BECKMANN UND NORDA - Rechtsanwälte Bielefeld

In Ausgabe 1/2020, S. 16 und 17 der Zeitschrift Internet World Business erschien ein Beitrag von Rechtsanwalt Marcus Beckmann mit dem Titel "Das ändert sich im neuen Jahr - Auf welche Gesetze und Verordnungen sich Online-Händler 2020 einstellen müssen".

LG Hamburg
Urteil vom 20.09.2019
324 O 305/18

Aus den Entscheidungsgründen:

"1. Dem Kläger steht der gegen die Beklagte geltend gemachte Anspruch unter keinem rechtlichen Gesichtspunkt zu.

Hier gelten die Erwägungen wie im Rechtsstreit zum Az. 324 O 236/16 entsprechend. Die Kammer hat im Urteil ausgeführt:

„a. Ein solcher Unterlassungsanspruch ergibt sich insbesondere nicht aus §§ 823 Abs. 1, 1004 Abs. 1 S. 2 BGB analog i.V.m. Art. 1 Abs. 1, 2 Abs. 1 GG, Art. 8 EMRK, da die streitgegenständlichen Datenbank-Einträge den Kläger nicht in seinem allgemeinen Persönlichkeitsrecht verletzen. Bei dem allgemeinen Persönlichkeitsrecht handelt sich um einen offenen Tatbestand, bei dem die Feststellung einer rechtswidrigen Verletzung eine ordnungsgemäße Abwägung aller Umstände des konkreten Einzelfalles unter Beachtung des Grundsatzes der Verhältnismäßigkeit voraussetzt (Palandt-Sprau, Bürgerliches Gesetzbuch, 77. Auflage 2018, § 823 BGB Rn. 95). Der Eingriff in das Persönlichkeitsrecht ist nur dann rechtswidrig, wenn das Schutzinteresse des Betroffenen die schutzwürdigen Belange der anderen Seite überwiegt. Im Streitfall hat eine Abwägung zwischen dem Recht des Klägers auf Schutz seines allgemeinen Persönlichkeitsrechts nach Art. 2 Abs. 1, Art. 1 Abs. 1 GG, Art. 8 Abs. 1 EMRK auf der einen Seite und dem Recht der Beklagten auf Meinungs- und Pressefreiheit nach Art. 5 Abs. 1 GG, Art. 10 Abs. 1 EMRK auf der anderen Seite zu erfolgen. Unter Berücksichtigung aller relevanten Gesichtspunkte ergibt die Abwägung vorliegend, dass die streitgegenständlichen Veröffentlichungen den Kläger nicht in seinem allgemeinen Persönlichkeitsrecht verletzen. Im Einzelnen:

(1) Sofern sich der Kläger darauf beruft, dass die streitgegenständlichen Datenbank-Einträge unwahre Tatsachenbehauptungen enthielten, ist davon prozessual nicht auszugehen. Zwar kommt es bei der verfassungsrechtlich gebotenen Abwägung zwischen dem allgemeinen Persönlichkeitsrecht und der Freiheit der Meinungsäußerung für die Zulässigkeit einer Äußerung maßgeblich mit darauf an, ob es sich um wahre oder unwahre Tatsachenbehauptungen handelt. Denn Tatsachenbehauptungen, die nicht zur verfassungsmäßig vorausgesetzten Meinungsbildung beitragen können, sind nicht geschützt; das ist bei bewusst oder erwiesen unwahren Tatsachenbehauptungen der Fall (BVerfG, Beschluss vom 16.03.1999, 1 BvR 734/98, Juris Rn. 30; Wenzel, Das Recht der Wort- und Bildberichterstattung, 6. Auflage 2018, Kap. 6 Rn. 14). Wahre Tatsachenbehauptungen sind dagegen in weitem Umfang hinzunehmen, denn das Persönlichkeitsrecht verleiht seinem Träger keinen Anspruch darauf, nur so in der Öffentlichkeit dargestellt zu werden, wie es ihm genehm ist (vgl. BVerfG, Beschluss vom 24.03.1998, 1 BvR 131/96 – Missbrauchsvorwurf, Juris Abs. 4. b)). Prozessual ist jedoch nicht davon auszugehen, dass die Datenbank-Einträge dem Rezipienten ein unwahres Verständnis vermitteln.

(a) Nach dem Verständnis des unvoreingenommenen und verständigen Durchschnittsempfängers (vgl. Wenzel, Das Recht der Wort- und Bildberichterstattung, Kap. 4 Rn. 4 m.w.Nw.) sind die Datenbank-Einträge dahingehend zu verstehen, dass die Beklagte behauptet, der Kläger habe tatsächlich Zuwendungen im Wert von insgesamt 534,00 Euro erhalten. Dagegen ist nicht auf das von der Beklagten zu Grunde gelegte Verständnis abzustellen, die Pharmaindustrie habe angegeben, dass der Kläger Zuwendungen im Wert von 534,00 Euro erhalten habe.

So enthält bereits der die Datenbank von 2015 präsentierende Artikel (Anlage K 1) ausgehend vom Wortlaut zahlreiche Aussagen dahingehend, dass die Datenbank tatsächlich erfolgte Zahlungen dokumentiert (Überschrift „W. v. G. h. m. A. b.?“; „Für mehr als 20.000 Ärzte und Fachkreisangehörige in Deutschland ist jetzt bekannt, wie viel Geld sie 2015 von Pharmafirmen erhalten haben.“; „Die Recherche von "C." und S. O. zeigt, wohin das Geld geflossen ist.“; „Hat Ihr Arzt 2015 von Pharmafirmen Geld angenommen?“; „Wem und wofür wurde das Geld gezahlt? Offengelegt wurden die Zahlungen an Ärzte, Apotheker und Angehörige medizinischer oder pharmazeutischer Heilberufe - zusammengefasst als "Angehörige der Fachkreise". Ärzte und Fachkreisangehörige haben Geld für Vorträge, Fortbildungen und Beratung erhalten, dazu gehört auch die Übernahme von Reise- und Übernachtungskosten sowie Tagungs- und Teilnahmegebühren. Medizinische Institutionen bekamen zudem Geld für Sponsoring, Spenden und Stiftungen.“). Zwar wird in dem Artikel auf die Quelle der Daten hingewiesen („Die Daten haben Rechercheure von "C." und S. O. aus mehreren Dutzend Listen zusammengetragen, die von den Pharmaunternehmen einzeln veröffentlicht wurden“) und es wird mitgeteilt, dass die zusammengetragenen Daten mitunter von zweifelhafter Qualität waren bzw. Unstimmigkeit enthielten („Auch die Qualität der Daten erschien in einzelnen Fällen zweifelhaft, etwa wenn die angegebenen Summen nicht mit den aufgelisteten Zahlungen übereinstimmen“; „Haben Sie eine Anmerkung zu den Daten oder eine Unstimmigkeit in den Angaben entdeckt? Dann melden Sie sich bitte unter der Adresse e.@ c..org, damit wir die Datenbank weiter optimieren können.“). Für den Leser entsteht im weiteren Kontext aber das Verständnis, die Beklagte habe die Daten bereinigt, d.h. geklärt („In unserer Datenbank können Sie die zusammengeführten und bereinigten Angaben für rund 20.000 Ärzte und Fachkreisangehörige im Detail erkunden.“). Aufgrund dessen geht der Rezipienten davon aus, dass die Beklagte tatsächlich erfolgte Zahlungen dokumentiert und sich somit sich auf die Richtigkeit der Angaben der Pharmaunternehmen beruft.

Gleiches gilt für die Datenbank 2016 (Anlage K 2), die mit einem inhaltlich weitgehend gleichlautenden Artikel präsentiert wird. Darüber hinaus insinuieren auch weitere, in 2016 gegenüber dem Vorjahr neuen Äußerungen, dass die Datenbank tatsächlich erfolgte Zuwendungen darstellt („Mehr als 562 Millionen Euro ließen Pharmakonzerne im vergangenen Jahr Ärzten, Apothekern, Heilberuflern und medizinischen Institutionen zukommen. Ein Teil davon lässt sich bis ins Detail nachvollziehen: Mehr als 16.500 Ärzte und Fachkreisangehörige haben zugestimmt, als Zahlungsempfänger namentlich genannt zu werden. Die Recherche von S. O. und "C." zeigt, wohin das Geld geflossen ist.“; „Sind an einer Adresse mehrere Personen oder Institutionen eingetragen, dann zeigt das Tooltip den Empfänger mit der höchsten Gesamtsumme. Über einen Link im Tooltip können Sie in der Datenbank alle weiteren Empfänger sowie eine Aufschlüsselung nach Kategorien einsehen.“).

(b) Sofern die streitgegenständlichen Datenbank-Einträge also die Behauptung der Beklagten enthalten, der Kläger habe in den Jahren 2015/2016 Zuwendungen in Höhe von insgesamt 534,00 Euro von Pharmakonzernen erhalten, ist diese Behauptung prozessual als wahr anzusehen. Angesichts der Ehrenrührigkeit der Tatsachenbehauptung trägt grundsätzlich die Beklagte analog § 186 StGB die Darlegungs- und Beweislast für die Richtigkeit der von ihr getroffenen Aussage. Unstreitig hat das Pharmaunternehmen B.- C. AG die in den Einträgen genannten Beträge an Reisekosten betreffend den Kläger veröffentlicht (vgl. Anlage B 15). Daraus ergibt sich zwar nicht zwangsläufig die Richtigkeit der Zuwendung, aber jedenfalls in einem ersten Schritt, dass das Pharmaunternehmen eine solche Zahlung veröffentlicht hat. Der Kläger bestreitet die Richtigkeit der behaupteten Zuwendung lediglich mit Nichtwissen. Angesichts des substantiierten – und unstreitigen – Vortrags der Beklagten dürfte dieses Bestreiten des Klägers mit Nichtwissen jedoch nicht ausreichend sein. Denn das Ob und Wie der Zuwendung fällt grundsätzlich in die Sphäre des Klägers, sodass sich diese nicht einfach auf ein behauptetes Nichtwissen zurückziehen kann. Das gilt sowohl für direkte Zuwendungen (Honorare) als auch die hier allein fraglichen indirekten Zuwendungen (Übernahme von Reisekosten). Denn auch wenn es richtig sein mag, dass der Kläger keine genaue Kenntnis über die Höhe der von dem Pharmaunternehmen übernommenen Reisekosten haben mag, so ist er jedenfalls in der Lage, Angaben dazu zu machen, ob er im betreffenden Zeitraum eine Veranstaltung besucht hat, für die überhaupt von dem Pharmaunternehmen zu tragende Reisekosten anfallen konnten, und wenn ja in welchem Umfang (Ort, Dauer, Transportmittel, Unterkunft, etc.). Zu all diesen Umständen hat der Kläger jedoch nicht vorgetragen. Mangels substantiierten Bestreitens ist prozessual somit von der Wahrheit der mit den Datenbank-Einträgen verbreiteten Tatsachenbehauptung auszugehen.

(2) Entgegen der Argumentation des Klägers wird er auch nicht dadurch in seinem allgemeinen Persönlichkeitsrecht verletzt, dass die Datenbank-Einträge schwerwiegende Auswirkungen für ihn haben. Bei den Datenbank-Einträgen handelt es sich prozessual um wahre Tatsachen aus der Sozialsphäre des Klägers. Berichterstattungen aus der Sozialsphäre dürfen nur im Falle schwerwiegender Auswirkungen auf das Persönlichkeitsrecht des Betroffenen mit negativen Sanktionen verknüpft werden, so etwa, wenn eine Stigmatisierung, soziale Ausgrenzung oder Prangerwirkung droht (BGH, Urteil vom 20.12.2011, VI ZR 261/10 – Kommunistischer Bund; Urteil vom 17.11.2009, VI ZR 226/08; Urteil vom 21.11.2006, VI ZR 259/05). Ein solcher Fall schwerwiegender Auswirkungen ist vorliegend jedoch nicht gegeben. Im Einzelnen:

(a) Die Datenbank-Einträge führen nicht zu einer Stigmatisierung des Klägers. Nach dem Bundesverfassungsgericht können Stigmatisierungen aufgrund gesellschaftlicher, also nicht allein der Verantwortung des Betroffenen zuzuschreibender, Einschätzungs- und Verhaltensmechanismen einen Entzug der sozialen Anerkennung, eine soziale Isolierung und eine grundlegende Verunsicherung und Selbstentwertung des Betroffenen in zahlreichen Lebensbereichen zur Folge haben. Die freie Entfaltung der Persönlichkeit wird dadurch nachhaltig erschwert, ohne dass dies zu den üblichen Grenzen der Entfaltungschancen oder zu den nachteiligen Reaktionen anderer gezählt werden könnte, die man als Folge eigener Entscheidungen oder Verhaltensweisen hinzunehmen hat (BVerfG, Beschluss vom 24.03.1998, 1 BvR 131/96 – Missbrauchsvorwurf, Juris Rn. 48).

Eine solche Stigmatisierung ergibt sich nicht aus den streitgegenständlichen Datenbank-Einträgen selbst. Zwar enthält ein Datenbank-Eintrag mit einem roten Punkt die Aussage, der betreffende Arzt habe Geld in einer bestimmten Höhe von der Pharmaindustrie angenommen. Im Zusammenspiel mit der weiteren Berichterstattung der Beklagten wird dem Leser auch das Verständnis vermittelt, dass sich daraus jedenfalls das Risiko ergibt, dass der Arzt Entscheidungen betreffend Verschreibung von Medikamenten, Behandlungen o.ä. trifft, die in irgendeiner Art und Weise davon beeinflusst sind. Dies ist für den Arzt grundsätzlich ehrabträglich. Die Kritik wird durch die Präsentation der Beklagten noch verstärkt, weil die ursprünglich nur schwer zugänglichen Daten hier in einer sehr leicht auffindbaren Form präsentiert werden, die Ärzte mit einem roten Punkt markiert werden und neben ihnen ein wenig schmeichelhaftes Symbol eines Männchens mit einem Geldsack erscheint. Dennoch führt diese Darstellung zur Überzeugung der Kammer nicht zu einem derart starken Entzug der sozialen Anerkennung und Isolierung des Betroffenen, dass von einer Stigmatisierung die Rede sein könnte. Zu berücksichtigen ist zum einen, dass hier Kritik an der – prozessual wahren – Tatsache der Zuwendungen der Pharmaindustrie an Ärzte, konkret den Kläger, geäußert wird. Weiterhin ist zu berücksichtigen, dass es sich um Zuwendungsbeträge im zwei- bzw. unteren dreistelligen Bereich handelt, was auch nach dem Verständnis des Lesers nicht zu einer gravierenden Einwirkung auf das berufliche Verhalten der Ärzte führen dürfte. Schließlich ist zu berücksichtigen, dass die Ärzte selbst in die Veröffentlichung der Daten eingewilligt haben, wenn auch wohl nicht mit der Vorstellung einer derart nutzerfreundlichen Datenbank.

Die Präsentation in der Datenbank ist auch nicht deshalb rechtswidrig – so die Argumentation des Klägers – weil zusammen mit den Einträgen, anders als bei den Veröffentlichungen der Pharmaunternehmen, nicht der Transparenzkodex veröffentlicht wird, aus dem hervorgeht, dass alle Zuwendungen mit der geltenden Rechtslage übereinstimmten. Denn die Beklagte erweckt in ihrer Berichterstattung an keiner Stelle wahrheitswidrig das Verständnis, dass diese Zuwendungen strafbar seien, weshalb ein ausdrücklicher Hinweis auf den Transparenzkodex im Rahmen der Datenbankeinträge nicht erforderlich ist.

Eine Stigmatisierung des Klägers folgt auch nicht aus dem Inhalt der begleitenden Artikelserie unter dem Stichwort „Euros für Ärzte“ (Anlagenkonvolut B 2). Diese ist zur Auslegung des Inhalts der streitgegenständlichen Datenbank-Einträge zwar heranzuziehen. Die Argumentation des Klägers, ihm werde durch die Berichterstattung insgesamt vorgeworfen, dass er korrumpierbar sei, sich grundlos bereichert habe und ein Spielball der Pharmaindustrie sei, überzeugt jedoch nicht. Zwar ist es richtig, dass die Serie „Euros für Ärzte“ deutliche Kritik an finanziellen Zuwendungen der Pharmaindustrie an Ärzte äußert. Es wird in der gesamten Berichterstattung aber nicht die Behauptung aufgestellt, dass Ärzte, die solche Zuwendungen erhalten, korrupt seien (was ja auch ein strafrechtlich relevantes Verhalten voraussetzte), noch dass dies konkret für den Kläger gelte. Die Berichterstattung zeigt lediglich Zusammenhänge und mögliche Risiken auf, die im Rahmen der Zusammenarbeit von Ärzten mit Pharmaunternehmen entstehen können.

Schließlich folgt eine Stigmatisierung des Klägers auch nicht aus der Gegenüberstellung der Ärzte mit einem roten Punkt auf der einen Seite und der Ärzte mit einem grünen Punkt (sog. „Null-Euro-Ärzte“) auf der anderen Seite. Zwar verlässt die Beklagte hier ihr selbst erklärtes Ansinnen, lediglich die von der Pharmaindustrie veröffentlichten Daten aufzubereiten, und trifft eine eigene Aussage über „saubere“ Ärzte. Das erscheint schon deshalb problematisch, weil die Beklagte nicht überprüft, ob die sich registrierenden Ärzte tatsächlich keine Zuwendungen erhalten haben. Allein ein Abgleich mit den veröffentlichten Namenslisten ist nicht ausreichend, weil auch die Möglichkeit besteht, dass die betreffenden Ärzte zwar Zuwendungen erhalten haben, der Veröffentlichung ihres Namens aber nicht zugestimmt haben. Allerdings trifft die Beklagte nach dem Verständnis des Rezipienten über die „Null-Euro-Ärzte“ nicht die Aussage, diese hätten tatsächlich keine Zuwendung erhalten. Vielmehr enthält der Eintrag eines „Null-Euro-Arztes“ lediglich die Aussage, der betreffende Arzt bzw. die betreffende Ärztin habe gegenüber C. versichert, keine Zuwendung erhalten zu haben; eine eigene Aussage über die Richtigkeit dieser Angabe trifft die Beklagte also gerade nicht. Angesichts dessen erscheint die Gegenüberstellung grüner und roter Punkte nicht in vergleichbarem Maße ehrabträglich, da den Angaben der Pharmaindustrie lediglich die eigenen Aussagen von (anderen) Ärzten gegenübergestellt werden.

(b) Auch eine Prangerwirkung betreffend den Kläger ist vorliegend zu verneinen. Diese wird von der zivilgerichtlichen Rechtsprechung dann erwogen, wenn ein – nach Auffassung des Äußernden – beanstandungswürdiges Verhalten aus der Sozialsphäre einer breiteren Öffentlichkeit bekannt gemacht wird und sich dies schwerwiegend auf Ansehen und Persönlichkeitsentfaltung des Betroffenen auswirkt, was insbesondere dort in Betracht kommt, wo eine Einzelperson aus der Vielzahl derjenigen, die das vom Äußernden kritisierte Verhalten gezeigt haben, herausgehoben wird, um die Kritik des als negativ bewerteten Geschehens durch Personalisierung zu verdeutlichen (BVerfG, Beschluss vom 18.02.2010, 1 BvR 2477/08, Juris Rn. 25). Eine solche Prangerwirkung ist hier aber schon deshalb zu verneinen, weil der Kläger von der Beklagten gar nicht aus der Masse derjenigen, die Zuwendungen von der Pharmaindustrie erhalten haben, herausgehoben wird.

(c) Die Rechtswidrigkeit der Veröffentlichung folgt auch nicht aus datenschutzrechtlichen Erwägungen. Sofern der Kläger argumentiert, dass für die Veröffentlichung der Daten durch die Beklagte seine Einwilligung erforderlich gewesen sei, die er zwar ursprünglich erteilt habe, die aber nicht wirksam gewesen sei, und die er jedenfalls mittlerweile widerrufen habe, greift diese Argumentation ebenfalls nicht durch.

Im Ausgangspunkt darf über wahre Tatsachen aus der Sozialsphäre grundsätzlich berichtet werden. Es gibt keinen Anspruch darauf, in der Öffentlichkeit nur so dargestellt zu werden, wie man es selbst wünscht und man sich selbst sehen möchte; ein allgemeines oder gar umfassendes Verfügungsrecht über die Darstellung der eigenen Person gewährt das allgemeine Persönlichkeitsrecht nicht (BVerfG, Beschluss vom 24.03.1998, 1 BvR 131/96 – Missbrauchsvorwurf, Juris Rn. 45). Eine Einwilligung des Klägers in die Veröffentlichung ist damit grundsätzlich nicht notwendig. Allerdings kann sich nach den Grundsätzen des Datenschutzrechts ein anderes Abwägungsergebnis ergeben (vgl. BGH, Urteil vom 01.02.2011, VI ZR 345/09 – Internetarchiv ksta.de, Juris Rn. 23). Nach der hier maßgeblichen DSGVO ist in bestimmten Fällen die Einwilligung des Betroffenen Voraussetzung für die Rechtmäßigkeit der Datenverarbeitung (vgl. z.B. Art. 6 Abs. 1 lit. a) DSGVO). Jedoch gilt vorliegend für die Beklagte das Medienprivileg des § 57 Abs. 1 S. 6 RStV, wonach die ausschließlich journalistisch-redaktionelle und literarische Erhebung, Verarbeitung und Nutzung personenbezogener Daten weitgehend von den ansonsten einzuhaltenden Datenschutzbestimmungen ausgenommen ist (vgl. BGH, Urteil vom 01.02.2011, VI ZR 345/09, Juris Rn. 23ff. zu § 57 RStV a.F.). Ein Unterlassungsanspruch gegen die Beklagte aufgrund datenschutzrechtlicher Erwägungen scheidet somit aus.

Darüber hinaus hat der Kläger, ohne dass es darauf ankäme, auch nicht hinreichend substantiiert vorgetragen, dass seine Einwilligung unwirksam ist. Denn das in Anlage K 7 vorgelegte Formular über die Erteilung einer Einwilligung wurde nur beispielhaft vorgelegt und gilt für den Kläger (der Zuwendungen eines ganz anderen Pharmaunternehmen erhalten haben soll) gar nicht.

Angesichts des Medienprivilegs, auf das sich die Beklagte berufen kann, kommt es auch auf einen etwaigen Widerruf der Einwilligung des Klägers nicht an.

(d) Schwerwiegende Auswirkungen für den Kläger folgen auch nicht aus einem von ihm behaupteten Eingriff in das Arzt-Patienten-Verhältnis. Ein solcher Eingriff mit schwerwiegenden Auswirkungen für den Kläger erscheint schon deshalb kaum nachvollziehbar, weil sich die Ärzte – darunter auch der Kläger – einmal selbst dem Ziel verschrieben haben, für mehr Transparenz betreffend die Zusammenarbeit von Ärzten mit Pharmaunternehmen zu sorgen. Dann ist die Kenntnis der Patienten über etwaige Zuwendungen an den Kläger zwangsläufig die Kehrseite dieses von der Pharmaindustrie wie den Ärzten gleichermaßen verfolgten Transparenz-Anliegens. Zudem führt diese Argumentation nicht insoweit zu einer Rechtswidrigkeit der Berichterstattung, als der Eingriff nicht die Schwere einer Stigmatisierung erreicht (s.o.).

(e) Ein Unterlassungsanspruch des Klägers lässt sich auch nicht damit begründen, dass sogar Suchmaschinenbetreiber dazu verpflichtet seien, die Erreichbarkeit von Internetbeiträgen durch bloße Eingabe des Namens der von diesen Beiträgen in erheblicher Weise betroffenen Person zu unterbinden (vgl. EuGH, Urteil vom 13.05.2014, C-131/12, Celex-Nr. 62012CJ0131 – Google Spain, Juris). Der „Erst-Recht-Schluss“ vom Suchmaschinenbetreiber auf die Presse greift schon nicht durch. Zudem scheitert der der „Google Spain“-Entscheidung des EuGH zu Grunde liegende datenschutzrechtliche Anspruch am Medienprivileg, auf das sich die Beklagte berufen kann (s.o.).

(f) Vor dem Hintergrund der bereits diskutierten Aspekte scheidet auch ein Anspruch des Klägers auf Anonymitätsschutz aus. Zwar ist die prozessual wahre Aussage, dass der Kläger Zuwendungen von der Pharmaindustrie angenommen hat, nach dem Gesamtverständnis der Berichterstattung der Beklagten ehrabträglich. Der Eingriff in das Persönlichkeitsrecht des Klägers ist aber nicht derart schwer, dass nicht identifizierbar über ihn berichtet werden dürfte, da ihm erkennbar kein strafbares Verhalten vorgeworfen wird, die genannten Zuwendungsbeträge sich im zwei- bzw. unteren dreistelligen Bereich bewegen und er ursprünglich selbst in seine Namensnennung eingewilligt hat.

b. Ein Unterlassungsanspruch des Klägers folgt auch nicht aus §§ 823 Abs. 1, 1004 Abs. 1 S. 2 BGB analog wegen der Verletzung seines Rechts am eingerichteten und ausgeübten Gewerbebetrieb. Ein Eingriff in das Recht am eingerichteten und ausgeübten Gewerbebetrieb scheidet schon deshalb aus, weil der Eingriff der Beklagten nicht betriebsbezogen ist. Denn die Verletzungshandlung muss sich gerade gegen den Betrieb und seine Organisation oder gegen die unternehmerische Entscheidungsfreiheit richten und über eine bloße Belästigung oder sozial übliche Behinderung hinausgehen; mittelbare Beeinträchtigungen des Gewerbebetriebs lösen daher keine Haftung nach Abs. 1 aus, insbesondere Schadensereignisse, die nicht mit der „Wesenseigentümlichkeit“ des Betriebs in Beziehung stehen, sondern die Schädigung bestimmter Rechtsgüter betreffen, auf einer Reaktion des Unternehmens auf einen Test beruhen oder lediglich den Verdienst schmälern, aber die berufliche Tätigkeit an sich nicht beeinträchtigen (BeckOGK/Spindler, BGB, § 823 Rn. 207-210, beck-online). Diese Voraussetzung eines betriebsbezogenen Eingriffs ist vorliegend nicht erfüllt.

2. Dem Kläger steht darüber hinaus auch nicht der geltend gemachte Anspruch auf Feststellung einer Schadensersatzpflicht der Beklagten zu, da die Veröffentlichung der Datenbank-Einträge rechtmäßig war.“


Den Volltext der Entscheidung finden Sie hier:

AG Wertheim
Beschluss vom 12.12.2019
1 C 66/19

Das AG Wertheim hat gegen ein Unternehmen nach Verurteilung zur Auskunftserteilung nach Art. 15 DSGVO ein Zwangsgeld in Höhe von 15.000 EURO verhängt, nachdem das Unternehmen seiner Auskunftspflicht nicht vollständig nachgekommen ist. Dabei ging es insbesondere um Informationen über die Herkunft der Daten hinsichtlich personenbezogener Daten, die nicht beim Betroffenen erhoben wurden (Art. 15 Abs. 1 lit. g DSGVO).

VG Gera
Beschluss vom 16.01.2019
2 K 2281/18 Ge

Die Entscheidungsgründe:

Der Beklagte hat die örtliche Zuständigkeit des angerufenen Gerichts gerügt, sodass das Verwaltungsgericht Gera nach Anhörung der Beteiligten vorab über seine Zuständigkeit zu entscheiden hat (§§ 83 Satz 1 i.V.m. 17a Abs. 3 GVG).

Die Klägerin wendet sich gegen eine Entscheidung des Beklagten, mit der dieser eine Beschwerde der Klägerin als unbegründet zurückgewiesen hat (§§ 6 Abs. 2 Ziffer 6, 8 Abs. 1 des Thüringer Datenschutzgesetzes (ThürDSG) vom 6. Juni 2018 - GVBl. S. 229 - ). Gemäß § 4 Abs. 1 ThürDSG ist der Beklagte Aufsichtsbehörde nach Artikel 51 der Verordnung (EU) 2016/679 mit Dienstsitz in Erfurt. Damit ist der Beklagte für einen Bereich zuständig, der mehrere Verwaltungsgerichtsbezirke umfasst.

Die örtliche Zuständigkeit des Verwaltungsgerichts richtet sich somit nach § 52 Ziffer 3 Satz 2 VwGO, wonach in diesem Fall das Verwaltungsgericht örtlich zuständig ist, in dessen Bezirk der Beschwerte seinen Sitz oder Wohnsitz hat. Die Klägerin hat ihren Wohnsitz im Bezirk des Verwaltungsgerichts Gera, sodass dieses zur Entscheidung über den Rechtsstreit örtlich zuständig ist.

Soweit der Beklagte die Auffassung vertritt, örtlich zuständig sei das Verwaltungsgericht Weimar und dies mit der bundesrechtlichen Regelung des § 20 Abs. 3, Abs. 1 BDSG begründet, ist festzustellen, dass der Anwendungsbereich des BDSG vorliegend nicht eröffnet ist. Das BDSG gilt gemäß § 1 Abs. 1 Satz 1 Nr. 2 BDSG für die Verarbeitung von personenbezogenen Daten durch öffentliche Stellen der Länder, soweit der Datenschutz nicht durch Landesgesetz geregelt ist. Da das ThürDSG gemäß § 2 Abs. 1 „… für die Verarbeitung personenbezogener Daten durch die Behörden, die Gerichte und die sonstigen öffentlichen Stellen des Landes… “ gilt, wurde mit dem ThürDSG eine eigene landesrechtliche Vollregelung des Datenschutzes geschaffen, sodass das BDSG bezogen auf den öffentlichen Bereich in Thüringen unanwendbar ist.

Eine anderslautende Zuständigkeit ergibt sich auch nicht aus § 9 Abs. 1 ThürDSG. Dem Sachverhalt liegt keine Streitigkeit zwischen einer öffentlichen Stelle und dem Landesbeauftragten für den Datenschutz zugrunde, sodass § 20 Abs. 3 BDSG auch nicht über die Verweisung in § 9 Abs. 1 Satz 2 ThürDSG Anwendung findet.

Schließlich ist auch § 9 Abs. 2 ThürDSG weder direkt noch analog anwendbar. Nach der Gesetzesbegründung wird in Abs. 2 - in Umsetzung von Artikel 78 Abs. 2 der Verordnung (EU) 2016/679 und Artikel 53 Abs. 2 der Richtlinie (EU) 2016/680 - der Rechtsschutz auf Fälle der Untätigkeit des Landesbeauftragten für den Datenschutz ausgedehnt (vgl. ThürLTDrs. 6/4943, Gesetzesentwurf der Landesregierung zum Thüringer Gesetz zur Anpassung des Allgemeinen Datenschutzrechts an die Verordnung (EU) 2016/679 und zur Umsetzung der Richtlinie (EU) 2016/680 (Thüringer Datenschutz-Anpassungs- und -Umsetzungsgesetz EU - ThürDSAnpUG-EU -), S. 93). Eine solche Untätigkeit ist hier jedoch nicht gegeben.

Eine Analogie zur Übertragung einer gesetzlichen Regelung auf einen Sachverhalt, der von der betreffenden Vorschrift nicht erfasst wird, ist nur geboten, wenn dieser Sachverhalt mit dem geregelten vergleichbar ist, nach dem Grundgedanken der Norm und dem mit ihr verfolgten Zweck dieselbe rechtliche Bewertung erfordert und eine (unbewusste) planwidrige Regelungslücke vorliegt (vgl. BVerfGE 82, 6, 11 f., m.w.N.; BSGE 77, 102 ff.; BSGE 89, 199 ff.). Für die Bestimmung der örtlichen Zuständigkeit für die Fälle, in denen der Beauftragte eine Beschwerde für unbegründet gehalten und diese abgewiesen hat, liegt keine
planwidrige Regelungslücke vor. Für eine analoge Anwendung des § 9 Abs. 2 ThürDSG verbleibt bereits deshalb kein Raum, da sich die örtliche Zuständigkeit in diesem Fall unmittelbar aus § 52 VwGO ergibt.

Eine anderslautende Zuständigkeit ergibt sich auch nicht aus Artikel 78 Abs. 3 der Verordnung (EU) 2016/679, wonach bei Verfahren gegen eine Aufsichtsbehörde die Gerichte des Mitgliedsstaats zuständig sind, in dem die Aufsichtsbehörde ihren Sitz hat. Hierin ist keine Regelung über die örtliche Zuständigkeit der Gerichte im föderalen System der Bundesrepublik Deutschland zu erblicken. Nach dem Erwägungspunkt 143 der Verordnung sollten Verfahren gegen eine Aufsichtsbehörde bei den Gerichten des Mitgliedstaats angestrengt werden, in dem die Aufsichtsbehörde ihren Sitz hat, und sollten im Einklang mitdem Verfahrensrecht dieses Mitgliedstaats durchgeführt werden. Mit dieser Regelung soll vermieden werden, dass über die Wahrnehmung der Aufgaben einer Aufsichtsbehörde ein Gericht eines anderen Mitgliedstaats entscheidet (vgl. Europäischer Rat, Dok. 16226/3/13REV3 vom 2. Dezember 2013, Ziffer 26). Welches Gericht des Mitgliedstaats sodann örtlich zuständig ist, richtet sich nach den Bestimmungen des jeweiligen Mitgliedstaats.

Hinweis: Die Beschluss ist unanfechtbar, § 83 Satz 2 VwGO.

Den Volltext der Entscheidung finden Sie hier:

LG München
Urteil vom 07.11.2019
34 O 13123/19

Das LG München hat entschieden, dass kein individueller Anspruch des Kreditkartenkunden gegen das Kreditkartenunternehmen auf Unterlassung rechtswidriger nicht den Vorgaben der DSGVO entsprechender Datenverarbeitung besteht.

Aus den Entscheidungsgründen:

Der Antrag auf Erlass einer einstweiligen Verfügung ist weder zulässig noch begründet.

I. Der Antrag des Verfügungsklägers erfüllt nicht die Anforderungen des in § 253 Abs. 2 Nr. 2 ZPO verankerten Bestimmtheitserfordernisses. Erforderlich ist ein bestimmter Antrag. Er muss -aus sich heraus verständlich - Art (Leistung, Feststellung, Gestaltung) und Umfang des begehrten Rechtsschutzes nennen und ist damit ein wesentliches Element zur Bestimmung des Streitgegenstandes. Nach der Rechtsprechung des Bundesgerichtshofs (vgl. BGH NJW 1999, 954; NJW 2003, 668, 669; BGH NJW 2013, 1367 Rn. 12; NJW 2016, 317 Rn. 8ff.; NJW 2016, 708 Rn. 8ff.; s. a. BGH NJW 2008, 1384, 1385) ist ein Klageantrag im Allgemeinen dann hinreichend bestimmt, wenn er den erhobenen Antrag konkret bezeichnet, dadurch den Rahmen der gerichtlichen Entscheidungsbefugnis (§ 308 ZPO) absteckt, Inhalt und Umfang der begehrten Entscheidung (§ 322 ZPO) erkennen lässt, das Risiko eines Unterliegens des Klägers nicht durch vermeidbare Ungenauigkeiten auf den Beklagten abwälzt und schließlich eine Zwangsvollstreckung aus dem Urteil ohne eine Fortsetzung des Streits im Vollstreckungsverfahren erwarten lässt. Prüfungsmaßstab für die hinreichende Bestimmtheit ist demnach immer die Eignung des Urteils für die Vollstreckung. Der Verfügungskläger beantragt, es „zu unterlassen, die Plattform Priceless Specials zu betreiben, ohne die Sicherheitsmaßnahmen des PCI DSS-Standards einzuhalten, insbesondere die Plattform beim Bekanntwerden von Sicherheitslücken weiter zu betreiben.“

Dieser Antrag ist - auch nach Abänderung des Antrags in der mündlichen Verhandlung - nicht hinreichend bestimmt, da es an einem vollstreckungsfähigen Inhalt mangelt. Das zu unterlassende Verhalten ist nicht so konkret bezeichnet, dass die Verfügungsbeklagte ihr Risiko erkennen und ihr Verhalten darauf einrichten könnte. Die Verfügungsbeklagte müsste absehen können, wann eine Vollstreckungshandlung aufgrund einer Zuwiderhandlung droht. Dies ist vorliegend nicht der Fall. Die Problematik ausreichender Bestimmtheit ist bei Unterlassungsanträgen parallel zu der Frage der Vollstreckbarkeit des jeweils geschaffenen Titels nach § 890 ZPO zu beantworten. Sowohl hinsichtlich des Antrags nach § 253 Abs. 2 Nr. 2 ZPO als auch bezogen auf § 890 Abs. 1 ZPO muss die Verfügungsbeklagte erkennen können, welche Leistung sie zu erbringen hat.

Zwar muss der Verfügungsbeklagten als potentielle Störerin grundsätzlich die Wahl zwischen mehreren Möglichkeiten der Beseitigung offen bleiben, jedoch muss durch den Antrag weiterhin dem Bestimmtheitserfordernis des § 253 Abs. 2 Nr. 2 ZPO Rechnung getragen werden. Ein unbestimmter Tenor wäre nicht vollstreckbar. Diesem Erfordernis ist der Antragsteller nicht hinreichend nachgekommen. Aus dem Antrag ist nicht hinreichend ersichtlich, welche Maßnahmen die Verfügungsbeklagte konkret zur Erfüllung ihrer Pflicht zu ergreifen hat. Ohne eine solche Konkretisierung ist für die Verfügungsbeklagte aber nicht klar, wann sie ihrer Pflicht Genüge getan hat und wann sie sich einer Haftung bzw. einer Vollstreckung aussetzen würde. Die Grenzen sind für sie in keiner Weise ersichtlich. Die ausreichende Bestimmtheit des Antrags ergibt sich auch nicht aus dem PCI DSS-Standard. Der PCI DSS enthält durchaus Anforderungen an die Sicherheitsstandards für Kreditkartendaten. Gegenstand des Antrags sind jedoch nicht bestimmte Anforderungen des PCI DSS, gegen die die Verfügungsbeklagte verstoßen haben soll und die zu dem Sicherheitsvorfall geführt haben sollen. Demzufolge fehlt es an der erforderlichen und zumutbaren Konkretisierung. Darüber hinaus ist für das Vollstreckungsgericht - auch angesichts des umfassenden Regelwerks des PCI DSS-Standards - nicht hinreichend deutlich, welche Maßnahmen zu welchem Zeitpunkt von der Verfügungsbeklagten veranlasst werden müssten.
II.

Des Weiteren fehlt vorliegendem Antrag das Rechtsschutzbedürfnis, da der Verfügungskläger die Möglichkeit hat, der maschinellen Verarbeitung seiner Daten durch die Verfügungsbeklagte zu widersprechen und die Vertragsbindung hinsichtlich seiner Kreditkarte zu beenden. Nach Ansicht des Gerichts kann der Verfügungskläger mit den Ausführungen, dass die „Hau doch ab, wenn's dir nicht passt!“-Argumentation der Verfügungsbeklagten der Tatsache nicht gerecht werde, dass der Verfügungskläger ein Interesse daran haben dürfe, die Vorzüge des Bonusprogramms der Verfügungsbeklagten weiterhin zu nutzen und dass es allein Aufgabe der Verfügungsbeklagten sei, die gesetzlich vorgesehenen Maßnahmen zu ergreifen, um eine sichere Verarbeitung der Daten des Verfügungsklägers zu gewährleisten, nicht durchdringen. Seitens des Gerichts kann schon nicht nachvollzogen werden, weshalb der Verfügungskläger, der der Verfügungsbeklagten als seiner Vertragspartnerin offensichtlich nicht mehr das nötige Vertrauen entgegenbringt, dass diese die hohen Sicherheitsstandards einhält, trotzdem die Vertragsbeziehungen aufrechterhalten will. Unabhängig davon ist zwingende Prozessvoraussetzung ein allgemeines Rechtsschutzinteresse oder Rechtsschutzbedürfnis, d.h. ein schutzwürdiges Interesse an der gerichtlichen Geltendmachung des eingeklagten Rechts. Das Rechtsschutzbedürfnis kann fehlen, wenn das verfolgte Begehren auf einem einfacheren Weg zu erlangen ist (BGH NJW-RR 2010, 19). Dies ist vorliegend der Fall: Die Möglichkeit, der maschinellen Verarbeitung seiner Daten zu widersprechen und die Vertragsbindung hinsichtlich seiner Kreditkarte zu beenden, wäre der einfachere Weg für den Verfügungskläger, seine Bedenken im Hinblick auf die Verarbeitung seiner personenbezogenen Daten auszuräumen. Mit diesem schnelleren und billigeren Mittel des Rechtsschutzes lässt sich vergleichbar sicher oder wirkungsvoll das erforderliche Rechtsschutzziel - der Schutz der Daten des Verfügungsklägers - herbeiführen.
III.

Darüber hinaus ist der Antrag auch unbegründet. Begründet ist der Antrag auf Erlass einer einstweiligen Verfügung, wenn der Verfügungskläger einen Verfügungsanspruch und einen Verfügungsgrund schlüssig behauptet und glaubhaft macht. Ein Verfügungsgrund liegt vor, wenn durch die Änderung eines bestehenden Zustands die Verwirklichung eines Rechts des Antragstellers vereitelt oder wesentlich erschwert werden könnte. Es kommt darauf an, ob Umstände vorliegen, die nach dem Urteil eines objektiven, vernünftigen Menschen befürchten lassen, dass die Anspruchsverwirklichung durch die Veränderung der gegebenen Umstände vereitelt oder wesentlich erschwert werden könnte. In Betracht kommt etwa eine bevorstehende Rechtsverletzung. Glaubhaft gemacht werden Verfügungsanspruch und Verfügungsgrund nach § 294 ZPO. Der erforderliche Grad an Gewissheit ist bereits erreicht, wenn sich aus dem Vortrag des Antragstellers die überwiegende Wahrscheinlichkeit dafür ergibt, dass sie zutrifft (BGH NJW 03, 3558).

1. Vorliegend fehlt es bereits an einem Verfügungsanspruch. Das Recht auf Unterlassung rechtswidriger Datenverarbeitung ist nicht als solches in der Datenschutz-Grundverordnung verankert. Diese konkretisiert zwar das primärrechtlich verbürgte Recht auf Schutz persönlicher Daten, aber eben nur, soweit sie die Ausprägungen dieses Rechts normiert. Die bloße verordnungswidrige Datenverarbeitung stellt gerade noch keine Rechtsverletzung dar (vgl. hierzu Kreßeydow, Europäische Datenschutzverordnung 2. Auflage 2018, Rn. 10 ff.; BeckOK Datenschutzrecht, Wolff/Brink, Art. 82 Rn. 11 f.; Spindler/Schuster, Recht der elektronischen Medien, 4. Auflage 2019, Rn. 7 ff.).

Ein Anspruch aus § 1004 BGB ist nicht hinreichend glaubhaft gemacht. Voraussetzung des Unterlassungsanspruchs ist das Vorliegen einer Beeinträchtigungsgefahr. Diese ist entweder Wiederholungsgefahr, wenn es in der Vergangenheit bereits zu einer Beeinträchtigung gekommen ist, oder Erstbegehungsgefahr, wenn aufgrund objektiver Umstände eine erstmalige Beeinträchtigung unmittelbar bevorsteht. Nach dem Vortrag des Verfügungsklägers lässt sich vorliegend eine Glaubhaftmachung weder im Hinblick auf eine Wiederholungs- noch auf eine Erstbegehungsgefahr ableiten. Bereits nach dem Vortrag des Verfügungsklägers ist es in der Vergangenheit nicht zu einer vollendeten Beeinträchtigung gekommen, demzufolge eine Vermutung der Wiederholungsgefahr schon nicht in Betracht kommt. Des Weiteren hat die Verfügungsbeklagte hinreichend dargelegt und glaubhaft gemacht, welche Maßnahmen sie nach Bekanntwerden des Vorfalls ergriffen hat. Dass diese Maßnahmen unzureichend wären, zeigt der Verfügungkläger nicht auf - insbesondere auch nicht, was seitens der Verfügungsbeklagten noch veranlasst wäre. Die Verfügungsbeklagte hat glaubhaft gemacht, dass die streitgegenständliche Plattform nicht mehr in Betrieb ist (Anlage AG 22). Daran ändert auch der Umstand nicht, dass sie unstreitig zwischenzeitlich wieder kurzfristig über die Internetseite der „…“ online war. Die Verfügungsbeklagte hat diese für einen begrenzten Zeitraum bestehende Erreichbarkeit mit der forensischen Untersuchung und diesbezüglichen IT-Checks erklärt. Eine Wiederholung des streitgegenständlichen Datenlecks würde voraussetzen, dass sich die Verfügungsbeklagte nicht nur entscheidet, dass die Plattform wieder online gestellt wird, sondern auch, dass die Plattform unverändert wieder online stellt, ohne irgendwelchen weiteren Sicherheitsmaßnahmen zu ergreifen. Das Vorliegen einer Wiederholungsgefahr ergibt sich auch nicht aus dem Vortrag des Verfügungsklägers, dass die Internetseite „Priceless Specials“ bereits unter einer anderen URL wieder erreichbar sei. Die Verfügungsbeklagte hat in diesem Zusammenhang glaubhaft gemacht, dass es sich hierbei um eine reine Testumgebung ohne Zugriff auf personenbezogene Daten von „Priceless Specials“-Nutzern handelt. Der Verfügungskläger konnte auf Nachfrage des Gerichts im Rahmen der mündlichen Verhandlung insbesondere schon keine Angaben dazu machen, ob unter der von ihm genannten URL eine Anmeldung mit seinen bisherigen Login-Daten möglich ist.

2. Darüber hinaus steht dem Verfügungskläger auch kein Verfügungsgrund zu.

Ein Verfügungsgrund besteht nach § 935 ZPO, wenn zu besorgen ist, dass durch eine Veränderung des bestehenden Zustandes die Verwirklichung des Rechtes einer Partei vereitelt oder wesentlich erschwert werden könnte (sog. Sicherungsverfügung) bzw. nach § 940 ZPO, wenn in Bezug auf ein streitiges Rechtsverhältnis die Regelung zur Abwendung wesentlicher Nachteile oder zur Verhinderung drohender Gewalt oder aus anderen Gründen nötig erscheint (sog. Regelungsverfügung). Über den Wortlaut der §§ 935, 940 ZPO hinaus lässt die Rechtsprechung jedoch ausnahmsweise eine sog. Leistungs- oder Befriedigungsverfügung zu, deren Inhalt auf die (vollständige oder teilweise) Befriedigung des Verfügungsanspruchs gerichtet ist.

Um eine solche geht es dem Verfügungskläger hier, da sein als Unterlassungsantrag formuliertes Begehren nicht lediglich auf eine zukünftige Untätigkeit der Verfügungsbeklagten, sondern auf ein Verhalten gerichtet ist, welches den Nichteintritt einer aus Sicht des Antragstellers (erneut) drohenden Beeinträchtigung seines Allgemeinen Persönlichkeitsrechts bewirkt, insbesondere die Vornahme von (im Einzelnen nicht konkretisierten) Sicherungsmaßnahmen. Dabei geht es dem Verfügungskläger offensichtlich nicht um eine Hilfestellung bei der Eindämmung der aus dem bereits erfolgten Datenverlust resultierenden Gefahren und auch nicht um die Abwehr einer sich konkret abzeichnenden Wiederholungsgefahr. Inhaltlich stellt dies nichts anderes dar als das Begehren einer ordnungsgemäßen Vertragsdurchführung in ihrer gesamten Weite.

Eine Leistungsverfügung kann aber ganz generell nur in engen Ausnahmefällen zugelassen werden, weil sie letztlich über den gesetzlichen Wortlaut der §§ 935, 940 ZPO hinausgeht und dabei im Rahmen eines nur summarischen Verfahrens dem Verfügungskläger bereits all das gewährt, was er auch nach Durchführung eines Hauptsacheverfahrens erreichen könnte. Um diese strengen Voraussetzungen zu erfüllen, muss der Verfügungskläger im Einzelfall darlegen und glaubhaft machen, dass er derart dringend auf die sofortige Erfüllung seines Leistungsanspruchs angewiesen ist und andernfalls derart erhebliche wirtschaftliche Nachteile erleiden würde, dass ihm ein Zuwarten, soweit nach Art des Anspruchs überhaupt möglich, oder eine Verweisung auf die spätere Geltendmachung von Schadensersatzansprüchen nach Wegfall des ursprünglichen Erfüllungsanspruchs nicht zumutbar ist (Zöller/Vollkommer, ZPO, 32. Aufl., § 940 Rn 6 m. w. N.). Dabei ist nicht nur die Frage zu stellen, ob die geschuldete Leistung nur innerhalb eines bestimmten Zeitraums vorgenommen werden kann und die rechtzeitige Erwirkung eines (Hauptsache-)Titels im Klageverfahren für diesen bestimmten Zeitraum nicht möglich ist. Vielmehr muss insgesamt eine Interessenabwägung durchgeführt werden, da dem Interesse des Verfügungsklägers an der Gewährung effektiven Rechtsschutzes vielfach das nicht weniger schutzwürdige Interesse der Verfügungsbeklagten gegenübersteht, nicht in einem mit nur eingeschränkten Erkenntnis- und Beweismöglichkeiten ausgestalteten summarischen Verfahren zu einer Erfüllung des umstrittenen Anspruchs verpflichtet zu werden. Der Erlass einer auf endgültige Anspruchsbefriedigung gerichteten einstweiligen Verfügung kommt somit allein dann in Betracht, wenn der dem Verfügungskläger aus der Nichterfüllung drohende Schaden außer Verhältnis zu demjenigen Schaden steht, der der Verfügungbeklagten aus der sofortigen Erfüllung droht.

Diese strengeren Voraussetzungen für den Erlass einer Leistungsverfügung hat der Verfügungskläger jedoch weder hinreichend dargelegt, noch glaubhaft gemacht. Es ist nicht erkennbar, warum er derart dringend auf die sofortige Erfüllung seines Leistungsanspruchs angewiesen sein soll und andernfalls derart erhebliche wirtschaftliche Nachteile erleiden würde, dass ihm ein Zuwarten oder eine Verweisung auf die spätere Geltendmachung von Schadensersatzansprüchen nach Wegfall des ursprünglichen Erfüllungsanspruchs nicht zumutbar ist. Dass die Verfügungsbeklagte sensible personenbezogene Daten des Verfügungsklägers mit einem erheblichen Missbrauchspotential verarbeite und bei Fortdauer der Datenverarbeitung weitere unbefugte Zugriffe auf die Nutzerdatenbank zu befürchten seien, reicht als Begründung dafür, dass ein weiteres Zuwarten nicht zumutbar ist, nicht aus, zumal der Verfügungskläger schon auf der Ebene der Wiederholungsgefahr eine solche nicht glaubhaft machen konnte. Natürlich ist die Verfügungsbeklagte gegenüber dem Verfügungskläger und den anderen Bonusprogramm-Teilnehmern verpflichtet, für die Sicherheit deren Daten Sorge zu tragen, wenn sie diese verarbeitet. Sicherungsmaßnahmen im einstweiligen Rechtsschutz sind aber nur möglich, wenn konkrete Möglichkeiten zur Sicherung bekannt sind, um ein erneutes Datenleck zu vermeiden. Der Verfügungskläger hat schon nicht dargelegt, dass die Einhaltung der Sicherheitsmaßnahmen des PCI DSS-Standards ein neues Datenleck vermeiden würde.

Den Volltext der Entscheidung finden Sie hier:

EuGH-Generalanwalt
Schlussanträge vom 19.12.2019
C-311/18
Data Protection Commissioner / Facebook Ireland und Maximilian Schrems

Nach Ansicht des EuGH-Generalanwalts ist der Beschluss 2010/87/EU der Kommission über Standardvertragsklauseln für die Übermittlung personenbezogener Daten an Auftragsverarbeiter in Drittländern gültig

Die Pressemitteilung des EuGH:

Nach Ansicht von Generalanwalt Saugmandsgaard Øe ist der Beschluss 2010/87/EU der Kommission über Standardvertragsklauseln für die Übermittlung personenbezogener Daten an Auftragsverarbeiter in Drittländern gültig

Die Datenschutz-Grundverordnung sieht wie die Richtlinie über die Verarbeitung personenbezogener Daten, an deren Stelle sie getreten ist, vor, dass personenbezogene Daten an ein Drittland übermittelt werden können, wenn dieses für die Daten ein angemessenes Schutzniveau sicherstellt. Liegt kein Beschluss der Kommission vor, mit dem die Angemessenheit des Schutzniveaus im betreffenden Drittland festgestellt wird, darf der für die Verarbeitung Verantwortliche die Übermittlung dennoch vornehmen, wenn er sie mit geeigneten Garantien versieht. Diese Garantien können u. a. die Form eines Vertrags zwischen dem Exporteur und dem Importeur der Daten annehmen, der die in einem Beschluss der Kommission vorgesehenen Standarddatenschutzklauseln enthält. Mit dem Beschluss 2010/87/EU3 hat die Kommission Standardvertragsklauseln für die Übermittlung personenbezogener Daten an Auftragsverarbeiter in Drittländern festgelegt. Die vorliegende Rechtssache betrifft die Gültigkeit dieses Beschlusses.

Sachverhalt und Vorgeschichte des Ausgangsrechtsstreits

Zur Vorgeschichte des Ausgangsrechtsstreits gehört ein Verfahren, das von Herrn Maximilian Schrems, einem österreichischen Nutzer von Facebook, eingeleitet wurde und bereits zum Urteil des Gerichtshofs vom 6. Oktober 2015 (Urteil Schrems) geführt hat.

Die Daten der in der Union wohnhaften Nutzer von Facebook wie Herr Schrems werden von Facebook Ireland, der irischen Tochtergesellschaft der Facebook Inc., ganz oder teilweise an Server in den Vereinigten Staaten übermittelt und dort verarbeitet. 2013 hatte Herr Schrems bei der für die Überwachung der Anwendung der Vorschriften über den Schutz personenbezogener
Daten zuständigen irischen Behörde (im Folgenden: Kontrollstelle) eine Beschwerde eingelegt, mit der er geltend machte, dass angesichts der von Herrn Edward Snowden enthüllten Tätigkeiten der Nachrichtendienste der Vereinigten Staaten (insbesondere der National Security Agency, NSA) das Recht und die Praxis der Vereinigten Staaten keinen ausreichenden Schutz der in dieses Land übermittelten Daten vor den Überwachungstätigkeiten der Behörden gewährleisteten. Die
Kontrollstelle wies die Beschwerde u. a. mit der Begründung zurück, dass die Kommission in ihrer Entscheidung vom 26. Juli 20005 angenommen habe, dass die Vereinigten Staaten im Rahmen der sogenannten „Safe-Harbor-Regelung“ ein angemessenes Schutzniveau für personenbezogene Daten gewährleisteten.

Mit dem Urteil Schrems hat der Gerichtshof in Beantwortung einer Frage des High Court (Hoher Gerichtshof, Irland) die Safe-Harbor-Entscheidung für ungültig erklärt.

Im Anschluss an das Urteil Schrems erklärte das vorlegende Gericht die Entscheidung, mit der die Kontrollstelle die Beschwerde von Herrn Schrems zurückgewiesen hatte, für nichtig und verwies sie zur Prüfung zurück an die Kontrollstelle. Diese leitete eine Untersuchung ein und forderte Herrn Schrems auf, seine Beschwerde in Anbetracht der Ungültigerklärung der Safe-Harbor-Entscheidung neu zu formulieren.

Zu diesem Zweck bat Herr Schrems Facebook Ireland um Angabe der Rechtsgrundlagen, auf denen die Übermittlungen der personenbezogenen Daten der Nutzer von Facebook aus der Union in die Vereinigten Staaten beruhten. Facebook Ireland verwies auf ein Datenübertragungs- und -verarbeitungsabkommen (data transfer processing agreement) mit der Facebook Inc., das seit dem 20. November 2015 in Kraft sei, und berief sich auf den Beschluss 2010/87.

In seiner neu formulierten Beschwerde machte Herr Schrems zum einen geltend, dass die in dem Abkommen enthaltenen Klauseln nicht den Standardvertragsklauseln des Beschlusses 2010/87 entsprächen, und zum anderen, dass diese Standardvertragsklauseln jedenfalls keine Grundlage für die Übermittlung seiner personenbezogenen Daten in die Vereinigten Staaten sein könnten. Es gebe nämlich keinen Rechtsbehelf, mit dem die Betroffenen in den Vereinigten Staaten ihre Rechte auf Achtung des Privatlebens und auf Schutz der personenbezogenen Daten geltend machen könnten. Herr Schrems beantragte daher bei der Kontrollstelle, diese Übermittlung in Anwendung des Beschlusses 2010/87 auszusetzen.

Mit ihrer Untersuchung wollte die Kontrollstelle feststellen, ob die Vereinigten Staaten einen angemessenen Schutz für personenbezogene Daten der Unionsbürger sicherstellen und – sollte dies nicht der Fall sein – ob der Rückgriff auf Standardvertragsklauseln ausreichende Garantien für den Schutz ihrer Grundfreiheiten und Grundrechte bietet. Da die Kontrollstelle zu dem Ergebnis kam, dass die Bearbeitung der Beschwerde von Herrn Schrems von der Frage abhänge, ob der
Beschluss 2010/87 gültig sei, leitete sie beim High Court ein Verfahren ein, damit dieser den Gerichtshof hierzu befrage. Der High Court ist dem Antrag dieser Behörde auf Vorlage eines Ersuchens um Vorabentscheidung nachgekommen.

In seinen heutigen Schlussanträgen schlägt Generalanwalt Henrik Saugmandsgaard Øe dem Gerichtshof vor, zu antworten, dass die Prüfung der Fragen nichts ergeben habe, was die Gültigkeit des Beschlusses 2010/87 beeinträchtigen könnte.

Der Generalanwalt stellt zunächst fest, dass es im Ausgangsrechtsstreit nur um die Feststellung gehe, ob der Beschluss 2010/87 gültig sei, mit dem die Kommission die Standardvertragsklauseln festgelegt habe, die für die in der Beschwerde von Herrn Schrems genannten Übermittlungen geltend gemacht worden seien.

Der Generalanwalt ist erstens der Ansicht, dass das Unionsrecht auf Übermittlungen personenbezogener Daten in ein Drittland anwendbar sei, wenn diese Übermittlungen zu gewerblichen Zwecken erfolgten, auch wenn die übermittelten Daten durch Behörden dieses Drittlands für Zwecke der nationalen Sicherheit verarbeitet werden könnten.

Zweitens stellt der Generalanwalt fest, dass die Bestimmungen der Datenschutz-Grundverordnung ber Übermittlungen in Drittländer bezweckten, ein kontinuierlich hohes Schutzniveau für personenbezogene Daten unabhängig davon sicherzustellen, ob die Daten auf der Grundlage einer Angemessenheitsentscheidung oder aufgrund geeigneter Garantien übermittelt würden, vom Exporteur gegeben würden. Dieses Ziel werde jedoch je nach der Rechtsgrundlage, die für die Übermittlung gelte, auf unterschiedliche Weise erreicht. Einerseits solle mit einer Angemessenheitsentscheidung festgestellt werden, ob ein bestimmtes Drittland aufgrund des dort geltenden Rechts und der dort geltenden Praxis für die Grundrechte der Personen, deren Daten
übermittelt würden, ein Schutzniveau sicherstelle, das dem Niveau, das sich aus der im Licht der Charta der Grundrechte der Europäischen Union ausgelegten Datenschutz-Grundverordnung ergebe, im Wesentlichen gleichwertig sei. Andererseits müssten die vom Exporteur – insbesondere vertraglich – gegebenen geeigneten Garantien selbst ein solches
Schutzniveau sicherstellen. Die Standardvertragsklauseln der Kommission für Übermittlungen sähen insoweit eine allgemeine Regelung vor, die unabhängig vom Bestimmungsland und dem dort sichergestellten Schutzniveau gelte.

Drittens prüft der Generalanwalt die Gültigkeit des Beschlusses 2010/87 anhand der Charta.

Seiner Ansicht nach führt der Umstand, dass der Beschluss und die darin enthaltenen Standardvertragsklauseln die Behörden des Drittbestimmungslandes nicht binden würden und diese durch ihn somit nicht daran gehindert seien, dem Importeur Pflichten aufzuerlegen, die mit der Beachtung dieser Klauseln unvereinbar seien, für sich allein nicht zur Ungültigkeit des Beschlusses. Die Vereinbarkeit des Beschlusses 2010/87 mit der Charta hänge davon ab, ob ausreichend wirksame Regelungen bestünden, mit denen sich sicherstellen lasse, dass die auf die Standardvertragsklauseln gestützten Übermittlungen ausgesetzt oder verboten würden, wenn diese Klauseln verletzt würden oder es unmöglich sei, sie einzuhalten.

Dies sei dann der Fall, wenn eine Pflicht – der für die Datenverarbeitung Verantwortlichen und, bei deren Untätigkeit, der Kontrollstellen – bestehe, eine Übermittlung auszusetzen oder zu verbieten, wenn aufgrund eines Konflikts zwischen den sich aus den Standardvertragsklauseln ergebenden Pflichten und den durch das Recht des Drittbestimmungslandes auferlegten Pflichten diese Klauseln nicht eingehalten werden könnten.

Der Generalanwalt stellt außerdem fest, dass das vorlegende Gericht bestimmte Beurteilungen der Kommission im Beschluss vom 12. Juli 2016, dem sog. Datenschutzschild-Beschluss, indirekt in Frage stelle. In diesem Beschluss hat die Kommission festgestellt, dass die Vereinigten Staaten ein angemessenes Schutzniveau für die Daten gewährleisteten, die im Rahmen der mit diesem Beschluss aufgestellten Regelung aus der Union übermittelt würden, insbesondere in Anbetracht der Garantien, die bezüglich des Zugangs amerikanischer Nachrichtendienste zu diesen Daten bestünden, sowie des Rechtsschutzes, der Personen, deren Daten übermittelt würden, gewährt werde . Für die Entscheidung über den Ausgangsrechtsstreit hält der Generalanwalt es nicht für erforderlich, dass der Gerichtshof über die Gültigkeit des Datenschutzschild-Beschlusses entscheide, da der Rechtsstreit nur die Gültigkeit des Beschlusses 2010/87 betreffe. Gleichwohl führt der Generalanwalt hilfsweise aus, aus welchen Gründen sich für ihn im Hinblick auf die Rechte auf Achtung des Privatlebens, auf Schutz personenbezogener Daten und auf einen wirksamen Rechtsbehelf Fragen bezüglich der Gültigkeit des Datenschutzschild-Beschlusses stellen.


Den Volltext der Schlussanträge finden Sie hier:

ArbG Berlin
Urteil vom 16.10.2019
29 Ca 5451/19

Das ArbG Berlin hat entschieden, dass die Arbeitszeiterfassung mittels Fingerprint nicht erforderlich gemäß § 26 Abs. 1 BDSG ist und daher nur mit Einwilligung des Betroffenen zulässig ist.

Aus den Entscheidungsgründen:

"Die Abmahnung vom 05. Oktober 2018 sowie die Abmahnung vom 26. März 2019 wegen Nichtbenutzung des Zeiterfassungssystems ZEUS sind aus der Personalakte des Klägers zu entfernen.

Arbeitnehmer können in entsprechender Anwendung von §§ 242, 1004 Abs. 1 Satz 1 BGB die Entfernung einer zu Unrecht erteilten Abmahnung aus ihrer Personalakte verlangen. Der Anspruch besteht, wenn die Abmahnung inhaltlich unbestimmt ist, unrichtige Tatsachenbehauptungen enthält, auf einer unzutreffenden rechtlichen Bewertung des Verhaltens des Arbeitnehmers beruht oder den Grundsatz der Verhältnismäßigkeit verletzt (ständige Rechtsprechung des BAG, hier nur herausgreifend Urteil vom 20. Januar 2015, 9 AZR 860/13, juris).

Diese Voraussetzungen liegen im Streitfall vor. Der Kläger ist nicht verpflichtet, das Zeiterfassungssystem ZEUS zu nutzen.

Erfolgte die Zeiterfassung früher üblicherweise analog mittels Stechuhr, ist heute eine digitale Zeiterfassung, zum Beispiel über softwarebasierte oder webbasierte Zeiterfassungssysteme, teilweise auch per Smartphone oder Tablet, die Regel. Relativ neu ist die digitale Zeiterfassung mittels Fingerprint. Diese Form der Arbeitszeiterfassung soll unter anderem verhindern, dass Mitarbeiter für Kollegen „mitstempeln“ und hierdurch Arbeitszeitbetrug begehen.

Bei der Zeiterfassung mittels Fingerprint meldet sich der Mitarbeiter durch Abgleich seines Fingerabdrucks mit den im Zeiterfassungsterminal gespeicherten Daten im Zeiterfassungsprogramm an und ab. Hierfür werden aus dem Fingerabdruck des Mitarbeiters zunächst sogenannte Minutien (individuelle, nicht vererbbare Fingerlinienverzweigungen) mittels eines speziellen Algorithmus extrahiert. Der Minutiendatensatz wird sodann im Zeiterfassungsterminal gespeichert und zum Abgleich des Fingerabdrucks des Mitarbeiters bei der An- und Abmeldung verwendet. Nicht gespeichert wird grundsätzlich der Fingerabdruck des Mitarbeiters. Aus dem gespeicherten Minutiendatensatz kann der Fingerabdruck des Mitarbeiters auch nicht wieder generiert werden.

Datenschutzrechtlich handelt es sich bei dem Minutiendatensatz um biometrische Daten nach Artikel 9 Abs. 1 DSGVO und besondere Kategorien personenbezogener Daten im Sinne von § 26 Abs. 3 BDSG. Diesen Daten ist eigen, dass eine Verarbeitung die Privatsphäre des Mitarbeiters und damit das Recht auf informationelle Selbstbestimmung im besonderen Maße verletzen kann. Die Verarbeitung von biometrischen Daten – und somit auch von Minutiendatensätzen – ist daher nach Artikel 9 Abs. 1 GSGVO grundsätzlich verboten. Allerdings enthält Artikel 9 Abs. 2 GSGVO mehrere Erlaubnistatbestände, bei deren Vorliegen eine Verarbeitung (ausnahmsweise) doch zulässig ist. Arbeitsrechtlich relevant sind insbesondere die Erlaubnistatbestände „Erforderlichkeit“, „Freiwillige Einwilligung“ und „Kollektivvereinbarung“.

Eine Einwilligung und eine Kollektivvereinbarung liegen hier nicht vor.

Folglich ist zu prüfen, ob die Verarbeitung der biometrischen Daten im Rahmen der Zwecke der Beschäftigungsverhältnisses im Sinne des § 26 Abs. 1 BDSG erforderlich ist, damit der Verantwortliche (Arbeitgeber) den ihm „aus dem Arbeitsrecht, dem Recht der sozialen Sicherheit und des Sozialschutzes“ erwachsenden Rechte und Pflichten nachkommen kann. Es darf kein Grund zu der Annahme bestehen, dass das schutzwürdige Interesse der betroffenen Person (des Beschäftigten) an dem Ausschluss der Verarbeitung überwiegt. Biometrische Merkmale eines Beschäftigten darf der Arbeitgeber nach § 26 Abs. 3 BDSG somit nur dann verarbeiten, wenn dies für die Begründung, Durchführung oder Beendigung des Beschäftigungsverhältnisses erforderlich ist. Die Erhebung und Verwendung von biometrischen Merkmalen muss im Rahmen der dreistufigen Prüfung folgende Voraussetzungen erfüllen:

1. Das biometrische Verfahren muss für die Zwecke des Beschäftigungsverhältnisses geeignet sein, das heißt, der jeweils auf das Beschäftigungsverhältnis bezogene Zweck muss tatsächlich gefördert werden können.

2. Es darf kein anderes, gleich wirksames, das Persönlichkeitsrecht weniger beeinträchtigendes Mittel existieren.

3. Als Ergebnis einer umfassenden Abwägung der schutzwürdigen Interessen und Grundrechte des Arbeitnehmers und des Arbeitgebers muss die Beeinträchtigung des Persönlichkeitsrechts des Beschäftigten durch das Biometrische Verfahren in einem angemessenen Verhältnis zu dem angestrebten Zweck der Datenverwendung stehen (Weth/Herberger/Wächter/Sorge-Kramer B XI. Rn.-Nr. 9f mit weiteren Nachweisen).

Dabei gilt folgende Regel: Je intensiver in das Persönlichkeitsrecht eingegriffen werden soll, desto schwerer muss der vom Arbeitgeber mit dem Verfahren verfolgte konkrete Zweck wiegen. So wird das Interesse des Arbeitgebers an einer biometrischen Zugangskontrolle zu Bereichen mit sensiblen Geschäfts-, Produktions- und Entwicklungsgeheimissen eher überwiegen als bei einer angestrebten Zugangs-sicherung zu normalen Bürobereichen. So können biometrische Daten zwar zur Kontrolle beim Eintritt in Sicherheitsbereiche, nicht jedoch im Rahmen der Arbeitszeiterfassung verwendet werden (Gola / Heckmann, 13. Auflage 2019, Rn.-Nr. 157 zu § 26 BDSG).

Vorliegend stellt sich die Frage, ob die Arbeitszeiterfassung durch Fingerprint wirklich erforderlich ist. Dabei ist zu berücksichtigen, dass dadurch die Grundrechte und Grundfreiheiten der betroffenen Personen erheblich beeinträchtigt werden. Wenn auch vereinzelt Missbrauch von Zeiterfassungssystemen durch Falscheintragungen oder im Falle einer Stempelkarte durch „mitstempeln“ durch Kollegen auftreten mögen, so ist dennoch in der Regel davon auszugehen, dass sich die weit überwiegende Mehrheit der Arbeitnehmer rechtstreu verhält, also für eine solche Art von Kontrollen keinerlei Anlass gegeben ist, es sei denn, dass konkrete Umstände im Einzelfall (Nachweise über Missbräuche in nicht unerheblichem Umfang) die Erforderlichkeit einer solchen Maßnahme begründen können.

Derartiges hat die Beklagte jedoch nicht vorgetragen. Sie hat weder vorgetragen, dass durch das bisherige „händische“ System der Zeiterfassung erheblicher Missbrauch betrieben worden ist, noch hat sie darlegen können, dass im Fall der Einführung eines anderen Zeiterfassungssystems (ohne die Speicherung biometrischer Daten) Missbrauch in erheblichem Umfang oder auch nur in nennenswertem Umfang zu befürchten ist. Es ist auch nicht dargetan, dass etwa der Kläger in der Vergangenheit durch Falschangaben betreffend seine Arbeitszeit negativ aufgefallen ist.

Nach alledem vermag die Kammer nicht festzustellen, dass vorliegend die Interessen der Beklagten das schutzwürdige Interesse des Klägers an dem Ausschluss der Verarbeitung überwiegen.

Daher sind diese Abmahnungen aus der Personalakte des Klägers zu entfernen."

Den Volltext der Entscheidung finden Sie hier:

OLG Frankfurt
Beschluss vom 5.12.2019 i.V.m. dem Hinweisbeschluss vom 31.10.2019
8 U 164/19

Das OLG Frankfurt hat entschieden, dass ein Verstoß gegen die ärztliche Schweigepflicht vorliegt und ein Schmerzensgeldanspruch besteht, wenn eine Mahnung für eine Botox-Behandlung über den Arbeitgeber des Behandelten geschickt wird.

Die Pressemitteilung des Gerichts:

OLG Frankfurt am Main: Keine Mahnung für Botox-Behandlungskosten über den Arbeitgeber der Behandelten

Versendet ein Arzt eine Rechnung über die Behandlung mit Botox-Spritzen über den Arbeitgeber der Behandelten, rechtfertigt dieser Verstoß gegen die ärztliche Schweigepflicht ein Schmerzensgeld von € 1.200,00. Kurzfristige Beeinträchtigungen des körperlichen Wohlbefindens nach der Behandlung seien dagegen Bagatellschäden, entschied das Oberlandesgericht Frankfurt am Main (OLG) mit heute veröffentlichtem Beschluss.

Die Klägerin betreibt ein Kosmetikstudio. Ihr Ehemann ist Arzt. Er behandelte die Beklagte im klägerischen Kosmetikstudio mit zwei Botox-Spritzen im Gesicht. Die Beklagte bezahlte die Behandlung nicht vollständig. Sie rügte, dass ein anhaltender Effekt der Behandlung ausgeblieben sei. Die dritte Mahnung über die Botox-Injektion wurde per Fax über die Arbeitgeberin der Beklagten an diese gesandt.

Die Klägerin begehrt nunmehr restliche Zahlung. Die Beklagte verlangt widerklagend Schmerzensgeld in Höhe von €15.000,00. Sie beruft sich darauf, nicht über die Risiken der Behandlung aufgeklärt worden zu sein. Der Versand der Mahnung über ihre Arbeitsgeberin verstoße zudem gegen die ärztliche Schweigepflicht.

Das Landgericht hatte die Zahlungsklage abgewiesen und widerklagend der Beklagten Schmerzensgeld i.H.v. 1.200,00 € zugesprochen. Mit ihrer Berufung begehrt die Beklagte weiterhin Zahlung von insgesamt 15.000,00 € Schmerzensgeld. Damit hatte sie auch vor dem OLG keinen Erfolg. Der zugesprochene Betrag von 1.200,00 € sei ausreichend. Für Nichtvermögensschäden könne nur in den im Gesetz bestimmten Fällen Schadensersatz verlangt werden.

Hier komme es für die Bemessung eines Schmerzensgeldes allein auf die Verletzung der ärztlichen Schweigepflicht an. Dabei sei nur zu bewerten, dass eine Mitarbeiterin der Arbeitgeberin der Beklagten die dritte Mahnung über eine Botox-Injektion per Fax erhalten habe. „Die allein abstrakte Gefährlichkeit, das zu schützende Daten einem weiteren Personenkreis zugänglich waren, ist mit dem zuerkannten Betrag angemessen berücksichtigt“, stellt das OLG fest.

Weitere Aspekte seien dagegen nicht in die Bemessung des Schmerzensgeldes einzustellen. Die von der Beklagten behauptete Verletzung des Selbstbestimmungsrechts aufgrund unterlassener Aufklärung rechtfertige kein höheres Schmerzensgeld. „Die Verletzung des Selbstbestimmungsrechts hat per se kein solches Gewicht, dass die Zuerkennung eines Schmerzensgeldes geboten wäre“, begründet das OLG. (Spät)-Risiken der Behandlung seien hier nicht feststellbar. „Soweit die rechtswidrigen Injektionen aber das körperliche Wohlbefinden der Beklagten kurzfristig beeinträchtigt haben, ist bei diesen physischen Bagatellgesundheitsschäden die Zuerkennung eines Schmerzensgeldes nicht gerechtfertigt“, stellt das OLG abschließend fest.

Oberlandesgericht Frankfurt am Main, Beschluss vom 5.12.2019 i.V.m. dem Hinweisbeschluss vom 31.10.2019, Az. 8 U 164/19 (vorausgehend Landgericht Wiesbaden, Urteil vom 11.7.2019, Az. 2 O 247/18)

EuGH
Urteil vom 11.12.2019
C‑708/18
TK gegen Asociaţia de Proprietari bloc M5A-ScaraA

Der EuGH hat entschieden, dass die Videoüberwachung von Gemeinschaftsbereichen eines Wohngebäudes zum Schutz und zur Sicherheit von Personen und Eigentum zulässig sein kann.

Tenor der Entscheidung:

Art. 6 Abs. 1 Buchst. c und Art. 7 Buchst. f der Richtlinie 95/46/EG des Europäischen Parlaments und des Rates vom 24. Oktober 1995 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten und zum freien Datenverkehr sind im Licht der Art. 7 und 8 der Charta der Grundrechte der Europäischen Union dahin auszulegen, dass sie nationalen Vorschriften nicht entgegenstehen, wonach es zulässig ist, ohne Einwilligung der betroffenen Personen ein Videoüberwachungssystem wie das im Ausgangsverfahren in Rede stehende, in den Gemeinschaftsbereichen eines Wohngebäudes installierte einzurichten, um berechtigte Interessen wahrzunehmen, die darin bestehen, den Schutz und die Sicherheit von Personen und Eigentum zu gewährleisten, wenn die mittels dieses Videoüberwachungssystems erfolgende Verarbeitung personenbezogener Daten den Voraussetzungen des Art. 7 Buchst. f entspricht, was zu prüfen Sache des vorlegenden Gerichts ist.

Den Volltext der Entscheidung finden Sie hier:

VG Ansbach
Urteil vom 08.08.2019
AN 14 K 19.00272

Auch das VG Ansbach hat entschieden, dass kein individueller Anspruch auf Einschreiten der Datenschutzbehörde und Einleitung bestimmter Maßnahmen besteht. Die DSGVO enthält keine entsprechende Anspruchsgrundlage.

Aus den Entscheidungsgründen:

"1.2. Die Klage ist als Leistungsklage statthaft. Der Kläger hat einen sehr umfassenden Klageantrag gestellt, und zwar im Schriftsatz vom 9. Februar 2019, ergänzt um sein Begehren im Schriftsatz vom 18. Februar 2019. Letztlich geht es ihm dabei um die Reichweite der inhaltlichen Befassung der Aufsichtsbehörde mit seiner Beschwerde sowie um aufsichtliches Einschreiten des staltung er ins Ermessen des Beklagten unter Beachtung der Rechtsauffassung des Gerichtes stellt.

Der Erwägungsgrund 143 zur DS-GVO besagt, dass ein Verfahren gegen eine Aufsichtsbehörde „im Einklang mit dem Verfahrensrecht“ des Mitgliedstaats durchzuführen ist. Die unionsrechtlichen Grundlagen haben zu den Sondervorgaben des § 20 BDSG (Bundesdatenschutzgesetz) geführt, der aber zunächst auf die allgemeinen Vorschriften der VwGO verweist, § 20 Abs. 2 BDSG.

Beim streitgegenständlichen Schreiben des Beklagten vom 21. Januar 2019 handelt es sich um eine vom Verwaltungsgericht gemäß Art. 78 DS-GVO überprüfbare Maßnahme mit Außenwirkung, jedoch nicht um einen Verwaltungsakt im Sinne von Art. 35 BayVwVfG mit Regelungscharakter, so dass nicht die Anfechtungsklage, sondern die allgemeine Leistungsklage statthaft ist. Der Antrag des Klägers in der Klageschrift ist dahingehend auszulegen, § 88 VwGO.

Ein Verwaltungsakt im Sinne von Art. 35 BayVwVfG setzt eine einseitige Maßnahme eines Hoheitsträgers auf dem Gebiet des öffentlichen Rechts für einen konkreten Einzelfall voraus, die Regelungswirkung mit Außenwirkung entfaltet. Vorliegend fehlt es am Regelungscharakter der Abschlussmitteilung vom 21. Januar 2019.

Das Schreiben des Beklagten vom 21. Januar 2019 ist auch kein sog. feststellender Verwaltungsakt, also ein Bescheid mit der verbindlichen Feststellung eines Rechtsverhältnisses oder sich daraus ergebender Rechte und Pflichten, die mit Rechtsbeständigkeit festgestellt werden sollen (vgl. BayVGH, B.v. 21.3.2002 - 24 ZB 01.592 -, juris). Hier sollte dem Kläger eine Rechtsauskunft erteilt werden, es sollten aber nicht mit verbindlicher Feststellung i.S. des Art. 35 BayVwVfG strittige Rechte oder Pflichten geregelt werden.

Zwar kommt es dafür, ob ein behördliches Schreiben eine verbindliche Regelung durch Verwaltungsakt enthält, auf eine Auslegung nach den im öffentlichen Recht entsprechend anwendbaren Normen der §§ 133, 157 BGB an. Maßgeblich ist also nicht der innere Wille der Behörde, sondern der erklärte Wille, wie ihn der Empfänger bei objektiver Würdigung verstehen konnte, wobei Unklarheiten zu Lasten der Verwaltung gehen. Hier hat der Beklagte lediglich Auskunft darüber gegeben, dass er das Verhalten der Kreissparkasse für Rechtens erachtet und keinen Anlass für ein datenschutzaufsichtliches Einschreiten erkennt, aber nicht zu erkennen gegeben, dass in einer rechtlich ungewissen Situation die Sach- und Rechtslage in diesem Einzelfall durch eine verbindliche Feststellung mit Bindungswirkung als bestehend oder nicht bestehend festgestellt, konkretisiert bzw. individualisiert wird (s. OVG NRW, B.v. 29.9.2016 - 14 B 1056/16 -, juris).

Mangels eines Verwaltungsaktes ist die Rechtsbehelfsbelehrung:des Beklagten im Schreiben vom 21. Januar 2019 unrichtig. Es ist zwar korrekt und durch Art. 77 Abs. 2 DS-GVO sogar geboten, den Kläger auf seine Möglichkeit der Einlegung eines Rechtsmittels hinzuweisen. Die in der Rechtsbehelfsbelehrung:enthaltene Monatsfrist würde aber einen Verwaltungsakt voraussetzen, der nicht vorliegt. Der Antrag des Klägers indes ist nicht auf einen bestimmten Verwaltungsakt des Beklagten, sondern auf ein allgemein aufsichtliches Einschreiten gerichtet (auch im Hilfsantrag), kennzeichnend für eine Leistungsklage. Hätte der Kläger eine ganz konkrete Maßnahme im Sinne eines Verwaltungsaktes vom Beklagten verlangt, hätte er also seine Beschwerde gemäß Art. 77 DS-GVO in diesem Sinne an die Aufsichtsbehörde gerichtet, und hätte der Beklagte diese so gestaltete Beschwerde abgelehnt, wäre die Verpflichtungsklage in Form der Versagungsgegenklage in Frage gekommen. Dann wäre die Ablehnung der Beschwerde als ein Verwaltungsakt zu qualifizieren, der den Erlass eines Verwaltungsaktes ablehnen würde.

Für den Fall, dass es sich bei einer Abschlussmitteilung einer Aufsichtsbehörde nach der DSGVO - wie hier - um keinen Verwaltungsakt handelt, ist die Leistungsklage nach Art. 78 DSGVO statthaft. Das Klagerecht aus Art. 78 Abs. 1 DS-GVO erfasst damit umfassend auch die Ablehnung oder Zurückweisung einer Beschwerde nach Art. 77 DS-GVO (vgl. 143. Erwägungsgrund zur DS-GVO zur Ablehnung oder Abweisung von Beschwerden). Wird eine Maßnahme von der Aufsichtsbehörde erbeten, die ein schlichtes Verwaltungshandeln zum Gegenstand hat, ist die allgemeine Leistungsklage die statthafte Klageart, so dass umfassender Rechtsschutz besteht. Zulässige Streitgegenstände können sämtliche rechtsverbindliche Maßnahmen einer Aufsichtsbehörde sein. Unter rechtsverbindlich i.d.S. sind nicht nur Verwaltungsakte zu verstehen, sondern sämtliche Handlungen, die Außenwirkung besitzen, also Auswirkungen auf die Rechte des Betroffenen oder des Verantwortlichen i.S.d. DS-GVO haben können. Solche Auswirkungen sind auf allen Ebenen eines Verwaltungsverfahrens denkbar.

Die Rechtsansicht des Verwaltungsgerichts Berlin vom 28. Januar 2019 (AZ. VG 1 L 1.19), das bei Beschwerden nach der DS-GVO von Petitionen ausgeht, geht dabei zu weit. Ein eine Petition beantwortendes Schreiben wäre jedenfalls kein Verwaltungsakt im Sinne von § 42 VwGO (BVerwG, B.v. 1.9.1976 - VII B 101.75 -, juris; unstreitig, keine unmittelbare rechtliche Außenwirkung, sondern nur die tatsächliche Erfüllung der Verpflichtung aus Art. 17 GG; kein Gebot der Möglichkeit einer Anfechtungsklage aus Art. 19 Abs. 4 Satz 1 GG). Nach der DS-GVO indes hat der Bürger nicht nur einen Anspruch auf Verbescheidung, sondern ggf. einen Anspruch auf Einschreiten der Aufsichtsbehörde (bei Ermessenreduzierung auf Null, sonst Anspruch auf fehlerfreie Ermessensausübung), die aufgrund Art. 58 DS-GVO umfassende Eingriffskompetenzen hat (i.d.R. im Gegensatz zum Petitionsadressaten). Das Schreiben des Beklagten vom 21. Januar 2019 ist nicht lediglich die Beantwortung einer Petition.

1.3. Es besteht für den Kläger eine Klagebefugnis aus Art. 78 Abs. 1 DS-GVO gegen die Zurückweisung der Beschwerde des Klägers nach Art. 77 DS-GVO. Der Kläger ist ebenso klagebefugt im Sinne des § 42 Abs. 2 VwGO, denn § 42 Abs. 2 VwGO ist für die Klagebefugnis nach herrschender Ansicht analog auf die Leistungsklage anzuwenden, da die Rechtsweggarantie des Art. 19 Abs. 4 GG dann greift, wenn ein Bürger durch die öffentliche Gewalt in seinen subjektiven Rechten verletzt ist. Es ist aber fragwürdig, ob neben Art. 78 DS-GVO (Unionsrecht mit Anwendungsvorrang) § 42 VwGO insoweit überhaupt noch anwendbar ist, da die Betroffenheit in subjektivöffentlichen Rechtspositionen eine namentlich deutsche Zulässigkeitsvoraussetzung für eine Klage darstellt. Da im Hinblick auf Maßnahmen des Art. 58 DS-GVO der Kläger aber auch im Hinblick auf § 42 VwGO möglicherweise in seinen Rechten tangiert sein könnte, wären auch die Voraussetzungen des § 42 VwGO erfüllt, so dass der Kläger jedenfalls klagebefugt ist.

1.4. Aufgrund des Vorliegens einer Leistungsklage war im gegebenen Verfahren keine Klagefrist zu wahren. Die auf eine Monatsfrist hinweisende Rechtsbehelfsbelehrung:in der Abschlussmitteilung des Beklagten vom 21. Januar 2019 ist insofern unrichtig.

1.5. Gemäß § 20 Abs. 5 Satz 1 BDSG sind die Beteiligten eines Verfahrens nach § 20 Abs. 1 Satz 1 BDSG die natürliche Person als Kläger sowie die Aufsichtsbehörde als Beklagter. Der Kläger ist Beteiligter gemäß § 20 Abs. 5 Satz 1 Nr. 1 BDSG. Beklagter ist das Bayerische Landesamt … … Zwar wäre gemäß § 78 Abs. 1 Nr. 1 VwGO die Klage gegen den Rechtsträger des Landesamtes zu richten, hier also gegen den Freistaat Bayern. Vorrangig vor § 78 VwGO ist aber § 20 Abs. 5 Satz 1 Nr. 2 BDSG als lex specialis, wonach die Aufsichtsbehörde direkt als Beklagte beteiligt ist. Mithin liegt eine unionsrechtlich durch die Selbstständigkeit der Aufsichtsbehörde bedingte abweichende bundesrechtliche Spezialregelung vor (so auch Mundil, in BeckOK, Datenschutzrecht, Wolff/Brink, 28. Edition, 1.5.2018, Rn. 5 zu § 20 BDSG, Lapp, in Gola/Heckmann, BDSG, Kommentar, 13. Auflage 2019, Rn 12 zu § 20 BDSG, Bergt in Kühling/Buchner, DS-GVO, BDSG, 2. Auflage 2018, Rn 10 zu § 20 BDSG, a. A. wohl nur Frenzel in Paal/Pauly, DS-GVO/BDSG, 2. Auflage 2018, Rn. 10 zu § 20 BDSG, ohne Begründung hierfür). Die hier zum Ausdruck kommende unionsrechtlich vorgegebene Selbstständigkeit der Aufsichtsbehörde würde im Übrigen, falls es sich beim Schreiben vom 21. Januar 2019 um einen Verwaltungsakt gehandelt hätte, dazu führen, dass gem. § 20 Abs. 6 BDSG kein Vorverfahren stattfindet.

1.6. Im vorliegenden Fall hat das Gericht von einer Beiladung der Kreissparkasse … … … abgesehen. § 20 Abs. 5 BDSG bestimmt, dass natürliche oder juristische Personen Kläger oder Antragsteller (§ 20 Abs. 5 Satz 1 Nummer 1 BDSG) sind und die Aufsichtsbehörden Beklagte oder Antraggegner (§ 20 Abs. 5 Satz 1 Nummer 2 BDSG). In § 20 Abs. 5 Satz 2 BDSG ist aber festgelegt, dass § 63 Nummer 3 und 4 VwGO nicht tangiert wird, was zur Folge hat, dass Beiladungen möglich sind. Zwar ist der Zweck einer Beiladung der der Prozessökonomie und Rechtseinheitlichkeit, wobei hier durch die Schaffung verwaltungsrechtlicher Rechtsbehelfe in den Art. 78 DS-GVO und gleichzeitig der Möglichkeit, gegen den Verantwortlichen selbst gerichtlich vorzugehen, die Existenz sich widersprechender gerichtlicher Entscheidungen für denselben Sachverhalt vom Normgeber in Kauf genommen wird. Der Prozess des Betroffenen gegen die Aufsichtsbehörde, der Prozess ggf. des Verantwortlichen (hier wäre das die Kreissparkasse … … …) gegen die Aufsichtsbehörde sowie der Prozess des Betroffenen gegen den Verantwortlichen haben unterschiedliche Streitgegenstände, da zum Beispiel der Klageantrag gegen die Aufsichtsbehörde aufgrund des weiten Entschließungs- und Auswahlermessens der Aufsichtsbehörde normalerweise nur auf ein aufsichtliches Einschreiten - wie hier - gerichtet ist, wohingegen regelmäßig ein Anfechtungsantrag im Prozess des Verantwortlichen gegen eine Anordnung der Aufsichtsbehörde eine ganz konkrete Maßnahme betrifft.

Es liegt hier kein Fall der notwendigen Beiladung im Sinne des § 65 Abs. 2 VwGO vor, da der für eine notwendige Beiladung erforderliche unmittelbare Eingriff in die Rechtsposition der Kreissparkasse … … … nicht schon durch eine gerichtliche Verpflichtung des Beklagten zum aufsichtlichen Einschreiten gegeben wäre, sondern erst durch dieses Einschreiten selbst, also die Umsetzung durch die Aufsichtsbehörde, die Kreissparkasse … … … unmittelbar betroffen wäre. Die Kreissparkasse … … … ist deshalb an dem streitigen Rechtsverhältnis zwischen dem Kläger und dem Beklagten nicht derart beteiligt, dass die Entscheidung darüber auch ihr gegenüber nur einheitlich ergehen kann, wie § 65 Abs. 2 VwGO es fordert. Vergleichbar ist dies etwa mit der Verpflichtungsklage eines Bauherrn gegen die Bauaufsichtsbehörde auf Einschreiten gegen den Nachbarn, wo gefestigter Rechtsprechung zufolge der Nachbar nicht notwendig beizuladen ist, auch falls er bereits gegen das Bauvorhaben im Verwaltungsverfahren Einwendungen erhoben haben sollte (vgl. statt vieler BVerwG, B.v. 20.5.1992 - 1 B 22.92 -, NVwZ-RR 1993, 18).

Die tatbestandlichen Voraussetzungen einer einfachen Beiladung im Sinne des § 65 Abs. 1 VwGO sind allerdings gegeben, da hier rechtliche Interessen der Kreissparkasse … … … tangiert werden können, und sich die Entscheidung in dieser Verwaltungsstreitsache auf die rechtlichen Interessen der Kreissparkasse auswirken kann. Das Gericht sah von einer Beiladung, die im Ermessen des Gerichts steht, ab, da zum einen beide Beteiligte (Kläger und Beklagter) in der mündlichen Verhandlung eine Beiladung der Kreissparkasse … … … abgelehnt haben, da das Gericht die mögliche Verletzung von Rechten der Kreissparkasse ohnehin von Amts wegen zu prüfen hatte und prüfte, und vor allen Dingen, weil das Gericht in keinem Stadium des Verfahrens davon auszugehen hatte, dass der Beklagte zu einer Maßnahme i.S.d. Art. 58 DS-GVO gegen die Kreissparkasse … … … zu verurteilen ist.

1.7. Die Zuständigkeit des Verwaltungsgerichts Ansbach ergibt sich sachlich aus § 45 VwGO und örtlich aus § 20 Abs. 3 BDSG als Sondervorschrift zu § 52 VwGO. Gemäß § 20 Abs. 3 BDSG (vgl. auch Art. 78 Abs. 3 DS-GVO) ist für Verfahren nach § 20 Abs. 1 Satz 1 BDSG - wie hier - das Verwaltungsgericht örtlich zuständig, in dessen Bezirk die Aufsichtsbehörde ihren Sitz hat, mithin das Verwaltungsgericht Ansbach.

2. Die zulässige Klage ist unbegründet, da der Kläger weder einen Anspruch gegen den Beklagten auf weitere Befassung und Überprüfung seiner Beschwerde nach Art. 78 Abs. 2 DS-GVO i.V.m. Art. 57 DS-GVO hat noch einen Anspruch auf aufsichtliches Einschreiten des Beklagten gegenüber der Kreissparkasse … … … gemäß Art. 58 DS-GVO.

2.1. Der Aufgabenbereich des Art. 57 DS-GVO ist eröffnet. Der Beklagte hat gemäß Art. 78 Abs. 2 DS-GVO in Verbindung mit Art. 57 Abs. 1 Buchst. f DS-GVO die Beschwerde des Klägers in angemessenem Umfang geprüft und dem Kläger rechtzeitig Bescheid gegeben. Ein darüber hinaus gehender Anspruch des Klägers ist nicht ersichtlich.

Mit dem Bayerischen Landesamt … hat die zuständige Datenschutzaufsichtsbehörde gehandelt. Der Anwendungsbereich der DS-GVO war eröffnet. Die Kreissparkasse … … … war sog. Verantwortlicher im Rahmen der Verarbeitung und Speicherung personenbezogener Daten des Klägers (Art. 4 Nr. 2 DS-GVO) im Rahmen einer seit dem Jahre 1985 währenden Geschäftsbeziehung. Es handelt sich durchweg auch um personenbezogene Daten des Klägers, Art. 4 Nr. 1 DS-GVO. In diese Datenverarbeitung und -speicherung hatte der Kläger eingewilligt, Art. 6 Abs. 1 Satz 1 DS-GVO (vgl. Art. 7 und Art. 4 Nr. 11 DSGVO). Die Einwilligung war freiwillig.

Art. 57 Absatz 1 Buchst. a und f DS-GVO, wonach der Beklagte die Anwendung dieser Verordnung überwachen und durchsetzen muss sowie sich mit Beschwerden einer betroffenen Person befassen muss, den Gegenstand der Beschwerde in angemessenem Umfang untersuchen und den Beschwerdeführer innerhalb einer angemessenen Frist über den Fortgang und das Ergebnis der Untersuchung unterrichten muss, wurde vom Beklagten nach Überzeugung des Gerichts beachtet. Zwar können sich aus Art. 57 DS-GVO allein, einer reinen Aufgabennorm, keine subjektivöffentlichen Rechte des Betroffenen ergeben. Art. 57 Abs. 1 Buchst f DS-GVO ist ausschließlich an die Aufsichtsbehörde gerichtet und schafft per se keine subjektivöffentlichen Rechte der Betroffenen. Die Untersuchungspflicht des Art. 57 Abs. 1 Buchst. f DS-GVO ist aber im Gesamtzusammenhang der DS-GVO von hohem Gewicht. Art. 57 Abs. 1 Buchst. f DS-GVO enthält dezidierte Vorgaben zum Verfahren und dessen Umfang, die über Art. 78 Abs. 2 DSGVO zu einem Rechtsanspruch des Betroffenen führen können (so wohl auch Kühling/Buchner/Boehm, DS-GVO, 2. Aufl. 2018, Art. 57 Rn. 12: „dem Bestehen eines Rechtsanspruchs ähnlich“, „weil die Vorschrift im Zusammenhang mit Art. 78 Abs. 2“ zu sehen ist), demzufolge jede betroffene Person unbeschadet eines anderweitigen verwaltungsrechtlichen oder außergerichtlichen Rechtbehelfs das Recht auf einen wirksamen gerichtlichen Rechtsbehelf hat, wenn die nach den Art. 55 f. DS-GVO zuständige Aufsichtsbehörde sich nicht mit einer Beschwerde befasst oder die betroffene Person nicht innerhalb von drei Monaten über den Stand oder das Ergebnis der gemäß Art. 77 DS-GVO erhobenen Beschwerde in Kenntnis gesetzt hat. Gemäß Art. 57 Abs. 1 Buchst. f DS-GVO hat der Beklagte den Kläger innerhalb einer angemessenen Frist über den Fortgang und das Ergebnis der Untersuchung mit Schreiben vom 21. Januar 2019 unterrichtet, und zwar unter Beachtung von Art. 78 Abs. 2 DS-GVO, wonach der Beschwerdeführer spätestens innerhalb von drei Monaten über den Sachstand informiert werden muss.

Die Unterscheidung der DS-GVO von Aufgabennorm, Art. 57 DS-GVO, und Befugnisnorm, Art. 58 DS-GVO, ähnelt der Aufteilung im Sicherheits- und Polizeirecht. Im Bereich der DS-GVO besteht aber eine Besonderheit: Art. 57 DS-GVO, der ohnehin nicht abschließend Aufgaben normiert (vgl. Art. 57 Abs. 1 Buchst. v) ist in seiner Umfassendheit zum Beispiel nicht vergleichbar mit Art. 2 Bayerisches Polizeiaufgabengesetz (BayPAG), weil er bei der Aufgabenzuweisung dezidiert auf eine „Angemessenheit“ abstellt. Die Behandlung von individuellen Beschwerden wie hier ist unionsrechtlich restriktiv geregelt (vgl. auch Erwägungsgrund 141 Satz 2 zur DSGVO). Zwar ist es eine der vorrangigsten Aufgaben des Beklagten, Beschwerden von Betroffenen nach Art. 77 DS-GVO zu bearbeiten, zumal für die Aufsichtsbehörden (ähnlich wie für die Polizei) Hinweise und Beschwerden von Bürgern zur Erfüllung ihrer Aufgaben unverzichtbar sind. Allerdings nimmt Art. 57 Abs. 1 Buchst. f DS-GVO unzweifelhaft mit der Formulierung „in angemessenem Umfang“ auf die Ressourcen und Möglichkeiten der Aufsichtsbehörden Rücksicht. Die Angemessenheit der Untersuchung richtet sich auch nach der Schwere des Eingriffs in Rechte des Betroffenen.

2.2. Der Kläger hat keinen Anspruch auf behördliches Einschreiten nach Art. 58 DS-GVO. Ein solches scheidet bereits deshalb aus, weil sich nach Befassung und Prüfung im Rahmen des Art. 57 DS-GVO keine Anhaltspunkte ergeben haben, die ein Einschreiten nach Art. 58 DS-GVO nahelegten. Ein Datenschutzrechtsverstoß des Verantwortlichen hat sich nicht aufgedrängt. Die Abschlussmitteilung des Beklagten vom 21. Januar 2019 ist damit inhaltlich nicht zu beanstanden.

Art. 58 DS-GVO regelt das Verhältnis Aufsichtsbehörde zu Datenverantwortlichem. Ein Anspruch auf aufsichtliches Einschreiten des Betroffenen ist ähnlich wie im Sicherheits- und Polizeirecht (vgl. BVerwGE 11, 95, 97) grundsätzlich anzuerkennen, jedoch nur im Falle einer (möglichen) Verletzung von eigenen Rechten sowie (kumulativ) einer Reduktion des Ermessens auf Null, so dass mithin allenfalls regelmäßig nur ein subjektivöffentliches Recht auf fehlerfreie Ermessensausübung besteht.

Neben dem Auswahlermessen besteht für den Beklagten auch hinsichtlich des Entschlusses zum Tätigwerden ein Entschließungsermessen (vgl. das Wort „gestattet“ in Art. 58 Abs. 1 und 2 DS-GVO). Zwar sieht Art. 58 Abs. 2 DS-GVO ein Bündel verschiedener, zum Teil weitreichender Maßnahmen vor, das dem Beklagten zu Gebote steht. Die Aufsichtsbehörde entscheidet dann, ob sie beispielsweise von dem Verantwortlichen gemäß Art. 58 Abs. 1 Buchst. a eine Stellungnahme einfordert, eine Kontrolle vor Ort gemäß Art. 58 Abs. 1 Buchst. f vornimmt, oder wie hier über den Sachverhalt bereits aufgrund der vom Kläger vorgelegten Informationen und Abschriften entscheidet. Der Kläger hat grundsätzlich einen Anspruch auf Wahrung des Transparenzgebotes des Art. 12 DS-GVO, auf Auskunft gemäß Art. 15 DS-GVO, darauf, dass gemäß Art. 5 Abs. 1 Buchst. a DS-GVO seine personenbezogenen Daten auf rechtmäßige Weise, nach Treu und Glauben und in einer für ihn nachvollziehbaren Weise verarbeitet werden.

Der Kläger hätte im Übrigen selbst bei Vorliegen eines festgestellten oder wahrscheinlichen Verstoßes gegen die DS-GVO indes nur einen Anspruch auf fehlerfreie Ermessensausübung hinsichtlich einer Maßnahme des Beklagten nach Art. 58 DS-GVO, aber keinen Anspruch auf bestimmte aufsichtsrechtliche Maßnahmen gegen die Kreissparkasse (so auch Gola/Nguyen, DS-GVO, 2. Aufl. 2018, Art. 57 Rn. 10 m.w.N.; außer im Fall der Ermessensreduzierung auf Null), wobei dann im Rahmen des Art. 58 DS-GVO die Aufsichtsbehörde wie erwähnt ein weites Entschließungs- und Auswahlermessen hat und Art. 58 Abs. 2 DS-GVO mit den unterschiedlich gestuften Maßnahmen dem Grundsatz der Verhältnismäßigkeit gerecht wird (vgl. Art. 58 Abs. 2 Buchst. a, b, d als mildere Maßnahmen im Vergleich zu Art. 58 Abs. 2 Buchst. f DS-GVO, so Ingold JuS 2018, 1214, 1217).

Eine Ermessensreduktion auf Null kommt nur in Betracht, wenn ein Datenschutzrechtsverstoß naheliegt bzw. sich aufdrängen muss, d.h. es müssen Tatsachen vorliegen, die einen Verstoß gegen datenschutzrechtliche Vorschriften als wahrscheinlich erscheinen lassen und wenn dieser Verstoß von einer Schwere ist, die ein Einschreiten der Aufsichtsbehörde als erforderlich erscheinen lässt. Vor dem Hintergrund dieses Maßstabes ist hier von keinem Anspruch auf Einschreiten nach Art. 58 DS-GVO auszugehen: Die Einwände des Klägers gegen die Vorgehensweise des Beklagten in den Schriftsätzen sowie in der mündlichen Verhandlung greifen in der Sache nicht durch. Die Kreissparkasse … … … hat ausführlich auf die Anfragen des Klägers reagiert, alle erdenklichen Auskünfte erteilt und ebenso ihre Bereitschaft zu weiteren Auskünften zugesagt. Daher ist es nicht so, dass der Kläger, wie behauptet, seine Daten nicht vollständig erhält. Auf seine Bitte um eine Vervollständigung der Auskunft vom 30. Juli 2017 hat die Kreissparkasse … … … ihm mit Schreiben vom 2. Oktober 2018 wunschgemäß weitere Angaben gemacht, wobei die Auskunft vom 30. Juli 2018 bereits den gesetzlichen Anforderungen genügte. Es ist nicht erkennbar, worin hier ein Verstoß gegen das Transparenzgebot des Art. 12 DS-GVO vorliegen sollte. Die Vorgehensweise und Praxis der Kreissparkasse … … … entsprechen dem Erwägungsgrund 39 zur DS-GVO, da die Verarbeitung personenbezogener Daten des Klägers rechtmäßig und nach Treu und Glauben erfolgte sowie die Auskunft an den Kläger gemäß Art. 15 DS-GVO korrekt war. Gemäß Art. 5 Abs. 1 Buchst. a DS-GVO sind seine personenbezogenen Daten auf rechtmäßige Weise, nach Treu und Glauben und in einer für ihn nachvollziehbaren Weise verarbeitet worden. Die falsche Berufsbezeichnung des Klägers wurde seitens der Kreissparkasse in Anwendung von Art. 5 Abs. 1 Buchst. d DS-GVO sofort berichtigt. Die Abspeicherung des abgelaufenen Passes des Klägers von 1988, der bei Begründung des Vertragsverhältnisses 1985 die gültige, vom Kläger vorgelegte, Legitimation war, ist insbesondere kein Verstoß gegen Art. 15 Abs. 1 Buchst. d DS-GVO, sondern gerechtfertigt durch Art. 17 Abs. 1 Buchst. a DS-GVO, da die Kreissparkasse … … … zum Zugang des Klägers auf seine Daten dessen Legitimationsgrundlage verfügbar haben muss(te). Nichts anderes ergibt sich aus dem Erwägungsgrund 39 zur DS-GVO. Es ist auch nicht notwendig, dass die Kreissparkasse … … … durch ihre eigenen Bediensteten Kenntnisse von der Verarbeitung von elektronischen Kundenunterschriften hat. Es ist üblich und datenschutzrechtlich sowohl korrekt als auch unbedenklich, wenn sich Unternehmen weiterer Dienstleistungen Dritter bedienen, solange sie datenschutzrechtlich - wie hier - die Datensicherheit gewährleisten können; zumindest bestehen für eine gegenteilige Annahme keinerlei Anhaltspunkte."

Den Volltext der Entscheidung finden Sie hier:

LG München:
Urteile vom 06.12.2019
25 O 13978/18 - 25 O 13979/18 und 25 O 13980/18

Auch das LG München hat entschieden, dass Ärzte gegen Jameda einen Anspruch auf Löschung als Basiskunde aus §§ 823 Abs. 2, 1004 BGB analog in Verbindung mit Art. 6 Abs. 1 lit f. DSGVO haben.

Die Pressemitteilung des LG München:

Jameda: Werbung von Basiskunden für Premiumkunden unzulässig

Drei Ärzte haben erfolgreich das Online-Bewertungsportal Jameda auf Löschung des ohne ihr Einverständnis angelegten Profils verklagt. Die 25. Zivilkammer des Landgerichts München I hat entschieden, dass die Ausgestaltung des Ärztebewertungsportals teilweise unzulässig ist. Mit ihr verlasse Jameda die zulässige Rolle des „neutralen Informationsmittlers“ und gewähre den an die Plattform zahlenden Ärzten auf unzulässige Weise einen „verdeckten Vorteil“. Die Kammer beanstandete, dass Jameda auf den Profilen der Basiskunden sogenannte „Expertenratgeber-Artikel“ zahlender Konkurrenten unter Verlinkung des jeweiligen Profils veröffentlicht, während zumindest auf den Profilen von Platin-Kunden keine Artikel anderer Ärzte angezeigt werden. Diese Fachartikel seien inhaltlich geeignet, das Interesse eines potentiellen Patienten von den Basiskunden weg, hin zu den Verfassern der Fachartikel, die zahlenden Kunden von Jameda sind, zu lenken. Denn der Umstand, dass sie als „Experten“ einen Artikel veröffentlicht haben, erwecke den Anschein besonderer Kompetenz im Vergleich zu den Basiskunden. Die Kammer betonte im Ausgangspunkt, dass das von Jameda betriebene Ärztebewertungsportal eine von der Rechtsordnung grundsätzlich gebilligte und gesellschaftlich erwünschte Funktion erfüllt, solange Jameda seine Stellung als „neutraler Informationsmittler“ wahrt und seinen zahlenden Kunden keine „verdeckten Vor-teile“ gegenüber den nicht zahlenden Basiskunden verschafft. Eine Gewährung „verdeckter Vorteile“ sei jedoch dann gegeben, wenn die ohne ihre Einwilligung aufgenommenen Basiskunden auf dem Portal als „Werbeplattform“ für Premiumkunden benutzt würden und letzteren durch die Darstellung ein Vorteil gewährt werde, der für die Nutzer nicht erkennbar sei. Dann diene das Portal nicht mehr al-lein dem Informationsaustausch zwischen (potentiellen) Patienten. In diesem Fall müssten Ärzte nicht hinnehmen, ohne ihre Einwilligung als Basiskunden aufgeführt zu werden.

Rechtlich hat die Kammer den Anspruch der Kläger auf Löschung des ohne Einwilligung eingerichteten Profils bzw. auf Unterlassung der konkreten Verletzungsformen jeweils auf §§ 823 Abs. 2, 1004 BGB analog in Verbindung mit Art. 6 Abs. 1 f) DSGVO gestützt. Sie hat in diesem Zusammenhang entschieden, dass die Bewertungsplattform sich nicht auf das sog. Medienprivileg der Datenschutzgrundverordnung (Art. 85 Abs. 2 DSGVO) stützen kann, da Jameda keine Datenverarbeitung zu „journalistischen Zwecken“ vornehme. Andere Funktionen des Portals, wie etwa die Möglichkeit von Premiumkunden, auf dem Profil in größerem Umfang die angebotenen ärztlichen Leistungen anzugeben als bei Basiskunden, hat die Kammer dagegen nicht beanstandet. Insoweit hat die Kammer die Klagen der drei Kläger abgewiesen. Die Urteile (25 O 13978/18, 25 O 13979/18 und 25 O 13980/18) sind nicht rechtskräftig.

BVerwG
Urteil vom 11.09.2019
6 C 15.18

Wir hatten bereits in dem Beitrag BVerwG: Vorinstanz muss Datenverarbeitungsvorgänge erneut prüfen - aber Datenschutzbehörden können grundsätzlich Facebook-Nutzern das Betreiben einer Facebook-Fanpage untersagen - Keine Verpflichtung primär gegen Facebook vorzugehen über die Entscheidung berichtet.

Aus den Entscheidungsgründen:

"Die zulässige Revision des Beklagten ist mit der Maßgabe begründet, dass das Berufungsurteil aufzuheben und die Sache an das Oberverwaltungsgericht zurückzuverweisen ist. Das Berufungsurteil beruht auf einer Verletzung revisiblen Rechts im Sinne des § 137 Abs. 1 Nr. 1 VwGO, soweit es § 38 Abs. 5 Satz 1 und 2 des Bundesdatenschutzgesetzes (BDSG) vom 20. Dezember 1990 (BGBl. I S. 2954) i.d.F. der Bekanntmachung vom 14. Januar 2003 (BGBl. I S. 66), für den hier maßgeblichen Zeitraum zuletzt geändert durch Art. 1 des Gesetzes zur Änderung datenschutzrechtlicher Vorschriften vom 14. August 2009 (BGBl. I S. 2814) - BDSG a.F. - entnimmt, dass für das dort vorgegebene gestufte Vorgehen unterschiedliche Adressaten in die Betrachtung einzubeziehen sind (1). Mit Bundesrecht unvereinbar ist nach den bindenden Vorgaben des Gerichtshofs der Europäischen Union (EuGH) auch der Maßstab, mit dem das Berufungsurteil die datenschutzrechtliche Verantwortlichkeit der Klägerin nach § 3 Abs. 7 BDSG a.F., Art. 2 Buchst. d der Richtlinie 95/46/EG des Europäischen Parlaments und des Rates vom 24. Oktober 1995 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten und zum freien Datenverkehr (ABI. L 281 S. 31, ber. 2017 L 40 S. 78) - Datenschutzrichtlinie - beurteilt hat (2). Das Berufungsurteil erweist sich auch nicht aus anderen Gründen im Ergebnis als richtig (§ 144 Abs. 4 VwGO). Der Beklagte hat auf die streitigen Datenverarbeitungen zu Recht deutsches Datenschutzrecht angewandt (3) und sein Ermessen bei der Auswahl der Klägerin als Adressatin des Bescheids und bei der Anordnung einer Deaktivierung der Fanpage rechtmäßig ausgeübt (4). Da die Feststellungen des Berufungsgerichts nicht ausreichen, um die Rechtmäßigkeit der Datenverarbeitungsvorgänge zu beurteilen, war das Berufungsurteil aufzuheben und die Sache zur anderweitigen Verhandlung und Entscheidung an das Berufungsgericht zurückzuverweisen (§ 144 Abs. 3 Satz 1 Nr. 2 VwGO) (5).

1. Das Berufungsgericht hat seiner Beurteilung zutreffend die Sach- und Rechtslage im Zeitpunkt der letzten Verwaltungsentscheidung, hier des Widerspruchsbescheids vom 16. Dezember 2011, zugrunde gelegt. Die Rechtmäßigkeit von Anordnungen zur Beseitigung datenschutzrechtlicher Verstöße nach § 38 Abs. 5 BDSG a.F. ist nach der Rechtslage zu beurteilen, die zum Zeitpunkt der letzten behördlichen Entscheidung gilt. Nachträgliche Rechtsänderungen sind nicht zu berücksichtigen (BVerwG, Vorlagebeschluss vom 25. Februar 2016 -1 C 28.14 - Buchholz 403.1 Allg. DatenschutzR Nr. 18 Rn. 17; vgl. dazu auch Urteil vom 27. März 2019 - 6 C 2.18 - NJW 2019, 2556 Rn. 7).

Auch ist die an die Klägerin gerichtete Anordnung, ihre Fanpage zu deaktivieren, nach dem Eingriffsgewicht nicht als Mängelbeseitigung im Sinne des § 38 Abs. 5 Satz 1 BDSG a.F., sondern als Untersagung des Einsatzes eines Verfahrens nach § 38 Abs. 5 Satz 2 BDSG a.F. zu werten. Deshalb ist sie zusätzlich zu den Voraussetzungen des Satzes 1 den gesteigerten Anforderungen des Satzes 2 der Vorschrift zu unterwerfen (BVerwG, Vorlagebeschluss vom 25. Februar 2016 - 1 C 28.14 - Buchholz 403.1 Allg. DatenschutzR Nr. 18 Rn. 22). Dem Umstand, dass der angefochtene Bescheid in der Titelzeile auf Satz 1 dieser Bestimmung Bezug nimmt, hat das Berufungsgericht zu Recht keine Bedeutung beigemessen. Der Bescheid ist im verfügenden Teil ausdrücklich auf die Norm des § 38 Abs. 5 BDSG a.F. gestützt und rekurriert auf die Satz 1 und 2 umfassende Befugnisnorm. Der Bescheid wählt daher entgegen dem Vorbringen der Beigeladenen weder eine unzutreffende Rechtsgrundlage noch bedarf es eines Austausches der Rechtsgrundlage oder einer Umdeutung.

§ 38 Abs. 5 Satz 1 und 2 BDSG a.F. verlangt nach seinem Wortlaut ein gestuftes Vorgehen der Aufsichtsbehörden. Er verpflichtet sie, zunächst die Beseitigung datenschutzrechtlicher Verstöße oder Mängel anzuordnen und dies erforderlichenfalls durch die Verhängung eines Zwangsgelds durchzusetzen. Erst wenn diese Instrumente nicht in angemessener Zeit zur Herstellung datenschutzkonformer Zustände führen, kann die Aufsichtsbehörde die Untersagung einer Datenverarbeitung oder eines Datenverarbeitungsverfahrens aussprechen. Damit erweist sich die Normstruktur des § 38 Abs. 5 Satz 1 und 2 BDSG a.F. als eine ausdrückliche Ausprägung des Grundsatzes der Verhältnismäßigkeit. Eben dieser Grundsatz gebietet aber dann eine Ausnahme, wenn die fehlende Eignung einer Anordnung nach Satz 1 zur Herstellung datenschutzkonformer Zustände bereits feststeht (BVerwG, Vorlagebeschluss vom 25. Februar 2016 -1 C 28.14 - Buchholz 403.1 Allg. DatenschutzR Nr. 18 Rn. 22). Das Datenschutzrecht zwingt die Aufsichtsbehörden nicht zu einem objektiv sinn- und zwecklosen Vorgehen.

Allerdings erweist sich die Rechtsauffassung des Berufungsgerichts insoweit als unzutreffend, als es auch die Frage der Adressatenauswahl in die Stufenfolge des § 38 Abs. 5 Satz 1 und 2 BDSG a.F. einbezieht. Die Ermächtigungsgrundlage des § 38 Abs. 5 BDSG a.F. ist zwar adressatenoffen ausgestaltet, sie steuert mit der Vorgabe eines stufenweisen Einschreitens aber nicht die Auswahl zwischen verschiedenen nach dem materiellen Recht Pflichtigen. Weder kann die Aufsichtsbehörde bei einem Vorgehen nach § 38 Abs. 5 Satz 2 BDSG a.F. auf ein erfolgloses Einschreiten nach Satz 1 gegenüber einem Dritten verweisen, noch muss sie, soweit ein gestuftes Vorgehen ausnahmsweise entbehrlich ist, zunächst gegenüber anderen oder gar sämtlichen Normadressaten Maßnahmen nach § 38 Abs. 5 Satz 1 BDSG a.F. ergreifen. Die ermessensgerechte Adressatenauswahl ist vielmehr der Frage, welche Maßnahme nach der Stufenfolge des § 38 Abs. 5 BDSG a.F. angeordnet werden kann, vorgelagert.

2. Mit dem revisiblen Recht im Sinne des § 137 Abs. 1 Nr. 1 VwGO nicht im Einklang steht die Auslegung des Begriffs der verantwortlichen Stelle im Sinne von § 3 Abs. 7 BDSG a.F. durch das Berufungsgericht. Er ist unionsrechtskonform dahingehend zu verstehen, dass er auch Stellen erfasst, die anderen die Gelegenheit der Datenverarbeitung einräumen, ohne selbst damit befasst zu sein.

a. Der EuGH hat in seinem in der vorliegenden Sache ergangenen Urteil vom 5. Juni 2018 - C-210/16 - JZ 2018, 1154 Rn. 44 rechtskräftig festgestellt, dass der Begriff des für die Verarbeitung Verantwortlichen in Art. 2 Buchst. d der Datenschutzrichtlinie den Betreiber einer bei einem sozialen Netzwerk unterhaltenen Fanpage umfasst. Im Lichte des Ziels der Datenschutzrichtlinie, ein hohes Niveau des Schutzes der Grundfreiheiten und Grundrechte natürlicher Personen, insbesondere ihrer Privatsphäre, bei der Verarbeitung personenbezogener Daten zu gewährleisten, ist der Begriff des für die Verarbeitung Verantwortlichen in Art. 2 Buchst. d der Datenschutzrichtlinie weit definiert als natürliche oder juristische Person, Behörde, Einrichtung oder jede andere Stelle, die allein oder gemeinsam mit anderen über die Zwecke und Mittel der Verarbeitung von personenbezogenen Daten entscheidet (EuGH, Urteil vom 5. Juni 2018 a.a.O. Rn. 27). Der EuGH stützt sich maßgeblich auf die Erwägung, dass der Betreiber einer auf Facebook unterhaltenen Fanpage mit der Einrichtung einer solchen Seite Facebook die Möglichkeit gibt, auf dem Computer oder jedem anderen Gerät der Person, die seine Fanpage besucht hat, Cookies zu platzieren, unabhängig davon, ob diese Person über ein Facebook-Konto verfügt (EuGH, Urteil vom 5. Juni 2018 a.a.O. Rn. 35). Damit leistet der Betreiber einen maßgeblichen Beitrag zur Verarbeitung personenbezogener Daten der Besucher der Fanpage (EuGH, Urteil vom 5. Juni 2018 a.a.O. Rn. 36). Hinzu kommt, dass die von Facebook aus den Daten erstellten anonymen Besucherstatistiken dem Betreiber ganz allgemein ermöglichen, sein Informationsangebot so zielgerichtet wie möglich zu gestalten (EuGH, Urteil vom 5. Juni 2018 a.a.O. Rn. 37). Für die Bejahung einer datenschutzrechtlichen Verantwortlichkeit ist nicht erforderlich, dass bei einer gemeinsamen Verantwortlichkeit mehrerer Betreiber für dieselbe Verarbeitung jeder Zugang zu den betreffenden personenbezogenen Daten hat (EuGH, Urteil vom 5. Juni 2018 a.a.O. Rn. 38). Daher ist der Betreiber einer Fanpage an der Entscheidung über die Zwecke und Mittel der Verarbeitung der personenbezogenen Daten der Besucher seiner Fanpage beteiligt und ein für diese Verarbeitung Verantwortlicher im Sinne von Art. 2 Buchst. d der Datenschutzrichtlinie (EuGH, Urteil vom 5. Juni 2018 a.a.O. Rn. 39). Der Umstand, dass ein Betreiber einer Fanpage die von Facebook eingerichtete Plattform nutzt, um die dazugehörigen Dienstleistungen in Anspruch zu nehmen, kann diesen nicht von der Beachtung seiner Verpflichtungen im Bereich des Schutzes personenbezogener Daten befreien (EuGH, Urteil vom 5. Juni 2018 a.a.O. Rn. 40).

Eine erneute Vorlage an den EuGH wegen der Reichweite der datenschutzrechtlichen Verantwortlichkeit kommt nicht in Betracht. Denn das Bundesverwaltungsgericht ist als vorlegendes Gericht bei der Entscheidung des Rechtsstreits an die Auslegung des Unionsrechts durch den EuGH im Vorabentscheidungsverfahren gebunden (stRpsr vgl. EuGH, Beschluss vom 5. März 1986 - C-69/85, Wünsche - Rn. 13). Weder das Bundesverwaltungsgericht noch das Oberverwaltungsgericht als weitere zur Entscheidung berufene Gerichte des Instanzenzugs sind befugt, von der Antwort der entschiedenen Frage in ihren Entscheidungen abzuweichen (Rennert, in: Eyermann, VwGO, 15. Aufl. 2019, § 94 Rn. 27; Ehricke, in: Streinz, EUV/AEUV, 3. Aufl. 2018, Art. 267 AEUV Rn. 68). Das Vorbringen der Beigeladenen, das Urteil des EuGH beruhe auf einem unzutreffenden Sachverhalt, ist schon aus diesem Grund unerheblich. Auch das Vorbringen der Klägerin im Nachgang zum Urteil des EuGH vom 29. Juli 2019 - C-40/17, Fashion ID -, es müsse eine isolierte Betrachtung der Verantwortlichkeit für nachgelagerte Verarbeitungsschritte stattfinden, ist mit der dargestellten Rechtsprechung des EuGH nicht in Einklang zu bringen.

b. Aufgrund des Anwendungsvorrangs des Unionsrechts ist der Begriff der verantwortlichen Stelle im Sinne von § 3 Abs. 7 BDSG a.F. unionsrechtskonform entsprechend der Vorgabe des Art. 2 Buchst. d der Datenschutzrichtlinie auszulegen (BVerwG, Vorlagebeschluss vom 25. Februar 2016 - 1C 28.14 - Buchholz 403.1 Allg. DatenschutzR Nr. 18 Rn. 27; vgl. zur Notwendigkeit einer europarechtskonformen Auslegung auch Petri, in: Simitis/Hornung/Spiecker, Datenschutzrecht, 1. Aufl. 2019, Art. 4 Nr. 7 Rn. 20; Hartung, in: Kühling/Buchner, DSGVO/BSDG, 2. Aufl. 2018, DSGVO Art. 4 Nr. 7 Rn. 3). Die Klägerin ist daher als Betreiberin ihrer bei Facebook unterhaltenen Fanpage verantwortliche Stelle im Sinne des § 3 Abs. 7 BDSG a.F. und damit mögliche Adressatin einer auf § 38 Abs. 5 BDSG a.F. gestützten Anordnung. Die personale Reichweite der Eingriffsbefugnis folgt hier der materiellrechtlichen Pflichtigkeit (BVerwG, Vorlagebeschluss vom 25. Februar 2016 - 1 C 28.14 - a.a.O. Rn. 22).

3. Das Berufungsurteil kann auch nicht deshalb Bestand haben, weil es sich aus anderen Gründen als richtig erweist (§ 144 Abs. 4 VwGO). Der Beklagte hat auf die beanstandeten Datenverarbeitungsvorgänge durch Facebook zu Recht deutsches Datenschutzrecht, insbesondere die § 13 Abs. 1 Satz 1, § 15 Abs. 3 Satz 1 und 2 des Telemediengesetzes (TMG) in der Fassung des Art. 1 des Gesetzes zur Vereinheitlichung von Vorschriften über bestimmte elektronische Informationsund Kommunikationsdienste vom 26. Februar 2007 (BGBl. I S. 179), für den hier maßgeblichen Zeitraum zuletzt geändert durch das Erste Gesetz zur Änderung des Telemediengesetzes vom 31. Mai 2010 (BGBl. I S. 692) - TMG a.F. - angewandt.

a. Nach Art. 4 Abs. 1 Buchst. a Satz 1 Datenschutzrichtlinie wendet jeder Mitgliedstaat die zur Umsetzung dieser Richtlinie erlassenen Vorschriften auf alle Datenverarbeitungen an, die im Rahmen der Tätigkeit einer Niederlassung ausgeführt werden, die der für die Verarbeitung Verantwortliche im Hoheitsgebiet des Mitgliedstaats besitzt. Damit müssen zwei Voraussetzungen vorliegen, damit das Datenschutzrecht eines Mitgliedstaats der Europäischen Union auf eine Verarbeitung (Erhebung und Nutzung) personenbezogener Daten Anwendung findet: Erstens muss ein Verantwortlicher für die Datenverarbeitung eine Niederlassung in diesem Mitgliedstaat haben. Zweitens muss die Tätigkeit dieser Niederlassung in Verbindung mit der Datenverarbeitung stehen. Diese Verbindung setzt nicht voraus, dass die Niederlassung selbst in den Vorgang der Datenverarbeitung einbezogen ist. Vielmehr hält der EuGH unter Verweis auf die Gewährleistung eines möglichst hohen Niveaus des Datenschutzes jeden Bezug ihrer Tätigkeit zur Datenverarbeitung für ausreichend (EuGH, Urteil vom 5. Juni 2018 - C-210/16 - JZ 2018,1154 Rn. 56 ff.). Der EuGH stellt darauf ab, ob die Tätigkeit der Niederlassung und die Datenverarbeitung Bestandteile eines Vorgangs sind, der wirtschaftlich einheitlich zu betrachten ist.

b. Für die vorliegend streitigen Datenverarbeitungen sind nach den bindenden Vorgaben des EuGH im Vorabentscheidungsverfahren (EuGH, Urteil vom 5. Juni 2018 - C-210/16 - JZ 2018, 1154 Rn. 54 - 62) beide Voraussetzungen des Art. 4 Abs. 1 Buchst. a der Datenschutzrichtlinie erfüllt. Die amerikanische Muttergesellschaft Facebook Inc. als gemeinsam mit der Beigeladenen für die Verarbeitung im Rahmen des Sozialen Netzwerks Facebook Verantwortliche unterhält in Irland mit der Beigeladenen und in Deutschland mit der Facebook Germany GmbH dauerhafte Niederlassungen, die effektiv und tatsächlich Tätigkeiten ausüben (EuGH, Urteil vom 5. Juni 2018 a.a.O. Rn. 55). Die beanstandeten Datenverarbeitungen sind auch als im Rahmen der Tätigkeit der Facebook Germany GmbH ausgeführt anzusehen, weil diese die Aufgabe hat, den Verkauf der Werbeflächen zu fördern, mit denen die von Facebook angebotenen Dienstleistungen rentabel gemacht werden sollen (EuGH, Urteil vom 5. Juni 2018 a.a.O. Rn. 60). Auf die bei Aufruf der Fanpage durch Facebook vorgenommenen Datenverarbeitungen ist daher materielles deutsches Datenschutzrecht anzuwenden (EuGH, Urteil vom 5. Juni 2018 a.a.O. Rn. 61).

c. Zu dem danach anwendbaren Recht zählen auch die vom Beklagten herangezogenen Vorschriften des Telemediengesetzes. Nach § 3 Abs. 3 Nr. 4 TMG a.F. bestimmt sich die Anwendbarkeit des für den Schutz personenbezogener Daten geltenden Rechts nicht nach dem für Dienstanbieter in § 3 Abs. 1 und 2 TMG a.F. geregelten Herkunftslandprinzip, sondern nach den allgemeinen Kollisionsvorschriften der Datenschutzrichtlinie und des Bundesdatenschutzgesetzes a.F. (Moos, in: Taeger/Gabel, BDSG, 2. Aufl. 2013, Einführung zum TMG Rn. 11; Jotzo, MMR 2009, 232 <234>). Daher kommen vorliegend für die streitgegenständlichen Verarbeitungsvorgänge gemäß § 1 Abs. 5 BDSG a.F., Art. 4 Abs. 1 Buchst. a Satz 2 Datenschutzrichtlinie die §§ 11 ff. TMG a.F. zur Anwendung.

4. Für den Fall, dass eine mit schwerwiegenden Mängeln behaftete datenschutzrechtswidrige Erhebung und Verarbeitung der Nutzerdaten vorliegt, ist die Ausübung des Ermessens im Rahmen des § 38 Abs. 5 BDSG a.F. durch den Beklagten nicht zu beanstanden (§ 114 Satz 1 VwGO).

a. Für die Ausübung aufsichtlicher Eingriffsbefugnisse nach § 38 Abs. 5 BDSG a.F. bedarf es im Falle mehrerer datenschutzrechtlich Verantwortlicher einer Ermessensausübung im Hinblick auf die Auswahl des Adressaten. Aus der Datenschutzrichtlinie ergibt sich nichts Abweichendes: Die nationalen Kontrollstellen haben ihre Befugnisse aus § 38 Abs. 5 BDSG a.F. ungeachtet der europarechtlichen Verankerung in Art. 28 Abs. 3 der Datenschutzrichtlinie unter Wahrung der nach dem für sie maßgeblichen nationalen Verwaltungsverfahrensrecht und der dortigen Vorgaben zum Ermessen auszuüben. Dabei haben sie ihr nationales Recht im Einklang mit der Datenschutzrichtlinie auszulegen und darauf zu achten, dass sie sich nicht auf eine Auslegung dieser Richtlinie stützen, die mit den durch die Gemeinschaftsrechtsordnung geschützten Grundrechten oder den anderen allgemeinen Grundsätzen des Gemeinschaftsrechts, wie dem Grundsatz der Verhältnismäßigkeit, kollidiert (EuGH, Urteil vom 6. November 2003 - C-101/01, Lindqvist - Rn. 87). Stehen einer nationalen Kontrollbehörde infolge einer gemeinsamen Verantwortlichkeit mehrere potentielle Adressaten für eine Abhilfemaßnahme zur Verfügung, so ist unter Beachtung des Grundsatzes der Verhältnismäßigkeit eine Ermessensentscheidung erforderlich, wenn bereits die Inanspruchnahme nur eines Adressaten den Anlass für das Einschreiten beseitigen könnte (Schreiber, ZD 2019, 55 <59> m.w.N.). Auch § 38 Abs. 5 BDSG a.F. selbst bietet keinen Ansatz dafür, dass diese Befugnisnorm im Rahmen der Ermessensausübung einen Rückgriff auf die allgemeinen Grundsätze der Störerauswahl ausschließen würde.

b. Der Beklagte hat sein Ermessen bei der Auswahl der Klägerin als Adressatin des Bescheids ungeachtet der Frage, ob auch ein Vorgehen gegen Unternehmen des Facebook-Konzerns rechtlich möglich gewesen wäre, rechtmäßig ausgeübt. Er hat vor Erlass des Bescheids mit Facebook erfolglos Gespräche darüber geführt, welche technischen Vorkehrungen für einen datenschutzkonformen Betrieb einer Fanpage in Betracht kämen (vgl. S. 4 des angefochtenen Bescheids). Daher hat er ein Vorgehen gegen Facebook tatsächlich in Erwägung gezogen, dann aber einer Inanspruchnahme der Klägerin aus sachlichen Gründen den Vorzug gegeben. Für die Auswahl unter mehreren datenschutzrechtlich Verantwortlichen erweist sich der das Gefahrenabwehrrecht beherrschende Gedanke der Effektivität als legitim. Die Behörde kann sich bei der Auswahl unter mehreren in Betracht kommenden Adressaten von der Erwägung leiten lassen, dass ein rechtswidriger Zustand durch die Inanspruchnahme eines bestimmten Adressaten schneller oder wirksamer beseitigt werden kann (zum allgemeinen Polizeirecht Denninger, in: Lisken/Denninger, Handbuch des Polizeirechts, 6. Aufl. 2018, D. Polizeiaufgaben, Rn. 133; zur Adressatenwahl im Eisenbahnrecht: BVerwG, Urteil vom 9. September 2015 - 6 C 28.14 - BVerwGE 153, 1 Rn. 32; im Umweltrecht: Sparwasser/Heilshorn, in: Landmann/Rohmer, Umweltrecht, Band III, Stand Februar 2019, § 14 BImSchG Rn. 45).

Auch im Bereich des Datenschutzes kann es das Gebot einer effektiven und wirkungsvollen Gefahrenabwehr rechtfertigen, denjenigen Verantwortlichen heranzuziehen, dessen Pflichtigkeit sich ohne weiteres bejahen lässt und dem effektive Mittel zum Abstellen des Verstoßes zur Verfügung stehen. Daher war der Beklagte vor dem Hintergrund der im Zeitpunkt der Widerspruchsentscheidung fehlenden Kooperationsbereitschaft der Beigeladenen, den unklaren Binnenstrukturen der Facebook-Unternehmensgruppe, der damit verknüpften Frage, welches nationale Datenschutzrecht für die Beigeladene Anwendung findet und welche Möglichkeiten für die Durchsetzung eines solchen Bescheids bestehen, aus Gründen der Effektivität nicht gehalten, vor einer Inanspruchnahme der Klägerin seine rechtlichen und tatsächlichen Möglichkeiten eines Vorgehens gegen ein Unternehmen der Facebook-Unternehmensfamilie umfassend zu klären. Vielmehr war die Deaktivierungsanordnung gegenüber der Klägerin auch geeignet, die Beigeladene über den Einzelfall der Klägerin hinaus unter Zugzwang zu setzen. Hat diese Maßnahme Bestand, so wird sich Facebook um eine datenschutzrechtskonforme Lösung bemühen müssen, um sein Geschäftsmodell in Deutschland weiterverfolgen zu können. Daher erweist sich die Anordnung gegen die Klägerin als effektives Mittel, um das vom EuGH im Urteil vom 5. Juni 2018 - C-210/16 - (JZ 2018, 1154 Rn. 26) herausgestellte Ziel, ein hohes Niveau des Schutzes der Grundfreiheiten und Grundrechte natürlicher Personen, insbesondere ihrer Privatsphäre bei der Verarbeitung personenbezogener Daten, zu gewährleisten.

c. Die gegenüber der Klägerin angeordnete Deaktivierung ihrer Fanpage erweist sich auch im Übrigen als ermessensfehlerfrei. Da die Klägerin als datenschutzrechtlich Verantwortliche bei Vorliegen der beanstandeten Verstöße einen rechtskonformen Betrieb ihrer Fanpage nach den bindenden Feststellungen des Berufungsurteils mangels vertraglicher oder technischer Einwirkungsmöglichkeiten nicht bewirken kann, war die Anordnung der Deaktivierung ein geeignetes Mittel zur Unterbindung der potentiellen Datenschutzrechtsverstöße. Ein milderes Mittel stand dem Beklagten gegenüber der Klägerin nicht zur Verfügung. Auch der Umstand, dass das Deaktivierungsgebot der Klägerin derzeit die Möglichkeit nimmt, sich in dem von ihr für ihre geschäftliche Tätigkeit als besonders wichtig erachteten sozialen Netzwerk Facebook zu präsentieren, zwang den Beklagten nicht zu einem Verzicht auf ein effektives Einschreiten, wenn die Klägerin dieses Angebot nur unter Inkaufnahme schwerwiegender datenschutzrechtlicher Mängel betreiben kann.

d. Ebenso wenig lässt sich ein Ermessensfehler aus dem Umstand herleiten, dass die Daten der Nutzer auch auf einer Vielzahl weiterer Facebook-Fanpages in gleicher Weise verarbeitet werden und daher die Abschaltung der klägerischen Fanpage massenhafte Datenschutzrechtsverstöße an anderer Stelle nicht verhindern kann. Verstöße Dritter gegen datenschutzrechtliche Bestimmungen lassen die Verantwortlichkeit der Klägerin für ihr eigenes Angebot unberührt.

Art. 3 Abs. 1 GG gewährt keinen Anspruch auf Gleichbehandlung im Unrecht. Der Beklagte war im Lichte des Art. 3 Abs. 1 GG auch nicht gehalten, vor einer Inanspruchnahme der Klägerin ein Konzept für ein flächendeckendes Vorgehen gegen Fanpage-Betreiber in seiner Zuständigkeit zu erstellen. Zwar beschränkt der Gleichheitssatz als gesetzliche Ermessensgrenze die Handlungsmöglichkeiten der Verwaltung und gebietet der Behörde, in vergleichbaren Fällen in der gleichen Art und Weise zu verfahren (BVerwG, Urteil vom 26. Oktober 2017 - 8 C 18.16 - BVerwGE 160, 193 Rn. 21 m.w.N.). Das bedeutet bei einer Vielzahl von Verstößen aber nicht, dass sie gleichzeitig tätig werden muss. Bei Vorliegen sachlicher Gründe kann sie sich auch darauf beschränken, zunächst einen Einzelfall herauszugreifen und die Verhältnisse nach und nach zu bereinigen (stRspr, vgl. BVerwG, Beschluss vom 22. April 1995 - 4 B 55.95 - BRS 57 Nr. 248 S. 595). Dafür, dass die von dem Beklagten für die Auswahl der in Anspruch genommenen Fanpage-Betreiber angeführten Gründe willkürlich waren, ist vorliegend nichts ersichtlich.

5. Der Senat kann in der Sache nicht selbst abschließend entscheiden. Das Oberverwaltungsgericht hat von seinem rechtlichen Standpunkt aus folgerichtig keine tatsächlichen Feststellungen zu den bei Aufruf der Fanpage der Klägerin tatsächlich ablaufenden Datenverarbeitungsvorgängen und einer etwaigen Unterrichtung der Nutzer getroffen. Die Sache ist daher zur anderweitigen Verhandlung und Entscheidung an das Oberverwaltungsgericht zurückzuverweisen (§ 144 Abs. 3 Satz 1 Nr. 2 VwGO).

Das Oberverwaltungsgericht wird zu prüfen haben, welche Datenerhebungen bei Aufruf der Fanpage im für die Entscheidung maßgeblichen Zeitpunkt stattfanden. Soweit sich aus der Verwendung der von Facebook gesetzten Cookies eine Verarbeitung personenbezogener Daten ergab, wird das Gericht zwischen den Fallgruppen der Facebook-Mitglieder und der nicht bei Facebook registrierten Internetnutzer zu unterscheiden haben. Die Verarbeitung personenbezogener Daten wäre nur dann rechtmäßig, wenn bei der erstgenannten Gruppe eine wirksame Einwilligung in die Erhebung und nachfolgende Verarbeitung vorlag und bei der letztgenannten Gruppe für die Erhebung personenbezogener Daten eine Rechtsgrundlage bestand und eine möglicherweise erforderliche Unterrichtung erfolgte."

Sie finden den Volltext der Entscheidung hier:

SG Frankfurt (Oder)
Gerichtsbescheid vom 08.05.2019
S 49 SF 8/19

Das SG Frankfurt (Oder) hat entschieden, dass ein Betroffener mangels Anspruchsgrundlage in der DSGVO gegen die zuständige Datenschutzbehörde keinen Anspruch auf Vornahme bestimmter Maßnahmen bei einem Verstoß gegen die Vorgaben der DSGVO hat. Art. 77 DSGVO sieht lediglich ein Beschwerderecht vor.

Aus den Entscheidungsgründen:

"Die Kammer durfte ohne mündliche Verhandlung durch Gerichtsbescheid gemäß § 105 SGG entscheiden, weil die Sache keine besonderen Schwierigkeiten tatsächlicher oder rechtlicher Art aufweist und der Sachverhalt geklärt ist. Die Beteiligten hatten Gelegenheit, sich zu dieser Entscheidungsform zu äußern.

Die Klage ist bereits unzulässig, denn für das Begehren der Kläger fehlt es ungeachtet der Frage, ob hierfür das Sozialgericht funktional zuständig ist, an jedweder Anspruchsgrundlage.

Weder aus den Vorschriften des Sozialrechts (§§ 25, 83 SGB X) noch insbesondere aus der Datenschutz-Grundverordnung ist ein individueller Anspruch eines Bürgers gegen den Beklagten auf die Vornahme einer bestimmten Maßnahme herleitbar.

Zwar besteht aus Art 78 Absatz 2 DSGVO ein Klagerecht dem Grunde nach. Im Falle einer Beschwerde bei dem Beklagten nach § 77 DSGVO ist der Klagegrund indes beschränkt darauf, dass der Beklagte länger als drei Monate untätig geblieben sei mit der Mitteilung über das Ergebnis der Beschwerde. Dies ist hier jedoch weder Klagegegenstand, noch liegt oder lag eine dahingehende Untätigkeit vor.

Nach Art. 77 Abs. 1 DSGVO hat jede betroffene Person das Recht auf Beschwerde bei einer Aufsichtsbehörde, wenn diese der Ansicht ist, dass die Verarbeitung der sie betreffenden Daten gegen die DSGVO verstößt. Der Beklagte ist aufgrund dieser Vorschrift alleine verpflichtet, sich mit einer Beschwerde zu befassen, soweit sie nicht offensichtlich unbegründet oder exzessiv ist und den Gegenstand der Beschwerde zu untersuchen und den Beschwerdeführer über den Fortgang und das Ergebnis der Untersuchung zu unterrichten. Eine weitergehende Verpflichtung besteht grundsätzlich nicht. In der Rechtsprechung wird daher das Beschwerderecht nach Art 77 DSGVO als Petitionsrecht verstanden, vgl. Beschluss des VG Berlin vom 28.01.2019, Az: VG 1 L 1.19.

Diesem Anspruch ist der Beklagte vollumfänglich nachgekommen. Eine Verurteilung zu einer aufsichtsrechtlichen Maßnahme gegen das Jobcenter kann das Gericht den Beklagten nicht verurteilen. Dies ist aus der DSGVO nicht herleitbar.

Auf das weitere Vorbringen der Kläger kommt es daher nicht an.

Die Kostenentscheidung beruht auf § 193 SGG.

Der Streitwert für das Verfahren - da es sich nicht um ein privilegiertes Verfahren handelt, § 197a SGG - wird auf 5.000,00 € festgesetzt."

Den Volltext der Entscheidung finden Sie hier:

Das BMJV hat eine Studie zur Umsetzung der DSGVO bei großen Online-Diensten und Online-Anbietern veröffentlicht.
Sie finden die Studie hier:
"Untersuchung der Umsetzung der Datenschutz-Grundverordnung (DSGVO) durch Online-Dienste"

Die Pressemitteilung des BMJV:

Ermutigend und ernüchternd: Studie zum Datenschutz bei Onlinediensten

Wissenschaftler der Universität Göttingen haben für das Bundesministerium der Justiz und für Verbraucherschutz untersucht, wie 35 große Onlinedienste die Datenschutz-Grundverordnung (DSGVO) umsetzen. Zu den untersuchten Portalen zählen etwa Amazon, Google, WhatsApp, Zalando und Otto. Ein Schwerpunkt liegt auf den Verbraucherrechten der DSGVO, insbesondere der Einwilligung der Nutzer, Transparenz und Information.

Zu den Ergebnissen äußert sich Verbraucherschutz-Staatssekretär Gerd Billen:

„Die Ergebnisse sind ermutigend und ernüchternd zugleich. Ermutigend ist: Die Datenschutz-Grundverordnung hat praktische Verbesserungen für Verbraucherinnen und Verbraucher gebracht. Bessere Information, mehr Transparenz und Wahlfreiheit lassen sich gut umsetzen. Die Studie zeigt Beispiele, wie Vorgaben der DSGVO praktikabel erfüllt werden können. Der Nebel lichtet sich.

Ernüchternd ist: Nicht ansatzweise alle Dienste haben die DSGVO umgesetzt, und dies schon gar nicht vollständig. Während einige untersuchte Onlineshops bereits viel getan haben, gibt es vor allem bei sozialen Netzwerken und Messengern weiter eklatante Mängel. Die größten Probleme gibt es weiter bei personalisierter Werbung.

Nachlässig ist oft der Umgang mit den Daten, die eigentlich besonders zu schützen sind: sensible Informationen zur Herkunft, zur Gesundheit oder zu politischen Ansichten. Hier muss dringend nachgearbeitet werden.

Auch die Potenziale der DSGVO lassen sich noch viel besser nutzen: Grundeinstellungen, die von vornherein die Privatsphäre schützen, gibt es immer noch viel zu selten. „Privacy by default“ bedeutet, dass das Häkchen immer schon bei der datenschutzfreundlichen Einstellung gesetzt sein soll. Das sollte Standard werden.“

BVerfG
Beschluss vom 6. November 2019
1 BvR 276/17
Recht auf Vergessen II

Das BVerfG hat entschieden, dass die Meinungsfreiheit der Inhalteanbieter bei der Prüfung eines Unterlassungsanspruchs gegen Suchmaschinenbetreiber zu berücksichtigen ist.

Die Pressemitteilung des Bundesverfassungsgerichts:

Bundesverfassungsgericht prüft innerstaatliche Anwendung unionsrechtlich vollvereinheitlichen Rechts am Maßstab der Unionsgrundrechte - Meinungsfreiheit der Inhalteanbieter ist bei der Prüfung eines Unterlassungsanspruchs gegen Suchmaschinenbetreiber zu berücksichtigen

Dem heute veröffentlichten Beschluss „Recht auf Vergessen II“, der ergänzt wird durch den Beschluss vom selben Tag „Recht auf Vergessen I“ (vergleiche PM Nr. 83/2019), liegt ein Rechtsstreit zugrunde, der eine unionsrechtlich vollständig vereinheitlichte Materie betrifft. Der Erste Senat des Bundesverfassungsgerichts hat deshalb die Charta der Grundrechte der Europäischen Union angewandt und eine Verfassungsbeschwerde gegen ein Urteil des Oberlandesgerichts Celle zurückgewiesen. Dieses hatte eine Klage der Beschwerdeführerin gegen einen Suchmaschinenbetreiber abgewiesen, mit der sie sich dagegen wandte, dass auf Suchabfragen zu ihrem Namen der Link zu einem 2010 in ein Onlinearchiv eingestellten Transkript eines Fernsehbeitrags nachgewiesen wurde, in dem ihr unter namentlicher Nennung ein unfairer Umgang mit einem gekündigten Arbeitnehmer vorgeworfen wurde.

Das Bundesverfassungsgericht hat zunächst festgestellt, dass die anwendbaren Regelungen unionsrechtlich vollständig vereinheitlicht und deshalb die Grundrechte des Grundgesetzes nicht anwendbar sind. Soweit jedoch die Grundrechte des Grundgesetzes durch den Anwendungsvorrang des Unionsrechts verdrängt werden, kontrolliert das Bundesverfassungsgericht dessen Anwendung durch deutsche Stellen am Maßstab der Unionsgrundrechte, so dass keine Schutzlücken entstehen. Es nimmt hierdurch seine Integrationsverantwortung im Rahmen des Art. 23 GG wahr.

In der Sache führt der Senat aus, dass die Grundrechte der Charta wie die des Grundgesetzes nicht nur Schutz im Staat-Bürger-Verhältnis, sondern auch in privatrechtlichen Streitigkeiten gewährleisten und hierbei miteinander in Ausgleich zu bringen sind. Das Oberlandesgericht hat in diesem Sinne die Grundrechtspositionen der Parteien sowie die zu berücksichtigenden Grundrechte Dritter, insbesondere die hierbei beachtliche Meinungsfreiheit des für den Beitrag verantwortlichen Norddeutschen Rundfunks, sachgerecht in die Abwägung eingestellt.

Sachverhalt:

1. Am 21. Januar 2010 strahlte der Norddeutsche Rundfunk einen Beitrag des Fernsehmagazins „Panorama“ mit dem Titel „Kündigung: Die fiesen Tricks der Arbeitgeber“ aus. Gegen Ende dieses Beitrags, für den die Beschwerdeführerin zuvor ein Interview gegeben hatte, wurde der Fall eines gekündigten ehemaligen Mitarbeiters des von ihr als Geschäftsführerin geleiteten Unternehmens dargestellt. In Anknüpfung an die geplante Gründung eines Betriebsrats wurde ihr in dem Beitrag ein unfairer Umgang mit dem Mitarbeiter vorgeworfen.

Der Norddeutsche Rundfunk stellte eine Datei mit einem Transkript dieses Beitrags unter dem Titel „Die fiesen Tricks der Arbeitgeber“ auf seiner Internetseite ein. Bei Eingabe des Namens der Beschwerdeführerin in die Suchmaske des Suchmaschinenbetreibers Google wurde als eines der ersten Suchergebnisse die Verlinkung auf diese Datei angezeigt. Nachdem dieser es abgelehnt hatte, die Nachweise dieser Seite zu unterlassen, erhob die Beschwerdeführerin Klage, die vom Oberlandesgericht abgewiesen wurde. Die Beschwerdeführerin könne weder aus § 35 Abs. 2 Satz 2 BDSG a. F. noch aus § 823 Abs. 1, § 1004 BGB in Verbindung mit Art. 1 Abs. 1, Art. 2 Abs. 1 GG die Entfernung des Links (im Weiteren auch: Auslistung) beanspruchen.

2. Mit ihrer Verfassungsbeschwerde rügt die Beschwerdeführerin eine Verletzung ihres allgemeinen Persönlichkeitsrechts und ihres Grundrechts auf informationelle Selbstbestimmung. Bereits die Überschrift des Suchergebnisses sei verfälschend, da sie niemals „fiese Tricks“ angewandt habe. Das Suchergebnis rufe eine negative Vorstellung über sie als Person hervor, die geeignet sei, sie als Privatperson herabzuwürdigen. Überdies liege der Bericht zeitlich so weit zurück, dass auch in Folge des Zeitablaufs kein berechtigtes öffentliches Interesse mehr an ihm bestehe.

Wesentliche Erwägungen des Senats:

I. Das Verfahren gibt zunächst Anlass, den verfassungsgerichtlichen Prüfungsmaßstab im Kontext des Unionsrechts näher zu bestimmen.

1. Der von der Beschwerdeführerin im Ausgangsverfahren verfolgte Anspruch auf Auslistung richtet sich – sowohl für die damals geltende Datenschutzrichtlinie als auch für die heutige Datenschutz-Grundverordnung – nach Rechtsvorschriften, die unionsrechtlich vollständig vereinheitlicht sind und damit in allen Staaten der Europäischen Union gleichermaßen gelten. Die Frage, welche personenbezogenen Daten eine Suchmaschine auf Suchabfragen nachweisen darf, fällt auch nicht in den Bereich des sogenannten Medienprivilegs, für das den Mitgliedstaaten ein Ausgestaltungsspielraum zusteht (im Unterschied zur Rechtslage in dem Beschluss „Recht auf Vergessen I“ vom selben Tag, PM Nr. 83/2019).

2. Bei der Anwendung unionsrechtlich vollständig vereinheitlichter Regelungen sind grundsätzlich nicht die deutschen Grundrechte, sondern allein die Unionsgrundrechte maßgeblich. Das Unionsrecht hat hier gegenüber den Grundrechten des Grundgesetzes Anwendungsvorrang. Für die Frage, ob vollständig vereinheitlichte Regelungen gegen Grundrechte verstoßen, entspricht das der ständigen Rechtsprechung des Bundesverfassungsgerichts. Nichts anderes gilt für die Frage, ob das vollvereinheitlichte Fachrecht grundrechtskonform angewendet wird.

a) Die Anwendung der Unionsgrundrechte folgt hier aus der Übertragung von Hoheitsbefugnissen auf die Europäische Union. Wenn diese Regelungen schafft, die in allen Mitgliedstaaten gleichermaßen gelten und einheitlich angewendet werden sollen, muss auch der bei der Anwendung dieser Regelungen zu gewährleistende Grundrechtsschutz einheitlich sein. Dem steht eine Heranziehung der jeweiligen mitgliedstaatlichen Grundrechtsstandards von vorneherein entgegen. Denn derzeit kann nicht davon ausgegangen werden, dass diese mitgliedstaatlichen Grundrechtsstandards über das gemeinsame Fundament der Europäischen Menschenrechtskonvention hinaus deckungsgleich sind. In ihnen spiegeln sich vielfältig bedingte tatsächliche Unterschiede in den Mitgliedstaaten wie auch je eigene geschichtliche Erfahrungen. Ebensowenig kann davon ausgegangen werden, dass sich der Grundrechtsschutz der Grundrechtecharta gerade mit demjenigen des Grundgesetzes deckt. Damit ist von einem jeweiligen Eigenstand der unionsrechtlichen und der nationalen Grundrechte auszugehen.

b) Der Anwendungsvorrang des Unionsrechts steht nach ständiger Rechtsprechung des Bundesverfassungsgerichts unter dem Vorbehalt, dass der Grundrechtsschutz durch die Unionsgrundrechte hinreichend wirksam ist. Erforderlich ist deshalb, dass deren Schutz dem vom Grundgesetz jeweils als unabdingbar gebotenen Grundrechtsschutz im Wesentlichen gleich zu achten ist. Nach dem derzeitigen Stand des Unionsrechts – zumal unter Geltung der Charta – ist dies der Fall.

3. Das Bundesverfassungsgericht hat jetzt erstmals entschieden, dass es die Anwendung des Unionsrechts durch deutsche Stellen selbst am Maßstab der Unionsgrundrechte prüft, soweit diese die deutschen Grundrechte verdrängen.

a) In seiner bisherigen Rechtsprechung hat das Bundesverfassungsgericht eine Prüfung am Maßstab der Unionsgrundrechte nicht ausdrücklich in Erwägung gezogen. Soweit es die grundgesetzlichen Grundrechte nicht angewendet hat, hat es vielmehr auf eine Grundrechtsprüfung ganz verzichtet und die Grundrechtskontrolle den Fachgerichten in Kooperation mit dem Europäischen Gerichtshof überlassen. Diese Rechtsprechung bezog sich auf Fallkonstellationen, in denen, mittelbar oder unmittelbar, die Gültigkeit von Unionsrecht – also nicht dessen Anwendung – in Frage stand.

b) Geht es hingegen wie hier um die Frage, ob deutsche Gerichte oder Behörden bei der Anwendung vollvereinheitlichten Unionsrechts den hierbei zu beachtenden Anforderungen der Unionsgrundrechte im Einzelfall genügt haben, kann sich das Bundesverfassungsgericht nicht aus der Grundrechtsprüfung zurückziehen; vielmehr gehört es dann zu seinen Aufgaben, Grundrechtsschutz am Maßstab der Unionsgrundrechte zu gewährleisten. Die in Art. 23 Abs. 1 GG vorgesehene Öffnung des Grundgesetzes für das Unionsrecht meint nicht einen Rückzug der deutschen Staatsgewalt aus der Verantwortung für die der Union übertragenen Materien; vielmehr sieht sie eine Mitwirkung der deutschen Staatsorgane und damit auch des Bundesverfassungsgerichts an deren Entfaltung vor. Durch die Einbeziehung der Unionsgrundrechte als Prüfungsmaßstab nimmt das Bundesverfassungsgericht im Verfahren der Verfassungsbeschwerde daher seine Integrationsverantwortung wahr.

Maßgeblich ist hierfür vor allem, dass nach dem heutigen Stand des Unionsrechts anderenfalls eine Schutzlücke hinsichtlich der fachgerichtlichen Anwendung der Unionsgrundrechte entstünde. Denn eine Möglichkeit Einzelner, die Verletzung von Unionsgrundrechten durch die mitgliedstaatlichen Fachgerichte unmittelbar vor dem Europäischen Gerichtshof geltend zu machen, besteht nicht. Das Unionsrecht kennt anders als das deutsche Recht keine Verfassungsbeschwerde. Diese Schutzlücke wird auch nicht durch die schon bisher ausgeübte Kontrolle des Bundesverfassungsgerichts über die Vorlageverpflichtung der Fachgerichte an den Europäischen Gerichtshof hinreichend geschlossen.

4. Soweit das Bundesverfassungsgericht die Grundrechte der Grundrechtecharta als Prüfungsmaßstab anlegt, übt es seine Kontrolle in enger Kooperation mit dem Europäischen Gerichtshof aus. Denn die Zuständigkeit für die letztverbindliche Auslegung des Unionsrechts und damit auch der Grundrechte der Charta liegt bei diesem. Soweit er deren Auslegung nicht bereits geklärt hat oder die anzuwendenden Auslegungsgrundsätze nicht aus sich heraus offenkundig sind – etwa auf der Grundlage einer Rechtsprechung des Europäischen Gerichtshofs für Menschenrechte –, wird das Bundesverfassungsgericht ihm Fragen gemäß Art. 267 Abs. 3 AEUV vorlegen. Ob die Fachgerichte, soweit sie im fachgerichtlichen Instanzenzug letztinstanzlich entscheiden, insoweit ebenfalls vorlagepflichtig bleiben, bedurfte keiner Entscheidung.

5. Die Frage, ob die Grundrechte des Grundgesetzes oder der Charta anzuwenden sind, hängt, wie sich aus den beiden heute veröffentlichten Senatsbeschlüssen „Recht auf Vergessen I und II“ ergibt, maßgeblich von einer Unterscheidung zwischen vollständig vereinheitlichtem und gestaltungsoffenem Unionsrecht ab. Dies richtet sich nach einer Auslegung des jeweils anzuwendenden unionsrechtlichen Fachrechts und lässt sich nicht entlang der im deutschen Recht bekannten Abgrenzung zwischen unbestimmten Rechtsbegriffen und Ermessen entscheiden, zwischen denen das Unionsrecht nicht in gleicher Weise unterscheidet wie das deutsche Recht. Es ist vielmehr in Bezug auf die jeweilige Norm des Unionsrechts zu untersuchen, ob sie auf die Ermöglichung von Vielfalt und die Geltendmachung verschiedener Wertungen angelegt ist oder nicht.

6. Obwohl der Erste Senat des Bundesverfassungsgerichts damit erstmals entschieden hat, Verfassungsbeschwerden gegebenenfalls am Kontrollmaßstab der Unionsgrundrechte zu prüfen, bedurfte es keiner Entscheidung des Plenums. Diese ist nach § 16 BVerfGG nur geboten, wenn ein Senat von einer für die Entscheidung tragenden Auffassung des anderen Senats abweichen möchte. Eine solche Abweichung liegt nicht vor, insbesondere nicht von der mit der sogenannten Solange II-Entscheidung des Zweiten Senats begründeten Rechtsprechung beider Senate (vgl. BVerfGE 73, 339 <387>). Deren Gegenstand war allein, ob und wieweit Unions- und vollvereinheitlichtes innerstaatliches Recht am Maßstab des Grundgesetzes zu prüfen sind. Demgegenüber zog diese eine Anwendbarkeit der Unionsgrundrechte – und schon gar der erst im Jahr 2009 verbindlich gewordenen Grundrechtecharta – weder explizit noch implizit in Betracht und traf hierzu weder eine positive noch eine negative Aussage. Nichts anderes ergibt sich aus neueren Entscheidungen des Zweiten Senats.

II. In der Sache war die Verfassungsbeschwerde zulässig, hatte aber keinen Erfolg.

1. Die Beschwerdeführerin ist beschwerdebefugt, da sie sich auf die Unionsgrundrechte berufen kann. Indem sie sich auf eine Verletzung ihres Rechts auf Entfaltung ihrer Persönlichkeit stützt, rügt sie der Sache nach eine Verletzung ihrer Grundrechte auf Achtung des Privat- und Familienlebens und auf Schutz personenbezogener Daten nach Art. 7 und Art. 8 GRCh. Dass sie insoweit die Grundrechte des Grundgesetzes und nicht die Grundrechte der Charta nennt, ist unschädlich. Wird nur die falsche Norm benannt, aber in der Sache substantiiert vorgetragen, wird hierdurch die Verfassungsbeschwerde nicht unzulässig.

2. Die Verfassungsbeschwerde war aber unbegründet.

Wie bei der Heranziehung der Grundrechte des Grundgesetzes prüft das Bundesverfassungsgericht nicht die richtige Anwendung des einfachen Rechts (hier also die damals geltende Datenschutzrichtlinie und das Bundesdatenschutzgesetz), sondern allein, ob die Fachgerichte den Unionsgrundrechten hinreichend Rechnung getragen und zwischen ihnen im Rahmen der gebotenen Abwägung einen vertretbaren Ausgleich gefunden haben. Das hat das Bundesverfassungsgericht bejaht.

a) Wie die Grundrechte des Grundgesetzes gewährleisten auch die Grundrechte der Charta nicht nur Schutz im Staat-Bürger-Verhältnis, sondern auch in privatrechtlichen Streitigkeiten. Auf Seiten der Beschwerdeführerin sind in die Abwägung die Grundrechte auf Achtung des Privat- und Familienlebens aus Art. 7 GRCh und auf Schutz personenbezogener Daten aus Art. 8 GRCh einzustellen. Eine Entsprechung haben diese Garantien in Art. 8 EMRK.

b) Auf Seiten des beklagten Suchmaschinenbetreibers ist sein Recht auf unternehmerische Freiheit aus Art. 16 GRCh einzustellen, während er sich für die Verbreitung von Suchnachweisen nicht auf die Meinungsfreiheit aus Art. 11 GRCh berufen kann. Einzustellen sind jedoch die von einem solchen Rechtsstreit unmittelbar betroffenen Grundrechte Dritter und damit vorliegend – neben den Informationsinteressen der Nutzer – die Meinungsfreiheit des Norddeutschen Rundfunks. Da es darum geht, ob dem Suchmaschinenbetreiber verboten werden kann, die von einem Dritten, hier dem Norddeutschen Rundfunk, bereitgestellten Beiträge zu verbreiten, kann in einem solchen Verbot zugleich eine eigenständige Einschränkung der Meinungsfreiheit des Dritten liegen. Denn diesem wird dadurch ein bereitstehender Dienstleister genommen und so in Teilen zugleich ein wichtiges Medium für die Verbreitung seiner Berichte. Dies ist nicht ein bloßer Reflex einer Anordnung gegenüber dem Suchmaschinenbetreiber. Vielmehr knüpft die Entscheidung unmittelbar an die Äußerung und an den Gebrauch der Meinungsfreiheit an, da es gezielt darum geht, die Verbreitung des Beitrags wegen seines Inhalts zu beschränken.

c) Grundlage der Abwägung ist die Tätigkeit des Suchmaschinenbetreibers, die hinsichtlich der damit verbundenen Grundrechtseinschränkungen eigenständig zu beurteilen ist. Die Frage, ob er rechtmäßig gehandelt hat, ist nicht identisch mit der Frage, ob die Veröffentlichung des Beitrags durch den Dritten rechtmäßig war, auch wenn es insoweit Wechselwirkungen geben kann. Damit ist ein Vorgehen gegenüber dem Suchmaschinenbetreiber auch nicht subsidiär zu einem solchen gegenüber dem Dritten als Inhalteanbieter.

d) Nach der Entscheidung des Bundesverfassungsgerichts ist zwar im Rahmen der Abwägung das Gewicht allein der wirtschaftlichen Interessen des Suchmaschinenbetreibers grundsätzlich nicht hinreichend schwer, um den Schutzanspruch Betroffener zu beschränken. Allerdings können das Informationsinteresse der Öffentlichkeit sowie vor allem einzubeziehende Grundrechte Dritter größeres Gewicht haben. Vorliegend ist die Meinungsfreiheit des durch die Entscheidung belasteten, insoweit grundrechtsberechtigten Norddeutschen Rundfunks als unmittelbar mitbetroffenes Grundrecht in die Abwägung einzubeziehen. Daher gilt hier – anders als in einigen Entscheidungen des Europäischen Gerichtshofs, die insoweit andere Konstellationen betrafen – keine Vermutung eines Vorrangs des Schutzes des Persönlichkeitsrechts; vielmehr sind die sich gegenüberstehenden Grundrechte gleichberechtigt miteinander abzuwägen. Denn ebensowenig wie Einzelne gegenüber den Medien einseitig darüber bestimmen können, welche Informationen im Rahmen der öffentlichen Kommunikation über sie verbreitet werden, haben sie eine solche Bestimmungsmacht gegenüber den Suchmaschinenbetreibern.

e) Bei der Abwägung kommt es für die Gewichtung der Grundrechtseinschränkung der Betroffenen maßgeblich darauf an, wieweit sie durch die Verbreitung des streitbefangenen Beitrags, insbesondere auch unter Berücksichtigung der Möglichkeit namensbezogener Suchabfragen, in ihrer Persönlichkeitsentfaltung beeinträchtigt werden. Hierfür reicht nicht eine Würdigung der Berichterstattung in ihrem ursprünglichen Kontext; vielmehr ist auch die leichte und fortdauernde Zugänglichkeit der Informationen durch die Suchmaschine zu berücksichtigen. Dabei ist insbesondere auch der Bedeutung der Zeit zwischen der ursprünglichen Veröffentlichung und deren späterem Nachweis Rechnung zu tragen, wie es nach der aktuellen Rechtslage auch in Art. 17 DSGVO nach dem Leitgedanken eines „Rechts auf Vergessenwerden“ normiert ist.

f) Nach diesen Maßstäben ist die angegriffene Entscheidung im Ergebnis nicht zu beanstanden. Das Oberlandesgericht stellt sowohl den Schutz des Persönlichkeitsrechts auf Seiten der Beschwerdeführerin als auch die unternehmerische Freiheit des Suchmaschinenbetreibers in die Abwägung ein, letztere zu Recht in Verbindung mit der Meinungsfreiheit des Norddeutschen Rundfunks sowie dem Zugangsinteresse der Internetnutzer. Die Abwägung des Oberlandesgerichts hält sich im fachgerichtlichen Wertungsrahmen.

Zu kurz greift es allerdings, wenn es dabei die Beschwerdeführerin nur als in ihrer Sozialsphäre betroffen ansieht. Die Auffindbarkeit und Zusammenführung von Informationen mittels namensbezogener Suchabfragen führt heute dazu, dass für deren Auswirkungen zwischen Privat- und Sozialsphäre kaum mehr zu unterscheiden ist. Als Kriterium für die Gewichtung des Gegenstands des Beitrags, nicht der Auswirkungen auf die Betroffenen, behält diese Unterscheidung aber ihre Aussagekraft. Tragfähig legt das Oberlandesgericht diesbezüglich dar, dass sich der Beitrag auf ein in die Gesellschaft hineinwirkendes berufliches Verhalten der Beschwerdeführerin, nicht aber allein auf ihr Privatleben bezieht und in Hinblick hierauf durch ein noch fortdauerndes, wenn auch mit der Zeit abnehmendes öffentliches Informationsinteresse gerechtfertigt ist. Diesbezüglich muss die Beschwerdeführerin belastende Wirkungen – auch in ihrem privaten Umfeld – weitergehend hinnehmen als gegenüber Beiträgen über ihr privates Verhalten.

Ergänzend konnte das Oberlandesgericht auch darauf abstellen, dass die Beschwerdeführerin zu dem Interview, das Gegenstand des streitigen Beitrags war, ihre Zustimmung gegeben hatte. Zu Recht beurteilt die angegriffene Entscheidung den Bericht und den hierauf verweisenden Link auch nicht als Schmähung, da es nicht ohne Sachbezug allein um die Verunglimpfung der Person geht.

Das Oberlandesgericht hat auch den Zeitfaktor in seine Abwägung eingestellt und geprüft, ob die Weiterverbreitung des Beitrags unter Namensnennung angesichts der inzwischen verstrichenen Zeit, die sowohl das Gewicht des öffentlichen Interesses als auch das der Grundrechtsbeeinträchtigung modifizieren kann (vergleiche dazu entsprechend den Beschluss vom selben Tag, PM Nr. 83/2019), noch gerechtfertigt ist. Letztlich sieht es einen Anspruch auf Auslistung im vorliegenden Fall mit verfassungsrechtlich nicht zu beanstandender Begründung als jedenfalls zum gegenwärtigen Zeitpunkt noch nicht gegeben an. Dies trägt den Garantien der Grundrechtecharta hinreichend Rechnung und lässt eine grundsätzlich unrichtige Anschauung von Bedeutung und Tragweite der berührten Unionsgrundrechte nicht erkennen.

III. Eine Vorlage an den Europäischen Gerichtshof nach Art. 267 Abs. 3 AEUV ist nicht geboten. Die Anwendung der Unionsgrundrechte auf den vorliegenden Fall wirft keine Auslegungsfragen auf, die nicht schon aus sich heraus klar oder durch die Rechtsprechung des Europäischen Gerichtshofs – unter ergänzender Berücksichtigung der Rechtsprechung des Europäischen Gerichtshofs für Menschenrechte (vgl. Art. 52 Abs. 3 GRCh) – hinreichend geklärt sind.

Die Leitsätze des Bundesverfassungsgerichts:

1. Soweit die Grundrechte des Grundgesetzes durch den Anwendungsvorrang des Unionsrechts verdrängt werden, kontrolliert das Bundesverfassungsgericht dessen Anwendung durch deutsche Stellen am Maßstab der Unionsgrundrechte. Das Gericht nimmt hierdurch seine Integrationsverantwortung nach Art. 23 Abs. 1 GG wahr.

2. Bei der Anwendung unionsrechtlich vollständig vereinheitlichter Regelungen sind nach dem Grundsatz des Anwendungsvorrangs des Unionsrechts in aller Regel nicht die Grundrechte des Grundgesetzes, sondern allein die Unionsgrundrechte maßgeblich. Der Anwendungsvorrang steht unter anderem unter dem Vorbehalt, dass der Schutz des jeweiligen Grundrechts durch die stattdessen zur Anwendung kommenden Grundrechte der Union hinreichend wirksam ist.
Soweit das Bundesverfassungsgericht die Charta der Grundrechte der Europäischen Union als Prüfungsmaßstab anlegt, übt es seine Kontrolle in enger Kooperation mit dem Europäischen Gerichtshof aus. Nach Maßgabe des Art. 267 Abs. 3 AEUV legt es dem Gerichtshof vor.

3. Wie die Grundrechte des Grundgesetzes gewährleisten auch die Grundrechte der Charta nicht nur Schutz im Staat-Bürger-Verhältnis, sondern auch in privatrechtlichen Streitigkeiten. Auf der Basis des maßgeblichen Fachrechts sind daher die Grundrechte der Beteiligten miteinander in Ausgleich zu bringen. Insoweit prüft das Bundesverfassungsgericht – wie bei den Grundrechten des Grundgesetzes – nicht das Fachrecht, sondern allein, ob die Fachgerichte den Grundrechten der Charta hinreichend Rechnung getragen und einen vertretbaren Ausgleich gefunden haben.

4. Soweit Betroffene von einem Suchmaschinenbetreiber verlangen, den Nachweis und die Verlinkung bestimmter Inhalte im Netz zu unterlassen, sind in die danach gebotene Abwägung neben den Persönlichkeitsrechten der Betroffenen (Art. 7 und Art. 8 GRCh) im Rahmen der unternehmerischen Freiheit der Suchmaschinenbetreiber (Art. 16 GRCh) die Grundrechte der jeweiligen Inhalteanbieter sowie die Informationsinteressen der Internetnutzer einzustellen.

5. Soweit das Verbot eines Suchnachweises in Ansehung des konkreten Inhalts der Veröffentlichung ergeht und dem Inhalteanbieter damit ein wichtiges Medium zu dessen Verbreitung entzieht, das ihm anderweitig zur Verfügung stünde, liegt hierin eine Einschränkung seiner Meinungsfreiheit.

Den Volltext der Entscheidung finden Sie hier