. 1 der Richtlinie 2014/41 ist dahin auszulegen, dass er es nicht verbietet, dass eine Europäische Ermittlungsanordnung, die auf die Übermittlung von Beweismitteln gerichtet ist, die sich bereits im Besitz der zuständigen Behörden des Vollstreckungsstaats befinden, von einem Staatsanwalt erlassen wird, wenn diese Beweismittel aufgrund der durch diese Behörden im Hoheitsgebiet des Anordnungsstaats durchgeführte Überwachung des Telekommunikationsverkehrs sämtlicher Nutzer von Mobiltelefonen, die mittels spezieller Software und modifizierter Geräte eine Ende zu Ende verschlüsselte Kommunikation ermöglichen, erlangt wurden, sofern eine solche Anordnung alle Voraussetzungen erfüllt, die gegebenenfalls nach dem Recht des Anordnungsstaats für die Übermittlung solcher Beweismittel bei einem rein innerstaatlichen Sachverhalt vorgesehen sind.

3. Art. 31 der Richtlinie 2014/41 ist dahin auszulegen, dass eine mit der Infiltration von Endgeräten verbundene Maßnahme zur Abschöpfung von Verkehrs‑, Standort- und Kommunikationsdaten eines internetbasierten Kommunikationsdiensts eine „Überwachung des Telekommunikationsverkehrs“ im Sinne dieses Artikels darstellt, von der die Behörde zu unterrichten ist, die von dem Mitgliedstaat, in dessen Hoheitsgebiet sich die Zielperson der Überwachung befindet, zu diesem Zweck bestimmt wurde. Sollte der überwachende Mitgliedstaat nicht in der Lage sein, die zuständige Behörde des unterrichteten Mitgliedstaats zu ermitteln, so kann diese Unterrichtung an jede Behörde des unterrichteten Mitgliedstaats gerichtet werden, die der überwachende Mitgliedstaat für geeignet hält.

4. Art. 31 der Richtlinie 2014/41 ist dahin auszulegen, dass er auch bezweckt, die Rechte der von einer Maßnahme der „Überwachung des Telekommunikationsverkehrs“ im Sinne dieses Artikels betroffenen Nutzer zu schützen.

5. Art. 14 Abs. 7 der Richtlinie 2014/41 ist dahin auszulegen, dass er dem nationalen Strafgericht gebietet, im Rahmen eines Strafverfahrens gegen eine Person, die im Verdacht steht, Straftaten begangen zu haben, Informationen und Beweismittel unberücksichtigt zu lassen, wenn diese Person nicht in der Lage ist, sachgerecht zu diesen Informationen und Beweismitteln Stellung zu nehmen, und diese geeignet sind, die Würdigung der Tatsachen maßgeblich zu beeinflussen.

Den Volltext der Entscheidung finden Sie hier: