BECKMANN UND NORDA - Rechtsanwälte Bielefeld

BGH
Beschluss vom 27.07.2020
VI ZR 476/18
EU-Grundrechtecharta Art. 7, 8, 11, 16; DSGVO Art. 17

Wir hatten bereits in dem Beitrag BGH: Anspruch auf Entfernung aus dem Google-Suchindex richtet sich nach Art. 17 Abs. 1 DSGVO und erfolgt nach umfassender Grundsrechtsabwägung - Recht auf Vergessenwerden über die Entscheidung berichtet.

Leitsatz des BGH:

Dem Gerichtshof der Europäischen Union werden zur Auslegung des Unionsrechts folgende Fragen zur Vorabentscheidung vorgelegt:

a) Ist es mit dem Recht des Betroffenen auf Achtung seines Privatlebens (Art. 7 Charta der Grundrechte der Europäischen Union, GRCh, ABl. EU C 202 vom 7. Juni 2016, S. 389) und auf Schutz der ihn betreffenden personenbezogenen Daten (Art. 8 GRCh) vereinbar, bei der im Rahmen der Prüfung seines Auslistungsbegehrens gegen den Verantwortlichen eines Internet-Suchdienstes gemäß Art. 17 Abs. 3 Buchst. a der Verordnung (EU) 2016/679 des Europäischen Parlaments und des Rates vom 27. April 2016 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten, zum freien Datenverkehr und zur Aufhebung der Richtlinie 95/46/EG (Datenschutz-Grundverordnung, DS-GVO, ABl. EU L 119 vom 4. Mai 2016, S. 1) vorzunehmenden Abwägung der widerstreitenden Rechte und Interessen aus Art. 7, 8, 11 und 16 GRCh dann, wenn der Link, dessen Auslistung beantragt wird, zu einem Inhalt führt, der Tatsachenbehauptungen und auf Tatsachenbehauptungen beruhende Werturteile enthält, deren Wahrheit der Betroffene in Abrede stellt, und dessen Rechtmäßigkeit mit der Frage der Wahrheitsgemäßheit der in ihm enthaltenen Tatsachenbehauptungen steht und fällt, maßgeblich auch darauf abzustellen, ob der Betroffene in zumutbarer Weise - z.B. durch eine einstweilige Verfügung - Rechtsschutz gegen den Inhalteanbieter erlangen und damit die Frage der Wahrheit des vom Suchmaschinenverantwortlichen nachgewiesenen Inhalts einer zumindest vorläufigen Klärung zuführen könnte?

b) Ist im Falle eines Auslistungsbegehrens gegen den Verantwortlichen eines Internet-Suchdienstes, der bei einer Namenssuche nach Fotos von natürlichen Personen sucht, die Dritte im Zusammenhang mit dem Namen der Person ins Internet eingestellt haben, und der die von ihm aufgefundenen Fotos in seiner Ergebnisübersicht als Vorschaubilder ("thumbnails”) zeigt, im Rahmen der nach Art. 12 Buchst. b und Art. 14 Abs. 1 Buchst. a der Richtlinie 95/46/EG des Europäischen Parlaments und des Rates vom 24. Oktober 1995 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten und zum freien Datenverkehr (Datenschutz-Richtlinie, DS-RL, ABl. EU L 281 vom 23. November 1995, S. 31) / Art. 17 Abs. 3 Buchst. a DSGVO vorzunehmenden Abwägung der widerstreitenden Rechte und Interessen aus Art. 7, 8, 11 und 16 GRCh der Kontext der ursprünglichen Veröffentlichung des Dritten maßgeblich zu berücksichtigen, auch wenn die Webseite des Dritten bei Anzeige des Vorschaubildes durch die Suchmaschine zwar verlinkt, aber nicht konkret benannt und der sich hieraus ergebende Kontext vom Internet-Suchdienst nicht mit angezeigt wird?

BGH, Beschluss vom 27. Juli 2020 - VI ZR 476/18 - OLG Köln - LG Köln

Den Volltext der Entscheidung finden Sie hier:

BGH
Urteil vom 27.07.2020 - VI ZR 405/18
DSGVO Art. 17

Wir hatten bereits in dem Beitrag BGH: Anspruch auf Entfernung aus dem Google-Suchindex richtet sich nach Art. 17 Abs. 1 DSGVO und erfolgt nach umfassender Grundsrechtsabwägung - Recht auf Vergessenwerden über die Entscheidung berichtet.

Leitsatz des BGH:

Zu den Voraussetzungen eines Auslistungsanspruchs gegen den Verantwortlichen eines Internet-Suchdienstes nach Art. 17 DS-GVO

Den Volltext der Entscheidung finden Sie hier:

BVerwG
Urteil vom 16.09.2020
6 C 10.19

Das BVerwG hat entschieden, dass ein Insolvenzverwalter keinen Auskunftsanspruch nach Art. 15 Abs. 1 DSGVO hinsichtlich der personenbezogenen Daten des Insolvenzschuldners hat. Ein solcher Anspruch steht nur dem Insolvenzschuldner selbst zu.

Die Pressemitteilung des Gerichts:

Kein datenschutzrechtlicher Anspruch des Insolvenzverwalters auf Auskunft über das Steuerkonto des Insolvenzschuldners

Der Insolvenzverwalter kann nach Art. 15 Abs. 1 Datenschutzgrundverordnung (DSGVO) keine Auskunft vom Finanzamt über das Steuerkonto des Insolvenzschuldners verlangen. Das hat das Bundesverwaltungsgericht in Leipzig entschieden.

Der Kläger ist Insolvenzverwalter und begehrt in dieser Funktion vom beklagten Finanzamt einen Auszug aus dem Steuerkonto des Schuldners. Hierdurch erhielte er die Möglichkeit, potentiell anfechtungsrelevante Sachverhalte zur Mehrung der Insolvenzmasse zu ermitteln. Sein zunächst auf das Niedersächsische Landesdatenschutzrecht gestütztes Begehren verfolgt er unter Berufung auf Art. 15 Abs. 1 DSGVO seit dessen Inkrafttreten im Mai 2018 weiter. Art. 15 Abs. 1 DSGVO räumt einer betroffenen Person das Recht ein, von einem für die Datenverarbeitung Verantwortlichen Auskunft über die Verarbeitung der sie betreffenden personenbezogenen Daten zu verlangen. Dieser Anspruch besteht grundsätzlich auch gegenüber den Finanzbehörden. Allerdings ist der Insolvenzverwalter hinsichtlich der personenbezogenen Daten des Insolvenzschuldners weder nach dem Wortlaut, der Systematik noch nach dem Sinn und Zweck der einschlägigen Regelungen der DSGVO "betroffene Person". Betroffene Person ist nach Art. 4 Nr. 1 DSGVO nur diejenige natürliche Person, die durch die jeweiligen personenbezogenen Daten identifizierbar oder identifiziert ist. Eine Erweiterung dieses Begriffs auf den mit der Verwaltung der Insolvenzmasse betrauten Insolvenzverwalter widerspräche dem Charakter des Auskunftsanspruchs aus Art. 15 Abs. 1 DSGVO. Denn die in der DSGVO verankerten Betroffenenrechte dienen dem Schutz des Grundrechts auf Achtung der Privatsphäre aus Art. 8 der Charta der Grundrechte der Europäischen Union. Dieser Schutz lässt sich nur verwirklichen, wenn sich die von einer Datenverarbeitung betroffene Person vergewissern kann, dass ihre personenbezogenen Daten richtig sind und in zulässiger Weise verarbeitet werden, um andernfalls von dem für die Verarbeitung Verantwortlichen unter anderem die Berichtigung oder Löschung ihrer Daten zu verlangen. Der Auskunftsanspruch ist daher seiner Natur nach ein Instrument zur Schaffung des notwendigen Wissensfundaments für die Geltendmachung weitergehender Betroffenenrechte und zielt nicht auf die vom Kläger beabsichtigte Gewinnung von Informationen mit vermögensrechtlichem Bezug.

Auch ein Übergang dieses Auskunftsanspruchs in die Verfügungsbefugnis des Insolvenzverwalters gemäß § 80 Abs. 1 Insolvenzordnung findet nicht statt. Denn er ist seinem Charakter nach untrennbar mit der Person des Berechtigten verbunden und kann nicht losgelöst von den weiteren Betroffenenrechten betrachtet werden. Eine Ausübung durch den Insolvenzverwalter würde seine Zielrichtung und seinen Zweck verändern. Auch eine Differenzierung nach dem Vermögensbezug der betroffenen Daten kommt daher nicht in Betracht.

BVerwG 6 C 10.19 - Urteil vom 16. September 2020

Vorinstanzen:

OVG Lüneburg, 11 LC 121/17 - Urteil vom 20. Juni 2019 -

VG Lüneburg, 1 A 343/15 - Urteil vom 01. März 2017 -

BGH
Beschluss vom 27.08.2020
III ZB 30/20
ZPO § 888 Abs. 1 Satz 1

Wir hatten bereits in dem Beitrag BGH: Facebook muss Erben eines verstorbenen Nutzers vollständigen Zugang zum Facebook-Konto gewähren - Übersendung einer PDF-Datei mit ausgelesenen Daten nicht ausreichend über die Entscheidung berichtet.

Leitsatz des BGH:
Zur Auslegung eines Vollstreckungstitels (siehe BGH, Urteil vom 12. Juli 2018 - III ZR 183/17, BGHZ 219, 243), der die - ein soziales InternetNetzwerk betreibende - Schuldnerin verpflichtet, den Erben einer verstorbenen Teilnehmerin an dem Netzwerk Zugang zu dem vollständigen Benutzerkonto und den darin vorgehaltenen Kommunikationsinhalten der Erblasserin zu gewähren.

BGH, Beschluss vom 27. August 2020 - III ZB 30/20 - KG Berlin - LG Berlin

Den Volltext der Entscheidung finden Sie hier:

BGH
Beschluss vom 27.08.2020
III ZB 30/20

Der BGH hat entschieden, dass Facebook den Erben eines verstorbenen Nutzers vollständigen Zugang zum Facebook-Konto gewähren muss. Die Übersendung einer PDF-Datei mit allen ausgelesenen Daten auf einem USB-Stick genügt nicht.

Die Pressemitteilung des BGH:

Zur Auslegung eines Urteils, das die Betreiberin eines sozialen Netzwerks verpflichtet, den Erben der Berechtigten eines Benutzerkontos Zugang zum vollständigen Konto zu gewähren

Der III. Zivilsenat des Bundesgerichtshofs hat entschieden, dass die Betreiberin eines sozialen Netzwerks, die verurteilt worden ist, den Erben einer Netzwerk-Teilnehmerin Zugang zu deren vollständigen Benutzerkonto zu gewähren, den Erben die Möglichkeit einräumen muss, vom Konto und dessen Inhalt auf dieselbe Weise Kenntnis zu nehmen und sich - mit Ausnahme einer aktiven Nutzung - darin so "bewegen" zu können wie zuvor die ursprüngliche Kontoberechtigte.

Sachverhalt

Die Schuldnerin betreibt ein soziales Netzwerk. Sie ist durch - vom Bundesgerichtshof (Urteil vom 12. Juli 2018 – III ZR 183/17 – Pressemitteilung 115/18) bestätigtes – rechtskräftig gewordenes Urteil des Landgerichts Berlin vom 17. Dezember 2015 verurteilt worden, den Eltern einer verstorbenen Teilnehmerin an dem Netzwerk als Erben Zugang zu dem vollständigen Benutzerkonto und den darin vorgehaltenen Kommunikationsinhalten ihrer Tochter zu gewähren. Die Schuldnerin hat daraufhin der Gläubigerin, der Mutter der Verstorbenen, einen USB-Stick übermittelt, der eine PDF-Datei mit mehr als 14.000 Seiten enthält, die nach den Angaben der Schuldnerin eine Kopie der ausgelesenen Daten aus dem von der Verstorbenen geführten Konto enthält. Zwischen den Parteien ist streitig, ob hierdurch die Verpflichtung der Schuldnerin aus dem Urteil des Landgerichts vom 17. Dezember 2015 erfüllt worden ist.

Prozessverlauf

Das Landgericht hat auf Antrag der Gläubigerin gegen die Schuldnerin wegen Nichterfüllung ihrer Verpflichtung aus dem Urteil vom 17. Dezember 2015 ein Zwangsgeld von 10.000 € festgesetzt. Das Kammergericht hat den Beschluss des Landgerichts auf die sofortige Beschwerde der Schuldnerin aufgehoben und den Antrag der Gläubigerin auf Festsetzung eines Zwangsmittels gegen die Schuldnerin zurückgewiesen. Hiergegen richtet sich die vom Kammergericht zugelassene Rechtsbeschwerde der Gläubigerin.

Entscheidung des Bundesgerichtshofs

Der III. Zivilsenat des Bundesgerichtshofs hat den Beschluss des Kammergerichts aufgehoben und die erstinstanzliche Entscheidung wiederhergestellt.

Bereits die Auslegung des Tenors des Urteils des Landgerichts Berlin vom 17. Dezember 2015 ergibt, dass der Gläubigerin nicht nur Zugang zu den im Benutzerkonto vorgehaltenen Kommunikationsinhalten zu gewähren, sondern darüber hinaus auch die Möglichkeit einzuräumen ist, vom Benutzerkonto selbst und dessen Inhalt auf dieselbe Art und Weise Kenntnis nehmen zu können, wie es die ursprüngliche Kontoberechtigte konnte.

Dies folgt zudem aus den Entscheidungsgründen des vorgenannten Urteils sowie des Urteils des Bundesgerichtshofs vom 12. Juli 2018. Beide Entscheidungen haben den von der Schuldnerin zu erfüllenden Anspruch der Gläubigerin erbrechtlich hergeleitet. Der Bundesgerichtshof hat ausgeführt, der Nutzungsvertrag zwischen der Tochter der Gläubigerin und der Schuldnerin sei mit seinen Rechten und Pflichten im Wege der Gesamtrechtsnachfolge auf die Erben übergegangen. Letztere seien hierdurch in das Vertragsverhältnis eingetreten und hätten deshalb als Vertragspartner und neue Kontoberechtigte einen Primärleistungsanspruch auf Zugang zu dem Benutzerkonto ihrer Tochter sowie den darin enthaltenen digitalen Inhalten. Aus dieser Stellung der Erben und dem auf sie übergegangenen Hauptleistungsanspruch der Erblasserin aus dem mit der Schuldnerin bestehenden Vertragsverhältnis folgt ohne weiteres, dass den Erben auf dieselbe Art und Weise Zugang zu dem Benutzerkonto zu gewähren ist wie zuvor ihrer Tochter. Das ergibt sich zudem aus zahlreichen weiteren Ausführungen des Bundesgerichtshofs und des Landgerichts Berlin in ihren vorgenannten Urteilen.

Die Schuldnerin hat ihre Verpflichtung aus dem Urteil des Landgerichts Berlin vom 17. Dezember 2015 nicht erfüllt. Durch die Überlassung des USB-Sticks mit einer umfangreichen PDF-Datei wurde kein vollständiger Zugang zum Benutzerkonto gewährt. Die PDF-Datei bildet das Benutzerkonto nicht vollständig ab. Letzteres erfordert nicht nur die Darstellung der Inhalte des Kontos, sondern auch die Eröffnung aller seiner Funktionalitäten - mit Ausnahme derer, die seine aktive Weiternutzung betreffen - und der deutschen Sprache, in der das Benutzerkonto zu Lebzeiten der Erblasserin vertragsgemäß geführt wurde. Diese Voraussetzungen erfüllt die von der Gläubigerin übermittelte Datei nicht.

Vorinstanzen:

LG Berlin – Beschluss vom 13. Februar 2019 – 20 O 172/15

Kammergericht – Beschluss vom 3. Dezember 2019 – 21 W 11/19

Die maßgeblichen Vorschriften lauten

§ 888 ZPO - Nicht vertretbare Handlungen

(1) Kann eine Handlung durch einen Dritten nicht vorgenommen werden, so ist, wenn sie ausschließlich von dem Willen des Schuldners abhängt, auf Antrag von dem Prozessgericht des ersten Rechtszuges zu erkennen, dass der Schuldner zur Vornahme der Handlung durch Zwangsgeld und für den Fall, dass dieses nicht beigetrieben werden kann, durch Zwangshaft oder durch Zwangshaft anzuhalten sei. Das einzelne Zwangsgeld darf den Betrag von 25 000 Euro nicht übersteigen. Für die Zwangshaft gelten die Vorschriften des Zweiten Abschnitts über die Haft entsprechend.

VG Mainz
Urteil vom 22.07.2020
1 K 473/19.MZ

Das VG Mainz hat entschieden, dass eine datenschutzrechtliche Beschwerde alle Informationen enthalten muss, so dass die datenschutzrechtliche Aufsichtsbehörde die Sache prüfen kann.

Aus den Entscheidungsgründen:

II. Die Klage hat ungeachtet dessen auch in der Sache keinen Erfolg. Der Bescheid des Beklagten vom 26. April 2019 ist rechtmäßig und verletzt den Kläger nicht in seinen Rechten. Die Beendigung des vom Kläger erhobenen Beschwerdeverfahrens durch den Beklagten ist nicht zu beanstanden, weil der Kläger keine prüffähige Beschwerde beim LFDI erhoben hat. Dabei hat der Beklagte das Beschwerdeverfahren nicht etwa deshalb eingestellt – wie der Kläger wohl meint –, weil der Kläger nur die aus seiner Sicht bestehenden Missstände und seine Rechtsauffassung mitteilt, sondern weil die Beschwerde des Klägers mangels konkreter Informationen zu einem Datenschutzrechtsverstoß vom LFDI nicht geprüft werden konnte.

1. Eine Beschwerde kann gemäß Art. 77 Abs. 1 DSGVO bei der Aufsichtsbehörde – hier: LFDI – eingelegt werden, wenn die betroffene Person der Ansicht ist, dass die Verarbeitung der sie betreffenden personenbezogenen Daten gegen diese Verordnung verstößt. Der Beschwerdeführer hat nicht nur – wie es bei einer Petition der Fall wäre – ein Recht auf Beantwortung und Bescheidung seiner Beschwerde, sondern einen darüberhinausgehenden Anspruch auf fehlerfreie Ermessensausübung und im Falle einer Ermessensreduzierung auf Null einen Anspruch auf ein konkretes Einschreiten der Aufsichtsbehörde (vgl. VG Mainz, Urteil vom 16. Januar 2020 – 1 K 129/19.MZ –, juris, Rn. 35; VG Ansbach, Urteil vom 8. August 2019 – AN 14 K 19.272 –, BeckRS 2019, 30069, Rn. 25; Albrecht/Jotzo, Das neue Datenschutzrecht der EU, 1. Aufl. 2017, Teil 8, Rn. 6 f., beck-online; Mundil, in Wolff/Brink, BeckOK Datenschutzrecht, 30. Ed. Stand: 1. Februar 2017, Art. 78 DSGVO, Rn. 7). Eine Beschwerde kann formlos eingereicht werden, da Art. 77 Abs. 1 DSGVO keine ausdrücklichen Formerfordernisse regelt. Inhaltlich dürfen an die Beschwerde zwar keine zu strengen Anforderungen gestellt werden, damit das Beschwerderecht grundsätzlich einfach und unbürokratisch ausgeübt werden kann (vgl. Bergt, in: Kühling/Buchner, DS-GVO/BDSG, 2. Aufl. 2018, Art. 77, Rn. 10; Körffer, in: Paal/Pauly, DS-GVO/BDSG, 2. Aufl. 2018, Art. 77, Rn. 3). Gleichwohl muss die Beschwerde zumindest alle Informationen enthalten, die erforderlich sind, dass die Aufsichtsbehörde den Sachverhalt erfassen und gegebenenfalls weiter aufklären und etwaige Datenschutzrechtsverstöße prüfen kann. Die Beschwerde muss daher Angaben über die betroffene Person und den Verantwortlichen aufweisen und zumindest ansatzweise zum Ausdruck bringen, welcher Verstoß gegen datenschutzrechtliche Vorschriften gerügt wird (vgl. Mundil, in: Wolff/Brink, BeckOK Datenschutzrecht, 31. Edition, Stand: 1. Februar 2020, Art. 77, Rn. 7). Schließlich kann der Beschwerdeführer keine Ermittlungen ins Blaue hinein durch den LFDI beantragen. Dabei kann von der betroffenen Person zwar keine rechtliche Analyse erwartet werden, allerdings muss die Behauptung eines Rechtsverstoßes substantiiert durch Tatsachen dargelegt werden. Sofern die Beschwerde noch nicht hinreichend substantiiert ist, ist es Aufgabe der Aufsichtsbehörde den Beschwerdeführer hierauf hinzuweisen und auf eine Konkretisierung der Beschwerde hinzuwirken (vgl. Nemitz, in: Ehmann/Selmayr, DSGVO, 2. Aufl. 2018, Art. 77, Rn. 8).

2. Unter Anwendung des dargestellten Rechtsmaßstabs fehlt es hier an einer hinreichend substantiierten, überprüfbaren Beschwerde des Klägers. Der Kläger hat mit seiner Beschwerde vom 5. Februar 2019 zwar mitgeteilt, dass er Unterstützung bei seinem Auskunftsbegehren nach Art. 15 DSGVO benötige. Er habe verschiedene Behörden um Auskunft gebeten und verweise insofern auf seine beigefügten Anfrageschreiben an die jeweiligen Behörden sowie die Rückantworten des Sozialgerichts Mainz, des Landessozialgerichts Rheinland-Pfalz, der Staatskanzlei und der Generalstaatsanwaltschaft Koblenz. Aus seinem Beschwerdeschreiben und auch der weiteren Korrespondenz mit dem LFDI sowie aus seinem Vortrag im Klageverfahren ergibt sich jedoch nicht, ob und warum er überhaupt von einer Datenverarbeitung durch die angefragten Stellen ausgeht (a)), ob ihm alle angefragten Behörden geantwortet haben bzw. welche Behörden sich nicht zurückgemeldet haben (b)) und warum die Rückantworten, die er erhalten und seiner Beschwerde beigefügt hat, nicht ausreichen (c)).

a) Sofern der Kläger nicht erklärt, dass (und warum) er von einer Datenverarbeitung durch die verantwortliche Behörde ausgeht und sich dies auch nicht aus den Umständen ergibt, kann der LFDI teilweise bereits seine Zuständigkeit nicht prüfen.

Art. 55 Abs. 3 DSGVO regelt, dass die Aufsichtsbehörden – hier: der LFDI – nicht zuständig sind für die Aufsicht über die von den Gerichten im Rahmen ihrer justiziellen Tätigkeit vorgenommenen Verarbeitungen von personenbezogenen Daten (vgl. insofern auch Erwägungsgrund 20 der DSGVO). Das bedeutet, dass der LFDI keine Aufsichtsbefugnisse über Gerichte hat, sofern diese Tätigkeiten ausüben, die mit der gerichtlichen Entscheidungsfindung in Zusammenhang stehen (vgl. Selmayr, in: Ehmann/Selmayr, 2. Aufl. 2018, DS-GVO Art. 55 Rn. 12). Damit soll der verfassungsrechtlich gebotenen Unabhängigkeit der Justiz Rechnung getragen werden (vgl. Schaar, „Datenschutz und Rechtspflege“, DRiZ 2018, 166, beck-online). Die Gerichtsverwaltung ist von der Zuständigkeit der Aufsichtsbehörden hingegen nicht ausgenommen. Damit unterliegen die Verarbeitung personenbezogener Daten der Mitarbeiter der Justizverwaltung, die Datenverarbeitung bei der Mittelbeschaffung für die Gerichte sowie bei Justizverwaltungsakten und Rechtspflegetätigkeiten der Kontrolle des LFDI (vgl. Selmayr, in: Ehmann/Selmayr, DS-GVO, 2. Aufl. 2018, Art. 55, Rn. 14). In Bezug auf die Gerichte (Sozialgericht Mainz, Landessozialgericht Rheinland-Pfalz), an die der Kläger ein Auskunftsersuchen adressiert hat, konnte der LFDI mangels substantiierten Vortrags durch den Kläger nicht prüfen, ob sich die betroffene Datenverarbeitung – über die der Kläger eine Auskunft begehrt – auf die justizielle Tätigkeit der Gerichte oder die Gerichtsverwaltung bezieht. In seinem Schreiben vom 7. März 2019 führt der Kläger zwar aus, dass die jeweiligen Gerichtsverwaltungen Stellung zu seinen Anfragen genommen hätten. Es kommt für eine Überprüfung durch den LFDI jedoch nicht darauf an, wer das Auskunftsersuchen beantwortet, sondern wer die personenbezogenen Daten verarbeitet hat.

Ebenso war es dem LFDI nicht möglich, seine Zuständigkeit hinsichtlich der Beschwerde des Klägers in Bezug auf sein Auskunftsbegehren gegenüber dem Petitionsausschuss des Rheinland-Pfälzischen Landtags zu prüfen und positiv festzustellen. Gemäß § 2 Abs. 3 LDSG unterliegen der Landtag, seine Gremien, seine Mitglieder, die Fraktionen sowie deren Verwaltungen und deren Beschäftigte nicht den Bestimmungen dieses Gesetzes, soweit sie in Wahrnehmung parlamentarischer Aufgaben personenbezogene Daten verarbeiten. Der Landtag erlässt insoweit unter Berücksichtigung seiner verfassungsrechtlichen Stellung, der DSGVO und der Grundsätze des Landesdatenschutzgesetzes eine Datenschutzordnung. Soweit das Auskunftsersuchen des Klägers also eine Verarbeitung personenbezogener Daten betrifft, die im Rahmen parlamentarischer Aufgaben erfolgt ist, ist der LFDI als Aufsichtsbehörde nicht zuständig. Ob und inwieweit vorliegend eine Datenverarbeitung des Klägers im Bereich parlamentarischer Aufgaben von seinem Auskunftsersuchen betroffen ist, konnte der LFDI jedoch gar nicht erst prüfen, weil ihm insofern nicht hinreichende Informationen übermittelt wurden.

In diesem Zusammenhang ist zu berücksichtigen, dass der LFDI in seinen Schreiben vom 15. Februar 2019 und vom 1. April 2019 auf seine eingeschränkte Zuständigkeit hingewiesen und mitgeteilt hat, dass aus den Schreiben des Klägers ein Datenschutzverstoß nicht substantiiert erkennbar sei und deshalb um Konkretisierung der Beschwerde gebeten werde. Der Kläger wurde auf seine nicht prüffähige Beschwerde hingewiesen und hat zwei Mal die Möglichkeit erhalten, seine Beschwerde zu konkretisieren.

b) Aus der Beschwerde wird weiterhin nicht erkennbar, ob der Kläger von allen Behörden, an die er ein Auskunftsersuchen adressiert hat, eine Rückantwort erhalten hat. Er hat jedenfalls nur von manchen der angeschriebenen Behörden eine Antwort seiner Beschwerde beigelegt (Sozialgericht Mainz, Staatskanzlei Rheinland-Pfalz, Landessozialgericht Rheinland-Pfalz, Generalstaatsanwaltschaft Koblenz). In dem Schreiben des Sozialgerichts Mainz wird der Kläger nur darüber informiert, dass die Beschwerde zur Bearbeitung an die Gerichtsverwaltung weitergeleitet wurde, sodass nicht erkennbar ist, ob und in welcher Weise eine inhaltliche Beantwortung des Auskunftsersuchens später noch erfolgt ist und den rechtlichen Anforderung entspricht. In dem Schreiben des Landessozialgerichts Rheinland-Pfalz vom 18. Januar 2019 wird nur Bezug genommen auf eine mit Schreiben vom 8. Januar 2019 wohl vom Landessozialgericht erteilte Antwort. Dieses Antwortschreiben hat der Kläger nicht seiner Beschwerde beigelegt, sodass ein etwaiger Verstoß gegen das Auskunftsrecht nach Art. 15 DSGVO nicht überprüfbar ist. Ob es Rückantworten des Petitionsausschusses des Landtags, des Justizministeriums und der Staatsanwaltschaft Mainz gab, wird aus der Beschwerde nicht erkennbar. Etwaige fehlende Antworten werden vom Kläger auch nicht ausdrücklich gerügt.

c) Zur Begründung seiner Beschwerde führt der Kläger zwar an, dass aus den ihm zugegangenen Antworten (mit Ausnahme der Angaben der Generalstaatsanwaltschaft Koblenz) nicht erkennbar sei, welche Dokumente er löschen lassen könne. Allerdings ist vom Auskunftsrecht nach Art. 15 Abs. 1 lit. e) DSGVO allein umfasst, dass die betroffene Person über das Bestehen ihres Rechts auf Löschung der sie betreffenden personenbezogenen Daten gemäß Art. 17 DSGVO informiert werden muss – wie es die Staatskanzlei Rheinland-Pfalz in ihrem Auskunftsschreiben (dem einzigen Schreiben, das der Kläger neben der Antwort der Generalstaatsanwaltschaft Koblenz vorgelegt hat) im Übrigen auch in rechtlich hinreichender Weise getan hat. Ein Anspruch auf Mitteilung, welche konkreten Dokumente mit personenbezogenen Daten vorhanden sind und gegebenenfalls gemäß Art. 17 DSGVO gelöscht werden müssen, lässt sich aus Art. 15 Abs. 1 DSGVO nicht ableiten. Aus seinem Auskunftsbegehren („ich nehme hiermit mein Auskunftsrecht nach Art. 15 DSGVO wahr und bitte um Rückantwort innerhalb der im Gesetz vorgesehenen Fristsetzung.“) ergibt sich auch weder, dass der Kläger etwa gemäß Art. 15 Abs. 3 DSGVO Kopien der personenbezogenen Daten, die Gegenstand der Verarbeitung bei dem jeweiligen Verantwortlichen sind, bekommen wollte, noch, dass er die Löschung seiner personenbezogenen Daten verlangt. Jedenfalls wäre es dem Kläger im Rahmen seiner Mitwirkungspflichten zuzumuten gewesen, im Falle einer aus seiner Sicht unzureichenden Beantwortung gegenüber der Behörde sein Auskunftsersuchen zu präzisieren und beispielsweise ausdrücklich eine Kopie zu verlangen. Im Übrigen ist auch nicht ersichtlich, dass eine betroffene Person für die Ausübung ihres Löschungsrechts nach Art. 17 DSGVO die Kenntnis bestimmter Dokumente benötigt; vielmehr dürfte es ausreichen die Löschung bestimmter personenbezogener Daten, die bei dem Verantwortlichen vorhanden sind, zu verlangen.

Darüber hinaus verlangt der Kläger aufgrund seiner Beschwerde offenbar, dass der LFDI Schulungen bei den verschiedenen Behörden durchführt. Hierauf hat der Kläger jedoch keinen durchsetzbaren Anspruch. Ebenso wenig kann er im Beschwerde- oder Klageverfahren eine einheitliche Rechtsanwendung durchsetzen, wobei insofern auch unklar ist, worin er anhand der verschiedenen, ihm zugegangenen Rückantworten der Behörden eine uneinheitliche Rechtsanwendung sieht.

Hinsichtlich der vom Kläger gerügten vermeintlich unvollständig und fehlerhaft geführte Verwaltungsakte ist nicht ersichtlich, in welcher Weise die Akte manipuliert sein soll und sich dieser Vorwurf auf das streitgegenständliche Verfahren auswirken könnte. In der Anpassung des Datums auf dem Bescheid vom 26. April 2019 (S. 77 der Verwaltungsakte) ist keine rechtswidrige Manipulation zu erkennen. Es ist offensichtlich, dass es sich bei dem Schreiben auf S. 77 der Verwaltungsakte um den finalen Entwurf des Bescheids handelte. Dies wird dadurch deutlich, dass der Landesdatenschutzbeauftragte Herr L. nur mit seinem Kürzel unterzeichnet hat und auf der Rückseite (S. 76 der Verwaltungsakte) eine interne Verfügung vermerkt ist. Dabei wurde in dem Schreiben das Datum der finalen Erstellung des Schreibens (Freitag, der 26. April 2019) über dem ursprünglich vermerkten Datum (24. April 2019) handschriftlich korrigiert. Diese Vorgehensweise wurde von dem Beklagtenvertreter in der mündlichen Verhandlung am 18. Juni 2020 auch bestätigt (vgl. Protokoll über die öffentliche Sitzung der 1. Kammer am 18. Juni 2020). Aus einer Datumskorrektur kann nicht ohne weitere Anhaltspunkte auf eine Aktenmanipulation geschlossen werden, zumal es auf das genaue Datum, an dem der Bescheid verfasst wurde, hier nicht ankommt. Die Verwaltungsakte ist allein dahingehend unvollständig, als sie eine Kopie des originalen, an den Kläger abgesendeten Bescheids über die finale Entwurfsfassung hinaus nicht zusätzlich in Kopie enthält. Wenngleich es wünschenswert wäre, dass der Beklagte auch den Originalbescheid in Kopie in die Verwaltungsakte aufnimmt, lässt sich aus der bisherigen Verwaltungspraxis des Beklagten für den Kläger keine Rechtsverletzung ableiten, zumal das Schreiben auf S. 77 – bis auf das handschriftlich korrigierte Datum – inhaltlich identisch ist mit dem Bescheid, den der Kläger nachweislich (Bl. 1 (Rückseite) der Gerichtsakte) erhalten hat. Entgegen der Auffassung des Klägers muss die Verwaltungsakte auch nicht die innere Entscheidungsbildung der Behördenmitarbeiter im Einzelnen abbilden.

Dem Kläger wurde auch Akteneinsicht im Sinne von § 100 VwGO gewährt. Er ist zwei Mal im Verwaltungsgericht erschienen, um Einsicht in die Akte zu nehmen; ihm wurden weitere Möglichkeiten zur Akteneinsicht angeboten, die er nicht wahrgenommen hat. Darüber hinaus wurde dem Kläger zwar verwehrt Fotografien oder Kopien von der Verwaltungsakte selbst zu erstellen, ihm wurde aber angeboten, dass auf seine Kosten Kopien durch die Geschäftsstelle angefertigt werden. Von dieser Möglichkeit hat er keinen Gebrauch gemacht.

Im Übrigen geht der Verweis des Klägers auf eine Entscheidung des Verwaltungsgerichts Mainz vom 5. April 2017 (– 3 K 569/16.MZ –) fehl, da es darin nicht um eine Akteneinsicht in Gerichts- und Verwaltungsakten nach § 100 VwGO ging, sondern um die Gebührenfreiheit bei der Einsichtnahme in amtliche Informationen vor Ort nach § 13 Abs. 1 Satz 2 Landesinformationsfreiheitsgesetz – LIFG –.

Den Volltext der Entscheidung finden Sie hier:

VG Schleswig-Holstein
Beschluss vom 19.08.2020
12 B 36/20

Das VG Schleswig-Holstein hat entschieden, dass für den Posten des Landesdatenschutzbeauftragten auch nach der DSGVO keine öffentliche Ausschreibung erforderlich ist.

Aus den Entscheidungsgründen:

Die Beigeladene wurde entsprechend dem in § 5 Abs. 1 Satz 1 ULDErrG SH geregelten Wahlverfahren gewählt. Danach wählt der Landtag auf Vorschlag der Fraktionen ohne Aussprache die Landesbeauftragte oder den Landesbeauftragten mit mehr als der Hälfte seiner Mitglieder für die Dauer von sechs Jahren. § 5 Abs. 1 Satz 1 ULDErrG SH verstößt nicht gegen die in Art. 53 Abs. 1 der Verordnung (EU) 2016/679 (Datenschutzgrundverordnung - DS-GVO) niedergelegten europarechtlichen Vorgaben. Danach sehen die Mitgliedstaaten vor, dass jedes Mitglied ihrer Aufsichtsbehörden im Wege eines transparenten Verfahrens ernannt wird, und zwar vom Parlament, von der Regierung, vom Staatsoberhaupt oder von einer unabhängigen Stelle, die nach dem Recht des Mitgliedstaats mit der Ernennung betraut wird. Das in § 5 Abs. 1 Satz 1 ULDErrG SH geregelte Wahlverfahren verstößt nicht gegen das Transparenzgebot. Einer öffentlichen Ausschreibung des Postens des Landesdatenschutzbeauftragten bedarf es - anders als bei der Ernennung des Europäischen Datenschutzbeauftragten (Art. 42 Abs. 1 der Verordnung (EG) Nr. 45/20019 - nicht (Boehm, in: Kühling/Buchner, DS-GVO, BDSG, 2. Aufl., Art. 53 DS-GVO Rn. 6; Ziebarth, in: Sydow, Europäische Datenschutzgrundverordnung, 2. Aufl., Art. 53 Rn. 8). Wen die Fraktionen des schleswig-holsteinischen Landtags für das Amt vorschlugen, war öffentlich bekannt. Einer öffentlichen Debatte über mögliche Kandidaten bedurfte es nicht (Nguyen/Stroh, in: Gola, Datenschutz-Grundverordnung, 2. Aufl., Art. 53 Rn. 3). Im Übrigen ist der Antragsteller durch die fehlende Ausschreibung nicht in seinen Rechten verletzt, da er sich bei den Fraktionen des schleswig-holsteinischen Landtags noch vor der Wahl der Beigeladenen für das Amt des Landesbeauftragten für Datenschutz beworben hatte. Der Wahlvorgang selbst erfolgte in einer öffentlichen Sitzung des Landtages, war also hinlänglich transparent. Indem die bzw. der Landesbeauftragte von den Fraktionen des Landtags vorgeschlagen und anschließend vom Landtag mit mehr als der Hälfte seiner Mitglieder gewählt wird, verfügt die Leiterin bzw. der Leiter des Unabhängigen Landeszentrums für Datenschutz über die erforderliche demokratische Legitimation (Nguyen/Stroh, a.a.O., Art. 53 Rn. 3). Indem die Wahl des bzw. der Landesdatenschutzbeauftragten in Schleswig-Holstein ausschließlich in der Hand des Landtags liegt, ist dem unionsrechtlichen Gebot der „völligen Unabhängigkeit“ der bzw. des Landesdatenschutzbeauftragten (Art. 52 Abs. 1 DS-GVO), die eine Nähe zur Regierung ausschließen soll (Zierbarth, a.a.O., Art. 53 Rn. 11), Rechnung getragen.

Den Volltext der Entscheidung finden Sie hier:

ArbG Düsseldorf
Beschluss vom 25.06.2020
9 Ca 3273/20

Das ArbG Düsseldorf hat entschieden, dass derzeit keine mündliche Verhandlung per Videokonferenz möglich ist, da die auf dem Markt zugängliche Videokonferenztechnik aus Datenschutzgründen nicht genutzt werden darf.

Aus den Entscheidungsgründen:

1. In Ausübung des in § 114 Abs. 3 S. 1 ArbGG eingeräumten, wenn auch intendierten Ermessens wird der Antrag zurückgewiesen, sich an einem anderen Ort während der mündlichen Verhandlung aufzuhalten und von dort im Wege der zeitgleichen Bild- und Tonübertragung Verfahrenshandlungen vorzunehmen. Die technischen Voraussetzungen zur Umsetzung der Regelung des § 114 Abs. 3 S. 1 ArbGG bestehen in der Arbeitsgerichtbarkeit in Nordrhein-Westfalen derzeit noch nicht. Eine Wahrnehmung des anberaumten Termins von einem anderen Ort im Wege der zeitgleichen Bild- und Tonübertragung ist daher nicht möglich. Aufgrund der Erlasslage des Ministeriums der Justiz des Landes Nordrhein-Westfalen darf die auf dem Markt zugängliche Videokonferenztechnik aus Datenschutzgründen nicht genutzt werden. Zudem erscheinen die Gesundheitsgefahren am Gerichtsort Düsseldorf nicht höher als in Hamburg. Die besondere Situation in den Kreisen Gütersloh und Warendorf ist nicht übertragbar. Überdies bestehen bei dem Arbeitsgericht Düsseldorf insbesondere zur Umsetzung des Abstandsgebots Vorkehrungen zum Gesundheitsschutz, die ein Verhandeln ermöglichen.

2. Der hilfsweise gestellte Terminaufhebungsantrag wird zurückgewiesen, da die vorliegende Kündigungsschutzsache der besonderen Beschleunigung bedarf (§ 61a ArbGG). Eine Terminlosstellung des Verfahrens bis zum Ende der epidemischen COVID-19-Lage, das nicht absehbar ist, ist mit dem Beschleunigungsgebot nicht vereinbar.

Den Volltext der Entscheidung finden Sie hier:

BGH
Beschluss vom 23.06.2020
KVR 69/19
Facebook
GWB § 19 Abs. 1

Wir hatten bereits in dem Beitrag BGH bestätigt vorläufig die Anordnungen des Bundeskartellamtes gegen Facebook wegen rechtswidriger Verarbeitung von Nutzerdaten in Form der Zusammenführung von Nutzerdaten aus verschiedenen Quellen über die Entscheidung berichtet.

Leitsätze des BGH:

a) Die Ausnutzung einer marktbeherrschenden Stellung setzt bei einem Konditionenmissbrauch nach § 19 Abs. 1 GWB nicht stets einen Kausalzusammenhang zwischen der Marktbeherrschung und dem missbilligten Verhalten (Verhaltenskausalität) voraus. Ein kausaler Zusammenhang zwischen der Marktbeherrschung und dem Marktergebnis (Ergebniskausalität) kann genügen, wenn aufgrund der besonderen Marktbedingungen das Verhalten des marktbeherrschenden Unternehmens zu Marktergebnissen führt, die bei funktionierendem Wettbewerb nicht zu erwarten wären, und zudem das beanstandete Verhalten nicht nur eine Ausbeutung darstellt, sondern gleichzeitig auch geeignet ist, den Wettbewerb zu behindern.

b) Ein solcher kausaler Zusammenhang zwischen Marktbeherrschung und Marktergebnis kann bei zweiseitigen Plattformmärkten insbesondere dann gegeben sein, wenn die Ausbeutung auf der einen Marktseite durch den Intermediär zugleich geeignet ist, den Wettbewerb auf dem beherrschten Markt sowie auf der anderen Marktseite zu beeinträchtigen.

c) Bedingt sich der marktbeherrschende Betreiber eines sozialen Netzwerks in den Nutzungsbedingungen aus, dem Nutzer ein "personalisiertes Erlebnis" bereitzustellen, für dessen Inhalt personenbezogene Daten des Nutzers verwendet werden, die durch die Erfassung des Aufrufs von Internetseiten außerhalb des sozialen Netzwerks gewonnen werden, kann hierin die missbräuchliche Ausnutzung seiner marktbeherrschenden Stellung liegen.

BGH, Beschluss vom 23. Juni 2020 - KVR 69/19 - OLG Düsseldorf

Den Volltext der Entscheidung finden Sie hier:

VG Regensburg
Gerichtsbescheid vom 06.08.2020
RN 9 K 19.1061

Das VG Regensburg hat entschieden, dass die DSGVO die Betroffenenrechte bei der Verarbeitung personenbezogener Daten abschließend regelt und Betroffene keine Ansprüche aufgrund anderer Anspruchsgrundlagen außerhalb der DSGVO geltend machen können.

Leitsätze des Gerichts:

1. Art. 79 DSGVO schließt weitere gerichtliche Rechtsbehelfe gegen Verantwortliche und Auftragsverarbeiter aus, sodass eine allgemeine Leistungsklage in der Form der Unterlassungsklage nach §§ 1004 Abs. 1, 823 Abs. 2 BGB im Anwendungsbereich der Datenschutz-Grundverordnung nicht statthaft ist.

2. Es ist zwischen einer (bloß) verordnungswidrigen Datenverarbeitung und einer möglichen Rechtsverletzung einer Person hinsichtlich der ausschließlich sie betreffenden personenbezogenen Daten zu unterscheiden.

3. Im Falle einer bloßen rechtswidrigen Datenverarbeitung ohne Rechtsverletzung steht der betroffenen Person das Beschwerderecht nach Art. 77 Abs. 1 DSGVO und in der Folge das Recht auf gerichtlichen Rechtsbehelf gegen die Aufsichtsbehörde nach Art. 78 Abs. 1 DSGVO zu. Art. 79 Abs. 1 DSGVO vermittelt einen individualrechtlichen Unterlassungsanspruch bezüglich der Verletzung von Betroffenenrechten (Art. 13 bis 20 DSGVO).

Aus den Entscheidungsgründen:

"Zunächst ist festzustellen, dass der sachliche Anwendungsbereich der Datenschutz-Grundverordnung eröffnet ist. Insbesondere sind die in Art. 2 Abs. 2 DSGVO genannten Ausnahmen für die Verarbeitung personenbezogener Daten vom Anwendungsbereich der Datenschutz-Grundverordnung nicht einschlägig. Entgegen der Auffassung des Klägers findet Art. 2 Abs. 2 Buchst. d DSGVO im vorliegenden Fall keine Anwendung. Die Verarbeitung personenbezogener Daten durch die zuständigen Behörden zum Zwecke der Verhütung, Ermittlung, Aufdeckung oder Verfolgung von Straftaten oder der Strafvollstreckung, einschließlich des Schutzes vor und der Abwehr von Gefahren für die öffentliche Sicherheit fällt in den Anwendungsbereich des zweiten Rechtsakts im Datenschutzreformpaket, der sogenannten „Polizei-RL“ (Art. 1 Abs. 1 RL 2016/680/EU des Europäischen Parlaments und des Rates vom 27. April 2016 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten durch die zuständigen Behörden zum Zwecke der Verhütung, Ermittlung, Aufdeckung oder Verfolgung von Straftaten oder der Strafvollstreckung sowie zum freien Datenverkehr und zur Aufhebung des Rahmenbeschlusses 2008/977/JI des Rates, ABl. 2016 L 119, 89). Beide Rechtsakte (Datenschutz-Grundverordnung und „Polizei-RL“) sind eng aufeinander abgestimmt und ergänzen sich daher. Die Ausnahme des Art. 2 Abs. 2 Buchst. d DSGVO umfasst sowohl die Datenverarbeitung zu präventiven als auch zu repressiven Zwecken. Eine Straftat im Sinne der Ausnahme in Art. 2 Abs. 2 Buchst. d DSGVO und hinsichtlich der Anwendung der „Polizei-RL“ ist als ein eigenständiger Begriff des Unionsrechts zu verstehen, der nicht einseitig durch die Mitgliedstaaten festgelegt werden kann. Die Verhütung, Ermittlung, Aufdeckung oder Verfolgung von reinen Ordnungswidrigkeiten fällt nicht darunter. Erfasst werden sollen die polizeilichen Tätigkeiten in Fällen, in denen nicht von vornherein bekannt ist, ob es sich um Straftaten handelt oder nicht, sowie die Ausübung hoheitlicher Gewalt durch Ergreifung von Zwangsmitteln, wie polizeiliche Tätigkeiten bei Demonstrationen, großen Sportveranstaltungen und Ausschreitungen. Sie umfassen auch die Aufrechterhaltung der öffentlichen Ordnung als Aufgabe, die der Polizei oder anderen Strafverfolgungsbehörden - nicht jedoch reinen Ordnungsbehörden - übertragen wurde, soweit dies zum Zweck des Schutzes vor und der Abwehr von Bedrohungen der öffentlichen Sicherheit und Bedrohungen für durch Rechtsvorschriften geschützte grundlegende Interessen der Gesellschaft, die zu einer Straftat führen können, erforderlich ist (vgl. Erwägungsgrund 12 der RL 2016/680/EU und Erwägungsgrund 19 der Datenschutz-Grundverordnung; Ehmann/Selmayr, Datenschutz-Grundverordnung, 2018, 2. Aufl., Art. 2 Rn. 12; Schwartmann/Jaspers/Thüsing/Kugelmann, DS-GVO/BDSG, 2018, Art. 2 DSGVO Rn. 44 ff.). Personenbezogene Daten, die von Behörden nach der Datenschutz-Grundverordnung verarbeitet werden, sollten jedoch, wenn sie zu den vorstehenden Zwecken verwendet werden, der Richtlinie (EU) 2016/680 unterliegen (Erwägungsgrund 19 a.a.O.). Im vorliegenden Fall handelt die Beklagte vorrangig als Ordnungsbehörde bzw. Sicherheitsbehörde nach Art. 6 LStVG mit der Aufgabe, die öffentliche Sicherheit und Ordnung durch Abwehr von Gefahren und durch Unterbindung und Beseitigung von Störungen aufrechtzuerhalten, und damit auf der Grundlage der Datenschutz-Grundverordnung. Hinzu kommt die Ausübung des Hausrechts für die öffentliche Einrichtung K.-garten durch die Beklagte als Wahrnehmung einer Aufgabe im öffentlichen Interesse bzw. zur Erfüllung einer rechtlichen Verpflichtung (Art. 6 Abs. 1 Buchst. c und e DSGVO).

Das Rechtsschutzsystem bezüglich der Verarbeitung personenbezogener Daten hat deshalb ebenfalls seinen Ausgangspunkt in der Datenschutz-Grundverordnung.

Art. 79 DSGVO schließt weitere gerichtliche Rechtsbehelfe gegen Verantwortliche und Auftragsverarbeiter aus, so dass Unterlassungsklagen nach §§ 1004 Abs. 1, 823 Abs. 2 BGB im Bereich des Datenschutzes grundsätzlich nicht mehr möglich sind. Nach dem Wortlaut des Art. 79 Abs. 1 DSGVO bleiben nur andere verwaltungsrechtliche oder außergerichtliche Rechtsbehelfe „unbeschadet“, nicht aber gerichtliche Rechtsbehelfe (vgl. Bernhard/Kreße/Sydow, Europäische Datenschutzgrundverordnung, 2. Aufl. 2018, Art. 79 Rn. 30; BeckOK, Datenschutzrecht, Wolff/Brink, 29. Edition, Art. 79 Rn. 11). Die Rechte betroffener Personen sind in Kapitel III der Datenschutz-Grundverordnung niedergelegt (Art. 12 bis 22 DSGVO). Es handelt sich zum einen um Auskunfts-, Berichtigungs- und Löschungsrechte sowie um das Recht auf Einschränkung der Verarbeitung personenbezogener Daten. Erfasst ist auch das Recht, nicht einer ausschließlich auf einer automatisierten Verarbeitung beruhenden Entscheidung unterworfen zu werden. Den in Art. 13 ff., 19 DSGVO genannten Pflichten korrespondieren individuelle subjektive Rechte der betroffenen Personen, die gemäß Art. 79 DSGVO unter dessen weiteren Voraussetzungen gerichtlich durchgesetzt werden können. Entsprechendes gilt für die in Art. 12 DSGVO formulierten Pflichten des für die Verarbeitung personenbezogener Daten Verantwortlichen.

Jenseits der oben genannten Normen gewährt die Datenschutz-Grundverordnung keine Rechte, zu deren Durchsetzung ein wirksamer Rechtsbehelf nach Art. 79 DSGVO zur Verfügung gestellt werden muss. In Betracht käme insbesondere ein Anspruch auf Unterlassung einer verordnungswidrigen Verarbeitung personenbezogener Daten, da gemäß Art. 8 Abs. 1 EU-GRCh, Art. 16 Abs. 1 AEUV jede natürliche Person Recht auf Schutz der sie betreffenden personenbezogenen Daten hat, wobei Inhalt des Schutzes auch das Erfordernis der Rechtmäßigkeit der Verarbeitung ist. Es müsste in einem solchen Fall daher die Möglichkeit bestehen, eine solche Verarbeitung für die Zukunft zu unterbinden, andernfalls der Grundrechtsschutz und der europarechtliche Effektivitätsgrundsatz nach Art. 4 Abs. 3 EUV beeinträchtigt wären. Allerdings ist das Recht auf Unterlassung rechtswidriger Datenverarbeitung nicht als solches in der Datenschutz-Grundverordnung verankert. Diese konkretisiert zwar das primärrechtlich verbürgte Recht auf Schutz persönlicher Daten, aber eben nur, soweit sie die Ausprägungen dieses Rechts normiert. Dies spricht gegen die Annahme eines auf der Datenschutz-Grundverordnung basierenden Unterlassungsanspruchs bezüglich einer verordnungswidrigen Verarbeitung personenbezogener Daten. Das Löschungsrecht nach Art. 17 Abs. 1 Buchst. d DSGVO hilft nur eingeschränkt weiter, weil sich Art. 6 DSGVO, auf den verwiesen wird, nur mit dem Erfordernis eines zulässigen Grundes für die Datenverarbeitung befasst.

Gegen die Annahme eines generellen Anspruchs auf Unterlassung der verordnungswidrigen Verarbeitung personenbezogener Daten auf Grundlage der Datenschutz-Grundverordnung sprechen ferner deren Entstehungsgeschichte und die Systematik. Art. 76 Abs. 5 des Kommissionsvorschlag zur Datenschutz-Grundverordnung lautete: „Die Mitgliedstaaten stellen sicher, dass mit den nach innerstaatlichem Recht verfügbaren Klagemöglichkeiten rasch Maßnahmen einschließlich einstweilige Maßnahmen erwirkt werden können, um mutmaßliche Rechtsverletzungen abzustellen und zu verhindern, dass dem Betroffenen weiterer Schaden entsteht.“ Diese präventiv formulierte Bestimmung wurde in der allgemeinen Ausrichtung des Rates der Europäischen Union vom 15. Juni 2015 ersatzlos gestrichen. Nicht in bedeutungserheblicher Hinsicht geändert hat sich hingegen die Formulierung, die jetzt in Art. 77 Abs. 1 DSGVO enthalten ist, die das Beschwerderecht daran knüpft, dass die Verarbeitung der personenbezogenen Daten gegen die Datenschutz-Grundverordnung verstößt. Auch der Unterschied in den Formulierungen der Art. 77 Abs. 1 und Art. 79 Abs. 1 DSGVO zeigt, dass die bloße verordnungswidrige Datenverarbeitung gerade noch keine Rechtsverletzung darstellt, sondern zwischen rechtswidriger Datenverarbeitung und Rechtsverletzung unterschieden werden muss. Im Falle einer bloßen rechtswidrigen Datenverarbeitung ohne Rechtsverletzung steht der betroffenen Person das Beschwerderecht nach Art. 77 Abs. 1 DSGVO zu und in der Folge das Recht auf gerichtlichen Rechtsbehelf gegen die Aufsichtsbehörde nach Art. 78 Abs. 1 DSGVO, womit die primärrechtlichen Bedenken ausgeräumt sind. Es ist zu beachten, dass diese Verordnungswidrigkeit der Datenverarbeitung neben der Rechtsverletzung in Art. 79 Abs. 1 DSGVO als eigenständiges Merkmal gesehen wird: Die Rechtsverletzung soll nach Ansicht der betroffenen Person erst infolge der verordnungswidrigen Verarbeitung eingetreten, also mit ihr gerade nicht identisch sein. Die Rechte der betroffenen Person sind verletzt, wenn die Person oder Einrichtung, gegenüber denen sie bestehen, den ihnen korrespondierenden Pflichten nicht nachkommt. Um dies festzustellen, sind die konkretisierenden Vorschriften des Art. 12 Abs. 2, 3 und 5 bis 7 DSGVO zusätzlich zu beachten. So liegt beispielsweise in den in Art. 12 Abs. 3 DSGVO genannten Fällen eine Rechtsverletzung vor Ablauf der in dieser Vorschrift bezeichneten Fristen nicht vor. Auch in den Fällen des Art. 12 Abs. 5 Satz 1 Buchst. b und Abs. 6 DSGVO liegt keine Rechtsverletzung vor.

Diese vorstehend beschriebene Rechtslage erfährt auch keine Modifikation durch das Bayerische Datenschutzgesetz. Nach Art. 1 BayDSG gilt das Bayerische Datenschutzgesetz zunächst für Datenverarbeitungen durch alle bayerischen Behörden, also auch durch Justiz- und Polizeibehörden, soweit nicht im jeweiligen Fachrecht (etwa dem Melderecht oder dem Polizeiaufgabengesetz) Spezialvorschriften existieren (Art. 1 Abs. 5 BayDSG). Wegen dieses sehr umfassenden Anwendungsbereichs gilt folglich auch Art. 2 BayDSG für alle bayerischen Behörden. Damit hat der bayerische Gesetzgeber entschieden, dass die Datenschutz-Grundverordnung auch in den Bereichen gelten soll, die eigentlich - mangels Kompetenz der EU - von der Datenschutz-Grundverordnung nicht erfasst werden (dürfen) und wo (eigentlich) Raum für ein eigenständiges nationales Datenschutzrecht wäre. Allerdings hatte der bayerische Gesetzgeber erkannt, dass es nicht möglich ist, alle Umsetzungsaufgaben, welche die Richtlinie 2016/680/EU formuliert, durch einen pauschalen Verweis auf die Datenschutz-Grundverordnung sachgerecht zu lösen. Deshalb wurde Art. 28 Abs. 2 und 3 BayDSG geschaffen, die für die in Art. 28 Abs. 1 BayDSG genannten „Richtlinien-Behörden“ vereinzelt Spezialvorschriften schaffen. Durch eine abschließende Aufzählung ordnet Art. 28 Abs. 2 BayDSG an, dass nur bestimmte Vorschriften der Datenschutz-Grundverordnung auf Datenverarbeitungen, die der Richtlinie 2016/680/EU unterfallen, Anwendung finden. Andere Vorschriften der Datenschutz-Grundverordnung finden zwar grundsätzlich Anwendung, sie werden aber durch die Art. 29 ff. BayDSG modifiziert. Darüber hinaus sollen nicht sämtliche Vorschriften des Bayerischen Datenschutzgesetzes für Datenverarbeitung nach der Richtlinie 2016/680/EU Anwendung finden. Deshalb legt Art. 28 Abs. 3 BayDSG fest, dass bestimmte Vorschriften des Bayerischen Datenschutzgesetzes keine Anwendung für solche Datenverarbeitungen finden, die der Richtlinie unterfallen. Neben der spezifischen Zweckbestimmung (Verarbeitung personenbezogener Daten durch die zuständigen Behörden zu Zwecken der Verhütung, Ermittlung, Aufdeckung, Verfolgung oder Ahndung von Straftaten oder Ordnungswidrigkeiten, einschließlich des Schutzes vor und der Abwehr von Gefahren für die öffentliche Sicherheit) ist zusätzlich (stets) eine grundsätzliche Aufgaben- und Befugniszuweisung der verarbeitenden Behörde für die Verhütung, Ermittlung, Aufdeckung oder Verfolgung von Straftaten oder der Strafverfolgung sowie der polizeilichen Gefahrenabwehr erforderlich. Art. 28 Abs. 1 Satz 1 BayDSG enthält eine nicht abschließende Aufzählung („soweit nichts anderes bestimmt ist“) derjenigen Behörden, denen eine solche Aufgaben- und Befugniszuweisung im Sinne der Richtlinie zukommen kann. Diese zuständigen Behörden unterliegen den Regelungen des achten Kapitels nur insoweit, als die konkrete Datenverarbeitung den in Art. 28 Abs. 1 Satz 1 BayDSG genannten Zwecken dient. Danach wird der Bereich der Gefahrenabwehr in Ansehung der praxisrelevanten Konstellationen dem Anwendungsbereich der Richtlinie 2016/680/EU und somit des achten Kapitels des Bayerischen Datenschutzgesetzes zuzurechnen sein. Selbst wenn bei polizeilichem Handeln zur Gefahrenabwehr nicht bereits von vornherein klar die Verhütung von Straftaten als Zweck oder Ergebnis feststeht, besteht nahezu immer zumindest die Möglichkeit, dass die Gefahrenlage zu einer Straftat führen kann bzw. dass dies nicht ausgeschlossen ist. In Abgrenzung hierzu sind allerdings nach dem Selbstverständnis der Richtlinie 2016/680/EU Datenverarbeitungen zur Gefahrenabwehr durch nichtpolizeiliche Sicherheitsbehörden (z.B. Landratsämter als Sicherheitsbehörden nach Art. 6 LStVG) grundsätzlich nach den Bestimmungen der Datenschutz-Grundverordnung zu beurteilen. Für sie ist das achte Kapitel des Bayerischen Datenschutzgesetzes nur dann anwendbar, soweit diese nichtpolizeilichen Sicherheitsbehörden „Straftaten oder Ordnungswidrigkeiten verfolgen oder ahnden“. Die Bestimmungen des achten Kapitels finden daher Anwendung, sobald Daten im Rahmen eines konkreten, dokumentiert eingeleiteten Ordnungswidrigkeitenverfahrens verarbeitet werden (vgl. Wilde/Ehmann/Niese/Knoblauch, Datenschutz im Bayern, 29. AL Juni 2018, Art. 28 BayDSG Rn. 20).

Zum Rechtsschutz sieht Art. 20 BayDSG ausschließlich die Anrufung der Aufsichtsbehörden durch Betroffene vor. Hierin ist eine Konkretisierung des unmittelbar in der Datenschutz-Grundverordnung gewährleisteten Beschwerderechts gemäß Art. 77 DSGVO zu sehen. Die Vorschrift enthält damit eine mitgliedstaatliche Verfahrensregelung auf Grundlage von Art. 58 Abs. 4 DSGVO. Aufsichtsbehörden im Sinn des Art. 20 BayDSG sind u.a. der Bayerische Landesbeauftragte für den Datenschutz (Art. 15 BayDSG) und das Bayerische Landesamt für Datenschutzaufsicht (Art. 18 BayDSG). Art. 77 Abs. 1 DSGVO i.V.m. Art. 20 Abs. 1 Satz 1 BayDSG bestimmt das Recht der betroffenen Person, sich an die Datenschutzaufsichtsbehörden mit dem Vorbringen zu wenden, bei der Verarbeitung ihrer personenbezogenen Daten in ihren Rechten verletzt worden zu sein. Diese Anrufung der Aufsichtsbehörde stellt einen formlosen Rechtsbehelf dar, der dem allgemeinen Petitionsrecht (Art. 115 BV, Art. 17 GG) verwandt ist. Es gibt dem Betroffenen - unabhängig von sonstigen Rechtsbehelfen - das eigenständige Recht, sich an eine Aufsichtsbehörde mit dem Vorbringen zu wenden, bei der Verarbeitung seiner personenbezogenen Daten in seinen Rechten verletzt worden zu sein. Das durch die Grundrechte-Charta der EU verbürgte Beschwerderecht (Art. 8 Abs. 1 i.V.m. Abs. 3 GRCh) wird durch Art. 77 Abs. 1 DSGVO i.V.m. Art. 20 Abs. 1 Satz 1 BayDSG konkretisiert, wobei Art. 20 Abs. 1 Satz 1 BayDSG - anders als das Beschwerderecht in Art. 77 Abs. 1 DSGVO - nicht bloß die Geltendmachung eines Verstoßes gegen die Datenschutz-Grundverordnung voraussetzt, sondern ein Vorbringen, das eine eigene Rechtsverletzung des Beschwerdeführers zum Gegenstand hat (Datenschutz in Bayern, 29. AL Juni 2018, Art. 20 BayDSG Rn. 4 und 5). Dadurch ergibt sich ein Rechtsanspruch der betroffenen Person, dass die Aufsichtsbehörde die Eingabe entgegennimmt, sachlich in tatsächlicher und rechtlicher Hinsicht prüft und den Eingabeführer schriftlich darüber unterrichtet, wie die Eingabe erledigt wurde. Hierzu bestimmt Art. 57 Abs. 1 Buchst. f DSGVO, dass der „Gegenstand der Beschwerde in angemessenem Umfang zu untersuchen“ ist. Hat sich eine Aufsichtsbehörde nicht mit einer Beschwerde befasst oder hat sie die betroffene Person nicht innerhalb von drei Monaten über den Stand oder das Ergebnis der erhobenen Beschwerde in Kenntnis gesetzt, kann die betroffene Person nach Art. 78 Abs. 2 und 3 DSGVO allgemeine Leistungsklage vor den Verwaltungsgerichten auf Unterrichtung über den Stand oder das Ergebnis der Beschwerde erheben. Die Frist von drei Monaten ergibt sich aus Art. 78 Abs. 2 DSGVO. Die einzelnen Befugnisse der Aufsichtsbehörden ergeben sich aus Art. 58 DSGVO, so auch Abhilfebefugnisse, die es ihr u.a. gestatten, auch eine vorübergehende oder endgültige Beschränkung der Verarbeitung, einschließlich eines Verbots, zu verhängen (Abs. 2 Buchst. f) oder die Berichtigung oder Löschung von personenbezogenen Daten oder die Beschränkung der Verarbeitung gemäß den Art. 16, 17 und 18 DGSVO und die Unterrichtung der Empfänger, an die diese personenbezogenen Daten gemäß Art. 17 Abs. 2 DSGVO und Art. 19 DSGVO offen gelegt wurden, anzuordnen. Dieses Anrufungs- bzw. Beschwerderecht nach Art. 20 BayDSG setzt keinen vorherigen Antrag bei der verantwortlichen Behörde voraus. Will ein Betroffener jedoch direkt gegen zunächst einen Verantwortlichen vorgehen bzw. gegenüber diesem die Betroffenenrechte der Datenschutz-Grundverordnung geltend machen (Art. 16 ff. DSGVO), so setzen diese Rechte auf Berichtigung, Löschung und Mitteilung im Zusammenhang mit der Berichtigung oder Löschung personenbezogener Daten oder der Einschränkung der Verarbeitung wie auch das vorgängige Auskunftsrecht nach Art. 15 DSGVO ein „Verlangen“ der betroffenen Person gegenüber dem Verantwortlichen voraus. Im Falle der Ablehnung stehen der betroffenen Person sämtliche durch die Datenschutz-Grundverordnung vorgesehenen Rechtsbehelfe zu (Art. 77, 78 DSGVO). Daneben hat die betroffene Person das Recht auf einen wirksamen gerichtlichen Rechtsbehelf unmittelbar gegen den Verantwortlichen (Art. 79 DSGVO). Ist Verantwortlicher eine Behörde und lehnt diese einen Einschränkungsantrag ab, ist die Ablehnung ein Verwaltungsakt, der mit den einschlägigen verwaltungsrechtlichen Rechtsbehelfen Widerspruch und regelmäßig Verpflichtungsklage gemäß §§ 42, 68 ff. VwGO angegriffen werden kann (Ehmann/Selmayr, Datenschutz-Grundverordnung, 2018, 2. Aufl., Art. 18 Rn. 30). Damit bleibt es auch im Anwendungsbereich des Bayerischen Datenschutzgesetzes bei der ausschließlichen Klagemöglichkeit eines Betroffenen gegen den Verantwortlichen nach § 79 DSGVO.

Die genannten Betroffenenrechte der Datenschutz-Grundverordnung (mit Art. 20 BayDSG) ersetzen seit dem 25. Mai 2018 - wie bereits oben ausgeführt - etwaige Betroffenenrechte nach nationalem Recht (a.a.O., Art. 18 Rn. 38; OVG Lüneburg, U.v. 20.6.2019 - 11 LC 121/17 - juris Rn. 43; VG Stade, B.v. 9.10.2018 - 1 B 1918/18 - juris Rn. 30). Diesen Betroffenenrechten ist gemein, dass sich ein Betroffener damit nur gegen die ihn betreffenden personenbezogenen Daten wenden kann (Becker in Plath, DSGVO/BDSG, 3. Aufl. 2018, Art. 79 Rn. 2). Art. 79 DSGVO vermittelt nur einen individualrechtlichen Unterlassungsanspruch. Zudem können über den in Art. 79 Abs. 1 DSGVO vorgesehenen Weg auch die Auskunfts-, Berichtigungs- und Löschungsrechte (Art. 15 bis 17 DSGVO) gegenüber dem Verantwortlichen und dem Auftragsverarbeiter verfolgt werden. Materiellrechtlich richten sich der Anspruch und seine Durchsetzung nach den allgemeinen Bestimmungen, wobei unterschiedliche Rechtswege gegenüber öffentlichen und nicht-öffentlichen Stellen zum Tragen kommen. Gegenüber einer fehlerhaften Datenverarbeitung durch öffentliche Stellen im Rahmen ihres hoheitlichen Handelns wird der Betroffene im Regelfall vor den Verwaltungsgerichten Rechtsschutz suchen müssen (§ 44 Abs. 2 BDSG). Da die entsprechenden prozessualen Rechtsinstrumente im deutschen Recht vorhanden waren, hätte es nicht unbedingt bestimmter Umsetzungsmaßnahmen durch den deutschen Gesetzgeber bedurft. Dennoch hat der Gesetzgeber in § 44 BDSG Regelungen zur Zuständigkeit aufgenommen, allerdings ergibt sich daraus keine Änderung zur bestehenden Rechtslage im Bundesgebiet (Becker in Plath, a.a.O.). Daneben kommt ergänzend bei der Verarbeitung personenbezogener Daten, die aufgrund von Art. 6 Abs. 1 Buchst. e oder f DSGVO erfolgt, ein Widerspruchsrecht nach Art. 21 Abs. 1 DSGVO in Betracht. Systematisch ist dieses Widerspruchsrecht in Abschnitt 4 des Kapitels III („Rechte der betroffenen Personen“) geregelt. Dies zeigt, dass es selbstständig neben den übrigen Betroffenenrechten (Art. 13 bis 20 DSGVO) steht, wobei sich diese Rechte nicht ausschließen, sondern ergänzen. Die Systematik des Art. 21 DSGVO zeigt, dass das Widerspruchsrecht gleichzeitig verfahrensrechtlichen als auch materiell-rechtlichen Charakter hat. Neben dem Verfahrensrecht auf Erhebung eines Widerspruchs gewährt Art. 21 Abs. 1 Satz 2 DSGVO einen materiellen Unterlassungsanspruch, d.h. einen Anspruch, dass der Verantwortliche die Daten in Zukunft nicht mehr verarbeitet. Die Vorschrift ermöglicht der betroffenen Person damit, die Datenverarbeitung mit Ex-nunc-Wirkung zu unterbinden. Dieser Unterlassungsanspruch wird gemäß Art. 17 Abs. 1 Buchst. c Alt. 1 DSGVO ergänzt durch einen Folgenbeseitigungsanspruch in Form eines Rechts auf Löschung sowie gemäß Art. 18 Abs. 1 Buchst. d DSGVO durch einen vorläufigen Sicherungsanspruch in Form des Rechts auf Einschränkung, solange noch nicht feststeht, ob die berechtigten Gründe des Verantwortlichen gegenüber den besonderen Gründen der betroffenen Person überwiegen, sowie gemäß Art. 19 DSGVO durch eine mit der Löschung verbundene Folgemitteilungs- und -unterrichtungspflicht. Diese Rechte werden teilweise unmittelbar durch Unionsrecht eingeschränkt (z.B. Art. 13 Abs. 4, Art. 14 Abs. 5, Art. 21 Abs. 1 DSGVO). Außerdem können die Rechte und Pflichten gemäß den Art. 12 bis 22, Art. 34 und gegebenenfalls Art. 5 DSGVO durch Rechtsvorschriften der Union oder der Mitgliedstaaten unter den in Art. 23 DSGVO geregelten Voraussetzungen beschränkt werden. Eine generelle Einschränkung der Betroffenenrechte für Gerichtsverfahren wurde jedoch weder in das Unionsrecht noch in das Gerichtsverfassungsgesetz, in die Prozessordnungen und auch nicht in das Bundesdatenschutzgesetz und das Zehnte Buch Sozialgesetzbuch (SGB X) aufgenommen, da die zahlreichen bereits aus der Datenschutz-Grundverordnung resultierenden Ausnahmen dies nicht erforderlich machten. Im Übrigen kommen für Gerichte die jeweils einschlägigen Verfahrensordnungen als Beschränkung der Betroffenenrechte im Sinne von Art. 23 DSGVO und dem Bundesdatenschutzgesetz vorhergehendes spezielles Bundesrecht (§ 1 Abs. 2 Satz 1 BDSG) in Betracht (Bieresborn, Die Auswirkungen der DSGVO auf das gerichtliche Verfahren, DRiZ 2019, 18 ff). Die Datenschutz-Grundverordnung begründet einige neue Klagerechte, die nach nationaler Ausgestaltung vor den Gerichten der Verwaltungsgerichtsbarkeit (§ 20 BDSG), den Sozialgerichten (§§ 81a, 81b SGB X) bzw. den Finanzgerichten (§ 32i AO) anhängig zu machen sind. § 78 Abs. 1 DSGVO begründet unbeschadet anderer Rechtsbehelfe das Recht jeder natürlichen oder juristischen Person auf einen wirksamen gerichtlichen Rechtsbehelf gegen rechtsverbindliche Beschlüsse der datenschutzrechtlichen Aufsichtsbehörde. Davon werden alle der Bestandskraft fähigen Entscheidungen und damit auch Verwaltungsakte erfasst, die auf Grundlage von Art. 58 DSGVO ergehen. Klageberechtigt ist jede natürliche oder juristische Person, sofern diese in eigenen geschützten Rechten betroffen ist. Es ist nicht zwingend erforderlich, dass die Entscheidung auch ihr gegenüber rechtsverbindlich ist, es genügt, dass ihr Interessenkreis faktisch unmittelbar berührt ist. Art. 78 Abs. 2 DSGVO gewährt betroffenen Personen und unbeschadet sonstiger Rechtsbehelfe eine Untätigkeitsklage gegen die datenschutzrechtlichen Aufsichtsbehörden. Voraussetzung für diesen Rechtsbehelf ist, dass zuvor eine Beschwerde gemäß Art. 77 DSGVO erhoben wurde. Art. 79 Abs. 1 DSGVO gewährt betroffenen Personen einen zusätzlichen gerichtlichen Rechtsbehelf gegen einen nach ihrer Ansicht gegen die Datenschutz-Grundverordnung verstoßenden Umgang mit ihren personenbezogenen Daten. Prüfungsmaßstab ist die Datenschutz-Grundverordnung. Die verletzten Normen dürfen nicht nur objektiv-rechtlichen Charakter haben - wie zum Beispiel die Verpflichtung zur Bestellung eines Datenschutzbeauftragten (Art. 37 DSGVO) oder Durchführung einer Datenschutz-Folgenabschätzung (Art. 35 DSGVO) -, sondern müssen konkrete Auswirkungen auf subjektive Rechte des Klägers haben. Klagegegner sind Verantwortliche und Auftragsverarbeiter. Parallel geführte Verfahren auf Unterlassungs- oder Schadensersatzansprüche gegen den Verantwortlichen stehen der Zulässigkeit nicht entgegen, ebenso wenig die parallele Beschwerde bei der Aufsichtsbehörde (Art. 77 und 78 DSGVO).

Vorliegend wird bei der Videoüberwachung von einer Datenverarbeitung nach Art. 6 Abs. 1 Buchst. e DSGVO auszugehen sein, so dass für den Kläger neben den Betroffenenrechten nach Art. 16 ff. DSGVO auch die Widerspruchsmöglichkeit nach Art. 21 Abs. 1 DSGVO in Betracht gekommen wäre. Die Unterlassungs- und Folgenbeseitigungspflichten erfassen - wie bereits oben ausgeführt - ausschließlich die die betroffene Person betreffenden Daten. Erfasst eine (automatisierte) Verarbeitung daneben auch Daten Dritter, muss diese nicht insgesamt unterbleiben (Ehmann/Selmayr, Datenschutz-Grundverordnung, 2018, 2. Aufl., Art. 18 Rn. 40, 41). Im Falle der Ablehnung eines Widerspruchs stehen dem Betroffenen zusätzlich sämtliche durch die Verordnung vorgesehenen Rechtsbehelfe zu. Gemeint ist damit der Primärrechtsschutz aufgrund des bereits oben genannten Rechts auf Beschwerde bei der zuständigen Aufsichtsbehörde (Art. 77 DSGVO) und eines Rechtsbehelfs gegen einen (nicht Abhilfe leistenden) Beschluss der Aufsichtsbehörde, auch in der Form der Untätigkeitsklage (Art. 78 DSGVO). Daneben hat der Betroffene das Recht auf einen wirksamen gerichtlichen Rechtsbehelf unmittelbar gegen den Verantwortlichen (Art. 79 DSGVO). Ist Verantwortlicher eine Behörde und lehnt diese ein Verlangen oder einen Widerspruch des Betroffenen ab, ist die Ablehnung - wie bereits oben festgestellt - ein Verwaltungsakt, der mit den einschlägigen verwaltungsrechtlichen Rechtsbehelfen angegriffen werden kann (a.a.O. Rn. 69). Das Recht nach Art. 79 Abs. 1 DSGVO auf einen wirksamen Rechtsbehelf gegen Rechtsverletzungen durch eine verordnungswidrige Datenverarbeitung besteht nach dem Wortlaut der Vorschrift „unbeschadet eines anderweitigen verwaltungsrechtlichen oder außergerichtlichen Rechtsbehelfs“. Selbst wenn entgegen naheliegender rechtssystematischer Erwägungen der gerichtliche Rechtsbehelf nach Art. 79 Abs. 1 DSGVO nicht zu den oben genannten Rechtsbehelfen in einem Stufenverhältnis, sondern neben diesen Rechtsbehelfen steht, so ist der gerichtliche Rechtsbehelf aber mit der gleichen Einschränkung behaftet wie die anderen oben genannten Rechte des Betroffenen, dass nämlich Verfahrensgegenstand ausschließlich die die betroffene Person betreffenden persönlichen Daten sein können. Auch diese rechtliche Einschränkung spricht gegen den vom Kläger mit der vorliegenden Klage verfolgten allgemeinen Unterlassungsanspruch. Ergänzend wird nach allgemeinen Grundsätzen des Prozessrechts unter dem Gesichtspunkt des Rechtsschutzbedürfnisses ein vorheriger Antrag bzw. Widerspruch im vorstehenden Sinne bei dem Verantwortlichen zu verlangen sein (a.a.O. Art. 79 Rn. 2, 5; Schwartmann/Jaspers/Thüsing/Kugelmann, DS-GVO/BDSG, 2018, Art. 79 Rn. 18).

Danach ist für eine allgemeine Unterlassungsklage in der vorliegenden Form - wie bereits eingangs festgestellt - von einer fehlenden Statthaftigkeit in Anbetracht der spezifischen Betroffenenrechte nach der Datenschutz-Grundverordnung seit deren Inkrafttreten am 25. Mai 2018 auszugehen. Es ist zwischen den Verfahrensbeteiligten unstreitig, dass der Kläger im Vorfeld der Klageerhebung mit keinem „Verlangen“ nach Art. 13 ff. DSGVO oder einem Widerspruch nach Art. 21 Abs. 1 DSGVO direkt an die Beklagte oder nach Art. 77 DSGVO i.V.m. Art. 20 BayDSG an eine Aufsichtsbehörde herangetreten ist. Selbst wenn man eine unmittelbare gerichtliche Geltendmachung von Betroffenenrechten unter Umgehung vorstehend genannter Verfahrensrechte bzw. ohne jegliche Befassung der verantwortlichen Behörde für zulässig erachten würde, kann diese gerichtliche Geltendmachung nach Art und Umfang materiell-rechtlich nicht weiter gehen als vorstehend genannte Verfahrensrechte, sodass für das Klagebegehren in der vorliegenden Form auch kein Rechtsschutzbedürfnis besteht.
24
Im Übrigen stützt der Kläger seine behauptete Rechtsverletzung im Ergebnis nur darauf, dass er als Nutzungsberechtigter der öffentlichen Einrichtung K.-garten von der Videoüberwachungsanlage betroffen ist, zum einen dadurch, dass seine Person bei Betreten des überwachten Platzes möglicherweise tatsächlich bildlich erfasst wird, zum anderen, dass die Videoüberwachungsanlage auch ohne Überwachungstätigkeit nur vorhanden ist und diese Überwachungsanlage entgegen den Vorschriften der Datenschutz-Grundverordnung eingerichtet und betrieben wird. Ein solcher Vortrag kann nicht genügen, eine eigene selbstständige Rechtsverletzung zu belegen. Die „Ansicht“ einer Rechtsverletzung im Sinne des Art. 79 Abs. 1 DSGVO im vorstehenden Sinne würde im Ergebnis bedeuten, dass diese mit dem Vortrag einer nicht verordnungskonformen Datenverarbeitung durch die Videoüberwachung zusammenfällt. Die Datenschutz-Grundverordnung trifft aber gerade - wie oben bereits ausgeführt - eine Unterscheidung zwischen der bloßen Rechtswidrigkeit der Datenverarbeitung, worauf sich ein Widerspruchsrecht nach Art. 21 DSGVO und ein Beschwerderecht nach Art. 77 DSGVO stützen lässt, und der zusätzlichen, nach Ansicht der betroffenen Person gegebenen Rechtsverletzung. Vor diesem Hintergrund kann vorliegend auch nicht von der Geltendmachung einer Rechtsverletzung durch den Kläger ausgegangen werden, sodass eine Beschreitung des Klagewegs nach Art. 79 DSGVO vorliegend ebenfalls ausscheiden würde."

Den Volltext der Entscheidung finden Sie hier:

LAG Berlin-Brandenburg
Urteil vom 04.06.2020
10 Sa 2130/19

Das LAG Berlin-Brandenburg hat entschieden, dass ein biometrisches Zeiterfassungsystem im Regelfall nicht erforderlich im Sinne von Art. 9 Abs. 2 lit. b DSGVO und § 26 Abs. 3 BDSG ist.

Aus den Entscheidungsgründen:

Die Berufung ist zwar zulässig, aber nicht begründet. Denn der Beklagten ist es nicht gelungen darzulegen, dass der Kläger mit dem in den drei Abmahnungen gerügten Verhalten seine arbeitsvertraglichen Pflichten verletzt hat. Im Ergebnis und auch in der Begründung ist keine andere Beurteilung als in erster Instanz gerechtfertigt. Das Landesarbeitsgericht folgt dem Arbeitsgericht Berlin hinsichtlich der Begründung und sieht insoweit gemäß § 69 Abs. 2 ArbGG von einer nur wiederholenden Begründung ab. Die Angriffe der Berufung sind nicht geeignet, die Rechtslage anders zu beurteilen.

1. Minutien sind entgegen der von der Beklagten in der Berufungsverhandlung geäußerten Ansicht biometrische Daten. Minutien sind zwar „nur“ Fingerlinienverzweigungen, so dass der dazu gehörige Fingerabdruck nicht „als Ganzes“ verarbeitet wird. Nach Art. 4 Nr. 14 der europäischen Datenschutzgrundverordnung (DSGVO) sind biometrische Daten aber alle mit speziellen technischen Verfahren gewonnene personenbezogene Daten u.a. zu den physischen und physiologischen Merkmalen einer natürlichen Person, die die eindeutige Identifizierung dieser natürlichen Person ermöglicht oder bestätigt. Das ist bei Minutien der Fall.

2. Die Beklagte verkennt mit ihrer Argumentation in der Berufung den Regelungsgehalt der DSGVO. Wie das Arbeitsgericht bereits hervorgehoben hat, regelt Art. 9 Abs. 1 DSGVO ausdrücklich, dass die Verarbeitung von biometrischen Daten zur eindeutigen Identifizierung einer natürlichen Person untersagt ist. Von diesem Grundsatz lässt Art. 9 Abs. 2 DSGVO zwar, wie das Arbeitsgericht auch ausgeführt hat, einzelne Ausnahmen zu. Im hiesigen Fall kommt allein die Ausnahme nach Art. 9 Abs. 2 lit. b DSGVO in Betracht. Danach muss die Verarbeitung erforderlich sein, damit die Beklagte oder der Kläger die ihnen aus dem Arbeitsrecht erwachsenden Rechte ausüben und ihren diesbezüglichen Pflichten nachkommen können, soweit dies nach Unionsrecht, nach nationalem Recht oder nach einer Kollektivvereinbarung zulässig ist.

2.1 Nach der jüngsten Rechtsprechung des Europäischen Gerichtshofs (EuGH) vom 14. Mai 2019 in der Rechtssache C-55/18, die zum Zeitpunkt der hier streitigen Abmahnungen noch nicht bekannt war, gebieten die Art. 3, 5 und 6 der Richtlinie 2003/88/EG des Europäischen Parlaments und des Rates vom 4. November 2003 über bestimmte Aspekte der Arbeitszeitgestaltung im Licht von Art. 31 Abs. 2 der Charta der Grundrechte der Europäischen Union sowie von Art. 4 Abs. 1, Art. 11 Abs. 3 und Art. 16 Abs. 3 der Richtlinie 89/391/EWG des Rates vom 12. Juni 1989 über die Durchführung von Maßnahmen zur Verbesserung der Sicherheit und des Gesundheitsschutzes der Arbeitnehmer bei der Arbeit, dass Arbeitgeber ein System einrichten, mit dem die von einem jeden Arbeitnehmer geleistete tägliche Arbeitszeit gemessen werden kann.

Die Beklagte hat zwar als das wesentliche Ziel der Einführung des Zeiterfassungssystems Model „ZEUS“ der Firma I. GmbH nebst einem Terminal „IT 8200 FP“ die Verhinderung von Arbeitszeitmanipulationen angegeben und nicht die Sicherstellung von gerechten und angemessenen Arbeitsbedingungen, wie Art. 31 GRCh das insbesondere durch eine Begrenzung der Höchstarbeitszeit und die Einhaltung der täglichen und wöchentlichen Ruhezeiten vorsieht. Aber dennoch ist ein Arbeitgeber nach den im vorhergehenden Absatz genannten Normen verpflichtet, ein objektives, verlässliches und zugängliches System, mit dem die von einem jeden Arbeitnehmer geleistete tägliche Arbeitszeit gemessen werden kann, einzurichten.

Es ist aber nicht ersichtlich, dass ein objektives, verlässliches und zugängliches System der Verarbeitung biometrischer Daten des Klägers (oder anderer Mitarbeitender) bedarf. In der Rd.-Nr. 63 der EuGH-Entscheidung vom 14. Mai 2019 hat der Gerichtshof ausdrücklich auf die Rd.-Nrn. 85-88 der Schlussanträge des Generalanwalts Bezug genommen. Dieser hat dort in Rd.-Nr. 87 ausdrücklich ausgeführt:

Insoweit ist darauf hinzuweisen, dass die derzeitige Technologie die verschiedensten Systeme zur Erfassung der Arbeitszeit ermöglicht (Aufzeichnungen in Papierform, Computerprogramme, elektronische Zeitausweise).

Zwar erlaubt Art. 88 DSGVO zusätzliche nationale Regelungen zur Datenverarbeitung im Beschäftigungskontext. Davon hat der deutsche Gesetzgeber mit § 26 BDSG Gebrauch gemacht. Aber auch für die Verarbeitung von Daten im Beschäftigungskontext gelten zunächst die allgemeinen Regelungen der DSGVO. Die Öffnungsklausel in Art. 88 DSGVO ist keine Bereichsausnahme in dem Sinn, dass der Anwendungsbereich der Verordnung per se eingeschränkt wäre (vgl. etwa Nolte in Kommentar zur Datenschutzgrundverordnung, hrsg. von Gierschmann u.a., Art. 88 RN 9). Der Maßstab bei der Verarbeitung biometrischer Daten ist im Beschäftigungskontext kein anderer als außerhalb des Beschäftigungskontexts (Nolte, ebenda RN 13). Art. 88 DSGVO erlaubt nur eine Konkretisierung oder Präzisierung, nicht jedoch ein Abweichen oder Verändern (Nolte, ebenda RN 19 m.w.N.).

2.2 In einem zweiten Schritt ist deshalb zu prüfen, ob die Verarbeitung biometrischer Daten des Klägers bei der Zeiterfassung „erforderlich“ ist, damit die Beklagte bzw. der Kläger ihre Rechte ausüben oder ihren Pflichten nachkommen können. In der Gesetzesbegründung zu § 26 BDSG hat der deutsche Gesetzgeber festgehalten, dass im Rahmen der Erforderlichkeitsprüfung die widerstreitenden Grundrechtspositionen zur Herstellung praktischer Konkordanz abzuwägen seien. Dabei seien die Interessen des Arbeitgebers an der Datenverarbeitung und das Persönlichkeitsrecht des Beschäftigten zu einem schonenden Ausgleich zu bringen, der beide Interessen möglichst weitgehend berücksichtige (BT-Drs. 18/11325, S. 97).

Zusätzlich zur Verhältnismäßigkeitsprüfung im Rahmen der Erforderlichkeit darf kein Grund zu der Annahme bestehen, dass die schutzwürdigen Interessen der betroffenen Beschäftigten die Interessen des verantwortlichen Arbeitgebers an der Verarbeitung überwiegen (BT-Drs. 18/11325, S. 98). Erst wenn also diese Erforderlichkeit und die Feststellung, dass schutzwürdige Interessen der Betroffenen nicht entgegenstehen grundsätzlich bejaht werden sollten, kommt es auf die von der Beklagten auch angegebenen „geeigneten Garantien für die Grundrechte und die Interessen der betroffenen Person“ an, also technische und organisatorische Vorkehrungen wie z.B. Anonymisierung, Pseudonymisierung und Zugriffsbeschränkungen auf die biometrischen Daten des Klägers.

„Erforderlich“ ist ein technisches System, das das Persönlichkeitsrecht eines Menschen berührt, nur dann, wenn ein legitimer Zweck verfolgt wird und zur Erreichung dieses Zwecks kein gleich wirksames und das Persönlichkeitsrecht weniger einschränkende Mittel zur Verfügung steht (BAG vom 25. April 2017 – 1 ABR 46/15). Auch das hat das Arbeitsgericht zutreffend seiner Entscheidung zugrunde gelegt.

Die Beklagte hat in der Berufungsbegründung auf Seite 10, wenn auch vielleicht versehentlich, ausdrücklich angegeben, dass es neben dem Terminal „IT 8200 FP“ für das Zeiterfassungssystem Model „ZEUS“ der Firma I. GmbH auch ein Terminal mit der Bezeichnung „IT 8200“ gibt. Dabei handelt es sich um ein Ausweisleser-System, also ein System ohne Nutzung biometrischer Daten des Klägers, was eine Internetrecherche bestätigt hat. Dieses ist mit Chipkarten und Transpondern und anderen lesbaren Ausweisen zu betreiben.

2.2.1 Die Beklagte hat angeführt, dass das Zeiterfassungssystem im Betrieb (mit biometrischen Daten u.a. des Klägers) zu betreiben sei, weil in diesem System bereits die Soll-Arbeitszeiten hinterlegt seien, die zuvor in dem Papiersystem regelmäßig und nicht nachvollziehbar verlängert oder reduziert worden seien. Diese Funktionalität wäre mit dem Terminal IT 8200 ebenso vollständig nutzbar, ohne biometrische Daten des Klägers zu verarbeiten.

2.2.2 Die Beklagte hat weiter ausgeführt, dass der bundesweit tätige Konzern, dem die Beklagte angehöre, eine einheitliche Erfassung der Anwesenheitszeiten mittels Fingerabdruckscanner wünsche. Das Personal werde über die Konzernpersonalabteilung einheitlich gesteuert. Das sei ein legitimes Interesse und auch im Interesse der Mitarbeitenden, denen Aufstiegschancen im Konzern ermöglicht würden. Auch wenn nicht ganz verständlich ist, weshalb für die Aufstiegschancen von Beschäftigten die Anwesenheitszeiten relevant sind, könnte dieser Effekt jedenfalls auch mit dem Terminal IT 8200 ebenso erreicht werden.

2.2.3 Die Beklagte hat auch als legitimes Interesse angeführt, dass die Zeiterfassung mittels Fingerscanner auf Dauer preiswerter sei als die Pflege eines Chipkartensystems, welches bei Kartenverlust ausgetauscht bzw. neu programmiert werden müsse. Nähere Angaben zur Kalkulation der beiden Varianten hat die Beklagte nicht vorgetragen, obwohl der Kläger in der Berufungserwiderung vom 23. März 2020 ausdrücklich bestritten hat, dass ein Fingerabdrucksystem preiswerter und längerfristig günstiger zu betreiben sei als ein chipkartengesteuertes System. Deshalb kann mangels entsprechendem Tatsachenvortrag der Beklagten in diesem Verfahren dahinstehen, ob und gegebenenfalls welche Kostenersparnis die Verarbeitung biometrischer Daten eines Beschäftigten rechtfertigen könnte.

2.2.4 Ein weiteres Interesse am Einsatz des Systems hat die Beklagte damit angegeben, dass auch beim Vergessen und Verlieren der Chipkarte die Arbeitszeit nicht fehlerfrei erfassbar sei. Dazu hat die Beklagte aber selbst bereits in einer Informationsmail vom 27. Juli 2018 an die Beschäftigten angenommen, dass es auch bei dem Terminal IT 8200 FP Situationen des Nichtfunktionierens geben könne. Dort hatte die Beklagte ausdrücklich ausgeführt:

„Sollte die Zeiterfassung mal nicht funktionieren, schreibt Euch bitte die Arbeitszeiten auf. Diese werden dann nachträglich im System eingepflegt. Doreen wird sich zukünftig um diese Aufgaben kümmern …“

Selbst wenn die Beklagte davon ausgehen sollte, dass Beschäftigte der Beklagten in relevantem Umfang Chipkarten vergessen oder verlieren würden, hätte es die Beklagte in der Hand, durch den Einsatz kleinerer Transponder, die man mit dem Schlüsselbund verbinden könnte, das Risiko des Vergessen und Verlierens erheblich zu minimieren. Im Übrigen erschließt sich für das Berufungsgericht nicht, weshalb bei einem technischen Versagen des Systems die händische Aufzeichnung ausreichen soll, bei einem menschlichen Versagen (des Systems) aber nicht. Im Übrigen wäre es der Beklagten natürlich auch nicht verwehrt, ein tatsächliches Fehlverhalten des Klägers zu sanktionieren. Da der Kläger seine Arbeit zusammen mit anderen Beschäftigten (und Patienten) erledigt, ist nicht ersichtlich, dass etwaige Arbeitszeitmanipulationen im Betrieb auch ohne dauernd anwesende Praxismanager unentdeckt bleiben würden.

2.2.5 Weitere Aspekte für das System der Verarbeitung biometrischer Daten des Klägers hat die Beklagte mit dem Umstand benannt, dass sensible Gesundheitsdaten bei der Beklagten verwahrt würden. Deshalb müsse sie fälschungssicher feststellen können, welche Mitarbeitende sich zu welcher Zeit tatsächlich in den Praxisräumen aufgehalten hätten.

Abgesehen davon, dass die Beklagte keinerlei Tatsachen vorgetragen hat, nach denen der Kläger oder andere Mitarbeitende ein Risiko für sensible Gesundheitsdaten der Patienten darstellen würden, ist davon auszugehen, dass die Beklagte die Gesundheitsdaten der Patienten, die ebenso wie die biometrischen Daten des Klägers als besondere Kategorien von Art. 9 DSGVO erfasst sind, nicht offen in den Praxisräumen verwahrt, sondern diese auch noch gegen unberechtigte Zugriffe innerhalb der Praxisräume gesichert hat. Aber auch unabhängig davon erschließt sich nicht, inwiefern ein fälschungssicheres Zeiterfassungssystem die Patientendaten in den Praxisräumen besonders schützen würde. Weder hat die Beklagte die Art und Weise der Aufbewahrung der Patientendaten näher dargelegt noch inwieweit diese gefährdet sind. Selbst wenn das aber der Fall wäre, wäre allenfalls ein Zugangskontrollsystem geeignet, ein Betreten der Praxisräume zu dokumentieren. Ein Zeiterfassungssystem, das (nur) die berechtigte Anwesenheit dokumentiert, ist dafür ungeeignet. Insofern ist der Vortrag der Beklagten zum Schutz der Patientendaten nicht geeignet, berechtigte Interessen an der Verarbeitung biometrischer Daten des Klägers zu begründen.

2.2.6 Schließlich hat die Beklagte angegeben, das angesichts der Infektionsrisiken eine genaue Zeiterfassung erforderlich sei, um Infektionsketten aufklären zu können. Das diene dem Schutz der übrigen Mitarbeitenden und der Patienten. Das Bundesarbeitsgericht hat aber entschieden, dass Gefährdungen bei der Arbeit entweder feststehen oder im Rahmen einer Gefährdungsbeurteilung nach § 5 ArbSchG (bzw. § 4 BioStoffVO oder § 6 GefStoffVO) ermittelt sein müssen, um erforderliche Maßnahmen daraus abzuleiten (BAG vom 28. März 2017 – 1 ABR 25/15). Zwar handelte es sich insoweit um eine Entscheidung über die Reichweite der Befugnisse einer Einigungsstelle nach § 76 BetrVG. Da aber die Mitbestimmung im Bereich des § 87 Abs. 1 Nr. 7 BetrVG nur einsetzt, wenn für einen Arbeitgeber eine Handlungspflicht besteht, gelten diese Grundsätze in einem Betrieb ohne Betriebsrat ebenso. Die Beklagte hat aber weder Tatsachen vorgetragen, aus denen sich feststehende Gefährdungen ergeben, die als erforderliche Maßnahme im Sinne des § 3 ArbSchG die Aufklärung einer Infektionskette erfordern würden, noch hat die Beklagte das Ergebnis einer Gefährdungsbeurteilung vorgetragen, das als erforderliche Maßnahme die Aufklärung einer Infektionskette erfordern würde.

2.2.7 Danach verbleibt allein das Verlangen der Beklagten, jegliche Manipulation bei der Zeiterfassung auszuschließen. Zutreffend weist die Beklagte darauf hin, dass ein Arbeitgeber nicht erst in gewissem Umfang missbräuchliche Eingaben der Arbeitszeit dulden müsse, bevor er ein fälschungssicheres Zeiterfassungssystem zur Anwendung bringen dürfe. Allerdings hat die Beklagte aufgrund des grundsätzlichen Verbots der Verarbeitung biometrischer Daten sowohl nach Art. 9 Abs. 2 lit. b DSGVO wie auch nach § 26 Abs. 3 BDSG die Erforderlichkeit der Verarbeitung biometrischer Daten anhand von Tatsachen darzulegen.

2.2.7.1 Die Beklagte hat vorgetragen, dass aufgrund der Erfahrungen mit dem analogen Papier-Dienstplan in Berlin zu erwarten sei, dass die Manipulation der Dienstzeiterfassung per Chipkarte fortgesetzt werde, da dieses technisch ebenso einfach sei. Dem vermag das Berufungsgericht nicht zu folgen. Denn eine Papierdokumentation lässt sich jederzeit durch Überschreibung, Ergänzung und/oder Löschung mittels Korrekturflüssigkeit verändern. Das elektronische System „ZEUS“ der Firma I. GmbH speichert auch ohne biometrische Daten des Klägers soweit ersichtlich die jeweiligen Buchungen, so dass jederzeit nachvollziehbar ist, wann welche Erfassung vorgenommen worden ist.

2.2.7.2 Richtig ist der Vortrag der Beklagten, dass es bei einem Zeiterfassungssystem mittels Chipkarten- oder Transpondersystem nicht ausgeschlossen ist, dass Beschäftigte ihre Anwesenheit vortäuschen ohne tatsächlich anwesend zu sein. Allerdings dürfte dieses abgesehen von den unter 2.2.4 beschriebenen Sachverhalten einen Arbeitszeitbetrug und somit eine Straftat darstellen.

Wenn aber für die Aufdeckung von Straftaten entsprechend § 26 Abs. 1 Satz 2 BDSG personenbezogene Daten von Beschäftigten nur verarbeitet werden dürfen, wenn „zu dokumentierende tatsächliche Anhaltspunkte“ den Verdacht begründen, muss das erst recht für den Fall gelten, dass zur Vermeidung von Straftaten eine ständige Verarbeitung besonders geschützter biometrischer Beschäftigtendaten erfolgen soll. Dieser Grundrechtseingriff ist aufgrund der Festlegung in § 9 DSGVO von hoher Intensität und kann bereits als solcher unverhältnismäßig sein, wenn der Eingriffsanlass kein hinreichendes Gewicht aufweist. Soweit der Eingriff der Abwehr bestimmter Gefahren dient, kommt es für das Gewicht des Eingriffsanlasses maßgeblich auf den Rang und die Art der Gefährdung der Schutzgüter an (vgl. auch BVerfG vom 27. Februar 2008 – 1 BvR 370/07, 1 BvR 595/07).

Die Behauptung der Beklagten, dass es in einem verbundenen anderen Unternehmen zu Missbräuchen mit anderen technischen Zeiterfassungssystemen gekommen sei, hat die Beklagte trotz Bestreitens des Klägers nicht näher dargelegt. Dass Kartensysteme und andere Systeme beispielsweise durch die Übergabe der Karten an Kollegen (und die strafrechtlich relevante Benutzung durch diese) fälschlich Anwesenheiten vorspiegeln würden, ist richtig. Weshalb es aber im Betrieb der Beklagten in Berlin unentdeckt bleiben soll, wenn der Kläger (bzw. andere Mitarbeiter) entgegen dem Dienstplan bzw. der im System hinterlegten Sollarbeitszeit zu spät erscheinen oder vorzeitig gehen, ist dem Vortrag der Beklagten nicht zu entnehmen. Selbst wenn entsprechend dem Vortrag der Beklagten nicht immer ein Praxismanager vor Ort sein sollte, sind die übrigen Beschäftigten vor Ort. Dass diesen eine etwaige Unterbesetzung nicht auffallen würde, ist dem Vortrag der Beklagten nicht zu entnehmen.

2.3 Nach alledem hat die Beklagte keine Tatsachen dargelegt, nach denen die Verarbeitung biometrischer Daten des Klägers bei der Zeiterfassung „erforderlich“ ist, damit die Beklagte bzw. der Kläger ihre Rechte ausüben oder ihren Pflichten nachkommen können.

Da der Kläger somit keine arbeitsvertragliche Nebenpflicht verletzt hat, indem er sich geweigert hat, dass die Beklagte seine biometrischen Daten bei der Arbeitszeiterfassung verarbeiten kann, sind die Abmahnungen vom 5. Oktober 2018 und 26. März 2019 zu Unrecht erfolgt und diese deshalb, wie bereits vom Arbeitsgericht in dem angefochtenen Urteil festgestellt, in entsprechender Anwendung der §§ 242, 1004 BGB ersatzlos aus der Personalakte des Klägers zu entfernen.


Den Volltext der Entscheidung finden Sie hier:

OVG Lüneburg
Beschluss vom 22.07.2020
11 LA 104/19

Das OVG Lüneburg hat entschieden, dass eine Behörde bei Übermittlung personenbezogener Daten per Fax zur Gewährleistung des Grundrechts auf informationelle Selbstbestimmung des Betroffenen Sicherungsvorkehrungen treffen muss.

Leitsätze des Gerichts:

1. Ob die Übermittlung eines Bescheides, der personenbezogene Daten enthält, durch die Behörde per Fax rechtswidrig war, kann im Wege einer Feststellungsklage bei Vorliegen eines Feststellungsinteresses zur Überprüfung gestellt werden.

2. Bei der Übermittlung von personenbezogenen Daten per Fax muss die Behörde zur Gewährleistung des Grundrechts auf informationelle Selbstbestimmung des Betroffenen Sicherungsvorkehrungen treffen. Welches Schutzniveau dabei einzuhalten ist, richtet sich nach der Sensibilität und Bedeutung der zu übermittelnden Daten, den potentiellen Gefahren bei der Faxübermittlung, dem Grad der Schutzbedürftigkeit des Betroffenen und dem mit den Sicherungsmaßnahmen verbundenen Aufwand.

Aus den Entscheidungsgründen:

"Hier liegt ein Sachverhalt vor, der einer Norm zugeordnet werden kann. Streitgegenständlich ist die von der Beklagten vorgenommene Übermittlung des Bescheides vom 3. Februar 2017 per Fax an ihren Prozessbevollmächtigten am 7. Februar 2017. Entgegen der Ansicht der Beklagten geht es dem Kläger nicht nur um die rechtliche Qualifikation des Handelns der Beklagten als rechtswidrig oder rechtmäßig - ein derartiges Begehren unterfiele als nicht feststellungsfähige Rechtsfrage nicht der Feststellungsklage im Sinne von § 43 VwGO (Bayerischer VGH, Urt. v. 9.4.2003 - 24 B 02.646 -, juris, Rn. 22, Sodan, in: Sodan/Ziekow, VwGO, 5. Aufl. 2018, § 43, Rn. 35) -, sondern um seine Rechtsposition, die durch die Weitergabe seiner personenbezogenen Daten möglicherweise berührt ist.

Der Kläger hat auch ein Feststellungsinteresse wegen Wiederholungsgefahr. Eine Wiederholungsgefahr begründet ein berechtigtes Interesse im Sinne des § 43 Abs. 1 VwGO, wenn hinreichend konkrete Anhaltspunkte dafür vorliegen, dass die beanstandete hoheitliche Maßnahme erneut vorgenommen wird (Bayerischer VGH, Urt. v. 15.2.2012 - 1 B 09.2157 -, juris, Rn. 31). Die Beklagte macht geltend, sie habe die angeordneten Übermittlungssperren zwischenzeitlich sofort vollziehbar aufgehoben. Die Übermittlungssperren könnten deshalb nicht zur Begründung eines besonders hohen Schutzniveaus herangezogen werden. Der Kläger sei auch nicht besonderen Gefahren ausgesetzt. Mit diesem Vortrag dringt die Beklagte nicht durch.

Das Verwaltungsgericht hat die Wiederholungsgefahr damit begründet, dass die Beklagte wiederholt Faxe ohne Verschlüsselung versandt habe. Hierzu verweist das Verwaltungsgericht neben der streitgegenständlichen Faxübersendung auf zwei Schreiben vom 22. Juni 2016 und 19. August 2016 in gerichtlichen Verfahren, die beide unverschlüsselt mit personenbezogenen Daten des Klägers an das Verwaltungsgericht bzw. an das Oberverwaltungsgericht übermittelt worden sind. Daraus schließt das erstinstanzliche Gericht zu Recht, dass auch zukünftig die beschriebene Gefahr droht.

Ob der Kläger besonderen oder erheblichen Gefahren ausgesetzt ist und deshalb bei der Übermittlung seiner personenbezogenen Daten ein bestimmtes Schutzniveau gewährleistet sein muss, ist eine Frage der Begründetheit der Klage. Zudem ist zu berücksichtigen, dass der 12. Senat des Niedersächsischen Oberverwaltungsgerichts mit Urteil vom 19. Mai - H. - ein Urteil des Verwaltungsgerichts bestätigt hat, mit dem die Beklagte verpflichtet wurde, dem Kläger für ein von ihm gehaltenes Fahrzeug eine Übermittlungssperre nach § 41 Abs. 2 StVG ohne generelle Ausnahme von Anfragen von Polizei und Bußgeldstellen und ohne Befristung auf fünf Jahre zu erteilen. Der Senat hat ausgeführt, dass § 41 Abs. 2 StVG eine glaubhaft gemachte Beeinträchtigung der schutzwürdigen Interessen des Betroffenen durch die Übermittlung der Halterdaten voraussetze. Der Kläger habe glaubhaft gemacht, dass er berufsbedingt allgemein einem deutlich höheren Angriffsrisiko ausgesetzt sei, und zwar zur Ermöglichung eines illegalen Zugriffes auf „seine“ Sprengstoffe. Der Umgang des Klägers mit riskanten und gerade für militante Straftäter nützlichen, daher von ihnen begehrten Produkten, wie Sprengstoffen, führe zu einer gegenüber einem durchschnittlichen Fahrzeughalter deutlich erhöhten Wahrscheinlichkeit der Beeinträchtigung seiner Rechte. Dies gelte insbesondere für das Risiko, Opfer einer Straftat zu werden.

Soweit das Verwaltungsgericht das Feststellungsinteresse des Klägers auch wegen der Möglichkeit bejaht hat, durch die unverschlüsselte Faxübermittlung, ein Ereignis, das auf eine Zeitspanne beschränkt ist, in der Rechtsschutz kaum erlangt werden kann, tiefgreifend in einem Grundrecht verletzt worden zu sein, wird diese Annahme von der Beklagten mit der Zulassungsbegründung nicht in Frage gestellt.

Die Beklagte hat in ihren Ausführungen zur Begründetheit der Klage nicht dargelegt, dass die Auffassung des Verwaltungsgerichts, die Faxübermittlung am 7. Februar 2017 sei rechtswidrig und verletze den Kläger in seinen Rechten, ernstlichen Zweifeln unterliegt.

Der Kläger kann sich darauf berufen, dass die Beklagte zur Gewährleistung seines Grundrechts auf informationelle Selbstbestimmung bei der Übermittlung von personenbezogenen Daten Schutzvorkehrungen trifft, damit seine personenbezogenen Daten nicht unbefugt an Dritte gelangen. Das in Art. 2 Abs. 1 i.V.m. Art. 1 Abs. 1 GG wurzelnde Grundrecht auf informationelle Selbstbestimmung verpflichtet den Gesetzgeber, für notwendige Sicherungsvorkehrungen Sorge zu tragen (BVerfG, Urt. v. 15.12.1983 - 1 BvR 209/83 u.a. -, BVerfGE 65, 1, juris, Rn. 191, „Volkszählungsurteil“). Insbesondere sind die betroffenen Daten vor unbefugtem Zugriff Dritter und vor missbräuchlicher Nutzung zu schützen (Senatsurt. v. 14.1.2020 - 11 LC 191/17 -, juris, Rn. 49). Der niedersächsische Gesetzgeber hat hierzu in § 7 Abs. 1 des Niedersächsischen Datenschutzgesetzes vom 29. Januar 2002 (Nds. GVBl. 2002, 22, i.d. Änderungsfassung v. 12.12.2012, Nds. GVBl. 2012, 589 - NDSG a.F. -) geregelt, dass öffentliche Stellen die technischen und organisatorischen Maßnahmen zu treffen haben, um eine den Vorschriften dieses Gesetzes entsprechende Verarbeitung personenbezogener Daten sicherzustellen (Satz 1). Der Aufwand für die Maßnahmen muss unter Berücksichtigung des Standes der Technik in einem angemessenen Verhältnis zu dem angestrebten Zweck stehen (Satz 2). Diese Gestaltungsregeln richten sich an die Beklagte als öffentliche Stelle (§ 2 Abs. 1 Satz 1 Nr. 2 NDSG a.F.) und beziehen sich auch auf die Übermittlung von personenbezogenen Daten. § 7 Abs. 2 NDSG a.F. regelt elf Kontrollmaßnahmen bei der automatisierten Verarbeitung von personenbezogenen Daten. Nach § 7 Abs. 2 NDSG a.F. sind Maßnahmen zu treffen, die je nach Art der Daten und ihrer Verwendung geeignet sind, nach Nr. 10 zu gewährleisten, dass bei der Übertragung von Daten sowie beim Transport von Datenträgern diese nicht unbefugt gelesen, kopiert, verändert oder gelöscht werden können (Transportkontrolle), und nach Nr. 11 die innerbehördliche oder innerbetriebliche Organisation so zu gestalten, dass sie den besonderen Anforderungen des Datenschutzes gerecht wird (Organisationskontrolle). Der Umfang der Kontrolle ist über eine Abwägung zwischen der Sensibilität und Bedeutung der Daten, den potentiellen Gefahren, dem Grad der Schutzbedürftigkeit und dem mit den Sicherungsmaßnahmen verbundenen Aufwand zu bestimmen (Der Landesbeauftragte für den Datenschutz Niedersachsen, Erläuterungen zur Anwendung des NDSG, 3. Aufl. 2008, § 7, zu Abs. 2). Daran gemessen hat die Beklagte mit der nicht verschlüsselten Übermittlung des nicht anonymisierten Bescheides vom 3. Februar 2017 über ein Faxgerät an ihren Prozessbevollmächtigten nicht den gebotenen Schutz gewährleistet und dadurch den Kläger in seinem Grundrecht verletzt.

Der Kläger ist besonders schutzbedürftig. Der Kläger ist erheblichen Gefahren ausgesetzt, weil er berufsbedingt mit explosionsgefährlichen Sprengstoffen umgeht. Wie bereits zur Zulässigkeit der Feststellungsklage ausgeführt, ist der Kläger dadurch einem deutlich erhöhten Angriffsrisiko durch militante Straftäter ausgesetzt, die auf von ihm vertriebene Sprengstoffe zugreifen wollen.

Die in dem übermittelten Bescheid enthaltenen personenbezogenen Daten (Name und Adresse des Klägers, Fahrzeugidentifikationsnummer und das amtliche Kennzeichen des Fahrzeugs) sind besonders sensibel. Der Senat teilt die Auffassung des 12. Senats in seinem Urteil vom 19. Mai 2020 - H. -, dass die Kenntnis dieser personenbezogenen Daten das Risiko des Klägers, Opfer einer Straftat zu werden, deutlich erhöht.

Daraus folgt, dass die Beklagte bei der Übermittlung der personenbezogenen Daten des Klägers ein angemessenes Schutzniveau gewährleisten muss. Soweit die Beklagte geltend macht, der Kläger habe in an sie gerichteten Telefaxschreiben personenbezogene Daten preisgegeben und dieser Kommunikationsform zugestimmt, überzeugt dieser Einwand nicht. Die Beklagte bezieht sich dabei auf Faxdokumente aus den Jahren 2011 und 2012 (Schreiben v. 10.2.2011 und 9.9.2012). Der Kläger hat bereits mit Schreiben vom 9. Dezember 2015 an die Beklagte der unverschlüsselten Übermittlung von personenbezogenen Daten widersprochen. Der Vortrag des Klägers, jedenfalls für den Zeitraum nach dem 9. Dezember 2015 habe er einer Übersendung per Fax nicht zugestimmt, ist unwidersprochen geblieben. Zudem hat die Beklagte dem Kläger mit Schreiben vom 25. Februar 2016 bestätigt, dass sich der Umgang mit personenbezogenen Daten in der zuständigen Abteilung nach den geltenden datenschutzrechtlichen Vorgaben richte und auf nichtverschlüsseltem elektronischem Weg personenbezogene Daten nicht übermittelt würden.

Angesichts der besonderen Schutzbedürftigkeit des Klägers und seiner personenbezogenen Daten ist bei der hier vorliegenden Verarbeitung mit Hilfe einer Datenverarbeitungsanlage ein erhöhtes Schutzniveau einzuhalten. Eine unverschlüsselte Übermittlung von personenbezogenen Daten des Klägers per Fax unterschreitet das einzuhaltende Schutzniveau. Das Verwaltungsgericht weist zu Recht darauf hin, dass bei einer Übermittlung per Fax kein Hindernis für die Wahrnehmung der Daten durch Unbefugte besteht. Diese Einschätzung des erstinstanzlichen Gerichts wird bestätigt durch Informationen des Landesbeauftragten für Datenschutz und Informationssicherheit Nordrhein-Westfalen auf seiner Internetseite (https://www.ldi.nrw.de/[...] ). Danach handelt es sich bei dem Telefaxverkehr um einen Dienst, der im Regelfall keine Datensicherheitsmaßnahmen enthält. Die Informationen werden „offen“ (unverschlüsselt) übertragen. Eine Telefaxübersendung sei deshalb mit dem Versand einer offenen Postkarte vergleichbar. Der Datenschutzbeauftragte der Beklagten kommt in seiner Auskunft an den Kläger vom 11. April 2017 zu einer vergleichbaren Bewertung. Seiner Ansicht nach dürfen sensible personenbezogene Daten nicht ohne Sicherungen (z.B. Verschlüsselungsgeräte) gefaxt werden. Er merkt an, dass sensible personenbezogene Daten bei der Beklagten ausschließlich per Post zu versenden sind. Danach bestand bei der unverschlüsselten Übermittlung des Bescheides vom 3. Februar 2017 per Fax die Gefahr der Wahrnehmung von personenbezogenen Daten des Klägers durch unbefugte Dritte.

Der vorstehend beschriebenen Gefahr hätte die Beklagte durch Sicherungsmaßnahmen bei der Übermittlung des Bescheides vom 3. Februar 2017 begegnen müssen. Solche Maßnahmen standen zur Verfügung und hätten ohne großen Aufwand eingesetzt werden können. Im vorliegenden Fall hätte die Beklagte den Bescheid per Post versenden können oder mit Hilfe eines Boten in die nur 150 Meter entfernt liegende Kanzlei ihres Prozessbevollmächtigten überbringen können. Bei der auf Ausnahmefälle beschränkten Benutzung von Telefaxgeräten für die Übermittlung sind die von dem Datenschutzbeauftragten der Beklagten angesprochenen Sicherungen (z.B. Verschlüsselungsgeräte) zu verwenden. Ob die Benutzung eines Telefaxgeräts dem Stand der Technik entspricht, ist unmaßgeblich. Entscheidungserheblich ist, ob die Sicherungsmaßnahmen verfügbar sind und dem Stand der Technik entsprechen. Davon ist hier auszugehen.

Unerheblich ist auch, dass der Bescheid per Fax nicht an einen beliebigen Dritten, sondern an den Prozessbevollmächtigten der Beklagten übersandt wurde, der wie seine Mitarbeiter der Verschwiegenheitspflicht unterliegt. Es besteht die Gefahr des Missbrauchs durch unbefugte Dritte, die sich jederzeit realisieren kann. Zudem bestehen auch Risiken außerhalb des unmittelbaren Übertragungsvorgangs, zum Beispiel durch Adressierungsfehler oder Fehlleitungen aufgrund von veralteten Anschlussnummern oder aktivierten Anrufumleitungen bzw. -weiterleitungen (vgl. hierzu die Informationen des Landesbeauftragten für Datenschutz und Informationssicherheit Nordrhein-Westfalen auf der bezeichneten Internetseite)."


Den Volltext der Entscheidung finden Sie hier:

BGH
Urteil vom 27.07.2020 - VI ZR 405/18
Beschluss vom 27.07.2020 - VI ZR 476/18

Der BGH hat sich in in zwei Entscheidungen mit einem Anspruch gegen den Suchmaschinenbetreiber Google auf Entfernung von Inhalten befasst. Der BGH hat entschieden, dass sich ein ein Anspruch auf Entfernung aus dem Google-Suchindex nunmehr nach Art. 17 Abs. 1 DSGVO (Recht auf Vergessenwerden) richtet und eine umfassende Grundsrechtsabwägung der Grundrechte aller Beteiligten erfordert.

Seine Rechtsprechnung, wonach ein Suchmaschinenbetreiber erst nach Kenntnis von einer Persönlichkeitsrechtsverletzung tätig werden muss, hat der BGH dabei ausdrücklich aufgegeben (siehe zur alten BGH-Rechtsprechung BGH: Google muss ab Inkenntnissetzung klar erkennbare Persönlichkeitsrechtsverletzungen aus Suchindex löschen - Keine Vorabüberprüfung der im Suchindex gelisteten Inhalte).

Darüber hinaus hat der BGH weitere Fragen im Zusammenhang mit dem Recht auf Vergessenwerden dem EuGH zur Entscheidung vorgelegt.

Die Pressemitteilung des BGH:

Bundesgerichtshof entscheidet über Auslistungsbegehren gegen den Internet-Suchdienst von Google ("Recht auf Vergessenwerden")

Verfahren VI ZR 405/18:

Der Kläger war Geschäftsführer eines Regionalverbandes einer Wohlfahrtsorganisation. Im Jahr 2011 wies dieser Regionalverband ein finanzielles Defizit von knapp einer Million Euro auf; kurz zuvor meldete sich der Kläger krank. Über beides berichtete seinerzeit die regionale Tagespresse unter Nennung des vollen Namens des Klägers. Der Kläger begehrt nunmehr von der Beklagten als der Verantwortlichen für die Internetsuchmaschine "Google", es zu unterlassen, diese Presseartikel bei einer Suche nach seinem Namen in der Ergebnisliste nachzuweisen. Das Landgericht hat die Klage abgewiesen. Die Berufung des Klägers hatte keinen Erfolg.

Der unter anderem für Ansprüche aus dem Datenschutzrecht zuständige VI. Zivilsenat des Bundesgerichtshofs hat die vom Berufungsgericht zugelassene Revision des Klägers zurückgewiesen. Der geltend gemachte Anspruch des Klägers auf Auslistung der streitgegenständlichen Ergebnislinks ergibt sich nicht aus Art. 17 Abs. 1 DS-GVO. Der Auslistungsanspruch aus Art. 17 Abs. 1 DS-GVO erfordert nach der Rechtsprechung des Europäischen Gerichtshofs und dem Beschluss des Ersten Senats des Bundesverfassungsgerichts vom 6. November 2019 (1 BvR 276/17 – Recht auf Vergessen II) eine umfassende Grundrechtsabwägung, die auf der Grundlage aller relevanten Umstände des Einzelfalles und unter Berücksichtigung der Schwere des Eingriffs in die Grundrechte der betroffenen Person einerseits (Art. 7, 8 GRCh), der Grundrechte der Beklagten, der Interessen ihrer Nutzer und der Öffentlichkeit sowie der Grundrechte der Anbieter der in den beanstandeten Ergebnislinks nachgewiesenen Inhalte andererseits (Art. 11, 16 GRCh) vorzunehmen ist. Da im Rahmen dieser Abwägung die Meinungsfreiheit der durch die Entscheidung belasteten Inhalteanbieter als unmittelbar betroffenes Grundrecht in die Abwägung einzubeziehen ist, gilt keine Vermutung eines Vorrangs der Schutzinteressen des Betroffenen, sondern sind die sich gegenüberstehenden Grundrechte gleichberechtigt miteinander abzuwägen. Aus diesem Gebot der gleichberechtigten Abwägung folgt aber auch, dass der Verantwortliche einer Suchmaschine nicht erst dann tätig werden muss, wenn er von einer offensichtlichen und auf den ersten Blick klar erkennbaren Rechtsverletzung des Betroffenen Kenntnis erlangt. An seiner noch zur Rechtslage vor Inkrafttreten der DS-GVO entwickelten gegenteiligen Rechtsprechung (Senatsurteil vom 27. Februar 2018 - VI ZR 489/16, BGHZ 217, 350, 363 Rn. 36 i.V.m. 370 f. Rn. 52) hält der Senat insoweit nicht fest.

Nach diesen Grundsätzen haben die Grundrechte des Klägers auch unter Berücksichtigung des Zeitablaufs im konkreten Fall hinter den Interessen der Beklagten und den in deren Waagschale zu legenden Interessen ihrer Nutzer, der Öffentlichkeit und der für die verlinkten Zeitungsartikel verantwortlichen Presseorgane zurückzutreten, wobei der fortdauernden Rechtmäßigkeit der verlinkten Berichterstattung entscheidungsanleitende Bedeutung für das Auslistungsbegehren gegen die Beklagte zukommt.

Im Hinblick auf den Anwendungsvorrang des vorliegend unionsweit abschließend vereinheitlichten Datenschutzrechts und die bei Prüfung eines Auslistungsbegehrens nach Art. 17 DS-GVO vorzunehmende umfassende Grundrechtsabwägung kann der Kläger seinen Anspruch auch nicht auf Vorschriften des nationalen deutschen Rechts stützen.

Verfahren VI ZR 476/18:

Der Kläger ist für verschiedene Gesellschaften, die Finanzdienstleitungen anbieten, in verantwortlicher Position tätig oder an ihnen beteiligt. Die Klägerin ist seine Lebensgefährtin und war Prokuristin einer dieser Gesellschaften. Auf der Webseite eines US-amerikanischen Unternehmens, dessen Ziel es nach eigenen Angaben ist, "durch aktive Aufklärung und Transparenz nachhaltig zur Betrugsprävention in Wirtschaft und Gesellschaft beizutragen", erschienen im Jahr 2015 mehrere Artikel, die sich kritisch mit dem Anlagemodell einzelner dieser Gesellschaften auseinandersetzten. Einer dieser Artikel war mit Fotos der Kläger bebildert. Über das Geschäftsmodell der Betreiberin der Webseite wurde seinerseits kritisch berichtet, u.a. mit dem Vorwurf, sie versuche, Unternehmen zu erpressen, indem sie zunächst negative Berichte veröffentliche und danach anbiete, gegen ein sog. Schutzgeld die Berichte zu löschen bzw. die negative Berichterstattung zu verhindern. Die Kläger machen geltend, ebenfalls erpresst worden zu sein. Sie begehren von der Beklagten als der Verantwortlichen für die Internetsuchmaschine "Google", es zu unterlassen, die genannten Artikel bei der Suche nach ihren Namen und den Namen verschiedener Gesellschaften in der Ergebnisliste nachzuweisen und die Fotos von ihnen als sog. "thumbnails" anzuzeigen. Die Beklagte hat erklärt, die Wahrheit der in den verlinkten Inhalten aufgestellten Behauptungen nicht beurteilen zu können. Das Landgericht hat die Klage abgewiesen. Die Berufung der Kläger blieb ohne Erfolg.

Der Bundesgerichtshof hat das Verfahren ausgesetzt und dem Gerichtshof der Europäischen Union zwei Fragen zur Vorabentscheidung vorgelegt.

Zum einen ist durch den Gerichtshof der Europäischen Union zu klären, ob es mit den Rechten des Betroffenen auf Achtung seines Privatlebens (Art. 7 GRCh) und auf Schutz der ihn betreffenden personenbezogenen Daten (Art. 8 GRCh) vereinbar ist, bei der im Rahmen der Prüfung seines Auslistungsbegehrens gegen den Verantwortlichen eines Internet-Suchdienstes gemäß Art. 17 Abs. 3 Buchst. a DS-GVO vorzunehmenden Abwägung der widerstreitenden Rechte und Interessen aus Art. 7, 8, 11 und 16 GRCh dann, wenn der Link, dessen Auslistung beantragt wird, zu einem Inhalt führt, der Tatsachenbehauptungen und auf Tatsachenbehauptungen beruhende Werturteile enthält, deren Wahrheit der Betroffene in Abrede stellt, und dessen Rechtmäßigkeit mit der Frage der Wahrheitsgemäßheit der in ihm enthaltenen Tatsachenbehauptungen steht und fällt, maßgeblich auch darauf abzustellen, ob der Betroffene in zumutbarer Weise - z.B. durch eine einstweilige Verfügung - Rechtsschutz gegen den Inhalteanbieter erlangen und damit die Frage der Wahrheit des vom Suchmaschinenverantwortlichen nachgewiesenen Inhalts einer zumindest vorläufigen Klärung zuführen könnte.

Zum anderen bittet der Bundesgerichtshof um Antwort auf die Frage, ob im Falle eines Auslistungsbegehrens gegen den Verantwortlichen eines Internet-Suchdienstes, der bei einer Namenssuche nach Fotos von natürlichen Personen sucht, die Dritte im Zusammenhang mit dem Namen der Person ins Internet eingestellt haben, und der die von ihm aufgefundenen Fotos in seiner Ergebnisübersicht als Vorschaubilder ("thumbnails") zeigt, im Rahmen der nach Art. 12 Buchst. b und Art. 14 Abs. 1 Buchst. a DS-RL / Art. 17 Abs. 3 Buchst. a DS-GVO vorzunehmenden Abwägung der widerstreitenden Rechte und Interessen aus Art. 7, 8, 11 und 16 GRCh der Kontext der ursprünglichen Veröffentlichung des Dritten maßgeblich zu berücksichtigen ist, auch wenn die Webseite des Dritten bei Anzeige des Vorschaubildes durch die Suchmaschine zwar verlinkt, aber nicht konkret benannt und der sich hieraus ergebende Kontext vom Internet-Suchdienst nicht mit angezeigt wird.

Vorinstanzen:

VI ZR 405/18:

Oberlandesgericht Frankfurt am Main – Urteil vom 6. September 2018 – 16 U 193/17

Landgericht Frankfurt am Main – Urteil vom 26. Oktober 2017 – 2-03 O 190/16

und

VI ZR 476/18:

Oberlandesgericht Köln – Urteil vom 8. November 2018 – 15 U 178/17

Landgericht Köln – Urteil vom 22. November 2017 – 28 O 492/15

Die maßgebliche Vorschrift der Datenschutz-Grundverordnung (DS-GVO) lautet:

Art. 17 Recht auf Löschung ("Recht auf Vergessenwerden")

(1) Die betroffene Person hat das Recht, von dem Verantwortlichen zu verlangen, dass sie betreffende personenbezogene Daten unverzüglich gelöscht werden, und der Verantwortliche ist verpflichtet, personenbezogene Daten unverzüglich zu löschen, sofern einer der folgenden Gründe zutrifft:

a) Die personenbezogenen Daten sind für die Zwecke, für die sie erhoben oder auf sonstige Weise verarbeitet wurden, nicht mehr notwendig. (…)

c) Die betroffene Person legt gemäß Artikel 21 Absatz 1 Widerspruch gegen die Verarbeitung ein und es liegen keine vorrangigen berechtigten Gründe für die Verarbeitung vor, oder die betroffene Person legt gemäß Artikel 21 Absatz 2 Widerspruch gegen die Verarbeitung ein.

d) Die personenbezogenen Daten wurden unrechtmäßig verarbeitet. (…)

(3) Die Absätze 1 und 2 gelten nicht, soweit die Verarbeitung erforderlich ist

a) zur Ausübung des Rechts auf freie Meinungsäußerung und Information (…)

BVerfG
Beschluss vom 27.05.2020
1 BvR 1873/13
1 BvR 2618/13
Bestandsdatenauskunft II

Das Bundesverfassungsgericht hat entschieden, dass die Regelungen zur Bestandsdatenauskunft in § 113 TKG und den Parallelvorschriften in anderen Gesetzen verfassungswidrig sind.

Leitsätze:

1. Der Gesetzgeber muss bei der Einrichtung eines Auskunftsverfahrens auf Grundlage jeweils eigener Kompetenzen für sich genommen verhältnismäßige Rechtsgrundlagen sowohl für die Übermittlung als auch für den Abruf der Daten schaffen.

Übermittlungs- und Abrufregelungen für Bestandsdaten von Telekommunikationsdiensteanbietern müssen die Verwendungszwecke der Daten hinreichend begrenzen, mithin die Datenverwendung an bestimmte Zwecke, tatbestandliche Eingriffsschwellen und einen hinreichend gewichtigen Rechtsgüterschutz binden.

2. Schon dem Gesetzgeber der Übermittlungsregelung obliegt die normenklare Begrenzung der Zwecke der möglichen Datenverwendung. Eine Begrenzung der Verwendungszwecke erst zusammen mit der Abrufregelung kommt nur in Betracht, wenn die Übermittlungsregelung Materien betrifft, die allein im Kompetenzbereich des Bundes liegen und die Regelungen eine in ihrem Zusammenwirken normenklare und abschließende Zweckbestimmung der Datenverwendung enthalten.

3. Die Befugnis zum Datenabruf muss nicht nur für sich genommen verhältnismäßig sein, sondern ist – auch aus Gründen der Normenklarheit – zudem an die in der Übermittlungsregelung begrenzten Verwendungszwecke gebunden. Dabei steht es dem Gesetzgeber der Abrufregelung frei, den Abruf der Daten an weitergehende Anforderungen zu binden.

4. Trotz ihres gemäßigten Eingriffsgewichts bedürfen die allgemeinen Befugnisse zur Übermittlung und zum Abruf von Bestandsdaten für die Gefahrenabwehr und die Tätigkeit der Nachrichtendienste grundsätzlich einer im Einzelfall vorliegenden konkreten Gefahr und für die Strafverfolgung eines Anfangsverdachts.

Die Zuordnung dynamischer IP-Adressen muss im Hinblick auf ihr erhöhtes Eingriffsgewicht darüber hinaus auch dem Schutz oder der Bewehrung von Rechtsgütern von hervorgehobenem Gewicht dienen. Es bedarf ferner einer nachvollziehbaren und überprüfbaren Dokumentation der Entscheidungsgrundlagen.

Als Eingriffsschwelle kann im Bereich der Gefahrenabwehr und der nachrichtendienstlichen Tätigkeit das Vorliegen einer konkretisierten Gefahr ausreichen, soweit es um den Schutz von Rechtsgütern oder die Verhütung von Straftaten von zumindest erheblichem Gewicht (allgemeine Bestandsdatenauskunft) oder besonderem Gewicht (Zuordnung dynamischer IP-Adressen) geht.

Den Volltext der Entscheidung finden Sie hier:

EuGH
Urteil vom 16.07.2020
C-311/18
Data Protection Commissioner / Maximillian Schrems und Facebook Ireland

Der EuGH hat entschieden, dass der EU-US Privacy Shield (Datenschutzshild) nicht den Vorhaben der DSGVO genügt und damit ungültig ist. Der Beschluss 2010/87 der EU-Kommission über Standardvertragsklauseln ist hingegen gültig

Die Pressemitteilung des EuGH

Der Gerichtshof erklärt den Beschluss 2016/1250 über die Angemessenheit des vom EU-US-Datenschutzschild gebotenen Schutzes für ungültig

Der Beschluss 2010/87 der Kommission über Standardvertragsklauseln für die Übermittlung personenbezogener Daten an Auftragsverarbeiter in Drittländern ist hingegen gültig

Die Datenschutz-Grundverordnung (DSGVO) bestimmt, dass personenbezogene Datengrundsätzlich nur dann in ein Drittland übermittelt werden dürfen, wenn das betreffende Land für die Daten ein angemessenes Schutzniveau gewährleistet. Nach dieser Verordnung kann die Kommission feststellen, dass ein Drittland aufgrund seiner innerstaatlichen Rechtsvorschriften
oder seiner internationalen Verpflichtungen ein angemessenes Schutzniveau gewährleistet . Liegt kein derartiger Angemessenheitsbeschluss vor, darf eine solche Übermittlung nur erfolgen, wenn der in der Union ansässige Exporteur der personenbezogenen Daten geeignete Garantien vorsieht, die sich u. a. aus von der Kommission erarbeiteten Standarddatenschutzklauseln ergeben können, und wenn die betroffenen Personen über durchsetzbare Rechte und wirksame
Rechtsbehelfe verfügen . Ferner ist in der DSGVO genau geregelt, unter welchen Voraussetzungen eine solche Übermittlung vorgenommen werden darf, falls weder ein Angemessenheitsbeschluss vorliegt noch geeignete Garantien bestehen.

Herr Schrems, ein in Österreich wohnhafter österreichischer Staatsangehöriger, ist seit 2008 Nutzer von Facebook. Wie bei allen anderen im Unionsgebiet wohnhaften Nutzern werden seine personenbezogenen Daten ganz oder teilweise von Facebook Ireland an Server der Facebook Inc., die sich in den Vereinigten Staaten befinden, übermittelt und dort verarbeitet. Herr Schrems legte bei der irischen Aufsichtsbehörde eine Beschwerde ein, die im Wesentlichen darauf abzielte, diese Übermittlungen verbieten zu lassen. Er machte geltend, das Recht und die Praxis der Vereinigten Staaten böten keinen ausreichenden Schutz vor dem Zugriff der Behörden auf die dorthin übermittelten Daten. Seine Beschwerde wurde u. a. mit der Begründung zurückgewiesen, die Kommission habe in ihrer Entscheidung 2000/5205 (sogenannte „Safe-Harbour Entscheidung“) festgestellt, dass die Vereinigten Staaten ein angemessenes Schutzniveau gewährleisteten. Mit Urteil vom 6. Oktober 2015 erklärte der Gerichtshof auf ein Vorabentscheidungsersuchen des irischen High Court hin diese Entscheidung für ungültig (im Folgenden: Urteil Schrems I).

Nachdem das Urteil Schrems I ergangen war und der irische High Court daraufhin die Entscheidung, mit der die Beschwerde von Herrn Schrems zurückgewiesen worden war, aufgehoben hatte, forderte die irische Aufsichtsbehörde Herrn Schrems auf, seine Beschwerde unter Berücksichtigung der Ungültigerklärung der Safe-Harbour-Entscheidung durch den Gerichtshof umzuformulieren. Mit seiner umformulierten Beschwerde macht Herr Schrems geltend, dass die Vereinigten Staaten keinen ausreichenden Schutz der dorthin übermittelten Daten gewährleisteten. Er beantragt, die von Facebook Ireland nunmehr auf der Grundlage der Standardschutzklauseln im Anhang des Beschlusses 2010/877 vorgenommene Übermittlung seiner personenbezogenen Daten aus der Union in die Vereinigten Staaten für die Zukunft auszusetzen oder zu verbieten. Die irische Aufsichtsbehörde war der Auffassung, dass die Bearbeitung der Beschwerde von Herrn Schrems insbesondere von der Gültigkeit des Beschlusses 2010/87 über Standardvertragsklauseln abhänge, und strengte daher ein Verfahren vor dem High Court an, damit er den Gerichtshof mit einem Vorabentscheidungsersuchen befassen möge. Nachdem dieses Verfahren eingeleitet worden war, erließ die Kommission den Beschluss (EU) 2016/1250 über die Angemessenheit des vom EU-US-Datenschutzschild („Privacy Shield“) gebotenen Schutzes.

Mit seinem Vorabentscheidungsersuchen fragt der irische High Court den Gerichtshof nach der Anwendbarkeit der DSGVO auf Übermittlungen personenbezogener Daten, die auf die Standardschutzklauseln im Beschluss 2010/87 gestützt werden, sowie nach dem Schutzniveau, das diese Verordnung im Rahmen einer solchen Übermittlung verlangt, und den Pflichten, die den
Aufsichtsbehörden in diesem Zusammenhang obliegen. Des Weiteren wirft der High Court die Frage der Gültigkeit sowohl des Beschlusses 2010/87 über Standardvertragsklauseln als auch des Privacy Shield-Beschlusses 2016/1250 auf.

Mit seinem heute verkündeten Urteil stellt der Gerichtshof fest, dass die Prüfung des Beschlusses 2010/87 über Standardvertragsklauseln anhand der Charta der Grundrechte der Europäischen Union nichts ergeben hat, was seine Gültigkeit berühren könnte. Den Privacy Shield-Beschluss 2016/1250 erklärt er hingegen für ungültig. Der Gerichtshof führt zunächst aus, dass das Unionsrecht, insbesondere die DSGVO, auf eine zu gewerblichen Zwecken erfolgende Übermittlung personenbezogener Daten durch einen in einem Mitgliedstaat ansässigen Wirtschaftsteilnehmer an einen anderen, in einem Drittland ansässigen Wirtschaftsteilnehmer Anwendung findet, auch wenn die Daten bei ihrer Übermittlung oder im Anschluss daran von den Behörden des betreffenden Drittlands für Zwecke der öffentlichen Sicherheit, der Landesverteidigung und der Sicherheit des Staates verarbeitet werden können.

Eine derartige Datenverarbeitung durch die Behörden eines Drittlands kann nicht dazu führen, dass eine solche Übermittlung vom Anwendungsbereich der DSGVO ausgenommen wäre. In Bezug auf das im Rahmen einer solchen Übermittlung erforderliche Schutzniveau entscheidet der Gerichtshof, dass die insoweit in der DSGVO vorgesehenen Anforderungen, die sich auf geeignete Garantien, durchsetzbare Rechte und wirksame Rechtsbehelfe beziehen, dahin auszulegen sind, dass die Personen, deren personenbezogene Daten auf der Grundlage von Standarddatenschutzklauseln in ein Drittland übermittelt werden, ein Schutzniveau genießen müssen, das dem in der Union durch die DSGVO im Licht der Charta garantierten Niveau der Sache nach gleichwertig ist. Bei der Beurteilung dieses Schutzniveaus sind sowohl die vertraglichen Regelungen zu berücksichtigen, die zwischen dem in der Union ansässigen Datenexporteur und dem im betreffenden Drittland ansässigen Empfänger der Übermittlung vereinbart wurden, als auch, was einen etwaigen Zugriff der Behörden dieses Drittlands auf
die übermittelten Daten betrifft, die maßgeblichen Aspekte der Rechtsordnung dieses Landes.

Hinsichtlich der Pflichten, die den Aufsichtsbehörden im Zusammenhang mit einer solchen Übermittlung obliegen, befindet der Gerichtshof, dass diese Behörden, sofern kein gültiger Angemessenheitsbeschluss der Kommission vorliegt, insbesondere verpflichtet sind, eine Übermittlung personenbezogener Daten in ein Drittland auszusetzen oder zu verbieten, wenn sie im Licht der Umstände dieser Übermittlung der Auffassung sind, dass die Standarddatenschutzklauseln in diesem Land nicht eingehalten werden oder nicht eingehalten werden können und dass der nach dem Unionsrecht erforderliche Schutz der übermittelten
Daten nicht mit anderen Mitteln gewährleistet werden kann, es sei denn, der in der Union ansässige Datenexporteur hat die Übermittlung selbst ausgesetzt oder beendet. Sodann prüft der Gerichtshof die Gültigkeit des Beschlusses 2010/87 über
Standardvertragsklauseln. Er sieht sie nicht schon dadurch in Frage gestellt, dass die in diesem Beschluss enthaltenen Standarddatenschutzklauseln aufgrund ihres Vertragscharakters die Behörden des Drittlands, in das möglicherweise Daten übermittelt werden, nicht binden. Vielmehr hängt sie davon ab, ob der Beschluss wirksame Mechanismen enthält, die in der Praxis gewährleisten können, dass das vom Unionsrecht verlangte Schutzniveau eingehalten wird und dass auf solche Klauseln gestützte Übermittlungen personenbezogener Daten ausgesetzt oder verboten werden, wenn gegen diese Klauseln verstoßen wird oder ihre Einhaltung unmöglich ist. Der Gerichtshof stellt fest, dass der Beschluss 2010/87 derartige Mechanismen vorsieht. Insoweit hebt er insbesondere hervor, dass gemäß diesem Beschluss der Datenexporteur und der Empfänger der Übermittlung vorab prüfen müssen, ob das erforderliche Schutzniveau im betreffenden Drittland eingehalten wird, und dass der Empfänger dem Datenexporteur gegebenenfalls mitteilen muss, dass er die Standardschutzklauseln nicht einhalten kann, woraufhin der Exporteur die Datenübermittlung aussetzen und/oder vom Vertrag mit dem Empfänger zurücktreten muss.

Schließlich prüft der Gerichtshof die Gültigkeit des Privacy-Shield-Beschlusses 2016/1250 anhand der Anforderungen der DSGVO im Licht der Bestimmungen der Charta, die die Achtung des Privat- und Familienlebens, den Schutz personenbezogener Daten und das Recht auf effektiven gerichtlichen Rechtsschutz verbürgen. Insoweit stellt er fest, dass in diesem Beschluss, ebenso wie in der Safe-Harbour-Entscheidung 2000/520, den Erfordernissen der nationalen Sicherheit,
des öffentlichen Interesses und der Einhaltung des amerikanischen Rechts Vorrang eingeräumt wird, was Eingriffe in die Grundrechte der Personen ermöglicht, deren Daten in die Vereinigten Staaten übermittelt werden. Er kommt zu dem Ergebnis, dass die von der Kommission im PrivacyShield-Beschluss 2016/1250 bewerteten Einschränkungen des Schutzes personenbezogener Daten, die sich daraus ergeben, dass die amerikanischen Behörden nach dem Recht der Vereinigten Staaten auf solche Daten, die aus der Union in dieses Drittland übermittelt werden, zugreifen und sie verwenden dürfen, nicht dergestalt geregelt sind, dass damit Anforderungen erfüllt würden, die den im Unionsrecht nach dem Grundsatz der
Verhältnismäßigkeit bestehenden Anforderungen der Sache nach gleichwertig wären, da die auf die amerikanischen Rechtsvorschriften gestützten Überwachungsprogramme nicht auf das zwingend erforderliche Maß beschränkt sind. Gestützt auf die Feststellungen in diesem Beschluss weist der Gerichtshof darauf hin, dass die betreffenden Vorschriften hinsichtlich
bestimmter Überwachungsprogramme in keiner Weise erkennen lassen, dass für die darin enthaltene Ermächtigung zur Durchführung dieser Programme Einschränkungen bestehen; genauso wenig ist ersichtlich, dass für die potenziell von diesen Programmen erfassten Personen, die keine amerikanischen Staatsbürger sind, Garantien existieren. Der Gerichtshof fügt hinzu, dass diese Vorschriften zwar Anforderungen vorsehen, die von den amerikanischen Behörden bei der Durchführung der betreffenden Überwachungsprogramme einzuhalten sind, aber den betroffenen Personen keine Rechte verleihen, die gegenüber den amerikanischen Behörden gerichtlich durchgesetzt werden können.

In Bezug auf das Erfordernis des gerichtlichen Rechtsschutzes befindet der Gerichtshof, dass der im Privacy-Shield-Beschluss 2016/1250 angeführte Ombudsmechanismus entgegen den darin von der Kommission getroffenen Feststellungen den betroffenen Personen keinen Rechtsweg zu einem Organ eröffnet, das Garantien böte, die den nach dem Unionsrecht erforderlichen Garantien der Sache nach gleichwertig wären, d. h. Garantien, die sowohl die Unabhängigkeit der durch diesen Mechanismus vorgesehenen Ombudsperson als auch das Bestehen von Normen gewährleisten, die die Ombudsperson dazu ermächtigen, gegenüber den amerikanischen Nachrichtendiensten verbindliche Entscheidungen zu erlassen. Aus all
diesen Gründen erklärt der Gerichtshof den Beschluss 2016/1250 für ungültig.

Den Volltext der Entscheidung finden Sie hier: