BECKMANN UND NORDA - Rechtsanwälte Bielefeld

EuGH-Generalanwalt
Schlussanträge vom 25.04.2024
C-446/21
Offenlegung von Daten gegenüber der Öffentlichkeit
Maximilian Schrems gegen Meta Platforms Ireland Limited, vormals Facebook Ireland Limited

Der EuGH-Generalanwalt kommt in seinen Schlussanträgen zu dem Ergebnis, dass die Selbstöffnung des Betroffenen
zwar dazu führt, dass personenbezogene Daten "offensichtlich öffentlich" sind, dies aber nicht die Verarbeitung zum Zweck der personalisierten Werbung erlaubt.

Die Pressemitteilung des EuGH:
Generalanwalt Rantos: Die öffentliche Äußerung der eigenen sexuellen Orientierung durch den Nutzer eines sozialen Netzwerks macht dieses Datum „offensichtlich öffentlich“, doch erlaubt dies nicht dessen Verarbeitung zum Zweck der personalisierten Werbung

Im Laufe des Jahres 2018 legte Meta Platforms Ireland ihren Nutzern in der Europäischen Union neue Nutzungsbedingungen für Facebook vor. Die Einwilligung zu diesen Bedingungen ist erforderlich, um sich registrieren oder auf von Facebook bereitgestellte Konten und Dienste zugreifen zu können. Herr Maximilian Schrems, ein Facebook-Nutzer und Aktivist im Bereich des Datenschutzes, hat diese Bedingungen akzeptiert. Er habe oft Werbung, die auf homosexuelle Personen abgezielt habe, und Einladungen zu entsprechenden Veranstaltungen erhalten. Diese Werbungen hätten sich nicht unmittelbar auf seine sexuelle Orientierung gestützt, sondern auf die Analyse seiner Interessen. Da er mit der Behandlung seiner Daten unzufrieden war, und diese sogar für rechtswidrig hielt, klagte Herr Schrems vor den österreichischen Gerichten. In der darauffolgenden Zeit erwähnte er öffentlich bei einer Podiumsdiskussion seine sexuelle Orientierung, veröffentlichte darüber aber nichts auf seinem Facebook-Profil.

Der Oberste Gerichtshof hat Fragen zur Auslegung der Datenschutz-Grundverordnung (DSGVO) 1 . Er möchte vom Gerichtshof wissen, ob ein Netzwerk wie Facebook personenbezogene Daten, über die es verfügt, ohne zeitliche Einschränkung für Zwecke der zielgerichteten Werbung analysieren und verarbeiten darf. Des Weiteren fragt er den Gerichtshof, ob eine Äußerung einer Person über die eigene sexuelle Orientierung anlässlich einer Podiumsdiskussion die Verarbeitung von anderen diesbezüglichen Daten zu dem Zweck erlaubt, dieser Person personalisierte Werbung anzubieten.

Zur ersten Frage schlägt Generalanwalt Athanasios Rantos dem Gerichtshof vor, zu entscheiden, dass die DSGVO dem entgegenstehe, dass personenbezogene Daten für Zwecke der zielgerichteten Werbung ohne Einschränkung nach der Zeit verarbeitet würden. Das nationale Gericht habe auf der Grundlage insbesondere des Grundsatzes der Verhältnismäßigkeit zu beurteilen, inwieweit der Zeitraum der Speicherung und die Menge der verarbeiteten Daten im Hinblick auf das legitime Ziel der Verarbeitung dieser Daten für Zwecke der personalisierten Werbung gerechtfertigt seien. Zur zweiten Frage vertritt der Generalanwalt vorbehaltlich der dem Obersten Gerichtshof obliegenden Sachprüfungen die Ansicht, dass der Umstand, dass sich Herr Schrems bei einer öffentlichen Podiumsdiskussion in vollem Bewusstsein über die eigene sexuelle Orientierung geäußert habe, eine Handlung darstellen könne, mit der er dieses Datum im Sinne der DSGVO „offensichtlich öffentlich gemacht“ habe. Er weist darauf hin, dass Daten über die sexuelle Orientierung zwar in die Kategorie besonders geschützter Daten fielen, für die ein Verarbeitungsverbot gelte, doch gelte dieses Verbot dann nicht, wenn diese Daten von der betroffenen Person offensichtlich öffentlich gemacht worden seien. Eine solche Stellungnahme erlaube jedoch für sich genommen nicht die Verarbeitung zum Zweck der personalisierten Werbung.

Das Ergebnis der Schlussantraäge:
1. Art. 5 Abs. 1 Buchst. c der Verordnung (EU) 2016/679 des Europäischen Parlaments und des Rates vom 27. April 2016 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten, zum freien Datenverkehr und zur Aufhebung der Richtlinie 95/46/EG (Datenschutz-Grundverordnung) ist dahin auszulegen,

– dass er der Verarbeitung personenbezogener Daten für Zwecke der zielgerichteten Werbung ohne Einschränkung nach Zeit oder Art der Daten entgegensteht und

– dass es Sache des vorlegenden Gerichts ist, unter Berücksichtigung der Umstände des Einzelfalls und unter Anwendung des Grundsatzes der Verhältnismäßigkeit zu beurteilen, inwieweit der Zeitraum der Speicherung der Daten und die Menge der verarbeiteten Daten im Hinblick auf das legitime Ziel der Verarbeitung dieser Daten für Zwecke der personalisierten Werbung gerechtfertigt sind.

2. Art. 5 Abs. 1 Buchst. b in Verbindung mit Art. 9 Abs. 2 Buchst. e der Verordnung 2016/679 ist dahin auszulegen,

– dass eine Äußerung über die eigene sexuelle Orientierung für die Zwecke einer öffentlichen Podiumsdiskussion zwar eine Handlung darstellen kann, mit der die betroffene Person dieses Datum im Sinne von Art. 9 Abs. 2 Buchst. e dieser Verordnung „offensichtlich öffentlich gemacht“ hat, jedoch für sich genommen nicht die Verarbeitung dieser Daten oder anderer Daten zur sexuellen Orientierung dieser Person für Zwecke der Aggregation und Analyse von Daten zum Zweck der personalisierten Werbung erlaubt.

Die vollständigen Schlussanträge finden Sie hier:

LG Kiel
Urteil vom 04.04.2024
13 O 40/23

Das LG Kiel hat vorliegend die Klage eines Abgeordneten gegen Meta / Facebook wegen der automatisierten Kontrolle von Facebook-Messenger-Chatverläufen auf illegale Inhalte als unzulässig abgewiesen (fehlende internationale Zuständigkeit und zu unbestimmter Antrag).

Aus den Entscheidungsgründen:
1. Das Landgericht Kiel ist international nicht zuständig.

Eine Zuständigkeit folgt bereits nicht aus Art. 7 Nr. 2 EuGVVO. Danach kann eine Person, die ihren Wohnsitz im Hoheitsgebiet eines Mitgliedstaates hat, in einem anderen Mitgliedstaat u.a. dann, wenn eine Handlung, die einer unerlaubten Handlung gleichgestellt ist vor dem Gericht des Ortes, an dem das schädigende Ereignis eingetreten ist, verklagt werden. Diese Voraussetzungen sind vorliegend nicht erfüllt.
Zwar hat die Beklagte ihren Sitz im Hoheitsgebiet eines Mitgliedstaates, nämlich in Irland. Denn gemäß Art. 63 Abs. 1 Buchst. a), Abs. 2 EuGVVO haben Gesellschaften und juristische Personen für die Anwendung der Verordnung ihren Wohnsitz an dem Ort, an dem sich u.a. ihr satzungsmäßiger Sitz befindet.

Allerdings liegt der Ort des Eintritts des schädigenden Ereignisses nicht im Gerichtsbezirk des Landgerichts Kiel, sondern am Ort des Interessenmittelpunktes des Klägers in Brüssel. Der Begriff des Anknüpfungspunktes, der Ort, „an dem das schädigende Ereignis eingetreten ist oder einzutreten droht“ ist, wie der Begriff der unerlaubten Handlung, autonom auszulegen. International zuständig nach Art. 7 Nr. 2 EuGVVO ist das Gericht des Ortes, an dem das schädigende Ereignis eingetreten ist oder einzutreten droht. Das schädigende Ereignis i.S.d. Nr. 2 ist sowohl der Ort der Verwirklichung des Schadenserfolgs als auch der Ort des für den Schaden ursächlichen Geschehens (vgl. BeckOK ZPO/Thode, 51. Ed. 1.12.2023, Brüssel Ia-VO Art. 7 Rn. 81, 82 mwN). Der Erfolgsort liegt dort, wo das geschützte Rechtsgut tatsächlich oder voraussichtlich verletzt wird, d.h. an dem Ort, an dem „die schädigenden Auswirkungen des haftungsauslösenden Ereignisses zu Lasten des Betroffenen eintreten“ (vgl. EuGH EuZW 1995, 248 Rn. 28 – Shevill und andere/Presse Alliance). Der Ort der mittelbaren Folgeschäden ist für die Zuständigkeitsbegründung gem. Nr. 2 nicht relevant. Bei Internetdelikten, insbesondere bei Persönlichkeitsrechtsverletzungen im Internet ist Erfolgsort der Ort des Interessenmittelpunktes (vgl. BeckOK IT-Recht/Rühl, 12. Ed. 1.10.2023, VO (EU) Nr. 1215/2012 Art. 7 Rn. 15). Der Ort, an dem eine Person den Mittelpunkt ihrer Interessen hat, entspricht im Allgemeinen ihrem gewöhnlichen Aufenthalt. Jedoch kann eine Person den Mittelpunkt ihrer Interessen auch in einem anderen Mitgliedstaat haben, in dem sie sich nicht gewöhnlich aufhält, sofern andere Indizien wie die Ausübung einer beruflichen Tätigkeit einen besonders engen Bezug zu diesem Staat herstellen können (EuGH, NJW 2012, 137 Rn. 49).

Der Kläger hat schon nicht darzulegen vermocht, dass sein Interessenmittelpunkt im Gerichtsbezirk des Landgerichts Kiel liegt. Auch der nach dem Hinweis der Kammer im Termin zur mündlichen Verhandlung vom 01.02.2024 erfolgte weitere Vortrag des Klägers, er habe in Kiel eine Eigentumswohnung sowie familiäre Beziehungen, ist vorliegend nicht ausreichend, um den Interessenmittelpunkt, nach den dargestellten Maßstäben, des Klägers in Kiel zu begründen. Vielmehr bestimmt sich der Interessenmittelpunkt des Klägers aufgrund seiner Tätigkeit als Abgeordneter im Europäischen Parlament in Brüssel. Die berufliche Tätigkeit des Klägers als Abgeordneter bestimmt im Wesentlichen seinen derzeitigen Aufenthaltsort. So unterhält der Kläger ebenfalls eine Wohnung in Brüssel, um seiner parlamentarischen Arbeit nachgehen zu können. Dass der Kläger in Brüssel keine Familie hat, ist insofern für die Entscheidung über den tatsächlichen Interessenmittelpunkt unerheblich.

Selbst wenn man diesen Vortrag für ausreichend erachten würde, wäre der Kläger insofern beweisfällig geblieben. Denn er hat auch auf den Hinweis der Kammer im Termin zur mündlichen Verhandlung vom 01.02.2024 keinen Beweis angeboten.

Eine internationale Zuständigkeit des Landgerichts Kiel folgt auch nicht aus Art. 17 Abs. 1, 18 EuGVVO. Nach Art. 17 Abs. 1 lit. c) EUGVVO bestimmt sich die Zuständigkeit unbeschadet des Artikels 6 und des Artikels 7 Nr. 5 nach diesem Abschnitt (heißt hier: Art. 18 EuGVVO), wenn ein Vertrag oder Ansprüche aus einem Vertrag, den eine Person, der Verbraucher, zu einem Zweck geschlossen hat, der nicht der beruflichen oder gewerblichen Tätigkeit dieser Person zugerechnet werden kann, Gegenstand des Verfahren sind und wenn der andere Vertragspartner in dem Mitgliedstaat, in dessen Hoheitsgebiet der Verbraucher seinen Wohnsitz hat, eine berufliche oder gewerbliche Tätigkeit ausübt oder eine solche auf irgendeinem Wege auf diesen Mitgliedstaat oder auf mehrere Staaten ausrichtet und der Vertrag in den Bereich dieser Tätigkeit fällt. Diese Voraussetzungen liegen nicht vor.

Der Kläger hat nicht als Verbraucher den Vertrag mit der Beklagten geschlossen. Der Verbraucherbegriff ist eng auszulegen und anhand der Stellung dieser Person innerhalb des konkreten Vertrags in Verbindung mit dessen Natur und Zielsetzung und nicht anhand ihrer subjektiven Stellung zu bestimmen (EuGH, NJW 2018, 1003 Rn. 29).

Bei Verträgen, die sowohl privaten als auch beruflichen oder gewerblichen Zwecken dienen, liegt kein Verbrauchergeschäft vor, es sei denn, der beruflich-gewerbliche Zweck ist derart nebensächlich, dass er im Gesamtzusammenhang des betreffenden Geschäfts nur eine ganz untergeordnete Rolle spielt (EuGH NJW 05, 653; Mankowski IPRax 05, 503). Vorliegend hat der Kläger die streitgegenständliche F-Seite „X“ im Januar 2019 aus Anlass seiner Kandidatur zur Europawahl 2019 für Wahlkampfzwecke eingerichtet. Die Einrichtung der F-Seite und damit auch die Nutzung des F-Messengers diente hiernach ausschließlich beruflichen Zwecken des Klägers.

Entgegen der Auffassung des Klägers stellt seine Tätigkeit als Abgeordneter auch eine berufliche Tätigkeit dar. Von Art. 17 EuGVVO werden nach ständiger Rechtsprechung des EuGH nur Verträge erfasst, die eine Einzelperson ohne Bezug zu einer beruflichen oder gewerblichen Tätigkeit oder Zielsetzung und unabhängig von einer solchen allein zu dem Zweck schließt, ihren Eigenbedarf beim privaten Verbrauch zu decken (EuGH, EuZW 2022, 1061 Rn. 53, beck-online). Es ist entgegen der Auffassung des Klägers auch nicht danach zu unterscheiden, ob es sich bei der beruflichen oder gewerblichen Tätigkeit um eine selbständige Tätigkeit oder eine abhängige Beschäftigung handelt. Es ist lediglich zu ermitteln, ob der Vertrag ohne Bezug zu einer beruflichen oder gewerblichen Tätigkeit oder Zielsetzung und unabhängig von einer solchen geschlossen worden ist (EuGH, EuZW 2022, 1061 Rn. 54, beck-online). Hierbei sind insbesondere die mit dem Abschluss dieses Vertrags verfolgten gegenwärtigen oder zukünftigen Ziele zu berücksichtigen (EuGH, EuZW 2023, 420 Rn. 28).

Diesen Grundsätzen zufolge ist der streitgegenständliche Vertrag ausschließlich im Zusammenhang mit den beruflichen bzw. politischen Interessen des Klägers und seiner Tätigkeit als Abgeordneter abgeschlossen worden. Der Kläger nutzt die F-Seite unstreitig ausschließlich zu diesen beruflichen Zwecken. Auch die Einrichtung der F-Seite erfolgte einzig zu Wahlkampfzwecken im Hinblick auf die Europawahl im Mai 2019.

2. Darüber hinaus ist der Klageantrag nicht hinreichend bestimmt i.S.d. § 253 Abs. 2 Nr. 2 Alt. 2 ZPO. Unterlassungsanträge müssen so konkret gefasst sein, dass bei einer Rechtsverteidigung und der Vollstreckung klar ist, worauf sich das Verbot erstreckt (vgl. Greger in: Zöller, Zivilprozessordnung, 35. Auflage 2024, § 253 ZPO, Rn. 13b).

Dabei genügt die bloße Wiedergabe unbestimmter Tatbestandsmerkmale der verletzten Rechtsnorm in der Regel nicht (vgl. BGH, Urteil vom 4. Oktober 2007 – I ZR 143/04 –, Rn. 14, juris; BGH, Urteil vom 12. März 2020 – I ZR 126/18 –, BGHZ 225, 59-90, Rn. 39, juris).

Unter Berücksichtigung dieser Grundsätze genügt der vom Kläger gestellte Unterlassungsantrag dem Bestimmtheitserfordernis des § 253 Abs. 2 Nr. 2 Alt. 2 ZPO nicht.

Der Unterlassungsantrag bezieht sich verallgemeinert darauf es zu unterlassen, „den Inhalt und die näheren Umstände von mittels „F-Messenger“ versandten Nachrichten von und an den Kläger zur Suche nach möglicherweise rechtswidrigen Inhalten oder Kontaktaufnahmen automatisiert zu analysieren, zu kontrollieren und an Dritte weiterzugeben“. Dieser Antrag gibt lediglich formelhaft die Voraussetzungen des § 3 Abs. 3 TTDSG in verallgemeinerter Form wieder, ohne dabei konkret auf das begehrte Verbot einzugehen. Wie der Kläger mit Schriftsatz vom 27.02.2024 (Bl. 325 f. d.A.) klargestellt hat, begehrt er das Unterlassen einer allgemeinen Kontrolle/Analyse und Weitergabe seiner Nachrichten und gerade nicht nur im Hinblick auf kinderpornografische Inhalte (sog. CSAM). Wie eine anderweitige Kontrolle der Beklagten indes aussehen soll, trägt der Kläger nicht vor.

Insoweit genügt der Antrag gerade nicht noch den Bestimmtheitserfordernissen des § 253 Abs. 2 Nr. 2 ZPO. Dies ist wäre dann der Fall, wenn der Kläger hinreichend deutlich macht, dass er nicht ein Verbot im Umfang des Gesetzeswortlauts beansprucht, sondern sich mit seinem Unterlassungsbegehren an der konkreten Verletzungshandlung orientiert. Die Bejahung der Bestimmtheit setzt in solchen Fällen allerdings grundsätzlich voraus, dass sich das mit dem selbst nicht hinreichend klaren Antrag Begehrte im Tatsächlichen durch Auslegung unter Heranziehung des Sachvortrags des Klägers eindeutig ergibt und die betreffende tatsächliche Gestaltung zwischen den Parteien nicht in Frage gestellt ist, sondern sich der Streit der Parteien ausschließlich auf die rechtliche Qualifizierung der angegriffenen Verhaltensweise beschränkt (BGH, GRUR 2017, 537 Rn. 12 - Konsumgetreide, mwN; BGH, Urteil vom 12. März 2020 – I ZR 126/18 –, BGHZ 225, 59-90, Rn. 39). Diese Voraussetzungen sind vorliegend nicht erfüllt. Auch unter Heranziehung des Sachvortrags des Klägers ist nicht ersichtlich, welche Verhaltensweise der Kläger von der Beklagten tatsächlich begehrt.

3. Darüber hinaus fehlt es dem Kläger auch an einem erforderlichen Rechtsschutzbedürfnis. Mit dem Erfordernis des Rechtsschutzbedürfnisses als Einschränkung des durch Art. 20 Abs. 3 GG iVm Art. 2 Abs. 1 GG verfassungsrechtlich abgesicherten Justizgewährleistungsanspruchs (lediglich) soll verhindert werden, dass die Gerichte als Teil der Staatsgewalt unnütz oder gar unlauter bemüht werden oder ein gesetzlich vorgesehenes Verfahren zur Verfolgung zweckwidriger und insoweit nicht schutzwürdiger Ziele ausgenutzt wird. Es sollen solche Klagebegehren nicht in das Stadium der Begründetheitsprüfung gelangen, die – gemessen am Zweck des Zivilprozesses – ersichtlich eines staatlichen Rechtsschutzes durch eine materiell-rechtliche Prüfung nicht bedürfen (vgl. BGH, NJW-RR 2022, 660 Rn. 16).

Vorliegend fehlt es an diesen Voraussetzungen.

Zum einen kann der Kläger seine von ihm aufgeführten Interessen effektiver und schneller durchsetzen, indem er in den Chats manuell die „Ende-zu-Ende“- Verschlüsselung aktiviert (vgl. OLG Hamm, GRUR 2023, 1791 Rn. 217 f.). Eine Kontrolle der Nachrichten auf kinderpornografische Inhalte ist insofern nach dem übereinstimmenden Parteivortrag nicht mehr möglich.

Zum anderen geht es dem Kläger vorliegend nicht um den Schutz seiner Individualinteressen, sondern um die Durchsetzung einer politischen Kampagne. Dies kann indes nicht im Rahmen eines Zivilprozesses verfolgt werden.

Den Volltext der Entscheidung finden Sie hier:

EuGH-Generalanwalt
Schlussanträge vom 11.04.2024
C-768/2
Land Hessen (Handlungspflicht der Datenschutzbehörde)

Der EuGH-Generalanwalt kommt in seinen Schlussanträgen zu dem Ergebnis, dass eine Datenschutzbehörde grundsätzlich tätig werden muss, wenn sie bei der Prüfung einer Beschwerde einen DSGVO-Verstoß feststellt.

Ergebnis der Schlussanträge:
Nach alledem schlage ich dem Gerichtshof vor, die Vorlagefrage des Verwaltungsgerichts Wiesbaden (Deutschland) wie folgt zu beantworten:

Art. 57 Abs. 1 Buchst. a und f sowie Art. 58 Abs. 2 Buchst. a bis j in Verbindung mit Art. 77 Abs. 1 der Verordnung (EU) 2016/679 des Europäischen Parlaments und des Rates vom 27. April 2016 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten, zum freien Datenverkehr und zur Aufhebung der Richtlinie 95/46/EG (Datenschutz-Grundverordnung)

sind dahin auszulegen, dass

die Aufsichtsbehörde, wenn sie eine Datenverarbeitung feststellt, die in die Rechte der betroffenen Person eingreift, verpflichtet ist, gemäß Art. 58 Abs. 2 der Verordnung 2016/679 einzuschreiten, soweit dies erforderlich ist, um die vollständige Beachtung dieser Verordnung zu gewährleisten. In diesem Zusammenhang hat sie unter Berücksichtigung der konkreten Umstände des jeweiligen Einzelfalls das geeignete, erforderliche und verhältnismäßige Mittel auszuwählen, um insbesondere den Rechtsverstoß zu beheben und die Rechte der betroffenen Person durchzusetzen

Die Pressemitteilung des EuGH:
Schutz personenbezogener Daten: Nach Ansicht von Generalanwalt Pikamäe ist die Aufsichtsbehörde zum Einschreiten verpflichtet, wenn sie bei der Prüfung einer Beschwerde einen Verstoß feststellt.

Die Entscheidung über die zu ergreifende Abhilfemaßnahme hänge jedoch von den konkreten Umständen des jeweiligen Einzelfalls ab

Ein Kunde einer Sparkasse ersuchte den Hessischen Beauftragten für Datenschutz und Informationsfreiheit (Deutschland), gegen die Sparkasse wegen einer Verletzung des Schutzes seiner personenbezogenen Daten einzuschreiten. Eine Mitarbeiterin der Sparkasse hatte nämlich mehrmals unbefugt auf seine Daten zugegriffen.

Der Datenschutzbeauftragte stellte eine Verletzung des in der Datenschutz-Grundverordnung (DSGVO) vorgesehenen Datenschutzes fest . Er kam jedoch zu dem Ergebnis, dass ein Einschreiten gegen die Sparkasse nicht geboten sei, da diese gegen die betreffende Mitarbeiterin bereits Disziplinarmaßnahmen ergriffen habe.

Der Kunde geht gegen diese Weigerung bei einem deutschen Gericht vor und beantragt, den Datenschutzbeauftragten zum Einschreiten gegen die Sparkasse zu verpflichten. Er macht u. a. geltend, dass der Datenschutzbeauftragte gegen die Sparkasse Bußgelder hätte verhängen müssen.

Das deutsche Gericht hat den Gerichtshof zu den Befugnissen und Pflichten des Datenschutzbeauftragten als „Aufsichtsbehörde“ im Sinne der DSGVO befragt.

Nach Ansicht von Generalanwalt Pikamäe ist die Aufsichtsbehörde zum Einschreiten verpflichtet, wenn sie bei der Prüfung einer Beschwerde eine Verletzung des Schutzes personenbezogener Daten feststelle. Insbesondere habe sie die Abhilfemaßnahme(n) zu ermitteln, die zur Behebung des Verstoßes und zur Durchsetzung der Rechte der betroffenen Person am besten geeignet sei bzw. seien.

In diesem Zusammenhang räume die DSGVO der Aufsichtsbehörde zwar ein gewisses Ermessen ein, verlange jedoch, dass die Maßnahmen geeignet, erforderlich und verhältnismäßig seien. Daraus ergebe sich zum einen, dass das Ermessen bei der Wahl der Mittel beschränkt sei, wenn der erforderliche Schutz nur durch ganz bestimmte Maßnahmen gewährleistet werden könne, und zum anderen, dass die Aufsichtsbehörde unter bestimmten Voraussetzungen auf die Maßnahmen nach der DSGVO verzichten dürfe, wenn dies durch die besonderen Umstände des Einzelfalls gerechtfertigt sei. Dies könne insbesondere dann der Fall sein, wenn der Verantwortliche bestimmte Maßnahmen aus eigener Initiative ergriffen habe. Jedenfalls habe die betroffene Person keinen Anspruch auf Erlass einer bestimmten Maßnahme . Diese Grundsätze gälten auch für die Geldbußenregelung.

Die vollständigen Schlussanträge finden Sie hier:

BGH
Urteil vom 05.03.2024
VI ZR 330/21
DSGVO Art. 15 Abs. 3

Der BGH hat sich in dieser Entscheidung mit der Reichweite des Begriffs "Kopie der personenbezogenen Daten" im Sinne von Art. 15 Abs. 3 DSGVO befasst.

Leitsatz des BGH:
Zum Begriff "Kopie der personenbezogenen Daten" in Art. 15 Abs. 3 DSGVO.

BGH, Urteil vom 5. März 2024 - VI ZR 330/21 - OLG München - LG München I

Aus den Entscheidungsgründen:
b) Art. 15 Abs. 1 DSGVO gibt der betroffenen Person gegenüber dem datenschutzrechtlich Verantwortlichen (Art. 4 Nr. 7 DSGVO) ein Auskunftsrecht über die Verarbeitung personenbezogener Daten. Art. 15 Abs. 3 DSGVO legt die praktischen Modalitäten für die Erfüllung der dem datenschutzrechtlich Verantwortlichen obliegenden Verpflichtung fest, indem er unter anderem die Form bestimmt, in der die personenbezogenen Daten zur Verfügung zu stellen sind, nämlich in Form einer "Kopie" der Daten, gewährt aber kein anderes Recht als das in Art. 15 Abs. 1 DSGVO vorgesehene (vgl. EuGH, Urteil vom 4. Mai 2023 - C-487/21, NJW 2023, 2253 Rn. 31 f.). Auf dieser Grundlage hat die Klägerin nur Anspruch auf Überlassung von Kopien der von ihr verfassten, bei den Beklagten vorhandenen Schreiben und E-Mails.

aa) Gemäß Art. 4 Nr. 1 DSGVO sind personenbezogene Daten alle Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person ("betroffene Person") beziehen. Nach der Rechtsprechung des Gerichtshofs der Europäischen Union ist der Begriff weit zu verstehen. Er ist nicht auf sensible oder private Informationen beschränkt, sondern umfasst potenziell alle Arten von Informationen sowohl objektiver als auch subjektiver Natur, unter der Voraussetzung, dass es sich um Informationen über die in Rede stehende Person handelt. Die letztgenannte Voraussetzung ist erfüllt, wenn die Information aufgrund ihres Inhalts, ihres Zwecks oder ihrer Auswirkungen mit einer bestimmten Person verknüpft ist (vgl. EuGH, Urteil vom 4. Mai 2023 - C-487/21, NJW 2023, 2253 Rn. 23 f.; Senatsurteil vom 15. Juni 2021 - VI ZR 576/19, NJW 2021, 2726 Rn. 22 mwN).

Nach diesen Grundsätzen sind - wovon das Berufungsgericht zu Recht ausgegangen ist - Schreiben der betroffenen Person an den Verantwortlichen ihrem gesamten Inhalt nach als personenbezogene Daten einzustufen, da die personenbezogene Information bereits darin besteht, dass die betroffene Person sich dem Schreiben gemäß geäußert hat, umgekehrt aber Schreiben des Verantwortlichen an die betroffene Person nur insoweit, als sie Informationen über die betroffene Person nach den oben genannten Kriterien enthalten (vgl. Senatsurteile vom 6. Februar 2024 - VI ZR 15/23, zVb; vom 15. Juni 2021 - VI ZR 576/19, NJW 2021, 2726 Rn. 25; BGH, Urteil vom 27. September 2023 - IV ZR 177/22, NJW 2023, 3490 Rn. 48). Dass diese Schreiben der betroffenen Person bereits bekannt sind, schließt den datenschutzrechtlichen Auskunftsanspruch nicht aus (vgl. Senatsurteil vom 15. Juni 2021 - VI ZR 576/19, NJW 2021, 2726 Rn. 25 mwN).

bb) Mit ihrem vom Berufungsgericht zuerkannten Antrag verlangt die Klägerin - wie erläutert -, ihr eine Abschrift von Telefonnotizen, Aktenvermerken, Gesprächsprotokollen, E-Mails, Briefen und Zeichnungsunterlagen für Kapitalanlagen zu überlassen, in denen personenbezogene Daten der Klägerin enthalten sind, die die Beklagten verarbeiten. Nach den Ausführungen unter aa) handelt es sich zwar bei den von der Klägerin verfassten Schreiben und E-Mails, die den Beklagten vorliegen, ihrem gesamten Inhalt nach um personenbezogene Daten, weshalb die Klägerin im Ergebnis nach Art. 15 Abs. 3 DSGVO eine Kopie dieser Schreiben und E-Mails fordern kann, auch wenn sich der Begriff der Kopie in dieser Vorschrift nicht auf ein Dokument als solches bezieht, sondern auf die personenbezogenen Daten, die es enthält (vgl. EuGH, Urteile vom 26. Oktober 2023 - C-307/22, NJW 2023, 3481 Rn. 72; vom 4. Mai 2023 - C-487/21, NJW 2023, 2253 Rn. 32). Denn die Kopie muss alle personenbezogenen Daten enthalten, die Gegenstand der Verarbeitung sind (EuGH, Urteile vom 26. Oktober 2023 - C-307/22, NJW 2023, 3481 Rn. 73; vom 4. Mai 2023 - C-487/21, NJW 2023, 2253 Rn. 32, 39). Der Vollständigkeit der Auskunft kann hier nur durch eine Kopie des gesamten Dokuments genügt werden.

Demgegenüber handelt es sich - entgegen der Ansicht des Berufungsgerichts - weder bei Schreiben und E-Mails der Beklagten, noch bei Telefonnotizen, Aktenvermerken oder Gesprächsprotokollen der Beklagten und auch nicht bei Zeichnungsunterlagen für Kapitalanlagen zwangsläufig in ihrer Gesamtheit um personenbezogene Daten der Klägerin, auch wenn sie Informationen über die Klägerin enthalten. Zwar ist bei internen Vermerken wie Telefonnotizen oder Gesprächsprotokollen, die festhalten, wie sich die Klägerin telefonisch oder in persönlichen Gesprächen äußerte, denkbar, dass der Vermerk ausschließlich Informationen über die Klägerin enthält. Es kann jedoch nicht davon ausgegangen werden, dass dies in allen Fällen so ist. Deshalb ergibt sich aus dem Erfordernis, eine vollständige Auskunft über personenbezogene Daten zu erteilen, kein Anspruch der Klägerin darauf, dass - wie von ihr gefordert - alle diese Dokumente im Gesamten als Kopie zu überlassen sind. Zwar kann sich die Reproduktion von Auszügen aus Dokumenten oder gar von ganzen Dokumenten oder auch von Auszügen aus Datenbanken unabhängig vom Erfordernis, eine vollständige Auskunft zu erteilen, dann als unerlässlich erweisen, wenn die Kontextualisierung der verarbeiteten Daten erforderlich ist, um ihre Verständlichkeit zu gewährleisten und der betroffenen Person die wirksame Ausübung ihrer Rechte zu gewährleisten (vgl. EuGH, Urteile vom 4. Mai 2023 - C-487/21, NJW 2023, 2253 Rn. 41, 45; vom 22. Juni 2023 - C-579/21, NJW 2023, 2555 Rn. 66; vom 26. Oktober 2023 - C-307/22, NJW 2023, 3481 Rn. 74 f.; Senatsurteil vom 6. Februar 2024 - VI ZR 15/23, zVb; BGH, Urteil vom 27. September 2023 - IV ZR 177/22, NJW 2023, 3490 Rn. 51 ff.). Die Klägerin hat aber weder in den Vorinstanzen dazu vorgetragen noch ist sonst ersichtlich, dass die Kontextualisierung der verarbeiteten Daten erforderlich ist, um ihre Verständlichkeit zu gewährleisten, sodass ausnahmsweise die Übermittlung einer Kopie der geforderten Telefonnotizen, Aktenvermerke, Gesprächsprotokolle, E-Mails und Briefe der Beklagten sowie Zeichnungsunterlagen für Kapitalanlagen nötig wäre.

Den Volltext der Entscheidung finden Sie hier:

BGH
Beschluss vom 23.01.2024
II ZB 8/23
DSGVO Art. 17 Abs. 1, Art. 18 Abs. 1 Buchst. d, Art. 21 Abs. 1; HGB § 9 Abs. 1, § 10 Abs. 1, § 106 Abs. 1, Abs. 2 Nr. 2 Buchst. a, § 162 Abs. 1; HRV § 40 Nr. 5 Buchst. c

Der BGH hat entschieden, dass ein Kommanditist keinen Anspruch auf Löschung von Wohnort und Geburtsdatum aus dem Handelsregister nach Art . 17 Abs. 1 DSGVO hat.

Leitsätze des BGH:
a) Der Kommanditist hat keinen Anspruch aus Art. 17 Abs. 1 DS-GVO auf Löschung seines Geburtsdatums und seines Wohnorts im Handelsregister.

b) Der Kommanditist hat keinen Anspruch auf Einschränkung der Verarbeitung seines Geburtsdatums und seines Wohnorts durch das Registergericht aus Art. 18 Abs. 1 Buchst. d, Art. 21 Abs. 1 DS-GVO.

BGH, Beschluss vom 23. Januar 2024 - II ZB 8/23 - OLG Celle - AG Walsrode

Den Volltext der Entscheidung finden Sie hier:

BGH
Beschluss vom 23.01.2024
II ZB 7/23
DSGVO Art. 17 Abs. 1, Art. 18 Abs. 1 Buchst. d, Art. 21 Abs. 1; GmbHG § 7 Abs. 1, § 10 Abs. 1; HGB § 9 Abs. 1, § 10 Abs. 1; HRV § 24 Abs. 1, § 43 Nr. 4 Satz Buchst. b

Der BGH hat entschieden, dass ein GmbH-Geschäftsführer keinen Anspruch auf Löschung von Wohnort und Geburtsdatum aus dem Handelsregister nach Art . 17 Abs. 1 DSGVO hat.

Leitsätze des BGH:
a) Der Geschäftsführer einer GmbH hat keinen Anspruch aus Art. 17 Abs. 1 DS-GVO auf Löschung seines Geburtsdatums und seines Wohnorts im Handelsregister.

b) Der Wohnort des Geschäftsführers einer GmbH ist zur Eintragung in das Handelsregister anzumelden.

c) Ein Widerspruchsrecht gemäß Art. 21 Abs. 1 DS-GVO besteht nicht, wenn die Datenverarbeitung aufgrund von Art. 6 Abs. 1 Buchst. c DS-GVO zur Erfüllung einer rechtlichen Pflicht des Verantwortlichen erfolgt. Das gilt auch dann, wenn die Verarbeitung zugleich nach Art. 6 Abs. 1 Buchst. e DS-GVO erlaubt wäre. Auch ein Anspruch aus Art. 18 Abs. 1 Buchst. d DS-GVO auf Einschränkung der Verarbeitung besteht in diesem Fall nicht.

BGH, Beschluss vom 23. Januar 2024 - II ZB 7/23 - OLG Celle - AG Walsrode

Den Volltext der Entscheidung finden Sie hier:

BVerwG
Urteil vom 20.03.2024
6 C 8.22

Das BVerwG hat entschieden, dass die Speicherung der Postanschrift durch die Behörde bei einer Anfrage nach dem Informationsfreiheitsgesetz datenschutzkonform ist. Anonyme IFG-Anfragen sind nicht zulässig.

Die Pressemitteilung des Gerichts:
Verarbeitung der Postanschrift eines Antragstellers nach dem Informationsfreiheitsgesetz

Bei einer auf das Informationsfreiheitsgesetz (IFG) gestützten Anfrage ist die Verarbeitung der Postanschrift eines Antragstellers nach den Regelungen dieses Gesetzes in Verbindung mit § 3 Bundesdatenschutzgesetz (BDSG) zulässig. Dies hat das Bundesverwaltungsgericht in Leipzig entschieden.

Die Bundesrepublik Deutschland, vertreten durch das Bundesministerium des Innern, für Bau und Heimat (BMI), wandte sich gegen eine auf Art. 58 Abs. 2 Buchst. b Datenschutz-Grundverordnung (DSGVO) gestützte Verwarnung des beklagten Bundesbeauftragten für den Datenschutz und die Informationsfreiheit. Der Beanstandung lag ein Auskunftsersuchen eines Antragstellers zugrunde, welches dieser über eine Internetplattform per E-Mail an das BMI gerichtet hatte. Jene Plattform generiert E-Mail-Adressen, unter denen ein Antrag nach dem Informationsfreiheitsgesetz gestellt und die Kommunikation mit der Behörde abgewickelt werden kann. Das BMI hatte auf der Übermittlung der Anschrift des Antragstellers bestanden und ihm in einem per Post übermittelten Schreiben geantwortet. Daraufhin erließ der Beklagte eine Verwarnung mit der Begründung, die Postanschrift sei ohne rechtliche Grundlage abgefragt und unberechtigt verarbeitet worden.

Das Verwaltungsgericht Köln hat der Klage stattgegeben und die Verwarnung aufgehoben. Auf die Berufung des Beklagten hat das Oberverwaltungsgericht Münster das erstinstanzliche Urteil geändert und die Klage abgewiesen. Die Verwarnung sei rechtmäßig. Bei der Erhebung der Postanschrift habe es sich um einen Verarbeitungsvorgang gehandelt, für den § 3 BDSG eine Rechtsgrundlage biete. Allerdings seien die Voraussetzungen der Norm nicht erfüllt gewesen, weil es an der Erforderlichkeit der Datenerhebung gefehlt habe.

Auf die Revision der Klägerin hat das Bundesverwaltungsgericht das Urteil des Oberverwaltungsgerichts geändert und die Berufung zurückgewiesen. Die von der angegriffenen Verwarnung erfassten Datenverarbeitungen - die Erhebung der Anschrift, ihre Speicherung sowie die Verwendung - lassen sich auf § 3 BDSG in Verbindung mit den Regelungen des Informationsfreiheitsgesetzes stützen. § 3 BDSG stellt für Datenverarbeitungen von geringer Eingriffsintensität im Zusammenhang mit einem Auskunftsbegehren nach dem Informationsfreiheitsgesetz eine unionsrechtskonforme Rechtsgrundlage nach der Datenschutz-Grundverordnung dar. Nach Art. 6 Abs. 1 Unterabs. 1 Buchst. e DSGVO ist die Verarbeitung personenbezogener Daten durch eine öffentliche Stelle unter anderem dann zulässig, wenn sie zur Erfüllung der in der Zuständigkeit des Verantwortlichen liegenden Aufgabe erforderlich ist. Diese Vorschrift wird durch die Brückennorm des § 3 BDSG in Verbindung mit den Regelungen des Informationsfreiheitsgesetzes ausgefüllt. Die Erforderlichkeit verlangt die Prüfung, ob das von der öffentlichen Stelle verfolgte Ziel in zumutbarer Weise ebenso wirksam mit anderen Mitteln erreicht werden kann, die weniger stark in die Grundrechte des Betroffenen eingreifen. Zudem sind die Grundsätze der Zweckbindung und der Datenminimierung einzuhalten (Art. 5 Abs. 1 DSGVO).

Gemessen hieran war die Abfrage der Anschrift zur ordnungsgemäßen Bearbeitung des Auskunftsersuchens erforderlich. Nach dem Informationsfreiheitsgesetz sind anonyme Anträge unzulässig. Deshalb muss die Behörde den Namen und regelmäßig auch die Anschrift des Antragstellers kennen. Die Speicherung der Adresse war erforderlich, um sie für die Dauer der Bearbeitung des Antrags zu sichern. Auch die Verwendung der Anschrift für die Übersendung des ablehnenden Bescheides per Post war erforderlich. Das BMI durfte sich ermessensfehlerfrei für die Schriftform und die Bekanntgabe per Post entscheiden, obwohl der Antragsteller einen elektronischen Zugang gemäß § 3a Abs. 1 VwVfG eröffnet hatte. Bislang muss es ein Antragsteller in der Regel hinnehmen, dass die Behörde trotz eines eröffneten elektronischen Zugangs mit ihm auf dem Postweg kommuniziert.

BVerwG 6 C 8.22 - Urteil vom 20. März 2024

Vorinstanzen:
OVG Münster, OVG 16 A 857/21 - Urteil vom 15. Juni 2022 -
VG Köln, VG 13 K 1190/20 - Urteil vom 18. März 2021 -

OVG Lüneburg
Beschluss vom 23.01.2024
14 LA 1/24

Das OVG Lüneburg hat entschieden, dass eine Online-Apotheke bei Bestellungen nicht bei allen Produkten das Geburtsdatum des Kunden abfragen darf. Insofern liegt ein Verstoß gegen den Grundsatz der Datenminimierung vor.

Aus den Entscheidungsgründen:
II. Die Berufung gegen das angefochtene Urteil ist nicht zuzulassen, da die Voraussetzungen der von der Klägerin geltend gemachten Zulassungsgründe des § 124 Abs. 2 Nrn. 1 und 3 VwGO teilweise schon nicht in einer § 124a Abs. 4 Satz 4 VwGO genügenden Weise dargelegt sind und im Übrigen nicht vorliegen.

1. Die Berufung ist nicht wegen ernstlicher Zweifel an der Richtigkeit der angefochtenen Entscheidung nach § 124 Abs. 2 Nr. 1 VwGO zuzulassen.

Ernstliche Zweifel an der Richtigkeit der erstinstanzlichen Entscheidung im Sinne des § 124 Abs. 2 Nr. 1 VwGO sind zu bejahen, wenn der Rechtsmittelführer einen einzelnen tragenden Rechtssatz oder eine einzelne erhebliche Tatsachenfeststellung mit schlüssigen Gegenargumenten in Frage stellt (BVerfG, Beschl. v. 18.6.2019 - 1 BvR 587/17 -, juris Rn. 32 und v. 8.12.2009 - 2 BvR 758/07 -, juris Rn. 96). Die Richtigkeitszweifel müssen sich dabei auch auf das Ergebnis der Entscheidung beziehen; es muss also mit hinreichender Wahrscheinlichkeit anzunehmen sein, dass die Berufung zu einer Änderung der angefochtenen Entscheidung führen wird (vgl. BVerwG, Beschl. v. 10.3.2004 - 7 AV 4.03 -, juris Rn. 9). Eine den Anforderungen des § 124a Abs. 4 Satz 4 VwGO genügende Darlegung dieses Zulassungsgrundes erfordert, dass im Einzelnen unter konkreter Auseinandersetzung mit der verwaltungsgerichtlichen Entscheidung ausgeführt wird, dass und warum Zweifel an der Richtigkeit der Auffassung des erkennenden Verwaltungsgerichts bestehen sollen. Hierzu bedarf es regelmäßig qualifizierter, ins Einzelne gehender, fallbezogener und aus sich heraus verständlicher Ausführungen, die sich mit der angefochtenen Entscheidung auf der Grundlage einer eigenständigen Sichtung und Durchdringung des Prozessstoffes auseinandersetzen (vgl. NdsOVG, Beschl. v. 17.6.2015 - 8 LA 16/15 -, juris, Rn. 10; Seibert, in: Sodan/Ziekow, VwGO, 5. Aufl. 2018, § 124a Rn. 206 jeweils m.w.N.). Hat das Verwaltungsgericht seine Entscheidung auf mehrere selbstständig tragende Gründe gestützt, kann ein Berufungszulassungsantrag nur dann Erfolg haben, wenn für jedes der die Entscheidung des erstinstanzlichen Gerichts selbständig tragenden Begründungselemente ein Zulassungsgrund dargelegt worden ist und vorliegt (NdsOVG, Beschl. v. vom 28.6.2022 - 10 LA 234/20 -, juris Rn. 2; vgl. Niedersächsisches OVG, Beschl. v. 1.8.2022 - 10 LA 14/22 -, juris Rn. 3 m.w.N.).

Bei der Entscheidung über den Zulassungsgrund des § 124 Abs. 2 Nr. 1 VwGO ist das Oberverwaltungsgericht nicht auf die Berücksichtigung der Sach- und Rechtslage im Zeitpunkt der Entscheidung des Verwaltungsgerichts beschränkt. Da über § 128a VwGO hinaus eine Präklusion gesetzlich nicht vorgesehen ist, sind im Zulassungsverfahren alle dargelegten tatsächlichen Gesichtspunkte zu berücksichtigen, die für den Erfolg des angestrebten Rechtsmittels entscheidungserheblich sein können. Zu berücksichtigen sind sowohl neue Tatsachen als auch Tatsachen, die zwar bereits vorlagen, vom Verwaltungsgericht jedoch nicht berücksichtigt werden konnten, weil sie von den Beteiligten nicht vorgetragen und mangels entsprechender Anhaltspunkte auch nicht von Amts wegen zu ermitteln waren (Roth, in: BeckOK VwGO, Stand: 1.7.2023, § 124 Rn. 27 m.w.N.).

Nach diesem Maßstab begründen die Einwände der Klägerin keine ernstlichen Zweifel an der Richtigkeit der angefochtenen Entscheidung.

a) Die Klägerin trägt vor, um die ihr bei der Durchführung der Verträge (Art. 6 Abs. 1 Satz 1 lit. b) DSGVO) obliegenden Beratungs- und Informationspflichten aus § 20 Abs. 1 und 2 der Apothekenbetriebsordnung (ApBetrO) erfüllen zu können, sei es eine unabdingbare Voraussetzung, den Kunden bzw. Patienten zweifelsfrei zu identifizieren. Nur eine solche Identifikation stelle sicher, dass Kunden, welche beispielsweise rezeptpflichtige Medikamente und Nahrungsergänzungsmittel zusammen einnähmen, zur sachgerechten Anwendung und zu möglichen Wechselwirkungen beraten werden können. Dafür werde für jeden Kunden ein Arzneimitteldossier angelegt. Für eine einwandfreie Identifikation des Kunden und zur Verhinderung von Dubletten bedürfe sie neben dem Vor- und Nachnamen des Kunden zusätzlich dessen Geburtsdatum. Dieses stelle bei einer Namensgleichheit sicher, dass sie die verschiedenen Kunden hinreichend sicher unterscheiden könne.

Damit zieht die Klägerin die Annahmen des Verwaltungsgerichts nicht durchgreifend in Zweifel. Das Verwaltungsgericht hat zutreffend darauf hingewiesen, dass der Besteller und diejenige Person, für die das bestellte Produkt zur Anwendung bzw. Einnahme bestimmt ist, nicht identisch seien müssen. Dieses Argument greift auch, soweit mit der Beschwerdebegründung nunmehr erstmals geltend gemacht wird, dass das Geburtsdatum als Identifizierungskriterium erforderlich sei, um ein Arzneimitteldossier für den Kunden anlegen zu können. Nicht die eindeutige Identifizierung des Bestellers ist zur Erfüllung von Beratungspflichten notwendig, sondern die Kenntnis von derjenigen Person, die das bestellte Produkt anwenden bzw. einnehmen wird. Die Anlage eines Arzneimitteldossiers für den Besteller erscheint daher zur Erfüllung von Beratungs- und Informationspflichten bereits nicht geeignet. Mit dieser schon vom Verwaltungsgericht aufgezeigten Problematik setzt sich die Beschwerdebegründung nicht auseinander. Ob bzw. unter welchen Voraussetzungen die Anlage eines Arzneimitteldossiers überhaupt datenschutzrechtlich zulässig ist, ist nicht Gegenstand des vorliegenden Verfahrens.

Davon abgesehen legt die Beschwerde auch nicht dar, warum das Geburtsdatum zur Identifizierung des Bestellers bei Namensgleichheit erforderlich sein soll. Die Klägerin verfügt auch über die Anschrift sowie die Telefonnummer des Bestellers, es wird nicht erläutert und ist auch nicht ersichtlich, warum mit diesen Daten nicht bereits eine hinreichend sichere Identifizierung namensgleicher Kunden möglich sein soll. Etwas anderes ergibt sich auch nicht aus der von der Klägerin zitierten Entscheidung des OLG München (Urt. v. 28.9.2006 - 29 U 2769/06). Die Entscheidung, die noch zum alten Recht erging, betraf ein Unternehmen, das ein Kundenbindungs- und Rabattsystem mit über 30 Millionen Kunden betrieb. Ein solches Unternehmen ist mit einer Versandapotheke bereits nicht vergleichbar; es verfügt schon nicht zwingend über die aktuelle Anschrift und Telefonnummer seiner Kunden.

Ergänzend wird zudem darauf hingewiesen, dass Versandapotheken zur Erfüllung ihrer Beratungspflicht den Kunden zur Angabe einer Telefonnummer auffordern müssen, unter der er durch pharmazeutisches Personal der Apotheke telefonisch und ohne zusätzliche Gebühren beraten werden kann (§ 17 Abs. 2a Satz 1 Nr. 7 ApBetrO). Sie haben damit die Möglichkeit, über diese Telefonnummer Kontakt zum Kunden aufzunehmen und in diesem Rahmen die für die konkrete Beratung erforderlichen Daten jeweils zu erfragen.

b) Auch soweit die Klägerin geltend macht, die Verarbeitung des Merkmals "Geburtsdatum" sei zur Feststellung der Geschäftsfähigkeit der Kunden erforderlich, zeigt sie keine ernstlichen Zweifel an der Entscheidung des Verwaltungsgerichts auf.

Das Verwaltungsgericht hat dazu ausgeführt, dass für diesen Zweck als milderes Mittel die einfache Abfrage der Volljährigkeit genüge. Damit setzt sich das Beschwerdevorbringen nicht hinreichend auseinander. Es ist auch nicht ersichtlich, dass die Abfrage der Volljährigkeit zu dem Zweck, die Geschäftsfähigkeit des Kunden zu prüfen, weniger geeignet ist. Anhaltspunkte dafür, dass bei dieser Abfrageart die Hemmschwelle, unwahre Angaben zu machen, geringer ist, als wenn das gesamte Geburtsdatum abgefragt wird, trägt die Klägerin weiterhin nicht vor und sind auch nicht ersichtlich. Eine Altersprüfung über die Angabe des Geburtsdatums bzw. eine Checkbox bietet im Übrigen ohnedies nicht die Gewähr der Richtigkeit der Angaben. Die Eignung der Abfrage ist daher ohnehin zweifelhaft.

c) Soweit die Klägerin geltend macht, die Verarbeitung des Merkmals "Geburtsdatum" sei zur Erfüllung von Rückabwicklungs- und Gewährleistungsansprüchen erforderlich, legt sie dies schon nicht hinreichend substantiiert dar. Es bleibt unklar, warum im Falle von Rückabwicklungs- und Gewährleistungsansprüchen ohne die Angabe eines Geburtsdatums der Vertragspartner, von dem Name, Anschrift und Telefonnummer bekannt sind, nicht hinreichend identifizierbar sein soll.

d) Auch das Vorbringen der Klägerin, die Verarbeitung des Geburtsdatums sei zur Erfüllung einer rechtlichen Verpflichtung (Art. 6 Abs. 1 Satz 1 lit. c) DSGVO) erforderlich, um Kunden, die ihre Rechte aus den Art. 15 ff. DSGVO geltend machten, hinreichend klar zu identifizieren, begründet keine ernstlichen Zweifel an der Entscheidung des Verwaltungsgerichts.

Art. 12 Abs. 6 DSGVO gestattet dem Verantwortlichen, sofern er begründete Zweifel an der Identität der natürlichen Person hat, die den Antrag gemäß den Artikeln 15 bis 21 stellt, zusätzliche Informationen anzufordern, die zur Bestätigung der Identität der betroffenen Person erforderlich sind. Eine routinemäßige Identitätsprüfung, die es dem Verantwortlichen ermöglicht, generell die Vorlage eines Identitätsnachweises zu verlangen, ist hiervon nicht erfasst. Ein Verantwortlicher sollte Identifizierungsdaten daher nicht allein zu dem Zweck speichern, auf mögliche Auskunftsersuchen reagieren zu können (Erwägungsgrund 64 Satz 2 der DSGVO; vgl. auch Greve, in: Sydow/Marsch, DSGVO, 3. Aufl. 2022, Art. 12 Rn. 30 m.w.N.). Die Klägerin kann daher nicht das Geburtsdatum sämtlicher Kunden erheben, um dieses im Falle eines Auskunftsersuchens zur im Einzelfall erforderlichen Identitätsprüfung nutzen zu können.

Aus dem von der Klägerin zitierten Urteil des Landgerichts Bonn (Urt. v. 11.11.2020 - 29 OWi 1/20 -, juris) ergibt sich im Übrigen lediglich, dass die Angabe des Namens und des Geburtsdatums zur Authentifizierung bei einem Telefonanbieter nicht ausreichend sind. Auch aus der angeführten Entscheidung des Bundesgerichtshofs (Urt. v. 16. Juli 2008 - VIII ZR 348/06 -, juris) folgt nichts anderes. Das Urteil knüpft an das zitierte Urteil des OLG München an und stellt (ebenfalls nach altem Recht) fest, dass angesichts der Vielzahl der Teilnehmer am Payback-Programm eine praktikable und gleichzeitig sichere Methode der Identifizierung der Programmteilnehmer zu den Vertragszwecken gehöre. Die Angabe des vollständigen Geburtsdatums sei bei einem Bonusprogramm, welches nach den Feststellungen des Berufungsgerichts rund dreißig Millionen Teilnehmer habe, zur Vermeidung von Identitätsverwechselungen in besonderer Weise geeignet. Dies ist - wie bereits ausgeführt - nicht auf die Bedürfnisse einer Versandapotheke übertragbar.

e) Schließlich wendet die Klägerin ein, die Verarbeitung des Geburtsdatums des Kunden sei auch auf Grundlage eines überwiegenden berechtigten Interesses nach Art. 6 Abs. 1 Satz 1 lit. f) DSGVO rechtmäßig. Das berechtigte Interesse ergebe sich aus der Notwendigkeit, dieses im Rahmen der Durchsetzung offener Forderungen gegen säumige Kunden verarbeiten zu müssen. Insbesondere bei der Einschaltung eines Gerichtsvollziehers bedürfe dieser bei der Ermittlung des Schuldners bei den in § 755 ZPO genannten Behörden häufig das Geburtsdatum des säumigen Kunden.

Auch damit begründet die Klägerin keine ernsthaften Zweifel an der erstinstanzlichen Entscheidung. Die Klägerin legt bereits nicht dar, welche Zahlungsmöglichkeiten sie anbietet und warum insoweit aus ihrer Sicht ein Ausfallrisiko bestehen soll. Ein Ausfallrisiko kann allenfalls beim Kauf auf Rechnung bestehen, weil hier die Klägerin gegenüber dem Kunden in Vorleistung geht. Der Kauf auf Rechnung ist beim Online-Handel aber nur eine von zahlreichen Varianten der Zahlungsabwicklung. Der Verkäufer kann die Versendung der Ware ebenso gut auch von einer vorherigen Zahlung des Kunden mittels Kreditkarte, Vorabüberweisung oder Ähnliches abhängig machen. Möchte der Verkäufer gleichwohl - etwa aus Marketinggesichtspunkten - in Vorleistung gehen und zur Risikoabsicherung weitere Daten des potentiellen Kunden erheben, so muss sie hierfür auf dessen Einwilligung zurückgreifen (vgl. Buchner/Petri, in: Kühling/Buchner, DSGVO, 4. Aufl. 2024, Art. 6 Rn. 66 m.w.N.).

2. Die Berufung ist auch nicht wegen der von der Klägerin geltend gemachten grundsätzlichen Bedeutung der Rechtssache i. S. d. § 124 Abs. 2 Nr. 3 VwGO zuzulassen.

Eine Rechtssache hat grundsätzliche Bedeutung im Sinne dieser Vorschrift, wenn sie eine konkrete noch nicht geklärte Rechts- oder Tatsachenfrage aufwirft, deren Beantwortung sowohl für die Entscheidung des Verwaltungsgerichts von Bedeutung war als auch für die Entscheidung im Berufungsverfahren erheblich sein wird, und die über den konkreten Fall hinaus wesentliche Bedeutung für die einheitliche Anwendung oder Weiterentwicklung des Rechts hat. Zur Darlegung des Zulassungsgrundes ist die Frage auszuformulieren und substantiiert auszuführen, warum sie für klärungsbedürftig und entscheidungserheblich gehalten und aus welchen Gründen ihr Bedeutung über den Einzelfall hinaus zugemessen wird. Ist die aufgeworfene Frage eine Rechtsfrage, so ist ihre Klärungsbedürftigkeit nicht schon allein deshalb zu bejahen, weil sie bislang nicht obergerichtlich oder höchstrichterlich entschieden ist. Nach der Zielsetzung des Zulassungsrechts ist vielmehr Voraussetzung, dass aus Gründen der Einheit oder Fortentwicklung des Rechts eine obergerichtliche oder höchstrichterliche Entscheidung geboten ist. Die Klärungsbedürftigkeit fehlt deshalb, wenn sich die als grundsätzlich bedeutsam bezeichnete Frage entweder schon auf der Grundlage des Gesetzeswortlauts nach allgemeinen Auslegungsmethoden oder aber (ggf. ergänzend) auf der Basis bereits vorliegender Rechtsprechung ohne weiteres beantworten lässt (Seibert, in: Sodan/Ziekow, VwGO, 5. Aufl. 2018, § 124 Rn. 127, 142 ff., 149 und 151 ff.).

In Anwendung dieser Grundsätze liegen die Voraussetzungen für eine Zulassung der Berufung nicht vor.

Zwar hat die Klägerin mit ihrer Zulassungsbegründung als rechtsgrundsätzlich bedeutsam die Frage formuliert, ob bzw. in welchem Umfang das Geburtsdatum eines Kunden unter datenschutzrechtlichen Gesichtspunkten von einer Online-Apotheke insbesondere unter Berücksichtigung der dieser obliegenden umfangreichen Beratungspflichten verarbeitet werden dürfe.

Sie legt jedoch nicht hinreichend dar, warum sie die aufgeworfene Frage für klärungsbedürftig und entscheidungserheblich hält und aus welchen Gründen sie ihr Bedeutung über den Einzelfall hinaus zumisst - dies wird lediglich behauptet. Unabhängig davon ist die Frage in ihrer Allgemeinheit nicht entscheidungserheblich gewesen. Konkret ging es darum, ob die von der Klägerin erstinstanzlich angeführten Gründe für die Erhebung des Geburtsdatums - die ihr nach § 20 ApBetrO obliegende Beratungspflicht sowie die Ermöglichung der Prüfung der Geschäftsfähigkeit des Bestellers - die Datenverarbeitung rechtfertigen können.

Mit der Ablehnung des Zulassungsantrags wird das angefochtene Urteil rechtskräftig (§ 124a Abs. 5 Satz 4 VwGO).

Den Volltext der Entscheidung finden Sie hier:

OLG Jena
Urteil vom 14.09.2021
7 U 521/21

Das OLG Jena hat entschieden, dass für den Fall, dass die private Nutzung eines betrieblichen E-Mail-Accounts gestattet ist, das Unternehmen im Regelfall nicht darauf zugreifen darf.

Aus den Entscheidungsgründen:
2. Der Verfügungskläger kann seine auf eine Unterlassung des Zugriffs der Verfügungsbeklagten auf Daten seines dienstlichen E-Mail-Postfaches gerichteten Eilanträge auf §§ 44 Abs. 1, 88 TKG stützen. Denn die Verfügungsbeklagte hat mit ihrer Einsichtnahme in das dienstliche E-Mail Postfach des Verfügungsklägers, für welches auch die private Nutzung erlaubt war, sowie mit der Verarbeitung der dortigen Daten - wie mit dem Schreiben ihrer Bevollmächtigten vom 15.04.2020 an den Verfügungskläger aufgeführt - gegen das Fernmeldegeheimnis verstoßen. Sie muss sich dabei als Diensteanbieter iSd §§ 88 Abs. 2, 3 Nr. 6 TKG behandeln lassen.

Der Senat ist sich dabei bewusst, dass die Frage der Anwendbarkeit des § 88 TKG auf die betriebsinterne private Nutzung von E-Mails stark umstritten ist. Die wohl (noch) herrschende Auffassung in der Fachliteratur und der Datenschutzbehörden (s. DSK, Orientierungshilfe der Datenschutzaufsichtsbehörden zur datenschutzgerechten Nutzung von E-Mail und anderen Internetdiensten am Arbeitsplatz, abrufbar unter https://www.....de/....pdf) sieht dessen Anwendungsbereich eröffnet (zum Streitstand u.a.: Braun in: Heckmann/Paschke, jurisPK-Internetrecht, 7. Aufl., Kap. 7 (Stand: 01.06.2021), Rn. 141ff.; Jenny in: Plath, DSGVO/BDSG, 3. Aufl. 2018, § 88 TKG, Rn. 15f.; Härting in: Härting, Internetrecht, 6. Aufl. 2017, Datenschutzrecht, Rn. 351f., Geppert/Schütz/Bock, 4. Aufl. 2013, TKG § 88 Rn. 24ff., Spindler/Schuster/Eckhardt, 4. Aufl. 2019, TKG § 88 Rn. 26ff.; dagegen MHdB ArbR, § 96 Beschäftigtendatenschutz Rn. 298ff., beck-online).

a) Gemäß § 88 Abs. 2 TKG ist jeder Diensteanbieter zur Wahrung des Fernmeldegeheimnisses verpflichtet. Diensteanbieter nach § 3 Nr. 6 TKG ist jeder, der ganz oder teilweise geschäftsmäßig Telekommunikationsdienste für Dritte erbringt oder an der Erbringung solcher Dienste mitwirkt. Die geschäftsmäßige Erbringung von Telekommunikationsdiensten ist nach § 3 Nr. 10 TKG das nachhaltige Angebot von Telekommunikation für Dritte mit oder ohne Gewinnerzielungsabsicht. Die Einordnung als Diensteanbieter im Verhältnis des Arbeitgebers zu seinen Mitarbeitern bei Gestattung der Nutzung des dienstlichen E-Mail-Postfachs oder Internetzuganges zu privaten Zwecken wird in Literatur und Rechtsprechung streitig diskutiert.

aa) In der arbeitsgerichtlichen und verwaltungsgerichtlichen Rechtsprechung ist in den vergangenen Jahren eine Tendenz zu beobachten, wonach die Einstufung des Arbeitgebers als Telekommunikationsdienstleister eher abgelehnt wird. Danach unterliege der Zugriff auf E-Mails eines Arbeitnehmers durch den Arbeitgeber auch dann nicht dem Fernmeldegeheimnis gemäß § 88 TKG, wenn die private Nutzung der dienstlichen E-Mails gestattet bzw. geduldet sei, da der Arbeitgeber in dieser Situation keine geschäftsmäßigen Telekommunikationsdienstleistungen erbringe (u.a. LAG Niedersachsen, Urteil vom 31.05.2010 - 12 Sa 875/09, BeckRS 2010, 70504; LAG Berlin-Brandenburg, Urteil vom 16.02.2011 – 4 Sa 2132/10, NZA-RR 2011, 342, beck-online; dem entgegen jedoch in diesem Punkt unter Hinweis auf die h.M. Hessisches Landesarbeitsgericht, Urteil vom 21.09.2018 – 10 Sa 601/18 –, Rn. 72, juris).

Die Fachliteratur hat diese Rechtsprechung teilweise aufgegriffen und Argumente nachgeliefert. Das TKG diene unter anderem der Umsetzung der sog. ePrivacy-Richtlinie RL 2002/58/EG, die die Regulierung öffentlicher Kommunikationsnetze bezwecke. Die Kommunikationsdienste eines Arbeitgebers seien jedoch nicht öffentlich, sondern nur für Beschäftigte während der Arbeitszeit zugänglich. Sie seien daher nicht im gleichen Maße schutzbedürftig wie die Nutzer öffentlicher Kommunikationsnetze. Beschäftigte könnten nicht darauf vertrauen, dass die Inhalte der Kommunikation stets vertraulich blieben, da bekanntermaßen berechtigte Interessen des Arbeitgebers dem entgegenstehen würden, wie z.B. Archivierungspflichten nach § 238 Abs. 2 HGB. Die Vertraulichkeit der innerbetrieblichen Kommunikation werde dagegen im hinreichenden Maße durch das Datenschutzrecht sichergestellt. Zudem setze § 3 Nr. 10 TKG voraus, dass der Diensteanbieter Telekommunikationsdienstleistungen geschäftsmäßig erbringe. Gemäß § 3 Nr. 24 TKG werden Telekommunikationsdienste „in der Regel gegen Entgelt” erbracht. Diese Regel werde jedoch in ihr Gegenteil verkehrt, wenn man den unentgeltlich leistenden Arbeitgeber als Telekommunikationsanbieter ansehe. Bei der Auslegung des Tatbestandsmerkmals „geschäftsmäßig” sei der Gesetzeszweck des § 1 TKG zu beachten. Dieser soll den Wettbewerb im Bereich der Telekommunikation fördern. Die Zielsetzung der Arbeitgeber sei aber gerade nicht die Teilnahme am freien Markt. Zudem erfordere die Praxis, dass Arbeitgeber in bestimmten Fällen die Kommunikation innerhalb des Betriebes auswerten. So müssten beispielsweise E–Mails zur Durchführung von Compliance-Maßnahmen ausgewertet werden, um der Aufsichtspflicht des Arbeitgebers nach §§ 30, 130 OWiG nachzukommen. Dies könne ebenso der Fall sein, um Anordnungen von Aufsichts- und Strafbehörden zur Sachverhaltsaufklärung zu erfüllen. Die Einordnung als Telekommunikationsanbieter führe für den Arbeitgeber daher zu unauflösbaren Konflikten mit seinen gesetzlichen Verpflichtungen. Darüber hinaus beeinträchtige das Verbot der Auswertung innerbetrieblicher Kommunikation die wesentlichen Geschäftsinteressen der Unternehmen in unangemessener Weise. Beispiele seien Fälle längerer Abwesenheiten von Beschäftigten, die wichtige Informationen in Form von E–Mails abgespeichert hätten, auf die der Arbeitgeber bzw. Arbeitskollegen keinen Zugriff hätten. Diese Beschränkung der Kontrollmöglichkeiten führe daher auf verfassungsrechtlicher Ebene zu einem unverhältnismäßigen Eingriff in berufs- und eigentumsrechtliche Grundrechte des Arbeitgebers (MHdB ArbR, § 96 Beschäftigtendatenschutz Rn. 301, 302, beck-online).

Auch wird gegen eine Anwendbarkeit des § 88 TKG aufgeführt, dass ein derartiges pauschales Verarbeitungsverbot ohne Abwägung betroffener Interessen höchst untypisch für das Datenschutzrecht sei. Dies zeigten beispielsweise die B.-Entscheidung des EuGH und das sog. Detektivurteil des BAG (MHdB ArbR, § 96 Beschäftigtendatenschutz Rn. 298, beck-online).

bb) Hingegen wird in der überwiegenden Literatur eine Anwendbarkeit des TKG in vorliegender Konstellation - auch unter Hinweis auf die Auffassung der Datenschutzbehörden - bejaht. Wer als Arbeitgeber seinen Beschäftigten die Nutzung von Telekommunikation für private Zwecke gestattet, biete damit Dritten nachhaltig (d.h. auf Dauer) Telekommunikation an. Ein Arbeitgeber sei dann als Diensteanbieter i.S.v. § 88 TKG bzw. als geschäftsmäßig Telekommunikationsdienste erbringendes Unternehmen i.S.d. § 206 StGB anzusehen und an das Fernmeldegeheimnis gebunden. Diese Ansicht könne sich auf die Entstehungsgeschichte der Norm stützen. In den Gesetzesmaterialien zu der Vorläufervorschrift (§ 85 TKG-1996) heiße es wörtlich: „Dem Fernmeldegeheimnis unterliegen damit [...] Nebenstellenanlagen in Betrieben und Behörden, soweit sie den Beschäftigten zur privaten Nutzung zur Verfügung gestellt sind.“. Neuere Stimmen in der Literatur, die in diesen Konstellationen die Geltung des Fernmeldegeheimnisses anzweifeln, seien daher nicht mit einer historischen Auslegung des Gesetzes in Einklang zu bringen. Soweit sich diese Stellungnahmen auf eine teleologische Auslegung und den Gesetzeszweck des TKG beriefen, sei dem zu entgegnen, dass erstens das TKG in § 2 weitere Ziel- und Zweckbestimmungen enthalte, zu denen gerade auch die Wahrung des Fernmeldegeheimnisses gehöre und zweitens der gesamte siebte Teil des Gesetzes sich nicht mit Wettbewerbsaspekten befasse, sondern mit öffentlicher Sicherheit, Datenschutz und dem Fernmeldegeheimnis. Die Anwendung und Auslegung dieser Bestimmungen wirke sich auf die übergeordneten Gesetzesziele der Wettbewerbsförderung und der Gewährleistung flächendeckender angemessener und ausreichender Telekommunikationsdienstleistungen allenfalls indirekt aus. Auf die Erreichung dieser Gesetzesziele dürfte es keinen spürbaren Einfluss haben, ob und inwieweit Arbeitgeber das Fernmeldegeheimnis beachten müssen (J. in: Plath, DSGVO/BDSG, 3. Aufl. 2018, § 88 TKG, Rn. 15).

Zudem sei für eine Anwendung maßgeblich, dass sonst dem Umstand, dass bei erlaubter bzw. geduldeter privater Nutzung eines E-Mail-Accounts der Anschluss nicht mehr ausschließlich nur für eigene Zwecke des Arbeitgebers bereitgestellt werde, nicht ausreichend Rechnung getragen werde. Denn durch die erlaubte bzw. geduldete Privatnutzung bestehe für den privat nutzenden Mitarbeiter dieselbe Schutzbedürftigkeit wie sie auch gegenüber einem „klassischen“ Telekommunikationsunternehmen bestehe und diesem Schutzbedürfnis werde gerade durch §§ 88 TKG, 206 StGB Rechnung getragen. Insbesondere greife auch nicht das zur Stützung der Entscheidungen der Landesarbeitsgerichte vorgebrachte Argument, dass ein Telekommunikationsdienst gem. § 3 Nr. 24 „in der Regel gegen Entgelt“ erbracht werde. Denn damit werde verkannt, dass die §§ 88 TKG, 206 StGB, 91 ff. TKG nicht auf die Legaldefinition in § 3 Nr. 24 Bezug nähmen und damit dieses Merkmal für deren Anwendung irrelevant sei. Soweit argumentiert werde, dass der Beschäftigte kein Dritter im Sinne von Datenschutzbestimmungen sei, werde ungerechtfertigt ausgeblendet, dass das Datenschutzrecht sehr wohl auch den Beschäftigten schütze, was der Gesetzgeber jedenfalls in der BDSG-Novelle zum 01.09.2009 und durch § 26 BDSG nF klargestellt habe. Möge auch das TKG kein „Arbeitnehmerschutzgesetz“ sein, müsse der Schutz der Vertraulichkeit gegenüber einem Anbieter der Telekommunikation auch in diesen Konstellationen gewährleistet werden (Spindler/Schuster/Eckhardt, 4. Aufl. 2019, TKG § 88 Rn. 31).

cc) Der Senat sieht mit der letztgenannten Auffassung derzeit die besseren Argumente für die Einordnung des Arbeitgebers als Diensteanbieter iSd §§ 88 Abs. 2, 3 Nr. 6 TKG bei Gestattung einer privaten Nutzung des dienstlichen E-Mail-Accounts. Insbesondere sind die teilweise vorgebrachten Zweckmäßigkeitserwägungen der Gegenauffassung hinsichtlich eines aus dienstlichen Gründen erforderlichen Zugriffsrechts des Arbeitgebers auf ein persönliches E-Mail-Postfach des Mitarbeiters nicht überzeugend. Denn sofern ein Zugriff zu der dienstlichen Kommunikation des Mitarbeiters für den Arbeitgeber erforderlich ist, kann er u.a. durch Veranlassung sog. Funktionspostfächer eine Abgrenzung zu der Privatsphäre des Mitarbeiters schaffen und organisatorische Maßnahmen zur Eingliederung in den betrieblichen Ablauf ergreifen.

dd) Letztlich bedarf es jedoch vorliegend keiner Entscheidung des Senats in Hinblick auf den vorgenannten Streit. Denn unabhängig von der vorgenannten Auseinandersetzung zur Frage der grundsätzlichen Anwendbarkeit des § 88 TKG liegt im streitgegenständlichen Fall eine Selbstbindung der Verfügungsbeklagten mit Schaffung eines entsprechenden Vertrauenstatbestandes infolge der eigenen Einordnung als Diensteanbieter im Rahmen ihrer Richtlinie zur Nutzung von Internet und E-Mail vor. Hierin führt diese unter 4.1 aus, dass sie durch das Angebot der privaten Nutzung des Internetzuganges und des E-Mail Anschlusses zum Anbieter von Telekommunikationsdienstleistungen werde und somit das Fernmeldegeheimnis zu wahren habe.

(1) Zwar steht die von der Verfügungsbeklagten selbst vorgetragene konkrete Anwendbarkeit dieser Richtlinie auf den Verfügungskläger zwischen den Parteien im Streit und hat die Verfügungsbeklagte hierzu weder hinreichend vorgetragen noch glaubhaft gemacht. Bei einer nur (einfachen) außervertragliche Genehmigung des Arbeitgebers hinsichtlich einer privaten Nutzung des E-Mail-Postfachs kann dieser aufgrund seines Direktionsrechts die Erlaubnis zwar jederzeit ohne Angabe von Gründen für die Zukunft aufheben. Im Falle einer betrieblichen Übung - wie von Seiten des Verfügungsklägers unbestritten vorgetragen - bestehen dagegen nur eingeschränkte Rücknahmemöglichkeiten (Braun in: Heckmann/Paschke, jurisPK-Internetrecht, 7. Aufl., Kap. 7 (Stand: 01.06.2021), Rn. 89), welche vorliegend nicht ersichtlich sind. Daher kommt auch eine Fiktion einer Einwilligung des Verfügungsklägers nach Ziff. 4.2 in die in der Richtlinie geregelten Kontrollrechte der Verfügungsbeklagten infolge privater Nutzung des E-Mail Anschlusses nicht in Betracht.

(2) Der Vortrag der Verfügungsbeklagten im hiesigen Verfahren zur Einordnung als Diensteanbieter im Sinne des TKG steht jedoch im Widerspruch zu der gegenüber ihren Mitarbeitern mitgeteilten eigenen Auffassung. Unabhängig von der Frage der Geltung der Richtlinien zwischen den Parteien hat die Verfügungsbeklagte mit ihrer Richtlinie zum Ausdruck gebracht, sich an die Vorgaben des TKG gebunden und zur Einhaltung des Fernmeldegeheimnisses für die auch zur privaten Nutzung gestatteten dienstlichen E-Mail-Accounts verpflichtet zu sehen. Sie hat damit einen Vertrauenstatbestand für ihre Mitarbeiter geschaffen, wonach auch der Verfügungskläger davon ausgehen konnte, dass ohne seine ausdrückliche Zustimmung die Verfügungsbeklagte keinen Zugriff auf sein dienstliches E-Mail-Postfach nehmen wird. Denn als Konsequenz einer fehlenden Zustimmung des Mitarbeiters zur Geltung der Richtlinie sieht diese lediglich dessen Ausschluss von der privaten E-Mail- bzw. Internetnutzung des dienstlichen Accounts vor. An der gegenüber allen Mitarbeitern - so auch gegenüber dem Verfügungskläger - dargestellten eigenen Einordnung der Verfügungsbeklagten als Diensteanbieter mit Bindung an das Fernmeldegeheimnis ändert eine fehlende Zustimmung des Mitarbeiters zu der Richtlinie jedoch nichts.

b) Zutreffend rügt die Berufung auch, das Landgericht habe vorliegend die Reichweite des insoweit geltenden Fernmeldegeheimnisses verkannt, indem es die Daten im E-Mail-Postfach nicht mehr als Teil des Telekommunikationsvorganges ansah, weil die E-Mails in die Unternehmensabläufe einzubeziehen seien.

Streitig ist, ob das Fernmeldegeheimnis nach Art. 10 I GG dann noch einschlägig ist, wenn der eigentliche Übertragungsvorgang abgeschlossen ist und die E-Mail lediglich auf dem Providerserver „ruht“. (LAG Hessen, Urteil vom 21.09.2018 – 10 Sa 601/18, NZA-RR 2019, 130 Rn. 57ff., beck-online m.w.N.).

Zunächst zutreffend schützt das Fernmeldegeheimnis die private Fernkommunikation und gewährleistet deren Vertraulichkeit, wenn die Beteiligten wegen der räumlichen Distanz auf eine Übermittlung durch andere angewiesen sind und deshalb in besonderer Weise einem Zugriff Dritter ausgesetzt sein können. Das Fernmeldegeheimnis schützt insoweit in erster Linie die Vertraulichkeit der ausgetauschten Informationen und damit den Kommunikationsinhalt gegen unbefugte Kenntniserlangung durch Dritte (Braun in: Heckmann/Paschke, jurisPK-Internetrecht, 7. Aufl., Kap. 7 (Stand: 01.06.2021), Rn. 164; BVerfG, Urteil vom 02.03.2006 – 2 BvR 2099/04 –, BVerfGE 115, 166-204).

Der Auffassung, dass der Schutz des Fernmeldegeheimnisses grundsätzlich in dem Moment ende, in dem die Nachricht bei dem Empfänger angekommen und der Übertragungsvorgang beendet sei, ist das Bundesverfassungsgericht jedoch in einer neueren Entscheidung relativierend entgegen getreten. Danach ist der zugangsgesicherte Kommunikationsinhalt in einem E-Mail-Postfach, auf das der Nutzer nur über eine Internetverbindung zugreifen kann, durch Art. 10 Abs. 1 GG geschützt. Das Fernmeldegeheimnis knüpft an das Kommunikationsmedium an und will jenen Gefahren für die Vertraulichkeit begegnen, die sich gerade aus der Verwendung dieses Mediums ergeben, das einem staatlichem Zugriff leichter ausgesetzt ist als die direkte Kommunikation unter Anwesenden. Die auf dem Mailserver des Providers vorhandenen E-Mails sind nicht im Herrschaftsbereich des Kommunikationsteilnehmers, sondern des Providers gespeichert. Sie befinden sich nicht auf in den Räumen des Nutzers verwahrten oder in seinen Endgeräten installierten Datenträgern (BVerfG, Urteil vom 16.06.2009 - 2 BvR 902/06 -, NJW 2009, 2431, beck-online).

Das LAG Hessen verneint in seiner Entscheidung vom 21.09.2018 (a.a.O.) deshalb eine Anwendbarkeit des § 88 TKG, sofern der Sendevorgang abgeschlossen ist und die E-Mails auf einem Ordner abgelegt sind, auf den der Arbeitgeber ohne Zugriff auf das Internet zugreifen kann.

Derartige Feststellungen sind im erstinstanzlichen Urteil jedoch weder getroffen noch ist vorliegend ein solcher Vortrag der Verfügungsbeklagten ersichtlich. Vielmehr ist nach dem Vortrag der Verfügungsbeklagten zum vermeintlichen Ausnutzen von Sicherheitslücken durch den Verfügungskläger im System O. W. A. (u.a. Berufungserwiderung Seite 3, Bl. 480 Bd. III d.A.) davon auszugehen, dass die E-Mails im O.-S. gespeichert und daher nur über das Internet abzurufen waren. Hierfür spricht auch der Umstand, dass der Verfügungskläger von mobilen Endgeräten auf das E-Mail-Postfach zugreifen konnte.

c) Entgegen der Auffassung der Verfügungsbeklagten kommt es auch nicht darauf an, dass nach ihrem Vortrag lediglich dienstliche E-Mails bzw. deren Zu- und Abgangsdaten im E-Mail-Postfach des Verfügungsklägers kontrolliert wurden. Die fehlende Gestattung der Kontrolle privater E-Mails im dienstlichen E-Mail-Postfach verhindert mittelbar auch die Überwachung dienstlicher E-Mails. Zwar erstreckt sich die Verpflichtung zur Wahrung des Fernmeldegeheimnisses nur auf E-Mails, für die der Arbeitgeber als Diensteanbieter gilt, also nur auf die privaten E-Mails. Wenn sich aber private E-Mails im E-Mail-System nicht klar von dienstlichen E-Mails unterscheiden lassen, müssen auch dienstliche E-Mails wie private behandelt werden. Der Arbeitgeber kann keine Kontrolle der gesamten E-Mails mit der Begründung durchführen, diese richte sich nur auf dienstliche E-Mails. Vielmehr müsste der Arbeitgeber vor jeder Kontrollmaßnahme entscheiden, ob eine dienstliche E-Mail vorliegt. Dies kann allenfalls anhand der Adresse und/oder des Betreffs, oft aber erst durch Prüfung des Inhalts ermittelt werden. Dieses Vorgehen ist indes ohne Einwilligung grundsätzlich unzulässig, so dass bei einer Mischnutzung keine zulässige Differenzierung möglich ist. Bei erlaubter Privatnutzung des dienstlichen E-Mail-Accounts dürfen also auch dienstliche E-Mails nicht kontrolliert werden, es sei denn, der Arbeitnehmer hat sich hiermit einverstanden erklärt, wobei ein solches Einverständnis auch zur Bedingung für eine Erlaubnis der Privatnutzung gemacht werden kann (Braun in: Heckmann/Paschke, jurisPK-Internetrecht, 7. Aufl., Kap. 7 (Stand: 01.06.2021), Rn. 150).

d) Eine Einwilligung des Verfügungsklägers in die Kontrolle seines E-Mail-Postfachs liegt auch nicht vor. Die Verfügungsbeklagte beruft sich hinsichtlich einer Einwilligung des Verfügungsklägers in mögliche Kontrollmaßnahmen auf Ziffer 4.1 RL, welche durch Privatnutzung erfolgt sein soll. Dies würde jedoch zunächst voraussetzen, dass die Anwendung der Richtlinie zwischen den Parteien so vereinbart worden ist. Allein aus dem Direktionsrecht des Arbeitgebers folgt die Anwendbarkeit nicht. Vortrag zu einer konkreten Vereinbarung hat die Verfügungsbeklagte nicht erbracht. Es wird auf obige Ausführungen verwiesen.

e) Ebenso kann sich die Verfügungsbeklagte nicht auf eine ausnahmsweise Rechtfertigung ihres Verhaltens wegen eines konkreten Missbrauchsverdachtes berufen. Eine solche Kontrollmöglichkeit des Arbeitgebers wird zwar in der überwiegenden Literatur vertreten, wenn der konkrete Verdacht einer Straftat oder des Verrats von Geschäftsgeheimnissen besteht. Allerdings ist dieses Ergebnis nach gegenwärtiger Rechtslage kaum schlüssig begründbar. Es fehlt an einem Erlaubnistatbestand i.S.d. § 88 Abs. 3 TKG. § 100 Abs. 3 TKG greift nicht, denn die Verwendung von „Verkehrsdaten zur Aufklärung der Verletzung geschäftlicher Interessen“ des Arbeitgebers als Diensteanbieter ist gem. § 100 Abs. 3 TKG auf telekommunikationsspezifische Missbräuche beschränkt (Braun in: Heckmann/Paschke, jurisPK-Internetrecht, 7. Aufl., Kap. 7 (Stand: 01.06.2021), Rn. 158).

Darüber hinaus ist vorliegend jedoch auch ein konkreter Missbrauchsverdacht im Vorfeld des hier streitgegenständlichen Eingriffs für die Verfügungsbeklagte nicht ersichtlich. Vielmehr hat sich diese erst durch den unzulässigen Zugriff auf den E-Mail-Account selbst mögliche Verdachtsmomente geschaffen. Die Ableitung eines konkreten Missbrauchsverdachtes zuvor wegen der Umstände um die fehlende Herausgabe des USB-Sticks durch den Verfügungskläger trägt hingegen nicht. Denn dieser hatte hierzu unbestritten vorgetragen, dass sich auf dem USB-Stick Daten zu seinen persönlichen finanziellen Verhältnissen befanden, die wiederum seine Privatsphäre betrafen.

f) Aufgrund des bestehenden Anspruchs des Verfügungsklägers aus §§ 44, 88 TKG bedarf es einer weiteren Auseinandersetzung des Senats mit möglichen Ansprüchen des Verfügungsklägers gem. §§ 1004, 823 Abs. 2 BGB i.V.m. §§ 202a, 206 StGB bzw. DSGVO und BDSG nicht.

3. Auch der erforderliche Verfügungsgrund ist vorliegend gegeben.

Bei der Frage, ob der Erlass einer einstweiligen Verfügung zur Abwendung wesentlicher Nachteile erforderlich ist, sind die schutzwürdigen Interessen beider Seiten im Rahmen des gerichtlichen Beurteilungsspielraums gegeneinander abzuwägen. Es muss eine Dringlichkeit gegeben sein, die bei zu langem Zuwarten des Erlassantrages widerlegt werden kann. In persönlichkeitsrechtlichen Streitigkeiten ist ein Verfügungsgrund für eine auf Unterlassung gerichtet einstweilige Verfügung regelmäßig zu bejahen, wenn keine Selbstwiderlegung der Dringlichkeit, insbesondere durch Zuwarten, gegeben ist. (OLG Dresden, Beschluss vom 06. Januar 2021 – 4 U 1928/20 –, Rn. 7, juris m.w.N.).

Der Antrag auf einstweilige Verfügung ist durch den Verfügungskläger unmittelbar nach Bekanntwerden der Einsichtnahme in sein E-Mail-Postfach durch Schriftsatz der Verfügungsbeklagten vom 15.04.2020 am 11.05.2020 gestellt worden. Diese Frist ist nach Auffassung des Senats noch ausreichend, zumal der Verfügungskläger bereits mit Schreiben vom 23.04.2020 sein Rechtsschutzziel gegenüber der Verfügungsbeklagten mit Geltendmachung seiner Rechte nach DSGVO deutlich machte. Auf die Frage einer fehlenden Vollstreckung der zunächst erlassenen einstweiligen Verfügung kommt es nicht an.

Den Volltext der Entscheidung finden Sie hier:

EuGH
Urteil vom 14.03.2024
C‑46/23

Der EuGH hat entschieden, dass eine datenschutzrechtliche Aufsichtsbehörde auch ohne Antrag des Betroffenen die Löschung unrechtmäßig verarbeiteter personenbezogener Daten anweisen darf.

Tenor der Entscheidung:
1. Art. 58 Abs. 2 Buchst. d und g der Verordnung (EU) 2016/679 des Europäischen Parlaments und des Rates vom 27. April 2016 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten, zum freien Datenverkehr und zur Aufhebung der Richtlinie 95/46/EG (Datenschutz-Grundverordnung) ist dahin auszulegen, dass die Aufsichtsbehörde eines Mitgliedstaats den Verantwortlichen oder Auftragsverarbeiter in Ausübung ihrer in diesen Bestimmungen vorgesehenen Abhilfebefugnisse selbst dann zur Löschung unrechtmäßig verarbeiteter personenbezogener Daten anweisen darf, wenn die betroffene Person keinen entsprechenden Antrag auf Ausübung ihrer Rechte nach Art. 17 Abs. 1 dieser Verordnung gestellt hat.

2. Art. 58 Abs. 2 der Verordnung 2016/679 ist dahin auszulegen, dass sich die Befugnis der Aufsichtsbehörde eines Mitgliedstaats, die Löschung unrechtmäßig verarbeiteter personenbezogener Daten anzuordnen, sowohl auf bei der betroffenen Person erhobene als auch auf aus einer anderen Quelle stammende Daten beziehen kann.

Die Pressemitteilung des EuGH:
Schutz personenbezogener Daten: Die Aufsichtsbehörde eines Mitgliedstaats kann selbst dann die Löschung unrechtmäßig verarbeiteter Daten anordnen, wenn die betroffene Person zuvor keinen entsprechenden Antrag gestellt hat

Eine solche Löschung kann sich sowohl auf bei der betroffenen Person erhobene als auch auf aus einer anderen Quelle stammende Daten beziehen.

2020 beschloss die Kommunalverwaltung Újpest (Ungarn), Personen, die zu einer von der Covid-19-Pandemie gefährdeten Gruppe gehörten, finanziell zu unterstützen. Sie ersuchte deshalb die ungarische Staatskasse und die Regierungsbehörde des IV. Bezirks der Hauptstadt Budapest, ihr die zur Prüfung der Anspruchsvoraussetzungen erforderlichen personenbezogenen Daten zu übermitteln.

Aufgrund eines Hinweises stellte die zuständige ungarische Datenschutzbehörde (im Folgenden: Aufsichtsbehörde) fest, dass sowohl die Verwaltung Újpest als auch die ungarische Staatskasse und die Regierungsbehörde gegen Regelungen der DSGVO1 verstoßen hatten. Entsprechende Geldbußen wurden verhängt.

Die Aufsichtsbehörde stellte fest, dass die Verwaltung Újpest die betroffenen Personen innerhalb der dafür geltenden Frist von einem Monat weder über die Verwendung ihrer Daten und den Zweck dieser Verarbeitung noch über ihre Datenschutzrechte informiert hatte. Zudem wies sie die Verwaltung Újpest an, die Daten anspruchsberechtigter Personen, die keine Unterstützung beantragt hatten, zu löschen.

Die Verwaltung Újpest hat diese Entscheidung beim Hauptstädtischen Stuhlgericht (Ungarn) angefochten und macht geltend, die Aufsichtsbehörde sei nicht befugt, die Löschung personenbezogener Daten anzuordnen, wenn die betroffene Person zuvor keinen entsprechenden Antrag gestellt habe.

Das ungarische Gericht ersucht den Gerichtshof um Auslegung der DSGVO.

Mit seinem heutigen Urteil antwortet der Gerichtshof, dass die Aufsichtsbehörde eines Mitgliedstaats von Amts wegen die Löschung unrechtmäßig verarbeiteter Daten anordnen darf, also selbst dann, wenn die betroffene Person zuvor keinen entsprechenden Antrag gestellt hat, falls eine solche Maßnahme zur Erfüllung ihrer Aufgabe erforderlich ist, die darin besteht, über die umfassende Einhaltung der DSGVO zu wachen. Erkennt die Aufsichtsbehörde, dass eine Datenverarbeitung nicht der DSGVO entspricht, so muss sie dem festgestellten Verstoß abhelfen, und zwar auch dann, wenn die betroffene Person zuvor keinen Antrag gestellt hat. Denn das Erfordernis einer solchen Antragstellung würde bedeuten, dass der Verantwortliche bei fehlendem Antrag die betreffenden personenbezogenen Daten weiterhin speichern und unrechtmäßig verarbeiten dürfte.

Außerdem kann die Aufsichtsbehörde eines Mitgliedstaats die Löschung unrechtmäßig verarbeiteter Daten unabhängig davon anordnen, ob sie unmittelbar bei der betroffenen Person erhoben wurden oder aus einer anderen Quelle stammen.

Den Volltext der Entscheidung finden Sie hier:

BGH
Urteil vom 06.02.2024
VI ZR 15/23
DSGVO Art. 15 Abs. 1, 3

Der BGH hat abermals entschieden, dass Art. 15 Abs. 1 und 3 DSGVO keinen Anspruch auf Abschriften der Begründungsschreiben samt Anlagen zu Prämienanpassungen einer privaten Krankenversicherung gewährt.

Leitsatz des BGH:
Aus Art. 15 Abs. 1 und 3 DSGVO folgt grundsätzlich kein Anspruch auf Abschriften der Begründungsschreiben samt Anlagen zu Prämienanpassungen in der privaten Krankenversicherung (Anschluss an BGH, Urteil vom27. September 2023 - IV ZR 177/22, NJW 2023, 3490 Rn. 45 ff.).

BGH, Urteil vom 6. Februar 2024 - VI ZR 15/23 - OLG Celle - LG Verden

Den Volltext der Entscheidung finden Sie hier:

EuGH
Urteil vom 07.03.2024
C-604/22
IAB Europe gegen Gegevensbeschermingsautoriteit

Der EuGH hat entschieden, dass die TC-Strings der IAB Europe personenbezogene Daten im Sinne der DSGVO sind.

Tenor der Entscheidung:
1. Art. 4 Nr. 1 der Verordnung (EU) 2016/679 des Europäischen Parlaments und des Rates vom 27. April 2016 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten, zum freien Datenverkehr und zur Aufhebung der Richtlinie 95/46/EG (Datenschutz-Grundverordnung) ist dahin auszulegen, dass eine aus einer Kombination von Buchstaben und Zeichen bestehende Zeichenfolge wie der TC‑String (Transparency and Consent String), die die Präferenzen eines Internetnutzers oder Nutzers einer Anwendung in Bezug auf dessen Einwilligung in die Verarbeitung der ihn betreffenden personenbezogenen Daten durch Anbieter von Websites oder Anwendungen sowie durch Datenbroker und Werbeplattformen enthält, ein personenbezogenes Datum im Sinne dieser Bestimmung darstellt, soweit sie, wenn sie mit vertretbarem Aufwand einer Kennung wie insbesondere der IP‑Adresse des Geräts dieses Nutzers zugeordnet werden kann, es erlaubt, die betreffende Person zu identifizieren. Unter diesen Umständen schließt der Umstand, dass eine Branchenorganisation, die im Besitz dieser Zeichenfolge ist, ohne einen Beitrag von außen weder Zugang zu den Daten hat, die von ihren Mitgliedern im Rahmen der von ihr aufgestellten Regeln verarbeitet werden, noch diese Zeichenfolge mit anderen Elementen kombinieren kann, nicht aus, dass diese Zeichenfolge ein personenbezogenes Datum im Sinne dieser Bestimmung darstellt.

2. Art. 4 Nr. 7 und Art. 26 Abs. 1 der Verordnung 2016/679 sind dahin auszulegen, dass

– zum einen eine Branchenorganisation, soweit sie ihren Mitgliedern einen von ihr aufgestellten Regelungsrahmen in Bezug auf die Einwilligung im Bereich der Verarbeitung personenbezogener Daten anbietet, der nicht nur verbindliche technische Vorschriften enthält, sondern auch Vorschriften, die detailliert festlegen, wie personenbezogene Daten, die diese Einwilligung betreffen, gespeichert und verbreitet werden müssen, als „gemeinsam Verantwortlicher“ im Sinne dieser Bestimmungen einzustufen ist, wenn sie unter Berücksichtigung der besonderen Umstände des vorliegenden Falles aus Eigeninteresse auf die betreffende Verarbeitung personenbezogener Daten Einfluss nimmt und damit gemeinsam mit ihren Mitgliedern die Zwecke der und die Mittel zur betreffenden Verarbeitung festlegt. Der Umstand, dass eine solche Branchenorganisation selbst keinen unmittelbaren Zugang zu den von ihren Mitgliedern innerhalb dieses Regelungsrahmens verarbeiteten personenbezogenen Daten hat, schließt nicht aus, dass sie ein gemeinsam Verantwortlicher im Sinne dieser Bestimmungen sein kann;

– zum anderen sich die gemeinsame Verantwortlichkeit dieser Branchenorganisation nicht automatisch auf die Weiterverarbeitung personenbezogener Daten durch Dritte, wie beispielsweise Anbieter von Websites oder Anwendungen, erstreckt, was die Nutzerpräferenzen für gezielte Online-Werbung betrifft.

Die Pressemitteilung des EuGH:
Versteigerung von personenbezogenen Daten für Werbezwecke: der Gerichtshof stellt die Regeln auf der Grundlage der DSGVO klar

Wenn ein Nutzer eine Website oder eine Anwendung mit einem Werbeplatz aufruft, können Werbeunternehmen, Datenbroker und Werbeplattformen, die Tausende von Werbetreibenden vertreten, anonym in Echtzeit Gebote abgeben, um diesen Werbeplatz zu erhalten und dort auf das Profil des Nutzers abgestimmte Werbung anzuzeigen (Real Time Bidding).

Bevor jedoch eine solche gezielte Werbung angezeigt wird, muss die vorherige Einwilligung des Nutzers zur Erhebung und Verarbeitung seiner Daten (insbesondere seinen Standort, sein Alter, den Verlauf seiner Suchanfragen und seine zuletzt getätigten Einkäufe betreffend) für bestimmte Zwecke, wie u. a. Marketing oder Werbung, oder zum Austausch dieser Daten mit bestimmten Anbietern eingeholt werden. Der Nutzer kann dem auch widersprechen.

IAB Europe ist ein Verband ohne Gewinnerzielungsabsicht mit Sitz in Belgien, der Unternehmen der digitalen Werbe- und Marketingindustrie auf europäischer Ebene vertritt. IAB Europe hat eine Lösung entwickelt, die dieses Versteigerungssystem mit der DSGVO in Einklang bringen können soll. Die Nutzerpräferenzen werden in einem aus einer Kombination von Buchstaben und Zeichen bestehenden String kodiert und gespeichert, der als „Transparency and Consent String“ (TC-String) bezeichnet wird und der mit Brokern für personenbezogene Daten und Werbeplattformen geteilt wird, damit diese wissen, worin der Nutzer eingewilligt oder wogegen er Widerspruch eingelegt hat. Auf dem Gerät des Nutzers wird auch ein Cookie gespeichert. Miteinander kombiniert, können der TC-String und das Cookie der IP-Adresse dieses Nutzers zugeordnet werden.

Im Jahr 2022 stellte die belgische Datenschutzbehörde fest, dass der TC-String ein personenbezogenes Datum im Sinne der DSGVO darstelle und dass IAB Europe als Verantwortlicher aufgetreten sei, ohne die Vorschriften der DSGVO vollständig einzuhalten. Die Behörde verhängte gegen IAB Europe mehrere Abhilfemaßnahmen sowie eine Geldbuße. IAB Europe focht diese Entscheidung an und wandte sich an den Appellationshof Brüssel, der dem Gerichtshof Fragen zur Vorabentscheidung vorgelegt hat.

Mit seinem Urteil bestätigt der Gerichtshof, dass der TC-String Informationen über einen identifizierbaren Nutzer enthält und somit ein personenbezogenes Datum im Sinne der DSGVO darstellt. Anhand der in einem TC-String enthaltenen Informationen kann nämlich, wenn sie einer Kennung wie insbesondere der IP-Adresse des Geräts des Nutzers zugeordnet werden, ein Profil dieses Nutzers erstellt und die betreffende Person identifiziert werden.

Darüber hinaus ist IAB Europe als „gemeinsam Verantwortlicher“ im Sinne der DSGVO anzusehen. Vorbehaltlich der vom vorlegenden Gericht vorzunehmenden Prüfungen scheint diese Organisation nämlich bei der Speicherung der Einwilligungspräferenzen der Nutzer in einem TC-String auf die Verarbeitungen personenbezogener Daten Einfluss zu nehmen und gemeinsam mit ihren Mitgliedern sowohl die Zwecke dieser Verarbeitungen als auch die ihnen zugrunde liegenden Mittel festzulegen. Allerdings kann, unbeschadet einer etwaigen im nationalen Recht vorgesehenen zivilrechtlichen Haftung, IAB Europe für Datenverarbeitungen, die nach der Speicherung der Einwilligungspräferenzen der Nutzer in einem TC-String erfolgen, nur dann als im Sinne der DSGVO verantwortlich angesehen werden, wenn nachgewiesen werden kann, dass dieser Verband Einfluss auf die Festlegung der Zwecke und Modalitäten dieser Weiterverarbeitungen ausgeübt hat.

Den Volltext der Entscheidung finden Sie hier:

AG Lörrach
Urteil vom 05.02.2024
3 C 661/23

Das AG Lörrach hat entschieden, dass der Auskunftsanspruch gemäß Art. 15 DSGVO auch gespeicherte Audiomitschnitte von Telefongesprächen umfasst.

Aus den Entscheidungsgründen:
I) Die Klage ist hinsichtlich des Auskunftsanspruchs nach Art. 15 DSGVO unstreitig gegeben. Zwischen den Parteien blieb bis zuletzt lediglich streitig, ob der Audiomitschnitt vom Telefongespräch Ende 2022 übermittelt wurde. Dafür bot die Beklagte keinen Beweis an, obwohl sie die Erfüllung zu beweisen hatte. Damit war die Beklagte dahingehend noch zu verurteilen.

II) Der Kläger hat gegen die Beklagte einen Anspruch auf Schadensersatz in Höhe seiner vorgerichtlichen Anwaltskosten in Höhe von 713,76 €. Dieser Anspruch richtet sich nach § 257 BGB auf Freistellung. Der Anspruch gründet für verschiedene Streitgegenstände auf verschiedenen Anspruchsgrundlagen (1)-3)). Hinsichtlich der Rechtsanwaltsgebühren ist der Streitwert aber einheitlich zu bestimmen, woraus sich die Schadenshöhe ergibt (4)).

1) Wegen der vorgerichtlichen Aufforderung zur Datenauskunft nach Art. 15 DSGVO hat der Kläger gegen die Beklagte einen Anspruch auf Ersatz der vorgerichtlichen Anwaltskosten aus Art. 82 DSGVO.

a) Die Beklagte hat gegen Art. 6 DSGVO verstoßen, indem sie die personenbezogenen Daten des Klägers ohne Rechtfertigung verarbeitet hat. Die Beklagte erhielt die Daten des Klägers ohne sein Wissen und Wollen. Die erlangten Daten benutzte die Beklagte, um den Kläger anzurufen und einen Vertragsschluss anzubieten. Die Telefondaten und die Personalien des Klägers sind personenbezogene Daten nach Art. 4 Nr. 1 DSGVO. Indem die Beklagte die Daten erhalten hat und bei sich selbst gespeichert hat, liegt eine Verarbeitung nach Art. 4 Nr. 2 DSGVO vor. Die Daten wurden anschließend für den Anruf und die Vertragsanbahnung verwendet, womit eine weitere Verarbeitung vorliegt. Solch eine Verarbeitung ist nur unter den Voraussetzungen des Art. 6 Abs. 1 DSGVO rechtmäßig. Die Beklagte hat keinen Fall davon vorgetragen. Insbesondere hat sie nicht vorgetragen, dass der Kläger zu solch einer Verarbeitung zustimmt hat. Soweit in der mündlichen Verhandlung erörtert wurde, woher die Beklagte die Daten hat und der Sohn des Klägers informatorisch angehört wurde, konnte er nicht bestätigen, dass er gegenüber der a. GmbH eine Einwilligung erteilt hat. Es ist auch nicht ersichtlich, dass unter einer Abwägung der Interessen die Verarbeitung gerechtfertigt war (Art. 6 Abs. 1 lit. f) DSGVO). Damit liegt ein Verstoß gegen eine konkrete Datenschutzbestimmung vor. Es kommt also nicht darauf an, ob auch anderweitige Verstöße ausreichen (dazu: BeckOK DatenschutzR/Quaas, 46. Ed. 1.11.2023, DS-GVO Art. 82 Rn. 14; EuGH GRUR-RS 2023, 8972).

b) Soweit auch die a. GmbH für die rechtswidrige Verarbeitung der personenbezogenen Daten verantwortlich war, ändert dies nichts daran, dass die Beklagte nach Art. 82 Abs. 4 DSGVO auch alleine für den gesamten Schaden haftet.

c) Die Beklagte konnte sich auch nicht nach Art. 82 Abs. 3 DSGVO exkulpieren, weil die Beklagte sowohl für die Speicherung als auch für die Verwendung selbst verantwortlich ist.

d) Als Schaden kann der Kläger die vorgerichtlichen Anwaltskosten für die Geltendmachung des Anspruchs aus Art. 15 DSGVO geltend machen.

aa) Hinsichtlich der Schadenshöhe hat der EuGH festgestellt, dass sich dieser grundsätzlich nach den nationalen Vorschriften ergibt. Dies darf allerdings nicht gegen die unionsrechtlichen Grundsätze der Äquivalenz und der Effektivität verstoßen. (EuGH GRUR-RS 2023, 8972, Rn. 59) Dahingehend ist zu berücksichtigen, dass die DSGVO einen vollständigen und wirksamen Schadensersatz für den erlittenen Schaden sicherstellen soll. (EuGH GRUR-RS 2023, 8972, Rn. 57) Damit ist kein Strafschadensersatz gefordert. (EuGH GRUR-RS 2023, 8972, Rn. 58) Allerdings erfordert Sinn und Zweck der DSGVO eine weite Auslegung des Schadensbegriffs (BeckOK DatenschutzR/Quaas, 46. Ed. 1.11.2023, DS-GVO Art. 82 Rn. 29).

bb) Hinsichtlich entstandener Rechtsanwaltskosten ist es im Rahmen von § 249 BGB anerkannt, dass diese ersetzt werden müssen, wenn man sich vorprozessual anwaltlicher Hilfe bedient hat, um einen Schadensersatzanspruch geltend zu machen (BeckOGK/Brand, 1.3.2022, BGB § 249 Rn. 178). Der Kläger macht aber Rechtsanwaltskosten geltend, weil er sich zur Durchsetzung seines Anspruchs aus Art. 15 DSGVO eines Anwalts bedient hat, was keinen Schadensersatzanspruch beinhaltet. Ein Schaden müsste sich damit aus den allgemeinen Grundsätzen der §§ 249 ff. BGB ergeben.

Nach der Differenzhypothese sind die Güterlagen mit und ohne schädigendes Ereignis zu bewerten (BeckOGK/Brand, 1.3.2022, BGB § 249 Rn. 12). Danach kann ein Schaden angenommen werden, weil das schädigende Ereignis die Erlangung der Daten durch die Beklagte und deren Verwendung ist. Ohne dieses Ereignis, hätte der Kläger niemals einen Anspruch aus Art. 15 DSGVO geltend machen wollen.

Die Beauftragung eines Anwalts geschah nach dem schädigenden Ereignis und basiert auf einem eigenen Willensentschluss des Klägers. Es handelt sich aber trotzdem um einen unfreiwilligen Schaden und keine Aufwendung als freiwilliges Vermögensopfer. Ein Schaden bei freiwilligen Vermögensopfern liegt vor, wenn sie aus Sicht eines verständigen Menschen in der Lage des Geschädigten erforderlich sind, um die Folgen einer Rechtsgutsverletzung zu beseitigen. (BeckOGK/Brand, 1.3.2022, BGB § 249 Rn. 10) Das ist vorliegend der Fall. Die Rechtsgutsverletzung ist die rechtswidrige Datenverarbeitung. Für den Kläger war es erforderlich, zunächst das Ausmaß dieser Rechtsgutsverletzung in Erfahrung zu bringen, um sich anschließend um die Schadensbehebung zu bemühen. Für die Durchsetzung des Anspruches aus Art. 15 DSGVO war auch die Einschaltung eines Anwalts erforderlich. Dem Kläger war es nicht nach § 254 BGB zuzumuten den Anspruch selbst zu verfolgen (so auch: LG Lübeck, Urteil vom 7. Dezember 2023 – 15 O 73/23 –, juris Rn. 192; LG Nürnberg-Fürth, Beschluss vom 20. Oktober 2023 – 10 O 1510/22 –, juris Rn. 162). Es kann nicht erwartet werden, dass ein juristischer Laie die Regelungen und Ansprüche aus der DSGVO kennt, um diese selbst durchzusetzen.

cc) Auch in der Literatur wird angenommen, dass vorgerichtliche Anwaltskosten ein Schaden sein können (BeckOK DatenschutzR/Quaas, 46. Ed. 1.11.2023, DS-GVO Art. 82 Rn. 29; Boehm in: Simitis/Hornung/Spiecker gen. Döhmann, Datenschutzrecht, 1. Auflage 2019, DSGVO Art. 82 Rn. 28: gerade in Bezug für die Ermittlung und Hilfe den immateriellen Schaden zu beseitigen). Auch in der Rechtsprechung wird dies angenommen (LG Lübeck, Urteil vom 7. Dezember 2023 – 15 O 73/23 –, juris Rn. 192; LG Nürnberg-Fürth, Beschluss vom 20. Oktober 2023 – 10 O 1510/22 –, juris Rn. 162).

dd) Da ein Schaden nach deutschem Recht angenommen werden kann, liegt auch kein Verstoß gegen die unionsrechtlichen Grundsätze der Äquivalenz und der Effektivität vor, da einer weiten Auslegung von Art. 82 DSGVO Rechnung getragen wird.

ee) Die Rechtsfrage ist auch nicht dem EuGH im Wege eines Vorabentscheidungsverfahrens vorzulegen. In der zitierten Entscheidung (EuGH GRUR-RS 2023, 8972) hat er bereits explizit entschieden, dass für die Schadenshöhe das nationale Recht anwendbar ist, dies aber nicht gegen die eigenständigen Anforderungen von Art. 82 DSGVO verstoßen darf. Diese Grundsätze wurden hier beachtet. Eine weitergehende Auslegung von EU-Recht noch ungeklärter Fragen ist nicht veranlasst.

2) Sowohl wegen des Strom- und Gaslieferungsvertrags und der Abwehr der Ansprüche daraus hat der Kläger gegen die Beklagte einen Anspruch auf Schadensersatz auf Erstattung der vorgerichtlichen Anwaltskosten aus §§ 280 Abs. 1; 311 Abs. 2 Nr. 2; 241 Abs. 2 BGB; 7 Abs. 2 Nr. 1 UWG.

a) Zwischen den Parteien bestand ein Schuldverhältnis nach § 311 Abs. 2 Nr. 2 BGB, weil die Beklagte den Kläger zur Vertragsanbahnung angerufen hat.

b) Dabei hat die Beklagte gegen ihre Rücksichtnahmepflicht aus § 241 Abs. 2 BGB i. V. m. § 7 Abs. 2 Nr. 1 UWG verstoßen. Sie hat ihn unaufgefordert angerufen und keine Einwilligung eingeholt, was einen Verstoß gegen § 7 Abs. 2 Nr. 1 UWG darstellt, weil der Kläger Verbraucher nach § 13 BGB war. Dem steht nicht entgegen, dass hier die Vertragsanbahnung und die Pflichtverletzung zusammengehen. Die Pflichtverletzung setzte sich nämlich fort, indem die Beklagte den Anruf aufrechterhielt ohne eine Einwilligung nach § 7a UWG einzuholen (so auch: AG Remscheid, Urteil vom 26. November 2015 – 7 C 73/15 –, juris; LG Arnsberg, Urteil vom 22. Januar 2015 – 8 O 133/14 –, juris Rn. 24; dagegen zweifelnd, aber nicht entschieden: OLG Hamm, Urteil vom 7. Oktober 2016 – 12 U 38/15 –, juris Rn. 38).

Soweit für die Beklagte ein Mitarbeiter handelte, wird ihr dieses Verhalten nach § 278 BGB zugerechnet.

c) Es wird vermutet, dass die Beklagte dies zu vertreten hat (§ 280 Abs. 2 BGB). Die Beklagte handelte sogar vorsätzlich, weil sie es gerade darauf anlegte, den Kläger unaufgefordert anzurufen. Auch hier wird das Verhalten des Mitarbeiters nach § 278 BGB zugerechnet.

Randnummer35
d) Als Schadensersatz kann der Kläger die vorgerichtlichen Anwaltskosten zur Klärung des fehlenden Vertragsverhältnisses und Abwehr der daraus resultierenden Ansprüche verlangen (§ 249 Abs. 1 BGB).

aa) Allein wegen des unerlaubten Anrufs nach § 7 Abs. 2 Nr. 1 UWG kam es zu dem für den Kläger unklaren Vertragsverhältnis zu der Beklagten. Damit waren die Vermögensinteressen des Klägers gefährdet, weil er befürchten musste, dass die Beklagte ungerechtfertigte Zahlungsansprüche geltend macht. Als juristischen Laien war es dem Kläger nicht zumutbar, das tatsächliche Vertragsverhältnis selbst zu klären. Es war somit für ihn erforderlich, einen Anwalt zu beauftragen. Dieser Vermögensschaden des Klägers war auch kausal aufgrund der Pflichtverletzung, weil das unklare Vertragsverhältnis gerade aus dem ungewollten Telefonanruf hervorging.

bb) Daran ändert nichts, dass die Beklagte mit Schreiben vom 14.02.2023 den Gaslieferungsvertrag kündigte. Entscheidend war, ob überhaupt ein Vertrag zustande kam. Im Kündigungsschreiben wurde auch noch angekündigt, dass eine Abschlussrechnung erfolgen werde. Damit ging die Beklagte weiterhin von einem geschlossenen Vertrag aus.

Hinsichtlich des Vertrags über Stromlieferung musste der Beklagte bis zu Schluss davon ausgehen, dass die Beklagte von einem bestehenden Vertrag ausging, weil er keine gegenteilige Information erhielt.

3) Sowohl wegen des Strom- und Gaslieferungsvertrags und der Abwehr der Ansprüche daraus kann der Kläger gegen die Beklagte Schadensersatz auf Erstattung der vorgerichtlichen Anwaltskosten aus §§ 831; 823 Abs. 2 BGB i. V. m. §§ 20 Abs. 1 Nr. 1; 7 Abs. 2 Nr. 1 UWG und damit aus einer weiteren Anspruchsgrundlage verlangen.

a) § 7 Abs. 2 Nr. 1 UWG ist an sich kein Schutzgesetz im Sinne des § 823 Abs. 2 BGB, weil die §§ 8 ff. UWG die zivilrechtliche Folgen des Verstoßes abschließend regeln (OLG Köln, Urteil vom 18. November 2022 – 6 U 49/22 –, juris). Allerdings ist § 7 Abs. 2 Nr. 1 UWG darüber hinaus nach § 20 Abs. 1 Nr. 1 UWG bußgeldbewährt. Diese Norm ist als Schutzgesetz im Sinne des § 823 Abs. 2 BGB einzuordnen (BeckOK UWG/Fritzsche, 22. Ed. 1.10.2023, UWG § 7 Rn. 21). Der Schutzumfang ist derselbe, weshalb nicht entschieden werden muss, ob § 7 Abs. 2 Nr. 1 UWG nicht doch selbst nach richtlinienkonformer Auslegung (Art. 13 ePrivacy-RL) als Schutzgesetz anzusehen ist (so: Köhler/Bornkamm/Feddersen/Köhler, 42. Aufl. 2024, UWG § 7 Rn. 24).

Das Gericht folgt auch dieser in der Literatur vertretene Auffassung. Eine Norm ist ein Schutzgesetz nach § 823 Abs. 2 BGB, wenn sie gerade Individualinteressen schützen möchte. Das ist hier der Fall. Das UWG will Verbraucher schützen (§ 1 Abs. 1 UWG). Dieser Schutz ist besonders ausgeprägt. So gewährt § 7 Abs. 2 Nr. 1 UWG Schutz vor sogenannten Cold-Calls. Dieser ist gegenüber Verbrauchern besonders ausgestaltet, da bei ihnen eine ausdrückliche Einwilligung eingeholt werden muss und ein Verstoß dagegen bußgeldbewährt ist, was bei Nicht-Verbrauchern jeweils nicht der Fall ist. Die Norm will somit nicht nur die Allgemeinheit vor Cold-Calls schützen, sondern auch einzelne Verbraucher vor dessen Gefahren bewahren. Wegen § 20 Abs. 1 Nr. 1 UWG kann nicht davon ausgegangen werden, dass die §§ 8 ff. UWG eine weitergehende zivilrechtliche Haftung ausschließen, weil die §§ 8 ff. UWG nicht die zivilrechtlichen Folgen von § 20 Abs. 1 Nr. 1 UWG regelt und § 20 Abs. 1 Nr. 1 UWG auch nicht denselben Regelungsgehalt von § 7 Abs. 2 Nr. 1 UWG hat, sondern einen eingeschränkteren Anwendungsbereich hat.

b) Die Beklagte verstieß gegen § 7 Abs. 2 Nr. 1 UWG. Sie holte beim Kläger keine Einwilligung ein für den ungefragten Anruf und zwischen den Parteien bestand auch davor keine Vertragsbeziehung. Der Kläger war Verbraucher nach § 13 BGB.

c) Dieses Vorgehen war durch die Beklagte auch so geplant, weshalb sie vorsätzlich nach § 823 Abs. 2 S. 2 BGB handelte.

d) Da für die Beklagte ein Mitarbeiter als Verrichtungsgehilfe handelte, haftet die Beklagte selbst nach § 831 BGB. Sie kann sich nicht nach § 831 Abs. 1 S. 2 BGB exkulpieren, weil dazu nichts vorgetragen wurde.

e) Als Schaden kann der Kläger die vorgerichtlichen Rechtsanwaltskosten nach § 249 Abs. 1 BGB verlangen.

aa) Der Kläger war damit konfrontiert, dass die Beklagte von zwei abgeschlossenen Verträgen ausging, was tatsächlich nicht der Fall war. Grundlage dafür war gerade die unzumutbare Belästigung nach § 7 Abs. 2 Nr. 1 UWG. Um diese Belastung zu beseitigen, hat Kläger zunächst Widerrufserklärungen abgegeben. Dies war aber nicht erfolgreich, weil der Kläger anschließend mit Gas zwangsbeliefert wurde und hinsichtlich des Vertrags über den Strom für ihn weiter nicht erkenntlich war, ob die Beklagte von einem wirksamen Vertrag ausging. Für den Kläger war es damit erforderlich einen Anwalt zu beauftragen, um das Vertragsverhältnis zu klären. Als juristischer Laie war ihm nicht klar, ob ein abgeschlossener Vertrag vorliegt oder er dies noch verhindern konnte. Für ihn war aber klar, dass zumindest die Beklagte noch von einem abgeschlossenen Vertrag ausging.

Damit wollte der Kläger nicht nur außervertragliche Ansprüche abwehren, wofür die Voraussetzungen der Geltendmachung von außergerichtlichen Rechtsanwaltskosten hoch sind (dazu: AG Lörrach, Urteil vom 25. September 2023 – 3 C 560/23 –, juris unter Verweis auf: BGH, NJW 2009, 1262). Für den Kläger ging es darum, ob der Vertrag an sich besteht. Gerade diese Unsicherheit will § 7 Abs. 2 Nr. 1 UWG vermeiden und die Beseitigung davon ist vom Schutzzweck und damit vom Schadensumfang umfasst.

bb) Daran ändert nichts, dass die Beklagte mit Schreiben vom 14.02.2023 den Gaslieferungsvertrag kündigte. Entscheidend war, ob überhaupt ein Vertrag zustande kam. Im Kündigungsschreiben wurde auch noch angekündigt, dass eine Abschlussrechnung erfolgen werde. Damit ging die Beklagte weiterhin von einem geschlossenen Vertrag aus.

Hinsichtlich des Vertrags über Stromlieferung musste der Beklagte bis zu Schluss davon ausgehen, dass die Beklagte von einem bestehenden Vertrag ausging, weil er keine gegenteilige Information erhielt.

4) Die Schadenshöhe für die jeweiligen Schadensersatzansprüche des Klägers setzen sich aus einem einheitlichen Streitwert zusammen, der die Höhe der Rechtsanwaltsgebühren bestimmt. Die Angelegenheit wurde als eine einzige behandelt und dafür ist ein einheitlicher Streitwert nach § 22 Abs. 1 RVG zu bilden.

Für den Auskunftsanspruch nahm der Kläger 1.000 € an, für den Gasliefervertrag 500 € und für den Stromliefervertrag 5.000 €. Die Beklagte ist diesen Werten nicht entgegengetreten. Zumindest hinsichtlich der Gasrechnung verlangte die Beklagte noch 654 €, weshalb die angesetzten 500 € angemessen waren. Soweit die Beklagte den Wert des Stromliefervertrags in Höhe von 5.000 € nicht anzweifelt, hält das Gericht auch diesen Betrag für angemessen. Hinsichtlich des Auskunftsanspruchs sieht das Gericht auch keinen Grund an der Angemessenheit von 1.000 € als Streitwert zu zweifeln.

Ausgehend von einem Streitwert von 6.500 € kann eine 1,3 Geschäftsgebühr, die Pauschale und die Mehrwertsteuer in Höhe von insgesamt 713,76 € verlangt werden.

C) Die Beklagte hat die Kosten des Rechtsstreits nach § 91 ZPO zu tragen, weil sie den Rechtsstreit verloren hat. Soweit der Rechtsstreit beidseitig für erledigt erklärt wurde, hat die Beklagte die Kosten nach § 91a ZPO zu tragen. Der Klageantrag Nr. 1 war ursprünglich zulässig und begründet. Wegen der Anspruchsberühmung war der Feststellungsantrag zulässig nach § 256 ZPO (BeckOK ZPO/Bacher, 51. Ed. 1.12.2023, ZPO § 256 Rn. 22). Die Beklagte forderte von dem Kläger noch 654 € aus dem Gasliefervertrag. Die Klage war auch begründet. Zwischen den Parteien kam kein Vertrag zustande. Für einen Vertragsschluss war die Beklagte beweisbelastet und hat dafür keinen Beweis angeboten, so dass auch damit zu rechnen war, dass sie den Prozess dahingehend verloren hätte. Dies erledigte sich dadurch, dass die Beklagte während des Prozesses versicherte aus dem Gasliefervertrag keine Ansprüche geltend machen zu wollen, damit war die Klage zum Zeitpunkt des erledigenden Ereignisses zulässig und begründet.

Den Volltext der Entscheidung finden Sie hier:

EuGH
Urteil vom 05.03.2024
C-755/21 P
Kočner ./. Europol

Der EuGH hat entschieden, dass Europol und der jeweilige Mitgliedstaat bei Zusammenarbeit gesamtschuldnerisch für Schäden aufgrund widerrechtlicher Datenverarbeitung auf Schadensersatz haften.

Die Pressemitteilung des EuGH:
Datenverarbeitung: Europol und der Mitgliedstaat, in dem aufgrund einer widerrechtlichen Datenverarbeitung im Rahmen der Zusammenarbeit zwischen Europol und diesem Mitgliedstaat ein Schaden eingetreten ist, haften für diesen Schaden gesamtschuldnerisch

Die betroffene Person, die von Europol oder dem betreffenden Mitgliedstaat vollständigen Ersatz ihres Schadens begehrt, muss lediglich nachweisen, dass anlässlich der Zusammenarbeit zwischen diesen beiden Stellen eine widerrechtliche Datenverarbeitung vorgenommen wurde, durch die ihr ein Schaden entstanden ist. Es ist nicht erforderlich, dass sie darüber hinaus nachweist, welcher dieser Stellen die widerrechtliche Verarbeitung zuzurechnen ist.

Nach der Ermordung des slowakischen Journalisten Ján Kuciak und von dessen Verlobter Martina Kušnírová am 21. Februar 2018 in der Slowakei führten die slowakischen Behörden umfangreiche Ermittlungen durch. Auf Ersuchen dieser Behörden extrahierte die Agentur der Europäischen Union für die Zusammenarbeit auf dem Gebiet der Strafverfolgung (Europol) die Daten, die auf zwei mutmaßlich Herrn Marian Kočner gehörenden Mobiltelefonen gespeichert waren. Europol übermittelte den genannten Behörden sodann ihre wissenschaftlichen Berichte und übergab eine Festplatte mit den extrahierten verschlüsselten Daten. Im Mai 2019 veröffentlichte die slowakische Presse Informationen betreffend Herrn Kočner, die aus dessen Mobiltelefonen stammten, darunter Transkriptionen seiner intimen Kommunikation. Zudem wies Europol in einem ihrer Berichte darauf hin, dass Herr Kočner seit 2018 wegen des Verdachts einer Finanzstraftat in Haft sei und dass sein Name u. a. unmittelbar mit den sogenannten „Mafia-Listen“ und den „Panama Papers“ in Zusammenhang stehe.

Herr Kočner erhob beim Gericht der Europäischen Union gegen Europol Klage auf eine Entschädigung in Höhe von 100 000 Euro als Ersatz des immateriellen Schadens, den er seiner Ansicht nach aufgrund der rechtswidrigen Verarbeitung seiner Daten erlitten hat. Mit Urteil vom 29. September 20211 wies das Gericht die Klage ab. Es kam zu dem Ergebnis, dass Herr Kočner zum einen keinen Beweis für einen Kausalzusammenhang zwischen dem behaupteten Schaden und dem Verhalten von Europol erbracht habe und zum anderen nicht nachgewiesen habe, dass die sogenannten „Mafia-Listen“ von Europol erstellt und geführt worden seien. Herr Kočner hat daraufhin beim Gerichtshof ein Rechtsmittel eingelegt.

Der Gerichtshof stellt in seinem Urteil fest, dass das Unionsrecht eine Regelung der gesamtschuldnerischen Haftung Europols und des Mitgliedstaats, in dem der Schaden infolge einer widerrechtlichen Datenverarbeitung im Rahmen einer Zusammenarbeit zwischen Europol und diesem Mitgliedstaat eingetreten ist, einführt. In einer ersten Stufe kann die gesamtschuldnerische Haftung Europols bzw. des betreffenden Mitgliedstaats vor dem Gerichtshof der Europäischen Union bzw. vor dem zuständigen nationalen Gericht geltend gemacht werden. Gegebenenfalls kann eine zweite Stufe vor dem Verwaltungsrat von Europol zur Klärung der Frage folgen, ob „letztlich“ Europol und/oder der betreffende Mitgliedstaat für den einer natürlichen Person gewährten Schadensersatz „zuständig“ sind bzw. ist.

Zur Geltendmachung dieser gesamtschuldnerischen Haftung muss die betroffene natürliche Person lediglich im Rahmen der ersten Stufe nachweisen, dass anlässlich der Zusammenarbeit zwischen Europol und dem betreffenden Mitgliedstaat eine widerrechtliche Datenverarbeitung vorgenommen wurde, durch die ihr ein Schaden entstanden ist. Anders als das Gericht entschieden hat, ist es nicht erforderlich, dass diese Person darüber hinaus nachweist, welcher dieser beiden Stellen die widerrechtliche Verarbeitung zuzurechnen ist. Folglich hebt der Gerichtshof das Urteil des Gerichts in diesem Punkt auf.

Der Gerichtshof entscheidet den Rechtsstreit selbst und urteilt, dass die widerrechtliche Datenverarbeitung, die in der Weitergabe von Daten betreffend intime Gespräche zwischen Herrn Kočner und seiner Freundin an Unbefugte zum Ausdruck kam, dazu führte, dass diese Daten durch die slowakische Presse der Öffentlichkeit zugänglich gemacht wurden. Er stellt fest, dass diese widerrechtliche Verarbeitung das Recht von Herrn Kočner auf Achtung seines Privat- und Familienlebens sowie seiner Kommunikation verletzt hat und seine Ehre und sein Ansehen beeinträchtigt hat, wodurch ihm ein immaterieller Schaden entstanden ist. Der Gerichtshof spricht Herrn Kočner eine Entschädigung in Höhe von 2 000 Euro als Ersatz dieses Schadens zu.

Den Volltext der Entscheidung finden Sie hier:

BFH
Beschluss vom 08.02.Februar 2024
IX B 113/22

Der BFH hat entschieden, dass juristische Personen keine Ansprüche nach der DSGVO und damit auch keinen Auskunftsanspruch gemäß Art. 15 DSGVO haben.

Aus den Entscheidungsgründen:
2. Ein Anspruch auf Überlassung der begehrten elektronischen Kopien über den Anwendungsbereich des § 78 FGO hinaus ergibt sich entgegen der Auffassung der Klägerin nicht aus Art. 15 Abs. 1 Halbsatz 2, Abs. 3 DSGVO.

a) Dabei kann dahinstehen, ob ‑‑wie vom X. Senat des BFH bereits entschieden‑‑ die Finanzgerichtsordnung dem Datenschutzrecht und damit auch dem Auskunftsrecht aus Art. 15 DSGVO vorgeht (BFH-Beschluss vom 29.08.2019 - X S 6/19, Rz 23, unter Verweis auf die Stellungnahme der Bundesregierung in ihrer Gegenäußerung zur Bundesratsstellungnahme vom 23.03.2017 zu Nr. 6, BTDrucks 18/11655, S. 27; ebenso BFH-Beschluss vom 18.03.2021 - V B 29/20, BFHE 272, 296, BStBl II 2021, 710, Rz 23; zu § 299 der Zivilprozessordnung vgl. Beschluss des Thüringer Oberlandesgerichts vom 22.06.2023 - 2 VA 5/23; zustimmend z.B. Brandis in Tipke/Kruse, § 78 FGO Rz 1; kritisch Schaz, Deutsche Steuer-Zeitung 2020, 338, 339 f.).

b) Jedenfalls enthält die Datenschutz-Grundverordnung nach deren Art. 1 Abs. 1 und 2 nur Vorschriften zum Schutze natürlicher Personen. Sie erfasst nicht die Daten, die juristische Personen betreffen (EuGH-Urteil J & S Service vom 10.12.2020 - C-620/19, EU:C:2020:1011, Rz 41). Als betroffene Personen kommen daher nur natürliche Personen in Betracht (vgl. Art. 4 Nr. 1 DSGVO). Im Erwägungsgrund 14 der DSGVO heißt es hierzu, dass die Datenschutz-Grundverordnung nicht für die Verarbeitung personenbezogener Daten juristischer Personen und insbesondere als juristische Person gegründeter Unternehmen, einschließlich Name, Rechtsform oder Kontaktdaten der juristischen Person, gilt. Dementsprechend betont der EuGH, dass der Begriff "Informationen, die sich auf Körperschaften beziehen" streng von dem unionsrechtlich definierten Begriff der personenbezogenen Daten natürlicher Personen zu unterscheiden ist. Das Recht natürlicher Personen auf Schutz ihrer personenbezogenen Daten ist ein Grundrecht, das durch Art. 8 Abs. 1 der Charta der Grundrechte der Europäischen Union garantiert wird. Dagegen werden Informationen, die juristische Personen betreffen, im Unionsrecht nicht in vergleichbarer Weise geschützt (vgl. EuGH-Urteil J & S Service vom 10.12.2020 - C-620/19, EU:C:2020:1011, Rz 46).

Im Streitfall kann die Klägerin, eine GmbH, als juristische Person daher keine Rechte aus Art. 15 DSGVO ableiten.

c) Ob der Gesellschafter-Geschäftsführer der Klägerin gegebenenfalls Rechte betreffend Daten einer sogenannten "Ein-Mann-GmbH" geltend machen kann, braucht der Senat nicht zu entscheiden. Den hier streitgegenständlichen Antrag hat der Gesellschafter-Geschäftsführer der Klägerin nicht als möglicherweise betroffene natürliche Person im eigenen Namen, sondern im Namen der Klägerin, also einer juristischen Person, gestellt.

d) Auch soweit sich die Klägerin auf § 2a Abs. 5 der Abgabenordnung (AO) beruft, begründet dies keine Anwendung des Art. 15 DSGVO. Die Anwendungserweiterung der Datenschutz-Grundverordnung durch § 2a Abs. 5 AO gilt nur für das Besteuerungsverfahren nach der Abgabenordnung (so auch Drüen in Tipke/Kruse, § 2a AO Rz 24a), nicht jedoch für das Verfahren vor den Finanzgerichten.

3. Der erkennende Senat sieht keinen Anlass für die Einholung einer Vorabentscheidung des EuGH nach Art. 267 des Vertrags über die Arbeitsweise der Europäischen Union.

a) Nach Ansicht des Senats bestehen ‑‑auf Grundlage der oben genannten Rechtsprechung des EuGH‑‑ keine Zweifel daran, dass gemäß Art. 1 Abs. 1 und 2 DSGVO juristische Personen keine Rechte aus der Datenschutz-Grundverordnung ableiten können, sondern lediglich die dahinterstehenden, betroffenen (natürlichen) Personen.

b) Mangels Anwendbarkeit der Datenschutz-Grundverordnung ist im vorliegenden Verfahren auch nicht klärbar, ob FA und FG gemeinsam Verantwortliche im Sinne des Art. 26 DSGVO sein können.

c) Die Frage, ob Art. 23 Abs. 1 DSGVO von seinem Anwendungsbereich nationale Gesetzgebungsmaßnahmen, die vor dem Inkrafttreten der Datenschutz-Grundverordnung erlassen wurden, ausschließt, hat der EuGH bereits beantwortet (EuGH-Urteil FT (Copies du dossier médical) vom 26.10.2023 - C-307/22, EU:C:2023:811, Rz 56) und ist im Streitfall auch nicht entscheidungserheblich.

Den Volltext der Entscheidung finden Sie hier: