Skip to content

OLG Dresden: Löschungsanspruch aus Art. 17 DSGVO schließt Anspruch auf Unterlassung der Verarbeitung personenbezogener Daten gemäß §§ 823, 1004 BGB nicht aus

OLG Dresden
Urteil vom 14.12.2021
4 U 1278/21


Das OLG Dresden hat entschieden, dass der Löschungsanspruch aus Art. 17 DSGVO einen Anspruch auf Unterlassung der Verarbeitung personenbezogener Daten gemäß §§ 823, 1004 BGB nicht ausschließt.

Aus den Entscheidungsgründen:
"Es handelt sich hierbei um personenbezogene Daten im Sinne des Art. 4 Nr. 1 DSGVO, mit denen der Kläger als natürliche Person identifiziert werden kann. Dem steht hier nicht entgegen, dass es neben dem Kläger mit dem tatsächlichen Schuldner eine Person gibt, die denselben Namen trägt. Zu Unrecht meinen die Beklagten, ein Löschungsanspruch sei bereits deswegen ausgeschlossen, weil der Name nicht dem Kläger allein „gehöre“, sondern mehrere Personen des gleichen Namens existierten. Der Name gehört unbeschadet dessen nach Art. 4 DSGVO zu den personenbezogenen Daten, sofern eine Person hierüber sicher identifiziert werden kann. Bei Namensgleichheit mehrerer Personen wird der Personenbezug ggf. über weitere Zusatzinformationen hergestellt, die eine konkrete Verbindung zu einer der von einer Namensgleichheit betroffenen Personen begründen (vgl. Karg in: Simitis/Hornung/Spiecker (Hrsg.), Datenschutzrecht, 2019, Art. 4 Nr.1, a.a.O. Rn 51). Eine solche Verbindung liegt vor, wenn die Person entweder direkt über die Information identifiziert wird oder durch Hinzuziehung weiterer Informationen oder Zwischenschritte jedenfalls identifizierbar ist (vgl. Karg in Simitis/Hornung/Spiecker (Hrsg.), Datenschutzrecht, 2019, Art. 4 Nr. 1, Rn. 46). So liegen die Dinge hier. Unstreitig ist bei beiden Beklagten nämlich nicht lediglich der Name des Klägers hinterlegt, sondern zusätzlich dessen Geburtsdatum und Wohnanschrift, mag auch letztere bei der Beklagten zu 2) mit einem Sperrvermerk versehen sein. Es kann dahinstehen, ob diese Daten in der IT der Beklagten konkret miteinander schon so verbunden sind, dass der Kläger hierüber eindeutig identifizierbar ist, weil eine solche Zusammenstellung jedenfalls im Bedarfsfall unschwer bewerkstelligt werden könnte. Dass hiergegen aufgrund der Ausgestaltung ihrer jeweiligen Datenbanksoftware Vorkehrungen getroffen worden wären, die eine solche Zuordnung und damit die konkrete Identifizierung des Klägers ausschließen, haben die Beklagten nicht behauptet und unter Beweis gestellt. Sind damit die über den Kläger gespeicherten Daten trotz der Namensidentität mit dem tatsächlichen Schuldner infolge dieser Verknüpfungsmöglichkeit personenbezogene Daten des Klägers, obliegt es den Beklagten entweder, diese Daten für sich genommen zu löschen oder durch Schutzvorkehrungen sicherzustellen, dass eine Verknüpfung, die eindeutig auf den Kläger hinweist, zukünftig ausgeschlossen ist. Dabei hat der Kläger nur einen Anspruch darauf, dass dies geschieht, nicht jedoch in welcher Weise die Beklagten hierbei vorgehen müssen. Ebenso wie im Bereich der negatorischen und quasinegatorischen Ansprüche aus § 1004 BGB, bei denen die Entscheidung, mit welchen Mitteln die Beeinträchtigung zu beseitigen ist, dem Störer überlassen bleibt und bei denen das Gericht regelmäßig davon absieht, bestimmte Maßnahmen anzuordnen (vgl. statt aller BGH, Urteil vom 14. Dezember 2017 – I ZR 184/15 –, juris; Ebbing in: Erman, BGB, 16. Aufl. 2020, § 1004 BGB, Rn. 6), hat nämlich auch der Schuldner eines Löschungsanspruchs nach Art. 17 DSGVO die Wahl, wie er eine aus der Zusammenstellung von Einzelinformationen resultierende Verletzung der Schutzrechte des Betroffenen abstellt.

b) Entgegen der Auffassung der Beklagten erfolgt die Verarbeitung der Daten des Klägers auch nicht rechtmäßig gemäß Art. 17 Abs. 1d i.V.m. Art. 6 DSGVO.

aa) Der Kläger hat seine Einwilligung zur Verarbeitung seiner personenbezogenen Daten nicht erteilt, Art. 7, 6 Abs. 1a) DSGVO.

bb) Die Voraussetzungen von Art. 6 Abs. 1b) DSGVO sind nicht erfüllt. Danach liegt Rechtmäßigkeit vor, wenn die Verarbeitung für die Erfüllung eines Vertrages, dessen 8 Vertragspartei die betroffene Person ist, oder zur Durchführung vorvertraglicher Maßnahmen erforderlich ist, die auf Anfrage der betroffenen Person erfolgte. Der Kläger ist jedoch weder Vertragspartner der K...... Bank noch der Beklagten. Ob den Beklagten im Rahmen ihres Auftragsverhältnisses mit der K...... Bank oder untereinander die Daten zur Erfüllung der jeweiligen Verträge übermittelt wurden, ist unerheblich. Denn nach dem Wortlaut der Vorschrift kommt es auf die vertraglichen Beziehungen mit der betroffenen Person - dem Kläger - an.

cc) Die Beklagten können sich auch nicht mit Erfolg auf Art. 6 1c) DSGVO i.V.m. § 147 AO berufen, denn die Löschung steht den Aufbewahrungspflichten nicht entgegen.

Nach dieser Regelung ist die Verarbeitung rechtmäßig, wenn sie zur Erfüllung einer rechtlichen Verpflichtung erforderlich ist, der der Verantwortliche unterliegt. Dabei muss es sich um eine gesetzliche Pflicht handeln (vgl. Roßnagel in Simitis/Hornung/Spiecker [Herausgeber] in Datenschutzrecht, 2019, Art. 6 Abs. 1 Rn. 51). Die Datenverarbeitung kann erforderlich sein, um Dokumentationspflichten z. B. nach § 147 AO zu erfüllen (vgl. Roßnagel a.a.O., Rn 54). Die Erlaubnis zur Datenverarbeitung ist auf die Erfüllung der jeweiligen gesetzlichen Pflicht beschränkt (vgl. Roßnagel a.a.O.). Von der Aufbewahrungspflicht erfasst sind die gesamte, den betrieblichen Bereich des Kaufmanns betreffende Korrespondenz, soweit sie sich auf die Vorbereitung, Durchführung oder Rückgängigmachung eines Handelsgeschäftes bezieht, also z. B. Aufträge, Auftragsbestätigungen, Lieferscheine, Frachtbriefe oder Rechnungen (vgl. Mues in Gosch, Kommentar zur Abgabenordnung, Stand 01.04.2021, § 147 B Rn. 13 - juris). Auf die Form der Korrespondenz kommt es nicht an, so dass Briefe im Sinne der Vorschrift auch Telefaxe, Telegramme, E-Mails und auch andere durch Datenübertragung übersendete Nachrichten sind (vgl. Mues a.a.O.). Die gesetzlichen Aufbewahrungspflichten gemäß § 147 AO werden von der Löschungspflicht aber nicht berührt. Die Beklagten sind nicht verpflichtet die geschäftliche Korrespondenz zu löschen. Ihre Löschungspflicht beschränkt sich auf den Namen, die Anschrift und das Geburtsdatum des Klägers, und damit auf die Daten, mit denen er eindeutig identifiziert werden kann. Enthalten elektronisch gespeicherte Datenbestände nicht aufzeichnungs- und aufbewahrungspflichtige, personenbezogene oder dem Berufsgeheimnis unterliegende Daten, so obliegt es dem Steuerpflichtigen, die Datenbestände so zu organisieren, dass der Prüfer nur auf die aufzeichnungspflichtige - und aufbewahrungspflichtige Daten zugreifen kann. Dies kann z. B. durch geeignete Zugriffsbeschränkungen oder „digitales Schwärzen“ der zu schützenden Information erfolgen (vgl. Bundesministerium der Finanzen: Grundsätze zur ordnungsgemäßen Führung und Aufbewahrung von Büchern, Aufzeichnungen und Unterlagen in elektronischer Form sowie zum Datenzugriff vom 28.11.2019, Rn 172 - juris). Auf der geschäftlichen Korrespondenz können die Daten, die eine Identifizierung seiner Person erlauben, geschwärzt werden.

dd) Die Rechtmäßigkeit der Verarbeitung ergibt sich auch nicht aus Art. 6 Abs. 1f) DSGVO, denn im Rahmen der Abwägung überwiegen die Interessen des Klägers.

Nach dieser Regelung ist die Verarbeitung zur Wahrung der berechtigten Interessen des Verantwortlichen oder eines Dritten erforderlich, sofern nicht die Interessen oder Grundrechte und Grundfreiheiten der betroffenen Person, die den Schutz personenbezogener Daten erfordern, überwiegen. Der Begriff der berechtigten Interessen ist weit zu verstehen. Er umfasst sowohl rechtliche als auch wirtschaftliche und ideelle Interessen (vgl. Schantz in Simitis/Hornung/Spiecker [Herausgeber] in Datenschutzrecht, 2019, Art. 6 Abs. 1 Rn. 98). Zu den berechtigten Interessen der Beklagten zu 2) gehört das Interesse an einer möglichst hohen Effektivität der Inkassodienstleistung, also an einem möglichst effizienten Forderungsmanagement (vgl. AG Hamburg - St. Georg, Urteil vom 25.08.2020 - 912 C 145/20, Rn. 37 - juris). Die Forderungsausfälle der Gläubiger sollen so gering wie möglich gehalten werden, die notwendige Liquidität der Wirtschaftsunternehmen gewahrt und der erstattungspflichtige Schuldner so wenig wie möglich mit weiteren Kosten belastet werden (so AG Hamburg - St. Georg, a.a.O.). Im Hinblick darauf hat die Beklagte zu 2) ein Interesse daran, bei der Ermittlung des Wohnortes des Schuldners nicht erneut den Kläger zu ermitteln und diesen anzuschreiben, um erst nach Inanspruchnahme des Klägers erneut festzustellen, dass dieser nicht der richtige Schuldner ist. Dies entspricht auch dem Interesse der Beklagten zu 1), die von der Beklagten zu 2) mit einer Einwohnermeldeanfrage betraut worden ist. Auch bei ihr besteht die Gefahr, dass ihr mit den von der Auftraggeberin - der K...... Bank - mitgeteilten Kontaktdaten, die Adresse des Klägers ermittelt wird. Die Speicherung der Daten des Klägers verhindert seine erneute Inanspruchnahme. Zwingend für die Forderungseintreibung ist dies jedoch nicht. Auch ohne eine solche Speicherung bleibt die Forderungseintreibung möglich (ebenso AG Hamburg - St. Georg a.a.O.). Zwar wird der Kläger damit dem Risiko unterworfen, in der Zukunft erneut unberechtigterweise in Anspruch genommen zu werden. Diesem Risiko hat er sich aber selbst ausgesetzt, indem er die Löschung der Daten verlangt hat. Dies ist von ihm hinzunehmen (ebenso AG Hamburg - St. Georg a.a.O.).

Die Interessen des Klägers an seinem Recht zur informationellen Selbstbestimmung überwiegen im vorliegenden Fall. Bereits durch die Verarbeitung seiner Daten ohne seine Einwilligung werden seine Grundrechte aus Art. 7, 8 GRCh betroffen. Seine Daten werden bei einem Inkassounternehmen, wie der Beklagten zu 2), und einem Unternehmen, das sich mit Einwohnermeldeanfragen befasst, wie der Beklagten zu 1) gespeichert, ohne dass dies durch eine Forderungseintreibung veranlasst wäre. Die Speicherung der Daten des Klägers beruht auf der Namensidentität mit seinem Sohn und der damit verbundenen Verwechselung mit dem Schuldner. Zwar ist entgegen der Darlegung des Klägers ein Schufa-Eintrag nicht erfolgt, denn ausweislich des vorgelegten Schreibens der Schufa vom 17.04.2020 (Anlage K9) liegen dort nur positive Vertragsinformationen zu ihm vor. Gleichwohl ist es in Zukunft nicht auszuschließen, dass auf Anfrage bei den Beklagten die Daten des Klägers weiterverbreitet werden und den unzutreffenden Eindruck erwecken, ein Inkassounternehmen sei mit der Eintreibung einer Forderung gegen ihn oder mit der Ermittlung seiner Wohnanschrift beauftragt worden, was gegen seine Bonität spricht. Im Hinblick auf den hohen Wert, den die Charta der Grundrechte der Europäischen Union dem Schutz der personenbezogenen Daten in Art. 8 GRCh und damit dem Recht auf informationelle Selbstbestimmung beimisst, hat das Interesse der Beklagten an einer einfachen Beitreibung von Schulden ohne Fehlermittlungen von Anschriften zurückzustehen.

c) Der Anspruch auf Löschung entfällt auch nicht gemäß Art. 17 Abs. 3 b) DSGVO. Wie bereits unter Ziffer cc) ausgeführt steht die rechtliche Verpflichtung zur Aufbewahrung von Geschäftsunterlagen nach § 147 AO dem Löschungsanspruch nicht entgegen.

2. Dem Kläger steht ein Anspruch gegen die Beklagten auf Unterlassung der Verarbeitung seiner personenbezogenen Daten insoweit zu, als er als Schuldner der Forderung aus dem Vollstreckungsbescheid des Amtsgerichtes Hagen vom 21.12.2015 geführt wird, §§ 823, 1004 BGB.

Die Geltendmachung eines Anspruchs auf Unterlassung aus §§ 823 Abs. 1 i.V.m. 1004 BGB ist neben den Rechten aus der Datenschutzgrundverordnung möglich, da nur so ein lückenloser Schutz hinsichtlich der Verarbeitung personenbezogener Daten von natürlichen Personen gewährleistet werden kann, die wiederum in das Persönlichkeitsrecht des Betroffenen gemäß Art. 1, 2 GG rechtswidrig eingreift, auch wenn ein solcher Anspruch in der Datenschutzgrundverordnung weder explizit geregelt ist noch etwa gemäß Art. 17 DSGVO über eine Auslegung ein solcher Unterlassungsanspruch anzunehmen sein könnte (Senat, Urteil vom 31.8.2021 - 4 U 324/21 - juris; Beschluss vom 19.04.2021 - 4 W 243/21 - juris; ebenso Landgericht Darmstadt, Urteil vom. 26.05.2020 - 13 O 244/19, Rn. 38 - juris; a.A. allerdings VG Regensburg, Gerichtsbescheid vom 06.08.2020 - Rn 9 K 19.1061 - juris; vgl. zum Streitstand Halder, jurisPR-ITR 4/2021 Anm. 5). Würde man einen solchen Unterlassungsanspruch verneinen, wäre kein ausreichender Individualrechtsschutz gegeben. Es ist daher nicht davon auszugehen, dass die Datenschutzgrundverordnung, weil sie keinen ausdrücklichen Unterlassungsanspruch enthält, eine Sperrwirkung entfaltet (so auch Landgericht Darmstadt, a.a.O.). Die Voraussetzungen für einen solchen Unterlassungsanspruch liegen vor. Wie bereits ausgeführt war die Verarbeitung der personenbezogenen Daten nicht rechtmäßig, auch eine Wiederholungsgefahr liegt vor. Ein rechtswidriger Eingriff in das allgemeine Persönlichkeitsrecht des Betroffenen begründet eine tatsächliche Vermutung für das Vorliegen der Wiederholungsgefahr. Diese Vermutung kann entkräftet werden, wobei daran strenge Anforderungen zu stellen sind; im Grundsatz ist eine strafbewehrte Unterlassungserklärung erforderlich (vgl. Senat, Beschluss vom 18.10.2021 - 4 U 1407/21 - juris). Vorliegend haben die Beklagten die Vermutung für eine Wiederholungsgefahr nicht widerlegt. Sie bestehen vielmehr darauf, dass die Datenverarbeitung rechtmäßig war und ihnen auch zukünftig gestattet ist. Allerdings kann die Unterlassung der Verarbeitung der personenbezogenen Daten nur insoweit verlangt werden, als der Kläger als Schuldner der Forderung aus dem Vollstreckungsbescheid des Amtsgerichtes Hagen geführt wird. Denn es kann für die Zukunft nicht ausgeschlossen werden, dass ein anderer Gläubiger Forderungen gegen den Kläger haben wird, mit deren Eintreibung die Beklagten beauftragt werden. In diesem Rahmen kann die Berechtigung zur Datenverarbeitung nicht verneint werden. Dies gilt auch insoweit, als die Beklagten berechtigt sind, die personenbezogenen Daten des Klägers im Zusammenhang mit der vorliegenden rechtlichen Auseinandersetzung zu speichern und zu verarbeiten.

3. Dem Kläger steht kein Anspruch auf Schadensersatz gemäß § 82 Abs. 1 DSGVO gegen die Beklagten zu. Der Kläger hat den Eintritt eines kausal auf die Pflichtverletzung der Beklagten zurückzuführenden Schadens nicht schlüssig dargelegt. Der geltend gemachte Schadensersatzanspruch in Höhe von 10.000,00 € findet im Vortrag überhaupt keine Stütze. Zu seinem materiellen Schaden hat der Kläger ausgeführt, dass ihm durch die Beantragung von Meldebescheinigungen, Geburtsurkunden, Aufforderungsschreiben durch den Prozessbevollmächtigten ein Schaden von mehreren hundert Euro entstanden sei. Der Kläger hat seinen Schaden nicht beziffert, was ihm aber unschwer möglich gewesen wäre. Denn die Kosten für die Einholung von behördlichen Bestätigungen lassen sich beziffern. Soweit er vorgerichtliche Kosten seines Rechtsanwaltes behauptet, so ist dies bereits Gegenstand seines Klageantrages. Es fehlt jegliche konkrete Darlegung der Höhe des bei ihm eingetretenen Schadens.

Der Kläger hat auch einen immateriellen Schaden nicht dargelegt. Sein Vortrag ist insoweit schon widersprüchlich und nicht nachvollziehbar. Er behauptet, er sei ernsthaft in Misskredit gebracht worden, weil er unberechtigter Weise der Schufa gemeldet worden sei. Dies ist aber nicht zutreffend. Die Beklagten haben in Abrede gestellt, eine Schufa-Meldung erstattet zu haben. Aus der von vom Kläger vom 17.04.2020 (Anlage K9) vorgelegten Schufa-Auskunft ergibt sich ebenfalls keine Meldung über seine Person. Dort heißt es vielmehr ausdrücklich, dass bis zum 17.04.2020 dort ausschließlich positive Vertragsinformationen über den Kläger vorgelegen haben. Er hat in allen Bereichen die beste Ratingstufe: A und der Orientierungswert zur Bonität beträgt für ihn 113 bei einem Bereich von 100 (sehr gute Bonität) bis 600 (Insolvenzverfahren). Eine Beeinträchtigung seines Ansehens durch die Datenverarbeitung der Beklagten ist nicht ersichtlich und von ihm auch nicht nachvollziehbar dargelegt worden. Es kommt daher nicht auf die in der Rechtsprechung streitig diskutierte Frage an, ob auch wegen immaterieller Bagatellschäden ein Ausgleich erfolgen muss (vgl. Senat, Urteil vom 31.08.2021 - 4 U 324/21 - juris). Denn der Wortlaut von § 82 Abs. 1 DSGVO setzt den Eintritt eines Schadens voraus (vgl. Hanseatisches Oberlandesgericht Bremen, Beschluss vom 16.07.2021 - 1 W 18/21 - juris). Die Frage, ob bei einem immateriellen Bagatellschaden - anders an in anderen Fällen der Persönlichkeitsrechtsverletzung - eine Entschädigung zu zahlen ist, stellt sich nicht. Erst wenn der Eintritt des Schadens feststeht, ist in einem zweiten Schritt zu entscheiden, ob ein erheblicher Schaden oder ein Bagatellschaden vorliegt. Auch aus den Ausführungen im Erwägungsgrund 75 lässt sich entnehmen, dass von dem Erfordernis des Eintritts eines Schadens nicht abgesehen wird. Dort heißt es: „Die Risiken für die Rechte und Freiheiten natürlicher Personen - mit unterschiedlicher Eintrittswahrscheinlichkeit und Schwere - können aus einer Verarbeitung personenbezogener Daten hervorgehen, die zu einer physischen, materiellen oder immateriellen Schaden führen könnte, insbesondere wenn ...“

4. Die Beklagten sind gemäß Art. 19 Satz 2 DSGVO verpflichtet, die Löschung der personenbezogen Daten des Klägers allen Empfängern, denen diese Daten offengelegt wurden, mitzuteilen und den Kläger davon zu unterrichten."


Den Volltext der Entscheidung finden Sie hier:


Landesdatenschutzbeauftragter RLP: Datenschutzrechtliches Aufsichtsverfahren wegen Nutzung von Kontaktdaten aus der LUCA-App durch die Staatsanwaltschaft Mainz

Der Landesbeauftragte für den Datenschutz und die Informationsfreiheit Rheinland-Pfalz hat ein datenschutzrechtliches Aufsichtsverfahren wegen Nutzung von Kontaktdaten aus der LUCA-App durch die Staatsanwaltschaft Mainz eingeleitet.

Die Pressemitteilung des Landesdatenschutzbeauftragten RLP

Nach Erhebung und Nutzung von Kontaktdaten aus der LUCA-App durch die Staatsanwaltschaft – Datenschutzbeauftragter leitet aufsichtsrechtliche Verfahren ein

Nachdem der Landesbeauftragte für den Datenschutz und die Informationsfreiheit Rheinland-Pfalz davon Kenntnis erlangte, dass die Staatsanwaltschaft Mainz zusammen mit der lokalen Polizeibehörde und dem örtlichen Gesundheitsamt über die LUCA-App erfasste Kontaktdaten von Besuchern einer Mainzer Gastwirtschaft zu Ermittlungszwecken erhoben und genutzt hat, hat er umgehend aufsichtsrechtliche Verfahren eingeleitet. Dabei sollen insbesondere die Umstände geklärt werden, die ungeachtet der eindeutigen Rechtslage zu der datenschutzrechtlich unzulässigen Abfrage und Nutzung der ausschließlich zu Infektionsschutzzwecken erfassten Kontaktdaten geführt haben. Entsprechende Informationsersuchen wurden bereits versendet.

Hintergrund ist ein Vorfall aus dem November 2021. Nachdem vor einer Mainzer Gastwirtschaft ein 39-jähriger Mann mit schwersten Kopfverletzungen aufgefunden wurde, ersuchten die zuständigen Strafermittlungsbehörden das Gesundheitsamt um Bereitstellung der über die LUCA-App von dem Betreiber der Gastwirtschaft zu dem vermuteten Tatzeitpunkt erfassten Kontaktdaten. Das Gesundheitsamt kam der Aufforderung nach und übermittelte die Daten von 21 Personen, die der Behörde auf Anfrage von dem App-Betreiber zur Verfügung gestellt wurden. Die Betroffenen wurden dann von der Polizei kontaktiert und zu dem Vorfall befragt. Mittlerweile haben die beteiligten Behörden die Unzulässigkeit der erfolgten Datenverarbeitung eingeräumt.

„Für mich ist es zunächst einmal besorgniserregend, dass sowohl Staatsanwaltschaft als auch Gesundheitsamt die bereits vor einiger Zeit geänderte Rechtslage im Infektionsschutzgesetz und damit zusammenhängende datenschutzrechtliche Bestimmungen offensichtlich nicht kannten oder sich darüber hinweg gesetzt haben“, kommentiert der Landesbeauftragte Prof. Dr. Kugelmann den Vorfall. Aus § 28a Abs. 4 Satz 3 des Infektionsschutzgesetzes geht eindeutig hervor, dass zum Zwecke des Infektionsschutzes erfasste Kontaktdaten lediglich zur Kontaktnachverfolgung verarbeitet werden dürfen und eine anderen Zwecken dienende Datenverwendung unzulässig ist. „Das Vorgehen erschüttert das Vertrauen der Bürger in die Rechtmäßigkeit staatlichen Handelns und ist gerade in Zeiten einer die Gesellschaft als Ganzes herausfordernden Pandemie das völlig falsche Signal.“ Kugelmann kündigt an, nach Aufklärung des Sachverhaltes die Ausübung sämtlicher ihm datenschutzrechtlich zur Verfügung stehender Befugnisse zu prüfen.

LG Berlin: Auskunftsanspruch aus Art. 15 Abs. 1 DSGVO umfasst nur personenbezogene Daten nicht aber Vertragsunterlagen und Vertragserklärungen

LG Berlin
Urteil vom 21.12.2021
4 O 381/20


Das LG Berlin hat entschieden, dass der Auskunftsanspruch aus Art. 15 Abs. 1 DSGVO nur personenbezogene Daten nicht aber Vertragsunterlagen und Vertragserklärungen umfasst.

Aus den Entscheidungsgründen:
Der Auskunfts- und Herausgabeanspruch aus § 15 DS-GVO betrifft lediglich personenbezogene Daten, nicht aber Dokumenten, die Vertragserklärungen enthalten. Zwar ist der Begriff der „personenbezogenen Daten“ nach Art. 4 DS-GVO weit gefasst und umfasst nach der Legaldefinition in Art. 4 Nr. 1 DS-GVO alle Informationen, die sich auf eine identifizierbare natürliche Person beziehen; davon wären auch Beitragsanpassungsschreiben erfasst, die den Namen des Klägers enthalten. Ein derartiges am Wortlaut haftendes Verständnis ist mit dem Zweck des Auskunftsanspruchs nach Art. 15 DS-GVO unvereinbar. Die Auskünfte, die eine natürliche Person nach Art. 15 DS-GVO fordern kann, dienen primär dazu, ihr die Wahrnehmung der weiteren Rechte aus der DS-GVO zu ermöglichen, also insbesondere das Recht auf Berichtigung nach Art. 16, auf Löschung nach Art. 17 und auf Einschränkung der Verarbeitung nach Art. 18. Zwar mag eine Auskunft über personenbezogene Daten auch Erkenntnisse und Indizien hervorbringen, die einen Anspruch nach gänzlich anderen Vorschriften begründen oder zumindest nahelegen können. Dabei handelt es aber nicht um den eigentlichen Zweck der DS-GVO, sondern um einen bloß zufälligen Nebeneffekt. Es gibt keine Anhaltspunkte dafür, dass die DS-GVO gezielt dazu geschaffen worden wäre, die grundsätzliche Struktur des deutschen Zivilprozessrechts, die jedem Anspruchsteller die Darlegung und den Beweis der ihm günstigen Tatsachen auferlegt, umzukehren (OLG Köln r+s 2021, 97 Rn. 73, beck-online). Danach sind die vorliegend antragsgegenständlichen Auskünfte nicht mehr als personenbezogen (Art. 4 Nr. 1 DS-GVO) zu verstehen, sondern als vertragsbezogen.

Den Volltext der Entscheidung finden Sie hier:

LAG Köln: Unbefugte Kenntnisnahme und Weitergabe einer offensichtlich privaten E-Mail an Dritte rechtfertigt fristlose Kündigung

LAG Köln
Urteil vom 02.11.2021
4 Sa 290/21


Das LAG Köln hat entschieden, dass die unbefugte Kenntnisnahme und Weitergabe einer offensichtlich privaten E-Mail an Dritte eine fristlose Kündigung rechtfertigt.

Die Pressemitteilung des Gerichts:

Fristlose Kündigung wegen der unbefugten Kenntnisnahme und Weitergabe fremder Daten

Liest eine Arbeitnehmerin, die im Rahmen ihrer Buchhaltungsaufgaben Zugriff auf den PC und das E-Mail-Konto ihres Arbeitgebers hat, unbefugt eine an ihren Vorgesetzten gerichtete Email und fertigt von dem Anhang einer offensichtlich privaten E-Mail eine Kopie an, die sie an eine dritte Person weitergibt, so rechtfertigt dies eine fristlose Kündigung. Dies hat das Landesarbeitsgericht Köln am 02.11.2021 entschieden und das anderslautende Urteil des ArbG Aachen vom 22.04.2021 -8 Ca 3432/20- aufgehoben.

Die Klägerin ist bei der Arbeitgeberin, einer evangelischen Kirchengemeinde, seit 23 Jahren als Verwaltungsmitarbeiterin beschäftigt. Soweit für ihre Buchhaltungsaufgaben erforderlich hatte sie Zugriff auf den Dienstcomputer des Pastors. In diesem Dienstcomputer nahm die Klägerin eine E-Mail zur Kenntnis, die den Pastor auf ein gegen ihn gerichtetes Ermittlungsverfahren wegen des Verdachts sexueller Übergriffe auf eine im Kirchenasyl der Gemeinde lebende Frau hinwies. Im E-Mail-Konto fand sie als Anhang einer privaten E-Mail einen Chatverlauf zwischen dem Pastor und der betroffenen Frau, den sie auf einem USBStick speicherte und eine Woche später anonym an eine ehrenamtliche Mitarbeiterin der Gemeinde weiterleitete. Die Klägerin gab an, sie habe die im Kirchenasyl lebende Frau schützen und Beweise sichern wollen. Nach Bekanntwerden der Vorkommnisse kündigte die Kirchengemeinde das Arbeitsverhältnis fristlos.

Erstinstanzlich hatte die Klägerin mit ihrer Kündigungsschutzklage vor dem ArbG Aachen Erfolg. Das Gericht erkannte in ihrem Verhalten zwar einen an sich wichtigen Grund für eine fristlose Kündigung, hielt diese jedoch aufgrund des langen und bisher unbelastet verlaufenen Arbeitsverhältnisses und mangels Wiederholungsgefahr für unverhältnismäßig.

Die gegen dieses Urteil eingelegte Berufung der Kirchengemeinde hatte Erfolg. Das Landesarbeitsgericht Köln sah das für die Aufgaben der Klägerin notwendige Vertrauensverhältnis als unwiederbringlich zerstört an. In der unbefugten Kenntnisnahme und Weitergabe fremder Daten lag für das Gericht auch wegen der damit einhergehenden Verletzung von Persönlichkeitsrechten ein schwerwiegender Verstoß gegen die arbeitsvertragliche Rücksichtnahmepflicht. Dieser sei auch nicht durch die von der Klägerin vorgetragenen Beweggründe, die im Kirchenasyl lebende Frau schützen und Beweise
sichern zu wollen, gerechtfertigt gewesen. Denn mit ihrer Vorgehensweise habe die Klägerin keines der angegebenen Ziele erreichen können. Angesichts der Schwere der Pflichtverletzung überwiege das Lösungsinteresse der Gemeinde das
Beschäftigungsinteresse der Klägerin deutlich. Selbst die erstmalige Hinnahme dieser Pflichtverletzung sei der Gemeinde nach objektiven Maßstäben unzumutbar und damit offensichtlich - auch für die Klägerin erkennbar – ausgeschlossen.
Das Landesarbeitsgericht hat die Revision nicht zugelassen.


BGH: Volltexte der jameda-Entscheidungen liegen vor - Kein Löschungsanspruch aus Art. 17 Abs. 1 DSGVO gegen Arztbewertungsportal jameda

BGH
Urteil vom 12.10.2021 - VI ZR 488/19
Urteil vom 12.10.2021 - VI ZR 489/19
DSGVO Art. 6 Abs. 1 Satz 1 Buchst. f, Art. 17 Abs. 1, Art. 21 Abs. 1, Art. 85 Abs. 2; EU-Grundrechtecharta Art. 11 Abs. 1; BayDSG Art. 38 Abs. 1


Der BGH hat entschieden, dass gegen das Arztbewertungsportal jameda kein Löschungsanspruch aus Art. 17 Abs. 1 DSGVO besteht, da die mit einem Eintrag verbundene Verarbeitung nach Art. 6 Abs. 1 Satz 1 Buchst. f. DSGVO gerechtfertigt ist.

Leitsätze des BGH (in beiden Entscheidungen identisch):

a) Der Betreiber eines Ärztebewertungsportals unterliegt keinem strengen Gleichbehandlungsgebot in dem Sinne, dass eine Ungleichbehandlung von Ärzten, die keine (zahlenden) Kunden des Portalbetreibers sind, einerseits und Ärzten, die für ihr Profil bezahlen, andererseits stets zur Unzulässigkeit der Verarbeitung der personenbezogenen Daten von nichtzahlenden Ärzten führt, die der Verarbeitung ihrer personenbezogenen Daten im Portalbetrieb widersprochen haben. Maßgeblich ist vielmehr, welche konkreten Vorteile der Portalbetreiber zahlenden gegenüber nichtzahlenden Ärzten gewährt und ob die sich daraus ergebende Ungleichbehandlung in einer Gesamtschau mit allen anderen Umständen des konkreten Einzelfalls dazu führt, dass die Interessen des gegen seinen Willen in das Portal aufgenommenen Arztes die berechtigten Interessen des Portalbetreibers und vor allem der Portalnutzer überwiegen (Fortführung Senatsurteil vom 20. Februar 2018 - VI ZR 30/17, BGHZ 217, 340 Rn. 18 - Ärztebewertung III).

b) Zum sogenannten "Medienprivileg" im Sinne des Art. 38 Abs. 1 BayDSG in Verbindung mit Art. 85 Abs. 2 DS-GVO.

BGH, Urteil vom 12. Oktober 2021 - VI ZR 488/19 und VI ZR 489/19 - OLG Köln - LG Bonn

Die Volltexte der Entscheidungen finden Sie hier:
Urteil vom 12.10.2021 - VI ZR 488/19
Urteil vom 12.10.2021 - VI ZR 489/19


Die Pressemitteilung des BGH:

Schriftliche Urteilsgründe in den "JAMEDA"-Verfahren liegen vor Urteile vom 12. Oktober 2021 – VI ZR 488/19 und VI ZR 489/19

Der unter anderem für das allgemeine Persönlichkeitsrecht zuständige VI. Zivilsenat des Bundesgerichtshofs hat in zwei das Ärztebewertungsportal "JAMEDA" (Az. VI ZR 488/19 und VI ZR 489/19) betreffenden Verfahren die schriftlichen Gründe der am 12. Oktober 2021 verkündeten Urteile vorgelegt. Die Urteile sind in der Entscheidungsdatenbank auf der Website des Bundesgerichtshofs (www.bundesgerichtshof.de) abrufbar.

Sachverhalt:

Die Beklagte betreibt das Ärztebewertungsportal "JAMEDA", das monatlich von mindestens sechs Millionen Nutzern besucht wird. Sie erstellt dabei für alle Ärzte unter Verwendung von Daten aus allgemein zugänglichen Quellen ein Basisprofil mit Namen, akademischem Grad, Fachrichtung, Praxisanschrift, weiteren Kontaktdaten und Sprechzeiten. Nutzer des Portals können die Ärzte nach bestimmten, vorgegebenen Kriterien benoten und in Form von Freitextkommentaren bewerten. Aus den abgegebenen Einzelbewertungen werden für die unterschiedlichen Kategorien Durchschnittsnoten gebildet, aus den Durchschnittsnoten der verschiedenen Kategorien wiederum eine Gesamtnote für den jeweiligen Arzt, die auf dessen Profil sichtbar ist. Die Beklagte bietet den in ihrem Portal erfassten Ärzten den Erwerb eines "Gold"- oder "Platinpakets" gegen monatliche Zahlungen von 69 € bzw. 139 € an, die es ermöglichen, die Profilseiten - etwa durch Hinzufügen eines Fotos, Setzen eines Links auf die eigene Internetseite oder die Veröffentlichung von Fachartikeln - ansprechender zu gestalten.

Die Klägerin im Verfahren VI ZR 488/19 ist Fachzahnärztin für Parodontologie, der Kläger im Verfahren VI ZR 489/19 Fachzahnarzt für Oralchirurgie. Sie verfügen über kein kostenpflichtiges Paket bei der Beklagten; in ihre Aufnahme in das Portal der Beklagten haben sie nicht eingewilligt. Beide werden von der Beklagten deshalb mit einem Basisprofil geführt. Mit ihren Klagen verlangen sie zum einen die vollständige Löschung ihrer Daten aus dem Portal der Beklagten, zum anderen, es auch in Zukunft zu unterlassen, sie betreffende Profile zu veröffentlichen, wenn das Portal bestimmte, im einzelnen beschriebene Merkmale aufweist. Konkret wenden sie sich hierbei gegen eine Vielzahl von - im Einzelnen bezeichneten - Unterschieden bei der Ausgestaltung von zahlungspflichtigen Gold- oder Platinprofilen einerseits und Basisprofilen andererseits (z. B.: Verlinkung anderer Ärzte bzw. Ärztelisten, die Möglichkeit, Bilder, Texte u. ä. einzustellen, Werbung von Drittunternehmen) sowie eine unterschiedliche Behandlung von zahlenden und nichtzahlenden Ärzten in Bezug auf bestimmte Serviceleistungen, etwa eine professionelle Hilfestellung beim Verfassen von Texten oder eine kostenlose Hotline nur für zahlende Ärzte.

Prozessverlauf:

Das Landgericht Bonn (9 U 157/18 bzw. 18 U 143/18) hat beiden Klagen stattgegeben. Die dagegen gerichteten Berufungen der Beklagten hat das Oberlandesgericht Köln (15 U 89/19 bzw. 15 U 126/19) hinsichtlich der Löschungsanträge zurückgewiesen. Hinsichtlich der - im Revisionsverfahren allein noch relevanten - Unterlassungsanträge hat es das landgerichtliche Urteil unter Zurückweisung der weitergehenden Berufungen der Beklagten überwiegend abgeändert und die Klagen abgewiesen. Nach seiner Auffassung ist die Zulässigkeit der Aufnahme der Kläger in das Portal an Art. 6 Abs. 1 Buchst. f DS-GVO zu messen, wonach eine rechtmäßige Datenverarbeitung voraussetzt, dass die Verarbeitung zur Wahrung der berechtigten Interessen der Beklagten und ihrer Nutzer erforderlich ist und die Interessen der Kläger als betroffene Personen nicht überwiegen. Im Rahmen der damit gebotenen Einzelfallabwägung sei von den Grundsätzen des Urteils des Bundesgerichtshofs vom 20. Februar 2018 (VI ZR 30/17, GRUR 2018, 636) auszugehen. Danach erfülle das von der Beklagten betriebene Portal eine von der Rechtsordnung gebilligte und gesellschaftlich erwünschte Funktion. Der Portalbetreiber könne seine auf das Grundrecht der Meinungs- und Medienfreiheit gestützte Rechtsposition gegenüber den Betroffenen aber nur mit geringerem Gewicht geltend machen, soweit er seine Stellung als neutraler Informationsmittler nicht mehr wahre und seinen eigenen Kunden in Gewinnerzielungsabsicht verdeckte Vorteile verschaffe; erforderlich sei hierfür, dass Basiskunden auf dem Portal als "Werbeplattform" für Premiumkunden benutzt würden und dass den Premiumkunden dadurch ein Vorteil gewährt werde, der schließlich aus Sicht des durchschnittlichen Nutzers verdeckt, mithin für diesen nicht erkennbar, erfolge. Dies sei nur hinsichtlich eines (geringen) Teils der Unterlassungsanträge der Fall. Mit ihren Revisionen haben die Kläger ihre Begehren, soweit sie abgewiesen wurden, weiterverfolgt. Soweit die Beklagte zur Löschung und Unterlassung verurteilt worden ist, ist das Berufungsurteil rechtskräftig geworden.

Die Entscheidungen des VI. Zivilsenats:

Der VI. Zivilsenat hat die Revisionen der Kläger zurückgewiesen. Die Auffassung des Oberlandesgerichts, die Kläger hätten insoweit keinen Unterlassungsanspruch gegen die Beklagte, trifft im Ergebnis zu.

Ob ein Unterlassungsanspruch besteht, richtet sich im Ausgangspunkt nach Art. 17 Abs. 1 DS-GVO. Der Anwendung dieser Vorschrift stehen insbesondere nicht Art. 38 Abs. 1 BayDSG in Verbindung mit Art. 85 Abs. 2 DS-GVO und das dort geregelte "Presseprivileg" entgegen; denn die Beklagte verarbeitet in dem von ihr betriebenen Portal die personenbezogenen Daten der Kläger nicht zu "journalistischen Zwecken" im Sinne dieser Vorschriften.

Die tatbestandlichen Voraussetzungen für einen Unterlassungsanspruch aus Art. 17 Abs. 1 DSG-GVO sind in den Streitfällen nicht erfüllt. Insbesondere scheitert ein Unterlassungsanspruch aus Art. 17 Abs. 1 Buchst. d DS-GVO daran, dass die von den Klägern bekämpfte Datenverarbeitung gemäß Art. 6 Abs. 1 Satz 1 Buchst. f. DS-GVO rechtmäßig ist. Denn mit dem Portalbetrieb und der damit verbundenen Verarbeitung der genannten personenbezogenen Daten der Kläger verfolgt die Beklagte berechtigte, von Art. 11 GRCh (Freiheit der Meinungsäußerung und Informationsfreiheit) und Art. 16 GRCh (Unternehmerische Freiheit) geschützte Interessen, die Datenverarbeitung geht über das dafür unbedingt Notwendige nicht hinaus und die durchzuführende Abwägung der nach den konkreten Umständen des Einzelfalls gegenüberstehenden Rechte und Interessen fällt hinsichtlich der im Revisionsverfahren noch streitgegenständlichen Gestaltungselemente des Portalbetriebs der Beklagten nicht zugunsten der Kläger aus. Vom VI. Zivilsenat besonders hervorgehoben wurde dabei, dass aus dem Umstand, dass im Rahmen der Abwägung - wie der erkennende Senat in einem Urteil vom 20. Februar 2018 (VI ZR 30/17, BGHZ 217, 340 Rn. 11 ff.) ausgeführt hatte - auch in den Blick zu nehmen ist, ob die Beklagte als "neutrale Informationsmittlerin" agiert, kein strenges Gebot zur Gleichbehandlung zahlender und nichtzahlender Ärzte folgt. Maßgebend ist vielmehr, welche konkreten Vorteile die Beklagte zahlenden gegenüber nichtzahlenden Ärzten gewährt und ob die sich daraus ergebende Ungleichbehandlung in einer Gesamtschau mit allen anderen Umständen des konkreten Einzelfalls dazu führt, dass die Interessen des gegen seinen Willen in das Portal aufgenommenen Arztes die berechtigten Interessen der beklagten Portalbetreiberin und vor allem der Portalnutzer überwiegen. Dabei ist zu berücksichtigen, dass Ärzte es grundsätzlich hinzunehmen haben, in einem Bewertungsportal geführt und dort bewertet zu werden. Die noch streitgegenständlichen Gestaltungselemente führten in den Streitfällen nicht zu nicht nur unerheblich darüberhinausgehenden Belastungen für die Kläger.

Die maßgeblichen Vorschriften lauten:

Artikel 6 der Datenschutz-Grundverordnung (DS-GVO):

(1) Die Verarbeitung ist nur rechtmäßig, wenn mindestens eine der nachstehenden Bedingungen erfüllt ist:

[…].

f) die Verarbeitung ist zur Wahrung der berechtigten Interessen des Verantwortlichen oder eines Dritten erforderlich, sofern nicht die Interessen oder Grundrechte und Grundfreiheiten der betroffenen Person, die den Schutz personenbezogener Daten erfordern, überwiegen, insbesondere dann, wenn es sich bei der betroffenen Person um ein Kind handelt.

[…]

Artikel 17 der Datenschutz-Grundverordnung (DS-GVO):

(1) Die betroffene Person hat das Recht, von dem Verantwortlichen zu verlangen, dass sie betreffende personenbezogene Daten unverzüglich gelöscht werden, und der Verantwortliche ist verpflichtet, personenbezogene Daten unverzüglich zu löschen, sofern einer der folgenden Gründe zutrifft:

[…]

c) Die betroffene Person legt gemäß Artikel 21 Absatz 1 Widerspruch gegen die Verarbeitung ein und es liegen keine vorrangigen berechtigten Gründe für die Verarbeitung vor, […]

d) Die personenbezogenen Daten wurden unrechtmäßig verarbeitet.

[…]

Artikel 21 der Datenschutz-Grundverordnung (DS-GVO):

(1) Die betroffene Person hat das Recht, aus Gründen, die sich aus ihrer besonderen Situation ergeben, jederzeit gegen die Verarbeitung sie betreffender personenbezogener Daten, die aufgrund von Artikel 6 Absatz 1 Buchstabe e oder f erfolgt, Widerspruch einzulegen; […]. Der Verantwortliche verarbeitet die personenbezogenen Daten nicht mehr, es sei denn, er kann zwingende schutzwürdige Gründe für die Verarbeitung nachweisen, die die Interessen, Rechte und Freiheiten der betroffenen Person überwiegen, oder […].

[…].

Artikel 85 der Datenschutz-Grundverordnung (DS-GVO):

(1) Die Mitgliedstaaten bringen durch Rechtsvorschriften das Recht auf den Schutz personenbezogener Daten gemäß dieser Verordnung mit dem Recht auf freie Meinungsäußerung und Informationsfreiheit, einschließlich der Verarbeitung zu journalistischen Zwecken […], in Einklang.

(2) Für die Verarbeitung, die zur journalistischen Zwecken […] erfolgt, sehen die Mitgliedstaaten Abweichungen oder Ausnahmen von Kapitel II (Grundsätze), Kapitel III (Rechte der betroffenen Person), […] vor, wenn dies erforderlich ist, um das Recht auf Schutz der personenbezogenen Daten mit der Freiheit der Meinungsäußerung und der Informationsfreiheit in Einklang zu bringen.

[…]

Artikel 38 des Bayerischen Datenschutzgesetzes (BayDSG):

(1) Werden personenbezogene Daten zu journalistischen, […] Zwecken verarbeitet, stehen den betroffenen Personen nur die in Abs. 2 genannten Rechte zu. […].

[…].

Artikel 7 der EU-Grundrechte-Charta (GRCh):

Jede Person hat das Recht auf Achtung ihres Privat- und Familienlebens, ihrer Wohnung sowie ihrer Kommunikation.

Artikel 11 der EU-Grundrechte-Charta (GRCh):

(1) Jede Person hat das Recht auf freie Meinungsäußerung. Dieses Recht schließt die Meinungsfreiheit und die Freiheit ein, Informationen und Ideen ohne behördliche Eingriffe und ohne Rücksicht auf Staatsgrenzen zu empfangen und weiterzugeben.

[…]

Artikel 16 der EU-Grundrechte-Charta (GRCh):

Die unternehmerische Freiheit wird nach dem Unionsrecht und den einzelstaatlichen Rechtsvorschriften und Gepflogenheiten anerkannt.




AG Hamburg: Keine Auskunftspflicht des Insolvenzverwalters nach Art.15 DSGVO für Daten des Schuldners da nicht Verantwortlicher gem. Art. 4 Ziff. 7 DSGVO

AG Hamburg
Urteil vom 15.11.2021
11 C 75/21


Das AG Hamburg hat entschieden, dass ein Insolvenzverwalter für Daten des Schuldners nicht nach Art. 15 DSGVO auskunftspflichtig ist. Der Insolvenzverwalter ist insofern kein Verantwortlicher gem. Art. 4 Ziff. 7 DSGVO.

VG Wiesbaden legt EuGH vor: Darf Behörde Auskunft über verantwortliche Stelle der Datenverarbeitung ohne Begründung verweigern und ist dies mit Grundrechtecharta der EU vereinbar

VG Wiesbaden
Beschluss vom 30.07.2021
6 K 421/21.WI


Das VG Wiesbaden hat dem EuGH zur Entscheidung vorgelegt, ob eine Behörde die Auskunft über die verantwortliche Stelle der Datenverarbeitung ohne Begründung verweigern darf und ob dies mit Grundrechtecharta der EU vereinbar ist.

Die Vorlagefragen:

II. Das Verfahren wird gemäß Art. 267 AEUV zur Vorabentscheidung dem Gerichtshof der Europäischen Union hinsichtlich der folgenden Frage vorgelegt:

1) Sind Art. 15 Abs. 3 und Abs. 1 i.V.m. Art. 14 der Richtlinie (EU) 2016/680 des europäischen Parlaments und des Rates vom 27. April 2016 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten durch die zuständigen Behörden zum Zwecke der Verhütung, Ermittlung, Aufdeckung oder Verfolgung von Straftaten oder der Strafvollstreckung sowie zum freien Datenverkehr und zur Aufhebung des Rahmenbeschlusses 2008/977/JI des Rates (ABl.EU L vom 4.5.2016 S. 119; zukünfig: Richtlinie (EU) 2016/680) im Lichte von Art. 54 Richtlinie (EU) 2016/680 so auszulegen, dass er eine nationale Regelung zulässt,

a) nach der bei gemeinsamer Verantwortlichkeit für eine Datenverarbeitung die eigentlich für die gespeicherten Daten verantwortliche Stelle nicht benannt werden muss und

b) die es zudem zulässt, dass einem Gericht keine inhaltliche Begründung für die Auskunftsverweigerung gegeben wird?

2) Falls die Fragen 1a und 1b zu bejahen sind, ist Art. 15 Abs. 3 und Abs. 1 der Richtlinie (EU) 2016/680 mit dem Recht auf einen wirksamen gerichtlichen Rechtsbehelf aus Art 47 GRCh vereinbar, obwohl es dem Gericht so verunmöglicht wird

a) den nationalen Verfahrensvorschriften entsprechend in einem mehrstufigen Verwaltungsverfahren die weitere beteiligte und tatsächlich verantwortliche Behörde, die ihr Einvernehmen zur Auskunftserteilung erteilen muss, zum Verfahren beizuladen und

b) inhaltlich zu überprüfen, ob die Voraussetzungen für die Auskunftsverweigerung vorliegen und durch die die Auskunft verweigernde Behörde korrekt angewandt wurden?

3) Wird durch die Verweigerung der Auskunft und somit eines wirksamen Rechtsbehelfs nach Art. 47 GRCh rechtswidrig in die Berufsfreiheit nach Art. 15 GRCh eingegriffen, wenn die gespeicherten Informationen dazu genutzt werden, eine betroffene Person von der angestrebten Tätigkeit wegen eines vermeintlichen Sicherheitsrisikos auszuschließen.

Aus den Entscheidungsgründen:

Nach Art. 54 Richtlinie (EU) 2016/680 hat die betroffene Person einen Anspruch auf einen wirksamen Rechtsbehelf, so wie dies in Art. 47 Abs. 1 GRCh geregelt ist. Ein wirksamer Rechtsbehelf erfordert, dass es dem Gericht möglich ist, die behördliche Entscheidung zu überprüfen. Dies setzt voraus, dass eine Begründung der Verweigerung der Auskunft und bei einem gemeinsamen Verfahren, wie es vorliegend bei dem INPOL-System der Fall ist, eine Benennung der verantwortlichen Stelle, die für die streitgegenständlichen Daten verantwortlich ist und einer Beauskunftung widersprochen hat, erfolgt. Sie hat ihr Einvernehmen für die Auskunft zu erteilen oder gerade – wie hier zu verweigern. Die verantwortliche Stelle ist an dem „mehrstufigen“ Verwaltungsakt zwingende Mitwirkende und auch im verwaltungsgerichtlichen Verfahren notwendig beizuladen (§ 65 Abs. 2 VwGO), da das Gericht bei rechtwidriger Verweigerung des Einvernehmens dieses durch Urteil zu ersetzen hätte. Denn ohne das notwendige Einvernehmen dürfte das BKA keine Auskunft erteilen (§ 84 Abs. 1 S. 1 BKAG). Wenn dem Gericht im Verfahren über die Auskunft die verantwortliche Stelle jedoch schon nicht benannt wird, kann es diese nicht beiladen und über die Verweigerung des Einvernehmens ihr gegenüber nicht bindend entscheiden.

Ist eine Kontrolle des Verwaltungshandelns durch die Verwaltungsgerichte wegen der Verweigerung einer Begründung nicht möglich, muss die Rechtsschutzgarantie dadurch gewahrt werden, dass der Klage stattgegeben wird (ständige Rechtsprechung des VG Wiesbaden, vgl. Urteil vom 15. Februar 2016 – 6 K 1328/14.WI –, juris, Rn. 27; Urteil vom 04. September 2015 – 6 K 687/15.WI –, juris, Rn. 36 und ferner Urteil vom 26. März 2021 – 6 K 59/20.WI; so auch VG Köln, Urteil vom 18.4.2019 – 13 K 10236/16, juris, Rn. 54). Dies ist vorliegend aber nicht möglich, da das Einvernehmen der eigentlich verantwortlichen Stelle (Behörde) mangels notwendiger Beiladung nicht rechtwirksam ersetzt werden kann. Insoweit unterscheidet sich der Fall von den bisher entschiedenen Fällen, bei denen „nur“ die Auskunft über die Daten als solche verweigert wurde, die verantwortliche Behörde aber benannt worden war. Eine Verfahrensregelung für den vorliegenden Fall enthält die VwGO nicht. Sie enthält in § 99 Abs. 2 VwGO nur das sog. In-Camera-Verfahren bei der Verweigerung der Vorlage von Behördenakten. Hier wäre nach einer Sperrerklärung, welche aber auch zu begründen wäre, eine Vorlage und Prüfung durch das Bundesverwaltungsgericht möglich.

Vorliegend geht es aber schon vor der inhaltlichen Auskunft bzw. Überprüfungsmöglichkeit der Verweigerung derselben um die Benennung der verantwortlichen Stelle, um deren Daten es im INPOL-System geht. Sie ist unbekannt und das Bundeskriminalamt verweigert auch dem Gericht gegenüber die Angabe, um wen es sich handelt. Zwar hat der nationale Gesetzgeber Art. 21 Abs. 1 Richtlinie (EU) 2016/680 insoweit umgesetzt, dass sich der Verantwortliche nach § 57 BDSG zur Auskunft der Daten bzw. Verweigerung derselben bezogen auf die betroffene Person verantwortlich zeigt und über § 84 Abs. 1 Satz 1 BKAG das Bundeskriminalamt als „Sprachrohr“ für die übrigen verantwortlichen Stellen über die Auskunft bestimmt. Die Auskunft bedarf aber des Einvernehmens der jeweils verantwortlichen Stelle.

Die Verweigerung der Angaben über die eigentliche verantwortliche Stelle, welche einer Auskunft über ihre Daten widerspricht und das Einvernehmen verweigert, geht jedoch weiter als die Einschränkung der eigentlichen Auskunft nach Art. 15 Richtlinie (EU) 2016/680. Denn damit wird dem Gericht die Möglichkeit einer effektiven wirksamen Rechtskontrolle vollständig genommen. Dies insbesondere, wenn auch keinerlei Begründung für diese Verweigerungshandlung erfolgt bzw. die Begründung sich auf allgemeine Aussagen einer Gefährdung der Aufgaben der Behörden und der Gefahrenabwehr bezieht. Mithin wird der nationale Gesetztext wiedergegeben, dem Gericht wird aber eine Subsumtion unter diese Norm und eine Kontrolle der Richtigkeit der Subsumtion der Behörde vollständig mangels Informationen genommen.

Zieht man die Parallele zu einer Verweigerung der Aktenvorlage im verwaltungsgerichtlichen Verfahren, so würde die rein den gesetzlichen Verweigerungstatbestand wiedergebende Begründung nicht die Anforderungen erfüllen, wie sie für eine Sperrerklärung nach § 99 Abs. 2 VwGO notwendig ist. Hinzu kommt vorliegend, dass die eigentlich die Begründung liefernde Behörde anonym bleibt, mithin die Sperrerklärung nach § 99 Abs. 1 S. 2 VwGO von dieser gar nicht abgegeben oder begründet werden könnte. Mindestens einer aussagekräftigen Begründung einer Sperrerklärung bedarf es aber bei der Verweigerung von Behördenakten, damit ein wirksamer Rechtsschutz gewährt werden kann (BVerwG Urt. v. 14.12.2020 – 6 C 11.18 Rn. 27 m.w.N.).

Zur Ermöglichung effektiven Rechtsschutzes hat eine Behörde, die die Auskunft verweigert, das Vorliegen der Verweigerungsgründe nach § 56 Abs. 2 i.V.m. § 57 Abs. 4 BDSG plausibel und substantiiert darzulegen. Eine diesen Anforderungen genügende Begründung wäre ausreichend, um die Berechtigung zur Auskunftsverweigerung darzutun (HessVGH 20.10.2019 – 10 A 2678/18.Z; zum alten Recht HessVGH 17.4.2018 – 10 A 1991/17). Die Wiedergabe oder nur Umschreibung der gesetzlichen Grundlage reicht dafür nicht aus (BVerwG Beschl. v. 29.10.1982 – 4 B 172/82, BVerwGE 66, 233 ff. Rn. 6; VG Wiesbaden Urt. v. 26.3.2021 – 6 K 59/20.WI).

Das Bundeskriminalamt und die unbekannte Behörde – bei der es sich nur um eine Polizeibehörde handeln kann – legen das nationale Recht so weit aus, dass die umzusetzenden nationalen Rechtsnormen, die aus der Richtlinie (EU) 2016/680 folgen, mit dem Wesensgehalt der Rechte und Freiheiten des Betroffenen in Konflikt gerät.

Dabei ist zu beachten, dass die Eintragung in INPOL ganz offensichtlich zu einer Art Berufsverbot durch die sog. Sicherheitsüberprüfung geführt hat, bei der u.a. auf die Daten von INPOL zurückgegriffen wurde. Damit wurde in Art. 15 GRCh eingegriffen, wonach jede Person das Recht hat, zu arbeiten und einen frei gewählten oder angenommenen Beruf auszuüben. Gegen dieses „Berufsverbot“ kann sich der Kläger auch nicht wehren, da ihm nicht bekannt gegeben wird, welche verantwortliche Stelle eine „negative“ Eintragung vorgenommen hat, geschweige denn welche Eintragung hier die Aufnahme des gewünschten Berufes hindert. Auch ist eine Überprüfung, ob die Eintragung überhaupt rechtmäßig ist, nicht möglich.

Eine wirksame gerichtliche Überprüfung der behördlichen Entscheidung ist dem vorlegenden Gericht nicht möglich, da unter Berufung auf eine nationale Rechtsnorm die verantwortliche Stelle die Auskunft auch gegenüber dem Gericht verweigert wird und das Gericht sich zur Gewährung effektiven Rechtsschutzes im Sinne einer inhaltlichen Prüfung nicht in der Lage sieht. Hinzu kommt, dass auch die im verwaltungsgerichtlichen Verfahren vorgesehenen Mechanismen, wie vorliegend die notwendige Beiladung, durch Verweigerung der Benennung der verantwortlichen Stelle ausgehebelt werden. Eine nationale Rechtsnorm, die es dem Gericht ermöglicht, im Falle einer notwendigen Beiladung von einer solchen aus Geheimhaltungsgründen abzusehen, existiert nicht.

Damit ist wirksamer Rechtsschutz in zweifacher Hinsicht ausgeschlossen und es liegt auch ein Verstoß gegen das Recht auf ein faires Verfahren nach Art. 6 EMRK vor.

Das erkennende Gericht ist insoweit der Auffassung, die Verweigerung der Benennung der letztendlich verantwortlichen Stelle, insbesondere ohne jegliche nachvollziehbare Begründung, eine Überinterpretation des Art. 15 Richtlinie (EU) 2016/680 darstellt, welche allerdings durch den nationalen Gesetzgeber durch die sehr offene Regelung in § 57 Abs. 6 i.V.m. § 56 BDSG zugelassen worden ist, mit der Folge, dass die nationale Regelung in der sehr weiten Interpretation des Beklagten gegen Art. 8, Art. 15 und Art. 47, 52 und 54 GRCh sowie gegen Art. 14, 15 und 54 Richtlinie (EU) 2016/680 verstößt.


Den Volltext der Entscheidung finden Sie hier:



LG Detmold: Geltendmachung eines Auskunftsanspruchs aus Art. 15 DSGVO rechtsmissbräuchlich wenn dies nicht aus Gründen gemäß Erwägungsgrund 63 der DSGVO erfolgt

LG Detmold
Urteil vom 26.10.2021
02 O 108/21


Das LG Detmold hat entscheiden, dass die Geltendmachung eines Auskunftsanspruchs aus Art. 15 DSGVO rechtsmissbräuchlich ist, wenn dies nicht aus Gründen gemäß Erwägungsgrund 63 der DSGVO erfolgt.

Aus den Entscheidungsgründen:

III) Der Auskunftsanspruch des Klägers lässt sich auch nicht auf § 15 DSGVO stützen. Ihm steht der sich aus § 242 BGB ergebende Einwand des Rechtsmissbrauchs entgegen. Es handelt sich dabei um einen Grundsatz, der als nationale Ausformung auch im Rahmen des § 15 DSGVO Geltung beansprucht. Danach ist die Ausübung eines Rechts u. a. nicht erlaubt, wenn der Anspruchsinhaber eine formale Rechtsstellung ausnutzt oder etwas geltend macht, an dem er kein schützenswertes Eigeninteresse hat (vgl. Palandt-Grüneberg, BGB, 80. Aufl. 2021, § 242 Rn. 49 f.).

So liegt der Fall hier.

Nach dem Vortrag des Klägers soll das begehrte Auskunftsbündel ausschließlich der Verfolgung von Leistungsansprüchen dienen. Dabei handelt es sich um einen vollkommen verordnungsfremden Zweck. Nach dem Erwägungsgrund 63 DSGVO, dient das Auskunftsrecht aus Art. 15 DSGVO dem Betroffenen vielmehr dazu, sich der Verarbeitung seiner personenbezogenen Daten bewusst zu sein und deren Rechtmäßigkeit überprüfen zu können. So soll Art. 15 DSGVO eine Rechtmäßigkeitskontrolle der Datenverarbeitungsvorgänge ermöglichen. Der Betroffene soll den Umfang und Inhalt der gespeicherten Daten beurteilen können. Die Auskünfte dienen auch dazu, der betroffenen Person die Wahrnehmung der weiteren Rechte nach der Datenschutzgrundverordnung zu ermöglichen, vor allem das Recht auf Berichtigung nach Art. 16 DSGVO, auf Löschung nach Art. 17 DSGVO und auf Einschränkung der Verarbeitung nach Art. 18 DSGVO (vgl. OLG Köln, Beschluss vom 03.09.2019 - 20 W 10/18).

Der Kläger macht keines der vorgenannten Interessen geltend.

Das Auskunftsbegehren soll sich nach seinem klar geäußerten Willen allein darin erschöpfen, etwaige geldwerte Ansprüche gegen die Beklagte zu prüfen. Damit trifft das Begehren des Klägers nicht einmal den Titel der Verordnung, nämlich den Datenschutz. Ein Begehren, das sich derart weit von dem Regelungsinhalt einer Rechtsgrundlage entfernt hat, ist nicht schützenswert. In diesem Zusammenhang ist zu berücksichtigen, dass der Verordnungsgeber nicht etwa ein situationsunab-hängiges Auskunftsrecht von Verbrauchern gegenüber Unternehmen schaffen wollte, welches im allgemeinen Rechtsverkehr nicht besteht. Vielmehr hat er die zu erteilenden Auskünfte explizit an den Zweck des Datenschutzes gebunden.


Den Volltext der Entscheidung finden Sie hier:

VG Wiesbaden: Verwendung des Cookie-Consent-Tools Cookiebot verstößt gegen DSGVO - Rechtswidrige Übermittlung personenbezogener Daten in die USA

VG Wiesbaden
Beschluss vom 01.12.2021
6 L 738/21.WI


Das VG Wiesbaden hat entschieden, dass die Verwendung des Cookie-Consent-Tools Cookiebot gegen die DSGVO verstößt, da eine rechtswidrige Übermittlung personenbezogener Daten in die USA erfolgt.

Hochschule RheinMain darf auf ihrer Webseite nicht den Dienst „Cookiebot“ nutzen

Gegenstand des Eilverfahrens vor dem VG Wiesbaden ist das Begehren des Antragstellers, es der Hochschule RheinMain zu untersagen, auf ihrer Webseite www.hs-rm.de den Dienst „Cookiebot“ einzubinden. „Cookiebot“ ermöglicht es, die Einwilligung der Nutzer einer Webseite in die Cookie-Verwendung einzuholen. Der Dienst überwacht die eingesetzten Cookies und blockiert solche Cookies, für die eine Zustimmung nicht erteilt wurde.

Die 6. Kammer des VG Wiesbaden hat mit Beschluss vom 01.12.2021 dem Antrag stattgegeben und der Hochschule RheinMain im Wege der einstweiligen Anordnung untersagt, den Dienst „Cookiebot“ auf ihrer Website zum Zweck des Einholens von Einwilligungen in der Weise einzubinden, dass personenbezogene oder -beziehbare Daten des Antragstellers (einschließlich dessen IP-Adresse) an Server übermittelt werden, die von einem externen Unternehmen betrieben werden.

Die Hochschule sei verpflichtet, die Einbindung des Dienstes „Cookiebot“ auf ihrer Webseite zu beenden, da diese mit der rechtswidrigen Übermittlung personenbezogener Daten der Webseitennutzer und damit insbesondere des Antragstellers einhergehe.

Es lägen personenbezogene Daten vor. Aus einer Kombination eines den Webseiten-Besucher identifizierenden Keys, der im Browser des Nutzers gespeichert werde, und der übermittelten vollständigen IP-Adresse sei der Endnutzer eindeutig identifizierbar.

„Cookiebot“ verarbeite die vollständige IP-Adresse der Endnutzer auf Servern eines Unternehmens, dessen Unternehmenszentrale sich in den USA befinde. Hierdurch entstehe ein Drittland-Bezug, nämlich zu den USA, welcher im Hinblick auf die sog. Schrems II-Entscheidung des Europäischen Gerichtshofs so unzulässig sei. Die Nutzer der Webseite der Hochschule würden nicht um ihre Einwilligung für eine Datenübermittlung in die USA gebeten werden. Es fände auch keine Unterrichtung über die mit der Übermittlung verbundenen möglichen Risiken durch den sog. Cloud-Act statt. Eine solche Datenübermittlung sei auch nicht für das Betreiben der Webseite der Hochschule erforderlich.

Zwar übermittle nicht die Hochschule selbst die Daten in die USA. Sie sei aber dennoch die für die Datenübermittlung verantwortliche Stelle. Sie entscheide durch das Einbinden auf ihrer Webseite darüber, dass die Erhebung und Übermittlung durch den Dienst „Cookiebot“ erfolge. Sie entscheide auch mittelbar über den Zweck der Verarbeitung, da sie in Kenntnis der Zwecke, die der eingebundene Dienst angebe, sich für oder gegen die Verwendung entscheiden könne. Hiergegen spreche auch nicht, dass sie für nachfolgende Vorgänge, wie der Verwendung der Daten durch den Dienst, nicht mehr verantwortlich sei.

Gegen den Beschluss (Az.: 6 L 738/21.WI) kann die Antragsgegnerin binnen zwei Wochen Beschwerde erheben, über die der Hessische Verwaltungsgerichtshof in Kassel zu entscheiden hätte.

Anhang:
Artikel 44 DS-GVO (Verordnung (EU) 2016/679 des Europäische Parlaments und des Rates vom 27. April 2016 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten, zum freien Datenverkehr und zur Aufhebung der Richtlinie 95/46/EG – Datenschutz-Grundverordnung)

Allgemeine Grundsätze der Datenübermittlung
Jedwede Übermittlung personenbezogener Daten, die bereits verarbeitet werden oder nach ihrer Übermittlung an ein Drittland oder eine internationale Organisation verarbeitet werden sollen, ist nur zulässig, wenn der Verantwortliche und der Auftragsverarbeiter die in diesem Kapitel niedergelegten Bedingungen einhalten und auch die sonstigen Bestimmungen dieser Verordnung eingehalten werden; […]

Art. 48 DS-GVO – Nach dem Unionsrecht nicht zulässige Übermittlung oder Offenlegung
Jegliches Urteil eines Gerichts eines Drittlands und jegliche Entscheidung einer Verwaltungsbehörde eines Drittlands, mit denen von einem Verantwortlichen oder einem Auftragsverarbeiter die Übermittlung oder Offenlegung personenbezogener Daten verlangt wird, dürfen unbeschadet anderer Gründe für die Übermittlung gemäß diesem Kapitel jedenfalls nur dann anerkannt oder vollstreckbar werden, wenn sie auf eine in Kraft befindliche internationale Übereinkunft wie etwa ein Rechtshilfeabkommen zwischen dem ersuchenden Drittland und der Union oder einem Mitgliedstaat gestützt sind.

Art 49 DS-GVO – Ausnahmen für bestimmte Fälle
[1] Falls weder ein Angemessenheitsbeschluss nach Artikel 45 Absatz 3 vorliegt noch geeignete Garantien nach Artikel 46, einschließlich verbindlicher interner Datenschutzvorschriften, bestehen, ist eine Übermittlung oder eine Reihe von Übermittlungen personenbezogener Daten an ein Drittland oder an eine internationale Organisation nur unter einer der folgenden Bedingungen zulässig:

a) die betroffene Person hat in die vorgeschlagene Datenübermittlung ausdrücklich eingewilligt, nachdem sie über die für sie bestehenden möglichen Risiken derartiger Datenübermittlungen ohne Vorliegen ei
nes Angemessenheitsbeschlusses und ohne geeignete Garantien unterrichtet wurde, […]

Den Volltext der Entscheidung finden Sie hier:

Aus den Entscheidungsgründen:

"VG Wiesbaden: Verwendung des Cookie-Consent-Tools Cookiebot verstößt gegen DSGVO - Rechtswidrige Übermittlung personenbezogener Daten in die USA" vollständig lesen

EuGH-Generalanwalt: Verbandsklagebefugnis für Verbraucherschutzverbände bei DSGVO-Verstößen unionsrechtskonform

EuGH-Generalanwalt
Schlussanträge vom 02.12.2021
C-319/20
Facebook Ireland


Der EuGH-Generalanwalt kommt in seinen Schlussanträgen zu dem Ergebnis, dass eine Verbandsklagebefugnis für Verbraucherschutzverbände bei DSGVO-Verstößen unionsrechtskonform ist.

Die Pressemitteilung des EuGH:

Nach Ansicht von Generalanwalt Richard de la Tour können die Mitgliedstaaten Verbraucherschutzverbänden erlauben, gegen Verletzungen des Schutzes personenbezogener Daten Verbandsklagen zu erheben

Diese Klagen müssen auf die Verletzung von Rechten gestützt sein, die den betroffenen Personen unmittelbar aus der Datenschutz-Grundverordnung erwachsen.

In Deutschland wirft der Bundesverband der Verbraucherzentralen und Verbraucherverbände – Verbraucherzentrale Bundesverband e. V. (im Folgenden: Bundesverband) Facebook Ireland vor, bei der Bereitstellung kostenloser Spiele von Drittanbietern im „App-Zentrum“ der Plattform gegen Vorschriften über den Schutz personenbezogener Daten, zur Bekämpfung des unlauteren Wettbewerbs und über den Verbraucherschutz verstoßen zu haben. In diesem Zusammenhang erhob der Bundesverband vor den deutschen Gerichten Unterlassungsklage gegen Facebook Ireland.

Der Bundesgerichtshof (Deutschland) führt aus, dass Facebook Ireland den Nutzern die erforderlichen Informationen über den Zweck der Datenverarbeitung und den Empfänger personenbezogener Daten nicht (in präziser, transparenter, verständlicher und leicht zugänglicher Form in einer klaren und einfachen Sprache) übermittelt habe. Somit habe Facebook Ireland
gegen die Datenschutz-Grundverordnung verstoßen.

Der Bundesgerichtshof hat jedoch Zweifel daran, ob die Klage des Bundesverbands zulässig ist. Er stellt sich nämlich die Frage, ob einem Verband zur Wahrung von Verbraucherinteressen wie dem Bundesverband seit dem Inkrafttreten der Datenschutz-Grundverordnung noch die Befugnis zustehe, wegen Verstößen gegen diese Verordnung unabhängig von der konkreten Verletzung von Rechten einzelner betroffener Personen und ohne deren Auftrag im Wege einer Klage vor den Zivilgerichten vorzugehen.

Aus dem Umstand, dass die Datenschutz-Grundverordnung den Aufsichtsbehörden umfangreiche Überwachungs-, Untersuchungs- und Abhilfebefugnisse einräume, könnte abgeleitet werden, dass es grundsätzlich Sache dieser Behörden sei, die Bestimmungen dieser Verordnung durchzusetzen.

Daher hat der Bundesgerichtshof den Gerichtshof um Auslegung der Datenschutz-Grundverordnung ersucht.

In seinen heutigen Schlussanträgen schlägt Generalanwalt Jean Richard de la Tour dem Gerichtshof vor, die Datenschutz-Grundverordnung dahin auszulegen, dass sie einer nationalen Regelung nicht entgegensteht, die es Verbänden zur Wahrung von Verbraucherinteressen erlaubt, unter den Gesichtspunkten des Verbots der Vornahme unlauterer Geschäftspraktiken, des Verstoßes gegen ein Verbraucherschutzgesetz oder des Verbots der Verwendung unwirksamer Allgemeiner Geschäftsbedingungen gegen den mutmaßlichen Verletzer des Schutzes personenbezogener Daten Klage zu erheben, wenn
die betreffende Verbandsklage auf die Wahrung von Rechten gerichtet ist, die den Personen, die von der beanstandeten Verarbeitung betroffen sind, unmittelbar aus dieser Verordnung erwachsen.

Der Generalanwalt weist darauf hin, dass sich der Gerichtshof in seinem Urteil Fashion ID3 im Hinblick auf die Richtlinie 95/464
, der Vorgängervorschrift der Datenschutz-Grundverordnung, zu einer ähnlichen Frage geäußert habe. Der Gerichtshof habe für Recht erkannt, dass diese Richtlinie einer nationalen Regelung, die es Verbänden zur Wahrung von Verbraucherinteressen erlaubt, gegen den mutmaßlichen Verletzer von Vorschriften zum Schutz personenbezogener Daten Klage zu erheben, nicht entgegensteht.

Nach Auffassung des Generalanwalts können weder die Ersetzung der Richtlinie 95/46 durch eine Verordnung noch der Umstand, dass die Datenschutz-Grundverordnung nunmehr der Vertretung von betroffenen Personen bei Klagen einen Artikel widmet, die Feststellung des Gerichtshofs in diesem Urteil in Frage stellen.

So sei es den Mitgliedstaaten immer noch gestattet, bestimmten Einrichtungen die Möglichkeit einzuräumen, ohne Auftrag der betroffenen Personen und ohne dass vorgebracht werden müsste, dass konkrete Fälle im Hinblick auf individuell bezeichnete
Personen vorlägen, Verbandsklagen zum Schutz der Kollektivinteressen der Verbraucher zu erheben, wenn ein Verstoß gegen Bestimmungen dieser Verordnung geltend gemacht werde, mit denen den betroffenen Personen subjektive Rechte verliehen werden sollten.

Dies sei bei der Unterlassungsklage des Bundesverbands gegen Facebook Ireland der Fall. Der Generalanwalt führt ferner aus, dass die Datenschutz-Grundverordnung nationalen Bestimmungen nicht entgegenstehe, die einen Verband zur Wahrung von Verbraucherinteressen die Befugnis verliehen, über Vorschriften zum Schutz der Verbraucher oder zur Bekämpfung unlauterer Geschäftspraktiken eine Unterlassungsklage zur Wahrung der durch diese Verordnung verliehenen Rechte zu erheben.

Solche Vorschriften können nämlich ähnliche Bestimmungen wie die der Datenschutz-Grundverordnung enthalten, insbesondere in Bezug auf die Information der betroffenen Personen über die Verarbeitung ihrer personenbezogenen Daten. Folglich könne ein Verstoß gegen eine Vorschrift zum Schutz personenbezogener Daten gleichzeitig zu einem Verstoß gegen Vorschriften über den Verbraucherschutz oder unlautere Geschäftspraktiken führen. Nach Auffassung des Generalanwalts kommt die Wahrung der Kollektivinteressen der Verbraucher durch Verbände dem Ziel der Datenschutz-Grundverordnung, ein hohes Schutzniveau für personenbezogene Daten zu schaffen, besonders entgegen.


Die vollständigen Schlussanträge finden Sie hier:

TTDSG - Gesetz über den Datenschutz und den Schutz der Privatsphäre in der Telekommunikation und bei Telemedien am 01.12.2021 in Kraft getreten

Das TTDSG - Gesetz über den Datenschutz und den Schutz der Privatsphäre in der Telekommunikation und bei Telemedien ist am 01.12.2021 in Kraft getreten.

Siehe auch zum Thema:
Bundestag hat TTDSG - Gesetz zur Regelung des Datenschutzes und des Schutzes der Privatsphäre in der Telekommunikation und bei Telemedien verabschiedet

BGH: Anspruch auf Löschung einer vom Betroffenen selbst erwirkten Gegendarstellung aus dem Online-Archiv eines Presseorgans

BGH
Urteil vom 28.09.2021
VI ZR 1228/20
BGB § 823 Abs. 1, § 1004 Abs. 1 Satz 2; GG Art. 1 Abs. 1, Art. 2 Abs. 1

Der BGH hat entschieden, dass auch bei einer vom Betroffenen selbst erwirkten Gegendarstellung ein Anspruch auf Löschung aus dem Online-Archiv eines Presseorgans bestehen kann.

Leitsatz des BGH:
Zum Anspruch auf Löschung einer selbst erwirkten Gegendarstellung aus dem Online-Archiv eines Presseorgans, wenn auch die unzulässige Erstmitteilung dort nicht mehr zum Abruf vorgehalten wird.

BGH, Urteil vom 28. September 2021 - VI ZR 1228/20 - OLG Frankfurt am Main - LG Frankfurt am Main

Den Volltext der Entscheidung finden Sie hier:


LG Krefeld: Geltendmachung eines Auskunftsanspruchs aus Art. 15 DSGVO rechtsmissbräuchlich wenn dies nicht aus Gründen gemäß Erwägungsgrund 63 der DSGVO erfolgt

LG Krefeld
Urteil vom 06.10.2021
2 O 448/20


Das LG Krefeld hat entscheiden, dass die Geltendmachung eines Auskunftsanspruchs aus Art. 15 DSGVO rechtsmissbräuchlich ist, wenn dies nicht aus Gründen gemäß Erwägungsgrund 63 der DSGVO erfolgt.

Erwägungsgrund 63 lautet:

(63) Eine betroffene Person sollte ein Auskunftsrecht hinsichtlich der sie betreffenden personenbezogenen Daten, die erhoben worden sind, besitzen und dieses Recht problemlos und in angemessenen Abständen wahrnehmen können, um sich der Verarbeitung bewusst zu sein und deren Rechtmäßigkeit überprüfen zu können. Dies schließt das Recht betroffene Personen auf Auskunft über ihre eigenen gesundheitsbezogenen Daten ein, etwa Daten in ihren Patientenakten, die Informationen wie beispielsweise Diagnosen, Untersuchungsergebnisse, Befunde der behandelnden Ärzte und Angaben zu Behandlungen oder Eingriffen enthalten. Jede betroffene Person sollte daher ein Anrecht darauf haben zu wissen und zu erfahren, insbesondere zu welchen Zwecken die personenbezogenen Daten verarbeitet werden und, wenn möglich, wie lange sie gespeichert werden, wer die Empfänger der personenbezogenen Daten sind, nach welcher Logik die automatische Verarbeitung personenbezogener Daten erfolgt und welche Folgen eine solche Verarbeitung haben kann, zumindest in Fällen, in denen die Verarbeitung auf Profiling beruht. Nach Möglichkeit sollte der Verantwortliche den Fernzugang zu einem sicheren System bereitstellen können, der der betroffenen Person direkten Zugang zu ihren personenbezogenen Daten ermöglichen würde. Dieses Recht sollte die Rechte und Freiheiten anderer Personen, etwa Geschäftsgeheimnisse oder Rechte des geistigen Eigentums und insbesondere das Urheberrecht an Software, nicht beeinträchtigen. Dies darf jedoch nicht dazu führen, dass der betroffenen Person jegliche Auskunft verweigert wird. Verarbeitet der Verantwortliche eine große Menge von Informationen über die betroffene Person, so sollte er verlangen können, dass die betroffene Person präzisiert, auf welche Information oder welche Verarbeitungsvorgänge sich ihr Auskunftsersuchen bezieht, bevor er ihr Auskunft erteilt.


Aus den Entscheidungsgründen:

"Ein Auskunftsanspruch folgt ebenfalls nicht aus § 15 Abs. 1 DSGVO.

Zwar kann nach höchstrichterlicher Rechtsprechung die zwischen dem Versicherungsnehmer und dem Versicherungsunternehmen geführte Korrespondenz als Gegenstand des Auskunftsanspruchs in Betracht kommen (vgl. BGH, Urteil vom 15.06.2021, VI ZR 576/19).

Die in der hiesigen Konstellation erfolgte Geltendmachung eines auf § 15 Abs. 1 DSGVO gestützten Auskunftsanspruchs erachtet die Kammer jedoch für rechtsmissbräuchlich, da die Geltendmachung aus gänzlich verordnungsfremden Erwägungen heraus erfolgt (so auch LG Wuppertal, a. a. O.). Nach dem Erwägungsgrund 63 DSGVO, dient das Auskunftsrecht aus Art. 15 DSGVO dem Betroffenen dazu, sich der Verarbeitung seiner personenbezogenen Daten bewusst zu sein und deren Rechtmäßigkeit überprüfen zu können. So soll Art. 15 DSGVO eine Rechtmäßigkeitskontrolle der Datenverarbeitungsvorgänge ermöglichen. Der Betroffene soll den Umfang und Inhalt der gespeicherten Daten beurteilen können. Die Auskünfte dienen auch dazu, der betroffenen Person die Wahrnehmung der weiteren Rechte nach der Datenschutzgrundverordnung zu ermöglichen, vor allem das Recht auf Berichtigung nach Art. 16 DSGVO, auf Löschung nach Art. 17 DSGVO und auf Einschränkung der Verarbeitung nach Art. 17 DSGVO (vgl. OLG Köln, Beschluss vom 03.09.2019, 20 W 10/18). Keine der in dem Erwägungsgrund 63 DSGVO genannten Interessen verfolgt die Klagepartei vorliegend, nicht einmal als Reflex. Aus dem Vortrag und dem prozessualen Vorgehen der Klagepartei ergibt sich, dass der Auskunftsanspruch letztlich nur dazu dienen soll, nach Überprüfung der Rechtmäßigkeit der Beitragsüberprüfung einen etwaig bestehenden Bereicherungsanspruch gegen die Beklagte zu verfolgen. Ein Begehren, das sich derart weit von dem Regelungsgehalt einer Rechtsgrundlage entfernt, ist nicht schutzwürdig und stellt sich als treuwidrig dar. Dies insbesondere vor dem Hintergrund, dass die Klagepartei die Unterlagen, die die begehrten Informationen enthalten unbestritten ursprünglich einmal erhalten hat und nur jetzt nicht mehr darüber verfügt (vgl. LG Wuppertal, a. a. O.)."


Den Volltext der Entscheidung finden Sie hier:

OLG Karlsruhe: EncroChat-Daten sind ein zulässiges Beweismittel und können im Strafverfahren verwertet werden

OLG Karlsruhe
Beschluß vom 10.11.2021
2 Ws 261/21; HEs 2 Ws 311/21


Das OLG Karlsruhe hat entschieden, dass EncroChat-Daten ein zulässiges Beweismittel sind und im Strafverfahren verwertet werden können.

Aus den Entscheidungsgründen:

Hinsichtlich des dringenden Tatverdachts und der Beweislage wird zunächst auf die Anklageschrift vom 9.8.2021 verwiesen. Der dringende Tatverdacht gründet sich dabei im Wesentlichen auf die Erkenntnisse aus der zwischen den Tatbeteiligten über EncroChat geführten Kommunikation, die den deutschen Ermittlungsbehörden von den französischen Ermittlungsbehörden zur Verfügung gestellt wurden.

Entgegen der von der Verteidigung insoweit erhobenen Einwendungen sind diese Erkenntnisse nach vorläufiger Bewertung auf der Grundlage des Akteninhalts verwertbar.

1. Dabei ist unter Berücksichtigung der in anderen obergerichtlichen Entscheidungen (KG, Beschluss vom 30.8.2021 – 2 Ws 93/21 - 161 AR 134/21, juris; OLG Brandenburg, Beschluss vom 3.8.2021 – 2 Ws 102/21 [S]; 2 Ws 96/21, juris; OLG Düsseldorf, Beschluss vom 21.7.2021 – III 2 Ws 96/21; OLG Rostock, Beschluss vom 11.5.2021 – 20 Ws 121/21BeckRS 2021, 11981 = NJ 2021, 372-374; OLG Schleswig SchlHA 2021, 197; OLG Rostock, Beschluss vom 23.3.2021 – 20 Ws 70/21, juris; OLG Hamburg, Beschluss vom 29.1.2021 – 1 Ws 2/21 –, juris; OLG Bremen NStZ-RR 2021, 158) mitgeteilten Erkenntnisse von folgendem Verfahrensgang auszugehen:

Den in Frankreich durchgeführten und aufeinander aufbauenden Ermittlungsmaßnahmen lag folgender Sachverhalt zugrunde:

Im Rahmen von sieben nicht im Zusammenhang stehenden Ermittlungsverfahren - in fünf Fällen handelte es sich ausschließlich um Betäubungsmitteldelikte (436 kg Cannabisharz / 100 kg Cannabisharz / 30 kg Cannabisharz / 30 kg Cannabisharz / 12 kg Cannabiskraut, 6 kg Heroin, 1 kg Crack), in einem Fall um ein Betäubungsmitteldelikt (6 kg Cannabisharz) sowie um eine Diebstahlsserie von Luxuskraftfahrzeugen und in einem weiteren Fall um bandenmäßig organisierten Kraftfahrzeugdiebstahl - der französischen Behörden in den Jahren 2017 und 2018 wurden verschlüsselte Telefone unter „EncroChat-Lizenz“ sichergestellt.

Weitere Recherchen ergaben, dass diese Telefone auf einer frei zugänglichen Internetseite mit folgenden Produktmerkmalen beworben wurden: „Garantie der Anonymität, personalisierte Android Plattform, doppeltes Betriebssystem, allerneueste Technik, automatische Löschung von Nachrichten, schnelles Löschen, Unantastbarkeit, Kryptografie-Hardwaremodul“. Folgende Anwendungen waren auf dieser Art von Telefonen verfügbar: „EncroChat (lnstant-Secure Messaging Kunde), EncroTalk (Chiffrierung der Sprachkonversationen auf IP), EncroNotes (Chiffrierung der lokal auf dem Gerät gespeicherten Notizen)“. Ein Erwerb solcher Endgeräte war jedoch nicht über die offizielle Webseite dieses Unternehmens möglich.

Auf der Verkaufsplattform eBay wurden derartige Geräte für 1.610 EUR angeboten, wobei dieser Preis eine Nutzerlizenz für die Dauer von (nur) sechs Monaten beinhaltete. Personen, die sich nach außen als Verantwortliche der Firma EncroChat präsentierten, existierten nicht. Einen offiziellen Sitz eines Unternehmens EncroChat gab es ebenfalls nicht.

Anhand der Auswertung eines der beschlagnahmten Mobiltelefone konnten die Ermittlungsbehörden aufgrund der aus- und eingehenden Datenströme feststellen, dass eine Datenverbindung zu einem in Roubaix (Frankreich) betriebenen Server bestand. Dieser Server war von der Gesellschaft „Virtue Imports“ mit Sitz in Vancouver/Kanada angemietet.

Nach Einholung eines richterlichen Beschlusses wurden am 21.12.2018 die Daten des vorgenannten Servers kopiert und in der Folgezeit ausgewertet. Die Ermittlungen wurden zu diesem Zeitpunkt wegen des Verdachts der Bildung einer „kriminellen Vereinigung zur Begehung von Straftaten oder Verbrechen, die mit zehn Jahren Haft bestraft werden“, (und insbesondere Verbrechen des Betäubungsmittel-/Drogenhandels laut Artikel 222-37 des französischen Strafgesetzbuches) sowie wegen weiteren Tatbeständen im Zusammenhang mit der Lieferung, dem Transfer und dem Import eines Verschlüsselungsmittels geführt.

Die kopierten Serverdaten förderten unter anderem zutage, dass die verwendeten SIM-Karten von einem niederländischen Betreiber stammten und im System insgesamt 66.134 SIM-Karten eingetragen waren. Es konnten knapp 3.500 Dateien mit Notizen entschlüsselt werden, die nach Lage der Dinge in Verbindung mit illegalen Aktivitäten, insbesondere dem Drogenhandel, standen. So zeigten beispielsweise die Notizen eines Nutzers hochwahrscheinlich dessen Einbindung in den Drogenhandel über Häfen und dessen Möglichkeiten zur Geldwäsche in Paris durch Zahlungsströme in Richtung Marokko.

Aufgrund richterlicher Genehmigungen des Gerichts in Lille vom 30.1.2020 für den Einsatz einer Computerdaten-Abfangeinrichtung erfolgte sowohl auf dem Server als auch auf den mit diesem Server verbundenen Endgeräten die Installation einer „Trojanersoftware“ und schließlich mangels anderweitiger Ermittlungsmöglichkeiten – ebenfalls mit richterlicher Genehmigung desselben Gerichts vom 20.3.2020 – eine Umleitung aller Datenströme (DNS-Umleitung) des vorgenannten Servers in Roubaix ab dem 1.4.2020. Dabei wurde bekannt, dass von der Datenabfangmaßnahme 32.477 Nutzer in 121 Ländern betroffen waren. Hiervon befanden sich 380 Nutzer ganz oder teilweise im französischen Hoheitsgebiet, von denen nach Einschätzung der französischen Behörden mindestens 242 Personen – mithin über 60 % – das verschlüsselte Kommunikationssystem zu kriminellen Zwecken nutzten. Das Nutzungsverhalten der übrigen Personen war zu diesem Zeitpunkt noch nicht ausgewertet oder diese waren inaktiv.

Am 7.4.2020 wurden die Ermittlungen auf Transport, Besitz, Erwerb, Anbieten oder Abgabe von Drogen/Betäubungsmitteln und den Besitz und Erwerb von Waffen ohne Genehmigung ausgedehnt, nachdem nähere Informationen zum Netzwerk der Händler der EncroChat-Telefone bekannt geworden waren. In einem an einen australischen Händler versandten „Leitfaden“ zur Vermarktung der chiffrierten Telefone, der den Ablauf der unterschiedlichen Kaufphasen bis hin zum endgültigen Verkauf an die Nutzer schilderte, wurde unter anderem auch erklärt, dass die Zahlung vorzugsweise in Kryptowährung (Bitcoin) erfolgen solle, dass man sich gegenüber der Polizei verdeckt halten und insbesondere vermeiden müsse, durch mengenmäßig zu große Lieferungen aufzufallen. Dem Händler, dessen Hauptaktivität der Kokainhandel gewesen sein soll, wurde auch versichert, dass die Geräte weder „abgehört“ noch unrechtmäßig genutzt werden könnten, wenn sie „in schlechte Hände“ fielen. Insbesondere wurde darauf hingewiesen, dass der Polizei eine Lokalisierung nicht möglich sei, wenn diese an die IMEI und die SIM des Telefons gelange.

Aufgrund dieser Erkenntnisse wurden die aufgrund der richterlichen Anordnung zeitlich begrenzten technischen Maßnahmen zunächst für einen Monat ab 1.5.2020 und darauffolgend für weitere vier Monate ab 1.6.2020 – jeweils mit richterlichem Beschluss – verlängert und die Deliktstatbestände, derentwegen ermittelt wurde, erweitert. Die Maßnahmen endeten in Frankreich jedoch bereits mit der Einstellung des Geschäftsbetriebs des Unternehmens EncroChat nach ihrem Bekanntwerden am 28.6.2020.

Zu einer Unterrichtung der Bundesrepublik Deutschland - als zu unterrichtender Mitgliedstaat - durch die Republik Frankreich - als überwachender Mitgliedsstaat im Sinne von Art. 31 Abs. 1 der Richtlinie 2014/41/EU des Europäischen Parlaments und des Rates vom 3.4.2014 (ABl. L 130/1) - RL-EEA - dahingehend, dass sich die Zielperson der Überwachung auf deutschem Hoheitsgebiet befindet oder befunden hat, kam es zunächst nicht. Ebenso unterblieb auch eine Mitteilung der Bundesrepublik Deutschland nach Art. 31 Abs. 3 RL-EEA, dass die Überwachung durchzuführen oder zu beenden sei.

In der Folgezeit wurden die EncroChat-Daten dem BKA in der Zeit vom 3.4. bis zum 28.6.2020 übermittelt und dort aufbereitet. Von der Generalstaatsanwaltschaft Frankfurt am Main wurden sodann getrennte Ermittlungsverfahren gegen die ermittelten Nutzer eingeleitet und den örtlich zuständigen Staatsanwaltschaften über die jeweiligen Landeskriminalämter zugeleitet.

Vorangegangen war eine Mitteilung Frankreichs über die gewonnenen Erkenntnisse nach Art. 7 des Rahmenbeschlusses 2006/960/JI des Rates vom 18.12.2006 über die Vereinfachung des Austausches von Informationen und Erkenntnissen zwischen den Strafverfolgungsbehörden der Mitgliedstaaten der Europäischen Union (ABl. 386/89). Hiernach stellen nationale Strafverfolgungsbehörden den Strafverfolgungsbehörden anderer Mitgliedstaaten Informationen und Erkenntnissen unaufgefordert zur Verfügung stellen, wenn konkrete Gründe für die Annahme bestehen, dass diese dazu beitragen könnten, Straftaten nach Art. 2 Abs. 2 des Rahmenbeschlusses 2002/584/JI des Rates vom 13.6.2002 über den Europäischen Haftbefehl und die Übergabeverfahren zwischen den Mitgliedstaaten aufzudecken, zu verhüten oder aufzuklären.

Am 2.6.2020 erließ die Generalstaatsanwaltschaft Frankfurt am Main auf der Grundlage der Art. 5 ff. RL-EEA eine Europäische Ermittlungsanordnung, welche nach Art. 1 der Richtlinie auch auf die Erlangung von Beweismitteln, die sich bereits im Besitz der zuständigen Behörden des Vollstreckungsstaates befinden, erlassen werden kann. In Anhang A, Abschnitt C (Sonderheft Rechtshilfe, Bl. 1), in welchem die erbetenen Maßnahmen mitgeteilt werden, heißt es: Das BKA sei über Europol informiert worden, dass in Deutschland eine Vielzahl schwerster Straftaten (insbesondere Einfuhr und Handeltreiben mit Betäubungsmitteln in nicht geringer Menge) unter Nutzung von Mobiltelefonen mit der Verschlüsselungssoftware EncroChat begangen werden. In diesem Zusammenhang wurden die französischen Justizbehörden ersucht, die unbeschränkte Verwendung der betreffenden Daten bezüglich der über EncroChat ausgetauschten Kommunikation in Strafverfahren gegen die Täter zu genehmigen.

Diese Genehmigung ist am 13.6.2020 durch die Ermittlungsrichterin in Lille erteilt und sodann die Fortsetzung der – zuvor ohne Ersuchen erfolgten – Übermittlung der nunmehr ersuchten Daten über Europol angeordnet worden. Die französischen Behörden haben einer Verwendung der Daten im Rahmen eines jeden Ermittlungsverfahrens im Hinblick auf jedwedes Gerichts-, Strafverfolgungs- oder Untersuchungsverfahren zugestimmt.

In Bezug auf die Angeklagten im vorliegenden Verfahren erließ die Staatsanwaltschaft Freiburg am 26.4.2021 und am 31.5.2021 (bezüglich des mutmaßlich vom Mitangeklagten H. genutzten EncroChat-Accounts) sowie am 27.5.2021 (bezüglich des mutmaßlich vom Angeklagten L. genutzten EncroChat-Accounts) Europäische Ermittlungsanordnungen. Die entsprechenden Genehmigungen zur umfassenden Verwertung in deutschen Strafverfahren wurden von der Ermittlungsrichterin in Lille am 4.6./5.7.2021 (bezüglich H.) und am 18.6.2021 (bezüglich L.) erteilt.

2. Die jedenfalls die Grundlage der Verwertung im vorliegenden Verfahren bildenden Europäischen Ermittlungsanordnungen der Staatsanwaltschaft Freiburg sind rechtmäßig erlassen worden.
4
Außer den in § 91j Abs. 1 IRG enthaltenen formalen Vorgaben genügen diese Ermittlungsanordnungen auch den sich aus Art. 6 Abs. 1 RL-EEA ergebenden materiellen Anforderungen (vgl. Schomburg/Lagodny, Internationale Rechtshilfe in Strafsachen, 6. Aufl., § 91j IRG Rn. 3). Danach darf eine Europäische Ermittlungsanordnung nur erlassen werden, wenn die im Ausland durchzuführende Maßnahme in einem vergleichbaren innerstaatlichen Fall unter denselben Bedingungen hätte angeordnet werden können (Art. 6 Abs. 1 lit. b RL-EEA). Zudem muss der Erlass der EEA auch dem Grundsatz der Verhältnismäßigkeit genügen, d.h. für die Zwecke des ihr zugrunde liegenden Strafverfahrens unter Berücksichtigung der Rechte der betroffenen Person notwendig und verhältnismäßig sein (Art. 6 Abs. 1 lit. a RL-EEA).

Ob sich die Prüfung dabei bloß auf die Frage der Genehmigung der Verwertung der bereits erhobenen Beweismittel beschränkt oder sich weitergehend auch auf die Rechtmäßigkeit der Erhebung der Beweise erstreckt, kann letztlich dahinstehen, nachdem bereits die Beweiserhebung auch nach deutschem Recht zulässig gewesen wäre.

a) Bei der Prüfung der Rechtmäßigkeit des Zugriffs auf die Endgeräte ist dabei im Blick zu behalten, dass sich die Ermittlungen jedenfalls auch gegen die Vertreiber der Endgeräte richteten. Danach findet der Zugriff auf die von den Angeklagten genutzten Endgeräte und die darauf gespeicherten Daten seine Grundlage jedenfalls in § 100b StPO. Auf der Grundlage der zu Vertrieb und Nutzung der mit der EncroChat-Software versehenen Endgeräte bekannt gewordenen Besonderheiten - konspirativer Vertrieb hochpreisiger mit Verschlüsselungstechnik versehener Endgeräte, die für eine konventionelle Nutzung nicht eingesetzt werden können - bestand der Anfangsverdacht gegen die Vertreiber der Geräte, damit bewusst die Begehung schwerer Straftaten der organisierten Kriminalität, die zum Katalog der in § 100b Abs. 2 StPO aufgeführten Taten gehören, zu unterstützen (vgl. KG a.a.O., Rn. 48 bei juris). Der Zugriff auf die Endgeräte war dabei gemäß § 100b Abs. 3 Nr. 2 StPO zulässig, weil direkte Ermittlungsmaßnahmen gegen die namentlich nicht bekannten Vertreiber nicht möglich waren und deshalb nur der Zugriff auf die mit den vertriebenen Endgeräten geführte Kommunikation weiteren Aufschluss über die Verwendung für die Begehung strafbarer, dem Katalog des § 100b Abs. 2 StPO unterfallender Handlungen erwarten ließ. Allein der Zugriff auf den Server, über den die Kommunikation geleitet wurde, erlaubte wegen der vorherigen Verschlüsselung bereits auf dem Endgerät keinen Zugriff auf die Kommunikationsinhalte.

b) Die Auswertung der auf den Endgeräten gespeicherten Kommunikationsinhalte, die die Beteiligung der Angeklagten an Betäubungsmittelstraftaten gemäß § 29a Nr. 2 BtMG und damit einer Katalogtat gemäß § 100a Abs. 2 Nr. 7 lit. b StPO belegten, hätten sodann auch nach deutschem Recht die Überwachung der laufenden Kommunikation gemäß § 100a Abs. 1 StPO gerechtfertigt, nachdem wegen des im Übrigen konspirativen Vorgehens der Beteiligten andere Ermittlungsmaßnahmen keinen Erfolg versprachen.

3. Soweit bei der Erhebung der Beweise durch die französischen Behörden nicht alle dafür maßgeblichen Rechtsvorschriften beachtet worden sind, führt dies im Ergebnis nicht zu einer Unverwertbarkeit der gewonnenen Beweismittel.

a) Ob das Vorgehen der französischen Behörden innerhalb des französischen Staatsgebiets den Vorgaben des französischen Rechts entsprach, ist grundsätzlich der Prüfung durch den Senat entzogen (BGHSt 58, 32); Verstöße gegen den ordre public sind insoweit nicht ersichtlich.

b) Der Zugriff auf die Endgeräte der Angeklagten in Deutschland ist aber an den rechtlichen Vorgaben der Art. 30, 31 RL-EEA zu messen (vgl. auch §§ 59 Abs. 3, 91c Abs. 2 Nr. 2 lit. c dd IRG). Die Unterrichtung der deutschen Behörden, zu der die französischen Behörden nach Art. 31 Abs. 1 RL-EEA jedenfalls ab dem Zeitpunkt verpflichtet waren, ab dem sie Kenntnis davon hatten, dass die von der Überwachung betroffenen Personen sich auf deutschem Staatsgebiet aufhielten, ist vorliegend jedoch nicht erfolgt, so dass eine - gemäß Art. 6 Abs. 1 lit. b RL-EEA zwingend durchzuführende - Prüfung der Zulässigkeit der Maßnahme nach deutschem Recht durch die zuständige Behörde nicht erfolgen konnte.

c) Dieser Verstoß führt jedoch nicht zu einem Beweisverwertungsverbot.

Ein allgemein geltender Grundsatz, demzufolge jeder Verstoß gegen Beweiserhebungsvorschriften ein strafprozessuales Verwertungsverbot nach sich zieht, ist dem Strafverfahrensrecht fremd und auch weder von Verfassungs wegen noch durch die Europäische Menschenrechtskonvention oder das Recht der Europäischen Union geboten (BVerfG NJW 2008, 3053; 2011, 2417; BVerfGE 130, 1; KG a.a.O., jew. m.w.N.). Auch wenn die Strafprozessordnung nicht auf Wahrheitserforschung "um jeden Preis" gerichtet ist, schränkt die Annahme eines Verwertungsverbotes eines der wesentlichen Prinzipien des Strafverfahrensrechts ein, nämlich den Grundsatz, dass das Gericht die Wahrheit zu erforschen und dazu die Beweisaufnahme von Amts wegen auf alle Tatsachen und Beweismittel zu erstrecken hat, die von Bedeutung sind. Das Rechtsstaatsprinzip gestattet und verlangt die Berücksichtigung der Belange einer funktionstüchtigen Strafrechtspflege, ohne die der Gerechtigkeit nicht zum Durchbruch verholfen werden kann. Der Rechtsstaat kann sich nur verwirklichen, wenn ausreichende Vorkehrungen dafür getroffen sind, dass Straftäter im Rahmen der geltenden Gesetze verfolgt, abgeurteilt und einer gerechten Bestrafung zugeführt werden. Daran gemessen bedeutet ein Beweisverwertungsverbot eine begründungsbedürftige Ausnahme, die nur nach ausdrücklicher gesetzlicher Vorschrift oder aus übergeordneten wichtigen Gründen im Einzelfall anzuerkennen ist (BVerfGE 33, 367, 383; 46, 214, 222; 122, 248, 272 f.; BGHSt 40, 211, 217; 44, 243, 249; 51, 285, 290; st. Rspr.). Ein Beweisverwertungsverbot ist aber zumindest bei schwerwiegenden, bewussten oder willkürlichen Verfahrensverstößen, bei denen die grundrechtlichen Sicherungen planmäßig oder systematisch außer Acht gelassen worden sind, geboten (vgl. BVerfGE 113, 29, 61; NJW 1999, 273; NJW 2006, 2684). Ein absolutes Beweisverwertungsverbot unmittelbar aus den Grundrechten hat das Bundesverfassungsgericht nur in den Fällen anerkannt, in denen der absolute Kernbereich privater Lebensgestaltung berührt ist (vgl. BVerfGE 34, 238, 245 f.; 80, 367, 374 f.; 109, 279, 320). Im Übrigen bedarf es einer Abwägung der für und gegen die Verwertung sprechenden Gesichtspunkte im Einzelfall. Für die Verwertbarkeit spricht stets das staatliche Aufklärungsinteresse, dessen Gewicht im konkreten Fall vor allem unter Berücksichtigung der Verfügbarkeit weiterer Beweismittel, der Intensität des Tatverdachts und der Schwere der Straftat bestimmt wird. Auf der anderen Seite muss berücksichtigt werden, welches Gewicht der Rechtsverstoß hat. Dieses wird im konkreten Fall vor allem dadurch bestimmt, ob der Rechtsverstoß gutgläubig, fahrlässig oder vorsätzlich begangen wurde, welchen Schutzzweck die verletzte Vorschrift hat, ob der Beweiswert beeinträchtigt wird, ob die Beweiserhebung hätte rechtmäßig durchgeführt werden können und wie schutzbedürftig der Betroffene ist (BVerfGE 130, 1 m.w.N.).

Im vorliegenden Fall ist dabei in die Abwägung einzustellen, dass bei Beachtung der rechtlichen Vorgaben der Überwachung aller Voraussicht nach von der zuständigen Behörde nicht widersprochen worden wäre (vgl. dazu Art. 31 Abs. 3 RL-EEA), nachdem die Beweiserhebung - wie gezeigt - auch nach deutschem Recht zulässig gewesen wäre. Zudem dienen die gewonnenen Beweise der Aufklärung und Verfolgung schwerer Straftaten der organisierten Kriminalität, die auf andere Weise nicht zu bewerkstelligen wäre. Weder sind mit der Beweisgewinnung durch die französischen Behörden Zuständigkeitsvorgaben umgangen worden (sog. Befugnis-Shopping) noch ist eine gezielte Missachtung der komplexen rechtshilferechtlichen Vorschriften erkennbar. Umgekehrt ist zwar zu berücksichtigen, dass mit den Ermittlungsmaßnahmen in die besonders sensiblen Bereiche des Fernmeldegeheimnisses (Art. 10 GG) bzw. des Schutzes der Integrität informationstechnischer Systeme als Teil des ebenfalls grundrechtlich geschützten Rechts auf informationelle Selbstbestimmung (Art. 2 Abs. 1 GG, vgl. dazu BVerfGE 120, 274) eingegriffen wurde. Dies wird allerdings dadurch relativiert, dass die Angeklagten diesen Schutz bewusst zur Begehung schwerer Straftaten missbraucht haben und nach den gesamten Umständen, insbesondere der fehlenden Möglichkeit, die überwachten Geräte für konventionelle Kommunikation zu verwenden, von vornherein nicht zu erwarten war, dass mit der Überwachung schutzbedürftige sensible Daten gesammelt werden würden. In der Zusammenschau wiegt der Rechtsverstoß danach vorliegend nicht so schwer, dass deswegen ein Beweisverwertungsverbot geboten wäre (ebenso OLG Hamburg a.a.O.; OLG Brandenburg a.a.O.; KG a.a.O.).

II. Es besteht der Haftgrund der Fluchtgefahr (§ 112 Abs. 2 Nr. 2 StPO), die nicht durch die Erteilung von Auflagen und Weisungen nach § 116 StPO in ausreichendem Maße gemindert werden kann.

Die im Falle einer Verurteilung unter Heranziehung der gesetzlichen Strafrahmen, auch unter Berücksichtigung anzurechnender Untersuchungshaft und einer möglichen, wenn auch angesichts der Schwere der vorgeworfenen Straftaten, die ihrem gesamten Gepräge nach dem Bereich der schweren, organisierten Kriminalität zuzuordnen sind, durchaus nicht selbstverständlichen vorzeitigen Entlassung, bestehende hohe Straferwartung in dem hier anhängigen Verfahren begründet für den Beschuldigten einen erheblichen Fluchtanreiz, dem keine ausreichenden fluchthemmenden Umstände entgegenstehen.

Dabei wird nicht verkannt, dass nicht allein aus der Straferwartung auf das Bestehen von Fluchtgefahr geschlossen werden kann (Meyer-Goßner/Schmitt, StPO, 64. Aufl., § 112 Rn. 24 m.w.N.; KK-Graf, StPO, 8. Aufl., § 112 Rn. 19) und dass bei der Beurteilung der Fluchtgefahr jede schematische Beurteilung anhand genereller Maßstäbe ausscheidet, insbesondere die Annahme unzulässig ist, dass bei einer Straferwartung in bestimmter Höhe stets (oder nie) ein rechtlich beachtlicher Fluchtanreiz bestehe (KG Berlin, StV 2017, 450). Vielmehr ist eine umfassende Abwägung aller für und gegen eine bevorstehende Flucht sprechenden Umstände des konkreten Einzelfalles vorzunehmen, wobei eine hohe Straferwartung erfahrungsgemäß einen höheren Fluchtanreiz bietet (vgl. OLG Karlsruhe - Senat - StV 2010, 31). Die für eine Fluchtgefahr sprechenden „bestimmten Tatsachen“ brauchen dabei aber nicht zur vollen Überzeugung des Gerichts festzustehen; es genügt derselbe Wahrscheinlichkeitsgrad wie beim dringenden Tatverdacht. Bei der Beurteilung der Fluchtgefahr ist zudem nicht nur auf äußerlich zutage liegende Tatsachen abzustellen, sondern auch auf Erfahrungssätze und innere Tatsachen, auf die nach der Lebenserfahrung oder aufgrund äußerer Umstände geschlossen werden kann (vgl. OLG Celle, Beschluss vom 8.4.2019 - 3 Ws 102/19 -, BeckRS 2019, 7771).

Gemessen hieran sind in dem hier zu beurteilenden Fall folgende Umstände zu berücksichtigen: Der Angeklagte hat im Falle seiner Verurteilung angesichts der ganz erheblichen gehandelten Mengen unterschiedlicher Betäubungsmittel (mindestens 5 Kilogramm Kokain, 335 Kilogramm Marihuana) ungeachtet des noch nicht feststehenden Wirkstoffgehalts, der teilweisen Sicherstellung der Betäubungsmittel und des Fehlens von Vorstrafen mit der Verhängung einer erheblichen, mehrjährigen Gesamtfreiheitsstrafe zu rechnen, die weit oberhalb des bewährungsfähigen Bereichs liegen dürfte. Die gesetzliche Mindeststrafe für die in Täterschaft begangenen Delikte beträgt jeweils ein Jahr. Die Annahme minder schwerer Fälle erscheint nach gegenwärtigem Erkenntnisstand angesichts der Menge der gehandelten Betäubungsmittel, darunter auch solche mit hohem Suchtpotential, aber auch wegen des sonstigen Tatbildes (Verwendung von Krypto-Handys, teilweise wöchentlicher Umsatz großer Betäubungsmittelmengen unter Einsatz erheblicher finanzieller Mittel) eher fernliegend.

Aus der Höhe der im Falle einer Verurteilung drohenden Straferwartung ergibt sich für den Angeklagten ein so erheblicher Fluchtanreiz, sei es eine Flucht ins europäische Ausland oder ein Untertauchen im Inland, dass den vorhandenen familiären und beruflichen Bindungen kein ausreichendes fluchthemmendes Gewicht beigemessen werden kann. Hierbei ist zu berücksichtigen, dass die Fortführung des vom Angeklagten betriebenen Gewerbes im Hinblick auf die längere Inhaftierung, aber auch die im Raum stehende Einziehung von Wertersatz von mehr als 1,6 Millionen Euro erheblich in Frage gestellt ist. Allein die Beziehungen zu seiner Ehefrau und den beiden gemeinsamen Kindern sowie zu einem Sohn aus einer früheren Verbindung sind vor diesem Hintergrund nicht geeignet, die Fluchtgefahr ausreichend zu mindern, zumal es wahrscheinlich erscheint, dass er aufgrund der über einen längeren Zeitraum betriebenen Betäubungsmittelgeschäfte über Kontakte ins kriminelle Milieu, auch im Ausland - nach den vorliegenden Erkenntnissen wurde jedenfalls das Marihuana aus Spanien bezogen - verfügt, die ihm eine Flucht erleichtern.

Dass es dem Angeklagten gewisse Schwierigkeiten bereiten dürfte, dauerhaft unterzutauchen, und er bei einer Flucht ins Ausland mit seiner Auslieferung rechnen müsste, gilt für den Angeklagten in gleicher Weise wie für jeden anderen einer Straftat Verdächtigen. Mit dieser Argumentation lässt sich eine Fluchtgefahr jedoch nicht grundsätzlich verneinen, zumal es für die Annahme von Fluchtgefahr genügt, wenn der Beschuldigte sich dem Verfahren zumindest für eine gewisse Dauer zu entziehen sucht (vgl. KK-Graf, StPO, a.a.O., § 112 Rn. 17 m.w.N.).

III. Dem in Haftsachen zu beachtenden Beschleunigungsgebot (Art. 5 Abs. 3 Satz 1 Halbsatz 2 MRK, § 121 Abs. 1 StPO) wurde entsprochen. Vermeidbare, den Strafverfolgungsorganen anzulastende Verzögerungen liegen nicht vor.

Wegen des Ablaufs des Ermittlungsverfahrens wird Bezug genommen auf den Zuleitungsbericht der Staatsanwaltschaft vom 20.10.2021, der den Beteiligten bekannt gemacht wurde.

Angesichts des Schweigens des Angeklagten und der weiteren Tatbeteiligten waren komplexe Ermittlungen zur Identifizierung der hinter den benutzten EncroChat-Accounts stehenden Personen erforderlich. Obwohl der Vorsitzende der inzwischen zuständigen großen Strafkammer alsbald nach Anklageerhebung Anstrengungen unternahm, mit den Beteiligten Termine für eine Hauptverhandlung abzustimmen, ist ein Beginn der Hauptverhandlung vor allem wegen der Verhinderung des Verteidigers des Angeklagten erst ab dem 13.1.2022 möglich. Da die Termine aber mit den Beteiligten abgestimmt sind, kann danach von einem zügigen Fortgang des Verfahrens und dessen zeitnahem Abschluss ausgegangen werden.

Den Volltext der Entscheidung finden Sie hier:

VG Hannover: Online-Apotheke darf bei Bestellungen nicht bei allen Produkten das Geburtsdatum des Kunden abfragen - Verstoß gegen Grundsatz der Datenminimierung

VG Hannover
Urteil vom 09.11.2021
10 A 502/19


Das VG Hannover hat entschieden, dass eine Online-Apotheke bei Bestellungen nicht bei allen Produkten das Geburtsdatum des Kunden abfragen darf. Insofern liegt ein Verstoß gegen den Grundsatz der Datenminimierung vor.

Die Pressemitteilung des Gerichts:

Online-Versandapotheke darf im Bestellvorgang das Geburtsdatum nicht bei jedem Produkt abfragen
10. KAMMER WEIST KLAGE EINER ONLINE-VERSANDAPOTHEKE AB

Die 10. Kammer des Verwaltungsgerichts Hannover hat mit Urteil vom 09. November 2021 die Klage einer Online-Versandapotheke abgewiesen. Die Klägerin ist eine Firma mit Sitz in Niedersachsen und Betreiberin einer Online-Versandapotheke. Die beklagte Landesbeauftrage für den Datenschutz Niedersachsen (LfD) wies die Klägerin mit Bescheid vom 08. Januar 2019 an, es zu unterlassen, unabhängig von der Art des bestellten Medikamentes das Geburtsdatum des Bestellers/der Bestellerin zu erheben und zu verarbeiten. Zudem wies sie die Klägerin zur Unterlassung der Verwendung der im Bestellprozess erhobenen Anrede (Herr/Frau) an, soweit Gegenstand der Bestellung Medikamente seien, die nicht geschlechtsspezifisch zu dosieren und/oder einzunehmen seien.

Gegen diesen Bescheid hat die Klägerin Klage vor dem Verwaltungsgericht Hannover erhoben. Die Klägerin hatte bereits vor dem Termin zur mündlichen Verhandlung hinsichtlich der Anrede „Herr/Frau“ die Auswahloption „ohne Angabe“ in ihrem Bestellformular eingefügt. Die Parteien haben diesbezüglich übereinstimmend das Verfahren für erledigt erklärt.

Bezüglich der Abfrage des Geburtsdatums trug die Klägerin vor, aufgrund der für Apotheker geltenden Berufsordnung bestimmten Beratungsobliegenheiten zu unterfallen. Hierzu gehöre auch die Pflicht zur altersgerechten Beratung. Um diese Verpflichtung erfüllen zu können, müsse eine entsprechende Abfrage im Bestellprozess erfolgen. Zudem habe sie ein berechtigtes Interesse daran zu erfahren, ob der Besteller bzw. die Bestellerin volljährig und damit voll geschäftsfähig sei.

Dem ist das Gericht nicht gefolgt. Die Kammer hat zunächst klargestellt, dass der von der LfD gerügte Bestellvorgang sich nur auf rezeptfrei erwerbbare Produkte beziehe. Die Verarbeitung des Geburtsdatums in diesem Bestellvorgang habe nach Ansicht der Kammer zumindest für solche Produkte zu unterbleiben, die keine altersspezifische Beratung erforderten. Ein Blick auf die von der Klägerin auf ihrer Webseite angebotenen Produktpalette zeige, dass sie eine große Zahl von Drogerieartikeln aber auch apothekenpflichtigen Medikamenten anbiete, die nicht altersspezifisch zu dosieren seien. Für diese Produkte könne in der Datenschutzgrundverordnung – nachdem sich die Klägerin bislang von ihren Kunden im Bestellprozess auch keine Einwilligung zur Datenverarbeitung einhole – keine Rechtsgrundlage zur Datenverarbeitung gefunden werden. Soweit die Klägerin die Geschäftsfähigkeit ihrer Kunden überprüfen wolle, so erfordere das datenschutzrechtliche Prinzip der Datenminimierung, dass lediglich die Volljährigkeit und nicht das genaue Geburtsdatum abgefragt werde.

Gegen die Entscheidung kann vor dem Niedersächsischen Oberverwaltungsgericht in Lüneburg innerhalb eines Monats die Zulassung der Berufung beantragt werden.

Urteil vom 09. November 2021 - Az.: 10 A 502/19