BECKMANN UND NORDA - Rechtsanwälte Bielefeld

OVG Münster
Beschluss vom 19.09.2019
6 B 539/19

Das OVG Münster hat entschieden, dass die Entlassung eines Beamten auf Probe wegen erheblicher Datenschutzverstöße rechtmäßig ist. Es ging um privat motivierte Datenabfragen.

Aus den Entscheidungsgründen:

Das Verwaltungsgericht hat angenommen, die nach § 80 Abs. 5 Satz 1 VwGO vorzunehmende Interessenabwägung falle zu Lasten des Antragstellers aus. Die angefochtene Entlassungsverfügung erweise sich nach summarischer Prüfung als rechtmäßig. Ein Beamter auf Probe könne nach § 23 Abs. 3 Satz 1 Nr. 2 BeamtStG entlassen werden, wenn er sich in der Probezeit nicht bewährt habe. Die Feststellung des Antragsgegners, dass sich der Antragsteller in der Probezeit nicht bewährt habe, sei rechtlich nicht zu beanstanden. Er habe in einer Vielzahl von Fällen nicht dienstlich veranlasste Datenabfragen über andere Personen durchgeführt. Aus diesem Grund habe für den Antragsgegner ein berechtigter Anlass bestanden, die charakterliche Eignung des Antragstellers ernsthaft anzuzweifeln. Selbst wenn man bei den insgesamt festgestellten 3.950 getätigten Datenabfragen nicht von 2.119 Fällen ohne „direkte Hinweise für einen dienstlichen Anlass“, sondern „nur“ von - wie der Antragsteller selbst vortrage - insgesamt etwa 50 „privat motivierten“ Datenabfragen ausginge, so stelle diese Anzahl bereits eine hinreichende Tatsachengrundlage für die Annahme ernstlicher Zweifel an der charakterlichen Eignung des Antragstellers für das Amt des Polizeikommissars dar. Denn es stehe jedenfalls fest, dass er - was er selbst einräume - in einer Vielzahl von Fällen nicht dienstlich veranlasste Abfragen mit Hilfe der ihm zur Verfügung stehenden Datensysteme durchgeführt habe, die unterschiedliche Personen betroffen hätten. Hierzu hätten etwa Familienangehörige (Vater, Mutter, Ehefrau, Schwager usw.), andere Personen aus seinem privaten Umfeld (bspw. Facebook-Freunde, sonstige Bekannte) sowie Kollegen gezählt. Es sei schließlich auch nicht sachwidrig, dass der Antragsgegner das Bedauern des Antragstellers zu seinem Verhalten nicht zum Anlass genommen habe, von der Entlassung Abstand zu nehmen. Aufgrund der zahlreichen und nicht unerheblichen Pflichtverletzungen könne von einer nachhaltigen Erschütterung des Vertrauensverhältnisses ausgegangen werden, was durch ein nachträgliches Bedauern nicht wieder beseitigt werden könne. Dies gelte umso mehr auch deshalb, weil der Antragsteller über seine beamtenrechtlichen Grundpflichten (Verschwiegenheitspflicht/Daten-schutz) zu Beginn seiner Ausbildung und auch danach regelmäßig belehrt worden sei. Die Entscheidung des Antragsgegners sei auch nicht ermessenfehlerhaft. Entgegen dem Wortlaut des § 23 Abs. 3 Satz 1 Nr. 2 BeamtStG sei dem Dienstherrn bei feststehender Nichtbewährung des Beamten in der Probezeit kein Ermessen hinsichtlich der Entscheidung eingeräumt, ob der Beamte entlassen werde.

Diese vom Verwaltungsgericht näher begründeten Erwägungen werden mit der Beschwerde nicht durchgreifend in Frage gestellt.

Nach § 23 Abs. 3 Satz 1 Nr. 2 BeamtStG können Beamte auf Probe entlassen werden, wenn sie sich in der Probezeit nicht bewährt haben. Der Entlassungstatbestand steht im Zusammenhang mit § 10 Satz 1 BeamtStG, wonach die Ernennung zum Beamten auf Lebenszeit nur zulässig ist, wenn der Beamte sich in der Probezeit bewährt hat. Die Entscheidung darüber, ob ein Beamter auf Probe sich nach Eignung, Befähigung und fachlicher Leistung bewährt hat, d. h. ob er in der Probezeit gezeigt hat, dass er nach seiner ganzen Persönlichkeit voraussichtlich allen an ihn künftig vom Dienstherrn zu stellenden Anforderungen des angestrebten (Eingangs-) Amtes (Statusamtes) seiner Laufbahn gewachsen ist, also die Entscheidung darüber, ob die Berufung des Probebeamten in das Beamtenverhältnis auf Lebenszeit gegenüber der Allgemeinheit verantwortet werden kann, ist ein persönlichkeitsbedingtes Werturteil, das dem Dienstherrn vorbehalten ist. Dabei genügen bereits begründete ernsthafte Zweifel des Dienstherrn, ob der Beamte die Eignung - hierzu zählt u. a. die charakterliche Eignung - und Befähigung besitzt sowie die fachlichen Leistungen erbringt, die für die Ernennung zum Beamten auf Lebenszeit notwendig sind, um eine Bewährung zu verneinen. Diese Entscheidung ist gerichtlich nur daraufhin überprüfbar, ob der Begriff der mangelnden Bewährung und die gesetzlichen Grenzen des Beurteilungsspielraums verkannt worden sind, ob der Beurteilung ein unrichtiger Sachverhalt zugrunde liegt und ob allgemeine Wertmaßstäbe beachtet oder sachfremde Erwägungen vermieden worden sind.

Vgl. BVerwG, Urteil vom 7. Mai 2019 - 2 A 15.17 -, IÖD 2019, 194 = juris Rn. 53 ff.; OVG NRW, Beschlüsse vom 13. Dezember 2018 - 6 B 1302/18 -, juris Rn. 9, und vom 18. Juli 2017 - 6 B 285/17 -, juris Rn. 5, mit weiteren Nachweisen.

Hieran gemessen gibt das Beschwerdevorbringen nichts Durchgreifendes dafür her, dass die Entlassung des Antragstellers aus dem Beamtenverhältnis auf Probe wegen Zweifeln an der charakterlichen Eignung rechtlich zu beanstanden ist. Die Beschwer-de zeigt nicht auf, dass der Antragsgegner die Grenzen des ihm zustehenden Beurteilungsspielraums überschritten hat. Vergeblich versucht sie, das Gewicht des Fehlverhaltens des Antragstellers herunterzuspielen.

Zu den elementaren und im Interesse der Funktionsfähigkeit des öffentlichen Dienstes unabdingbaren Verhaltensgeboten gehört die sich aus § 34 Satz 3 BeamtStG ergebende Pflicht des Beamten, sein Verhalten innerhalb und außerhalb des Dienstes so auszurichten, dass es der Achtung und dem Vertrauen gerecht wird, die sein Beruf erfordern. Hierzu gehört insbesondere die Pflicht, sich gesetzestreu zu verhalten und damit unter anderem den Datenschutz betreffende gesetzliche Vorgaben zu beachten.

Vgl. OVG NRW, Beschluss vom 18. Februar 2019 - 6 B 1551/18 -, juris Rn. 8.

Gem. § 6 Halbsatz 1 des Datenschutzgesetzes Nordrhein-Westfalen in der bis zum 24. Mai 2018 geltenden Fassung (im Folgenden: DSG NRW a. F.) bzw. § 41 des am 25. Mai 2018 in Kraft getretenen Datenschutzgesetzes Nordrhein-Westfalen vom 17. Mai 2018 (im Folgenden: DSG NRW) ist es denjenigen Personen, die bei öffentlichen Stellen oder ihren Auftragnehmern dienstlichen Zugang zu personenbezogenen Daten haben, untersagt, solche Daten unbefugt zu einem anderen als dem zur jeweiligen rechtmäßigen Aufgabenerfüllung gehörenden Zweck zu verarbeiten oder zu offenbaren. Der Antragsteller hat zumindest in 50 Fällen jeweils eine zweckwidrige Datenverarbeitung i. S. v. § 6 Halbsatz 1 i. V. m. § 3 Abs. 2 DSG NRW a. F. bzw. § 41 i. V. m. § 36 Nr. 2 DSG NRW vorgenommen. Er hat damit in einer Vielzahl von Fällen in Rechte Dritter eingegriffen. Dass hierdurch das Vertrauen des Antragsgegners in die persönliche Integrität und Zuverlässigkeit des Antragstellers nachhaltig erschüttert ist, drängt sich auf. Hieran ändert auch der von der Beschwerde mehrfach wiederholte Umstand nichts, dass es nicht zur unbefugten Weitergabe der abgefragten Daten gekommen ist.

Fehl geht die Beschwerde, wenn sie meint, der - von ihr auch nur behauptete - Umstand, dass dienstältere Kollegen den „sorgloseren Umgang“ mit „Abfragen“ im Polizeialltag vorgelebt hätten, relativiere das Gewicht des Fehlverhaltens des Antragstellers. Sein Fehlverhalten stellt sich nicht als weniger schwerwiegend dar, wenn andere Bedienstete im Bereich des Antragsgegners ebenfalls unzulässige Datenabfragen durchführen. Im Übrigen besteht auch kein Anhalt dafür, dass dies der Fall ist und vom Antragsgegner geduldet wird.

Unverständlich ist der Einwand der Beschwerde, es sei unberücksichtigt geblieben, dass es sich um einen „schleichenden Prozess“ gehandelt habe, „indem sich in gewisser Weise verselbstständigt hat, dass sich die Hemmschwelle des Antragstellers, entsprechende Datenabfragen durchzuführen, immer weiter abgesenkt hat“. Nicht zuletzt der Umstand, dass die Hemmschwelle des Antragstellers im Laufe der Zeit immer weiter gesunken und somit seine Bereitschaft gestiegen ist, unzulässige Datenabfragen durchzuführen, unterstreicht, dass die Eignungszweifel des Antragsgegners berechtigt sind. Es handelt sich um ein über mehrere Jahre hinweg gezeigtes Fehlverhalten und nicht etwa um das Ergebnis einer nur momentanen Unüberlegtheit.

Das Vorbringen der Beschwerde, dem Antragsteller sei erst im Nachgang bewusst geworden, dass er über das Maß des rechtlich Zulässigen hinausgegangen sei, überzeugt schon deshalb nicht, weil er, wie im Einzelnen vom Verwaltungsgericht dargestellt, immer wieder über die Datenschutzbestimmungen belehrt worden ist.

Nicht nachvollziehbar ist das Vorbringen des Antragstellers, es sei ihm stets darum gegangen, „sich nicht in Bezug auf seine persönliche Stellung als Polizeibeamter durch Kontakte mit anderen Personen angreifbar oder verdächtig zu machen“, und er habe durch die „Abfragen“ vermeiden wollen, „einen Fehler“ zu machen, da er aufgrund seines Migrationshintergrundes das Gefühl gehabt habe, stetig unter besonderer Aufsicht zu stehen. Dies vermag seine unzulässigen Datenabfragen nicht zu rechtfertigen, sondern hätte allenfalls Grund für ein besonderes Pflichtbewusstsein sein können. Im Übrigen musste er damit rechnen, dass diese Abfragen auffallen, der Antragsgegner ihm das darin liegende gewichtige Fehlverhalten vorhält und Konsequenzen zieht.

Soweit der Antragsteller schließlich geltend macht, er biete ausreichende Gewähr dafür, sich nunmehr rechtstreu und insofern dienstrechtlich beanstandungsfrei zu verhalten, lässt er unberücksichtigt, dass es auf seine Selbsteinschätzung nicht ankommt.

Den Volltext der Entscheidung finden Sie hier:

EuGH
Urteil vom 01.10.2019
C-673/17
Bundesverband der Verbraucherzentralen und Verbraucherverbände – Verbraucherzentrale Bundesverband e. V. / Planet49 GmbH

Der EuGH hat entschieden, dass das Setzen von Cookies ein aktive Einwilligung des Internetnutzers erfordert. Es reicht nicht, wenn eine voreingestellte Checkbox abgewählt werden kann.

Nicht von der Pflicht zur Einwilligung erfasst, sind nach Art. 5 Abs. 3 S. 2 der Richtlinie 2002/58/EG solche Cookies, bei denen"der alleinige Zweck die Durchführung oder Erleichterung der Übertragung einer Nachricht über ein elektronisches Kommunikationsnetz ist oder, soweit dies unbedingt erforderlich ist, um einen vom Teilnehmer oder Nutzer ausdrücklich gewünschten Dienst der Informationsgesellschaft zur Verfügung zu stellen."

Die Pressemitteilung des EuGH:

Das Setzen von Cookies erfordert die aktive Einwilligung des Internetnutzers - Ein voreingestelltes Ankreuzkästchen genügt daher nicht

Der deutsche Bundesverband der Verbraucherverbände wendet sich vor den deutschen Gerichten dagegen, dass die deutsche Planet49 GmbH bei Online-Gewinnspielen zu Werbezwecken ein Ankreuzkästchen mit einem voreingestellten Häkchen verwendet, mit dem Internetnutzer, die an einem solchen Gewinnspiel teilnehmen möchten, ihre Einwilligung in das Speichern von Cookies erklären. Die Cookies dienen zur Sammlung von Informationen zu Werbezwecken für Produkte der Partner der Planet49 GmbH.

Der Bundesgerichtshof (Deutschland) ersucht den Gerichtshof um die Auslegung des Unionsrechts über den Schutz der Privatsphäre in der elektronischen Kommunikation.

Mit seinem heutigen Urteil entscheidet der Gerichtshof, dass die für die Speicherung und den Abruf von Cookies auf dem Gerät des Besuchers einer Website erforderliche Einwilligung durch ein voreingestelltes Ankreuzkästchen, das der Nutzer zur Verweigerung seiner Einwilligung abwählen muss, nicht wirksam erteilt wird.

Es macht insoweit keinen Unterschied, ob es sich bei den im Gerät des Nutzers gespeicherten oder abgerufenen Informationen um personenbezogene Daten handelt oder nicht. Das Unionsrecht soll den Nutzer nämlich vor jedem Eingriff in seine Privatsphäre schützen, insbesondere gegen die Gefahr, dass „Hidden Identifiers“ oder ähnliche Instrumente in sein Gerät
eindringen.

Der Gerichtshof stellt klar, dass die Einwilligung für den konkreten Fall erteilt werden muss. Die Betätigung der Schaltfläche für die Teilnahme am Gewinnspiel stellt deshalb noch keine wirksame Einwilligung des Nutzers in die Speicherung von Cookies dar.

Der Gerichtshof stellt ferner klar, dass der Diensteanbieter gegenüber dem Nutzer hinsichtlich der Cookies u. a. Angaben zur Funktionsdauer und zur Zugriffsmöglichkeit Dritter machen muss.

Tenor der Entscheidung:

1. Art. 2 Buchst. f und Art. 5 Abs. 3 der Richtlinie 2002/58/EG des Europäischen Parlaments und des Rates vom 12. Juli 2002 über die Verarbeitung personenbezogener Daten und den Schutz der Privatsphäre in der elektronischen Kommunikation (Datenschutzrichtlinie für elektronische Kommunikation) in der durch die Richtlinie 2009/136/EG des Europäischen Parlaments und des Rates vom 25. November 2009 geänderten Fassung in Verbindung mit Art. 2 Buchst. h der Richtlinie 95/46/EG des Europäischen Parlaments und des Rates vom 24. Oktober 1995 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten und zum freien Datenverkehr bzw. mit Art. 4 Nr. 11 und Art. 6 Abs. 1 Buchst. a der Verordnung (EU) 2016/679 des Europäischen Parlaments und des Rates vom 27. April 2016 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten, zum freien Datenverkehr und zur Aufhebung der Richtlinie 95/46 (Datenschutz-Grundverordnung) sind dahin auszulegen, dass keine wirksame Einwilligung im Sinne dieser Bestimmungen vorliegt, wenn die Speicherung von Informationen oder der Zugriff auf Informationen, die bereits im Endgerät des Nutzers einer Website gespeichert sind, mittels Cookies durch ein voreingestelltes Ankreuzkästchen erlaubt wird, das der Nutzer zur Verweigerung seiner Einwilligung abwählen muss.

2. Art. 2 Buchst. f und Art. 5 Abs. 3 der Richtlinie 2002/58 in der durch die Richtlinie 2009/136 geänderten Fassung in Verbindung mit Art. 2 Buchst. h der Richtlinie 95/46 bzw. mit Art. 4 Nr. 11 und Art. 6 Abs. 1 Buchst. a der Verordnung 2016/679 sind nicht unterschiedlich auszulegen, je nachdem, ob es sich bei den im Endgerät des Nutzers einer Website gespeicherten oder abgerufenen Informationen um personenbezogene Daten im Sinne der Richtlinie 95/46 bzw. der Verordnung 2016/679 handelt oder nicht.

3. Art. 5 Abs. 3 der Richtlinie 2002/58 in der durch die Richtlinie 2009/136 geänderten Fassung ist dahin auszulegen, dass Angaben zur Funktionsdauer der Cookies und dazu, ob Dritte Zugriff auf die Cookies erhalten können, zu den Informationen zählen, die der Diensteanbieter dem Nutzer einer Website zu geben hat.


Den Volltext der Entscheidung finden Sie hier:

OVG Saarlouis
Beschluß vom 10.09.2019
2 A 174/18

Das OVG Saarloius hat entschieden, dass ein Datenschutzverstoß vorliegt, wenn allgemein zugängliche Daten gespeichert werden und die Daten für unerlaubte Telefonwerbung genutzt werden sollen. Die Normen der DSGVO wandte das Gericht nicht an, da die streitgegenständliche behördlichen Verfügung vor Inkrafttreten der DSGVO erging.

Aus den Entscheidungsgründen:

Zu Recht hat das Verwaltungsgericht angenommen, dass die auf § 38 Abs. 5 Satz 2 BDSG i.V.m. § 35 Abs. 2 Nr. 1 BDSG in der Fassung der Bekanntmachung vom 14.1.2003 (BGBl. I S. 66), zuletzt geändert durch Art. 1 des Gesetzes vom 25.2.2015 (BGBl. I S. 162), gestützte Anordnung des Beklagten vom 10.1.2017 rechtmäßig ist, weil die Geschäftspraxis der Klägerin, zwecks telefonischer Werbeansprachen die aus allgemein zugänglichen Verzeichnissen erhobenen Praxisdaten zu speichern und zu nutzen, im Falle inhabergeführter Einzelzahnarztpraxen gegen das Bundesdatenschutzgesetz verstößt.

Die Klägerin kann sich zur Begründung der von ihr behaupteten ernstlichen Zweifeln an der Richtigkeit der erstinstanzlichen Entscheidung nicht mit Erfolg darauf berufen, dass die Entscheidung des Verwaltungsgerichts auf der Basis des Bundesdatenschutzgesetzes (a.F.) der Rechtslage mit Blick auf die am 25.5.2018 – wenige Wochen nach der mündlichen Verhandlung – in Kraft getretenen Datenschutz-Grundverordnung (DS-GVO) nicht gerecht werde und das Gericht daher eine „nutzlose Entscheidung“ getroffen habe. Die Klägerin beruft sich – im Wesentlichen unter Wiederholung des erstinstanzlichen Vorbringens – darauf, dass sich die Erfahrungswerte der bisherigen Praxis nur begrenzt auf die Regelungen in der DS-GVO übertragen ließen. Durch die DS-GVO sei es zu einer spürbaren Akzentverschiebung im Vergleich zur alten Rechtslage nach dem BDSG gekommen. Die Interessenabwägung in Artikel 6 Abs. 1f DS-GVO erfolge nach einem anderen Maßstab, da nun auf andere Leitlinien zurückgegriffen werden werde. Das Interesse des Verantwortlichen an der Durchführung von Direktwerbung werde durch den Normgeber als „berechtigtes Interesse“ anerkannt, anders als es bei Anwendbarkeit des BDSG gewesen sei. Im Erwägungsgrund 47 zu Artikel 6 DS-GVO sei explizit das Interesse des Verantwortlichen an der Durchführung einer „Direktwerbung“ genannt. Damit sei klar, dass die werbliche Datennutzung als besonders wichtiger Anwendungsfall eines berechtigten Interesses anzusehen sei.

Diese allgemeinen Ausführungen der Klägerin beinhalten keine ausreichenden Gründe, die eine Berufungszulassung nach § 124 Abs. 2 Nr. 1 VwGO rechtfertigen. Das Verwaltungsgericht hat bei der rechtlichen Beurteilung der Anordnung des Beklagten vom 10.1.2017 in seinem Urteil vom 9.3.2018 zutreffend das bis zum 24.5.2018 geltende Bundesdatenschutzrecht für maßgeblich gehalten. Die von der Klägerin reklamierte Beurteilung der angefochtenen Verfügung des Beklagten vom 10.1.2017 am Maßstab der Rechtslage aufgrund der ab 25.5.2018 maßgeblichen Datenschutz-Grundverordnung kam nicht in Betracht. Maßgeblicher Zeitpunkt für die gerichtliche Beurteilung der auf § 38 Abs. 5 Satz 2 BDSG a.F. beruhenden Anordnung des Beklagten ist, da gegen diese Entscheidungen kein Widerspruchsverfahren stattfindet (vgl. § 28a SDSG i. d. Fassung der Bekanntmachung vom 28.1.2008; Amtsbl. S. 293), der Zeitpunkt des Erlasses der streitgegenständlichen Verfügung des Beklagten. Das Bundesverwaltungsgericht(Urteil vom 27.3.2019 - 6 C 2/18 - (Videoüberwachungen zu privaten Zwecken); NVwZ 2019, 1126 - 1132; zitiert nach juris) hat entschieden, dass die Rechtmäßigkeit von Anordnungen zur Beseitigung datenschutzrechtlicher Verstöße nach § 38 Abs. 5 Satz 1 BDSG a.F. nach der Rechtslage zu beurteilen ist, die zum Zeitpunkt der letzten behördlichen Entscheidung gilt und nachträgliche Rechtsänderungen nicht zu berücksichtigen sind. Das Bundesverwaltungsgericht hat weiter ausgeführt, diese Bestimmung eröffne der Aufsichtsbehörde bei Feststellung eines Verstoßes gegen Datenschutzrecht einen Ermessensspielraum für das daran anknüpfende Vorgehen. Die gerichtliche Nachprüfung einer behördlichen Ermessensentscheidung beziehe sich auf den Zeitpunkt der Ausübung des Ermessens, wenn sich aus dem materiellen Recht nichts Abweichendes ergebe. Für eine Ermessensentscheidung sei kennzeichnend, dass die Behörde zwischen mehreren rechtlich zulässigen, weil von der Bandbreite des Ermessensspielraums gedeckten Handlungsalternativen wählen könne. Die Verwaltungsgerichte prüften diese Auswahlentscheidungen nur eingeschränkt nach Maßgabe des § 114 Satz 1 VwGO nach. Insbesondere seien sie daran gehindert, ihre eigenen Auswahlerwägungen an die Stelle derjenigen der Behörde zu setzen. Dies schließe es grundsätzlich aus, Ermessensentscheidungen anhand von tatsächlichen und rechtlichen Erkenntnissen nachzuprüfen, die die Behörde nicht in ihre Erwägungen habe einbeziehen können, weil sie zum Zeitpunkt der Ermessensausübung noch nicht vorgelegen hätten(BVerwG, Urteile vom 20.5.1980 - 1 C 82.76 - BVerwGE 60, 133 <136> und vom 6.4.1989 - 1 C 70.86 - BVerwGE 81, 356 <358>; BFH, Urteil vom 26.3.1991 - VII R 66/90 - BFHE 164, 7 <9>)). Vielmehr habe sich die Ermessensausübung zur Bestimmung der dem Verantwortlichen als Beseitigungsmaßnahme aufzuerlegenden Handlungs- oder Unterlassungspflichten an der Art des datenschutzrechtlichen Verstoßes zu orientieren. Ungeachtet des Umstands, dass sich die im konkreten vom Bundesverwaltungsgericht entschiedenen Fall der dortigen Klägerin aufgegebenen Handlungsgebote ständig aktualisierten, weil damit die Verpflichtung einhergehe, den neu geschaffenen Zustand auf Dauer beizubehalten, seien derartige Maßnahmen gemäß § 38 Abs. 5 Satz 1 BDSG a.F. nach demjenigen Recht zu beurteilen, das zum Zeitpunkt der letzten Behördenentscheidung gegolten habe. Es hätte deutlicher Hinweise in der Datenschutz-Grundverordnung für die Annahme bedurft, dass der Normgeber der Europäischen Union nicht nur ein einheitliches unionsrechtliches Datenschutzrecht für die Zukunft geschaffen, sondern darüber hinaus bestimmt habe, dass datenschutzrechtliche Entscheidungen, die die Aufsichtsbehörden noch nach dem nationalen Datenschutzrecht getroffen hätten, rückwirkend an den anderen Strukturen der Datenschutz-Grundverordnung zu messen seien. Derartige Hinweise enthielten weder der Text der Datenschutz-Grundverordnung noch die Erwägungsgründe. Vielmehr bestimme Art. 96 DS-GVO die Fortgeltung der vor dem 24.5.2016 geschlossenen Übereinkünfte der Mitgliedstaaten mit Drittstaaten und internationalen Organisationen über die Übermittlung personenbezogener Daten.

Diese vom Bundesverwaltungsgericht dargelegten Grundsätze beanspruchen auch im vorliegenden Fall Geltung, denn sowohl Anordnungen nach § 38 Abs. 5 Satz 1 BDSG als auch Anordnungen nach § 38 Abs. 5 Satz 2 BDSG, wonach bei schwerwiegenden Verstößen oder Mängeln die Erhebung, Verarbeitung oder Nutzung oder der Einsatz einzelner Verfahren untersagt werden kann, wenn die Verstöße oder Mängel nicht in angemessener Zeit beseitigt werden, stehen gleichermaßen im Ermessen der zuständigen Aufsichtsbehörde. Dass in Bezug auf die von dem Beklagten herangezogenen Ermächtigungsgrundlage des § 38 Abs. 5 Satz 2 BDSG ausnahmsweise ein anderer rechtlicher Beurteilungszeitpunkt als bei der Vorschrift des § 38 Abs. 5 Satz 1 BDSG zugrunde zu legen wäre, erschließt sich dem Senat nicht. Die Rechtmäßigkeit der Anordnung des Beklagten ist demzufolge vom Verwaltungsgericht zutreffend nach Maßgabe des damals geltenden Bundesdatenschutzrechtes beurteilt worden. Der Einwand der Klägerin, die Entscheidung des erstinstanzlichen Gerichts könne wegen inzwischen geänderter Rechtslage keinen Bestand haben, verfängt daher nicht. Das Zulassungsvorbringen der Klägerin beschränkt sich im Weiteren auf die Subsumtion des Sachverhaltes unter Artikel 6 Abs. 1f DS-GVO und der danach zu treffenden Abwägungsentscheidung. Diese auf die Rechtslage bei Anwendung der DS-GVO bezogenen Ausführungen sind indessen nicht geeignet, die Entscheidung des Verwaltungsgerichts in Frage zu stellen, weil – was sich bereits aus dem Vorhergesagten ergibt – die Datenschutz-Grundverordnung nicht für die Beurteilung der Rechtmäßigkeit von Anordnungen zur Beseitigung datenschutzrechtlicher Verstöße gilt, die die Behörden vor deren Geltungsbeginn auf der Grundlage des nationalen Rechts getroffen haben, und sie daher auf die Anordnung des Beklagten keine Anwendung findet. Ob die Werbeanrufe der Klägerin mit der Datenschutz-Grundverordnung im Einklang stehen, war daher vom Verwaltungsgericht im Rahmen der Anfechtungsklage nicht zu klären. Die Beantwortung dieser Frage setzt vielmehr zunächst eine eigenständige Prüfung seitens des Beklagten nach Maßgabe der §§ 49 ff. SVwVfG voraus, ob er die Anordnung für die Zukunft aufrechterhält(vgl. BVerwG, Urteil vom 27.3. 2019 - 6 C 2.18 - und Beschluss vom 9.7.2019 - 6 B 2/18 -; juris). Ernstliche Zweifel an der Richtigkeit der erstinstanzlichen Entscheidung bestehen nach Maßgabe des Zulassungsvorbringens demzufolge insoweit nicht.


Den Volltext der Entscheidung finden Sie hier:

EuGH
Urteil vom 24.09.2019
C-136/17
GC u. a. / Commission nationale de l'informatique et des libertés (CNIL)

Der EuGH hat entschieden, dass das Verbot der Verarbeitung bestimmter Kategorien sensibler personenbezogener Daten auch für Suchmaschinen gilt.

Die Pressemitteilung des EuGH:

Das Verbot der Verarbeitung bestimmter Kategorien sensibler personenbezogener Daten gilt auch für die Betreiber von Suchmaschinen

Im Rahmen eines Auslistungsantrags ist eine Abwägung zwischen den Grundrechten des Antragstellers und den Grundrechten der Internetnutzer vorzunehmen, die potenziell Interesse an diesen Informationen haben .

Frau G. C., Herr A. F., Herr B. H. und Herr E. D. erhoben beim Conseil d’État (Staatsrat, Frankreich) Klagen gegen die Commission nationale de l’informatique et des libertés (CNIL, Nationaler Ausschuss für Informatik und Freiheitsrechte, Frankreich) wegen vier Beschlüssen, mit denen die CNIL es ablehnte, die Google Inc. aufzufordern, aus der Ergebnisliste, die im Anschluss an eine anhand ihres Namens durchgeführte Suche angezeigt wird, verschiedene Links zu Websites Dritter zu entfernen. Die Links führen zu Websites Dritter, die u. a. eine unter einem Pseudonym online gestellte satirische Fotomontage, in der eine im Bereich der Politik tätige Frau dargestellt wird, einen Artikel, in dem einer der Betroffenen als Verantwortlicher für die Öffentlichkeitsarbeit der Scientology-Kirche genannt wird, Artikel über die Anklageerhebung gegen einen im Bereich der Politik tätigen Mann sowie Artikel über die Verurteilung eines anderen Betroffenen wegen sexueller Übergriffe auf Jugendliche enthalten.

Der Conseil d’État hat dem Gerichtshof mehrere Fragen zur Auslegung der Vorschriften des Unionsrechts über den Schutz personenbezogener Daten vorgelegt.

Der Conseil d’État möchte u. a. wissen, ob in Anbetracht des speziellen Verantwortungsbereichs, der speziellen Befugnisse und der speziellen Möglichkeiten des Betreibers einer Suchmaschine das den anderen für die Verarbeitung Verantwortlichen auferlegte Verbot, besondere Kategorien personenbezogener Daten (wie solche, die politische Meinungen, religiöse oder philosophische Überzeugungen oder das Sexualleben betreffen) zu verarbeiten, auch für einen solchen Betreiber gilt.

In seinem heutigen Urteil weist der Gerichtshof darauf hin, dass durch die Tätigkeit einer Suchmaschine die Grundrechte auf Achtung des Privatlebens und auf Schutz personenbezogener Daten erheblich beeinträchtigt werden können, und zwar zusätzlich zur Tätigkeit der Herausgeber von Websites; als derjenige, der über die Zwecke und Mittel dieser Tätigkeit entscheidet, hat der Suchmaschinenbetreiber daher in seinem Verantwortungsbereich im Rahmen seiner Befugnisse und Möglichkeiten dafür zu sorgen, dass die Tätigkeit der Suchmaschine den Anforderungen des Unionsrechts entspricht, damit die darin vorgesehenen Garantien ihre volle Wirksamkeit entfalten können und ein wirksamer und umfassender Schutz der betroffenen Personen, insbesondere ihres Rechts auf Achtung ihres Privatlebens, tatsächlich verwirklicht werden kann.

Der Gerichtshof hebt sodann hervor, dass die Verarbeitung personenbezogener Daten, aus denen die rassische und ethnische Herkunft, politische Meinungen, religiöse oder philosophische Überzeugungen oder die Gewerkschaftszugehörigkeit hervorgehen, sowie von Daten über Gesundheit oder Sexualleben vorbehaltlich bestimmter Abweichungen und Ausnahmen verboten ist. Außerdem darf die Verarbeitung von Daten, die Straftaten, strafrechtliche Verurteilungen oder Sicherungsmaßregeln betreffen, abgesehen von besonderen Ausnahmen, nur unter behördliche Aufsicht erfolgen, und ein vollständiges Register der strafrechtlichen Verurteilungen darf nur unter
behördlicher Aufsicht geführt werden.
Nach Ansicht des Gerichtshofs gelten das Verbot und die Beschränkungen vorbehaltlich der im Unionsrecht vorgesehenen Ausnahmen für sämtliche Verantwortliche, die solche Verarbeitungen
vornehmen.

Der Suchmaschinenbetreiber ist jedoch nicht dafür verantwortlich, dass die in diesen Bestimmungen genannten personenbezogenen Daten auf der Website eines Dritten vorhanden sind, wohl aber für die Listung dieser Website und insbesondere für die Anzeige des auf sie führenden Links in der Ergebnisliste, die den Internetnutzern im Anschluss an eine Suche angezeigt wird. Das Verbot und die Beschränkungen sind auf diesen Betreiber nur aufgrund der Listung der Website und somit über eine Prüfung anwendbar, die auf der Grundlage eines Antrags der betroffenen Person unter der Aufsicht der zuständigen nationalen Behörden vorzunehmen ist.

Der Gerichtshof stellt sodann fest, dass zwar die Rechte der betroffenen Person im Allgemeinen gegenüber dem Recht der Internetnutzer auf freie Information überwiegen; der Ausgleich kann in besonders gelagerten Fällen aber von der Art der betreffenden Information, von deren Sensibilität für das Privatleben der betroffenen Person und vom Interesse der Öffentlichkeit am Zugang zu der Information abhängen, das u. a. je nach der Rolle, die die Person im öffentlichen Leben spielt, variieren kann.

Der Gerichtshof schließt daraus, dass der Suchmaschinenbetreiber, wenn er mit einem Antrag auf Auslistung eines Links zu einer Website befasst ist, auf der sensible Daten veröffentlicht sind, auf der Grundlage aller relevanten Umstände des Einzelfalls und unter Berücksichtigung der Schwere des Eingriffs in die Grundrechte der betroffenen Person auf Achtung des Privatlebens und auf Schutz personenbezogener Daten prüfen muss, ob sich die Aufnahme dieses Links in die im Anschluss an eine Suche anhand des Namens dieser Person angezeigte Ergebnisliste als unbedingt erforderlich erweist, um die Informationsfreiheit von Internetnutzern zu schützen, die potenziell daran interessiert sind, mittels einer solchen Suche Zugang zu der betreffenden Website zu erhalten.

Bezieht sich die Verarbeitung auf Daten, die die betroffene Person offenkundig öffentlich gemacht hat, kann der Suchmaschinenbetreiber einen Auslistungsantrag ablehnen, sofern die Verarbeitung alle sonstigen Voraussetzungen für die Zulässigkeit erfüllt und die betroffene Person nicht aus überwiegenden, schutzwürdigen, sich aus ihrer besonderen Situation ergebenden Gründen gegen die Datenverarbeitung Widerspruch einlegen kann.

Schließlich stellt der Gerichtshof zu Websites, auf denen Informationen zu einem Strafverfahren gegen eine bestimmte Person veröffentlicht sind, die sich auf einen früheren Verfahrensabschnitt beziehen und nicht mehr der aktuellen Situation entsprechen, fest, dass es Sache des Suchmaschinenbetreibers ist, zu beurteilen, ob diese Person ein Recht darauf hat, dass die betreffenden Informationen aktuell nicht mehr durch die Anzeige einer Ergebnisliste im Anschluss an eine Suche anhand ihres Namens mit ihrem Namen in Verbindung gebracht werden. Dabei hat der Suchmaschinenbetreiber sämtliche Umstände des Einzelfalls wie z. B. die Art und Schwere der Straftat, den Verlauf und Ausgang des Verfahrens, die verstrichene Zeit, die Rolle der Person im öffentlichen Leben und ihr Verhalten in der Vergangenheit, das Interesse der Öffentlichkeit zum Zeitpunkt der Antragstellung, den Inhalt und die Form der Veröffentlichung sowie die Auswirkungen der Veröffentlichung für die Person zu berücksichtigen.

Der Suchmaschinenbetreiber ist daher verpflichtet, einem Antrag auf Auslistung von Links zu Websites, auf denen sich Informationen zu einem Gerichtsverfahren, das eine natürliche Person betraf, sowie gegebenenfalls Informationen über die sich daraus ergebende Verurteilung befinden, stattzugeben, wenn sich diese Informationen auf einen früheren Abschnitt des Gerichtsverfahrens beziehen und nicht mehr der aktuellen Situation entsprechen, sofern festgestellt wird, dass unter Berücksichtigung sämtlicher Umstände des Einzelfalls die Grundrechte der betroffenen Person gegenüber den Grundrechten der potenziell interessierten Internetnutzer überwiegen.

Der Gerichtshof weist noch darauf hin, dass der Suchmaschinenbetreiber, selbst wenn er feststellen sollte, dass die betroffene Person kein Recht auf Auslistung solcher Links hat, weil sich die Einbeziehung des betreffenden Links als absolut erforderlich erweist, um die Rechte der betroffenen Person auf Achtung des Privatlebens und auf Schutz ihrer Daten mit der Informationsfreiheit potenziell interessierter Internetnutzer in Einklang zu bringen, in jedem Fall verpflichtet ist, spätestens anlässlich des Auslistungsantrags die Ergebnisliste so auszugestalten, dass das daraus für den Internetnutzer entstehende Gesamtbild die aktuelle Rechtslage widerspiegelt, was insbesondere voraussetzt, dass Links zu Websites mit entsprechenden Informationen auf dieser Liste an erster Stelle stehen.

Den Volltext der Entscheidung finden Sie hier:

EuGH
Urteil vom 24.09.2019
C-507/17
Google LLC als Rechtsnachfolgerin der Google Inc. / Commission nationale de l'informatique et des libertés (CNIL)

Der EuGH hat entschieden, dass der Suchmaschinenbetreiber Google nicht verpflichtet ist, Inhalte weltweit aus dem Suchindex zu entfernen.

Die Pressemitteilung des EuGH:

Der Betreiber einer Suchmaschine ist nicht verpflichtet, eine Auslistung in allen Versionen seiner Suchmaschine vorzunehmen

Er ist jedoch verpflichtet, sie in allen mitgliedstaatlichen Versionen vorzunehmen und Maßnahmen zu ergreifen, um die Internetnutzer davon abzuhalten, von einem Mitgliedstaat aus auf die entsprechenden Links in Nicht-EU-Versionen der Suchmaschine zuzugreifen.

Mit Beschluss vom 10. März 2016 verhängte die Präsidentin der Commission nationale de l’informatique et des libertés (CNIL, Nationaler Ausschuss für Informatik und Freiheitsrechte, Frankreich) eine Sanktion von 100 000 Euro gegen die Google Inc. wegen der Weigerung des Unternehmens, in Fällen, in denen es einem Auslistungsantrag stattgibt, die Auslistung auf
sämtliche Domains seiner Suchmaschine anzuwenden.

Die Google Inc., die von der CNIL am 21. Mai 2015 aufgefordert worden war, die Auslistung auf alle Domains zu erstrecken, kam dieser Aufforderung nicht nach und entfernte die betreffenden Links nur aus den Ergebnissen, die bei Sucheingaben auf Domains angezeigt wurden, die den Versionen ihrer Suchmaschine in den Mitgliedstaaten entsprachen. Die Google Inc. erhob beim Conseil d’État (Staatsrat, Frankreich) Klage auf Nichtigerklärung des Beschlusses vom 10. März 2016. Sie ist der Auffassung, das Auslistungsrecht setze nicht zwangsläufig voraus, dass die streitigen Links ohne geografische Beschränkung auf sämtlichen Domains ihrer Suchmaschine entfernt würden.

Der Conseil d’État hat dem Gerichtshof mehrere Fragen zur Vorabentscheidung vorgelegt, mit denen er wissen will, ob die Vorschriften des Unionsrechts über den Schutz personenbezogener Daten dahin auszulegen sind, dass der Betreiber einer Suchmaschine, wenn er einem Auslistungsantrag stattgibt, die Auslistung in allen Versionen seiner Suchmaschine, nur in allen
mitgliedstaatlichen Versionen oder nur in der Version für den Mitgliedstaat, in dem der Auslistungsantrag gestellt wurde, vorzunehmen hat.

In seinem heutigen Urteil weist der Gerichtshof zunächst darauf hin, dass er bereits entschieden hat, dass der Suchmaschinenbetreiber dazu verpflichtet ist, von der Ergebnisliste, die im Anschluss an eine anhand des Namens einer Person durchgeführte Suche angezeigt wird, Links zu von Dritten veröffentlichten Websites mit Informationen zu dieser Person zu entfernen, auch wenn der Name oder die Informationen auf diesen Websites nicht vorher oder gleichzeitig gelöscht
werden und gegebenenfalls auch dann, wenn ihre Veröffentlichung auf den Websites als solche rechtmäßig ist.

Der Gerichtshof stellt sodann fest, dass die Niederlassung, die die Google Inc. im französischen Hoheitsgebiet besitzt, Tätigkeiten ausübt, insbesondere gewerbliche und Werbetätigkeiten, die untrennbar mit der Verarbeitung personenbezogener Daten zum Betrieb der betreffendenSuchmaschine verbunden sind, und dass die Suchmaschine vor allem unter Berücksichtigung der Verbindungen zwischen ihren verschiedenen nationalen Versionen im Rahmen der Tätigkeiten der französischen Niederlassung der Google Inc. eine einheitliche Verarbeitung personenbezogener Daten ausführt. Eine solche Situation fällt somit in den Anwendungsbereich der Unionsvorschriften über den Schutz personenbezogener Daten.

In einer globalisierten Welt kann der Zugriff von Internetnutzern, insbesondere derjenigen, die sich außerhalb der Union befinden, auf die Listung eines Links, der zu Informationen über eine Person führt, deren Interessenschwerpunkt in der Union liegt, auch innerhalb der Union unmittelbare und erhebliche Auswirkungen auf diese Person haben, so dass mit einer weltweiten Auslistung das Schutzziel des Unionsrechts vollständig erreicht werden könnte. Zahlreiche Drittstaaten kennen jedoch kein Auslistungsrecht oder verfolgen bei diesem Recht einen anderen Ansatz. Auch ist das Recht auf Schutz personenbezogener Daten kein uneingeschränktes Recht, sondern muss im Hinblick auf seine gesellschaftliche Funktion gesehen und unter Wahrung des Verhältnismäßigkeitsprinzips gegen andere Grundrechte abgewogen werden. Zudem kann die Abwägung zwischen dem Recht auf Achtung des Privatlebens und auf Schutz personenbezogener Daten einerseits und der Informationsfreiheit der Internetnutzer andererseits weltweit sehr unterschiedlich ausfallen.

Aus den Vorschriften ergibt sich jedoch nicht, dass der Unionsgesetzgeber eine solche Abwägung in Bezug auf die Reichweite einer Auslistung über die Union hinaus durchgeführt hätte oder dass er entschieden hätte, den in diesen Bestimmungen verankerten Rechten des Einzelnen eine Reichweite zu verleihen, die über das Hoheitsgebiet der Mitgliedstaaten hinausgeht. Es ergibt sich daraus auch nicht, dass er einem Wirtschaftsteilnehmer wie der Google Inc. eine Pflicht zur Auslistung hätte auferlegen wollen, die auch für die nicht mitgliedstaatlichen nationalen Versionen seiner Suchmaschine gilt. Das Unionsrecht sieht zudem keine Instrumente und Kooperationsmechanismen im Hinblick auf die Reichweite einer Auslistung über die Union hinaus vor.

Der Gerichtshof schließt daraus, dass nach derzeitigem Stand ein Suchmaschinenbetreiber, der einem Auslistungsantrag der betroffenen Person – gegebenenfalls auf Anordnung einer Aufsichts- oder Justizbehörde eines Mitgliedstaats – stattgibt, nicht aus dem Unionsrecht verpflichtet ist, eine solche Auslistung in allen Versionen seiner Suchmaschine vorzunehmen.

Das Unionsrecht verpflichtet den Suchmaschinenbetreiber jedoch, eine solche Auslistung in allen mitgliedstaatlichen Versionen seiner Suchmaschine vorzunehmen und hinreichend wirksame Maßnahmen zu ergreifen, um einen wirkungsvollen Schutz der Grundrechte der betroffenen Person sicherzustellen. Eine solche Auslistung muss daher erforderlichenfalls von Maßnahmen begleitet sein, die es tatsächlich erlauben, die Internetnutzer, die von einem Mitgliedstaat aus eine Suche anhand des Namens der betroffenen Person durchführen, daran zu hindern oder zumindest zuverlässig davon abzuhalten, über die im Anschluss an diese Suche angezeigte Ergebnisliste mittels einer Nicht-EU-Version der Suchmaschine auf die Links zuzugreifen, die Gegenstand des Auslistungsantrags sind. Das vorlegende Gericht wird zu prüfen haben, ob die von der Google Inc. getroffenen Maßnahmen diesen Anforderungen genügen.

Schließlich stellt der Gerichtshof fest, dass nach derzeitigem Stand das Unionsrecht zwar keine Auslistung in allen Versionen der Suchmaschine vorschreibt, doch verbietet es dies auch nicht. Daher bleiben die Behörden eines Mitgliedstaats befugt, anhand von nationalen Schutzstandards für die Grundrechte eine Abwägung zwischen dem Recht der betroffenen Person auf Achtung des Privatlebens und auf Schutz der sie betreffenden personenbezogenen Daten einerseits und dem Recht auf freie Information andererseits vorzunehmen und nach erfolgter Abwägung gegebenenfalls dem Suchmaschinenbetreiber aufzugeben, eine Auslistung in allen Versionen seiner Suchmaschine vorzunehmen.

Den Volltext der Entscheidung finden Sie hier:

VG Koblenz
Urteil vom06.09.2019
5 K 101/19.KO

Das VG Kobenz hat entschieden, dass ein Lehrer keinen Anspruch auf Entfernung von Fotos seiner Person aus einem Schuljahrbuch hat, wenn er freiwillig bei einem entsprechendem Fototermin fotografiert wurde

Die Pressemitteilung des Gerichts:

Lehrer hat keinen Anspruch auf Beseitigung von Bildern aus Schuljahrbuch

Ein Lehrer hat keinen Anspruch auf Entfernung von Bildern seiner Person aus einem Schuljahrbuch, wenn er sich freiwillig bei einem entsprechenden Fototermin hat ablich­ten lassen und das Foto im dienstlichen Bereich in einer unverfänglichen, gestellten Situation aufgenommen worden ist. Die entsprechende Klage eines Lehrers wies das Verwaltungsgericht Koblenz ab.

Der als Studienrat an einem rheinland-pfälzischen Gymnasium unterrichtende Kläger ließ sich bei einem Fototermin mit zwei Schulklassen ablichten. In der Folge gab die Schule, wie bereits im Jahr zuvor, ein Jahrbuch mit Abbildungen sämtlicher Klassen und Kurse nebst den jeweiligen Lehrkräften heraus. Der Kläger beanstandete daraufhin ohne Erfolg die Veröffentlichung der beiden Bilder mit dem Argument, seine vorherige Zustimmung sei nicht eingeholt und damit durch die Publikation sein Persönlichkeits­recht verletzt worden. Dieses Begehren verfolgte er zuletzt im Klageverfahren weiter und führte dort ergänzend aus, bei dem Fototermin habe er sich nur ablichten lassen, weil ihn eine Kollegin zur Teilnahme überredet habe; den wahren Verwendungszweck der Bilder habe er jedoch nicht gekannt. Die Fotografin habe ihm zugesichert, dass die Bilder nicht veröffentlicht würden. In dem ersten in der Schule herausgegebenen Jahr­buch für das Jahr 2014/2015 seien keine Bilder von ihm veröffentlicht worden.

Dem trat das beklagte Land mit dem Argument entgegen, der Kläger habe durch seine Teilnahme am Fototermin konkludent in die Veröffentlichung der Bilder eingewilligt. Denn obwohl ihm die Gepflogenheit der Veröffentlichung von Klassenfotos in Jahr­büchern bekannt gewesen und der Termin zuvor angekündigt worden sei, habe er sich ablichten lassen und der Veröffentlichung nicht ausdrücklich widersprochen. Jedenfalls liege kein unverhältnismäßiger Eingriff in sein Persönlichkeitsrecht vor.

Die Koblenzer Richter wiesen die Klage ab und folgten der Argumentation des Beklag­ten. Der vom Kläger geltend gemachte Anspruch scheitere daran, dass ein rechts­widriger Eingriff in sein Recht am eigenen Bild als spezielle Ausgestaltung des allge­meinen Persönlichkeitsrechtes nicht vorliege. Nach dem Kunsturhebergesetz bedürfe es schon keiner Einwilligung des Klägers in die Veröffentlichung, da die beanstandeten Klassenfotos dem Bereich der Zeitgeschichte zuzuordnen seien. Dies ergebe sich aus einer Abwägung der wechselseitigen Interessen. Ein Informationsinteresse der Öffent­lichkeit bestehe auch bei Veranstaltungen von regionaler oder lokaler Bedeutung; ent­sprechende Bedeutung hätten Jahrbücher mit Klassenfotos für die Angehörigen einer Schule. Der Kläger sei dagegen lediglich in seiner sogenannten Sozialsphäre betroffen, die einem geringeren Schutz unterliege als die Intim- oder Privatsphäre. Da das Foto nur im dienstlichen Bereich aufgenommen worden sei und den Kläger in einer völlig unverfänglichen, gestellten Situation zeige, seien seine Rechte nur geringfügig beein­trächtigt.

Selbst wenn man nach den Vorschriften des Kunsturhebergesetzes eine Einwilligung des Klägers für erforderlich halten würde, habe er diese nach Auffassung des Gerichtes jedenfalls konkludent erklärt, indem er sich beim Fototermin mit den beiden Schüler­gruppen habe ablichten lassen. Denn dies sei geschehen, obwohl er gewusst habe oder jedenfalls hätte wissen müssen, dass die Schule derartige Klassenfotos bereits in der Vergangenheit für Jahrbücher verwendet habe. Unerheblich sei, dass der Kläger – nach seinem Vortrag – gegenüber der Fotografin einer Veröffentlichung ausdrücklich wider­sprochen habe. Ihm sei bekannt gewesen, dass allein die Schulleitung die Entschei­dung über die Veröffentlichung der Fotografien treffe. Von daher hätte er seinen Wider­spruch dem Schulleiter gegenüber erklären müssen.

Gegen diese Entscheidung können die Beteiligten die Zulassung der Berufung durch das Oberverwaltungsgericht Rheinland-Pfalz beantragen.

(Verwaltungsgericht Koblenz, Urteil vom 6. September 2019, 5 K 101/19.KO

Den Volltext der Entscheidung finden Sie hier:

Der Landesbeauftragte für Datenschutz und Informationsfreiheit von Mecklenburg-Vorpommern hat u.a. wegen Verstößen gegen die Vorgaben der DSGVO das Lehrer-Meldeportal "Neutrale Schule" des AfD-Landesverbands Mecklenburg-Vorpommerns verboten.

Aus den Entscheidungsgründen:

Landesdatenschutzbeauftragter verbietet AfD-Portal

Der Landesbeauftragte für Datenschutz und Informationsfreiheit hat heute das Meldeportal „Neutrale Schule“ des AfD-Landesverbands verboten. Die dort veröffentlichten Textpassagen, in denen Schüler zur Meldung angeblicher Verstöße gegen das Neutralitätsgebot aufgefordert werden, sind bis zum 20. September 2019 zu entfernen, ansonsten droht die Verhängung eines Zwangsgeldes.

„Es darf nicht sein, dass Lehrer durch so ein Portal in ihrer Unterrichtstätigkeit eingeschüchtert werden“, erklärt Behördenchef Heinz Müller. „Genau das ist die Aussage der hier zur Anwendung kommenden datenschutzrechtlichen Vorschriften. Selbstverständlich ist es die Aufgabe der Lehrer, für die Demokratie, das Grundgesetz und die darin gewährleistete Menschenwürde einzutreten. Dabei sollen sie keine Angst haben, von selbsternannten AfD-Aufpassern behelligt zu werden.“

Der Landesverband der AfD erhebt in seinem Portal, anders als in seiner Pressemitteilung vom 2. September 2019 angegeben, nicht nur die personenbezogenen Daten der Schüler, die eine Meldung verfassen, sondern sammelt ganz gezielt auch die politischen Meinungen der gemeldeten Lehrer. Als besondere Kategorie personenbezogener Daten steht die politische Meinung jedoch unter besonderem rechtlichen Schutz.

In seiner Stellungnahme stützt der AfD-Landesverband die Datenverarbeitung auf sein berechtigtes Interesse nach Artikel 6 Absatz 1 Buchstabe f DS-GVO. „Hierbei wird verkannt“, so Müller, „dass die Verarbeitung von Daten, aus denen die politische Meinung hervorgeht, nach Artikel 9 Absatz 1 DS-GVO grundsätzlich untersagt ist.“ Eine solche Verarbeitung sei nur ausnahmsweise, unter den Voraussetzungen des Artikels 9 Absatz 2 DS-GVO, erlaubt. Doch die seien hier nicht gegeben.

Zwar hole der Landesverband der AfD die ausdrückliche Einwilligung der Verfasser einer Meldung in die „Nutzung ihrer Daten zu Zwecken der Arbeit der AfD Mecklenburg-Vorpommern“ ein. Doch sei diese Einwilligungserklärung viel zu unbestimmt und daher unwirksam. Mit Blick auf die gemeldeten Lehrer scheide eine Verarbeitung auf der Grundlage einer Einwilligung von vornherein aus. „Dem AfD-Landesverband ist es nicht gelungen, die Rechtmäßigkeit der von ihm zu verantwortenden Datenverarbeitung nachzuweisen“, sagt Müller. „Ein Verbot war daher angebracht.“

Mit Blick auf die Rechte der Betroffenen fügt Müller hinzu: „Übrigens kann jeder vom AfD-Landesverband nach Artikel 15 DS-GVO Auskunft darüber verlangen, ob ihn betreffende Daten verarbeitet werden. Ein formloses Schreiben genügt!“

BVerwG
Urteil vom 11.09.2019
6 C 15.18

Das BVerwG hat entschieden, dass Datenschutzbehörden grundsätzlich Facebook-Nutzern das Betreiben einer Facebook-Fanpage untersagen können. Es besteht keine Verpflichtung primär gegen Facebook vorzugehen. Das BVerwG hat die Sache allerdings an die Vorinstanz zurückverwiesen, dass Datenverarbeitungsvorgänge erneut prüfen muss.

Die Pressemitteilung des Bundesverwaltungsgerichts:

Datenschutzbehörde kann Betrieb einer Facebook-Fanpage untersagen

Der Betreiber eines im sozialen Netzwerk Facebook unterhaltenen Unternehmensauftritts (Fanpage) kann verpflichtet werden, seine Fanpage abzuschalten, falls die von Facebook zur Verfügung gestellte digitale Infrastruktur schwerwiegende datenschutzrechtliche Mängel aufweist. Das hat das Bundesverwaltungsgericht in Leipzig heute entschieden.

Gegenstand des Revisionsverfahrens war eine Anordnung der schleswig-holsteinischen Datenschutzaufsicht, mit der die Klägerin, eine in Kiel ansässige Bildungseinrichtung, unter der Geltung der Datenschutzrichtlinie (Richtlinie 95/46/EG) verpflichtet worden war, die von ihr bei Facebook betriebene Fanpage zu deaktivieren. Der Bescheid beanstandete, dass Facebook bei Aufruf der Fanpage auf personenbezogene Daten der Internetnutzer zugreife, ohne dass diese gemäß den Bestimmungen des Telemediengesetzes über Art, Umfang und Zwecke der Erhebung sowie ein Widerspruchsrecht gegen die Erstellung eines Nutzungsprofils für Zwecke der Werbung oder Marktforschung unterrichtet würden. Ein gegenüber der Klägerin als Betreiberin der Fanpage erklärter Widerspruch des Nutzers bleibe mangels entsprechender technischer Einwirkungsmöglichkeiten folgenlos.

Die Klage hatte in den Vorinstanzen Erfolg. Das Oberverwaltungsgericht hat eine datenschutzrechtliche Verantwortlichkeit der Klägerin abgelehnt, weil sie keinen Zugriff auf die erhobenen Daten habe. Dagegen wandte sich der Beklagte im vorliegenden Revisionsverfahren.

Auf Vorlage des Bundesverwaltungsgerichts (Beschluss vom 25. Februar 2016 - BVerwG 1 C 28.14) hat der Gerichtshof der Europäischen Union (EuGH) mit Urteil vom 5. Juni 2018 - C-210/16 - entschieden, dass der Betreiber einer Fanpage für die durch Facebook erfolgende Datenverarbeitung mitverantwortlich ist. Denn er ermöglicht durch den Betrieb der Fanpage Facebook den Zugriff auf die Daten der Fanpage-Besucher.

Das Bundesverwaltungsgericht hat auf der Grundlage dieser bindenden Vorgabe das Berufungsurteil aufgehoben und den Rechtsstreit an das Schleswig-Holsteinische Oberverwaltungsgericht zurückverwiesen. Um das von der Datenschutzrichtlinie bezweckte hohe Datenschutzniveau möglichst zügig und wirkungsvoll durchzusetzen, konnte sich der Beklagte bei der Auswahl unter mehreren datenschutzrechtlichen Verantwortlichen vom Gedanken der Effektivität leiten lassen und ermessenfehlerfrei die Klägerin für die Herstellung datenschutzkonformer Zustände bei Nutzung ihrer Fanpage in die Pflicht nehmen. Er musste nicht gegen eine der Untergliederungen oder Niederlassungen von Facebook vorgehen, weil das wegen der fehlenden Kooperationsbereitschaft von Facebook mit erheblichen tatsächlichen und rechtlichen Unsicherheiten verbunden gewesen wäre. Erweisen sich die bei Aufruf der Fanpage ablaufenden Datenverarbeitungen als rechtswidrig, so stellt die Deaktivierungsanordnung ein verhältnismäßiges Mittel dar, weil der Klägerin keine anderweitige Möglichkeit zur Herstellung datenschutzkonformer Zustände offensteht.

Zur Frage der Rechtswidrigkeit der beanstandeten Datenverarbeitungsvorgänge bedarf es einer näheren Aufklärung der tatsächlichen Umstände durch das Berufungsgericht. Die Rechtmäßigkeit der bei Aufruf der klägerischen Fanpage ablaufenden Datenverarbeitungsvorgänge ist an den Vorgaben des im Zeitpunkt der letzten Behördenentscheidung gültigen Datenschutzrechts, insbesondere an den Vorschriften des Telemediengesetzes, denen die Klägerin als Betreiberin unterliegt, zu messen.

Urteil vom 11. September 2019 - BVerwG 6 C 15.18 -

Vorinstanzen:

OVG Schleswig, 4 LB 20/13 - Urteil vom 04. September 2014 -

VG Schleswig, 8 A 14/12 - Urteil vom 09. Oktober 2013 -

Siehe auch zum Thema EuGH: Betreiber einer Facebook-Seite / Facebook-Fanpage gemeinsam mit Facebook für Verarbeitung der personenbezogenen Daten der Besucher verantwortlich

Sächsiches LAG
Urtteil vom 19.08.2019
9 Sa 268/18

Das Sächsische LAG hat entschieden, dass ein Betriebsratsvorsitzender auch betrieblicher Datenschutzbeauftragter sein kann.

Aus den Entscheidungsründen:

Der Einwand der Beklagten, die Unwirksamkeit der Bestellung des Klägers als Datenschutzbeauftragter folge daraus, dass dieser nicht über die notwendige Zuverlässigkeit verfüge, die für die Bestellung notwendig sei, insoweit liege eine Inkompatibilität mit dem Amt des Betriebsratsvorsitzenden vor, überzeugt dagegen nicht. Das Bundesarbeitsgericht hat mit Urteil vom 23.03.2011 (- 10 AZR 562/09 -, AP Nr. 3 zu § 4 f BDSG m. w. N.) ausdrücklich festgestellt, dass die bloße Mitgliedschaft im Betriebsrat diese Person für das Amt des Beauftragten für den Datenschutz nicht unzuverlässig macht und insoweit grundsätzlich keine Inkompatibilität zwischen diesen beiden Ämtern besteht, und diese Rechtsauffassung auch ausführlich begründet. Dieser höchstrichterlichen Rechtsprechung schließt sich die erkennende Kammer ausdrücklich an. Warum vorliegend etwas anderes gelten soll, nur weil der Kläger nicht "einfaches" Betriebsratsmitglied ist, sondern Betriebsratsvorsitzender, erschließt sich dem Gericht ebenfalls nicht. Warum dies einen Unterschied machen soll, wird auch weder von der Beklagten noch vom Landesbeauftragten für den Datenschutz und die Informationsfreiheit, der ebenfalls dieser Auffassung zu sein scheint, näher begründet.

Den Volltext der Entscheidung finden Sie hier:

In Ausgabe 18/2019, S. 18 der Zeitschrift Internet World Business erschien ein Beitrag von Rechtsanwalt Marcus Beckmann mit dem Titel "Kein Zwang zum Eintrag - Arzt kann von Jameda gemäß DSGVO Löschung seiner Daten von der Website verlangen ".

Siehe auch zum Thema: LG Bonn: Jameda muss alle personenenbezogenen Daten eines Arztes auf Bewertungsportal nach Art. 17 DSGVO löschen - Kein berechtigtes Interesse nach Art. 6 Abs. 1 S. 1 lit. f DSGVO

AG Berlin-Mitte
Urteil vom 29.07.2019
7 C 185/18

Das AG Berlin-Mitte hat entschieden, dass ein Anwalt, der für seinen Mandanten einen Auskunftsanspruch nach Art. 15 DSGVO geltend macht, eine Originalvollmacht vorlegen muss. Erst nach Vorlage der Vollmacht beginnt der Lauf der Frist nach Art. 12 Abs. 3 S. 1 DSGVO.

OLG Düsseldorf
Beschluss vom 26.08.2019
VI-Kart 1/19 (V)

Das OLG Düsseldorf hat entschieden, dass die Anordnungen des Bundeskartellamtes gegen Facebook wegen der Verarbeitung von Nutzerdaten möglicherweise rechtswidrig sind und diese einstweilen außer Vollzug gesetzt.

Die Pressemitteilung des OLG Düsselorf:

Facebook: Anordnungen des Bundeskartellamts möglicherweise rechtswidrig und deshalb einstweilen außer Vollzug

Der 1. Kartellsenat des Oberlandesgerichts Düsseldorf hat unter dem Vorsitz von Prof. Dr. Jürgen Kühnen am 26. August 2019 die aufschiebende Wirkung der Beschwerden des Facebook-Konzerns angeordnet. Diese Beschwerden richten sich gegen Beschränkungen, die das Bundeskartellamt Facebook bei der Verarbeitung von Nutzerdaten auferlegt hat. Wegen der Einzelheiten der Entscheidung des Bundeskartellamts wird auf dessen Pressemitteilung vom 7. Februar 2019 verwiesen.

An der Rechtmäßigkeit dieser kartellbehördlichen Anordnungen hat der 1. Kartellsenat schon auf der Grundlage einer bloß summarischen rechtlichen Prüfung ernstliche Zweifel. Selbst wenn die beanstandete Datenverarbeitung gegen Datenschutzbestimmungen verstoße, liege darin nicht zugleich ein Verstoß gegen das Wettbewerbsrecht. Wegen der Einzelheiten dieser und der weiteren vorläufigen Überlegungen des Gerichts wird auf dessen verlinkten Beschluss Bezug genommen (Aktenzeichen: VI-Kart 1/19 (V)).

Die Anordnung der aufschiebenden Wirkung bedeutet, dass Facebook die Entscheidung des Bundeskartellamts zunächst nicht umsetzen muss. Über den Bestand der kartellbehördlichen Anordnungen wird in dem bereits anhängigen Beschwerdeverfahren entschieden. In diesem Verfahren ist noch kein Verhandlungstermin bestimmt. Über den Fortgang werde ich zu gegebener Zeit in einer weiteren Pressemitteilung berichten.

Der Beschluss über die aufschiebende Wirkung der Beschwerden kann mit der vom 1. Kartellsenat zugelassenen Rechtsbeschwerde angefochten werden, über die dann der Bundesgerichtshof zu entscheiden hätte.


Den Volltext der Entscheidung finden Sie hier:

OLG Frankfurt
Urteil vom 27.06.2019
6 U 6/19

Das OLG Frankfurt hat entschieden, dass es nicht gegen die Vorgaben der DSGVO verstößt, wenn die Teilnahme an einem Gewinnspiel von der Zustimmung zum Erhalt von Werbung abhängig gemacht wird. Auch in einem solchen Fall ist die Einwilligung "freiwillig" im Sinne der DSGVO.

LG Bonn
Urteil vom 28.03.2019
18 O 143/18

Das LG Bonn hat entschieden, dass der Betreiber des Arztbewertungsportals Jameda alle personenenbezogenen Daten eines Arztes auf dem Bewertungsportal nach Art. 17 DSGVO löschen muss. Art. 6 Abs. 1 S. 1 lit. f DSGVO (Verarbeitung zur Wahrung der berechtigten Interessen) greift - so das Gericht - nicht, da Jameda aufgrund des Geschäftsmodells kein neutraler Informationsmittler ist.

Aus den Entscheidungsgründen:

"Die zulässige Klage ist begründet.

I. Der Kläger hat gegen die Beklagte einen Anspruch auf Löschung sämtlicher auf seine Person bezogenen Daten aus der von der Beklagten betriebenen Online-Datenbank www.A.de (Art. 17 Abs. 1 Lit. d, 6 Abs. 1 DSGVO).

Auf den hiesigen Sachverhalt anwendbar ist die Verordnung (EU) 2016/679 des Europäischen Parlaments und des Rates vom 27. April 2016 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten, zum freien Datenverkehr und zur Aufhebung der Richtlinie 95/46/EG (DSGVO) als unmittelbar anwendbares europäisches Recht unter Ausschluss des nationalen Bundesdatenschutzgesetzes (vgl. § 2 Abs. 5 BDSG).

Gemäß Art. 17 Abs. 1 Lit. d) DSGVO hat eine betroffene Person das Recht, von dem Verantwortlichen zu verlangen, dass sie betreffende personenbezogene Daten unverzüglich gelöscht werden, wenn die personenbezogenen Daten unrechtmäßig verarbeitet wurden. Gemäß Art. 4 Nr. 1 DSGVO sind "personenbezogene Daten" alle Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person ("betroffene Person") beziehen. Art. 6 Abs. 1 DSGVO regelt die Rechtmäßigkeit der Datenverarbeitung; sein für die Entscheidung dieses Rechtsstreits relevanter Absatz 1 lautet:

Die Verarbeitung ist nur rechtmäßig, wenn mindestens eine der nachstehenden Bedingungen erfüllt ist:

a) Die betroffene Person hat ihre Einwilligung zu der Verarbeitung der sie betreffenden personenbezogenen Daten für einen oder mehrere bestimmte Zwecke gegeben;

b) die Verarbeitung ist für die Erfüllung eines Vertrags, dessen Vertragspartei die betroffene Person ist, oder zur Durchführung vorvertraglicher Maßnahmen erforderlich, die auf Anfrage der betroffenen Person erfolgen;

c) die Verarbeitung ist zur Erfüllung einer rechtlichen Verpflichtung erforderlich, der der Verantwortliche unterliegt;

d) die Verarbeitung ist erforderlich, um lebenswichtige Interessen der betroffenen Person oder einer anderen natürlichen Person zu schützen;

e) die Verarbeitung ist für die Wahrnehmung einer Aufgabe erforderlich, die im öffentlichen Interesse liegt oder in Ausübung öffentlicher Gewalt erfolgt, die dem Verantwortlichen übertragen wurde;

f) die Verarbeitung ist zur Wahrung der berechtigten Interessen des Verantwortlichen oder eines Dritten erforderlich, sofern nicht die Interessen oder Grundrechte und Grundfreiheiten der betroffenen Person, die den Schutz personenbezogener Daten erfordern, überwiegen, insbesondere dann, wenn es sich bei der betroffenen Person um ein Kind handelt.

Unterabsatz 1 Buchstabe f gilt nicht für die von Behörden in Erfüllung ihrer Aufgaben vorgenommene Verarbeitung.

Keine dieser Voraussetzungen ist erfüllt. Der Kläger hat in die Datenverarbeitung unstreitig nicht eingewilligt (a), die Voraussetzungen der Alternativen (b), (c) und (d) liegen offensichtlich nicht vor.

Die Beklagte erfüllt auch keine Aufgabe, die im öffentlichen Interesse liegt (e). Die Beklagte ist Tochter des P Konzerns und verfolgt als juristische Person des Privatrechts mit der Betreibung der streitgegenständlichen Online-Datenbank unstreitig und offenkundig private, auf Gewinnerzielung gerichtete Interessen. Dass die mit der Betreibung der Online-Datenbank einhergehende Information der Öffentlichkeit über die ihr zur Verfügung stehenden Ärzte und die der Öffentlichkeit zur Verfügung gestellten Möglichkeiten zur Bewertung und Kommentierung der in Anspruch genommenen ärztlichen Leistungen auch im Interesse der Öffentlichkeit liegen mag, reicht zur Erfüllung der gesetzlichen Voraussetzungen nicht aus. Dies folgt aus einem systematischen Vergleich mit Alternative (f). Bejahte man - bezogen auf den streitgegenständlichen Sachverhalt - die Voraussetzungen der Alternative (e), so hätte dies zur Folge, dass die Beklagte von jeder weiteren Rechtfertigung ihrer Eingriffe in die Datenschutzrechte der betroffenen Ärzte, so intensiv sie auch sein mögen, freigestellt wäre. Dass dieses Ergebnis vom Verordnungsgeber bei einer Verquickung von öffentlichen und privaten Interessen nicht gewollt gewesen ist, folgt aus der Alternative (f), nach der ein Eingriff in die Datenschutzrechte einer betroffenen Person zur Verfolgung berechtigter (eigener) Interessen des Verantwortlichen nur unter besonderen Voraussetzungen rechtmäßig sein kann. Die Alternative (f) geht der Alternative (e) in dem hier zu entscheidenden Fall daher vor.

Die Voraussetzungen der Alternative (f) liegen ebenfalls nicht vor, da die berechtigten Interessen der Beklagten die Interessen und Grundrechte des Klägers, die den Schutz personenbezogener Daten erfordern, nicht überwiegen.

Zum - seinerzeit noch anwendbaren - nationalen Datenschutzrecht, insbesondere § 35 Abs. 2 S. 2 Nr. 1 BDSG a.F., betreffend Sachverhalte, die mit dem hiesigen in ihren Grundzügen identisch gewesen sind, namentlich Ansprüche von Ärzten auf Löschung konkret aus der von der Beklagten betriebenen Online-Datenbank zum Gegenstand gehabt haben, hat sich der Bundesgerichtshof in mehreren Entscheidungen geäußert (Urteil vom 20.02.2018, Az: VI ZR 30/17 ["Ärztebewertung III"]; Urteil vom 23.09.2014, Az: VI ZR 358/13 ["Ärztebewertung II"]; jeweils zitiert nach juris). Die dort entwickelten Grundsätze zur Abwägung der wechselseitigen Interessen sind auf die Rechtslage nach europäischem Recht übertragbar; insbesondere finden die vom BGH berücksichtigten, gemäß den nationalen Grundrechten geschützten Belange ihre Entsprechung auf Ebene des EU-Rechts in der Charta der Grundrechte der EU vom 12.12.2007 (GRCh).

Demnach sind als berechtigte Interessen auf Seiten der Beklagten als "Verantwortlicher" im Sinne der DSGVO sowohl die grundrechtlich geschützte unternehmerische Freiheit (Art. 16, 51 Abs. 1 S. 1 GRCh) (vgl. hierzu BGH, "Ärztebewertung II", Rn. 29 m.w.N.) als auch die grundrechtlich geschützte Kommunikationsfreiheit (Art. 11 Abs. 1 S. 2, 51 Abs. 1 S. 1 GRCh) (vgl. zum nationalen Recht BGH, "Ärztebewertung II", Rn. 25 und 28 m.w.N.) zu beachten.

Als Grundrechte des Klägers als "betroffener Person" kommen wegen seiner beruflichen Tätigkeit als X, um die es bei der Online-Datenbank im Ansatz geht, seinerseits die unternehmerische Freiheit (vgl. BGH, "Ärztebewertung II", Rn. 27 m.w.N.) sowie darüber hinaus das Recht auf Schutz seiner personenbezogenen Daten (Art. 8 Abs. 1, 51 Abs. 1 S. 1 der Europäischen Grundrechte-Charta) (vgl. BGH, "Ärztebewertung II", Rn. 26 m.w.N.) in Betracht.

Bezüglich der vorzunehmenden Abwägung hat der BGH - wiederum bezogen auf das nationale (Datenschutz-)Recht - ausgeführt ("Ärztebewertung III", Rn. 13 und 14, i.V.m. "Ärztebewertung II", Rn. 39 ff.):

Auszugehen ist dabei zunächst von dem ganz erheblichen Interesse, das die Öffentlichkeit an Informationen über ärztliche Dienstleistungen hat [...]. Personen, die ärztliche Leistungen in Anspruch nehmen wollen, können den Arzt grundsätzlich frei wählen. Das von der Beklagten betriebene Portal kann dazu beitragen, dem Patienten die aus seiner Sicht hierfür erforderlichen Informationen zur Verfügung zu stellen. Dass es unter Umständen auch andere Informationsquellen gibt - etwa persönliche Erfahrungen von Bekannten oder bei Fachärzten die Einschätzung des vom Patienten ggf. zuvor konsultierten Hausarztes -, ändert daran nichts.

Der grundsätzlichen Eignung des Portals, zu mehr Leistungstransparenz im Gesundheitswesen beizutragen, steht nicht entgegen, dass die in das Bewertungsportal eingestellten Bewertungen typischerweise nicht von Fachleuten herrühren und subjektiv geprägt sind. Zwar dürften wertende Aussagen zur medizinischen Qualität einer Behandlung fachlichen Maßstäben, die der Laie nicht kennt, häufig nicht entsprechen und im Einzelfall etwa von einem vom behandelnden Arzt nicht zu vertretenden Ausbleiben des - von ihm auch nicht geschuldeten - Heilungserfolges geprägt sein. Eine sinnvolle Ergänzung der bisherigen Informationsquellen kann das Angebot der Beklagten aber trotzdem sein. Die subjektive Einschätzung, die in den Bewertungen zum Ausdruck kommt, kann anderen Personen Hilfestellung bei der Entscheidung geben, welcher Arzt - insbesondere bezüglich der äußeren Umstände der Behandlung wie etwa der Praxisorganisation - den Anforderungen für die gewünschte Behandlung und auch den persönlichen Präferenzen am besten entspricht [...].

Und weiter ("Ärztebewertung III", Rn. 16 ff.):

In dem Fall, der dem Senatsurteil vom 23. September 2014 zugrunde lag, war die beklagte Betreiberin des Bewertungsportals "neutraler" Informationsmittler. Nach den damals maßgeblichen Feststellungen beschränkte sich das Bewertungsportal der Beklagten darauf, in Profilen die "Basisdaten" des einzelnen Arztes zusammen mit von Patienten bzw. anderen Internetnutzern vergebenen Noten oder verfassten Freitestkommentaren zu veröffentlichen.

Der hier zu entscheidende Fall liegt anders. Hier wahrt die Beklagte ihre Stellung als "neutraler" Informationsmittler nicht. Denn sie verschafft durch die Art der Werbung, die sie Ärzten auf ihrem an potentielle Patienten gerichteten Bewertungsportal anbietet, einzelnen Ärzten verdeckte Vorteile [...].

Nach den Feststellungen des Berufungsgerichts blendet die Beklagte in das Profil des einzelnen Arztes - in einem grau unterlegten und mit "Anzeige" bezeichneten Querbalken - den Hinweis (Profilbild nebst Note und Angabe der Entfernung) auf konkurrierende Ärzte der gleichen Fachrichtung im näheren Umfeld ein. Die Daten der ohne oder gegen ihren Willen gespeicherten und bewerteten Ärzte werden damit als Werbeplattform für die zahlenden Konkurrenten genutzt. Anders verfährt die Beklagte bei den Ärzten, die bei ihr das "Premium-Paket" gebucht haben. Dort findet der Nutzer ein optisch und inhaltlich individuell ausgestaltetes Profil, das auf eine ansprechendere Wirkung abzielt, mit dem Bild dieses zahlenden Arztes und weiteren von diesem stammenden Informationen. In das Profil dieser Ärzte wird, ohne dass dies dort hinreichend offengelegt wird, keine werbende Anzeige der örtlichen Konkurrenten eingeblendet, demgegenüber erscheinen sie selbst mit einer Anzeige in deren Profil, soweit die örtlichen Konkurrenten nicht ebenfalls zahlende "Premium"-Kunden sind. Jedenfalls mit den örtlichen Verhältnissen und mit dem Geschäftsmodell der Beklagten nicht vertraute Internetnutzer können den nicht zutreffenden Eindruck gewinnen, der im Bewertungsportal aufgefundene Arzt, in dessen Profil - da "Premium"-Kunde - kein Querbalken mit Hinweis auf andere Ärzte erscheint, habe keinen örtlichen Konkurrenten. Mit diesem Verfahren sollen - womit die Beklagte selbst ihre "Serviceleistungen" bewirbt - ersichtlich potentielle Patienten stärker zu "Premium"-Kunden der Beklagten gelenkt werden. Durch ihr Geschäftsmodell sucht die Beklagte die ohne ihren Willen und nur mit ihren Basisdaten aufgenommenen Ärzte gezielt dazu zu bewegen, sich der Gruppe der zahlenden Ärzte anzuschließen, um nicht durch eine weniger vorteilhafte Darstellung und Werbeeinblendungen benachteiligt zu werden.

Mit der vorbeschriebenen, mit dem Bewertungsportal verbundenen Praxis verlässt die Beklagte ihre Stellung als "neutraler" Informationsmittler. Während sie bei dem nicht zahlenden Arzt dem ein Arztprofil aufsuchenden Internetnutzer die "Basisdaten" nebst Bewertung des betreffenden Arztes anzeigt und ihm mittels des eingeblendeten Querbalkens "Anzeige" Informationen zu örtlich konkurrierenden Ärzten bietet, lässt sie auf dem Profil ihres "Premium"-Kunden - ohne dies dort dem Internetnutzer hinreichend offenzulegen - solche über die örtliche Konkurrenz unterrichtenden werbenden Hinweise nicht zu. Nimmt sich die Beklagte aber in dieser Weise zugunsten ihres Werbeangebots in ihrer Rolle als "neutraler" Informationsmittler zurück, dann kann sie ihre auf das Grundrecht der Meinungs- und Medienfreiheit [...] gestützte Rechtsposition gegenüber dem Recht der Klägerin auf Schutz ihrer personenbezogenen Daten [...] auch nur mit geringerem Gewicht geltend machen. Das führt auch bei nochmaliger Würdigung der - insbesondere im Senatsurteil vom 23. September 2014 angeführten - Belange der Beklagten hier zu einem Überwiegen der Grundrechtsposition der Klägerin [...].

Auf dieser Grundlage überwiegt auch in dem hier zu entscheidenden Fall das Interesse des Klägers das Interesse der Beklagten. Dabei kommt es nicht darauf an, dass die Beklagte die in dem Urteil des BGH monierten "Mängel" abgestellt hat. Denn auch dies macht sie aufgrund des von ihr verfolgten Gesamtkonzepts der Online-Datenbank nicht zu einer "neutralen Informationsmittlerin".

Mit ihrer Online-Datenbank verfolgt sie, wie ausgeführt, privatwirtschaftliche Zwecke. Diese werden - ebenfalls unstreitig - nicht etwa (allein) durch Schaltung von Werbung generiert, das heißt durch Umstände, die mit dem Inhalt der auf der Seite verarbeiteten Daten nicht in einem unmittelbaren Zusammenhang stehen, sondern durch monatliche "Mitgliedsbeiträge" der gelisteten Ärzte. Diese Beiträge "erkauft" sich die Beklagte dadurch, dass sie es den Ärzten ermöglicht, ihre Profilseite für Besucher des Bewertungsportals ansprechender zu gestalten. Es ist offenkundig, dass sich aufgrund der mit einer solchen Gestaltung verbundenen psychologischen Wirkmechanismen Besucher des Portals von solchen Profilseiten auf einer - vorwiegend unbewussten - Ebene eher angesprochen fühlen werden als von den "Basis-Profilen", die - im Gegensatz zu den Profilen zahlender Ärzte - z.B. nur über eine graue Silhouette als Profilfoto verfügen. Das ist unmittelbar einsichtig, weil hierin gerade das Geschäftsmodell der Beklagten besteht, anderenfalls nicht ersichtlich wäre, warum ein Arzt bereit sein sollte, Monatsbeiträge in bis zu dreistelliger Höhe zu investieren.

Dieses Modell führt dazu, wie bereits der BGH ausgeführt hat, dass ohne bzw. gegen ihren Willen gelistete Ärzte sich gedrängt fühlen werden, sich bei der Beklagten kostenpflichtig anzumelden, um keine Wettbewerbsnachteile gegenüber ihren bereits zahlenden Konkurrenten zu erleiden, und verleitet Kunden durch die - vorwiegend unbewussten - psychologischen Wirkmechanismen zu der Annahme, dass den als Gold- oder Premium-Kunden gelisteten Ärzten gegenüber nicht zahlenden Ärzten bei der Arztwahl der Vorzug zu geben sei. Je mehr Ärzte sich diesem System anschließen, umso größer wird der Druck auf die verbleibenden Ärzte, dasselbe zu tun.

Durch dieses Konzept verfolgt die Beklagte bereits im Ansatz nicht (mehr) die von dem BGH als (datenschutzrechtlich) zulässig erachtete Rolle der "neutralen Informationsmittlerin". Vielmehr führt die Verknüpfung von Daten, die (noch) dem legitimen Informationsinteresse der Öffentlichkeit dienen (Name, Fachrichtung und Kontaktdaten der jeweiligen Ärzte bzw. deren Praxen), mit solchen Daten, die über dieses Interesse hinausgehen und gerade eine Besserstellung der zahlenden Ärzte gegenüber ihren nicht zahlenden Mitbewerbern bezwecken, dazu, dass zahlenden Ärzten gegenüber ihren nicht zahlenden (Zwangs-)Mitbewerbern Vorteile verschafft werden, die für einen durchschnittlichen Besucher des Bewertungsportals wegen - vorwiegend unbewussten - psychologischen Wirkmechanismen gerade nicht offensichtlich sind. Hierzu gehört zum einen und insbesondere das Profilbild, das für die Bewertung der fachlichen Qualifikation eines Arztes ersichtlich keine Rolle spielt, zum anderen aber auch die Möglichkeit der Hervorhebung zahlender Ärzte in den Suchergebnissen des Bewertungs-Portals selbst und / oder in Internet-Suchmaschinen sowie die weiteren von dem Kläger monierten und aus dem Urteilstenor zu Ziffer 2 ersichtlichen Vergünstigungen für zahlende Ärzte, selbst wenn sie - was unstreitig ist - in ihrer Darstellung gegenüber den Besuchern des Bewertungsportals infolge der bisher ergangenen Rechtsprechung des BGH teilweise von der Beklagten angepasst worden sind.

Eine (vollständige) Offensichtlichkeit für einen durchschnittlichen Besucher des Bewertungsportals wird insbesondere auch nicht dadurch hergestellt, dass die Beklagte einen zahlenden Arzt auf dessen Profilseite durch ein Symbol mit dem Text "Gold" bzw. "Platin" kenntlich macht. Denn dem Symbol selbst lässt sich seine Bedeutung nicht entnehmen und es kann ebenso gut - jedenfalls bei flüchtiger Betrachtung der Internetseite - zu der Annahme verleiten, der Arzt erfülle besondere fachliche Qualitäten. Dass zusätzlich die aus dem Tatbestand dieses Urteils ersichtliche textliche Erklärung eingeblendet wird, wenn ein Besucher mit der Computermaus über das Symbol fährt, reicht hierfür ebenfalls nicht aus, da dieser Mechanismus für einen durchschnittlichen Besucher nicht ohne weiteres ersichtlich ist und dem Besucher in der textlichen Erklärung auch keine vollständigen Informationen über die konkreten, dem betroffenen Arzt gewährten Vorteile gegenüber den nicht zahlenden Ärzten gegeben werden.

Einem betroffenen Arzt mutet es das geltende Recht vor diesem Hintergrund nicht zu, an diesem Mechanismus "zwangsweise" durch - ohne von seiner Einwilligung gedeckte - Verwertung seiner persönlichen Daten teilnehmen zu müssen.

II.

Der Kläger hat gegen die Beklagte auch einen Anspruch auf Unterlassung der Wiederaufnahme seiner Daten in die Online-Datenbank, sofern sie in der von dem Kläger gemäß seiner Antragsfassung konkret monierten Weise erfolgt (§§ 823 Abs. 2, 1004 Abs. 1 S. 2 BGB analog i.V.m. Art. 17 Abs. 1 Lit. d, 6 Abs. 1 DSGVO) (vgl. hierzu BGH, "Ärztebewertung III", Rn. 21 f.). Dass die Beklagte die in dem Antrag bezeichneten Darstellungen zwischenzeitlich geändert hat, steht dem Anspruch wegen der zu besorgenden Wiederholungsgefahr nicht entgegen."

Den Volltext der Entscheidung finden Sie hier:

EuGH
Urteil vom 29.07.2019
C-40/17
Fashion ID GmbH & Co. KG/Verbraucherzentrale NRW eV
beteiligt:
Facebook Ireland Ltd,
Landesbeauftragte für Datenschutz und Informationsfreiheit Nordrhein-Westfalen,

Der EuGH hat entschieden, dass Websitebetreiber bei Einbindung des Facebook Gefällt Mir-Buttons datenschutzrechtlich für die Erhebung und Übermittlung der Daten an Facebook aber nicht für die spätere Verarbeitung durch Facebook gemeinsam mit Facebook mitverantwortlich sein können.

Zudem stellt der EuGH klar, dass weder die alte Datenschutzrichtlinie noch die DSGVO der gerichtlichen Inanspruchnahme mutmaßlicher Verletzer von Vorschriften zum Schutz personenbezogener Daten durch Verbraucherschutzverbände entgegenstehen.

Tenor der Entscheidung:

1. Die Art. 22 bis 24 der Richtlinie 95/46/EG des Europäischen Parlaments und des Rates vom 24. Oktober 1995 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten und zum freien Datenverkehr sind dahin auszulegen, dass sie einer nationalen Regelung, die es Verbänden zur Wahrung von Verbraucherinteressen erlaubt, gegen den mutmaßlichen Verletzer von Vorschriften zum Schutz personenbezogener Daten Klage zu erheben, nicht entgegenstehen.

2. Der Betreiber einer Website wie die Fashion ID GmbH & Co. KG, der in diese Website ein Social Plugin einbindet, das den Browser des Besuchers dieser Website veranlasst, Inhalte des Anbieters dieses Plugins anzufordern und hierzu personenbezogene Daten des Besuchers an diesen Anbieter zu übermitteln, kann als für die Verarbeitung Verantwortlicher im Sinne von Art. 2 Buchst. d der Richtlinie 95/46 angesehen werden. Diese Verantwortlichkeit ist jedoch auf den Vorgang oder die Vorgänge der Verarbeitung personenbezogener Daten beschränkt, für den bzw. für die er tatsächlich über die Zwecke und Mittel entscheidet, d. h. das Erheben der in Rede stehenden Daten und deren Weitergabe durch Übermittlung.

3. In einer Situation wie der im Ausgangsverfahren in Rede stehenden, in der der Betreiber einer Website in diese Website ein Social Plugin einbindet, das den Browser des Besuchers dieser Website veranlasst, Inhalte des Anbieters dieses Plugins anzufordern und hierzu personenbezogene Daten des Besuchers an diesen Anbieter zu übermitteln, ist es erforderlich, dass der Betreiber und der Anbieter mit diesen Verarbeitungsvorgängen jeweils ein berechtigtes Interesse im Sinne von Art. 7 Buchst. f der Richtlinie 95/46 wahrnehmen, damit diese Vorgänge für jeden Einzelnen von ihnen gerechtfertigt sind.

4. Art. 2 Buchst. h und Art. 7 Buchst. a der Richtlinie 95/46 sind dahin auszulegen, dass in einer Situation wie der des Ausgangsverfahrens, in der der Betreiber einer Website in diese Website ein Social Plugin einbindet, das den Browser des Besuchers dieser Website veranlasst, Inhalte des Anbieters dieses Plugins anzufordern und hierzu personenbezogene Daten des Besuchers an diesen Anbieter zu übermitteln, die nach diesen Vorschriften zu erklärende Einwilligung von dem Betreiber nur in Bezug auf den Vorgang oder die Vorgänge der Verarbeitung personenbezogener Daten einzuholen ist, für den bzw. für die dieser Betreiber tatsächlich über die Zwecke und Mittel entscheidet. Darüber hinaus ist Art. 10 dieser Richtlinie dahin auszulegen, dass in einer solchen Situation auch die in dieser Bestimmung vorgesehene Informationspflicht den Betreiber trifft, wobei dieser die betroffene Person jedoch nur in Bezug auf den Vorgang oder die Vorgänge der Verarbeitung personenbezogener Daten informieren muss, für den bzw. für die dieser Betreiber tatsächlich über die Zwecke und Mittel entscheidet.

Die Pressemitteilung des EuGH:

Der Betreiber einer Website, in der der „Gefällt mir“-Button von Facebook enthalten ist, kann für das Erheben und die Übermittlung der personenbezogenen Daten der Besucher seiner Website gemeinsam mit Facebook verantwortlich sein.

Dagegen ist er grundsätzlich nicht für die spätere Verarbeitung dieser Daten allein durch Facebook verantwortlich.

Fashion ID, ein deutscher Online-Händler für Modeartikel, band in ihre Website den „Gefällt mir“- Button von Facebook ein. Anscheinend hat diese Einbindung zur Folge, dass beim Aufrufen der Website von Fashion ID durch einen Besucher die personenbezogenen Daten dieses Besuchers an Facebook Ireland übermittelt werden. Offenbar erfolgt diese Übermittlung, ohne dass sich der Besucher dessen bewusst ist und unabhängig davon, ob er Mitglied des sozialen Netzwerks Facebook ist oder den „Gefällt mir“-Button angeklickt hat.

Die Verbraucherzentrale NRW, ein gemeinnütziger Verband zur Wahrung von Verbraucherinteressen, wirft Fashion ID vor, personenbezogene Daten der Besucher ihrer Website ohne deren Einwilligung und unter Verstoß gegen die Informationspflichten nach den Vorschriften über den Schutz personenbezogener Daten an Facebook Ireland übermittelt zu haben.

Das mit dem Rechtsstreit befasste Oberlandesgericht Düsseldorf (Deutschland) ersucht um die Auslegung einer Reihe von Bestimmungen der früheren Datenschutzrichtlinie von 1995 (die weiterhin auf den Fall anwendbar ist, aber durch die neue Datenschutz-Grundverordnung von 2016 mit Wirkung vom 25. Mai 2018 ersetzt worden ist).

In seinem Urteil vom heutigen Tag stellt der Gerichtshof zunächst klar, dass die alte Datenschutzrichtlinie nicht dem entgegensteht, dass es Verbänden zur Wahrung von Verbraucherinteressen erlaubt ist, gegen den mutmaßlichen Verletzer von Vorschriften zum Schutz personenbezogener Daten Klage zu erheben. Der Gerichtshof weist darauf hin, dass die neue Datenschutz-Grundverordnung nunmehr ausdrücklich diese Möglichkeit vorsieht.

Der Gerichtshof stellt sodann fest, dass Fashion ID für die Datenverarbeitungsvorgänge, die Facebook Ireland nach der Übermittlung der Daten an sie vorgenommen hat, anscheinend nicht als verantwortlich angesehen werden kann. Es erscheint nämlich auf den ersten Blick ausgeschlossen, dass Fashion ID über die Zwecke und Mittel dieser Vorgänge entscheidet.

Dagegen kann Fashion ID für die Vorgänge des Erhebens der in Rede stehenden Daten und deren Weiterleitung durch Übermittlung an Facebook Ireland als gemeinsam mit Facebook verantwortlich angesehen werden, da (vorbehaltlich der vom Oberlandesgericht Düsseldorf vorzunehmenden Nachprüfung) davon ausgegangen werden kann, dass Fashion ID und Facebook Irland gemeinsam über die Zwecke und Mittel entscheiden.

Es scheint insbesondere, dass die Einbindung des „Gefällt mir“-Buttons von Facebook durch Fashion ID in ihre Website ihr ermöglicht, die Werbung für ihre Produkte zu optimieren, indem diese im sozialen Netzwerk Facebook sichtbarer gemacht werden, wenn ein Besucher ihrer Website den Button anklickt. Um in den Genuss dieses wirtschaftlichen Vorteils kommen zu können, der in einer solchen verbesserten Werbung für ihre Produkte besteht, scheint Fashion ID mit der Einbindung eines solchen Buttons in ihre Website zumindest stillschweigend in das Erheben personenbezogener Daten der Besucher ihrer Website und deren Weitergabe durch Übermittlung eingewilligt zu haben. Dabei werden diese Verarbeitungsvorgänge im wirtschaftlichen Interesse sowohl von Fashion ID als auch von Facebook Ireland durchgeführt, für die die Tatsache, über diese Daten für ihre eigenen wirtschaftlichen Zwecke verfügen zu können, die Gegenleistung für den Fashion ID gebotenen Vorteil darstellt.

Der Gerichtshof betont, dass der Betreiber einer Website wie Fashion ID für bestimmte Vorgänge der Verarbeitung der Daten der Besucher seiner Website wie das Erheben der Daten und deren Übermittlung an Facebook Ireland als (Mit-)Verantwortlicher diesen Besuchern zum Zeitpunkt des Erhebens bestimmte Informationen zu geben hat, wie beispielsweise seine Identität und die Zwecke der Verarbeitung.

Außerdem präzisiert der Gerichtshof noch zwei der sechs in der Richtlinie vorgesehenen Fälle einer rechtmäßigen Verarbeitung personenbezogener Daten.

Zu dem Fall, in dem die betroffene Person ihre Einwilligung gegeben hat, entscheidet der Gerichtshof, dass der Betreiber einer Website wie Fashion ID diese Einwilligung vorher (nur) für die Vorgänge einholen muss, für die er (mit-)verantwortlich ist, d. h. das Erheben und die Übermittlung der Daten.

Zu den Fällen, in denen die Datenverarbeitung zur Verwirklichung eines berechtigten Interesses erforderlich ist, entscheidet der Gerichtshof, dass jeder der für die Verarbeitung (Mit-)Verantwortlichen, d. h. der Betreiber einer Website und der Anbieter eines Social Plugins, mit dem Erheben und der Übermittlung der personenbezogenen Daten ein berechtigtes Interesse wahrnehmen muss, damit diese Vorgänge für jeden Einzelnen von ihnen gerechtfertigt sind.

Den Volltext der Entscheidung finden Sie hier: