Das Bundesverfassungsgericht einen Eilantrag gegen die Übermittlung personenbezogener Daten an das Statistische Bundesamt zur Vorbereitung des Zensus 2021 abgelehnt.
Die Pressemitteilung des Bundesverfassungsgerichts:
Erfolgloser Eilantrag gegen die testweise Datenübermittlung für den Zensus 2021
Mit heute veröffentlichtem Beschluss hat die 2. Kammer des Ersten Senats des Bundesverfassungsgerichts einen Antrag auf Erlass einer einstweiligen Anordnung abgelehnt, der darauf gerichtet war, § 9a ZensVorbG 2021 und die danach seit dem 14. Januar 2019 vorgenommene Übermittlung personenbezogener Daten an das Statistische Bundesamt zur Vorbereitung des Zensus 2021 außer Kraft zu setzen. Nach dieser Vorschrift werden seit dem 14. Januar 2019 testweise bestimmte personenbezogene Daten aus allen Melderegistern an das Statistische Bundesamt übermittelt, damit dieses in Vorbereitung des Zensus 2021 die Übermittlungswege und die Qualität der für den Zensus 2021 zu übermittelnden Daten aus den Melderegistern prüfen und die Programme für die Durchführung des Zensus weiterentwickeln kann. Die Kammer entschied, dass eine gegebenenfalls noch zu erhebende Verfassungsbeschwerde zwar nicht offensichtlich unzulässig oder unbegründet wäre. Im Rahmen einer für den Erlass einer einstweiligen Anordnung gebotenen Folgenabwägung überwiegen die Nachteile, die durch die testweise Übermittlung der Daten eintreten, jedoch nicht mit der für die Außerkraftsetzung eines Gesetzes erforderlichen Deutlichkeit gegenüber dem Gewicht, das der Gesetzgeber einer guten Vorbereitung der Durchführung des Zensus 2021 beilegen durfte.
Sachverhalt:
Die Bundesrepublik Deutschland ist verpflichtet, der Europäischen Kommission für das Bezugsjahr 2021 statistische Daten für eine geplante Volkszählung zu übermitteln. Zum Zweck der Prüfung der Übermittlungswege und der Qualität der hierfür zu übermittelnden Daten aus den Melderegistern sowie zum Test und zur Weiterentwicklung der Programme für die Durchführung des Zensus 2021 sieht § 9a des Zensusvorbereitungsgesetzes 2021 - beginnend am 14. Januar 2019 - eine zentrale Erfassung, Speicherung und Verarbeitung der nicht anonymisierten Meldedaten aller zum 13. Januar 2019 gemeldeter Personen durch das Statistische Bundesamt vor. Die übermittelten Daten sind nicht anonymisiert und umfassen neben Name und Wohnanschrift, Geschlecht, Staatsangehörigkeit und Familienstand u.a. auch die Zugehörigkeit zu öffentlich-rechtlichen Religionsgesellschaften. Eine Speicherung ist für einen Zeitraum von bis zu zwei Jahren nach dem Stichtag vorgesehen; eine Verarbeitung der Daten zu anderen Zwecken als der Prüfung der Übermittlungswege, der Prüfung der Datenqualität und dem Test und der Weiterentwicklung der Programme für die Durchführung des Zensus 2021 ist ausgeschlossen.
Die Antragsteller machen eine Verletzung ihres Rechts auf informationelle Selbstbestimmung geltend. Die Übermittlung der nicht anonymisierten Daten lasse Rückschlüsse auf den Kernbereich der privaten Lebensführung zu. Dies stehe außer Verhältnis zum Nutzen einer Erprobung und Optimierung der bereits weitgehend erprobten Übermittlungswege und Programme, zumal der Zweck der Übermittlung auch durch eine Übermittlung anonymisierter Daten - gegebenenfalls ergänzt um nicht anonymisierte Stichproben in geringem Umfang - in vergleichbarer Weise erreicht werden könne.
Wesentliche Erwägungen der Kammer:
Der Antrag auf Erlass einer einstweiligen Anordnung ist auf Grundlage einer Folgenabwägung abzulehnen.
Das Bundesverfassungsgericht kann einen Zustand durch eine einstweilige Anordnung vorläufig regeln, wenn dies zur Abwehr schwerer Nachteile, zur Verhinderung drohender Gewalt oder aus einem anderen wichtigen Grund zum gemeinen Wohl dringend geboten ist.
Der Ausgang einer gegebenenfalls noch zu erhebenden Verfassungsbeschwerde ist offen. Sie ist weder offensichtlich unzulässig noch unbegründet, da in der Kürze der Zeit beispielsweise nicht abschließend geklärt werden konnte, ob für den Testdurchlauf nicht auch geringere Datenmengen oder eine begrenztere Übermittlung oder Speicherung ausreichend gewesen wäre.
Das Bundesverfassungsgericht hat daher auf Grundlage einer Folgenabwägung zu entscheiden. Dabei hat es die Folgen, die eintreten würden, wenn eine einstweilige Anordnung erginge, die Verfassungsbeschwerde jedoch erfolglos wäre, gegenüber den Nachteilen abzuwägen, die entstünden, wenn die begehrte einstweilige Anordnung abgelehnt würde, die Verfassungsbeschwerde letztlich aber Erfolg hätte. Wird - wie vorliegend - die Aussetzung des Vollzugs eines Gesetzes begehrt, ist wegen des Eingriffs in die Gestaltungsfreiheit des Gesetzgebers ein besonders strenger Maßstab an die Folgenabwägung anzulegen.
Ergeht die einstweilige Anordnung nicht, hätte eine potentielle Verfassungsbeschwerde aber Erfolg, würden alle Daten der Beschwerdeführer für die Testzwecke zusammengeführt, obwohl dies nicht erforderlich und damit unverhältnismäßig wäre. Angesichts der eng begrenzten Verwendungszwecke und der strengen Vorgaben der Geheimhaltung überwiegt der Nachteil einer möglicherweise unverhältnismäßigen Speicherung nicht mit der erforderlichen Deutlichkeit gegenüber dem Interesse daran, durch einen Testlauf eine reibungslose Durchführung des Zensus 2021 zu ermöglichen. Die Behörden dürfen die Daten nur zur Vorbereitung des Zensus nutzen. An den Inhalt der Daten selbst dürfen sie hierfür nicht anknüpfen und an ihm haben sie auch keinerlei Interesse. Demgegenüber ist nach dem bei vorläufiger Betrachtung nicht unplausibel erscheinenden Vortrag des Bundesministeriums des Innern, für Bau und Heimat der Probedurchlauf mit nicht anonymisierten Daten aller Meldebehörden erforderlich, um die Qualität der Merkmale und der Programme effektiv überprüfen zu können.
Das Bundeskartellamt hat Facebook die Zusammenführung von Nutzerdaten aus verschiedenen Quellen untersagt.
Die Pressemitteilung des Bundeskartelamtes:
Bundeskartellamt untersagt Facebook die Zusammenführung von Nutzerdaten aus verschiedenen Quellen
Das Bundeskartellamt hat dem Unternehmen Facebook weitreichende Beschränkungen bei der Verarbeitung von Nutzerdaten auferlegt.
Nach den Geschäftsbedingungen von Facebook können Nutzer das soziale Netzwerk bislang nur unter der Voraussetzung nutzen, dass Facebook auch außerhalb der Facebook-Seite Daten über den Nutzer im Internet oder auf Smartphone-Apps sammelt und dem Facebook-Nutzerkonto zuordnet. Alle auf Facebook selbst, den konzerneigenen Diensten wie z.B. WhatsApp und Instagram sowie den auf Drittwebseiten gesammelten Daten können mit dem Facebook-Nutzerkonto zusammengeführt werden.
Die Entscheidung des Amtes erfasst verschiedene Datenquellen:
(i) Künftig dürfen die zum Facebook-Konzern gehörenden Dienste wie WhatsApp und Instagram die Daten zwar weiterhin sammeln. Eine Zuordnung der Daten zum Nutzerkonto bei Facebook ist aber nur noch mit freiwilliger Einwilligung des Nutzers möglich. Wenn die Einwilligung nicht erteilt wird, müssen die Daten bei den anderen Diensten verbleiben und dürfen nicht kombiniert mit den Facebook-Daten verarbeitet werden.
(ii) Eine Sammlung und Zuordnung von Daten von Drittwebseiten zum Facebook-Nutzerkonto ist in der Zukunft ebenfalls nur noch dann möglich, wenn der Nutzer freiwillig in die Zuordnung zum Facebook-Nutzerkonto einwilligt.
Fehlt es bei den Daten von den konzerneigenen Diensten und Drittwebsites an der Einwilligung, kann Facebook die Daten nur noch sehr stark eingeschränkt sammeln und dem Nutzerkonto zuordnen. Enstsprechende Lösungsvorschläge hierfür muss Facebook erarbeiten und dem Amt vorlegen.
Andreas Mundt, Präsident des Bundeskartellamtes: „Wir nehmen bei Facebook für die Zukunft eine Art innere Entflechtung bei den Daten vor. Facebook darf seine Nutzer künftig nicht mehr zwingen, einer faktisch grenzenlosen Sammlung und Zuordnung von Nicht-Facebook-Daten zu ihrem Nutzerkonto zuzustimmen.Die Kombination von Datenquellen hat ganz maßgeblich dazu beigetragen, dass Facebook einen so einzigartigen Gesamtdatenbestand über jeden einzelnen Nutzer erstellen und seine Marktmacht erreichen konnte. Der Verbraucher kann in Zukunft verhindern, dass Facebook seine Daten ohne Beschränkung sammelt und verwertet. Die bisherige Zusammenführung aller Daten unter dem Facebook-Nutzerkonto in faktisch schrankenlosem Ausmaß hängt für die Zukunft von der freiwilligen Einwilligung der Nutzer ab. Und Freiwilligkeit heißt, dass die Nutzung der Facebook-Dienste nicht von der Einwilligung des Nutzers in diese Art der Datensammlung und -zusammenführung abhängig gemacht werden darf. Wenn der Nutzer die Einwilligung nicht erteilt, darf Facebook ihn nicht von seinen Diensten ausschließen und muss auf eine Datensammlung und -zusammenführung aus den verschiedenen Quellen verzichten.“
Facebook ist auf dem Markt für soziale Netzwerke marktbeherrschend
Im Dezember 2018 hatte Facebook weltweit 1,52 Mrd. täglich und 2,32 Mrd. monatlich aktive Nutzer. Auf dem deutschen Markt für soziale Netzwerke ist Facebook marktbeherrschend. Hier hat Facebook mit 23 Mio. täglichen und 32 Mio. monatlichen Nutzern einen Marktanteil von über 95 Prozent bei den täglich aktiven Nutzern und von über 80 Prozent bei den monatlich aktiven Nutzern. Der Wettbewerber Google+ hat unlängst angekündigt, sein soziales Netzwerk bis April 2019 einzustellen. Dienste wie Snapchat, YouTube oder Twitter, aber auch berufliche Netzwerke wie LinkedIn und Xing bieten jeweils nur einen Ausschnitt der Leistungen eines sozialen Netzwerkes an und sind deshalb nicht in den relevanten Markt einzubeziehen. Aber auch unter Einbeziehung dieser Dienste würde der Facebook-Konzern inklusive seiner Tochterunternehmen Instagram und WhatsApp auf so hohe Marktanteile kommen, die die Annahme eines Monopolisierungsprozesses nahelegen.
Andreas Mundt: „Als marktbeherrschendes Unternehmen unterliegt Facebook besonderen kartellrechtlichen Pflichten und muss bei dem Betrieb seines Geschäftsmodells berücksichtigen, dass die Facebook-Nutzer praktisch nicht auf andere soziale Netzwerke ausweichen können. Ein obligatorisches Häkchen bei der Zustimmung in die Nutzungsbedingungen des Unternehmens stellt angesichts der überragenden Marktmacht des Unternehmens keine ausreichende Grundlage für eine derartig intensive Datenverarbeitung dar. Der Nutzer hat ja nur die Wahl, entweder eine umfassende Datenzusammenführung zu akzeptieren oder aber auf die Nutzung des sozialen Netzwerkes zu verzichten. Von einer freiwilligen Einwilligung in die Datenverarbeitungsbedingungen kann in einer solchen Zwangssituation des Nutzers keine Rede sein.“
Missbrauch der Marktmacht durch Umfang der Sammlung, Verwertung und Zuführung der Daten auf dem Nutzerkonto
Der Umfang, in dem Facebook Daten ohne Einwilligung der Nutzer sammelt, dem Nutzerkonto zuführt und verwertet ist missbräuchlich.
Das Bundeskartellamt hat keine Entscheidung getroffen, wie die Verarbeitung von Daten, die bei der Nutzung der originären Facebook-Website selbst anfallen, kartellrechtlich zu bewerten ist. Aufgrund der direkten Zuordnung zu dem konkreten Dienst wissen Nutzer, dass ihre Daten dort in einem bestimmten Umfang erhoben und genutzt werden. Dies ist auch wesentlicher Bestandteil eines sozialen Netzwerkes und dessen datenbasiertem Geschäftsmodell.
Was vielen jedoch nicht bewusst ist: Die private Nutzung des Netzwerks ist u.a. auch davon abhängig, dass Facebook nahezu unbegrenzt jegliche Art von Nutzerdaten aus Drittquellen sammelt, den Facebook-Konten der Nutzer zuordnet und zu zahlreichen Datenverarbeitungsvorgängen verwendet. Drittquellen sind dabei die konzerneigenen Dienste wie z.B. Instagram oder WhatsApp aber auch Drittseiten, die mit Schnittstellen, wie z.B. dem „Like-“ oder „Share-Button“, versehen sind. Wenn Webseiten und Apps derartige sichtbare Schnittstellen eingebunden haben, fließen schon mit deren Aufruf bzw. Installation Daten an Facebook. Es ist also beispielsweise nicht notwendig, einen „Like-Button“ zu berühren oder gar zu betätigen. Schon der Aufruf einer Seite, in der ein „Like-Button“ eingebunden ist, löst den Datenfluss zu Facebook aus. Solche Schnittstellen sind millionenfach auf deutschen Webseiten und in Apps verbreitet.
Aber auch wenn für den Internetnutzer gar kein Facebook-Symbol auf einer Website sichtbar ist, fließen vielfach Daten des Nutzers von einer Internetseite zu Facebook. Dies ist etwa dann der Fall, wenn ein Homepage-Betreiber im Hintergrund den Analysedienst „Facebook Analytics“ einsetzt, um damit Auswertungen über die Nutzer seiner Homepage durchzuführen.
Andreas Mundt: „Durch die Kombination von Daten aus der eigenen Website, konzerneigenen Diensten und der Analyse von Drittwebseiten erhält Facebook ein sehr genaues Profil seiner Nutzer und weiß, was sie im Internet machen.“
Europäische Datenschutzvorschriften als Maßstab für den Ausbeutungsmissbrauch
Die Nutzungsbedingungen und die Art und der Umfang der Sammlung und Verwertung der Daten durch Facebook verstoßen zu Lasten der Nutzer gegen europäische Datenschutzvorschriften. Das Bundeskartellamt hat hinsichtlich der datenschutzrechtlichen Fragestellungen eng mit führenden Datenschutzbehörden zusammengearbeitet.
Das Bundeskartellamt bewertet das Verhalten von Facebook vor allem als einen sogenannten Ausbeutungsmissbrauch. Marktbeherrschende Unternehmen dürfen die Marktgegenseite – hier also die Verbraucher als Facebook-Nutzer – nicht ausbeuten. Das gilt vor allem dann, wenn durch die Ausbeutung gleichzeitig auch Wettbewerber behindert werden, die keinen solchen Datenschatz anhäufen können. Diese kartellrechtliche Herangehensweise ist nicht neu, sondern entspricht der Rechtsprechung des Bundesgerichtshofes, wonach nicht nur überhöhte Preise, sondern auch die Unangemessenheit von vertraglichen Regelungen und Konditionen eine missbräuchliche Ausbeutung darstellen (sog. Konditionenmissbrauch).
Andreas Mundt: „Daten sind heute ein entscheidender Faktor im Wettbewerb. Gerade für Facebook sind sie sogar der wesentliche Faktor für die Dominanz des Unternehmens. Auf der einen Seite steht eine kostenlose Dienstleistung für die Nutzer. Auf der anderen Seite steigt die Attraktivität und der Wert der Werbeplätze mit der Menge und der Tiefe der Daten über die Nutzer. Gerade bei der Datensammlung und Verwertung muss sich Facebook deshalb als marktbeherrschendes Unternehmen an die in Deutschland und Europa geltenden Regeln und Gesetze halten.“
Die Entscheidung des Bundeskartellamtes ist noch nicht rechtskräftig. Facebook hat die Möglichkeit innerhalb eines Monats Beschwerde gegen die Entscheidung einzulegen, über die dann das Oberlandesgericht Düsseldorf entscheiden würde."
Die Pressemitteilung des Bundesverfassungsgerichts:
Baden-württembergische und hessische Regelungen zur automatisierten Kraftfahrzeugkennzeichenkontrolle in Teilen verfassungswidrig
Die polizeirechtlichen Vorschriften zur Kraftfahrzeugkennzeichenkontrolle in Baden-Württemberg und Hessen sind teilweise verfassungswidrig. Dies hat der Erste Senat des Bundesverfassungsgerichts mit heute veröffentlichtem Beschluss unter Zugrundelegung der Maßstäbe aus dem Beschluss vom selben Tag (vgl. dazu Pressemitteilung Nr. 8/2019) entschieden.
Beide Länder können ihre Regelungen der Kennzeichenkontrollen im Wesentlichen auf ihre Gesetzgebungszuständigkeit für die Gefahrenabwehr stützen. Soweit Baden-Württemberg jedoch automatisierte Kennzeichenkontrollen zur Unterstützung von polizeilichen Kontrollstellen und Kontrollbereichen erlaubt, die zur Fahndung nach Straftätern und damit zur Strafverfolgung eingerichtet werden, fehlt es dem Land für die Regelungen schon zur Einrichtung dieser Kontrollstellen und Kontrollbereiche selbst an der Gesetzgebungskompetenz. Dementsprechend ist auch die hieran anknüpfende Kennzeichenkontrolle formell verfassungswidrig. Aus formellen Gründen sind auch die hessischen Regelungen zur automatisierten Kennzeichenkontrolle an polizeilichen Kontrollstellen, die zur Verhütung versammlungsrechtlicher Straftaten eingerichtet sind, sowie wiederum auch die Regelung zur Einrichtung dieser Kontrollstellen selbst verfassungswidrig. Als Eingriffe in Art. 8 GG genügen sie nicht dem Zitiergebot des Art. 19 Abs. 1 Satz 2 GG.
Die Regelungen genügen auch nicht in jeder Hinsicht dem Verhältnismäßigkeitsgrundsatz. In beiden Ländern werden Kennzeichenkontrollen nicht umfassend auf den Schutz von Rechtsgütern von erheblichem Gewicht begrenzt und werden Kennzeichenkontrollen als Mittel der Schleierfahndung ohne eine ausreichend klare grenzbezogene Beschränkung erlaubt. Nicht zu beanstanden sind die Regelungen zum Umfang des Datenabgleichs. Entgegen der Praxis beider Länder sind sie jedoch verfassungskonform einschränkend dahingehend auszulegen, dass der Abgleich jeweils auf die Datensätze zu beschränken ist, die für die Erreichung des konkreten Zwecks der Kennzeichenkontrolle geeignet sind.
Der Senat hat die verfassungswidrigen Vorschriften größtenteils übergangsweise für weiter anwendbar erklärt, längstens jedoch bis zum 31. Dezember 2019.
Sachverhalt:
Die Polizei in Baden-Württemberg und Hessen wird mit den angegriffenen Vorschriften dazu ermächtigt, durch den Einsatz von Kennzeichenlesesystemen verdeckt die Kennzeichen von Kraftfahrzeugen zu erfassen und diese mit zur Fahndung ausgeschriebenen Kennzeichen abzugleichen (vgl. näher Pressemitteilung Nr. 8/2019 vom selben Tag zur entsprechenden Regelung in Bayern). Anders als nach der Verwaltungspraxis in Bayern wird bei Erstellung der Abgleichdatei in Baden-Württemberg und Hessen nicht nach dem Zweck der Kennzeichenkontrolle unterschieden, so dass der zum Abgleich herangezogene Datenbestand, der seine Grundlage insbesondere in den Sachfahndungsdaten des Schengener Informationssystems hat, nicht je nach Zweck der Aufstellung des Kennzeichenlesesystems variiert.
Die Beschwerdeführer wenden sich mit ihrer Verfassungsbeschwerde unmittelbar gegen die Regelungen der Kennzeichenkontrolle in den jeweiligen Landespolizeigesetzen selbst (Rechtssatzverfassungsbeschwerde). Sie seien Halter von Personenkraftwagen, mit denen sie regelmäßig auf den Straßen von Baden-Württemberg und Hessen unterwegs sind, und würden deshalb mit erheblicher Wahrscheinlichkeit unbemerkt in solche Kennzeichenkontrolle geraten. In diesen liege ein Eingriff in ihr Grundrecht auf informationelle Selbstbestimmung. Eine Rechtfertigung dieser Grundrechtseingriffe scheide aus, da die gesetzlichen Grundlagen der Kennzeichenkontrolle formell verfassungswidrig seien und gegen die verfassungsrechtlichen Grundsätze der Bestimmtheit und Verhältnismäßigkeit verstießen.
Wesentliche Erwägungen des Senats:
I. Die Rechtssatzverfassungsbeschwerden sind zulässig, auch wenn die Beschwerdeführer zuvor nicht den fachgerichtlichen Rechtsweg erschöpft haben.
Nach dem Subsidiaritätsgrundsatz sind Beschwerdeführer grundsätzlich dazu verpflichtet, alle Mittel zu ergreifen, die der geltend gemachten Grundrechtsverletzung abhelfen könnten. Dazu kann bei Verfassungsbeschwerden unmittelbar gegen ein Gesetz auch die Erhebung einer Feststellungs- oder Unterlassungsklage gehören. Das ist auch dann nicht ausgeschlossen, wenn die fachgerichtliche Prüfung für den Beschwerdeführer günstigstenfalls dazu führen kann, dass das angegriffene Gesetz gemäß Art. 100 Abs. 1 GG dem Bundesverfassungsgericht vorgelegt wird. Entscheidend ist, ob die fachgerichtliche Klärung erforderlich ist, um zu vermeiden, dass das Bundesverfassungsgericht seine Entscheidungen auf ungesicherter Tatsachen- und Rechtsgrundlage trifft. Die Pflicht zur vorherigen Anrufung der Fachgerichte darf Beschwerdeführer dabei aber nicht vor unabsehbare Risiken hinsichtlich der ihnen zu Gebote stehenden Handlungsmöglichkeiten und der hierbei zu beachtenden Fristen stellen. Es bedarf insoweit einer rechtsschutzfreundlichen Auslegung.
Grundsätzlich waren die Beschwerdeführer danach verpflichtet, zunächst Unterlassungsklagen gegen die Kennzeichenkontrollen vor den Fachgerichten einzulegen. Dies war ihnen vorliegend jedoch nicht zumutbar, da in der letzten Entscheidung des Ersten Senats zu dem gleichen Thema bei gleicher prozessualer Ausgangslage die Möglichkeit einer Unterlassungsklage noch nicht einmal in Erwägung gezogen wurde. Hinzu kommt, dass inzwischen über den Kern des Beschwerdevorbringens von den Fachgerichten bis hin zum Bundesverwaltungsgericht entschieden wurde und eine Verweisung der Beschwerdeführer auf den Rechtsweg die Entscheidungsgrundlagen für die Beurteilung der Vorschriften heute daher nicht mehr verbreitern könnte.
II. Die Verfassungsbeschwerden sind zudem teilweise begründet.
1. Die Regelungen zur Kraftfahrzeugkennzeichenkontrolle greifen nach den Maßstäben, die der Senat in seinem ebenfalls heute veröffentlichten Beschluss zu entsprechenden Vorschriften des Freistaats Bayerns entwickelt hat, in das Grundrecht auf informationelle Selbstbestimmung aus Art. 2 Abs. 1 in Verbindung mit Art. 1 Abs. 1 GG ein (vgl. dazu Pressemitteilung Nr. 8/2019).
2. Hinsichtlich der Vereinbarkeit der angegriffenen Normen mit den formellen Anforderungen der Verfassung bestehen weithin keine Bedenken. Die Regelungen zur Kennzeichenkontrolle in beiden Ländern sind überwiegend der Gefahrenabwehr zuzuordnen, für welche die Länder die Gesetzgebungskompetenz innehaben.
Aus formellen Gründen nicht mit der Verfassung vereinbar ist jedoch, dass in Baden-Württemberg automatisierte Kennzeichenkontrollen zur Unterstützung von polizeilichen Kontrollstellen oder Kontrollbereichen zur Fahndung nach Straftätern vorgesehen sind. Hier fehlt dem Land schon für die Bestimmungen, die die Einrichtung solcher Kontrollstellen und -bereiche selbst regeln, die Gesetzgebungskompetenz. Es handelt sich um Regelungen zur Strafverfolgung, für die der Bund die konkurrierende Gesetzgebungskompetenz hat und von der er auch abschließend Gebrauch gemacht hat. Entsprechend ist die Regelung der Kennzeichenkontrolle, die als tatbestandliche Voraussetzung auf diese Regelung verweist, verfassungswidrig. Es fehlt insoweit an einer hinreichend bestimmten und begrenzenden Anknüpfung für die Kennzeichenerfassung.
Formell nicht mit der Verfassung vereinbar sind auch die hessischen Regelungen zu automatisierten Kennzeichenkontrollen, soweit sie zur Unterstützung von polizeilichen Kontrollstellen zur Verhinderung von versammlungsrechtlichen Straftaten dienen, sowie wiederum auch die Regelung zur Einrichtung solcher Kontrollstellen selbst. Der Gesetzgeber darf solche Kontrollen zwar vorsehen. Weil in ihnen jedoch ein Eingriff in die Versammlungsfreiheit des Art. 8 GG liegt, muss das Gesetz das Grundrecht unter Angabe dessen Artikels nennen (sogenanntes Zitiergebot, vgl. Art. 19 Abs. 1 Satz 2 GG). Dem genügen die angegriffenen Vorschriften nicht.
3. In materieller Hinsicht sind die angegriffenen Vorschriften mit den aus dem Verhältnismäßigkeitsgrundsatz folgenden Anforderungen nicht in jeder Hinsicht vereinbar. Der Senat greift hierfür auf seine Maßstäbe für polizeiliche Kontrollen zurück, die er im ebenfalls heute veröffentlichten Beschluss zu entsprechenden Regelungen in Bayern ausgeführt hat (vgl. dazu Pressemitteilung Nr. 8/2019).
a) Den Regelungen der Kennzeichenkontrolle in Baden-Württemberg und Hessen fehlt es hinsichtlich der tatbestandlichen Voraussetzung der allgemeinen Abwehr einer Gefahr für die öffentliche Sicherheit und Ordnung an einer Beschränkung auf den Schutz von Rechtsgütern von zumindest erheblichem Gewicht oder einem vergleichbar gewichtigen öffentlichen Interesse.
b) Soweit die Kennzeichenkontrolle als Mittel der Schleierfahndung erlaubt wird, stellen die Regelungen beider Länder nicht sicher, dass derartige Kontrollen nur an Orten mit einem hinreichend klaren Grenzbezug erfolgen dürfen. Indem die Schleierfahndung in Baden-Württemberg allgemein auf Straßen von erheblicher Bedeutung für die grenzüberschreitende Kriminalität im ganzen Land eröffnet wird, ist der Grenzbezug für automatisierte Kennzeichenkontrollen nicht hinreichend bestimmt und begrenzt. Diesen Anforderungen werden auch die hessischen Regelungen nicht gerecht, soweit sie die Schleierfahndung auf allen Straßen im ganzen Land zur Bekämpfung der grenzüberschreitenden Kriminalität eröffnen.
c) Im Übrigen sind die gesetzlichen Voraussetzungen für die Durchführung der Kennzeichenkontrolle in beiden Ländern, die sich wesentlich aus einem Verweis auf die Regelungen zur Identitätsfeststellung ergeben, verfassungsrechtlich weder hinsichtlich der Anforderungen an einen hinreichend bestimmten konkreten Anlass noch hinsichtlich der Anforderungen an einen hinreichend gewichtigen Rechtsgüterschutz zu beanstanden. Dies gilt für die Ermächtigung zur Kontrolle an gefährlichen und gefährdeten Orten, zum Schutz besonders gefährdeter Personen sowie zur Unterstützung polizeilicher Kontrollstellen zur Verhütung besonders schwerer Straftaten, wenn bereits die Einrichtung derartiger Kontrollstellen eine konkrete Gefahr voraussetzt.
d) Einer einschränkenden verfassungskonformen Auslegung bedürfen allerdings die Regelungen zum Datenabgleich. Sie müssen so verstanden werden, dass sich der Umfang des erlaubten Datenabgleichs jeweils auf diejenigen Fahndungsbestände beschränkt, die für den konkreten Zweck der Kennzeichenkontrolle von Bedeutung sind. Das in den Verfahren zum Ausdruck gekommene gegenläufige Verständnis in der Praxis genügt diesen Anforderungen nicht.
e) Die Vorschriften zur Verwendung der Daten für weitere Zwecke entsprechen den verfassungsrechtlichen Anforderungen an eine Zweckänderung nicht. Nach dem Kriterium der Datenneuerhebung ist die Verwendung der Informationen nur zulässig, wenn diese auch für den geänderten Zweck mit vergleichbar schwerwiegenden Mitteln neu erhoben werden dürften. Dies stellen weder die baden-württembergischen noch die hessischen Regelungen ausreichend sicher.
Die Pressemitteilung des Bundesverfassungsgerichts:
Automatisierte Kraftfahrzeugkennzeichenkontrollen nach dem Bayerischen Polizeiaufgabengesetz in Teilen verfassungswidrig
Mit heute veröffentlichtem Beschluss hat der Erste Senat des Bundesverfassungsgerichts die automatisierte Kraftfahrzeugkennzeichenkontrolle nach dem Bayerischen Polizeiaufgabengesetz als Verstoß gegen das Recht auf informationelle Selbstbestimmung in Teilen für verfassungswidrig erklärt. In solchen Kontrollen liegen Grundrechtseingriffe gegenüber allen Personen, deren Kraftfahrzeugkennzeichen erfasst und abgeglichen werden, unabhängig davon, ob die Kontrolle zu einem Treffer führt (Änderung der Rechtsprechung). Diese Eingriffe sind nur teilweise gerechtfertigt.
Hinsichtlich der angegriffenen Vorschriften steht dem Freistaat Bayern überwiegend die Gesetzgebungskompetenz zu. Die Regelung von Kennzeichenkontrollen, die als Mittel der Gefahrenabwehr ausgestaltet sind, liegt bei den Ländern, auch wenn sie im Ergebnis zugleich der Strafverfolgung nutzen, für die der Bund eine konkurrierende Gesetzgebungskompetenz hat. Kompetenzwidrig sind die bayerischen Regelungen jedoch, soweit sie Kennzeichenkontrollen unmittelbar zum Grenzschutz erlauben.
Kennzeichenkontrollen bedürfen nach dem Grundsatz der Verhältnismäßigkeit grundsätzlich eines hinreichend gewichtigen Anlasses. Dem genügen die Vorschriften nicht, soweit die Kontrollen nicht auf den Schutz von Rechtsgütern von zumindest erheblichem Gewicht beschränkt sind und als Mittel der Schleierfahndung keinen hinreichend bestimmten Grenzbezug aufweisen. Soweit sie automatisierte Kennzeichenkontrollen zur Unterstützung von polizeilichen Kontrollstellen erlauben, ist das nicht zu beanstanden, weil die Einrichtung solcher Kontrollstellen bei verständiger Auslegung eine konkrete Gefahr und damit selbst einen rechtfertigenden Anlass voraussetzt. Die Vorschriften zum Abgleich der erfassten Kennzeichen müssen verfassungskonform einschränkend so ausgelegt werden, dass jeweils nur die Fahndungsbestände zum Abgleich herangezogen werden dürfen, die zur Abwehr der Gefahr geeignet sind, die Anlass der jeweiligen Kennzeichenkontrolle ist. Im Übrigen fehlt es den Regelungen an einer Pflicht zur Dokumentation der Entscheidungsgrundlagen.
Der Senat hat die verfassungswidrigen Vorschriften größtenteils übergangsweise für weiter anwendbar erklärt, längstens jedoch bis zum 31. Dezember 2019.
Sachverhalt:
In Bayern ist die Polizei dazu ermächtigt, automatisierte Kraftfahrzeugkennzeichenkontrollen durchzuführen. Dabei wird das Kennzeichen eines vorbeifahrenden Kraftfahrzeugs verdeckt von einem Kennzeichenlesesystem automatisiert erfasst, kurzzeitig gemeinsam mit Angaben zu Ort, Datum, Uhrzeit und Fahrtrichtung gespeichert und mit Kennzeichen aus dem Fahndungsbestand abgeglichen. Für den Abgleich wird eine eigene Abgleichdatei erstellt, die nach der bayerischen Praxis nur Kennzeichen enthält, die für den Zweck der jeweiligen Kennzeichenkontrolle zusammengestellt werden. Ergibt der Abgleich des Kennzeichens keinen Treffer, wird der Datensatz mit-samt dem erfassten Kennzeichen unverzüglich und automatisch vom Computer gelöscht (Nichttreffer). Sofern das Kennzeichenlesesystem einen Treffer meldet, überprüft ein Polizeibeamter an einem Computerbildschirm visuell, ob das aufgenommene Bild des Kennzeichens mit dem Kennzeichen aus dem Fahndungsbestand übereinstimmt. Ist dies beispielsweise wegen einer fehlerhaften Ablesung des Kennzeichens nicht der Fall (unechter Treffer), wird der gesamte Vorgang durch den Polizeibeamten manuell gelöscht. Bei einer Übereinstimmung (echter Treffer) werden die Daten gespeichert und gegebenenfalls weitere polizeiliche Maßnahmen eingeleitet.
Der Beschwerdeführer, der seinen Hauptwohnsitz in Bayern und einen weiteren Wohnsitz in Österreich hat, ist Halter eines auf ihn zugelassenen Kraftfahrzeugs, mit dem er zwischen seinen Wohnsitzen pendelt und auf Bundesautobahnen in Bayern unterwegs ist. Er befürchtete, in die durch das Gesetz ermöglichten Kennzeichenkontrollen zu geraten, und beantragte deshalb beim Verwaltungsgericht, den Freistaat Bayern zu verurteilen, es zu unterlassen, Kennzeichen von seinen Kraftfahrzeugen mit dem Kennzeichenlesesystem zu erfassen und mit den polizeilichen Daten abzugleichen. Mittelbar wendete er sich damit gegen die Normen zur Kennzeichenkontrolle selbst.
Das Verwaltungsgericht und der Bayerische Verwaltungsgerichtshof hielten die Unterlassungsklage für zulässig, aber unbegründet. Der Bayerische Verwaltungsgerichtshof entschied, dass im Fall eines Nichttreffers allerdings schon kein Grundrechtseingriff vorliege, da die Daten unverzüglich und automatisiert gelöscht würden. Es bestehe aber die hinreichende Wahrscheinlichkeit, dass es zu einem unechten Treffer komme, der einen Eingriff in das informationelle Selbstbestimmungsrecht begründe. Dieser Eingriff finde jedoch durch die Vorschriften zur Kennzeichenkontrolle eine verfassungsgemäße gesetzliche Grundlage.
Das Bundesverwaltungsgericht wies die Revision des Beschwerdeführers zurück. Die Klage sei unbegründet. Wie der Nichttreffer sei auch der unechte Treffer nicht als Grundrechtseingriff zu beurteilen. Bei einem unechten Treffer nehme der Polizeibeamte das Kennzeichen nur wahr, um den unvollkommenen Lesemodus des Systems zu korrigieren, indem er vom Kennzeichenlesesystem fehlerhaft als Treffer gemeldete Kennzeichen unverzüglich lösche. Zu einem echten Treffer könne es im Fall des Beschwerdeführers nicht kommen, da sein Kraftfahrzeugkennzeichen in keinem Fahndungsbestand gespeichert sei. Da das Bundesverwaltungsgericht damit einen Eingriff in die Grundrechte des Beschwerdeführers ausschloss, kam es auf die Verfassungsmäßigkeit der mittelbar angegriffenen Vorschriften nicht an und musste es sie in der Sache nicht prüfen.
Der Beschwerdeführer macht mit seiner Verfassungsbeschwerde geltend, durch die Entscheidungen in seinem Grundrecht auf informationelle Selbstbestimmung aus Art. 2 Abs. 1 in Verbindung mit Art. 1 Abs. 1 GG verletzt zu sein. Die Gerichte hätten den Umfang des Schutzbereichs des Rechts auf informationelle Selbstbestimmung verkannt, indem sie in Fällen des Nichttreffers und des unechten Treffers keinen Grundrechtseingriff angenommen hätten. Ein Grundrechtseingriff liege bereits darin, von einer Kennzeichenkontrolle erfasst zu werden. Die diesbezüglichen Rechtsgrundlagen seien formell verfassungswidrig, da es sich nicht um Regelungen der Gefahrenabwehr, sondern der Strafverfolgung handle, für die der Bund zuständig sei. Ferner verstießen die Rechtsgrundlagen zur Kennzeichenkontrolle gegen die verfassungsrechtlichen Gebote der Bestimmtheit und der Verhältnismäßigkeit.
Wesentliche Erwägungen des Senats:
I. Die Verfassungsbeschwerde ist zulässig, aber nur teilweise begründet. Die angegriffenen Entscheidungen verletzen den Beschwerdeführer in seinem Grundrecht auf informationelle Selbstbestimmung aus Art. 2 Abs. 1 in Verbindung mit Art. 1 Abs. 1 GG.
II. Das Recht auf informationelle Selbstbestimmung trägt Gefährdungen und Verletzungen der Persönlichkeit Rechnung, die sich für den einzelnen, insbesondere unter den Bedingungen moderner Datenverarbeitung, aus informationsbezogenen Maßnahmen ergeben. Der Schutzumfang beginnt bereits auf der Stufe der Gefährdung des Persönlichkeitsrechts. Umfasst sind alle personenbezogenen Daten unabhängig davon, ob sie für sich genommen nur einen geringen Informationsgehalt haben, sensibel oder öffentlich zugänglich sind. Insofern gibt es unter den Bedingungen der elektronischen Datenverarbeitung kein schlechthin belangloses personenbezogenes Datum.
Grundrechtseingriff
III. Die Kennzeichenkontrolle greift jeweils durch die Erfassung der Kennzeichen, den Abgleich und die darauffolgende Verwendung der Daten in das Grundrecht auf informationelle Selbstbestimmung ein. Ein Eingriff liegt auch im Falle eines unechten Treffers und eines Nichttreffers vor. Soweit dem die Entscheidung des Senats vom 11. März 2008 (BVerfGE 120, 378) entgegensteht, wird daran nicht festgehalten.
Allerdings fehlt es nach der Rechtsprechung des Senats an einer Eingriffsqualität, sofern Daten ungezielt und allein technikbedingt zunächst miterfasst, aber unmittelbar nach der Erfassung technisch wieder anonym, spurenlos und ohne Erkenntnisinteresse für die Behörden ausgesondert werden. Hieran wird festgehalten. Maßgeblich ist, ob sich bei einer Gesamtbetrachtung mit Blick auf den durch den Überwachungs- und Verwendungszweck bestimmten Zusammenhang das behördliche Interesse an den betroffenen Daten bereits derart verdichtet hat, dass ein Betroffensein in einer einen Grundrechtseingriff auslösenden Qualität zu bejahen ist.
Dies ist bei einer Kennzeichenkontrolle jedoch gegenüber allen erfassten Personen der Fall. Die Einbeziehung der Daten auch von Personen, deren Abgleich letztlich zu Nichttreffern führt, erfolgt nicht ungezielt und allein technikbedingt, sondern ist notwendiger und gewollter Teil der Kontrolle und gibt ihr als Fahndungsmaßnahme erst ihren Sinn. Dem steht nicht entgegen, dass den Betroffenen im Nichttrefferfall weder Unannehmlichkeiten noch Konsequenzen erwachsen. Denn das ändert nichts daran, dass die Betroffenen überprüft werden, ob sie behördlich gesucht werden und ihre ungehinderte Weiterfahrt unter den Vorbehalt gestellt wird, dass Erkenntnisse gegen sie nicht vorliegen. Eine solche Maßnahme ist nicht erst hinsichtlich ihrer Folgen, sondern als solche freiheitsbeeinträchtigend. Zur Freiheitlichkeit des Gemeinwesens gehört es, dass sich die Bürgerinnen und Bürger grundsätzlich fortbewegen können, ohne dabei beliebig staatlich registriert zu werden, hinsichtlich ihrer Rechtschaffenheit Rechenschaft ablegen zu müssen und dem Gefühl eines ständigen Überwachtwerdens ausgesetzt zu sein.
Formelle Verfassungsmäßigkeit
IV. In formeller Hinsicht sind die angegriffenen Normen überwiegend mit der Verfassung vereinbar. Da die Regelungen der Gefahrenabwehr zuzuordnen sind, liegt die Gesetzgebungskompetenz bei den Ländern. Insbesondere handelt es sich bei den bayerischen Regelungen zur Kennzeichenkontrolle nicht um Regelungen der Strafverfolgung, für die der Bund eine konkurrierende Gesetzgebungskompetenz hat. Für die Abgrenzung zwischen Regelungen zur Gefahrenabwehr und zur Strafverfolgung kommt es auf eine genaue Bestimmung des Zwecks der Normen an. Die Kennzeichenkontrolle in Bayern ist nur in Fällen erlaubt, in denen eine Identitätsfeststellung zulässig ist und ist dabei auf die Gefahrenabwehr gerichtet. Die Kennzeichenkontrolle dient in Anknüpfung hieran der Abwehr von im Einzelfall auftretenden Gefahren, der Bekämpfung der Herausbildung und Verfestigung gefährlicher Orte, dem Schutz von gefährdeten Orten, der Unterstützung von polizeilichen Kontrollstellen sowie der Bekämpfung grenzüberschreitender Kriminalität oder der Verhütung oder Unterbindung des unerlaubten Aufenthalts mittels der Schleierfahndung. Darüber hinaus liegt es auch in der Gesetzgebungskompetenz der Länder, die weitere Nutzung der Daten im Wege der Zweckänderung für andere Zwecke zu regeln. Denn hierin liegt noch keine abschließende Entscheidung, sondern nur eine Öffnung, die weitere gesetzliche Regelungen erfordert.
Dem Freistaat Bayern fehlt allerdings die Gesetzgebungskompetenz, soweit durch einen Verweis auf Art. 13 Abs. 1 Nr. 5 des Bayerischen Polizeiaufgabengesetzes (BayPAG) die Kennzeichenkontrolle zur Verhütung oder Unterbindung der unerlaubten Überschreitung der Landesgrenze erlaubt ist. Diese Variante der Vorschrift ist eine Frage des Grenzschutzes, für die gemäß Art. 73 Abs. 1 Nr. 5 GG ausschließlich der Bund die Gesetzgebungskompetenz innehat. Der Einsatz der Kennzeichenkontrollen zur Verhütung oder Unterbindung des unerlaubten Aufenthalts und zur Bekämpfung der grenzüberschreitenden Kriminalität, wie er nach den beiden anderen Varianten des Art. 13 Abs. 1 Nr. 5 BayPAG erlaubt ist, unterliegt keinen kompetenzrechtlichen Bedenken, da es sich um Regelungen der Gefahrenabwehr handelt.
Materielle Verfassungsmäßigkeit
V. Im Hinblick auf die materielle Verfassungsmäßigkeit ergeben sich Maßgaben zur Regelung von Kennzeichenkontrollen aus dem Verhältnismäßigkeitsgrundsatz.
1. Polizeiliche Kontrollen zur gezielten Suche nach Personen oder Sachen im öffentlichen Raum setzen danach grundsätzlich einen objektiv bestimmten und begrenzten Anlass voraus. Die Durchführung von Kontrollen zu beliebiger Zeit und an beliebigem Ort ins Blaue hinein ist mit dem Rechtsstaatsprinzip grundsätzlich unvereinbar. Der Gesetzgeber hat eine Eingriffsschwelle vorzugeben, durch die das staatliche Handeln an vorhersehbare und kontrollierbare Voraussetzungen gebunden wird. Dies können einzelne Gefahren, typisierte Gefahrenlagen oder auch Situationen sein, in denen eine spezifisch gesteigerte Wahrscheinlichkeit besteht, gesuchte Personen oder Sachen aufzufinden. Es muss diesbezüglich aber stets ein auf einer hinreichenden Tatsachenbasis beruhender rechtfertigender Grund vorliegen. Abzugrenzen ist dies von Konstellationen, in denen polizeiliche Kontrollen – anders als hier ‑ an ein gefährliches oder risikobehaftetes Tun anknüpfen wie etwa bei Verkehrskontrollen oder in weiten Bereichen etwa des Umwelt- oder Wirtschaftsverwaltungsrechts. Dort können auch anlasslose Kontrollen verfassungsrechtlich gerechtfertigt sein.
2. Kennzeichenkontrollen müssen weiterhin durch einen im Verhältnis zum Grundrechtseingriff hinreichend gewichtigen Rechtsgüterschutz gerechtfertigt sein. Angesichts ihres Eingriffsgewichts müssen automatisierte Kennzeichenkontrollen danach dem Schutz von Rechtsgütern von zumindest erheblichem Gewicht oder sonst einem vergleichbar gewichtigen öffentlichen Interesse dienen. Hierzu zählen zunächst Leib, Leben und Freiheit der Person und der Bestand und die Sicherheit des Bundes und der Länder. Darüber hinaus kommen aber auch Rechtsgüter wie der Schutz von nicht unerheblichen Sachwerten in Betracht. Der Gesetzgeber kann die Schwelle im einzelnen näher konkretisieren.
3. Schließlich muss sich die gesetzliche Ausgestaltung der Kennzeichenkontrolle in einer Gesamtabwägung als zumutbar im Hinblick auf das Recht auf informationelle Selbstbestimmung erweisen. Im Übrigen müssen die Anforderungen an Transparenz, individuellen Rechtsschutz und aufsichtsrechtliche Kontrolle erfüllt werden sowie Regelungen zur Datennutzung und -löschung getroffen sein.
VI. Die angegriffenen Vorschriften genügen diesen Anforderungen nicht in jeder Hinsicht.
1. Soweit das Gesetz die Kennzeichenkontrolle allgemein zur Abwehr einer konkreten Gefahr vorsieht, mangelt es der Regelung an einer Beschränkung auf den Schutz von Rechtsgütern von zumindest erheblichem Gewicht oder einem vergleichbar gewichtigen öffentlichen Interesse.
2. Verfassungsrechtlich nicht zu beanstanden ist – sofern die Vorschriften im Lichte der Verfassung ausgelegt und angewendet werden – die Ermächtigung zu Kennzeichenkontrollen an gefährlichen und gefährdeten Orten.
3. Soweit Kennzeichenkontrollen an polizeilichen Kontrollstellen erlaubt werden, ist das verfassungskonform, weil die gesetzliche Regelung zur Einrichtung der Kontrollstelle ihrerseits bei verständiger Auslegung so zu verstehen ist, dass sie eine konkrete Gefahr voraussetzt. Damit fehlt es nicht an einem hinreichend konkreten Anlass. Dieser Anlass hat auch hinreichendes Gewicht. Kontrollstellen dürfen nach der angegriffenen Bestimmung nur zur Verhinderung schwerer Straftaten oder bestimmter versammlungsrechtlicher Straftaten eingerichtet werden; es handelt sich folglich um den Schutz von Rechtsgütern von erheblichem Gewicht. Soweit der Zugang zu einer Versammlung kontrolliert wird, greift die Regelung zwar zusätzlich auch in die Versammlungsfreiheit nach Art. 8 GG ein; sie genügt aber auch insoweit den verfassungsrechtlichen Anforderungen.
4. Die automatisierte Kennzeichenkontrolle ist auch als Mittel der Schleierfahndung grundsätzlich mit der Verfassung vereinbar. Zwar handelt es sich um eine Befugnis, die allein final durch eine weit gefasste Zwecksetzung definiert ist und mangels näheren Anlasses in dieser Weite grundsätzlich mit verfassungsrechtlichen Anforderungen nicht vereinbar ist. Ihre Rechtfertigung ergibt sich hier aber aus den besonderen Bedingungen des Wegfalls der innereuropäischen Grenzkontrollen, für die sie zur Gewährleistung von Sicherheit einen Ausgleich darstellt. Erforderlich ist dafür aber eine hieran orientierte konsequente und klare Begrenzung der Zwecke und Orte solcher Kontrollen. Die angegriffenen Vorschriften genügen diesen Anforderungen nicht vollständig. Verfassungsrechtlich unbedenklich ist die Regelung, soweit die Kennzeichenkontrollen in einem Grenzgebiet bis zu einer Tiefe von 30 km oder an öffentlichen Einrichtungen des internationalen Verkehrs durchgeführt werden dürfen. Die Befugnis zu Kontrollen allgemein auf Durchgangsstraßen im ganzen Land ist demgegenüber nicht hinreichend bestimmt und begrenzt und weist nicht den erforderlichen klaren Grenzbezug auf. Für die Beurteilung der Vorschriften als verhältnismäßig fallen überdies die einschränkenden Maßgaben des Unionsrechts ins Gewicht, denen der Gesetzgeber nach dem Stand der fachgerichtlichen Rechtsprechung noch Rechnung zu tragen hat.
5. Die angegriffenen Vorschriften genügen ferner im Wesentlichen den Maßgaben an Transparenz, individuellen Rechtsschutz und aufsichtsrechtliche Kontrolle. Verfassungsrechtlich zu beanstanden ist jedoch, dass das Gesetz keine Pflicht zur Dokumentation der Entscheidungsgrundlagen für den Einsatz der verdeckt erfolgenden automatisierten Kennzeichenkontrollen vorsieht. Eine Dokumentationspflicht befördert die Selbstkontrolle, ermöglicht die Aufsicht durch den Landesdatenschutzbeauftragten und erleichtert die verwaltungsgerichtliche Kontrolle.
6. Für den Kennzeichenabgleich dürfen bei verfassungskonformer Auslegung nicht alle im Gesetz insgesamt zum Abgleich eröffneten Fahndungsbestände herangezogen werden, sondern jeweils nur diejenigen Datensätze, die für den konkreten Zweck der Kennzeichenkontrolle Bedeutung haben können. Bei Zugrundelegung dieser Auslegung sind die angegriffenen Vorschriften zum Datenabgleich verfassungsrechtlich nicht zu beanstanden. Unter dem Gesichtspunkt der Bestimmtheit genügt die durch die angegriffenen Bestimmungen erfolgte abstrakte Umschreibung der zum Abgleich eröffneten Fahndungsbestände verfassungsrechtlichen Anforderungen.
7. Soweit das Gesetz eine Verwendung der Daten für weitere Zwecke als denen, die den Anlass der Kontrolle bildeten, erlaubt und damit insbesondere auch die Verwertung von Zufallserkenntnissen eröffnet, genügt die Regelung den verfassungsrechtlichen Anforderungen nicht vollständig. Nach verfassungsrechtlichen Maßstäben ist eine Zweckänderung allerdings grundsätzlich zulässig. Die entsprechenden Daten müssten aber neu auch für den geänderten Zweck mit vergleichbar schwerwiegenden Ermittlungsmaßnahmen erhoben werden dürfen. Eine weitere Nutzung ist daher nur zulässig, wenn sie dem Schutz von Rechtsgütern dient, die auch die Durchführung einer Kraftfahrzeugkennzeichenkontrolle rechtfertigen könnte. Dies ist bei den bayerischen Regelungen zur weiteren Verwendung der Daten der Kennzeichenkontrolle nicht sichergestellt.
VII. Zum Zeitpunkt der angegriffenen Entscheidung des Bundesverwaltungsgerichts wurden Kraftfahrzeugkennzeichenkontrollen auf Art. 33 Abs. 2 Satz 2 bis 5, Art. 13 Abs. 1 Nr. 1 bis 5 sowie auf Art. 38 Abs. 3 BayPAG gestützt. Art. 33 Abs. 2 Satz 2 bis 5 BayPAG und Art. 38 Abs. 3 BayPAG wurden in einem neuen Art. 39 Abs. 1 und Abs. 3 Satz 1 bis 3 BayPAG bei geringfügigen redaktionellen Änderungen im Wesentlichen identisch zusammengeführt. Der Erste Senat des Bundesverfassungsgerichts hat sowohl die zum Zeitpunkt der Entscheidung des Bundesverwaltungsgerichts geltenden Normen als auch die Nachfolgeregelungen teilweise für verfassungswidrig erklärt.
Das LG Wiesbaden hat entschieden, dass Mitbewerber bei Verstößen gegen die DSGVO nicht zur Abmahnung befugt sind.
Aus den Entscheidungsgründen:
"Die aufgeworfenen Fragen können deshalb offenbleiben, weil der Verfügungsklägerin als Mitbewerberin nach den §§ 3 Abs. 1,3 a i.V.m. § 8 Abs. 3 Nr. 1 UWG weder anspruchsberechtigt noch klagebefugt ist..
Der Gesetzgeber hat in Kap. 8 (Rechtsbehelfe, Haftung und Sanktionen) der Datenschutzgrundverordnung eingehend geregelt, wie die Datenschutzbestimmungen durchzusetzen sind. Im Mittelpunkt steht dabei die von einem Verstoß "betroffene Person". Sie kann sich mit einer Beschwerde an die zuständige Aufsichtsbehörde wenden (Art. 74, 78 DSGVO), die dann ihrerseits tätig wird. Die betroffene Person hat aber auch nach Art. 79 DSGVO selbst das "Recht auf einen wirksamen gerichtlichen Rechtsbehelf", wenn sie der Ansicht ist, dass ihre Rechte aus der Datenschutzgrundverordnung verletzt worden sind. Die betroffene Person kann nach Art. 82 DGSVO Ersatz ihres materiellen und immateriellen Schadens verlangen. Nach Art. 80 Abs. 1 DSGVO ist die betroffene Person ferner berechtigt, "Organisationen" und "ähnlichen Einrichtungen, die bestimmte Anforderungen erfüllen" zu beauftragen, in ihrem Namen ihre Rechte unter anderem aus Art. 79 DSGVO wahrzunehmen. Art. 80 Abs. 2 DSGVO enthält eine so genannte Öffnungsklausel zu Gunsten der Mitgliedstaaten. Sie können vorsehen, dass jede der in Art. 80 Abs. 1 DSGVO genannten "Organisationen" unabhängig von einem Auftrag der betroffenen Person das Recht hat, deren Rechte aus Art. 77-79 DSGVO in Anspruch zu nehmen, wenn nach ihrer Ansicht deren Rechte verletzt worden sind. Diese Regelung ist nicht unumstritten, weil damit letztlich Dritte über das Persönlichkeitsrecht der betroffenen Personen verfügen. Von einer entsprechenden Befugnis der Mitbewerbers des Verletzers, die Rechte der betroffenen Person ohne deren Zustimmung wahrzunehmen, ist in Art. 80 Abs. 2 DSGVO nicht die Rede.
Es wird die Frage diskutiert, ob die Durchsetzungsregelungen der DSGVO eine abschließende unionsrechtliche Regelung darstellen oder ob im jeweils nationalen Recht Erweiterungen zulässig sind. Es geht darum, ob der nationale Gesetzgeber über die Öffnungsklausel des Art. 80 Abs. 2 DSGVO hinaus zusätzliche Durchsetzungsregelungen aufstellen darf. Vor allem wird diskutiert, ob die Gerichte wegen eines Vorrangs des Unionsrechts daran gehindert sind, bestehende Regelungen des deutschen Rechtes anzuwenden, die zusätzliche Rechtsbehelfe gewähren könnten. Im Rahmen der Anwendung des §§ 3 Buchst. a UWG wird die Ansicht vertreten, die Vorschriften der Datenschutzgrundverordnung seien Marktverhaltensregelungen im Sinne von § 3 Buchst. a UWG und dementsprechend seien auch Mitbewerber des Verletzers nach § 8 Abs. 1 und Abs. 3 Nr. 1 UWG berechtigt, gegen Verstöße vorzugehen (vergleiche Wolff ZD 2018,248). Diese Ansicht verkennt, dass § 3 Buchst. a UWG dann nicht anwendbar ist, wenn die betreffende Regelung in der Datenschutzgrundverordnung die Rechtsfolgen eines Verstoßes abschließend regelt, was wiederum durch Auslegung festzustellen ist (vergleiche im Einzelnen Köhler ZD 2018,337 ff.). Eine solche abschließende Regelung gegenüber § 3 Buchst. a UWG stellen, so Köhler und Barth (Köhler ZD 2018,337 ff., Barth WRP 2018,790) die Art. 70 ff. Datenschutz Grundverordnung dar. Diese Ansicht beruft sich auf den allgemeinen Grundsatz des Unionsrechts, dass Ausnahmeregelungen, wie hier Art. 80 Abs. 2 DSGVO, eng auszulegen sind (ständige Rechtsprechung: EuGH WRP 2015, 1206, Rn. 54) und dementsprechend nicht über den Wortlaut hinaus erweitert werden dürfen. Die Autoren schließen aus dem Umstand, dass der Unionsgesetzgeber nicht schon jedem Verband ein Recht zur Wahrnehmung der Rechte einer betroffenen Person ohne deren Auftrag einräumt hat, sondern dafür ganz konkrete Anforderungen aufstellt, dass der Unionsgesetzgeber keine Erstreckung dieser Befugnis auf Mitbewerber des Verletzers zulassen wollte. Hätte der Unionsgesetzgeber, so die Autoren, dies gewollt, so hätte es nahegelegen, dass er eine dem Art. 11 Abs. 1 RL 2005/29/EG ("einschließlich Mitbewerbern") entsprechende Durchsetzungsregelungen eingeführt hätte. Köhler unterstreicht diese Argumentation durch die Herausarbeitung der unterschiedlichen Schutzzweckbestimmung der DSGVO auf der einen Seite und dem UWG auf der anderen Seite. Die Datenschutzgrundverordnung schützt "die Grundrechte und Grundfreiheiten natürlicher Personen insbesondere deren Recht auf Schutz personenbezogener Daten", insoweit wird auf Art. 1 Abs. 2 DSGVO Bezug genommen. Damit bringe die Datenschutzgrundverordnung klar zum Ausdruck, dass es um den Individualschutz der Betroffenen geht, vergleichbar dem Schutz des allgemeinen Persönlichkeitsrechtes nach den §§ 823 Abs. 1, 1004 Abs. 1 BGB analog. Demgegenüber stehe die Konzeption des UWG. Dieses Gesetz dient "dem Schutz der Mitbewerber, der Verbraucherinnen und Verbraucher sowie der sonstigen Marktteilnehmer vor unlauteren geschäftlichen Handlungen", insoweit wird auf § 1 S. 1 UWG Bezug genommen. Die gesetzliche Konzeption der Datenschutzgrundverordnung hat mit der dargestellten Regelung in Kap. VIII primär die Rechtsdurchsetzung bei den Aufsichtsbehörden angesiedelt, während § 8-10 UWG die Durchsetzung des Lauterkeitsrecht vollständig der privaten Initiative überlässt. Daraus folgt, dass einem Mitbewerber nach den §§ 3 Abs. 1,3 a UWG in Verbindung mit § 8 Abs. 3 Nr. 1 UWG die Klagebefugnis fehlt. Diese vornehmlich in der Literatur vertretene Ansicht findet ihre Bestätigung in der Entscheidung des Landgerichtes Bochum (Landgericht Bochum (12. Zivilkammer), Teil Versäumnis- und Schlussurteil vom 7.8.2018-I-12 O 85 / 18 zitiert nach Beck RS 2018,25219). Das Landgericht Bochum hat ausgeführt, dass dem Verfügungskläger eine Klagebefugnis nicht zusteht, weil die Datenschutzgrundverordnung in den Artikeln 77-84 eine die Ansprüche von Mitbewerbern abschließende und ausschließende Regelung enthält. Das Landgericht Bochum hat sich der Ansicht von Köhler mit dem Argument angeschlossen, dass die Datenschutzgrundverordnung eine detaillierte Regelung des anspruchsberechtigten Personenkreises enthält. Danach steht nicht jedem Verband ein Recht zur Wahrnehmung der Rechte einer betroffenen Person zu, sondern nur bestimmten Einrichtungen, Organisationen und Vereinigungen ohne Gewinnerzielungsabsicht unter weiteren Voraussetzungen. Hieraus sei zu schließen, dass der Uniongesetzgeber eine Erstreckung auf Mitbewerber des Verletzers nicht zulassen wollte. Diese Ansicht überzeugt, da es keine Rechtsschutzlücke besteht. Vor dem Hintergrund, dass keine Rechtsschutzlücke im Bereich der Datenschutzgrundverordnung besteht, muss sie auch nicht durch eine Anwendung des §§ 3 Buchst. a UWG geschlossen werden. An diese Überlegungen knüpft die Bundesratsinitiative des Freistaats Bayern an, wonach zur Anpassung zivilrechtlicher Vorschriften an die Datenschutzgrundverordnung ein Gesetzesantrag in den Bundesrat eingebracht worden ist (Bundesratsdrucksache 304 18 vom 6. 20.6.2018) woraus sich ableiten lässt, dass eine Klagebefugnis eines angeblichen Mitbewerbers ausscheiden soll, da ihm bereits eine Abmahnungsmöglichkeit verwehrt wird.
Es ist streitig, ob die fehlende Anspruchsberechtigung und fehlende Klagebefugnis zur Abweisung der Klage als unzulässig oder als unbegründet führt, doch handelt es sich bei der Anspruchsberechtigung um eine Frage der Aktivlegitimation und damit um eine Prüfung im Rahmen der Begründetheit der Klage, so dass die Klage auf Erlass einer einstweiligen Verfügung als unbegründet abzuweisen war."
EuGH-Generalanwalt
Schlussanträge vom 19.12.2018 C‑40/17
Fashion ID GmbH & Co. KG
gegen
Verbraucherzentrale NRW e. V.,
Beteiligte:
Facebook Ireland Limited,
Landesbeauftragte für Datenschutz und Informationsfreiheit Nordrhein-Westfalen
Der EuGH-Generalanwalt kommt zu dem Ergebnis, dass Verbraucherschutzvereine Datenschutzverstöße abmahnen dürfen. Ferner kommt der EuGH-Generalanwalt zu dem Ergebnis, dass Facebook und Webseitenbetreiber gemeinsam datenschutzrechtlich für die Verarbeitung personenbezogener Daten durch Verwendung des Gefällt-Mir-Buttons verantwortlich sind, wobei die Verantwortlichkeit des Webseitenbetreibers auf Verarbeitungsvorgänge beschränkt ist, für die er tatsächlich einen Beitrag zur Entscheidung über die Mittel und Zwecke der Verarbeitung der personenbezogenen Daten leistet. Der Webseitenbetreiber muss eine Einwilligung von Nutzer einholen und ihn über die Datenverarbeitung informieren.
Die Einschätzung des EuGH-Generalanwalts ist für den EuGH nicht bindend, dürfte aber der bisherigen Linie des EuGH entsprechen.
Ergebnis: "Im Licht der vorstehenden Ausführungen schlage ich dem Gerichtshof vor, die vom Oberlandesgericht Düsseldorf (Deutschland) gestellten Fragen wie folgt zu beantworten:
Die Richtlinie 95/46/EG des Europäischen Parlaments und des Rates vom 24. Oktober 1995 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten und zum freien Datenverkehr steht einer nationalen Regelung nicht entgegen, die gemeinnützigen Verbänden die Befugnis einräumt, zur Wahrung der Interessen der Verbraucher rechtlich gegen den mutmaßlichen Verletzer von Datenschutzrecht vorzugehen.
Eine Person, die ein von einem Dritten bereitgestelltes Plugin in ihre Webseite eingebunden hat, welches die Erhebung und Übermittlung der personenbezogenen Daten des Nutzers veranlasst, ist als ein für die Verarbeitung Verantwortlicher im Sinne von Art. 2 Buchst. d der Richtlinie 95/46 anzusehen. Die (gemeinsame) Verantwortlichkeit des betreffenden für die Verarbeitung Verantwortlichen ist jedoch auf die Verarbeitungsvorgänge beschränkt, für die er tatsächlich einen Beitrag zur Entscheidung über die Mittel und Zwecke der Verarbeitung der personenbezogenen Daten leistet.
Bei der Prüfung, ob personenbezogene Daten nach den in Art. 7 Buchst. f der Richtlinie 95/46 niedergelegten Kriterien verarbeitet werden dürfen, ist auf die berechtigten Interessen beider im Einzelfall für die Verarbeitung Verantwortlichen abzustellen, und diese Interessen sind gegen die Rechte der betroffenen Personen abzuwägen.
Die nach Art. 7 Buchst. a der Richtlinie 95/46 einzuholende Einwilligung der betroffenen Person ist gegenüber dem Webseiten-Betreiber zu erklären, der Drittinhalte in seine Webseite eingebunden hat. Art. 10 der Richtlinie 95/46 ist dahin auszulegen, dass die sich aus dieser Bestimmung ergebende Informationspflicht auch für diesen Webseiten-Betreiber gilt. Die Einwilligung der betroffenen Person nach Art. 7 Buchst. a der Richtlinie 95/46 muss eingeholt und die Informationen im Sinne von Art. 10 dieser Richtlinie müssen bereitgestellt werden, bevor die Erhebung und die Übermittlung der Daten erfolgt. Jedoch muss der Umfang dieser Verpflichtungen der gemeinsamen Verantwortlichkeit des betreffenden Webseiten-Betreibers für die Erhebung und Übermittlung der personenbezogenen Daten entsprechen."
In Ausgabe 22/2018, S. 17 der Zeitschrift Internet World Business erschien ein Beitrag von Rechtsanwalt Marcus Beckmann mit dem Titel "DSGVO: Lage bleibt heikel - Uneinheitliche Entscheidungen zur Abmahnfähigkeit von DSGVO-Verstößen".
Das OLG Hamburg hat entschieden, dass ein Verstoß gegen die DSGVO ein abmahnfähiger Wettbewerbsverstoß sein kann. Dabei ist im Einzelfall zu schauen, ob die konkrete verletzte Norm eine Marktverhaltensregel ist, was das Gericht im hier entschiedenen Fall ( Bestellbogen für Therapieallergene ohne Patienteneinwilligung ) verneint hat.
Die Klägerin ist aber auch unter der Geltung der DSGVO klagebefugt. Der Senat ist entgegen der von der Beklagten vertretenen Auffassung nicht der Ansicht, dass die DSGVO ein abgeschlossenes Sanktionssystem enthält, das die Verfolgung datenschutzrechtlicher Verletzungshandlungen auf lauterkeitsrechtlicher Grundlage durch Mitbewerber ausschlösse.
Diese insbesondere auch von Köhler (ZD 2018, 337 ders. in: Köhler/Bornkamm/Feddersen, UWG, 36. Auflage 2018, § 3a Rn. 1.40 a, 1.74 b; ebenso: Barth, WRP 2018, 790 (791); Holländer in: BeckOK Datenschutzrecht, 25. Edition 1. August 2018, Art. 84 Rn. 3.2) vertretene Auffassung ist auf Kritik gestoßen. Sie basiert vor allem darauf, dass die Art. 77-79 DSGVO der „betroffenen Person“, also derjenigen Person, deren Daten verarbeitet werden (vgl. Art. 4 Nr. 1 DSGVO), Rechtsbehelfe zur Seite stellt und die betroffene Person nach Art. 80 Abs. 1 der Verordnung berechtigt ist, Organisationen zu beauftragen, die in ihrem Namen die genannten Rechte wahrnimmt. Die Öffnungsklausel des Art. 80 Abs. 2 der Verordnung sehe nur vor, dass die Mitgliedsstaaten diesen Organisationen auch das Recht einräumen können, ohne einen Auftrag der betroffenen Person eine Rechtsverletzung zu verfolgen. Dem entnimmt die Beklagte mit Köhler, dass Wettbewerbern die Befugnis, eigene Rechte geltend machen können, nicht zukommt.
Dagegen wird zu Recht eingewendet, dass Art. 80 Abs. 2 DSGVO die Frage der Verbandsklage regeln will, aber keinen abschließenden Charakter wegen der Rechtsdurchsetzung durch andere hat (Wolff, ZD 2018, 248, 252; ebenso Schreiber, GRUR-Prax 2018, 371 Laoutoumai/Hoppe, K & R 2018, 533, 534 ff.). Dafür spricht auch, dass zwar in den Art. 77-79 DSGVO Rechtsbehelfe betroffener Personen (Art. 77, 78 Abs. 2, 79 DSGVO) oder jeder anderen Person (Art. 78 Abs. 1 DSGVO) geregelt sind, insoweit aber stets unbeschadet eines anderweitigen verwaltungsrechtlichen oder gerichtlichen (Art. 77 Abs. 1 DSGVO) bzw. eines anderweitigen verwaltungsrechtlichen oder außergerichtlichen (Art. 78 Abs. 1 und 2, 79 Abs. 1 DSGVO) Rechtsbehelfs. Und Art. 82 DSGVO spricht wiederum „jeder Person“, die wegen des Verstoßes gegen die Verordnung einen Schaden erlitten hat, Schadensersatzansprüche zu. Auch das lässt klar erkennen, dass die DSGVO die Verfolgung von datenschutzrechtlichen Verletzungshandlungen durch andere als die „betroffenen Personen“, deren Daten verarbeitet werden (vgl. Art. 4 Nr. 2 DSGVO), nicht ausschließt.
Schließlich heißt es in Art. 84 Abs. 1 DSGVO, dass die Mitgliedstaaten die Vorschriften über andere Sanktionen für Verstöße gegen diese Verordnung – insbesondere für Verstöße, die keiner Geldbuße gemäß Artikel 83 unterliegen – festlegen und alle zu deren Anwendung erforderlichen Maßnahmen treffen. Diese Sanktionen müssen wirksam, verhältnismäßig und abschreckend sein. Auch das spricht dafür, dass die Verordnung nur einen Mindeststandard an Sanktionen vorsieht (ebenso Wolff, ZD 2018, 248, 251 m.w.N.).
Der Umstand, dass die Vorschrift mit „Sanktionen“ überschrieben ist, spricht entgegen Köhler (ZD 2018, 337, 338) nicht schon gegen diese Feststellung (vgl. Bergt in Kühling/Buchner, DSGVO BDSG, 2. Auflage 2018, Art. 84 Rn. 2). Gerade im Kontext der Vorschrift des Art. 77 DSGVO, die für jede betroffene Person auch anderweitige – also nicht in der DSGVO selbst geregelte – gerichtliche Rechtsbehelfe offen lässt, sowie der Vorschrift des Art. 82 Abs. 1 DSGVO, die nicht nur der betroffenen Person, sondern jeder Person ein Recht auf Schadensersatz einräumt, wird deutlich, dass die DSGVO wegen anderweitiger, in der Verordnung selbst nicht geregelter Rechtsbehelfe und Sanktionen offen gestaltet ist.
Das OLG Nürnberg hat bestätigt, dass die Normen der DSGVO nicht für personenbezogene Daten Verstorbener gelten.
Aus den Entscheidungsgründen:
"Benutzungsbeschränkungen können sich nur aus dem PStG selbst oder aus anderen Gesetzen ergeben, die dem Schutz von Adoptierten (§ 1758 Abs. 1 BGB, § 63 Abs. 1 PStG), Transsexuellen (§ 5 Abs. 1 TSG, § 63 Abs. 2 PStG) oder sonst gefährdeten Personen dienen (§ 64 PStG). Derartige gesetzliche Vorschriften sind jedoch nicht ersichtlich. Die Verordnung (EU) 2016/679 des Europäischen Parlaments und des Rates vom 27. April 2016 (Datenschutz-Grundverordnung) ist auf den Fall nicht anwendbar, da sie nach ihrem Erwägungsgrund 27 nicht die personenbezogenen Daten Verstorbener betrifft."
Da bei Rechtsverstößen im Internet der Grundsatz des fliegenden Gerichtsstands gilt, werden Abmahner das LG Bochum meiden und ggf. in Würzburg gerichtliche Schritte einleiten.
Aus den Entscheidungsgründen:
"Keinen Erfolg hatte der Antrag hingegen, soweit ein Verstoß gegen Artikel 13 der Datenschutzgrundverordnung geltend gemacht wird. Denn dem Verfügungskläger steht ein solcher nicht zu, weil die Datenschutzgrundverordnung in den Artikeln 77 bis 84 eine die Ansprüche von Mitbewerbern ausschließende, abschließende Regelung enthält. Die Kammer verkennt dabei nicht, dass diese Frage in der Literatur umstritten ist und die Meinungsbildung noch im Fluss ist. Die Kammer in ihrer derzeitigen Besetzung schließt sich der besonders von Köhler (ZD 2018, 337 sowie in Köhler/Bornkamm/Feddersen, UWG, 36. Aufl. 2018, § 3 a Rn. 1.40 a und 1.74 b, im Ergebnis auch Barth WRP 2018, 790; anderer Ansicht Wolff, ZD 2018, 248) vertretenen Auffassung an. Dafür spricht insbesondere, dass die Datenschutzgrundverordnung eine detaillierte Regelung des anspruchsberechtigten Personenkreises enthält. Danach steht nicht jedem Verband ein Recht zur Wahrnehmung der Rechte einer betroffenen Person zu, sondern nur bestimmten Einrichtungen, Organisationen und Vereinigungen ohne Gewinnerzielungsabsicht unter weiteren Voraussetzungen. Hieraus ist zu schließen, dass der Unionsgesetzgeber eine Erstreckung auf Mitbewerber des Verletzers nicht zulassen wollte (Köhler, ZD 2018, 337, 338). Wegen der weiteren Einzelheiten der Argumentation kann auf die zitierten Literaturstellen Bezug genommen werden.
Das LG Frankfurt hat entschieden, dass die Veröffentlichung von Fotos und Videos auf der Facebook-Fanpage eines Friseursalons ohne Einwilligung des Abgebildeten gegen Vorgaben der DSGVO und des KUG verstoßen.
Aus den Entscheidungsgründen:
Die Parteien streiten über Ansprüche wegen Verletzung des Persönlichkeitsrechts durch eine Bildnisveröffentlichung.
Der Verfügungsbeklagte (nachfolgend: Beklagter) betreibt einen Frisörsalon in Frankfurt am Main. Am 29.06.2018 begab sich die Verfügungsklägerin (nachfolgend: Klägerin) mit ihrem Lebenspartner, ... , in den Frisörsalon des Beklagten, um eine Haarverlängerung vornehmen zu lassen. Während der Behandlung fotografierte ein der Klägerin unbekannter Mann die Klägerin. Zudem wurde das streitgegenständliche Video (Anl. AS 1, Bl. 16 der Akte), auf dem die Klägerin erkennbar ist, erstellt, wobei streitig ist, ob dies am 29.06.2018 oder am Folgetag geschah.
Kurze Zeit später stellte die Klägerin fest, dass der Beklagte am 04.07.2018 (16:42 Uhr) auf seiner Facebook Fanpage unter der URL
...............
unter anderem das streitgegenständliche Video (Anlage AS 1, Bl. 16 d.A.) postete/veröffentlichte, auf dem die Klägerin - wie auch auf dem nachstehenden Screenshot zu sehen - klar und eindeutig erkennbar ist.
[Foto]
Auf der Facebook Seite befanden sich zum damaligen Zeitpunkt auch Lichtbilder der Klägerin.
Die Klägerin forderte den Beklagten persönlich auf, die Lichtbilder und das Video zu entfernen. Der Beklagte kam der Aufforderung lediglich hinsichtlich der Lichtbilder nach, hinsichtlich des Videos reagierte er - trotz desanwaltlichen Schreibens vom 11.07.2018 (Anlage AS 3, Bl. 8 f. d.A.) - vorgerichtlich nicht.
Die Kammer hat dem Beklagten durch einstweilige Verfügung - Beschluss - vom 27.07.2018 (Bl. 17 ff. d.A.) untersagt, das Bildnis der Klägerin in Form eines Fotos oder als Filmaufnahme/Video öffentlich zur Schau zu stellen, wie dies auf der Website ... mit dem Film wie in Anlage AS 1 geschehen ist. Die Kosten des Eilverfahrens hat die Kammer dem Beklagten auferlegt.
Gegen den Beschluss hat der Beklagte mit Schriftsatz vom 22.08.2018 Widerspruch eingelegt.
Die Klägerin behauptet, ein Hinweis auf etwaige Foto- und/oder Videoaufnahmen oder darauf, dass es sich um einen der sogenannten "Haarmodell-Termine" handele, sei nicht erteilt worden.
Während der Haarverlängerung am 29.06.2018 habe sie mehrfach ausdrücklich darum gebeten, die Fotoaufnahmen zu unterlassen, als ein ihr unbekannter Mann sie aus etwa 1 m Entfernung fotografiert habe.
Die angebliche Videoaufnahme am 30.06.2018 sei heimlich, unbemerkt und gegen ihren Willen erfolgt. Sie habe weder ausdrücklich noch konkludent in die Aufnahme oder die Veröffentlichung des Videos eingewilligt.
Durch die Veröffentlichung des Videos sei sie in ihrem Recht am eigenen Bild gemäß §§ 22, 23 ff. KUG verletzt worden. Eine Ausnahme vom Einwilligungsvorbehalt gemäß § 23 KUG liege nicht vor.
Die Klägerin beantragt,
die einstweilige Verfügung - Beschluss - vom 27.07.2018 zu bestätigen.
Der Beklagte beantragt,
die einstweilige Verfügung des Landgerichts Frankfurt am Main, Az. 2-03 O 283/18 vom 27.07.2018 aufzuheben und den Antrag auf ihren Erlass zurückzuweisen.
Der Beklagte behauptet, dass in seinem Frisörsalon regelmäßig Video- und Bildaufnahmen erfolgten, welche die Arbeiten der Angestellten im Bereich der unterschiedlichsten Frisurentechniken an dafür vorgesehenen Haarmodellen dokumentierten. Diese Aufnahmen würden zu Werbezwecken auf der Internetplattform Facebook veröffentlicht, um dadurch den Frisörsalon der Allgemeinheit vorzustellen und die Vielfältigkeit der Arbeiten zu präsentieren. Diese Aufnahmen erfolgten stets ausschließlich im Beisein der Haarmodelle und grundsätzlich unter Ausschluss weiterer Kunden an dafür bestimmten ausgewählten Terminen.
Als die Klägerin den Frisörsalon des Beklagten am 29.06.2018 aufgesucht habe, hätten die vorbezeichneten Videoaufzeichnungen stattgefunden. Sie habe an diesem Tag keinen Termin zur Haarverlängerung gehabt. Die Klägerin sei von dem Beklagten selbst in Anwesenheit seiner zwei Angestellten, Frau ... und Frau ...,
darauf hingewiesen worden, dass zu diesem Zeitpunkt Videoaufnahmen zum Zwecke der Veröffentlichung durchgeführt würden. Die Klägerin habe der Mitarbeiterin signalisiert, dass es für sie kein Problem darstelle und sie damit einverstanden sei. Sie habe ausdrücklich ihre Einwilligung in die streitgegenständliche Videoaufnahme und deren Veröffentlichung erklärt und werde daher nicht in ihrem Recht am eigenen Bild gemäß §§ 22, 23 ff. KUG verletzt. Die mündlich erteilte Einwilligung habe bis zum Ende der Filmaufnahmen bestanden.
Die Zustimmung sei jedoch zumindest als stillschweigend erteilt anzunehmen, da die Klägerin trotz der ausdrücklichen Unterrichtung über die Aufnahmen zum Zwecke der Veröffentlichung darauf bestanden habe, zu diesem Zeitpunkt behandelt zu werden. Hierdurch habe sie ein Verhalten an den Tag gelegt, das für den objektiven Erklärungsempfänger nur als Einwilligung habe verstanden werden können.
Auch habe die Klägerin ihre Einwilligung zur Veröffentlichung der Aufnahmen nicht wirksam widerrufen. Eine bereits erteilte Einwilligung sei nicht frei widerruflich, da hier kein Widerrufsgrund gemäß § 42 UrhG analog vorläge.
Wegen der weiteren Einzelheiten wird ergänzend auf die zwischen den Parteien gewechselten Schriftsätze nebst Anlagen sowie den sonstigen Akteninhalt Bezug genommen.
Gründe
Die einstweilige Verfügung der Kammer ist zu bestätigen, denn es besteht sowohl ein Verfügungsanspruch (hierzu nachstehend unter I.) als auch ein Verfügungsgrund (hierzu nachstehend unter II.).
I. Die Klägerin kann von dem Beklagten die Unterlassung der weiteren Veröffentlichung des streitgegenständlichen Videos aus den §§ 823, 1004 BGB, 22 f. KUG bzw. Art. 6 Abs. 1 DSGVO, jeweils i.V.m. Art. 79 Abs. 1, 85 DSGVO verlangen.
Insoweit kann letztlich offen bleiben, ob die §§ 22, 23 KUG als Normen im Sinne von Art. 85 Abs. 1 DSGVO (VO (EU) 2016/679), die am 25.05.2018 Geltung erlangt hat und nationale Regelungen zum Datenschutz grundsätzlich verdrängt, für Fälle wie den vorliegenden, der nicht unter journalistische, wissenschaftliche, künstlerische oder literarische Zwecke im Sinne von Art. 85 Abs. 2 DSGVO fällt, weiter gelten oder nicht (zum Streit darüber, ob Art. 85 Abs. 1 DSGVO einen - zwingend durch die Mitgliedstaaten auszuübenden - Regelungsauftrag enthält oder die §§ 22, 23 KUG insoweit fortgelten können, s. Specht/Bienemann in: Sydow, DSGVO, 2. Aufl. 2018, Art. 85 Rn. 9; Albrecht/Janson, CR 2016, 500; Hansen/Brechtel, GRUR-Prax 2018, 369; Kahl/Piltz, K&R 2018, 289, 292; Lauber-Rönsberg/Hartlaub, NJW 2017, 1057, 1061; Ziebarth/Elsaß, ZUM 2018, 578; Paschke, jurisPR-ITR 15/2018, Anm. 3; jew. m.w.N.; zur weiteren Anwendung von §§ 22, 23 KUG im Falle von Pressemedien vgl. OLG Köln, ZD 2018, 434 m. Anm. Hoeren). Denn sowohl nach den §§ 22, 23 KUG als auch unter Berücksichtigung von Art. 6 Abs. 1 lit. a), f), 7 DSGVO war die Veröffentlichung rechtswidrig.
1.
a) Das streitgegenständliche Video ist ein Bildnis der Klägerin im Sinne von § 22 KUG. Ein solches ist jede Abbildung einer natürlichen Person, welche bestimmt und geeignet ist, sie dem Betrachter in ihrer dem Leben nachgebildeten äußeren Erscheinung vor Augen zu führen und das Aussehen, wie es gerade dieser Person zu Eigen ist, im Bilde wiederzugeben (BGH, NJW 1965, 2148 [BGH 09.06.1965 - Ib ZR 126/63] - Spielgefährtin I; Dreyer in: Dreyer/Kotthoff/Meckel/Hentsch, Urheberrecht, 4. Aufl. 2018, § 22 Rn. 5). Dies ist bei dem streitgegenständlichen Video der Fall, denn in diesem wird die Klägerin in vielen aufeinanderfolgenden Bildern im Zusammenhang mit der Haarverlängerung abgebildet.
b) Zudem handelt es sich bei dem Video, bzw. dessen Inhalt, um personenbezogene Daten im Sinne von Art. 4 Nr. 1 DSGVO, da die Klägerin durch das von dem Beklagten veröffentlichte Video identifizierbar ist (vgl. insoweit zur Datenschutz-RL 95/46/EG EuGH, NJW 2015, 463 Rn. 22 ff. - Rynes).
Zu Gunsten des Beklagten greift insbesondere nicht die Haushaltsausnahme gemäß Art. 2 Abs. 2 lit. c) DSGVO, da die streitgegenständliche Veröffentlichung nicht im Rahmen ausschließlich persönlicher Verarbeitung erfolgte, sondern im gewerblichen Kontext und zudem öffentlich im Internet (dazu EuGH, EuZW 2004, 245 Rn. 47 - Lindqvist).
2.
a)
Das Bildnis der Klägerin wurde auch verbreitet im Sinne des KUG, denn der Beklagte hat es auf seiner öffentlich zugänglichen Fanpage bei Facebook im Internet abrufbar gemacht (vgl. hierzu auch OLG Frankfurt a.M. Urt. v. 19.4.2012 - 16 U 189/11, BeckRS 2013, 11801; Dreyer in: Dreyer/Kotthoff/Meckel/Hentsch, a.a.O., § 22, Rn. 12 m.w.N.).
b)
Damit wurden zugleich personenbezogene Daten verarbeitet im Sinne von Art. 4 Nr. 2 DSGVO.
3. Die Veröffentlichung bzw. Verarbeitung stellt sich sowohl unter Zugrundelegung des Maßstabs des § 22 KUG i.V.m. Art. 85 Abs. 1 DSGVO als auch unter Zugrundelegung des Maßstabs von Art. 6 Abs. 1 lit. a) i.V.m. Art. 7 DSGVO als unzulässig dar, da die Klägerin in die Veröffentlichung ihres Bildnisses nicht eingewilligt hat.
a) Nach dem abgestuften Schutzkonzept der §§ 22, 23 KUG (BGH, GRUR 2007, 527 [BGH 06.03.2007 - VI ZR 51/06] - Winterurlaub m.w.N.; OLG Frankfurt, Urt. vom 07.08. 2018 - 11 U 156/16 -, Rn. 32, juris) dürfen Bildnisse einer Person grundsätzlich nur mit ihrer Einwilligung verbreitet werden (§ 22 S. 1 KUG). Hiervon besteht allerdings gemäß § 23 Abs. 1 KUG eine Ausnahme, z.B. wenn es sich um Bildnisse aus dem Bereich der Zeitgeschichte handelt (§ 23 Abs. 1 Nr. 1 KUG). Diese Ausnahme gilt aber nicht für eine Verbreitung, durch die berechtigte Interessen des Abgebildeten gemäß § 23 Abs. 2 KUG verletzt werden (BGH, GRUR 2013, 1065 [BGH 28.05.2013 - VI ZR 125/12] Rn. 10 - Eisprinzessin Alexandra).
Der insoweit darlegungs- und glaubhaftmachungsbelastete Beklagte (vgl. OLG Hamm, AfP 1998, 304 [OLG Hamm 03.03.1997 - 3 U 132/96]; Dreyer in: Dreyer/Kotthoff/Meckel/Hentsch, a.a.O., § 22, Rn. 32) hat nicht zur Überzeugung der Kammer glaubhaft gemacht, dass die Klägerin in die Aufnahme und Veröffentlichung des streitgegenständlichen Videos eingewilligt hat. Obwohl die Klägerin die eidesstattliche Versicherung vom 26.07.2018 (AS 2, Bl. 6 f. d.A.) vorgelegt hat, welche besagt, dass das Video heimlich und ohne ihre Einwilligung gedreht worden sei, hat der Beklagte keine Glaubhaftmachungsmittel vorgelegt. Auch waren weder die von ihm in diesem Zusammenhang benannten Zeuginnen noch er selbst im Termin zur mündlichen Verhandlung zugegen.
Sofern der Beklagte sich darauf beruft, dass die Klägerin zumindest konkludent eingewilligt habe, da sie trotz ausdrücklicher Unterrichtung über die Aufnahmen zum Zwecke der Veröffentlichung darauf bestanden habe, zu diesem Zeitpunkt behandelt zu werden, so ist dieser Vortrag des Beklagten widersprüchlich, da er zuvor die ausdrückliche Zustimmung der Klägerin behauptet hat. Darüber hinaus hat der Beklagte auch die vorstehenden Behauptungen nicht glaubhaft gemacht.
b) Auch gemäß Art. 7 Abs. 1 DSGVO muss der Verantwortliche - hier der Beklagte - nachweisen können, dass die betroffene Person in die Verarbeitung ihrer personenbezogenen Daten eingewilligt hat (zur Definition der Einwilligung s. Art. 4 Nr. 11 DSGVO). Dies ist - wie zuvor dargestellt - nicht der Fall.
4.
Die Veröffentlichung bzw. Datenverarbeitung erfolgte in rechtswidriger Weise.
a) Die Veröffentlichung des streitgegenständlichen Videos war gemäß § 23 KUG i.V.m. Art. 85 Abs. 1 DSGVO unzulässig, da es sich bei dem Video offensichtlich nicht um ein Bildnis aus dem Bereich der Zeitgeschichte (§ 23 Abs. 1 Nr. 1 KUG) handelt und auch die sonstigen dort genannten Ausnahmen nicht greifen. Die Einwilligung gemäß § 23 Abs. 2 KUG war daher nicht entbehrlich.
b) Die Verarbeitung des Videos in Form der Veröffentlichung war auch nicht gemäß Art. 6 Abs. 1 lit. f) DSGVO gerechtfertigt.
Gemäß Art. 6 Abs. 1 S. 1 DSGVO bzw. Art. 8 Abs. 2 S. 1 GRCh unterliegt die Verarbeitung personenbezogener Daten einem sogenannten "Verbot mit Erlaubnisvorbehalt" (vgl. Reimer in: Sydow, a.a.O., Art. 6 Rn. 1 m.w.N.). In Betracht käme hier - neben einer nicht vorliegenden Einwilligung, wie vorstehend erläutert - lediglich die Ausnahme gemäß Art. 6 Abs. 1 lit. f) DSGVO. Danach ist eine Verarbeitung zulässig, wenn sie zur Wahrung der berechtigten Interessen des Verantwortlichen erforderlich ist, sofern nicht die Interessen oder Grundrechte und Grundfreiheiten der betroffenen Person, die den Schutz personenbezogener Daten erfordern, überwiegen (vgl. hierzu mit Beispielen ErwGr 47-49 DSGVO).
Die Kammer erachtet insoweit die Grundsätze der §§ 22, 23 KUG und die dazu ergangene Rechtsprechung - unter Berücksichtigung einer entsprechenden europarechtsautonomen Auslegung (vgl. Lauber-Rönsberg/Hartlaub, NJW 2017, 1057, 1060) - als Gesichtspunkte, die im Rahmen von Art. 6 Abs. 1 lit. f) DSGVO und der Abwägung der Interessen und Grundrechte einzubeziehen sind (vgl. insoweit Specht in: Dreier/Schulze, UrhG, 6. Aufl. 2018, § 23 Rn. 1 KUG Rn. 1; Hansen/Brechtel, GRUR-Prax 2018, 369, 370; Paschke, jurisPR-ITR 15/2018, Anm. 3; Ziebarth/Elsaß, ZUM 2018, 578, 581; Plath/Grages, DSGVO/BDSG, 3. Aufl. 2018, Art. 85 DSGVO Rn. 3). In Anwendung dieser Grundsätze überwiegt vorliegend - wie vorstehend erläutert - das Interesse der Klägerin an der Unterlassung der streitgegenständlichen Verarbeitung in Form der Veröffentlichung.
Selbst ohne Anwendung der Grundsätze der §§ 22, 23 KUG im Rahmen von Art. 6 Abs. 1 lit. f) DSGVO erachtet die Kammer die Interessen der Klägerin gegenüber dem Werbeinteresse des Beklagten hier als überwiegend. Zwar ist die Verarbeitung von personenbezogenen Daten zum Zwecke der Direktwerbung grundsätzlich als berechtigtes Interesse anzuerkennen (vgl. ErwGr 47 DSGVO). Es ist jedoch bereits fraglich, ob diese Werbung unter Verwendung von bildlichen Aufnahmen von Kunden ohne weiteres als erforderlich im Sinne von Art. 6 Abs. 1 lit. f) DSGVO anzusehen sind. Darüber hinaus widerspricht es den vernünftigen Erwartungen (vgl. ErwGr 47 DSGVO) eines Kunden in einem Frisörsalon, dass sein Besuch im Salon filmisch festgehalten und zur Bewerbung im Internet verwendet wird.
5. Auch die für den Unterlassungsanspruch erforderliche Wiederholungsgefahr ist gegeben. Im Regelfall indiziert die Erstbegehung die Wiederholungsgefahr (ständige Rechtsprechung BGH, GRUR 1997, 379, 380 [BGH 16.11.1995 - I ZR 229/93] - Wegfall der Wiederholungsgefahr II). Im Allgemeinen gelingt eine Widerlegung der Wiederholungsgefahr durch Abgabe einer strafbewehrten Unterlassungserklärung, die jedoch beklagtenseits verweigert wurde. Damit zeigt der Beklagte, dass nach wie vor Wiederholungsgefahr besteht (vgl. BGH, GRUR 1998, 1045, 1046 [BGH 19.03.1998 - I ZR 264/95] - Brennwertkessel).
6. Die Entscheidung über die Androhung eines Ordnungsmittels beruht auf § 890 ZPO.
II. Es besteht auch ein Verfügungsgrund. Ohne den Erlass einer einstweiligen Verfügung würde das Persönlichkeitsrecht der Klägerin für einen nicht unerheblichen Zeitraum gravierend beeinträchtigt. Dass mit dem Erlass der einstweiligen Verfügung die Hauptsache zumindest für den Zeitraum bis zur Entscheidung in einem Hauptsacheverfahren vorweggenommen wird, liegt in der Natur einer Unterlassungsverfügung.
Auch liegt die erforderliche Dringlichkeit vor. Die einstweilige Verfügung wurde nach weniger als einem Monat nach der Veröffentlichung des streitgegenständlichen Videos bei Facebook beantragt.
Das LG Würzburg hat entschieden, dass eine unzureichende Datenschutzerklärung, die nicht den Vorgaben der DSGVO genügt, einen abmahnfähigen Wettbewerbsverstoß darstellt.
Die Entscheidung ist keineswegs überraschend, als die Rechtsprechung in den vergangenen Jahren vermehrt dazu übergegangen ist, bei Datenschutzverstößen zugleich einen Wettbewerbstverstoß zu bejahen.
Aus den Entscheidungsgründen:
Die Zuständigkeit des Gerichts ergibt sich hier aus § 14 Abs. 2 UWG (Begehungsort, fliegender Gerichtsstand bezüglich des Internets) und nicht aus § 32 ZPO wie von Antragstellerseite angegeben.
Dem Antragsteller steht ein Verfügungsanspruch auf Unterlassung zu, das der Antragsteller glaubhaft gemacht hat, dass die Antragsgegnerin bezüglich ihrer Homepage gegen die Datenschutzgrundverordnung (DSGVO), die spätestens seit 25.05.2018 umzusetzen ist verstößt. Die im Impressum der Antragsgegnerin enthaltene 7-zeilige Datenschutzerklärung genügt der neuen DSGVO nicht. Es fehlen Angaben zum/zur Verantwortlichen, zur Erhebung und Speicherung personenbezogener Daten sowie Art und Zweck deren Verwendung, eine Erklärung zur Weitergabe von Daten, über Cookies, Analysetools, aber vor allem die Belehrung über die Betroffenenrechte, insbesondere Widerspruchsrecht, Datensicherheit und ein Hinweis zur Möglichkeit, sich bei einer Aufsichtsbehörde zu beschweren. Mit dem OLG Hamburg (3 U 26/12) und dem OLG Köln (6 U 121/15) geht das erkennende Gericht davon aus, dass es sich bei den Vorschriften, gegen die hier verstoßen wurde um Verstöße gegen das Wettbewerbsrecht gemäß § 4 Nr. 11 UWG bzw. jetzt § 3 a UWG darstellt und somit vom Antragsteller abgemahnt werden konnte. Dass die Antragsgegnerin Daten erhebt wird schon aus der gleichzeitigen Verwendung eines Kontaktformulars auf der Homepage indiziert. Da die Antragsgegnerin jedenfalls über ein Kontaktformular Daten erheben kann, ist zwingend auch eine Verschlüsselung der Homepage erforderlich, die hier fehlt.
Gem. § 8 Abs. 3 UWG ist der Antragsteller aktiv legitimiert die beanstandeten Gesetzesverstöße geltend zu machen. Es besteht das erforderliche Wettbewerbsverhältnis aufgrund der Möglichkeit als Rechtsanwalt bundesweit tätig zu werden.
Die erforderliche Wiederholungsgefahr wird durch das rechtsverletzende Verhalten indiziert. Somit ist der Verfügungsanspruch gegeben.
Ein Verfügungsgrund ist bei wettbewerbsrechtlichen Unterlassungsansprüchen gem. § 12 Abs. 2 UWG indiziert. Es besteht damit eine widerlegliche tatsächliche Vermutung der Dringlichkeit. Nach Aufforderung des Gerichts hat der Antragsteller zudem glaubhaft gemacht, dass er innerhalb der von der Rechtsprechung angenommenen Monatsfrist erst von den Verstößen Kenntnis erlangt hat und dass somit keine Selbstwiderlegung der Dringlichkeit durch zu langes Zuwarten vorliegt.
Dem Antrag konnte lediglich nicht dahingehend entsprochen werden, der Antragsgegnerin eine vom Gericht festzusetzende Vertragsstrafe anzudrohen. Der Antragsgegnerin sind vielmehr für den Fall der Zuwiderhandlung gegen das erlassene Verbot die in § 890 Abs. 1 ZPO vorgesehenen Ordnungsmittel anzudrohen.
Das OLG Frankfur hat entschieden, dass Betroffene gegen Facebook keinen Anspruch auf Herausgabe von Nutzerdaten des Facebook-Messengerdienstes haben. Es fehlt - so das Gericht - an einer entsprechenden Gesetzesgrundlage.
Die Pressemitteilung des Gerichts:
Keine Gesetzesgrundlage für Herausgabe von Nutzerdaten des Facebook-Messengerdienstes an Betroffene
Das Oberlandesgericht Frankfurt am Main (OLG) hat mit heute veröffentlichtem Beschluss entschieden, dass ein Betroffener von (möglicherweise) rechtswidrigen Inhalten, die über den Facebook-Messengerdienst verschickt wurden, keine gerichtliche Erlaubnis verlangen kann, dass ihm Facebook die Nutzerdaten des Versenders mitteilt. Nutzerdaten dürften an Betroffene nach § 14 TMG nur im Zusammenhang mit Inhalten von sozialen Netzwerken herausgegeben werden. Der Messenger diene dagegen dem privaten Austausch.
Die Antragstellerin verlangt von der Beteiligten (Facebook) Auskunft über Nutzerdaten. Facebook betreibt neben der Webseite www.facebook.com auch einen Messenger-Dienst (Messenger). Über diesen Messenger können private Nachrichten an bestimmte Personen oder Gruppen geschickt werden. Die Nutzer müssen dafür nicht bei Facebook angemeldet sein. Alle bei Facebook angemeldeten Nutzer können dagegen über den Messenger angeschrieben werden.
Die Antragstellerin wendet sich gegen kompromittierende Nachrichten, die von drei verschiedenen Nutzerkonten über den Messenger an ihre Freunde und Familienangehörige verschickt wurden. Sie hatte zunächst vergeblich von Facebook die Löschung der Beiträge verlangt. Nunmehr begehrt sie, dass es facebook gerichtlich erlaubt wird, ihr Auskunft über die Bestandsdaten der Nutzer, ihre Namen, E-Mail-Adressen und IP-Adressen zu erteilen.
Das Landgericht hat den Antrag zurückgewiesen. Die Beschwerde der Antragstellerin hatte auch vor dem OLG keinen Erfolg. Das OLG stellt fest, dass nach der gegenwärtigen Gesetzeslage die begehrte datenschutzrechtliche Erlaubnis zur Herausgabe der Nutzerdaten an die Antragstellerin deshalb nicht bestehe, da es sich bei dem Messenger um ein Mittel der Individualkommunikation handele. Zwar sei § 14 Abs. 3 TMG auf Facebook anwendbar, soweit es um Kommunikation in seinem sozialen Netzwerk gehe. Der Messenger diene jedoch – vergleichbar mit WhatsApp – dem privaten Austausch.
§ 14 Abs. 3 TMG erfasse gegenwärtig nur solche Diensteanbieter, die ein soziales Netzwerk im Sinne von § 1 Abs. 1 NetzDG betreiben. Dafür spreche sowohl der Wortlaut des Gesetzes als auch der Willen des Gesetzgebers. In der Gesetzesbegründung zu § 1 NetzDG heiße es zwar, dass der „oft aggressiv, verletzend und nicht selten hasserfüllt(en)“ „Debattenkultur im Netz“ zu begegnen sei. Gleichzeitig habe der Gesetzgeber jedoch deutlich zum Ausdruck gebracht, dass Individualkommunikation von dem Anwendungsbereich des NetzDG ausgenommen werde. Auch die Verknüpfungsoption des Messengers mit anderen Facebook-Diensten und die Möglichkeit, Nachrichten anonym zu versenden, führe nicht zum Charakter eines sozialen Netzwerks. Zwar erleichtere die Interaktion mit anderen Facebook-Diensten, mit einer Vielzahl von Empfängern ohne großen Aufwand zu kommunizieren. Allein die Möglichkeit, private Nachrichten an einen großen Empfängerkreis zu versenden, führe jedoch nicht zur Annahme eines sozialen Netzwerkes. Ein soziales Netzwerk müsse vielmehr dazu „bestimmt“ sein, „beliebige Inhalte mit anderen Nutzern zu teilen oder zugänglich zu machen“. Das OLG resümiert insoweit: „Messenger erfüllt eine andere Funktion, nämlich die der privaten Kommunikation“.
§ 14 Abs. 3 TMG verdränge auch als speziellere Regelung die allgemeine datenschutzrechtliche Möglichkeit nach § 24 BDSG, Auskunft über Daten zu erteilen. Bei der Umsetzung der DS-GVO und Anpassung des BDSG sei der Gesetzgeber explizit davon ausgegangen, dass weiterer Anpassungsbedarf bestehe, der gesonderte Gesetzesvorhaben erfordere. Das TMG sei bislang indes nicht novelliert und damit in seiner bestehenden Form anzuwenden.
Es sei allerdings nicht zu verkennen, dass dieses Ergebnis für die Antragstellerin unbefriedigend sei. Betroffenen stehe gegenwärtig kein spezieller datenschutzrechtlicher Anspruch zur Seite; ein allgemeiner Auskunftsanspruch nach „Treu und Glauben“ sei fraglich. „Insoweit könnte der Gesetzgeber aufgerufen sein, gegebenenfalls ein Auskunftsanspruch entsprechend der Regelung in § 101 UrhG zu kodifizieren“, deutet das OLG abschließend an.
Das OLG hat die Rechtsbeschwerde zum BGH zugelassen, da die Fragen im Zusammenhang mit sozialen Netzwerken bislang höchstrichterlich nicht geklärt und von grundsätzlicher Bedeutung seien.
Oberlandesgericht Frankfurt am Main, Beschluss vom 06.09.2018, Az. 16 W 27/18
(vorausgehend Landgericht Frankfurt am Main, Beschluss vom 30.04.2018, Az. 2-03 O 430/17)
§ 14 TMG Bestandsdaten
(1) Der Diensteanbieter darf personenbezogene Daten eines Nutzers nur erheben und verwenden, soweit sie für die Begründung, inhaltliche Ausgestaltung oder Änderung eines Vertragsverhältnisses zwischen dem Diensteanbieter und dem Nutzer über die Nutzung von Telemedien erforderlich sind (Bestandsdaten).
...
(3) Der Diensteanbieter darf darüber hinaus im Einzelfall Auskunft über bei ihm vorhandene Bestandsdaten erteilen, soweit dies zur Durchsetzung zivilrechtlicher Ansprüche wegen der Verletzung absolut geschützter Rechte aufgrund rechtswidriger Inhalte, die von § 1 Absatz 3 des Netzwerkdurchsetzungsgesetzes erfasst werden, erforderlich ist.
§ 1 NetzDG Anwendungsbereich
(1) Dieses Gesetz gilt für Telemediendiensteanbieter, die mit Gewinnerzielungsabsicht Plattformen im Internet betreiben, die dazu bestimmt sind, dass Nutzer beliebige Inhalte mit anderen Nutzern teilen oder der Öffentlichkeit zugänglich machen (soziale Netzwerke). 2Plattformen mit journalistisch-redaktionell gestalteten Angeboten, die vom Diensteanbieter selbst verantwortet werden, gelten nicht als soziale Netzwerke im Sinne dieses Gesetzes. 3Das Gleiche gilt für Plattformen, die zur Individualkommunikation oder zur Verbreitung spezifischer Inhalte bestimmt sind.
...
Das OLG Frankfurt hat entschieden, dass ein Löschungsanspruch gegen Google nach § 17 DSGVO auf Entfernung aus dem Suchindex ( Recht auf Vergessenwerden ) nur gegeben ist, wenn bei einer Interessenabwägung das Informationsinteresse hinter die Interessen des Betroffenen zurücktritt.
Die Pressemitteilung des Gerichts:
Löschungsanspruch nach der DSGVO gegen Google setzt umfassende Interessenabwägung voraus
Das Oberlandesgericht Frankfurt am Main (OLG) hat entschieden, dass es Google nicht generell untersagt werden darf, ältere negative Presseberichte über eine Person in der Trefferliste anzuzeigen, selbst wenn diese Gesundheitsdaten enthalten. Es komme auch nach Inkrafttreten der DSGVO darauf an, ob das Interesse des Betroffenen im Einzelfall schwerer wiegt als das Öffentlichkeitsinteresse. Das durch die DSGVO anerkannte „Recht auf Vergessen“ überwiegt entgegen einer Entscheidung des EuGH zum früheren Recht nicht grundsätzlich das öffentliche Informationsinteresse.
Nr. 37/2018
Der Kläger war Geschäftsführer einer bekannten gemeinnützigen Organisation. Diese wies im Jahre 2011 ein erhebliches finanzielles Defizit auf. Kurz zuvor hatte der Kläger sich aus gesundheitlichen Gründen krankgemeldet. Die Presse berichtete wiederholt über die finanzielle Schieflage, teilweise unter namentlicher Nennung des Klägers sowie der Tatsache, dass er sich aus gesundheitlichen Gründen nicht im Dienst befinde. Die in den USA-ansässige Beklagte betreibt die Suchmaschine „Google“ (Google).
Der Kläger begehrt nunmehr von Google, es zu unterlassen, bei einer Suche nach seinem Vor- und Zunamen, fünf konkrete sog. URL bei den Suchergebnissen in Deutschland anzuzeigen, die zu entsprechenden Presseberichten führen. Das Landgericht hat die Klage abgewiesen. Die Berufung des Klägers hatte auch vor dem OLG keinen Erfolg.
Der Kläger könne sich im Ergebnis nicht auf einen Unterlassungsanspruch aus Art. 17 DSGVO berufen, meint das OLG. Das amerikanische Unternehmen Google müsse zwar die Vorgaben der DSGVO einhalten, wenn Daten von Personen in der EU verarbeitet werden. Der in Art. 17 DSGVO geregelte Löschungsanspruch umfasse auch den hier geltend gemachten Unterlassungsanspruch.
Es bestehe aber kein Löschungsgrund nach Art. 17 DSGVO. Abzuwägen seien hier das klägerische Recht auf informationelle Selbstbestimmung mit dem Recht von Google und seinen Nutzern auf Kommunikationsfreiheit. Jedenfalls „noch“ müsse hier das Anonymitätsinteresse des Klägers hinter das Interesse der Öffentlichkeit an der weiteren Zurverfügungstellung der Berichte zurücktreten. Die verlinkten Artikel enthielten zwar teilweise sensible Daten des Klägers, soweit es sich um Gesundheitsdaten handele. Auch deren Schutz gehe jedoch nur so weit, wie er „erforderlich“ sei. Dabei sei zu beachten, dass Suchmaschinenbetreiber wie Google aufgrund ihrer besonderen Stellung erst dann handeln müssten, wenn sie durch „einen konkreten Hinweis Kenntnis von einer offensichtlichen und auf den ersten Blick klar erkennbaren Verletzung des allgemeinen Persönlichkeitsrechts ... durch den Inhalt einer in der Ergebnisliste der Suchmaschine nachgewiesenen Internetseite erlangt haben“. Zu einer präventiven Kontrolle sei Google nicht verpflichtet. An einer derartigen Rechtsverletzung fehle es hier. Die ursprüngliche Berichterstattung sei rechtmäßig gewesen. Es habe ein erhebliches öffentliches Interesse bestanden. Dies treffe auch auf die gesundheitsbezogenen Angaben des Klägers zu. Sie erklärten, aus welchen Gründen er zu Mitarbeit in der Krise nicht zur Verfügung gestanden habe.
Etwas anderes ergebe sich auch nicht aus dem vom EuGH erstmals anerkannten „Recht auf Vergessenwerden“. Der Ablauf von 6-7 Jahren seit der Veröffentlichung der Artikel lasse nicht eindeutig auf die Erledigung jeglichen Informationsinteresses schließen. Der EuGH (Urteil vom 13.05.2014 – C-131/12 – google spain) habe zwar in einer Entscheidung vor Erlass der DS-GVO angenommen, dass grundsätzlich das Interesse eines Betroffenen, nicht mehr namentlich genannt zu werden, dass Interesse an der fortbestehenden Verlinkung überwiege. Lediglich in Ausnahmefällen könne, so der EuGH, der Grundrechtseingriff durch ein überwiegendes Interesse einer breiten Öffentlichkeit gerechtfertigt sein. Das OLG betont jedoch, dass sich diese Entscheidung nicht auf einen vergleichbaren presserechtlichen Sachverhalt bezogen habe. Zudem finde sich das vom EuGH angenommene „Regel-Ausnahme-Verhältnis“ nicht im Regelungsgefüge der DSGVO wider; die Entstehungsgeschichte spreche ebenfalls gegen eine Übertragung.
Der „Abwägungsmechanismus“ des EuGH könne demnach auf die DS-GVO nicht „schematisch“ angewendet werden; es müsse vielmehr „mit Vorsicht den jeweiligen Besonderheiten des Einzelfalls Rechnung“ getragen werden.
Aus den dargestellten Gründen könne der Kläger sich auch nicht auf einen Unterlassungsanspruch wegen der unerlaubten Beeinträchtigung seines Persönlichkeitsrechts berufen.
Das Urteil ist nicht rechtskräftig. Das OLG hat die Revision zum BGH zugelassen, da die Rechtsfragen im Zusammenhang mit der DSGVO von grundlegender Bedeutung und höchstrichterlich nicht geklärt seien.
Oberlandesgericht Frankfurt am Main, Urteil vom 06.09.2018, Az. 16 U 193/17
(vorausgehend Landgericht Frankfurt am Main, Urteil vom 26.10.2017, Az. 2-03 O 190/16)
Es handelt sich – soweit ersichtlich – um das erste obergerichtliche Urteil zu Löschungsfragen nach der neuen DSGVO.
Artikel 6 DSGVO Rechtmäßigkeit der Verarbeitung
(1) Die Verarbeitung ist nur rechtmäßig, wenn mindestens eine der nachstehenden Bedingungen erfüllt ist:
a) ...
f) die Verarbeitung ist zur Wahrung der berechtigten Interessen des Verantwortlichen oder eines Dritten erforderlich, sofern nicht die Interessen oder Grundrechte und Grundfreiheiten der betroffenen Person, die den Schutz personenbezogener Daten erfordern, überwiegen, insbesondere dann, wenn es sich bei der betroffenen Person um ein Kind handelt.
Artikel 17 DSGVO Recht auf Löschung („Recht auf Vergessenwerden”)
(1) Die betroffene Person hat das Recht, von dem Verantwortlichen zu verlangen, dass sie betreffende personenbezogene Daten unverzüglich gelöscht werden, und der Verantwortliche ist verpflichtet, personenbezogene Daten unverzüglich zu löschen, sofern einer der folgenden Gründe zutrifft:
a) Die personenbezogenen Daten sind für die Zwecke, für die sie erhoben oder auf sonstige Weise verarbeitet wurden, nicht mehr notwendig...
d) Die personenbezogenen Daten wurden unrechtmäßig verarbeitet.
Die Konferenz der unabhängigen Datenschutzaufsichtsbehörden des Bundes und der Länder (DSK) hat wenig überraschend in einem Beschluss vom 05.09.2018 die Ansicht geäußert, dass der Betrieb einer Facebook-Fanpage, wie sie derzeit von Facebook angeboten wird, ohne Vereinbarung nach Art. 26 DSGVO rechtswidrig ist.
Auch Fanpage-Betreiberinnen und Betreiber müssen sich ihrer datenschutzrechtlichen Verantwortung stellen. Ohne Vereinbarung nach Art. 26 DSGVO ist der Betrieb einer Fanpage, wie sie derzeit von Facebook angeboten wird, rechtswidrig. Daher fordert die DSK, dass nun die Anforderungen des Datenschutzrechts beim Betrieb von Fanpages erfüllt werden. Dazu gehört insbesondere, dass die gemeinsam Verantwortlichen Klarheit über die derzeitige Sachlage schaffen und die erforderlichen Informationen den betroffenen Personen (= Besucherinnen und Besucher der Fanpage) bereitstellen.
Eine gemeinsame Verantwortlichkeit bedeutet allerdings auch, dass FanpageBetreiberinnen und Betreiber (unabhängig davon, ob es sich um öffentliche oder nicht-öffentliche Verantwortliche handelt) die Rechtmäßigkeit der gemeinsam zu verantwortenden Datenverarbeitung gewährleisten und dies nachweisen können. Zudem können Betroffene ihre Rechte aus der DSGVO bei und gegenüber jedem Verantwortlichen geltend machen (Art. 26 Abs. 3 DSGVO). Insbesondere die im Anhang aufgeführten Fragen müssen deshalb sowohl von Facebook als auch und von Fanpage-Betreiberinnen und Betreibern beantwortet werden können
