Bundeskartellamt fordert im Rahmen seiner Verbraucherschutzbefugnisse bessere Verbraucher-Informationen über die Datenverarbeitung von Smart-TVs
Das Bundeskartellamt hat heute den Abschlussbericht seiner Sektoruntersuchung zu Smart-TVs vorgelegt. Smart-TVs sind internetfähige Fernsehgeräte, mit denen die Verbraucher über das klassische Fernsehprogramm hinaus Internetangebote wie Video-Streaming und viele weitere Informationen und Funktionen nutzen können. Sie stehen stellvertretend für viele Geräte des sog. Internet der Dinge (Internet of Things, kurz IoT).
Andreas Mundt, Präsident des Bundeskartellamtes: „Ziel muss es sein, den Nutzern von Smart-TVs – und von IoT-Geräten generell – zu deutlich mehr Souveränität über ihre eigenen Daten zu verhelfen. Fast jedes neu verkaufte Fernsehgerät ist heute ein Smart-TV. Anders als herkömmliche Fernseher bieten Smart-TVs unterschiedlichste Nutzungsmöglichkeiten im digitalen Verbraucheralltag. Bei vielen Smartfunktionen hinterlassen Verbraucher jedoch digitale Spuren. Die Empfänger der Daten nutzen diese geschäftlich und zwar meistens, ohne die Verbraucher vorab ordnungsgemäß über die Datenverarbeitung zu informieren. Das sollte sich ändern.“
Die Sektoruntersuchung hat offen gelegt, dass Smart-TVs über vielfältige Möglichkeiten verfügen, personenbezogene Daten zu erheben. Hiervon machen Unternehmen bislang in unterschiedlichem Ausmaß Gebrauch. So können etwa das generelle Fernsehverhalten einer Person, ihre App-Nutzung, ihr Surf- und Klickverhalten oder auch biometrische Daten wie Stimme oder Cursorbewegungen sowie die im Einzelnen über den Fernseher abgespielten Inhalte erfasst und ausgewertet werden. Die Erhebung solch intimer Nutzungsdaten und ggf. deren Verwendung für personalisierte Werbung kann der Verbraucher zumeist durch Vornahme entsprechender Einstellungen an seinem Fernsehgerät verhindern.
Sich über die einschlägigen Datenschutzbestimmungen bereits vor dem Kauf zu informieren, ist für den Verbraucher nicht oder nur mit großem Aufwand möglich. Ist der Kauf aber erfolgt, fügen sich die Verbraucher regelmäßig in die ihnen bei der Ersteinrichtung des Geräts angezeigten Datenschutzbestimmungen und Nutzungsbedingungen, da sie hierzu keine Alternative sehen.
Das Bundeskartellamt hat festgestellt, dass die Datenschutzbestimmungen der in Deutschland aktiven Smart-TV-Hersteller fast durchgehend schwerwiegende Transparenzmängel aufweisen und damit gegen Vorgaben der Datenschutzgrundverordnung (DSGVO) verstoßen. Sie sind vor allem deshalb für die Verbraucher nicht nachvollziehbar, weil sie für eine Vielzahl von Diensten und Nutzungsprozessen gelten sollen. Diese „one fits all“-Architektur führt dazu, dass die Verbraucher nicht zuverlässig erfahren, welche personenbezogenen Daten verarbeitet werden, welche Datenverarbeitungen durch welchen Nutzungsprozess ausgelöst werden, welche Daten an Dritte übermittelt werden und wie lange einzelne Daten gespeichert werden. Die Verbraucher können daher ihr Anwendungsverhalten nicht so steuern, dass sie möglichst wenige private personenbezogene Daten preisgeben.
Daneben hat das Bundeskartellamt auch Datensicherheitsrisiken der Software von Smart-TVs untersucht. Nachdem in der Vergangenheit immer wieder über Mängel berichtet wurde, hat die Sektoruntersuchung deutlich gemacht, dass sich Hersteller mit unterschiedlichem Aufwand um ein hohes Datensicherheitsniveau bemühen. Bei etlichen Herstellern ist nicht gesichert, dass der Sicherheitsstandard der Geräte auch in den Jahren nach dem Kauf durch Software-Aktualisierungen (Updates) aufrechterhalten wird. Kein Unternehmen macht verbindliche Angaben dazu, wie lange seine Produkte mit Sicherheits-Updates versehen werden. Für die Verbraucher ist diese Information jedoch unerlässlich, um einschätzen zu können, wie lange sie das Gerät uneingeschränkt gefahrlos verwenden können. Der Gesetzgeber sollte in Bezug auf die Versorgung mit Software-Updates die Rechtsstellung des Verbrauchers insbesondere gegenüber Herstellern verbessern.
Das Bundeskartellamt hat zudem eine Reihe weiterer Problemfelder rechtlich analysiert, die die Verbraucher bei der Verwendung von IoT-Produkten betreffen, z. B. die Rechtmäßigkeit von Werbeeinblendungen im TV-Portal.
Andreas Mundt weiter: „Datenschutz muss bei Smart-TVs – und auch generell bei kommunikationsfähigen Geräten des Internet of things – zu einem echten Wettbewerbsparameter werden. Wenn Verbraucher effektiv in die Lage versetzt werden, die Datenschutz- und Datensicherheitsqualität eines Produkts zu beurteilen, kann eine bewusste Nachfrage nach datenschutzfreundlichen Geräten entstehen. Das Bundeskartellamt empfiehlt Entscheidern, Unternehmen und Wissenschaft daher, auf Datenschutzinformationen hinzuwirken, die aussagekräftig sind, einfach aufgefasst werden können und bereits vor dem Kauf der Geräte verfügbar sind.“
In Anknüpfung an den Bericht empfiehlt das Bundeskartellamt:
Verbraucher sollten noch besser und zielgerichteter über die Möglichkeit zur extensiven Datensammlung und -verarbeitung von Smart-TVs und Internet of Things-Geräten insgesamt informiert und aufgeklärt werden.
Haftungsfragen beim Zusammenspiel der verschiedenen Akteure im IoT-Bereich sollten durch entsprechende gesetzliche Regelungen geklärt werden.
Es bedarf eines klaren gesetzlich geregelten Anspruchs des Verbrauchers auch gegenüber dem Hersteller auf Software-Updates.
Die verantwortlichen Unternehmen sollten verpflichtet werden, notwendige Informationen (Produktinformationen, Datenschutz, Voreinstellungsmöglichkeiten, etc.) klarer und einfacher zu vermitteln.
Verbrauchern sollte es leichter gemacht werden, Datenschutzstandards bei einer Kaufentscheidung zu berücksichtigen, insbesondere durch eingängige Bildsymbole.
Das Bundeskartellamt kann im Bereich des Verbraucherschutzes Untersuchungen durchführen und so Defizite identifizieren. Über die Befugnis, etwaige Rechtsverstöße per behördlicher Verfügung abzustellen, verfügt das Amt hingegen nicht (vgl. PM vom 12. Juni 2017).
Das Bundeskartellamt hatte die Sektoruntersuchung Smart-TVs im Dezember 2017 auf Basis seiner seit Mitte 2017 bestehenden verbraucherrechtlichen Kompetenzen eingeleitet (vgl. PM vom 13. Dezember 2017). Die Ermittlungen betrafen rund 20 Anbieter, die in Deutschland Smart-TVs unter eigenen Marken absetzen. Außerdem wurden Fachleute aus Praxis und Wissenschaft konsultiert.
Das LfDI Baden-Württemberg hat ein Bußgeld in Höhe von 1.240.000,00 EURO gegen die AOK Baden-Württemberg wegen Verstößen gegen Art. 32 DSGVO (Sicherheit der Verarbeitung) verhängt.
Die Pressemitteilung des LfDI:
LfDI Baden-Württemberg verhängt Bußgeld gegen AOK Baden-Württemberg – Wirksamer Datenschutz erfordert regelmäßige Kontrolle und Anpassung
Wegen eines Verstoßes gegen die Pflichten zu sicherer Datenverarbeitung (Art. 32 der Europäischen Datenschutz-Grundverordnung DS-GVO) hat die Bußgeldstelle des LfDI Baden-Württemberg mit Bescheid vom 25.06.2020 gegen die AOK Baden-Württemberg eine Geldbuße von 1.240.000,- Euro verhängt und – in konstruktiver Zusammenarbeit mit der AOK – zugleich die Weichen für eine Verbesserung der technischen und organisatorischen Maßnahmen zum Schutz persönlicher Daten bei der AOK Baden-Württemberg gestellt.
Die AOK Baden-Württemberg veranstaltete in den Jahren 2015 bis 2019 zu unterschiedlichen Gelegenheiten Gewinnspiele und erhob hierbei personenbezogene Daten der Teilnehmer, darunter deren Kontaktdaten und Krankenkassenzugehörigkeit. Dabei wollte die AOK die Daten der Gewinnspielteilnehmer auch zu Werbezwecken nutzen, sofern die Teilnehmer hierzu eingewilligt hatten. Mithilfe technischer und organisatorischer Maßnahmen, u. a. durch interne Richtlinien und Datenschutzschulungen, wollte die AOK hierbei sicherstellen, dass nur Daten solcher Gewinnspielteilnehmer zu Werbezwecken verwendet werden, die zuvor wirksam hierin eingewilligt hatten. Die von der AOK festgelegten Maßnahmen genügten jedoch nicht den gesetzlichen Anforderungen. In der Folge wurden die personenbezogenen Daten von mehr als 500 Gewinnspielteilnehmern ohne deren Einwilligung zu Werbezwecken verwendet. Versichertendaten waren hiervon nicht betroffen.
Die AOK Baden-Württemberg stellte unmittelbar nach Bekanntwerden des Vorwurfs alle vertrieblichen Maßnahmen ein, um sämtliche Abläufe grundlegend auf den Prüfstand zu stellen. Zudem gründete die AOK eine Task Force für Datenschutz im Vertrieb und passte neben den Einwilligungserklärungen insbesondere auch interne Prozesse und Kontrollstrukturen an. Weitere Maßnahmen sollen in enger Abstimmung mit dem LfDI erfolgen.
Innerhalb des Bußgeldrahmens gemäß Art. 83 Abs. 4 DS-GVO sprachen die umfassenden internen Überprüfungen und Anpassungen der technischen und organisatorischen Maßnahmen sowie die konstruktive Kooperation mit dem LfDI zu Gunsten der AOK. Auf diese Weise konnte in kurzer Zeit eine Steigerung des Schutzniveaus für personenbezogene Daten bei Vertriebstätigkeiten der AOK erreicht werden. Diese Verbesserungen und zusätzlichen Kontrollmechanismen wird die AOK zukünftig entsprechend den Vorgaben und Empfehlungen des Landesbeauftragten für den Datenschutz und die Informationsfreiheit fortführen und ggf. anpassen.
Bei der Bemessung der Geldbuße wurde neben Umständen wie der Größe und Bedeutung der AOK Baden-Württemberg insbesondere auch berücksichtigt, dass sie als eine gesetzliche Krankenversicherung wichtiger Bestandteil unseres Gesundheitssystems ist. Schließlich obliegt der AOK die gesetzliche Aufgabe, die Gesundheit der Versicherten zu erhalten, wiederherzustellen oder zu verbessern. Weil Bußgelder nach der DS-GVO nicht nur wirksam und abschreckend, sondern auch verhältnismäßig sein müssen, war bei der Bestimmung der Bußgeldhöhe sicherzustellen, dass die Erfüllung dieser gesetzliche Aufgabe nicht gefährdet wird. Hierbei wurden die gegenwärtigen Herausforderungen für die AOK infolge der aktuellen Corona-Pandemie in besonderem Maße berücksichtigt.
„Datensicherheit ist eine Daueraufgabe“, betont der Landesbeauftragte für den Datenschutz und die Informationsfreiheit Dr. Stefan Brink. „Technische und organisatorische Maßnahmen sind regelmäßig den tatsächlichen Verhältnissen anzupassen, um auf Dauer ein angemessenes Schutzniveau sicherzustellen.“ Der Sicherstellung datenschutzkonformer Zustände und der guten Zusammenarbeit von verantwortlichen Stellen mit dem LfDI als Aufsichtsbehörde wird dabei regelmäßig große Bedeutung beigemessen. „Wir streben keine besonders hohen Bußgelder, sondern ein besonders gutes und angemessenes Datenschutzniveau an“, so Brink abschließend.
LAG Düssedorf
Beschluss vom 23.06.2020 3 TaBV 65/19
Das LAG Düsseldorf hat entschieden, dass der Betriebsrat nicht ohne Zustimmung des Arbeitnehmers Einsicht in elektronische Personalakte nehmen darf.
Die Pressemitteilung des LAG Düsseldorf:
Keine Einsicht des Betriebsrats in die elektronische Personalakte ohne Zustimmung der Arbeitnehmer
Die Arbeitgeberin bietet Produkte und Dienstleistungen aus den Bereichen Mobilfunk, Festnetz, Datendienste und Breitbandinternet an. Bei ihr ist ein Gesamtbetriebsrat gebildet. Zudem bestehen zwölf örtliche Betriebsräte. In der
Gesamtbetriebsvereinbarung über die Einführung und Nutzung von elektronischen Personalakten (GBV EFM) heißt es in Ziffer 8.3.:
„Der Gesamtbetriebsratsvorsitzende und der örtliche Betriebsratsvorsitzende erhält permanenten Zugriff auf die elektronische
Personalakte mit Ausnahme der Akten der Leitenden Mitarbeiter und der Mitarbeiter des Personalbereichs. Die örtlichen Betriebsratsvorsitzenden erhalten Zugriff auf die Akten des Wahlbetriebs, für den sie zuständig sind. Der Gesamtbetriebsratsvorsitzende erhält Zugriff auf die Akten des gesamten Unternehmens.“
Die Arbeitgeberin verwehrt der Betriebsratsseite diesen Zugriff. Der Gesamtbetriebsrat hat daher das vorliegende Verfahren eingeleitet, mit dem er einen Anspruch auf Durchführung von Ziffer 8.3 der GBV EFM und damit die Einräumung eines
Einsichtsrechts in die elektronischen Personalakten für die örtlichen Betriebsratsvorsitzenden sowie anderenfalls hilfsweise die Feststellung geltend macht, dass die GBV EFM insgesamt unwirksam ist. Die Arbeitgeberin wendet ein, Ziffer 8.3 GBV EFM sei rechtswidrig.
Das Landesarbeitsgericht hat die Anträge des Gesamtbetriebsrats ebenso wie das Arbeitsgericht zurückgewiesen. Ziffer 8.3. GBV EFM ist unwirksam. Das generelle Einsichtsrecht der Betriebsratsvorsitzenden in die elektronische Personalakte der
Arbeitnehmer, das nicht von deren Zustimmung abhängig ist, verletzt die Arbeitnehmer in ihrem allgemeinen Persönlichkeitsrecht aus Art. 1 Abs. 1 GG i.V.m. Art. 2 Abs. 1 GG, das die Betriebsparteien gemäß § 75 Abs. 2 BetrVG bei ihren Regelungen zu achten haben. Zur Kontrolle der Regelungen aus der GBV EFM ist ein derart weites Einsichtsrecht der Betriebsratsseite weder geeignet noch erforderlich und verletzt das allgemeine Persönlichkeitsrecht der Arbeitnehmer in unangemessener Weise. Dies gilt insbesondere auch deshalb, weil die GBV EFM weitere spezifische Kontrollrechte für
die Betriebsratsseite enthält. Die GBV EFM bleibt im Übrigen wirksam, weil sie auch ohne Ziffer 8.3. in sich geschlossene und sinnvoll anwendbare Regelungen enthält.
Das Landesarbeitsgericht hat die Rechtsbeschwerde nicht zugelassen.
Landesarbeitsgericht Düsseldorf, Beschluss vom 23.06.2020 - 3 TaBV 65/19
Arbeitsgericht Düsseldorf, Beschluss vom 10.10.2019 - 16 BV 114/18
OVG Münster
Beschluss vom 23.06.2020 13 B 695/20.NE
Das OVG Münster hat entschieden, dass Kundenkontaktdaten weiterhin zum Zweck der Kontaktpersonennachverfolgung auf Grundlage der Coronaschutzverordnung erhoben werden dürfen.
Die Pressemitteilung des Gerichts:
Kundenkontaktdaten dürfen weiterhin auf Grundlage der Coronaschutzverordnung erhoben werden
Das Oberverwaltungsgericht hat in einem Eilverfahren mit Beschluss vom heutigen Tag entschieden, dass die in der nordrhein-westfälischen Coronaschutzverordnung vorgesehene Datenerhebung zum Zweck der Kontaktpersonennachverfolgung im Bereich der Gastronomie, des Friseurhandwerks und der Fitnessstudios voraussichtlich rechtmäßig ist.
Zur Rückverfolgbarkeit möglicher Infektionsketten sieht die Coronaschutzverordnung für bestimmte Wirtschaftsbereiche die papiergebundene Erfassung der Kundenkontaktdaten (Name, Adresse, Telefonnummer, Zeitraum des Aufenthalts bzw. Zeitpunkt von An- und Abreise) vor. Die Kontaktdaten sind vier Wochen aufzubewahren und danach zu vernichten. Eine Weitergabe an die für die Nachverfolgung zuständige Behörde erfolgt nur auf deren Verlangen.
Gegen die Regelungen zur Kontaktdatenangabe in Restaurants, Fitnessstudios und Friseursalons hatte sich ein Bochumer Rechtsanwalt gewandt und geltend gemacht, die Datenerhebung verletze ihn in seinem Grundrecht auf informationelle Selbstbestimmung. Die Maßnahme sei insbesondere unverhältnismäßig und verstoße zudem gegen datenschutzrechtliche Vorgaben.
Das Oberverwaltungsgericht hat den Antrag auf Erlass einer einstweiligen Anordnung abgelehnt. Zur Begründung hat es im Wesentlichen ausgeführt, dass die angegriffenen Regelungen voraussichtlich rechtmäßig seien. Mit der vorsorglichen Erhebung der Kundendaten solle sichergestellt werden, dass bei Nachweis einer Neuinfektion die Kontaktpersonen des Betroffenen leichter durch die Gesundheitsämter identifiziert werden könnten. Angesichts der inzwischen weitgehenden Öffnung des sozialen und wirtschaftlichen Lebens sei es voraussichtlich nicht zu beanstanden, wenn der Verordnungsgeber die Kontaktdatenerhebung in bestimmten kontaktintensiven Bereiche als - milderes Mittel - nutze, um Infektionsketten aufzudecken und zu unterbrechen. Das durch die Regelungen in erster Linie betroffene Recht auf informationelle Selbstbestimmung trete gegenüber dem Schutz von Leben und Gesundheit vorübergehend zurück. Dabei sei unter anderem zu berücksichtigen, dass weder der Besuch einer gastronomischen Einrichtung noch das Aufsuchen eines Fitnessstudios oder der Besuch eines Friseursalons der Deckung elementarer Grundbedürfnisse diene und zudem Alternativen zur Verfügung stünden. Der sichere Umgang mit den erhobenen personenbezogenen Daten werde durch die zu beachtenden Vorgaben der Datenschutz-Grundverordnung voraussichtlich gewährleistet.
EU-Kommission hat seinen Bericht zur DSGVO vorgelegt. Die Kommission meint, dass die EU-Datenschutzvorschriften die Rechte der Bürgerinnen und Bürger stärken und zeitgemäß sind. Dieses posititive Bild können wir leider nicht bestätigen. Die DSGVO weist erhebliche konzeptionelle Mängel auf. Auch die zahlreichen juristischen Streitfragen zur Auslegung der DSGVO zeigen, dass der Verordnungsgeber schlecht gearbeitet hat.
Die Pressemitteilung der EU-Kommission:
"Kommissionsbericht: Die EU-Datenschutzvorschriften stärken die Rechte der Bürgerinnen und Bürger und sind zeitgemäß
Nach etwas mehr als zwei Jahren seit dem Inkrafttreten der Datenschutz-Grundverordnung (DSGVO) hat die Europäische Kommission heute einen Bewertungsbericht veröffentlicht. Dem Bericht zufolge hat die DSGVO die meisten ihrer Ziele erreicht, insbesondere aufgrund der leistungsstarken, durchsetzbaren Vorschriften für die Bürgerinnen und Bürger und eines durch die DSGVO neu geschaffenen europäischen Governance- und Durchsetzungssystems. Auch bei der Unterstützung digitaler Lösungen in unvorhersehbaren Situationen wie der COVID-19-Krise hat sich die DSGVO als flexibel erwiesen. Der Bericht kommt auch zu dem Schluss, dass die Harmonisierung in den Mitgliedstaaten zunimmt, auch wenn ein gewisses Maß an Fragmentierung besteht, das ständig überwacht werden muss. Ferner wird festgestellt, dass Unternehmen eine Compliance-Kultur entwickeln und einen starken Datenschutz immer häufiger als Wettbewerbsvorteil nutzen. Im Bericht sind Maßnahmen aufgelistet, die allen Interessenträgern, insbesondere kleinen und mittleren Unternehmen, die Anwendung der DSGVO weiter erleichtern und somit eine wirklich europäische Datenschutzkultur mit konsequenter Durchsetzung fördern und weiterentwickeln sollen.
Věra Jourová, Vizepräsidentin für Werte und Transparenz: „Inzwischen ist das europäische Datenschutzrecht für uns ein Kompass geworden, der uns im digitalen Wandel, bei dem der Mensch im Mittelpunkt steht, den Weg weist. Es ist eine wichtige Grundlage, auf der wir weitere Strategien, wie z. B. die Datenstrategie oder unser KI-Konzept, aufbauen.Die Datenschutz-Grundverordnung ist das perfekte Beispiel dafür, wie die Europäische Union das Leitmotiv Grundrechte nutzt, um die Rechte der Bürgerinnen und Bürger der EU zu stärken und die Unternehmen dabei zu unterstützen, die digitale Revolution zu meistern. Dennoch ist weiterhin unser aller Engagement gefragt, damit das Potenzial der DSGVO voll ausgeschöpft werden kann.“
„Die DSGVO hat bei allen ihren Zielen Erfolge verzeichnet und ist inzwischen weltweit eine Referenz für Länder, die ihren Bürgerinnen und Bürgern ein hohes Datenschutzniveau bieten wollen“, so Didier Reynders, Kommissar für Justiz. „Der heutige Bericht zeigt aber auch, dass wir noch mehr tun können. So brauchen wir beispielsweise EU-weit mehr Einheitlichkeit bei der Anwendung der Vorschriften: Dies ist für Bürgerinnen und Bürger ebenso wichtig wie für Unternehmen und insbesondere KMU. Wir müssen ferner sicherstellen, dass die Bürgerinnen und Bürger ihre Rechte uneingeschränkt wahrnehmen können. Um dies zu erreichen, wird die Kommission in enger Zusammenarbeit mit dem Europäischen Datenschutzausschuss sowie im regelmäßigen Austausch mit den Mitgliedstaaten Fortschritte genau überwachen, damit sich das volle Potenzial der DSGVO entfalten kann.“
Die wichtigsten Ergebnisse der Überprüfung der Datenschutz-Grundverordnung:
Die Bürgerinnen und Bürger sind in ihren Rechten gestärkt und besser sensibilisiert: Die Datenschutz-Grundverordnung stärkt die Transparenz und verleiht den Einzelnen durchsetzbare Rechte, wie das Recht auf Auskunft, Berichtigung, Löschung, Widerspruch und Datenübertragbarkeit. Aktuell haben 69 % der über 16-Jährigen in der EU von der Datenschutz-Grundverordnung und 71 % der Gesamtbevölkerung von ihrer jeweiligen nationalen Datenschutzbehörde gehört. Dies geht aus einer Umfrage der Agentur der Europäischen Union für Grundrechte hervor, die letzte Woche veröffentlicht wurde. Allerdings könnten die Bürgerinnen und Bürger bei der Wahrnehmung ihrer Rechte, insbesondere ihres Rechts auf Datenübertragbarkeit, noch besser unterstützt werden.
Die Datenschutzvorschriften sind zeitgemäß: In der heutigen Zeit des digitalen Wandels können die Menschen dank der DSGVO inzwischen aktiver mitbestimmen, was mit ihren Daten geschieht. Die Verordnung trägt ferner zur Entwicklung vertrauenswürdiger Innovationen bei, und zwar durch einen Ansatz, der risikobasiert ist und sich an Grundsätzen wie ‚Datenschutz durch Technik‘ und ‚datenschutzfreundliche Voreinstellungen‘ orientiert.
Datenschutzbehörden nutzen ihre erweiterten Abhilfebefugnisse: Von Verwarnungen und Verweisen bis hin zu Bußgeldern gibt die DSGVO den nationalen Datenschutzbehörden die richtigen Instrumente zur Durchsetzung des Datenschutzrechts an die Hand. Hierzu müssen sie jedoch mit angemessenen personellen, technischen und finanziellen Mitteln ausgestattet werden. Viele Mitgliedstaaten tun dies bereits, indem sie deutlich höhere Budget- und Personalzuweisungen vornehmen. Zwischen 2016 und 2019 war für alle nationalen Datenschutzbehörden in der EU zusammengenommen ein Anstieg von 42 % beim Personalbestand und von 49 % bei der Mittelausstattung zu verzeichnen. Allerdings gibt es hier bei den Mitgliedstaaten noch große Unterschiede.
Die Zusammenarbeit der Datenschutzbehörden im Europäischen Datenschutzausschuss (EDSA) kann noch besser werden: Mit der Datenschutz-Grundverordnung wurde ein innovatives Governance-System geschaffen, das eine kohärente und wirksame Anwendung der Datenschutz-Grundverordnung durch die sogenannte einzige Anlaufstelle gewährleisten soll, damit ein Unternehmen, das Daten grenzüberschreitend verarbeitet, nur eine Datenschutzbehörde als Ansprechpartnerin hat, nämlich die Behörde des Mitgliedstaats, in dem sich seine Hauptniederlassung befindet. Zwischen dem 25. Mai 2018 und dem 31. Dezember 2019 gingen bei der zentralen Anlaufstelle 141 Entscheidungsentwürfe ein, von denen 79 in endgültige Entscheidungen mündeten. Dennoch kann noch mehr für eine echte gemeinsame Datenschutzkultur getan werden. Insbesondere die Bearbeitung grenzüberschreitender Fälle erfordert einen effizienteren, einheitlicheren Ansatz und einen wirksamen Einsatz aller in der Datenschutz-Grundverordnung vorgesehenen Mechanismen für die Zusammenarbeit der Datenschutzbehörden.
Datenschutzbehörden – Beratung und Leitlinien: Der EDSA gibt derzeit Leitlinien zu zentralen Aspekten der Verordnung und zu neuen Themen heraus. Mehrere Datenschutzbehörden haben neue Instrumente, wie Beratungsstellen für Einzelpersonen und Unternehmen oder Toolkits für Klein- und Kleinstunternehmen, geschaffen. Die auf nationaler Ebene bereitgestellten Hilfsangebote müssen unbedingt vollständig mit den Leitlinien des Europäischen Datenschutzausschusses in Einklang stehen.
Möglichkeiten der freien und sicheren Datenübermittlung an Drittstaaten und internationale Organisationen optimal nutzen: Das internationale Engagement der Kommission für eine freie und sichere Datenübermittlung in den letzten zwei Jahren hat sich bereits ausgezahlt. So bilden Japan und die EU inzwischen den weltweit größten Raum für einen freien und sicheren Datenverkehr. Die Kommission wird ihre Arbeit zum Thema Angemessenheit mit ihren Partnern in der ganzen Welt fortsetzen. Darüber hinaus prüft die Kommission in Zusammenarbeit mit dem Europäischen Datenschutzausschuss, wie auch andere Mechanismen für die Datenübermittlung, z. B. Standardvertragsklauseln (das am häufigsten verwendete Datenübertragungsinstrument), modernisiert werden können. Der Europäische Datenschutzausschuss arbeitet derzeit an speziellen Leitlinien für die Zertifizierung und an Verhaltenskodizes für die Datenübermittlung an Drittländer und internationale Organisationen, die so bald als möglich fertiggestellt werden müssen. Da der Europäische Gerichtshof in einem für den 16. Juli erwarteten Urteil Aspekte klarstellen könnte, die möglicherweise für den Angemessenheitsstandard relevant sind‚ wird die Kommission nach der Urteilsverkündung gesondert über die derzeitigen Angemessenheitsbeschlüsse Bericht erstatten.
Internationale Zusammenarbeit fördern: In den letzten zwei Jahren hat die Kommission den bilateralen, regionalen und multilateralen Dialog bereits intensiviert und sich für eine globale Kultur der Achtung der Privatsphäre und der Konvergenz zwischen den verschiedenen Datenschutzsystemen zum Nutzen der Bürgerinnen und Bürger und der Unternehmen eingesetzt. Die Kommission ist entschlossen, diese Arbeit in all ihrem auswärtigen Handeln fortzusetzen, beispielsweise im Rahmen der Partnerschaft Afrika-EU und bei ihrer Unterstützung für internationale Initiativen wie „Data Free Flow with Trust“. In einer Zeit, in der Verstöße gegen den Datenschutz viele Menschen gleichzeitig in mehreren Teilen der Welt betreffen können, ist es an der Zeit, die internationale Zusammenarbeit der zuständigen Durchsetzungsinstanzen zu intensivieren. Aus diesem Grund wird die Kommission den Rat ersuchen, sie zu ermächtigen, mit bestimmten Drittländern Verhandlungen aufzunehmen, die den Abschluss von Abkommen über gegenseitige Amtshilfe und Zusammenarbeit bei der Durchsetzung ermöglichen werden.
Angleichung des EU-Rechts an die Richtlinie zum Datenschutz bei der Strafverfolgung:
Darüber hinaus hat die Kommission heute eine Mitteilung veröffentlicht, in der zehn Rechtsakte zur behördlichen Verarbeitung personenbezogener Daten zwecks Prävention, Ermittlung, Aufdeckung und Verfolgung von Straftaten genannt werden, die an die Richtlinie zum Datenschutz bei der Strafverfolgung angeglichen werden sollten. Die Angleichung wird Rechtssicherheit schaffen und Fragen in Bezug auf den Zweck der Verarbeitung personenbezogener Daten durch die zuständigen Behörden sowie die Datenarten, die einer solchen Verarbeitung unterliegen können, klären.
Hintergrund
Die Datenschutz-Grundverordnung sieht vor, dass die Kommission erstmals nach zwei Jahren und anschließend alle vier Jahre einen Bericht über die Bewertung und Überprüfung der Verordnung vorlegt.
Die Datenschutz-Grundverordnung ist ein für alle Mitgliedstaaten geltendes Regelwerk des EU-Rechts zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten und zum freien Datenverkehr. Sie stärkt den Datenschutz insgesamt, gewährt dem Einzelnen zusätzliche und stärkere Rechte, erhöht die Transparenz und fordert mehr Rechenschaftspflicht und Verantwortung von denen, die personenbezogene Daten verarbeiten. Sie hat die nationalen Datenschutzbehörden mit umfassenderen und harmonisierten Durchsetzungsbefugnissen ausgestattet und ein neues Governance-System für die Datenschutzbehörden eingerichtet. Außerdem schafft sie gleiche Wettbewerbsbedingungen für alle Unternehmen, die auf dem EU-Markt tätig sind, unabhängig davon, wo sie niedergelassen sind, gewährleistet den freien Datenverkehr innerhalb der EU, erleichtert eine sichere Datenübermittlung zwischen der EU und Drittstaaten bzw. internationalen Organisationen und dient weltweit als Referenz.
Wie in Artikel 97 Absatz 2 der DSGVO festgelegt, bezieht sich der heute veröffentlichte Bericht insbesondere auf die Datenübermittlung an Drittstaaten bzw. internationale Organisationen und die Kooperations- und Kohärenzverfahren. Um darüber hinaus die in den letzten zwei Jahren von verschiedenen Akteuren aufgeworfenen Fragen zu behandeln, hat die Kommission ihre Überprüfung jedoch auf eine breitere Grundlage gestellt. Der Bericht greift deshalb Beiträge von Rat, Europäischem Parlament, Europäischem Datenschutzausschuss, nationalen Datenschutzbehörden und Interessenträgern auf."
Den Bericht und weitere Informationen der EU-Kommission finden Sie hier:
Bundesgerichtshof bestätigt vorläufig den Vorwurf der missbräuchlichen Ausnutzung einer marktbeherrschenden Stellung durch Facebook
Facebook verwendet Nutzungsbedingungen, die auch die Verarbeitung und Verwendung von Nutzerdaten vorsehen, die bei einer von der Facebook-Plattform unabhängigen Internetnutzung erfasst werden. Das Bundeskartellamt hat Facebook untersagt, solche Daten ohne weitere Einwilligung der privaten Nutzer zu verarbeiten. Der Kartellsenat des Bundesgerichtshofs hat heute entschieden, dass dieses Verbot vom Bundeskartellamt durchgesetzt werden darf.
Sachverhalt:
Die in Irland ansässige Facebook Ireland Limited (im Folgenden: Facebook) betreibt in Europa das soziale Netzwerk Facebook, mit dem privaten Nutzern eine Kommunikationsplattform im Internet zur Verfügung gestellt wird. Weitere Tochtergesellschaften des Facebook-Konzerns bieten weitere Internetdienste wie insbesondere Instagram, WhatsApp, Masquerade und Oculus an.
Private Nutzer zahlen kein Entgelt für die Nutzung des sozialen Netzwerks. Ihre Teilnahme am Netzwerk setzt aber voraus, dass sie bei der Registrierung den Facebook-Nutzungsbedingungen zustimmen. Diese sehen vor, dass Facebook jedem Nutzer ein personalisiertes Erlebnis bereitstellt. Dafür werden personenbezogene Daten des Nutzers verwendet, die Facebook aus der Nutzung anderer konzerneigener Dienste wie Instagram sowie aus sonstigen Internetaktivitäten des Nutzers außerhalb von facebook.com zur Verfügung stehen. Die Nutzungsbedingungen nehmen auf eine Datenrichtlinie Bezug, in der die Erhebung und Nutzung personenbezogener Daten näher erläutert wird.
Das Netzwerk wird durch Online-Werbung finanziert. Hierzu kann zum einen Werbung auf Facebook-Seiten platziert werden. Mit verschiedenen von Facebook bereitgestellten Programmierschnittstellen ("Facebook Business Tools") können Unternehmen zum anderen eigene Internetseiten oder Anwendungen für Mobilgeräte (Apps) in vielfältiger Form mit Facebook-Seiten verbinden. So können Facebook-Nutzer über Plugins ihr Interesse an diesen Seiten oder bestimmten Inhalten bekunden ("Gefällt-mir-Button" oder "Teilen-Button") oder Kommentare abgeben und sich über ein "Facebook-Login" auf Interseiten Dritter mit ihren bei Facebook registrierten Nutzerdaten einwählen. Über von Facebook angebotene Mess- und Analysefunktionen und -programme kann der Erfolg der Werbung eines Unternehmens gemessen und analysiert werden. Dabei wird nicht nur das Verhalten der privaten Nutzer auf Facebook-Seiten erfasst, sondern über entsprechende Schnittstellen (Facebook Pixel) auch der Aufruf von Drittseiten, ohne dass der Nutzer hierfür aktiv werden muss. Über die analytischen und statistischen Funktionen von "Facebook Analytics" erhalten Unternehmen aggregierte Daten darüber, wie Facebook-Nutzer über verschiedene Geräte, Plattformen und Internetseiten hinweg mit den von ihnen angebotenen Diensten interagieren.
bisheriger Verfahrensverlauf:
Das Bundeskartellamt sieht in der Verwendung der Nutzungsbedingungen einen Verstoß gegen das Verbot nach § 19 Abs. 1 GWB, eine marktbeherrschende Stellung missbräuchlich auszunutzen. Facebook sei auf dem nationalen Markt der Bereitstellung sozialer Netzwerke marktbeherrschend. Es missbrauche diese Stellung, indem es entgegen den Vorschriften der Datenschutz-Grundverordnung (DSGVO) die private Nutzung des Netzwerks von seiner Befugnis abhängig mache, ohne weitere Einwilligung der Nutzer außerhalb von facebook.com generierte nutzer- und nutzergerätebezogene Daten mit den personenbezogenen Daten zu verknüpfen, die aus der Facebook-Nutzung selbst entstehen. Mit Beschluss vom 6. Februar 2019 hat das Bundeskartellamt Facebook und weiteren Konzerngesellschaften untersagt, entsprechende Nutzungsbedingungen zu verwenden und personenbezogene Daten entsprechend zu verarbeiten.
Das OLG Düsseldorf hat über die dagegen eingelegte Beschwerde noch nicht entschieden. Es hat aber auf Antrag von Facebook nach § 65 Abs. 3 GWB wegen ernstlicher Zweifel an der Rechtmäßigkeit der Verfügung die aufschiebende Wirkung der Beschwerde angeordnet. Eine solche Anordnung hat zur Folge, dass die Verfügung des Bundeskartellamts nicht vollzogen werden darf, bis über die Beschwerde entschieden ist.
Entscheidung des Bundesgerichtshofs:
Der Kartellsenat hat die Entscheidung des OLG Düsseldorf aufgehoben und den Antrag auf Anordnung der aufschiebenden Wirkung der Beschwerde abgelehnt.
Es bestehen weder ernsthafte Zweifel an der marktbeherrschenden Stellung von Facebook auf dem deutschen Markt für soziale Netzwerke noch daran, dass Facebook diese marktbeherrschende Stellung mit den vom Kartellamt untersagten Nutzungsbedingungen missbräuchlich ausnutzt.
Maßgeblich hierfür ist nicht die vom Kartellamt in der angefochtenen Verfügung in den Vordergrund gerückte Frage, ob die Verarbeitung und Nutzung von personenbezogenen Daten der Facebook-Nutzer, die aus deren Nutzung des Internets außerhalb von facebook.com und unabhängig von einem Facebook-Login entstehen, mit den Vorschriften der Datenschutz-Grundverordnung in Einklang steht.
Entscheidend ist vielmehr, dass Nutzungsbedingungen missbräuchlich sind, die den privaten Facebook-Nutzern keine Wahlmöglichkeit lassen,
- ob sie das Netzwerk mit einer intensiveren Personalisierung des Nutzungserlebnisses verwenden wollen, die mit einem potentiell unbeschränkten Zugriff auf Charakteristika auch ihrer "Off-Facebook"-Internetnutzung durch Facebook verbunden ist, oder
- ob sie sich nur mit einer Personalisierung einverstanden erklären wollen, die auf den Daten beruht, die sie auf facebook.com selbst preisgeben.
Das Missbrauchsurteil – das nach gefestigter Rechtsprechung sowohl die Feststellung nachteiliger Wirkungen auf den betroffenen Märkten voraussetzt als auch eine Abwägung aller beteiligten Interessen erfordert, die sich an der auf die Freiheit des Wettbewerbs gerichteten Funktion des GWB orientiert – beruht dabei im Wesentlichen auf folgenden Überlegungen:
Facebook ist als Betreiber eines sozialen Netzwerks auf zwei Märkten tätig. Es bietet zum einen privaten Nutzern die Plattform als Medium zur Darstellung der Person des Nutzers in ihren sozialen Beziehungen und zur Kommunikation an. Es ermöglicht zum anderen Unternehmen Werbung im Netzwerk und finanziert damit auch die Nutzerplattform, für deren Nutzung die Nutzer kein (monetäres) Entgelt zahlen. Indem Facebook seinen Nutzern personalisierte Erlebnisse und damit über die bloße Plattformfunktion hinaus Kommunikationsinhalte bereitzustellen verspricht, ergeben sich allerdings fließende Übergänge und Verschränkungen zwischen Leistungen gegenüber den Nutzern und der Refinanzierung der Plattformbereitstellung durch unterschiedliche Formen der Online-Werbung.
Als marktbeherrschender Netzwerkbetreiber trägt Facebook eine besondere Verantwortung für die Aufrechterhaltung des noch bestehenden Wettbewerbs auf dem Markt sozialer Netzwerke. Dabei ist auch die hohe Bedeutung zu berücksichtigen, die dem Zugriff auf Daten aus ökonomischer Perspektive zukommt.
Die fehlende Wahlmöglichkeit der Facebook-Nutzer beeinträchtigt nicht nur ihre persönliche Autonomie und die Wahrung ihres – auch durch die DSGVO geschützten – Rechts auf informationelle Selbstbestimmung. Vor dem Hintergrund der hohen Wechselhürden, die für die Nutzer des Netzwerks bestehen ("Lock-in-Effekte"), stellt sie vielmehr auch eine kartellrechtlich relevante Ausbeutung der Nutzer dar, weil der Wettbewerb wegen der marktbeherrschenden Stellung von Facebook seine Kontrollfunktion nicht mehr wirksam ausüben kann. Nach den Feststellungen des Bundeskartellamts wünschen erhebliche Teile der privaten Facebook-Nutzer einen geringeren Umfang der Preisgabe persönlicher Daten. Bei funktionierendem Wettbewerb auf dem Markt sozialer Netzwerke wäre ein entsprechendes Angebot zu erwarten. Hierauf könnten Nutzer ausweichen, für die der Umfang der Datenpreisgabe ein wesentliches Entscheidungskriterium wäre.
Die so ausgestalteten Nutzungsbedingungen sind auch geeignet, den Wettbewerb zu behindern. Zwar ist die Marktstellung von Facebook in erster Linie durch direkte Netzwerkeeffekte geprägt, da der Nutzen des Netzwerks für die privaten Nutzer wie für die werbetreibenden Unternehmen mit der Gesamtzahl der dem Netzwerk angeschlossenen Personen steigt. Die Marktposition von Facebook kann auch nur dann erfolgreich angegriffen werden, wenn es einem Konkurrenten gelingt, in überschaubarer Zeit eine für die Attraktivität des Netzes ausreichende Zahl von Nutzern zu gewinnen. Jedoch handelt es sich bei dem Zugang zu Daten nicht nur auf dem Werbemarkt um einen wesentlichen Wettbewerbsparameter, sondern auch auf dem Markt sozialer Netzwerke. Der Zugang von Facebook zu einer erheblich größeren Datenbasis verstärkt die ohnehin schon ausgeprägten "Lock-in-Effekte" weiter. Außerdem verbessert diese größere Datenbasis die Möglichkeiten der Finanzierung des sozialen Netzwerks mit den Erlösen aus Werbeverträgen, die ebenfalls von Umfang und Qualität der zur Verfügung stehenden Daten abhängen. Wegen der negativen Auswirkungen auf den Wettbewerb um Werbeverträge lässt sich schließlich auch eine Beeinträchtigung des Marktes für Online-Werbung nicht ausschließen. Entgegen der Auffassung des Beschwerdegerichts bedarf es insoweit keiner Feststellung, dass es einen eigenständigen Markt für Online-Werbung für soziale Medien gibt und Facebook auch auf diesem Markt über eine marktbeherrschende Stellung verfügt. Die Beeinträchtigung muss nicht auf dem beherrschten Markt eintreten, sondern kann auch auf einem nicht beherrschten Drittmarkt eintreten.
Relevante Bestimmungen des Gesetzes gegen Wettbewerbsbeschränkungen (GWB):
§ 19 Verbotenes Verhalten von marktbeherrschenden Unternehmen
(1)Die missbräuchliche Ausnutzung einer marktbeherrschenden Stellung durch ein oder mehrere Unternehmen ist verboten.
…
§ 65 Anordnung der sofortigen Vollziehung
…
(3) 1Auf Antrag kann das Beschwerdegericht die aufschiebende Wirkung ganz oder teilweise wiederherstellen, wenn
1.die Voraussetzungen für die Anordnung nach Absatz 1 nicht vorgelegen haben oder nicht mehr vorliegen oder
2.ernstliche Zweifel an der Rechtmäßigkeit der angefochtenen Verfügung bestehen oder
3.die Vollziehung für den Betroffenen eine unbillige, nicht durch überwiegende öffentliche Interessen gebotene Härte zur Folge hätte.
2In den Fällen, in denen die Beschwerde keine aufschiebende Wirkung hat, kann die Kartellbehörde die Vollziehung aussetzen; die Aussetzung soll erfolgen, wenn die Voraussetzungen des Satzes 1 Nummer 3 vorliegen. 3Das Beschwerdegericht kann auf Antrag die aufschiebende Wirkung ganz oder teilweise anordnen, wenn die Voraussetzungen des Satzes 1 Nummer 2 oder 3 vorliegen.
Das LG Berlin hat entschieden, dass im Zivilprozess ein Verwertungsverbot für Informationen besteht, die aufgrund unzulässiger Videoüberwachung erlangt wurden.
Aus den Entscheidungsgründen:
Es kann hier dahinstehen, ob den Beklagten substantiierterer Gegenvortrag überhaupt möglich gewesen wäre. Er war ihnen jedenfalls nicht zumutbar. Denn das Prozessrecht legt keiner Partei die Pflicht auf, von der Gegenseite behauptete Tatsachen zu bestreiten, wenn der Vortrag auf Informationen beruht, die die Gegenseite grundrechtswidrig erlangt hat (st. Rspr., vgl. nur BAG, Urt. v. 20. Oktober 2016 - 2 AZR 395/15, NZA 2017, 443, beckonline Tz. 25 m.w.N.). So aber liegt der Fall hier. Die Klägerin hat die für ihren Prozessvortrag zum Kündigungssachverhalt erforderlichen Informationen im Wesentlichen grundrechtswidrig erlangt, da die von ihr heimlich veranlassten Videoaufzeichnungen des Wohnungseingangsbereichs der von den Beklagten innegehaltenen Wohnungen einen Eingriff in das allgemeine Persönlichkeitsrecht der Beklagten darstellen, der nicht durch das in Art. 14 GG verbriefte Recht der Klägerin, geeignete und erforderliche Maßnahmen zum Schutz des Eigentums zu ergreifen, gerechtfertigt war.
Zwar kann die von einem Vertragspartner veranlasste Videoüberwachung eines anderen Vertragspartners nicht nur zur Aufdeckung von Straftaten, sondern ebenso zur Aufdeckung eines auf Tatsachen gegründeten konkreten Verdachts einer schwerwiegenden Pflichtverletzung zulässig sein (st. Rspr., vgl. nur BAG, Urt. v. 29. Juni 2017 - 2 AZR 597/16, NJW 2017, 2853, juris Tz. 30 ff.; Kammer, Urt. v. 3. Juli 2018 - 67 S 20/18, WuM 2018, 562, beckonline Tz. 20). Eine Videoüberwachung mit Aufzeichnungsfunktion greift indes in das allgemeine Persönlichkeitsrecht der Betroffenen in seiner Ausprägung als Recht auf informationelle Selbstbestimmung ein. Dieses Recht umfasst die Befugnis des Einzelnen, grundsätzlich selbst zu entscheiden, wann und innerhalb welcher Grenzen persönliche Lebenssachverhalte offenbart werden, und daher grundsätzlich selbst über die Preisgabe und Verwendung persönlicher Daten zu bestimmen (st. Rspr., vgl. nur BGH, Urt. v. 15. Mai 2018 -VI ZR 233/17, NJW 2018, 2883, beckonline Tz. 41).
[...]
Damit fällt der Klägerin, die sich als landeseigenes Wohnungsunternehmen gegenüber ihren Wohnraummietern überwachungsstaatlicher Ausforschungsmethoden bedient hat, eine schwerwiegende vorprozessuale Verletzung des allgemeinen Persönlichkeitsrechts der Beklagten zur Last. Diese Verletzung würde perpetuiert und vertieft, wenn dem Sachvortrag der Klägerin inso weit prozessuale Berücksichtigung zu Teil würde (vgl. BAG, Urt. v. 23. August 2018-2 AZR 133/18, NZA 2018, 1329, beckonline Tz. 15 m.w.N.). Das Vorbringen der Klägerin unterfällt deshalb nicht nur einem Beweis-, sondern auch einem bereits auf der Darlegungsebene verorteten Sachvortragsverwertungsverbot. Damit hätte das der Begründung der Kündigungen dienende Prozessvorbringen der Klägerin bei der Urteilsfindung selbst dann keine Berücksichtigung gefunden, wenn sich die Beklagten zu dem Vorbringen der Klägerin überhaupt nicht erklärt, sondern lediglich auf die Grundrechtswidrigkeit der Informationserlangung berufen hätten (vgl. BAG, Urt. v. 20. Oktober 2016 - 2 AZR 395/15, NZA 2017, 443, beckonline Tz. 25).
Der BGH hat dem EuGH die Frage zur Entscheidung vorgelegt, ob Verbraucherschutzverbände befugt sind Datenschutzverstöße zu verfolgen und diesbezüglich Unterlassungsansprüche geltend zu machen.
Die Pressemitteilung des BGH:
BGH legt EuGH die Frage vor, ob Verbraucherschutzverbände befugt sind, Verstöße gegen das Datenschutzrecht zu verfolgen
Der unter anderem für Wettbewerbsrecht zuständige I. Zivilsenat des Bundes-gerichtshofs hat darüber zu entscheiden, ob ein Verstoß des Betreibers eines sozialen Netzwerks gegen die datenschutzrechtliche Verpflichtung, die Nutzer dieses Netzwerks über Umfang und Zweck der Erhebung und Verwendung ihrer Daten zu unterrichten, wettbewerbsrechtliche Unterlassungsansprüche begründet und von Verbraucherschutzbänden durch eine Klage vor den Zivilgerichten verfolgt werden kann.
Sachverhalt:
Die in Irland ansässige Beklagte, die Facebook Ireland Limited, betreibt das soziale Netzwerk "Facebook". Auf der Internetplattform dieses Netzwerks befindet sich ein "App-Zentrum", in dem die Beklagte den Nutzern ihrer Plattform kostenlos Online-Spiele anderer Anbieter zugänglich macht. Im November 2012 wurden in diesem App-Zentrum mehrere Spiele angeboten, bei denen unter dem Button "Sofort spielen" folgende Hinweise zu lesen waren: "Durch das Anklicken von ‚Spiel spielen" oben erhält diese Anwendung: Deine allgemeinen Informationen, Deine-Mail-Adresse, Über Dich, Deine Statusmeldungen. Diese Anwendung darf in deinem Namen posten, einschließlich dein Punktestand und mehr." Bei einem Spiel endeten die Hinweise mit dem Satz: "Diese Anwendung darf Statusmeldungen, Fotos und mehr in deinem Namen posten."
Der Kläger ist der Dachverband der Verbraucherzentralen der Bundesländer. Er beanstandet die Präsentation der unter dem Button "Sofort spielen" gegebenen Hinweise im App-Zentrum als unlauter unter anderem unter dem Gesichtspunkt des Rechtsbruchs wegen Verstoßes gegen gesetzliche Anforderungen an die Einholung einer wirksamen datenschutzrechtlichen Einwilligung des Nutzers. Ferner sieht er in dem abschließenden Hinweis bei einem Spiel eine den Nutzer unangemessen benachteiligende Allgemeine Geschäftsbedingung. Er hält sich zur Geltendmachung von Unterlassungsansprüchen im Wege der Klage vor den Zivilgerichten gemäß § 8 Abs. 3 Nr. 3 UWG und § 3 Abs. 1 Satz 1 Nr. 1 UKlaG für befugt.
Bisheriger Prozessverlauf:
Das Landgericht hat die Beklagte antragsgemäß verurteilt, es zu unterlassen, auf ihrer Internetseite in einem App-Zentrum Spiele so zu präsentieren, dass Nutzer der Internetplattform mit dem Betätigen eines Buttons wie "Spiel spielen" die Erklärung abgeben, dass der Betreiber des Spiels über das von der Beklagten betriebene soziale Netzwerk Informationen über die dort hinterlegten personenbezogenen Daten erhält und ermächtigt ist, Informationen im Namen der Nutzer zu übermitteln (posten). Die Berufung der Beklagten hatte keinen Erfolg. Mit ihrer vom Berufungsgericht zugelassenen Revision verfolgt die Beklagte ihren Antrag auf Klageabweisung weiter.
Die Entscheidung des Bundesgerichtshofs:
Der Bundesgerichtshof hat das Verfahren ausgesetzt und dem Gerichtshof der Europäischen Union die Frage zur Vorabentscheidung vorgelegt, ob die in Kapitel VIII, insbesondere in Art. 80 Abs. 1 und 2 sowie Art. 84 Abs. 1 der Verordnung (EU) 2016/679 (Datenschutzgrundverordnung) getroffenen Bestimmungen nationalen Regelungen entgegenstehen, die - neben den Eingriffsbefugnissen der zur Überwachung und Durchsetzung der Verordnung zuständigen Aufsichtsbehörden und den Rechtsschutzmöglichkeiten der betroffenen Personen - einerseits Mitbewerbern und andererseits nach dem nationalen Recht berechtigten Verbänden, Einrichtungen und Kammern die Befugnis einräumen, wegen Verstößen gegen die Datenschutzgrundverordnung unabhängig von der Verletzung konkreter Rechte einzelner betroffener Personen und ohne Auftrag einer betroffenen Person gegen den Verletzer im Wege einer Klage vor den Zivilgerichten vorzugehen. Diese Frage ist in der Rechtsprechung der Instanzgerichte und der rechtswissenschaftlichen Literatur umstritten. Es wird die Auffassung vertreten, dass die Datenschutzgrundverordnung eine abschließende Regelung zur Durchsetzung der in dieser Verordnung getroffenen datenschutzrechtlichen Bestimmungen enthält und eine Klagebefugnis von Verbänden deshalb nur unter den - im Streitfall nicht erfüllten - Voraussetzungen des Art. 80 der Datenschutzgrundverordnung besteht. Andere halten die in der Datenschutzgrundverordnung zur Rechtsdurchsetzung getroffenen Regelungen nicht für abschließend und Verbände daher weiterhin für befugt, Unterlassungsansprüche wegen des Verstoßes gegen datenschutzrechtliche Bestimmungen unabhängig von der Verletzung konkreter Rechte einzelner betroffener Personen und ohne Auftrag einer betroffenen Person im Wege der Klage vor den Zivilgerichten durchzusetzen. Der Gerichtshof der Europäischen Union hat zwar bereits entschieden, dass die Regelungen der - bis zum Inkarafttreten der Datenschutzgrundverordnung am 25. Mai 2018 geltenden - Richtlinie 95/46/EG (Datenschutzrichtlinie) einer Klagebefugnis von Verbänden nicht entgegenstehen (Urteil vom 29. Juli 2019 - C-40/17). Dieser Entscheidung ist aber nicht zu entnehmen, ob diese Klagebefugnis unter Geltung der an die Stelle der Datenschutzrichtlinie getretenen Datenschutzgrundverordnung fortbesteht.
Vorinstanzen:
LG Berlin - Urteil vom 28. Oktober 2014 - 16 O 60/13
Kammergericht Berlin - Urteil vom 22. September 2017 - 5 U 155/14
(1) Die betroffene Person hat das Recht, eine Einrichtung, Organisationen oder Vereinigung ohne Gewinnerzielungsabsicht, die ordnungsgemäß nach dem Recht eines Mitgliedstaats gegründet ist, deren satzungsmäßige Ziele im öffentlichem Interesse liegen und die im Bereich des Schutzes der Rechte und Freiheiten von betroffenen Personen in Bezug auf den Schutz ihrer personenbezogenen Daten tätig ist, zu beauftragen, in ihrem Namen eine Beschwerde einzureichen, in ihrem Namen die in den Artikeln 77, 78 und 79 genannten Rechte wahrzunehmen und das Recht auf Schadensersatz gemäß Artikel 82 in Anspruch zu nehmen, sofern dieses im Recht der Mitgliedstaaten vorgesehen ist.
(2) Die Mitgliedstaaten können vorsehen, dass jede der in Absatz 1 des vorliegenden Artikels genannten Einrichtungen, Organisationen oder Vereinigungen unabhängig von einem Auftrag der betroffenen Person in diesem Mitgliedstaat das Recht hat, bei der gemäß Artikel 77 zuständigen Aufsichtsbehörde eine Beschwerde einzulegen und die in den Artikeln 78 und 79 aufgeführten Rechte in Anspruch zu nehmen, wenn ihres Erachtens die Rechte einer betroffenen Person gemäß dieser Verordnung infolge einer Verarbeitung verletzt worden sind.
Artikel 84 Sanktionen
(1) Die Mitgliedstaaten legen die Vorschriften über andere Sanktionen für Verstöße gegen diese Verordnung - insbesondere für Verstöße, die keiner Geldbuße gemäß Artikel 83 unterliegen - fest und treffen alle zu deren Anwendung erforderlichen Maßnahmen. Diese Sanktionen müssen wirksam, verhältnismäßig und abschreckend sein.
BGH
Urteil vom 28.05.2020 I ZR 7/16
Cookie-Einwilligung II
Der BGH hat entschieden, dass keine wirksame Einwilligung in telefonische Werbung und das Setzen technisch nicht notwendiger Cookies durch ein voreingestelltes Ankreuzkästchen erteilt wird, dass vom Nutzer abgewählt werden muss, wenn er die Zustimmung nicht erteilen will.
Mit dieser Entscheidung setzt der BGH nach seinem Vorlagebeschluss an den EuGH die Entscheidung des EuGH um (siehe dazu EuGH - Urteil vom 01.10.2019 - C-673/17 ).
Die Pressemitteilung des BGH:
Bundesgerichtshof zur Einwilligung in telefonische Werbung und Cookie-Speicherung
Der unter anderem für Ansprüche nach dem Unterlassungsklagengesetz zuständige I. Zivilsenat des Bundesgerichtshofs hat über die Frage entschieden, welche Anforderungen an die Einwilligung in telefonische Werbung und die Speicherung von Cookies auf dem Endgerät des Nutzers zu stellen sind.
Sachverhalt:
Der Kläger ist der Bundesverband der Verbraucherzentralen. Die Beklagte veranstaltete im September 2013 unter ihrer Internetadresse ein Gewinnspiel. Nach Eingabe der Postleitzahl gelangte der Nutzer auf eine Seite, auf der Name und Anschrift des Nutzers einzutragen waren. Unter den Eingabefeldern für die Adresse befanden sich zwei mit Ankreuzfeldern versehene Einverständniserklärungen.
Mit Bestätigen des ersten Textes, dessen Ankreuzfeld nicht mit einem voreingestellten Häkchen versehen war, sollte das Einverständnis mit einer Werbung durch Sponsoren und Kooperationspartner der Beklagten per Post, Telefon, E-Mail oder SMS erklärt werden. Dabei bestand die Möglichkeit, die werbenden Sponsoren und Kooperationspartner aus einer verlinkten Liste von 57 Unternehmen selbst auszuwählen. Andernfalls sollte die Beklagte diese Auswahl treffen.
Das zweite Ankreuzfeld war mit einem voreingestellten Häkchen versehen und wies folgenden Text auf:
"Ich bin einverstanden, dass der Webanalysedienst Remintrex bei mir eingesetzt wird. Das hat zur Folge, dass der Gewinnspielveranstalter, die [Beklagte], nach Registrierung für das Gewinnspiel Cookies setzt, welches [der Beklagten] eine Auswertung meines Surf- und Nutzungsverhaltens auf Websites von Werbepartnern und damit interessengerichtete Werbung durch Remintrex ermöglicht. Die Cookies kann ich jederzeit wieder löschen. Lesen Sie Näheres hier."
In der mit dem Wort "hier" verlinkten Erläuterung wurde darauf hingewiesen, dass die Cookies eine bestimmte, zufallsgenerierte Nummer (ID) erhalten würden, die den Registrierungsdaten des Nutzers zugeordnet seien, der sich mit Namen und Adresse in das bereitgestellte Webformular eingetragen habe. Falls der Nutzer mit der gespeicherten ID die Webseite eines für Remintrex registrierten Werbepartners besuchen würde, sollte sowohl dieser Besuch erfasst werden als auch, für welches Produkt sich der Nutzer interessiert und ob es zu einem Vertragsschluss kommt.
Der voreingestellte Haken konnte entfernt werden. Eine Teilnahme am Gewinnspiel war aber nur möglich, wenn mindestens eines der beiden Felder mit einem Haken versehen war.
Soweit im Revisionsverfahren relevant, hat der Kläger verlangt, der Beklagten zu verbieten, entsprechende Einverständniserklärungen in Gewinnspielvereinbarungen mit Verbrauchern einzubeziehen oder sich darauf zu berufen. Der Kläger hat außerdem Ersatz der Abmahnkosten verlangt.
Bisheriger Prozessverlauf:
Das Landgericht hat die Beklagte hinsichtlich beider Einverständniserklärungen zur Unterlassung sowie zur Zahlung von Abmahnkosten verurteilt. Die Berufung der Beklagten hatte hinsichtlich des Antrags auf Unterlassung der Verwendung der mit einem voreingestellten Ankreuzfeld versehenen Einwilligungserklärung in die Nutzung von Cookies Erfolg. Beide Parteien haben die vom Oberlandesgericht zugelassene Revision eingelegt.
Der Bundesgerichtshof hat das Verfahren mit Beschluss vom 5. Oktober 2017 ausgesetzt und dem Gerichtshof der Europäischen Union verschiedene Fragen zur Auslegung der Richtlinie 2002/58/EG (Datenschutzrichtlinie für elektronische Kommunikation), der Richtlinie 95/46/EG (Datenschutzrichtlinie) sowie der Verordnung (EU) 2016/679 (Datenschutz-Grundverordnung) hinsichtlich der Wirksamkeit einer Einwilligung in das Setzen von Cookies durch ein voreingestelltes Ankreuzkästchen vorgelegt. Diese Fragen hat der Gerichtshof der Europäischen Union mit Urteil vom 1. Oktober 2019 beantwortet.
Entscheidung des Bundesgerichtshofs:
Nunmehr hat der Bundesgerichtshof die Revision der Beklagten zurückgewiesen und auf die Revision des Klägers das Berufungsurteil hinsichtlich der Cookie-Einwilligung aufgehoben und die erstinstanzliche Verurteilung der Beklagten wiederhergestellt.
Hinsichtlich der Einwilligung in telefonische Werbung ist die Beklagte gemäß §§ 1, 3 Abs. 1 Nr. 1 UKlaG in Verbindung mit § 307 Abs. 1 Satz 1 und Abs. 2 Nr. 1 BGB und § 7 Abs. 2 Nr. 2 Fall 1 UWG zur Unterlassung und zum Ersatz von Abmahnkosten verpflichtet, weil es sowohl nach der im Zeitpunkt der beanstandeten Handlung geltenden Rechtslage als auch nach der Rechtslage im Entscheidungszeitpunkt an einer wirksamen Einwilligung in telefonische Werbung fehlt. § 7 Abs. 2 Nr. 2 UWG dient der Umsetzung des Art. 13 Abs. 3 und 5 Satz 1 der Richtlinie 2002/58/EG, deren Art. 2 Satz 2 Buchst. f für die Definition der Einwilligung auf Art. 2 Buchst. h der Richtlinie 95/46/EG verweist, so dass der Begriff der "Einwilligung" richtlinienkonform zu bestimmen ist. Für die Zeit ab dem 25. Mai 2018 ist auf die in Art. 4 Nr. 11 der Verordnung (EU) 2016/679 vorgesehene Definition abzustellen, weil seither gemäß Art. 94 Abs. 1 und 2 Satz 1 dieser Verordnung Verweise auf die aufgehobene Richtlinie 95/46/EG als Verweise auf diese Verordnung gelten.
Eine Einwilligung wird "in Kenntnis der Sachlage" im Sinne des Art. 2 Buchst. h der Richtlinie 95/46/EG erteilt, wenn der Verbraucher weiß, dass seine Erklärung ein Einverständnis darstellt und worauf sie sich bezieht. Die Einwilligung erfolgt im Sinne dieser Vorschrift "für den konkreten Fall", wenn klar wird, die Produkte oder Dienstleistungen welcher Unternehmen sie konkret erfasst. Daran fehlt es im Streitfall, weil die beanstandete Gestaltung der Einwilligungserklärung darauf angelegt ist, den Verbraucher mit einem aufwendigen Verfahren der Auswahl von in der Liste aufgeführten Partnerunternehmen zu konfrontieren, um ihn zu veranlassen, von dieser Auswahl abzusehen und stattdessen der Beklagten die Wahl der Werbepartner zu überlassen. Weiß der Verbraucher mangels Kenntnisnahme vom Inhalt der Liste und ohne Ausübung des Wahlrechts nicht, die Produkte oder Dienstleistungen welcher Unternehmer die Einwilligung erfasst, liegt keine Einwilligung für den konkreten Fall vor. Aus diesen Gründen fehlt es auch an einer Einwilligung "für den bestimmten Fall" im Sinne des Art. 4 Nr. 11 der Verordnung (EU) 2016/679, die insoweit keine Rechtsänderung herbeigeführt hat.
Hinsichtlich der Einwilligung in die Speicherung von Cookies steht dem Kläger gleichfalls ein Unterlassungsanspruch gemäß § 1 UKlaG in Verbindung mit § 307 Abs. 1 Satz 1 und Abs. 2 Nr. 1 BGB zu. Die von der Beklagten in Form einer Allgemeinen Geschäftsbedingung vorgesehene Einwilligung des Nutzers, die den Abruf von auf seinem Endgerät gespeicherten Informationen mithilfe von Cookies im Wege eines voreingestellten Ankreuzkästchens gestattet, stellt sowohl nach dem im Zeitpunkt der beanstandeten Handlung geltenden Recht als auch nach dem im Entscheidungszeitpunkt geltenden Recht eine unangemessene Benachteiligung des Nutzers dar.
Die Einholung der Einwilligung mittels eines voreingestellten Ankreuzkästchens war nach der bis zum 24. Mai 2018 geltenden Rechtslage - also vor Geltung der Verordnung (EU) 2016/679 - im Sinne von § 307 Abs. 2 Nr. 1 BGB mit wesentlichen Grundgedanken des § 15 Abs. 3 Satz 1 TMG unvereinbar. Der beanstandete Einsatz von Cookies durch die Beklagte als Diensteanbieter dient, wie von § 15 Abs. 3 Satz 1 TMG vorausgesetzt, der Erstellung von Nutzerprofilen zum Zwecke der Werbung, indem das Verhalten des Nutzers im Internet erfasst und zur Zusendung darauf abgestimmter Werbung verwendet werden soll. Bei der im Streitfall in den Cookies gespeicherten zufallsgenerierten Nummer (ID), die den Registrierungsdaten des Nutzers zugeordnet ist, handelt es sich um ein Pseudonym im Sinne dieser Vorschrift. § 15 Abs. 3 Satz 1 TMG ist mit Blick auf Art. 5 Abs. 3 Satz 1 der Richtlinie 2002/58/EG in der durch Art. 2 Nr. 5 der Richtlinie 2009/136/EG geänderten Fassung dahin richtlinienkonform auszulegen, dass für den Einsatz von Cookies zur Erstellung von Nutzerprofilen für Zwecke der Werbung oder Marktforschung die Einwilligung des Nutzers erforderlich ist. Der Gerichtshof der Europäischen Union hat auf Vorlage durch den Senat entschieden, dass Art. 2 Buchst. f und Art. 5 Abs. 3 Satz 1 der Richtlinie 2002/58/EG in Verbindung mit Art. 2 Buchst. h der Richtlinie 95/46/EG dahin auszulegen sind, dass keine wirksame Einwilligung im Sinne dieser Bestimmungen vorliegt, wenn die Speicherung von Informationen oder der Zugriff auf Informationen, die bereits im Endgerät des Nutzers einer Website gespeichert sind, mittels Cookies durch ein voreingestelltes Ankreuzkästchen erlaubt wird, das der Nutzer zur Verweigerung seiner Einwilligung abwählen muss. Auf die Frage, ob es sich bei den Informationen um personenbezogene Daten handelt, kommt es nach der Entscheidung des Gerichtshofs in diesem Zusammenhang nicht an. Der richtlinienkonformen Auslegung des § 15 Abs. 3 Satz 1 TMG steht nicht entgegen, dass der deutsche Gesetzgeber bisher keinen Umsetzungsakt vorgenommen hat. Denn es ist anzunehmen, dass der Gesetzgeber die bestehende Rechtslage in Deutschland für richtlinienkonform erachtete. Mit dem Wortlaut des § 15 Abs. 3 Satz 1 TMG ist eine entsprechende richtlinienkonforme Auslegung noch vereinbar. Im Fehlen einer (wirksamen) Einwilligung kann im Blick darauf, dass der Gesetzgeber mit § 15 Abs. 3 Satz 1 TMG das unionsrechtliche Einwilligungserfordernis umgesetzt sah, der nach dieser Vorschrift der Zulässigkeit der Erstellung von Nutzungsprofilen entgegenstehende Widerspruch gesehen werden.
An dieser Rechtslage hat sich seit dem 25. Mai 2018, dem ersten Geltungstag der Verordnung (EU) 2016/679, nichts geändert, weil diese Verordnung nach ihrem Art. 95 die Fortgeltung des § 15 Abs. 3 Satz 1 TMG als den Art. 5 Abs. 3 Satz 1 der Richtlinie 2002/58/EG umsetzende nationale Regelung unberührt lässt. Soweit für die Definition der Einwilligung nicht mehr auf Art. 2 Buchst. h der aufgehobenen Richtlinie 95/46/EG abgestellt werden kann, sondern Art. 4 Nr. 11 der Verordnung (EU) 2016/679 heranzuziehen ist, führt dies zum selben Ergebnis. Der Gerichtshof der Europäischen Union hat auf Vorlage durch den Senat auch mit Blick auf Art. 4 Nr. 11 der Verordnung (EU) 2016/679 entschieden, dass ein vom Nutzer abzuwählendes, voreingestelltes Ankreuzkästchen keine wirksame Einwilligung darstellt.
Vorinstanzen:
LG Frankfurt am Main - Urteil vom 10. Dezember 2014 - 2/6 O 30/14
OLG Frankfurt am Main - Urteil vom 17. Dezember 2015 - 6 U 30/15
BGH, Beschluss vom 5. Oktober 2017 - I ZR 7/16, Cookie-Einwilligung I
EuGH, Urteil vom 1. Oktober 2019, C-673/17, PLANET49
Wer in Allgemeinen Geschäftsbedingungen Bestimmungen, die nach den §§ 307 bis 309 des Bürgerlichen Gesetzbuchs unwirksam sind, verwendet oder für den rechtsgeschäftlichen Verkehr empfiehlt, kann auf Unterlassung und im Fall des Empfehlens auch auf Widerruf in Anspruch genommen werden.
(1) Bestimmungen in Allgemeinen Geschäftsbedingungen sind unwirksam, wenn sie den Vertragspartner des Verwenders entgegen den Geboten von Treu und Glauben benachteiligen. …
(2) Eine unangemessene Benachteiligung ist im Zweifel anzunehmen, wenn eine Bestimmung
1. mit wesentlichen Grundgedanken der gesetzlichen Regelung, von der abgewichen wird, nicht zu vereinbaren ist
(1) Eine geschäftliche Handlung, durch die ein Marktteilnehmer in unzumutbarer Weise belästigt wird, ist unzulässig. …
(2) Eine unzumutbare Belästigung ist stets anzunehmen
2. bei Werbung mit einem Telefonanruf gegenüber einem Verbraucher ohne dessen vorherige ausdrückliche Einwilligung oder gegenüber einem sonstigen Marktteilnehmer ohne dessen zumindest mutmaßliche Einwilligung.
Der Diensteanbieter darf für Zwecke der Werbung, der Marktforschung oder zur bedarfsgerechten Gestaltung der Telemedien Nutzungsprofile bei Verwendung von Pseudonymen erstellen, sofern der Nutzer dem nicht widerspricht.
Art. 2 Satz 2 Buchst. f der Richtlinie 2002/58/EG:
Weiterhin bezeichnet im Sinne dieser Richtlinie der Ausdruck "Einwilligung" eines Nutzers oder Teilnehmers die Einwilligung der betroffenen Person im Sinne von Richtlinie 95/46/EG;
Art. 5 Abs. 3 Satz 1 der Richtlinie 2002/58/EG:
Die Mitgliedstaaten stellen sicher, dass die Speicherung von Informationen oder der Zugriff auf Informationen, die bereits im Endgerät eines Teilnehmers oder Nutzers gespeichert sind, nur gestattet ist, wenn der betreffende Teilnehmer oder Nutzer auf der Grundlage von klaren und umfassenden Informationen, die er gemäß der Richtlinie 95/46/EG u.a. über die Zwecke der Verarbeitung erhält, seine Einwilligung gegeben hat.
Art. 2 Buchst. h der Richtlinie 95/46/EG:
Im Sinne dieser Richtlinie bezeichnet der Ausdruck "Einwilligung der betroffenen Person" jede Willensbekundung, die ohne Zwang, für den konkreten Fall und in Kenntnis der Sachlage erfolgt und mit der die betroffene Person akzeptiert, dass personenbezogene Daten, die sie betreffen, verarbeitet werden.
Im Sinne dieser Verordnung bezeichnet der Ausdruck "Einwilligung" der betroffenen Person jede freiwillig für den bestimmten Fall, in informierter Weise und unmissverständlich abgegebene Willensbekundung in Form einer Erklärung oder einer sonstigen eindeutigen bestätigenden Handlung, mit der die betroffene Person zu verstehen gibt, dass sie mit der Verarbeitung der sie betreffenden personenbezogenen Daten einverstanden ist.
Art. 94 Abs. 1 und 2 Satz 1 der Verordnung (EU) 2016/679:
(1) Die Richtlinie 95/46/EG wird mit Wirkung vom 25. Mai 2018 aufgehoben.
(2) Verweise auf die aufgehobene Richtlinie gelten als Verweise auf die vorliegende Verordnung. …
Diese Verordnung erlegt natürlichen oder juristischen Personen in Bezug auf die Verarbeitung in Verbindung mit der Bereitstellung öffentlich zugänglicher elektronischer Kommunikationsdienste in öffentlichen Kommunikationsnetzen in der Union keine zusätzlichen Pflichten auf, soweit sie besonderen in der Richtlinie 2002/58/EG festgelegten Pflichten unterliegen, die dasselbe Ziel verfolgen.
VG Gelsenkirchen
Urteil vom 27.04.2020 20 K 6392/18
Das VG Gelsenkirchen hat entschieden, dass ein Prüfling nach der DSGVO einen Anspruch auf Überlassung von Kopien seiner im Rahmen des juristischen Staatsexamens angefertigten Aufsichtsarbeiten mitsamt Prüfergutachten hat.
Aus den Entscheidungsgründen:
"b) Der Anspruch des Klägers ergibt sich jedenfalls aus § 5 Abs. 8 Satz 1 des Datenschutzgesetzes Nordrhein-Westfalen (DSG NRW) i.V.m. Art. 15 Abs. 3 und Art. 12 Abs. 5 Satz 1 DS-GVO. Denn nach § 5 Abs. 8 Satz 1 DSG NRW sind auf Verarbeitungen, die „nicht in den Anwendungsbereich des Unionsrechts“ fallen, die Vorschriften der Verordnung (EU) 2016/679 und die Vorschriften des Teils 2 des Datenschutzgesetzes Nordrhein-Westfalen entsprechend anzuwenden, soweit nicht dieser Teil oder andere spezielle Rechtsvorschriften abweichende Regelungen enthalten. Die Voraussetzungen der insoweit jedenfalls entsprechend anzuwendenden Art. 2 Abs. 1, 12 und 15 DS-GVO sind erfüllt (vgl. hierzu unten (1)). Andere spezielle Rechtsvorschriften mit abweichenden Regelungen i.S.d. § 5 Abs. 8 Satz 1 DSG NRW sind nicht vorhanden (vgl. hierzu unten (2)).
(1) Die vom Kläger unter der Kennziffer XXXX/XX im Rahmen des zweiten juristischen Staatsexamens in Nordrhein-Westfalen angefertigten Aufsichtsarbeiten mitsamt Prüfergutachten werden von Art. 2 Abs. 1 DS-GVO erfasst (vgl. hierzu unten (a)). Der daraus resultierende Anspruch gegen das Landesjustizprüfungsamt auf eine unentgeltliche Kopie (vgl. hierzu unten (b)) ist weder durch Art. 15 Abs. 4 DS-GVO (vgl. hierzu unten (c)) noch durch Art. 12 Abs. 5 Satz 2 DS-GVO ausgeschlossen (vgl. hierzu unten (d)). Der Anspruch ist auch nicht durch Rechtsvorschriften der Union oder der Mitgliedstaaten, insbesondere nicht durch Vorschriften des Juristenausbildungsgesetzes, beschränkt i.S.v. Art. 23 DS-GVO (vgl. hierzu unten (e)).
(a) Die Betroffenenrechte aus der Datenschutz-Grundverordnung sind gemäß Art. 2 Abs. 1 DS-GVO vorliegend anwendbar. Danach gilt die Verordnung für die ganz oder teilweise automatisierte Verarbeitung personenbezogener Daten sowie für die nichtautomatisierte Verarbeitung personenbezogener Daten, die in einem Dateisystem gespeichert sind oder gespeichert werden sollen.
Diese tatbestandlichen Anforderungen sind vorliegend gegeben. Bei den Klausuren einschließlich der Korrekturen handelt es sich um „personenbezogene Daten“ des Klägers (vgl. hierzu unten (aa)). Die korrigierten Examensklausuren werden vom Landesjustizprüfungsamt nichtautomatisiert „verarbeitet“ (vgl. unten (bb)) und in einem „Dateisystem“ gespeichert (vgl. unten (cc)).
(aa) Nach der grundlegenden Begriffsbestimmung in Art. 4 Nr. 1 DS-GVO sind „personenbezogene Daten“ alle Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person beziehen; als identifizierbar wird eine natürliche Person angesehen, die direkt oder indirekt, insbesondere mittels Zuordnung zu einer Kennung wie einem Namen, zu einer Kennnummer, zu Standortdaten, zu einer Online-Kennung oder zu einem oder mehreren besonderen Merkmalen identifiziert werden kann, die Ausdruck der physischen, physiologischen, genetischen, psychischen, wirtschaftlichen, kulturellen oder sozialen Identität dieser natürlichen Person sind.
Bereits in seinem Urteil im Fall C-434/16 (Nowak) hat der EuGH – noch mit Blick auf die Begriffsbestimmung in Art. 2 lit. a) der Richtlinie 95/46/EG – ausgeführt, dass die Antworten eines Kandidaten in einer schriftlichen Prüfung und die Kommentare des Prüfers zu diesen Antworten personenbezogene Daten des Prüflings darstellen können und damit u.a. der Auskunftspflicht unterliegen.
Vgl. EuGH, Urteil vom 20. Dezember 2017, Rs. C-434/16 – Nowak, mit Anm. Schütze, EuGH: Definition personenbezogener Daten, ZD-Aktuell 2018, 05926; siehe auch Pauly, Rechtsentwicklungen im Datenschutzrecht 2019, DB Beilage 2019, Nr. 3, 53 (57), der davon ausgeht, dass der EuGH mit seiner Entscheidung dem Betroffenen folglich auch „einen Anspruch auf eine elektronische Kopie seiner Examensklausuren gewährt“ habe.
Die in Art. 2 lit. a) der Richtlinie 95/46/EG enthaltene Begriffsdefinition entspricht im Wesentlichen jener des sie unmittelbar ersetzenden Art. 4 Nr. 1 DS-GVO. Die vom EuGH vorgenommene rechtliche Einordnung ist deshalb und mit Blick auf die maßgeblichen zugrundeliegenden Erwägungen auf die Examensarbeiten des Klägers übertragbar. Demnach sind personenbezogene Daten nicht lediglich sensible oder private Informationen, sondern alle Arten von Informationen, die aufgrund ihres Inhalts, ihres Zwecks oder ihrer Auswirkungen mit einer bestimmten Person verknüpft sind.
Vgl. EuGH, Urteil vom 20. Dezember 2017, Rs. C-434/16 – Nowak, Rn. 34 f.; siehe zur Dreidimensionalität der Personenbezogenheit auch Klabunde, in: Ehmann/Selmayr (Hrsg.), Datenschutz-Grundverordnung, 2. Aufl. 2018, Art. 4 Rn. 11.
Prüfungsarbeiten einschließlich der Korrekturen des Prüfers erfüllen diese Voraussetzung nach Auffassung des EuGH u.a. insoweit, als sie einerseits den Kenntnisstand und das Kompetenzniveau des Prüflings in einem bestimmten Bereich sowie gegebenenfalls seine Gedankengänge, sein Urteilsvermögen und sein kritisches Denken widerspiegeln,
vgl. EuGH, Urteil vom 20. Dezember 2017, Rs. C-434/16 – Nowak, Rn. 37,
und sich andererseits die Verwendung dieser Informationen, die insbesondere im Erfolg oder Scheitern des Prüflings der in Rede stehenden Prüfung zum Ausdruck kommt, auf dessen Rechte und Interessen auswirken, insbesondere seine Chancen, den gewünschten Beruf zu ergreifen oder die gewünschte Anstellung zu erhalten, bestimmen oder beeinflussen kann,
vgl. EuGH, Urteil vom 20. Dezember 2017, Rs. C-434/16 – Nowak, Rn. 39.
All dies trifft auch auf die Examensarbeiten des Klägers zu.
Vgl. ebenso in Bezug auf Bachelor- und Masterarbeiten bereits VG Hamburg, Beweisbeschluss vom 20. März 2020 – 17 K 1312/19 –, juris Rn. 45 f.
Dass dem jeweiligen Korrektor eine Identifizierung während der Korrektur nicht möglich war, ist bei alledem unerheblich.
(bb) Unter „Verarbeitung“ ist nach Art. 4 Nr. 2 DS-GVO jeder mit oder ohne Hilfe automatisierter Verfahren ausgeführte Vorgang oder jede solche Vorgangsreihe im Zusammenhang mit personenbezogenen Daten zu verstehen wie u.a. das Erheben, das Erfassen, die Organisation, das Ordnen oder die Speicherung.
Die Organisation und das Ordnen erfasst dabei den Aufbau einer wie auch immer gearteten Struktur innerhalb der Daten, wobei es keine Rolle spielt, ob diese simpel oder komplex ist.
Der Begriff der Speicherung bezeichnet die Überführung des Informationsgehalts personenbezogener Daten in eine verkörperte Form in einer Weise, die es dem Verantwortlichen ermöglicht, die Daten aus dem Datenträger wiederzugewinnen.
Das Speichern erfasst somit quasi als Kehrseite der Löschung und Vernichtung deren Unterlassung – auch ohne aktives Tun – schlicht durch weitere Aufbewahrung.
Nach § 64 Satz 1 JAG NRW sind die schriftlichen Prüfungsarbeiten des juristischen Staatsexamens einschließlich der Gutachten der Prüfer fünf Jahre, die übrigen Prüfungsunterlagen fünfzig Jahre aufzubewahren. Zu diesem Zweck werden die Klausuren – nach Jahrgängen und Kennziffern geordnet – im Landesjustizprüfungsamt archiviert. Auch nach Abschluss der Prüfung und Bekanntgabe des Prüfungsergebnisses an den Prüfling werden die Daten mithin dort noch vorgehalten. Dieses Aufbewahren personenbezogener Daten in Papierakten unterfällt als Unterfall der Organisation, des Ordnens und auch des Speicherns in einer nicht digitalen Form dem Begriff der Verarbeitung. Diese endet erst mit der endgültigen Löschung der Daten durch Aussonderung und Vernichtung der Akten."
VG Wiesbaden
Beschluss vom 13.05.2020 - 6 K 805/19.W
Beschluss vom 15.05.2020 - 6 K 806/19.WI
Das VG Wiesbaden hat dem EuGH zahlreiche Fragen zum Fluggastdatengesetz bzw. der PNR-Richtlinie zur Entscheidung vorgelegt.
Die Pressemitteilung des Gerichts:
Vorschriften des Fluggastdatengesetzes auf dem Prüfstand
Mit Beschlüssen vom 13. und 15. Mai 2020 (Az.: 6 K 805/19.WI und 6 K 806/19.WI) hat die 6. Kammer des VG Wiesbaden im Rahmen von Vorabentscheidungsersuchen dem Europäischen Gerichtshof eine Vielzahl von Fragen betreffend das Fluggastdatengesetz vorgelegt.
In beiden Verfahren begehren die jeweiligen Kläger die Löschung ihrer sogenannten Fluggastdaten (PNR-Daten), die derzeit durch das Bundeskriminalamt gespeichert werden. Das Verfahren 6 K 805/19.WI betrifft dabei Flüge aus der Europäischen Union in einen Drittstaat, das Verfahren 6 K 806/19.WI betrifft Flüge innerhalb der Europäischen Union.
Der Hintergrund der Verfahren ist der folgende: Am 27. April 2016 erließen das Europäische Parlament und der Rat die Richtlinie (EU) 2016/681 (sog. PNR-Richtlinie). Diese schreibt vor, dass die Fluggesellschaften bei sämtlichen Flügen von der Union in Drittstaaten und von Drittstaaten in die Union eine Vielzahl von personenbezogenen Daten aller Fluggäste an von den jeweiligen Mitgliedstaaten einzurichtende Zentralstellen (in Deutschland: das Bundeskriminalamt) übermitteln müssen, wo diese Daten automatisiert mit Datenbanken und Algorithmen (sog. Mustern) abgeglichen und fünf Jahre lang gespeichert werden. Auch eine Weitergabe an andere Behörden im In- und Ausland ist gestattet. Diese Maßnahmen sollen der Bekämpfung von Terrorismus und schwerer Kriminalität dienen. Die Bundesrepublik Deutschland hat, ebenso wie viele andere EU-Mitgliedstaaten, mit Erlass des Fluggastdatengesetzes vom 6. Juni 2017 – dem deutschen Umsetzungsgesetz zur PNR-Richtlinie – die Richtlinie umgesetzt und von der durch die Richtlinie explizit eröffneten Möglichkeit Gebrauch gemacht, die Fluggastdatenverarbeitung auch auf alle innereuropäischen Flüge auszuweiten.
Die durch das VG Wiesbaden nun dem Europäischen Gerichtshof zur Beantwortung vorlegten Fragen betreffen im Wesentlichen die Vereinbarkeit der PNR-Richtlinie und des Fluggastdatengesetzes mit der Charta der Grundrechte der Europäischen Union, insbesondere den dort verankerten Grundrechten auf Achtung des Privat- und Familienlebens und dem Schutz personenbezogener Daten, sowie mit der Datenschutz-Grundverordnung und (im Falle der innereuropäischen Flüge) mit der durch den AEUV (Vertrag über die Arbeitsweise der Europäischen Union) innerhalb der Europäischen Union garantierten Freizügigkeit.
Das Gericht hat erhebliche Zweifel, ob die PNR-Richtlinie und das deutsche Umsetzungsgesetz europarechtskonform sind. Es hält die Fluggastdatenverarbeitung mit der Vorratsdatenspeicherung von Telekommunikationsdaten für vergleichbar und erachtet die damit verbundenen Grundrechtseingriffe trotz des verfolgten Ziels (Bekämpfung von Terrorismus und schwerer Kriminalität) als nicht gerechtfertigt.
Als zweifelhaft erachtet das Gericht unter anderem
den Umfang der erhobenen und verarbeiteten Fluggastdaten,
die Verhältnismäßigkeit der 5-jährigen Speicherdauer für die Fluggastdaten,
die Bestimmtheit mehrerer Vorschriften der Richtlinie und des Umsetzungsgesetzes,
ob die Fluggäste über die Datenverarbeitung ausreichend informiert werden,
ob die Weitergabe an Drittstaaten und inländisch an das Bundesamt für Verfassungsschutz zulässig ist und
ob die Mehrfacherfassung der Fluggäste (durch Start- und Zielland des jeweiligen innereuropäischen Fluges) gerechtfertigt ist.
Die Beschlüsse sind unanfechtbar. Die Verfahren werden nach der Entscheidung des Europäischen Gerichtshofes über die Vorabentscheidungsersuchen durch das VG Wiesbaden fortgesetzt werden.
Anhang:
Art.7 GRCh - Achtung des Privat- und Familienlebens
Jede Person hat das Recht auf Achtung ihres Privat- und Familienlebens, ihrer Wohnung sowie ihrer Kommunikation.
Art. 8 GRCh - Schutz personenbezogener Daten
(1) Jede Person hat das Recht auf Schutz der sie betreffenden personenbezogenen Daten.
(2) Diese Daten dürfen nur nach Treu und Glauben für festgelegte Zwecke und mit Einwilligung der betroffenen Person oder auf einer sonstigen gesetzlich geregelten legitimen Grundlage verarbeitet werden. Jede Person hat das Recht, Auskunft über die sie betreffenden erhobenen Daten zu erhalten und die Berichtigung der Daten zu erwirken.
(3) Die Einhaltung dieser Vorschriften wird von einer unabhängigen Stelle überwacht.
Art. 21 AEUV - Freizügigkeit
(1) Jeder Unionsbürger hat das Recht, sich im Hoheitsgebiet der Mitgliedstaaten vorbehaltlich der in den Verträgen und in den Durchführungsvorschriften vorgesehenen Beschränkungen und Bedingungen frei zu bewegen und aufzuhalten.
(2) […]
(3) […]
Art. 67 AEUV - Grundsätze
(1) Die Union bildet einen Raum der Freiheit, der Sicherheit und des Rechts, in dem die Grundrechte und die verschiedenen Rechtsordnungen und -traditionen der Mitgliedstaaten geachtet werden.
(2) Sie stellt sicher, dass Personen an den Binnengrenzen nicht kontrolliert werden, und entwickelt eine gemeinsame Politik in den Bereichen Asyl, Einwanderung und Kontrollen an den Außengrenzen, die sich auf die Solidarität der Mitgliedstaaten gründet und gegenüber Drittstaatsangehörigen angemessen ist. Für die Zwecke dieses Titels werden Staatenlose den Drittstaatsangehörigen gleichgestellt.
(3) […]
(4) […]
Das LAG Nürnberg hat entschieden, dass die Abberufung und Kündigung des internen Datenschutzbeauftragten aus wichtigem Grund möglich ist. §§ 38 Abs. 2 iVm § 6 Abs. 4 Satz 1 BDSG ist insoweit mit Art. 38 Abs. 3 Satz 2 DSGVO vereinbar.
Aus den Entscheidungsgründen:
Die Beklagte zu 1) bedurfte auch für die Abberufung der Klägerin als ihre interne Datenschutzbeauftragte eines wichtigen Grundes. Diese nunmehr in §§ 38 Abs. 2 iVm § 6 Abs. 4 Satz 1 BDSG enthaltene nationale Regelung verstößt nicht gegen Art. 38 Abs. 3 Satz 2 DS-GVO.
1. Auch die Abberufung des Datenschutzbeauftragten ist in der DS-GVO nicht abschließend geregelt. Nach Art. 38 Abs. 3 Satz 2 DS-GVO darf der Datenschutzbeauftragte zwar nicht wegen der Erfüllung seiner Aufgaben abberufen oder benachteiligt werden. Damit ist aber nicht geregelt, unter welchen weitergehenden Voraussetzungen eine Abberufung des Datenschutzbeauftragten tatsächlich erfolgen kann. Mit der Bestellung zum Datenschutzbeauftragten überträgt der Arbeitgeber dem Arbeitnehmer die entsprechenden Aufgaben als Teil seiner arbeitsvertraglichen Pflichten. Der Arbeitsvertragsinhalt ändert sich (BAG 23.03.2011 - 10 AZR 652/09 - Rn 30; 13.03.2007 - 9 AZR 612/05 - Rn 23). Die Abberufung als interner Datenschutzbeauftragter zielt damit im Umkehrschluss ebenfalls auf eine Änderung der arbeitsvertraglichen Pflichten. Damit handelt es sich auch beim besonderen nationalen Abberufungsschutz nach § 38 Abs. 2 iVm § 6 Abs. 4 Satz 1 BDSG im Kern um eine arbeitsrechtliche Regelung. Es bedurfte daher auch bezüglich der arbeitsrechtlichen Regeln über die Abberufung keiner ausdrücklichen Öffnungsklausel (a.A. Kühling/Buchner/Kühling/Sackmann, 2. Aufl., 2018, BDSG § 38 Rn 20; Ehmann/Sehmayr/Heberlein, 2.Aufl., 2018, DS-GVO Art. 38 Rn 28), da die europarechtliche Kompetenznorm sich insoweit in Art. 153 Abs. 1 lit. b AEUV („Arbeitsbedingungen“) findet. In diesem Bereich wird die EU jedoch nicht durch Verordnung, sondern durch Richtlinien tätig und hindert strengere Schutzmaßnahmen der Mitgliedstaaten nicht (Art. 153 Abs. 4, 2. Spiegelstrich). Ebenso wie der Kündigungsschutz dient auch verstärkte nationale Abberufungsschutz gerade dem Ziel, dass der als Arbeitnehmer abhängig beschäftigte interne Datenschutzbeauftragte seine Pflichten und Aufgaben in vollständiger Unabhängigkeit ausüben kann (s. Erwägungsgrund 97 der DS-GVO). Der externe Datenschutzbeauftrage steht hingegen nicht in einem Arbeitsverhältnis zum Verantwortlichen und ist somit gerade nicht abhängig beschäftigt. Dies alles spricht dafür, dass die DS-GVO bezogen auf interne Datenschutzbeauftragte einen national verstärkten Abberufungsschutz nicht ausschließen wollte.
Mit dem Bundesgesetzgeber (BT-Drs. 18/11326, 82) vertritt die Berufungskammer daher die Auffassung, dass es sich auch bei dem besonderen Abberufungsschutz eines internen Datenschutzbeauftragten um eine arbeitsrechtliche Regelung handelt, die ergänzend zu den Vorgaben der DS-GVO auch im BDSG n. F. beibehalten werden kann (LAG Sachsen 19.08.2019 - 9 Sa 268/18 Rn 49; ErfK/Franzen, 20. Aufl., 2020, BDSG § 38 Rn 7; BeckOK DatenschutzR/Moos BDSG § 38 Rn 18; Pauly in Paal/Pauly, DS-GVO BDSG, 2. Aufl. 2018, § 38 BDSG Rn 17; Körffer in Paal/Pauly, a.a.O § 6 BDSG, Rn 3).
2. Ein wichtiger Grund für die Abberufung der Klägerin als Datenschutzbeauftragte lag nicht vor. Dies hat das Arbeitsgericht überzeugend unter Bezugnahme auf die Entscheidung des BAG vom 23.03.2011 - 10 AZR 562/09 herausgearbeitet. Ein wichtiger Grund liegt insbesondere nicht darin, einen internen Datenschutzbeauftragten durch einen externen Datenschutzbeauftragten aus organisatorischen, finanziellen oder personalpolitischen Gründen zu ersetzen. Weitere Ausführungen seitens des Berufungsgerichts sind hierzu nicht veranlasst.
3. Unabhängig davon folgt nach Überzeugung des erkennenden Gerichts auch aus dem Vortrag der Beklagten zu 1), dass die Abberufung jedenfalls auch wegen der Erfüllung der Aufgaben der Klägerin als Datenschutzbeauftragte erfolgte und damit nicht in Einklang mit Art. 38 Abs. 3 Satz 2 DS-GVO stand. Die Beklagte zu 1) beruft sich darauf, dass die Abberufung der Klägerin als Datenschutzbeauftragte wegen des relativ hohen Risiko- und Haftungspotenzials für Anwendungs- und Ausführungsfehler im Bereich Datenschutz und der daraus resultierenden Notwendigkeit der dringend notwendigen Professionalisierung für den Aufgabenbereich des Datenschutzbeauftragten erfolgt sei.
Diese Risiken und Notwendigkeiten lagen jedoch bereits bei der Einstellung der Klägerin zum 15.01.2018 vor. Die DS-GVO stammt vom 27.04.2016. Das diese ergänzende BDSG wurde am 30.06.2017 verkündet. In beiden Regelungswerken ist als Datum des Inkrafttretens von Anfang an der 25.05.2018 bestimmt gewesen. Die Klägerin wurde praktisch unmittelbar nach Beginn des Arbeitsverhältnisses mit Datum vom 15.01./31.01.2018 zur Datenschutzbeauftragten gem. § 4f BDSG aF bestellt. Die Bestellung zur Datenschutzbeauftragten war Teil der Aufgabenbeschreibung 9155, aus der sich gem. § 3 Abs. 1 des Arbeitsvertrages die Arbeitsaufgaben der Klägerin ergaben. Wenn die Beklagte zu 1) nunmehr anführt, die Verlagerung der Aufgaben auf einen externen Datenschutzbeauftragten sei aus Gründen der Professionalisierung notwendig, die Klägerin andererseits aber von Anfang an mit der Aufgabe der Datenschutzbeauftragten betraut wurde, so heißt das, dass die Klägerin ihre Aufgaben insoweit nicht ausreichend professionell wahrgenommen hat, um die von Anfang an absehbaren Risiken zu beherrschen.
Dies steht im Widerspruch zu der Behauptung, die Abberufung der Klägerin als Datenschutzbeauftragte sei nicht im Zusammenhang damit erfolgt, wie die Klägerin ihre Aufgaben als Datenschutzbeauftragte erfüllt habe. Die Beklagte zu 1) hat keinerlei Gründe vorgetragen, warum eine ausreichende Professionalisierung nicht durch Einräumung von mehr Zeit für die Klägerin für den Datenschutz hätte erreicht werden können. Dies gilt erst recht vor dem Hintergrund des behaupteten Wegfalls anderer Arbeitsaufgaben auf Grund der unternehmerischen Entscheidung. Werden jedoch nach Art. 38 Abs. 3 Satz 2 DS-GVO nicht explizit verbotene Gründe für die Abberufung nur vorgeschoben, ist die Abberufung unwirksam (Kühling/Buchner/Bergt, 2. Aufl., 2018, DS-GVO Art. 38 Rn 30).
Im Übrigen wird der europarechtlich gewährte Abberufungsschutz weit auszulegen sein, um zu gewährleisten, dass der Datenschutzbeauftragte seine Pflichten und Aufgaben in vollständiger Unabhängigkeit ausüben kann, wie in Erwägungsgrund 97 des DS-GVO festgehalten ist (vgl. hierzu EuArbRK/Franzen 3. Aufl., 2020, DS-GVO Art. 38, Rn 4).
Das LAG Köln hat entschieden, dass die umfangreiche private Internetnutzung am Dienst-PC während der Arbeitszeit trotz Verbot eine außerordentliche Kündigung rechtfertigt.
Aus den Entscheidungsgründen:
" a) Gemäß § 626 Abs. 1 BGB kann das Arbeitsverhältnis aus wichtigem Grund ohne Einhaltung einer Kündigungsfrist gekündigt werden, wenn Tatsachen vorliegen, aufgrund derer dem Kündigenden unter Berücksichtigung aller Umstände des Einzelfalls und unter Abwägung der Interessen beider Vertragsteile die Fortsetzung des Arbeitsverhältnisses bis zum Ablauf der Kündigungsfrist oder bis zu der vereinbarten Beendigung des Arbeitsverhältnisses nicht zugemutet werden kann.
aa) Das Vorliegen eines wichtigen Grundes iSv. § 626 Abs. 1 BGB ist in zwei Stufen zu prüfen (vgl. bspw. BAG, Urteil vom 29. Juni 2017 – 2 AZR 597/16, Rn. 13, NZA 2017, 1179, 1180; BAG, Urteil vom 7. Juli 2005 – 2 AZR 581/04, NZA 2006, 98 ff.). Im Rahmen von § 626 Abs. 1 BGB ist zunächst zu prüfen, ob ein bestimmter Sachverhalt ohne die besonderen Umstände des Einzelfalls als wichtiger Kündigungsgrund an sich geeignet ist (1. Stufe). Liegt ein solcher Sachverhalt vor, bedarf es der weiteren Prüfung, ob die Fortsetzung des Arbeitsverhältnisses unter Berücksichtigung der konkreten Umstände des Einzelfalls und unter Abwägung der Interessen beider Vertragsteile - jedenfalls bis zum Ablauf der Kündigungsfrist - zumutbar ist oder nicht (2. Stufe) (st. Rspr., siehe bspw. BAG, Urteil vom 16. Juli 2015 – 2 AZR 85/15, Rn. 21 mwN, juris; BAG, Urteil vom 19. April 2012 – 2 AZR 186/11, Rn. 20 mwN, NJW 2013, 104 ff.).
bb) Sowohl die Nichteinhaltung von vorgegebenen Arbeitszeiten als auch die Verrichtung von Privattätigkeiten während der Arbeitszeit unter Nutzung des dienstlichen PCs als auch ausufernde Privattelefonate während der Arbeitszeit können an sich einen wichtiger Grund im Sinn des § 626 Abs. 1 BGB darstellen (vgl. BAG, Urteil vom 31. Mai 2007 – 2 AZR 200/06, Rn. 19, NZA 2007, 922 ff.; BAG, Urteil vom 7. Juli 2005 – 2 AZR 581/04, Rn. 27 mwN, NZA 2006, 98 ff.; Kramer, NZA 2004, 457, 459; Mengel, NZA 2005, 752, 753). Bei einer privaten Internetnutzung ebenso wie Privattelefonaten oder der Verrichtung von Neben- und privaten Tätigkeiten während der Arbeitszeit verletzt der Arbeitnehmer seine arbeitsvertragliche (Hauptleistungs-)Pflicht zur Arbeit, nämlich die Pflicht zur Erbringung der geschuldeten Arbeitsleistung. Private Telefonate und die private Internetnutzung während der Arbeitszeit dürfen die Erbringung der arbeitsvertraglich geschuldeten Arbeitsleistung nicht erheblich beeinträchtigen. Die Pflichtverletzung wiegt dabei umso schwerer, je mehr der Arbeitnehmer bei der privaten Nutzung des Internets seine Arbeitspflicht in zeitlicher und inhaltlicher Hinsicht vernachlässigt (BAG, Urteil vom 31. Mai 2007 – 2 AZR 200/06, Rz. 19, juris; BAG, Urteil vom 27. April 2006 – 2 AZR 386/05, Rz. 25; BAG, Urteil vom 7. Juli 2005 – 2 AZR 581/04, Rz. 27, NZA 2006, 98 ff.; Landesarbeitsgericht Rheinland-Pfalz, Urteil vom 21. Februar 2018 – 7 Sa 406/17, Rn. 78, juris; LAG Berlin-Brandenburg, Urteil vom 14. Januar 2016 – 5 Sa 657/15, Rn. 76, juris). Nutzt der Arbeitnehmer während seiner Arbeitszeit den Dienst-PC in erheblichem zeitlichen Umfang für private Angelegenheiten, kann er grundsätzlich nicht darauf vertrauen, der Arbeitgeber werde dies tolerieren. Er muss vielmehr damit rechnen, dass der Arbeitgeber nicht damit einverstanden ist, wenn sein Arbeitnehmer seine Arbeitsleistung in dieser Zeit nicht erbringt und gleichwohl eine entsprechende Vergütung dafür beansprucht (vgl. nur BAG, Urteil vom 7. Juli 2005 – 2 AZR 581/04, Rz. 27, NZA 2006, 98 ff.; Landesarbeitsgericht Hamm, Urteil vom 17. Juni 2016 – 16 Sa 1711/15, Rn. 84, juris).
cc) Bei der Prüfung, ob dem Arbeitgeber eine Weiterbeschäftigung des Arbeitnehmers trotz Vorliegens einer erheblichen Pflichtverletzung jedenfalls bis zum Ablauf der Kündigungsfrist zumutbar ist, ist in einer Gesamtwürdigung das Interesse des Arbeitgebers an der sofortigen Beendigung des Arbeitsverhältnisses gegen das Interesse des Arbeitnehmers an dessen Fortbestand abzuwägen. Es hat eine Bewertung des Einzelfalls unter Beachtung des Verhältnismäßigkeitsgrundsatzes zu erfolgen. Dabei lassen sich die Umstände, anhand derer zu beurteilen ist, ob dem Arbeitgeber die Weiterbeschäftigung zuzumuten ist oder nicht, nicht abschließend festlegen. Zu berücksichtigen sind aber regelmäßig das Gewicht und die Auswirkungen einer Vertragspflichtverletzung, der Grad des Verschuldens des Arbeitnehmers, eine mögliche Wiederholungsgefahr sowie die Dauer des Arbeitsverhältnisses und dessen störungsfreier Verlauf. Eine außerordentliche Kündigung kommt nur in Betracht, wenn es keinen angemessenen Weg gibt, das Arbeitsverhältnis fortzusetzen, weil dem Arbeitgeber sämtliche milderen Reaktionsmöglichkeiten unzumutbar sind (BAG, Urteil vom 19. April 2012 – 2 AZR 186/11, Rn. 21 mwN, NJW 2013, 104 ff.).
dd) Beruht die Vertragspflichtverletzung auf steuerbarem Verhalten des Arbeitnehmers, ist grundsätzlich davon auszugehen, dass sein künftiges Verhalten schon durch die Androhung von Folgen für den Bestand des Arbeitsverhältnisses positiv beeinflusst werden kann. Einer entsprechenden Abmahnung bedarf es nach Maßgabe des auch in § 314 Abs. 2 in Verbindung mit § 323 Abs. 2 BGB zum Ausdruck kommenden Verhältnismäßigkeitsgrundsatzes nur dann nicht, wenn bereits ex ante erkennbar ist, dass eine Verhaltensänderung in Zukunft auch nach Abmahnung nicht zu erwarten steht, oder es sich um eine so schwere Pflichtverletzung handelt, dass selbst deren erstmalige Hinnahme dem Arbeitgeber nach objektiven Maßstäben unzumutbar und damit offensichtlich - auch für den Arbeitnehmer erkennbar - ausgeschlossen ist (BAG, Urteil vom 19. April 2012 – 2 AZR 186/11, Rn. 22 mwN, NJW 2013, 104 ff.).
b) Hieran gemessen stellt der dem Kläger durch die Beklagte vorgeworfene Arbeitszeitbetrug durch private Nutzung von Internet und E-Mail vom 28.11.2017, 29.11.2017 und 01.03.2018 sowie in den Monaten November 2017 bis einschließlich Februar 2018 einen an sich geeigneten Kündigungsgrund dar (1. Stufe). Die Täuschung des Arbeitgebers darüber, dass ein Arbeitnehmer gearbeitet habe, während tatsächlich – wegen Privattätigkeiten – keine Arbeitsleistung erbracht wurde, stellt regelmäßig einen Grund dar, der geeignet ist, das Arbeitsverhältnis durch Arbeitgeberkündigung ohne Einhaltung der Kündigungsfrist zu beenden (vgl. unter anderem Landesarbeitsgericht Köln, Urteil vom 29. September 2014 – 2 Sa 181/14, Rn. 27, NZA-RR 2015 128, 129). Der Kläger hat den ihm vorgeworfenen Arbeitszeitbetrug zulasten der Beklagten zur Überzeugung der Berufungskammer begangen.
aa) Die Beklagte hat den Arbeitszeitbetrug des Klägers durch private Tätigkeiten während der Arbeitszeit, indem der Kläger entgegen des am 23.11.2017 – nachträglich – vereinbarten ausdrücklichen Verbots der Privatnutzung des dienstlichen Laptops zu privaten Zwecken im Internet „gesurft“ ist und E-Mails zu privaten Zwecke von Dritten gelesen und an diese geschrieben hat, in Ergänzung zu der unstreitigen E-Mail-Korrespondenz mit dem Vater am 29.11.2017, wie folgt begründet und dargelegt:
Am 28.11.2017 habe der Kläger ab 08:40 Uhr bis 17:17 Uhr über den Browser Mozilla Firefox insgesamt 616 Webseiten zu privaten Zwecken aufgerufen, zB. Facebook, Spiegel-Online, Whatsapp, Booking.com, Landal Ferienparks, Kinderhotels, Familien Parks, Bild.de, 1&1-Email (für Frau V W = Mutter des Klägers) und softeware–billiger.de (Suche für den Vater des Klägers, insgesamt 15 URLs im Zusammenhang mit einer Lizenz für Windows 10). Im Zeitraum von 11:47 Uhr bis ca. 15:42 Uhr entfallen nahezu sämtliche Web-Aufrufe auf die Homepages von Autoscout24, Autohaus S , Autohaus H , Peugeot, Autohaus K , RKG Autohaus, Autocenter D und automobile.de. Insgesamt wurden in dem zuletzt genannten Zeitraum über 290 URLs in Bezug auf Autorecherchen aufgerufen. Mit allen drei Browsern habe der Kläger an dem Tag über 860 URLs aufgerufen, dh. im Schnitt alle 33,49 Sekunden. Bzgl. der URL-Aufrufe wird auf den Internet-Browser-Verlauf auf Bl. 97-107 d.A. (= Anlage B 7 zum Schriftsatz der Beklagten vom 03.07.20118) Bezug genommen. Am 28.11.2017 habe der Geschäftsführer der Beklagten zudem einen auswärtigen Gesprächstermin gehabt, wo allein die Anreisezeit mit dem Auto zwei Stunden betrage, dh. der Kläger habe die Beklagte bewusst hintergehen wollen.
Am 29.11.2017 habe der Kläger zwischen 8:28 Uhr und 14:55 Uhr insgesamt 174 URLs im Zusammenhang mit Autorecherchen aufgerufen. Zwischenzeitlich erfolgte die unstreitige E-Mail-Korrespondenz mit dem seinem Vater, wobei der Kläger die in den E-Mails genannten URLs aufgerufen habe.
Am 01.03.2018 habe der Kläger zwischen 10:24 Uhr und 17:40 Uhr 205 Webseiten zu privaten Zwecken aufgerufen, ua. Facebook, Spiegel-Online, Kunde S D , Videos auf Youtube, Bild.de, Express.de. Insofern wird auf die Daten aus dem Log-File des Internet-Browsers auf Bl. 122-125 d.A. (= Anlage B 8 zum Schriftsatz der Beklagten vom 03.07.2018)
Ferner habe der Kläger in der Zeit vom 21.11.2017 bis zum 27.02.2018 über den Internet-Browser insgesamt 500 Aufrufe der Outlook Web App bzgl. einer E-Mail-Adresse aufgerufen, die bei seinem vormaligen Arbeitgeber (Firma S D ) gehostet wird. Bzgl. der Daten (Tag, Uhrzeit) der einzelnen Aufrufe wird auf Bl. 258-264 d.A. Bezug genommen.
Des Weiteren habe der Kläger im Zeitraum vom 06.11.2017 bis zum 28.02.2018 an 32 unterschiedlichen Tagen während der Arbeitszeit über 80 Änderungen an der Webseite der Mutter (https://www.m .de/) vorgenommen und dafür insgesamt rund 9 Stunden aufgewandt. Hinzu kämen noch rund 35 E-Mails an die Mutter bzgl. der Änderungen. Bzgl. der einzelnen Zeiträume der Änderungen wird auf Bl. 412-418 d.A. Bezug genommen.
Zwischen dem 02.11.2017 und dem 01.03.2018 habe der Kläger zudem 559 Mal sein E-Mail-Konto ( w @p .de) seiner privaten Firma (P ) von seinem Laptop aufgerufen, wobei der Kläger insofern 90 E-Mails bearbeitet habe. Diese Aufrufe fanden zu allen Uhrzeiten des Arbeitstages statt.
bb) Die diesbezüglichen Einlassungen des Klägers sind nicht erheblich. Der von der Beklagten vorgetragene Sachverhalt zum Umfang der privaten Nutzung von Internet und E-Mail über den dienstlichen Laptop ist daher gemäß § 138 Abs. 3 ZPO als zugestanden anzusehen. Einer Beweisaufnahme bedurfte es nicht.
Im Hinblick auf die allgemeinen Grundsätze der Verteilung der Darlegungs- und Beweislast im Zivilprozess ist zunächst an den Wortlaut des § 138 ZPO zu erinnern, der wie folgt lautet:
„(1) Die Parteien haben ihre Erklärungen über tatsächliche Umstände vollständig und der Wahrheit gemäß abzugeben.
(2) Jede Partei hat sich über die von dem Gegner behaupteten Tatsachen zu erklären.
(3) Tatsachen, die nicht ausdrücklich bestritten werden, sind als zugestanden anzusehen, wenn nicht die Absicht, sie bestreiten zu wollen, aus den übrigen Erklärungen der Partei hervorgeht.
(4) Eine Erklärung mit Nichtwissen ist nur über Tatsachen zulässig, die weder eigene Handlungen der Partei noch Gegenstand ihrer eigenen Wahrnehmung gewesen sind.“
Die aus Absatz 1 folgende Wahrheitspflicht obliegt den Parteien und ihren Bevollmächtigten im Interesse einer geordneten Rechtspflege dem Gericht und dem Gegner gegenüber. Sie ist Pflicht zur subjektiven Wahrhaftigkeit im Sinne eines Verbots der wissentlichen Falschaussage und erstreckt sich auf Behauptung und Bestreiten tatsächlicher Umstände. Ein Verstoß gegen die Wahrheitspflicht ist die bewusste Behauptung unwahrer Tatsachen, ebenso das Verschweigen bekannter Tatsachen, deren Vortrag für die begehrte Entscheidung erforderlich ist, sowie das eigener Überzeugung widersprechende Bestreiten. Erkennbar unwahres Vorbringen bleibt im Rahmen der Beweiswürdigung nach § 286 Abs. 1 ZPO unberücksichtigt.
Die Pflicht zum vollständigen Vortrag im Sinne des § 138 Abs. 1 ZPO besagt, dass die darlegungspflichtige Partei keine relevanten Tatsachen unterdrücken darf, was im Grunde schon aus der Wahrheitspflicht folgt, sich aber insbesondere auf die Frage auswirkt, wie umfangreich der Gegner nach § 138 Abs. 2 ZPO zu erwidern hat. Diese Erklärungslast des Gegners nach Abs. 2 ist in Bestehen und Umfang im Übrigen davon abhängig, wie die darlegungspflichtige Partei zuvor vorgetragen hat und welche Tatsachen unstreitig sind. Die Erklärungen müssen gleichermaßen den Anforderungen des Abs. 1 folgen, sie müssen also wahr und vollständig sein.
Die Verteilung der Darlegungslast zwischen der klagenden und der beklagten Partei folgt im Übrigen grundsätzlich aus der allgemeinen Beweislastregelung, der zufolge jeder, der sich auf eine ihm günstige Norm beruft, deren Voraussetzungen darlegen und beweisen muss. Dieser Grundsatz ist in den letzten Jahren zunehmend durch die Rechtsprechung des BGH zur sogenannten „sekundären Darlegungslast“ geprägt und teilweise aufgehoben worden. Ihr zufolge darf sich der Gegner der primär darlegungspflichtigen Partei nicht auf ein einfaches Bestreiten beschränken, wenn die darlegungspflichtige Partei außerhalb des von ihr darzulegenden Geschehensablaufes steht und keine nähere Kenntnis der maßgebenden Tatsachen besitzt, während der Prozessgegner sie hat und ihm nähere Angaben zumutbar sind (BGH, Urteil vom 1. Dezember 1982 – VIII ZR 279/81, juris; BGH, Urteil vom 14. Juni 2005 – VI ZR 179/04, juris). In diesen Fällen kann vom Prozessgegner im Rahmen des Zumutbaren das substantiierte Bestreiten der behaupteten Tatsache unter Darlegung der für das Gegenteil sprechenden Tatsachen und Umstände verlangt werden (BGH, Urteil vom 17. Januar 2008 – III ZR 239/06, juris). Genügt er dem nicht, ist der gegnerische Vortrag gemäß Abs. 3 als zugestanden anzusehen (st. Rspr; vgl. nur BGH, Urteil vom 19. Februar 2014 – I ZR 230/12, juris; siehe hierzu und mit weiteren Nachweisen: Greger in Zöller, Zivilprozessordnung, 32. Aufl. 2018, § 138 ZPO, Rn. 7 ff.; Landesarbeitsgericht Köln, Urteil vom 31. Oktober 2018 – 6 Sa 652/18, Rn. 147, juris). In diesem Falle bedarf es also keiner Beweisaufnahme zum Beweis der von beweisbelasten Hauptpartei behaupteten Tatsachen.
cc) Hieran gemessen steht zur Überzeugung der erkennenden Berufungskammer iSv. § 286 Abs. 1 Satz 1 ZPO aufgrund des konkreten Sachvortrags der Beklagten und des nicht hinreichend substantiierten Bestreitens des Klägers sowie der unstrittigen E-Mail-Korrespondenz zwischen ihm und seinem Vater fest, folgendes Ausmaß eines Arbeitszeitbetruges fest:
(1) Am 28.11.2017 hat der Kläger von 08:40 Uhr bis 17:17 Uhr über den Browser Firefox von seinem Laptop insgesamt 616 Webseiten zu privaten Zwecken – zB. Facebook, Spiegel-Online, Whatsapp, Booking.com, Landal Ferienparks, Kinderhotels, Familien Parks, Bild.de, 1&1-Email (für Frau V W = Mutter des Klägers) – und damit im Schnitt alle 50 Sekunden (= 517 Minuten = 31.020 Sekunden / 616) eine andere URL aufgerufen. Im Zeitraum von 11:47 Uhr bis ca. 15:42 Uhr entfallen 290 URL-Aufrufe auf die Homepages von Autoscout24, Autohaus S , Autohaus H , Peugeot, Autohaus K , RKG Autohaus, Autocenter D und automobile.de, was einen URL-Aufruf alle 49 Sekunden durchschnittlich bedeutet. Und mit allen drei Browsern hat der Kläger an dem Tag über 860 URLs aufgerufen, was im Schnitt alle 36 Sekunden einen URL-Aufruf bedeutet. Die Beklagte hat in der Anlage B 7zum Schriftsatz vom 03.07.2018 (Bl. 97-107 d.A.) die einzelnen URL-Aufrufe und die Uhrzeiten dargelegt. Hierzu gehören auf die 15 URL-Aufrufe im Zusammenhang mit der Lizenz für Windows 10 für den Vater des Klägers (www.software-billiger.de). Dem ist der Kläger nicht erheblich entgegen getreten. Er hat sich zu den einzelnen Seiten-Aufrufen nicht näher eingelassen, weil er es aus seiner Erinnerung heraus nicht mehr könnte. Dies ist mit § 138 ZPO nicht zu vereinbaren, denn die Beklagte kann nicht mehr tun, als die unerlaubten URL-Aufrufe aufzuzeigen. Soweit der Kläger behauptet, er habe URLs zu privaten Zwecken nur während der Pausenzeiten aufgerufen, ist dies offensichtlich unzutreffend, denn der Kläger hat nicht den ganzen Arbeitstag oder zumindest – soweit es die Autoseiten-Aufrufe betrifft – von 11:47 bis 15:42 Uhr Mittagspause gemacht. Der Kläger hat daher mittlerweile eine halbe Stunde insgesamt (dh. am 28./29.11.2017 zusammen) für Privatnutzung des Internets zugestanden, ohne allerdings klar darzulegen, wann diese im Einzelnen gewesen sein soll. Auch hat er nicht dargelegt, ob und wann er dann an dem Tag seine Mittagspause genommen soll. Insgesamt steht damit zur Überzeugung der Kammer fest, dass der Kläger den gesamten 28.11.2017 nicht gearbeitet hat, denn bei der durchschnittlichen Zeitspanne der einzelnen URL-Aufrufe kann dazwischen keine sinnvolle Arbeitsleistung des Klägers liegen. Soweit der Kläger behauptet, dass er während der Dauer des Arbeitsverhältnisses ganz viele und umfangreiche Projekte und Tätigkeiten ausgeübt hat, hat der Kläger nicht konkret dargelegt, welche Arbeitsleistung er denn konkret am 28.11.2017 erbracht haben will. Er hat sich im Übrigen auch nicht dagegen gewandt, dass der Zeitraum von 08:40 Uhr bis 17:17 Uhr Arbeitszeit gewesen wäre, denn der Kläger hat sich sogar einer Mehrarbeit an diesem Tag berühmt und er hat auch die Vergütung für diesen Arbeitstag erhalten.
(2) Am 29.11.2017 hat der Kläger – während er mit seinem Vater diverse E-Mails bzgl. des beabsichtigten Autokaufs schrieb – zwischen 8:28 Uhr und 14:55 Uhr insgesamt 174 URLs im Zusammenhang mit Autorecherchen aufgerufen, was durchschnittlich alle zwei Minuten einen URL-Aufruf bedeutet. Zwischenzeitlich erfolgte die unstreitige E-Mail-Korrespondenz mit seinem Vater, wobei der Kläger die in den E-Mails genannten URLs aufgerufen hat. Ausgehend von drei Minuten Arbeitszeit für das Lesen einer E-Mail und deren Beantwortung (vgl. hierzu Landesarbeitsgericht Niedersachsen, Urteil vom 15. Mai 2010 – 12 Sa 875/09, Rn. 43, NZA-RR 2010, 505 ff. = MMR 2010, 639 ff.), ergibt sich bei isolierter Betrachtung der insgesamt 13 E-Mails bereits ein Zeitaufwand von 39 Minuten. Nach Überzeugung der Berufungskammer hat jedoch der Kläger auch an diesem Tag keine Arbeitsleistung erbracht. Dies ergibt sich daraus, dass der Kläger zwischen 8:28 Uhr und 14:55 Uhr insgesamt 174 URLs im Zusammenhang mit seiner Autorecherche aufrief und mit seinem Vater regen E-Mail-Korrespondenz betreffend die Autorecherche führte. Insoweit genügt das pauschale Bestreiten des Klägers zu den konkreten Vorhaltungen der Beklagten nicht, sondern hat gemäß § 138 Abs. 3 ZPO die Geständnisfiktion zur Folge. Dies folgt daraus, dass der Kläger selbst am 29.11.2017 um 09:47 Uhr an seinen Vater schrieb, dass bei ihm langsam aber stetig der Gedanke, sein Auto zu wechseln, reift. In der gesamten E-Mail-Korrespondenz zwischen ihm und seinem Vater, die sich über den gesamten Arbeitstag zog, ging es ausschließlich um die Anschaffung eines neuen Privatwagens. Zudem ergibt sich aus den E-Mails, dass der Kläger sich u.a. die von seinem Vater vorgeschlagenen Autos auch auf dem Firmenrechner der Beklagten während seiner Arbeitszeit ansah. Dies ergibt sich beispielsweise daraus, dass er in der E-Mail von 10:50 Uhr seinem Vater schrieb, dass beide Autos zu seinen Anforderungen passen. Hätte sich der Kläger die von seinem Vater vorgeschlagenen Kfz nicht angesehen, wäre ihm eine entsprechende Beurteilung nicht möglich gewesen. Dasselbe ergibt sich aus den E-Mails von 15:39 Uhr und von 15:57 Uhr, wo der Vater dem Kläger eine Kfz-Konfiguration samt Rabatt übersendet, auf die der Kläger antwortet. Auch hat der Kläger an diesem Tag Arbeitszeit darauf verbracht, selbst Kfz im Internet zu recherchieren. Dies zeigt sich unter anderem an seiner E-Mail an seinen Vater von 13.17 Uhr in der er schreibt: „Was hältst Du denn von dem Wagen"? Der E-Mail war ein Link auf ein bestimmtes Auto beigefügt. Des Weiteren schrieb der Kläger in dieser E-Mail, dass es ihm sehr gut gefällt, dass die Türen sich nach hinten öffnen, da er vor der Tür nicht so viel Platz hat. Eine Genehmigung für die Internetrecherche durch die Beklagte gab es nicht. Einen dienstlichen Zweck, wonach der Besuch u.a. der Internetseite Mobile.de zu Recherchezwecken für die Beklagte erfolgt sei, ist eine nicht näher dargelegt Behauptung des Klägers, die die Berufungskammer als reine Schutzbehauptung bewertet. Der Kläger hat nicht dargelegt, welche programmiertechnischen Features dieser Homepage für die – nach den Behauptungen der Beklagten zu diesem Zeitpunkt noch nicht begonnene – Skylife-App relevant gewesen sein sollen. Soweit der Kläger mittlerweile eine halbe Stunde insgesamt (dh. am 28./29.11.2017 zusammen) für die Privatnutzung des Internets zugestanden hat, hat er allerdings nicht dargelegt, wann diese im Einzelnen gewesen sein soll. Auch hat er nicht dargelegt, ob und wann er dann an dem Tag seine Mittagspause genommen soll, so dass es unsubstantiiert ist, wenn der Kläger behauptet, er habe die gesamte Suche nach einem Auto innerhalb seiner Pausenzeit vorgenommen. Dies würde nämlich bedeuten, dass der Kläger von 08:28 Uhr (Beginn der Internetrecherche zu Kfz) bis einschließlich 16:04 Uhr (= Uhrzeit der letzten E-Mails des Vaters des Klägers an diesem Tag) Pause hat. Die Berufungskammer ist zudem – ebenso wie das Arbeitsgericht – zu der Überzeugung gelangt, dass der Kläger sich nicht nur minutenweise mit dem Thema der Autorecherche an diesem Tag auseinandergesetzt hat, sondern vielmehr den gesamten Arbeitstag hierauf verwendete. Bei einem durchschnittlichen Aufrufe einer neuen URL alle zwei Minuten und einem durchgehenden und nicht nur knappen E-Mail-Verkehr mit dem Vater, wobei alle E-Mails jeweils auf die vorherige E-Mail antworten oder zumindest damit im Zusammenhang stehen, bleibt für eine Arbeitsleistung an diesem Tag nichts übrig. Die Auswertung der Angaben auf einer URL, auf der Gebrauchtwagen abgebildet und bei denen es teilweise um die genaue Autokonfiguration (zB. Klimaanlage, Navigationssystem, Sitzheizung) und den Endpreis, ggfls. mit Rabatt, geht, nimmt erheblich Zeit in Anspruch, wobei die Kammer insofern durchschnittlich drei Minuten veranschlagt. Dies entspricht der Lebenserfahrung der Berufungskammer, da alle erkennenden Richter bereits selbst Autorecherche im Internet vorgenommen haben. Soweit der Kläger behauptet, dass er während der Dauer des Arbeitsverhältnisses ganz viele und umfangreiche Projekte und Tätigkeiten ausgeübt hat, hat der Kläger nicht konkret dargelegt, welche Arbeitsleistung er denn konkret am 29.11.2017 erbracht haben will. Er hat sich im Übrigen auch nicht dagegen gewandt, dass der Zeitraum von 08:28 Uhr bis 16:04 Uhr Arbeitszeit gewesen wäre, denn der Kläger hat sich sogar einer Mehrarbeit an diesem Tag berühmt und er hat auch die Vergütung für diesen Zeitraume erhalten.
(3) Am 01.03.2018 hat der Kläger zwischen 10:24 Uhr und 17:40 Uhr 205 Webseiten zu privaten Zwecken aufgerufen, ua. Facebook, Spiegel-Online, Kunde S D , Videos auf Youtube, Bild.de, Express.de, dh. im Schnitt alle zwei Minuten eine neue URL. Die Beklagte hat in der Anlage B 8 zum Schriftsatz vom 03.07.2018 (Bl. 122-125 d.A.) die einzelnen URL-Aufrufe und die Uhrzeiten dargelegt. Dem ist der Kläger nicht erheblich entgegen getreten. Er hat sich zu den einzelnen Seiten-Aufrufen nicht näher eingelassen, weil er es aus seiner Erinnerung heraus nicht mehr könnte. Dies ist mit § 138 ZPO nicht zu vereinbaren, denn die Beklagte kann nicht mehr tun, als die unerlaubten URL-Aufrufe aufzuzeigen. Soweit der Kläger behauptet, er habe URLs zu privaten Zwecken nur während der Pausenzeiten aufgerufen, ist dies offensichtlich unzutreffend, denn der Kläger hat nicht den ganzen Arbeitstag von 10:24 bis 17:40 Uhr Mittagspause gemacht, zumal der Kläger nicht dargelegt hat, ob und wann er dann an dem Tag seine Mittagspause genommen soll. Insgesamt steht damit zur Überzeugung der Berufungskammer fest, dass der Kläger damit auch den gesamten 01.03.2018 nicht gearbeitet hat, denn bei der durchschnittlichen Zeitspanne der einzelnen URL-Aufrufe kann dazwischen keine sinnvolle Arbeitsleistung des Klägers liegen. Soweit der Kläger behauptet, dass er während der Dauer des Arbeitsverhältnisses ganz viele und umfangreiche Projekte und Tätigkeiten ausgeübt hat, hat der Kläger nicht konkret dargelegt, welche Arbeitsleistung er denn konkret am 01.03.2018 erbracht haben will. Er hat sich im Übrigen auch nicht dagegen gewandt, dass der Zeitraum von 10:24 Uhr bis 17:40 Uhr Arbeitszeit gewesen wäre, denn der Kläger hat auch die Vergütung für diesen Zeitraum erhalten.
(4) Ferner hat der Kläger in der Zeit vom 21.11.2017 bis zum 27.02.2018 über den Internet-Browser insgesamt 500 Aufrufe der Outlook Web App bzgl. einer E-Mail-
Adresse aufgerufen, die bei seinem vormaligen Arbeitgeber (Firma S D ) gehostet wird. Bzgl. der Daten (Tag, Uhrzeit) der einzelnen Aufrufe wird auf Bl. 258-264 d.A. Bezug genommen. Auch hier ist der Kläger dem Sachvortrag der Beklagten nicht erheblich entgegen getreten. Er hat sich mit den einzelnen Zeitangaben der Beklagten nicht näher auseinandergesetzt. Der Sachvortrag der Beklagten gilt insofern gemäß den obigen Ausführungen gemäß § 138 Abs. 3 ZPO als zugestanden. Eine dienstliche Veranlassung ist nicht zu erkennen. Der Kläger hat in diesem Zusammenhang lediglich eine Konkurrenztätigkeit bei seinem früheren Arbeitgeber bestritten, nicht aber insofern die nicht-dienstliche und damit private Nutzung des Internets während der Arbeitszeit. Die Kammer geht insofern bezogen auf den Login-Vorgang und den E-Mail-Check von durchschnittlich einer Minute aus und damit von insgesamt 500 Minuten (was mehr als ein ganzen Arbeitstag á acht Stunden ausmacht) an Zeit aus, die der Kläger in dem Zeitraum nicht gearbeitet hat und damit die Beklagte geschädigt hat.
(5) Ferner hat der Kläger im Zeitraum vom 06.11.2017 bis zum 28.02.2018 an 32 unterschiedlichen Tagen während der Arbeitszeit über 80 Änderungen an der Webseite der Mutter (https://www.m .de/) vorgenommen und dafür insgesamt rund 9 Stunden aufgewandt. Hinzu kommen noch rund 35 E-Mails an die Mutter bzgl. der Änderungen. Bzgl. der einzelnen Zeiträume der Änderungen und der E-Mails wird auf Bl. 412-418 d.A. Bezug genommen. Auch hier ist der Kläger dem Sachvortrag der Beklagten nicht erheblich entgegen getreten. Er hat sich mit den einzelnen Zeitangaben der Beklagten nicht näher auseinandergesetzt. Der Sachvortrag der Beklagten gilt insofern gemäß den obigen Ausführungen gemäß § 138 Abs. 3 ZPO als zugestanden Eine dienstliche Veranlassung ist nicht zu erkennen. Der Kläger hat in diesem Zusammenhang lediglich eine Konkurrenztätigkeit bestritten, nicht aber insofern die nicht-dienstliche und damit private Nutzung. Auch dem von der Beklagten geschätzten Zeitumfang der Privatnutzung ist der Kläger nicht entgegen getreten und für die Berufungskammer erscheint dieser plausibel.
(6) Schließlich hat der Kläger im Zeitraum vom 02.11.2017 bis zum 01.03.2018 insgesamt 559 Mal sein E-Mail-Konto ( .w @ .de) seiner privaten Firma (P ) von seinem Laptop aufgerufen, wobei der Kläger insofern 90 E-Mails bearbeitet hat, wobei diese Aufrufe zu allen Uhrzeiten des Arbeitstages stattfanden. Auch hier ist der Kläger dem Sachvortrag der Beklagten nicht erheblich entgegen getreten. Der Sachvortrag der Beklagten gilt insofern gemäß den obigen Ausführungen gemäß § 138 Abs. 3 ZPO als zugestanden Eine dienstliche Veranlassung ist nicht zu erkennen. Ausgehend von geschätzten drei Minuten für das Lesen und Beantworten einer E-Mail (vgl. hierzu Landesarbeitsgericht Niedersachsen, Urteil vom 15. Mai 2010 – 12 Sa 875/09, Rn. 43, NZA-RR 2010, 505 ff. = MMR 2010, 639 ff.) ist insofern von weiteren 270 Minuten und damit weiteren 4,5 Stunden auszugehen, an denen der Kläger nicht gearbeitet hat.
(7) Damit hat der Kläger im Ergebnis an drei Tagen (28.11.2017, 29.11.2017 und 01.03.2018) sowie im Zwischenzeitraum über kumuliert mehrere Stunden und damit an mehr als fünf kompletten Arbeitstagen, was wiederum mindestens einer Arbeitswoche entspricht, aufgrund von als exzessiv zu bewertenden privaten Tätigkeiten im Internet während der Arbeitszeit seine Hauptleistungspflicht verletzt.
(8) Soweit der Kläger den genannten URL-Aufrufen, die an den einzelnen Tagen bzw. in den genannten Zeiträumen erfolgt ist, generell entgegen hält, dass aus Erfahrung der gesuchten Seiten im Nachhinein die Webseite erneut besucht wurde um zu schauen, wie ein entsprechendes Feature programmiertechnisch umgesetzt wurde, ist dies für die Berufungskammer nicht nachvollziehbar. Entsprechendes gilt für seine Einlassung, wonach verschiedene Features für die App gewünscht gewesen seien, die auf diesen Seiten teilweise vorzufinden waren. Der Kläger hat damit keinen dienstlichen Bezug hinreichend substantiiert dargelegt. Er hätte dafür vielmehr darlegen müssen, mit welcher konkreten Tätigkeit er im Zeitpunkt des jeweiligen URL-Aufrufs betraut war und welches Feature von welcher URL er für seine Arbeit benötigt hätte, damit die Beklagte sich ihrerseits im Rahmen von § 138 ZPO darauf hätte einlassen können.
(9) Soweit der Kläger der Beklagten die Manipulation der Log-Dateien der Internet-Browser durch Veränderung der Zeitangaben vorwirft, ist dies als eine Behauptung ins Blaue hinein zu bewerten. Dieser Vorwurf ist durch nichts belegt. Selbst wenn es generell relativ einfach wäre, die Browserchronik zu verändern, bedeutet dies nicht, dass die Beklagte dies getan hätte. Dies gilt umso mehr, als der Kläger dem Geschäftsführer der Beklagten ohnehin attestiert, ein Quereinsteiger in die IT zu sein und damit über keine IT-Kenntnisse zu verfügen. Soweit der Kläger einzelne URL-Aufrufe benannt hat, die nicht von ihm stammen können, weil sich aus den GPS-Standortdaten seines Mobiltelefons abweichende Ortsangaben ergeben sollen, ist darauf hinzuweisen, dass es um die Auswertung eines Laptops, dh. eines transportablen Computers geht. Der Kläger hat nicht dargelegt, dass er den Laptop nicht dabei gehabt hätte. Außerdem ist auch nicht zu erkennen, dass die Standortdaten des Mobiltelefons des Klägers zwingend richtig sind. Und selbst wenn einzelne URL-Aufrufe nicht vom Kläger stammen sollten, bedeutete dies nicht, dass die restlichen Angaben bzgl. der URL-Aufrufe unzutreffend wären. Der Kläger kann jedenfalls mit dem nicht belegten Manipulationsvorwurf seine sekundäre Darlegungs- und Beweislast nicht wiederum auf die Beklagte verlagern.
(10) Letztlich schließen auch etwaige geleistete Überstunden des Klägers entgegen dessen Auffassung den dargelegten Arbeitszeitbetrug nicht aus. Der Kläger kann sich nicht darauf berufen, er habe nicht alle tatsächlich geleisteten Überstunden geltend gemacht, so dass er Privattätigkeiten während der Arbeitszeit nicht „einfach“ mit Überstunden „verrechnen kann“. Abgesehen davon, dass schon nicht zu erkennen ist, ob diese behaupteten Überstunden überhaupt geleistet und von der Beklagten angeordnet oder zumindest geduldet wurden oder sonst wie zur Erbringungen der Arbeitsleistung erforderlich waren, ist der vorsätzliche Verstoß eines Arbeitnehmers gegen seine Verpflichtung zur Ableistung der geschuldeten Arbeitszeit nicht dadurch gerechtfertigt, dass die Arbeitsleistung ggfls. zu anderen Zeiten erbracht wurde (vgl. BAG, Urteil vom 13. Dezember 2018 – 2 AZR 370/18, Rn. 22, juris).
dd) Soweit die vorliegenden Sachverhalte der Beklagten, gesetzlich vertreten durch ihren Geschäftsführer K , bei Ausspruch der streitgegenständlichen Kündigung am 07.03.2018 noch nicht – vollständig – bekannt gewesen sein sollten, sondern erst durch den IT-Sachverständigen und dessen Gutachten vom 01.07.2018 bekannt wurden, hat dies vorliegend keine Auswirkungen auf die Wirksamkeit der Kündigung, da es durchweg um tatsächliche Umstände handelt, die bereits vor Ausspruch der Kündigung objektiv vorlagen. Wenn und soweit diese erst später bekannt gewordenen Umstände in den Kündigungsschutzprozess eingeführt werden, handelt sich insofern um ein sog. Nachschieben von Kündigungsgründen, das in nicht-mitbestimmten Betrieben – wie bei der Beklagten – nach der Rechtsprechung des BAG ohne weiteres zulässig ist. Dies gilt auch bei § 626 BGB, denn die Zweiwochenfrist des § 626 Abs. 2 BGB gilt nur für die Erklärung der Kündigung. Ist die Kündigung als solche rechtzeitig erklärt, schließt § 626 Abs. 2 Satz 1 BGB ein Nachschieben nachträglich bekannt gewordener Gründe nicht aus (BAG, Urteil vom 23. Mai 2013 – 2 AZR 102/12, Rn. 33, juris; siehe bereits BAG, Urteil vom 4. Juni 1997 – 2 AZR 362/96, zu II 3 b der Gründe, BAGE 86, 88). Für die Beurteilung, ob ein nachgeschobener Sachverhalt dem Arbeitgeber schon im Kündigungszeitpunkt bekannt war, kommt es auf den Wissensstand des Kündigungsberechtigten an, dh. vorliegend ausschließlich Herrn K . Zu fordern ist in sachlicher Hinsicht - wie im Rahmen von § 626 Abs. 2 BGB - eine positive, vollständige Kenntnis der für die Kündigung maßgebenden Tatsachen. In personeller Hinsicht kommt es hier - wie bei § 626 Abs. 2 BGB - auf die entsprechende Kenntnis in der Person des Kündigungsberechtigten an. Handelt es sich bei dem Arbeitgeber um eine juristische Person, ist grundsätzlich maßgeblich die Kenntnis des gesetzlich oder satzungsgemäß für die Kündigung zuständigen Organs (siehe BAG, Urteil vom 18. Juni 2015 – 2 AZR 256/14 –, Rn. 48, juris).
ee) Einer prozessualen Verwertung der Inhalte der E-Mails auf dem dienstlichen Laptop und der Einträge in den Log-Dateien der Internet-Browser steht auch kein sog. prozessuales Verwertungsverbot (vgl. GMP/Prütting, 9. Aufl. 2018, § 58 ArbGG Rn. 34 ff, wobei die jüngste Rechtsprechung des 2. Senats des BAG dies umfassender als sein „Sachvortrags- oder Beweisverwertungsverbot“ bezeichnet, vgl. BAG, Urteil vom 27 Juli .2017 – 2 AZR 681/16, Rn. 16, NZA 2017, 1327, 1328) entgegen. Auch wenn der Kläger als betroffener Arbeitnehmer sich vorliegend – vorsorglich – weder auf die Rechtswidrigkeit der Informations- und Beweismittelbeschaffung berufen noch deren prozessuale Verwertung gem. § 295 ZPO gerügt hat, um dadurch die Rechtswirkungen des § 138 Abs. 3 ZPO (siehe oben) zu verhindern (vgl. HWK/Lembke, 8. Aufl. 2018, Vorb. BDSG, Rn. 112; Pötters/Wybitul, NJW 2014, 2074 (2079); vgl. auch BAG, Urteil vom 16. Dezember 2010 – 2 AZR 485/08, Rn. 32 und 34, NZA 2011, 571, 574; Schreiber ZZP 122 (2009), 227, 241), müssen die erkennenden Gerichte aufgrund der verfassungsrechtlichen Determinierung von Amts wegen prüfen, ob ein prozessuales Verwertungsverbot eingreift, sobald sich aus dem Vorbringen des Prozessgegners und seiner Beweisantritte Anhaltspunkte für „Verwertbarkeitszweifel“ ergeben (Niemann, JbArbR Bd. 55 S. 41, 63 f.). Solche Zweifel werden vorliegend zugunsten des Klägers unterstellt, da er „massive Datenverstöße“ der Beklagten gerügt hat.
(1) Weder die ZPO noch das ArbGG enthalten – ausdrückliche – Regelungen zur prozessualen Unverwertbarkeit rechtswidrig erlangter Informationen oder Beweise. Vielmehr gebieten der Anspruch auf rechtliches Gehör gem. Art. 103 Abs. 1 GG und der Grundsatz der freien richterlichen Beweiswürdigung (§ 286 Abs. 1 Satz 1 ZPO iVm § 46 Abs. 2 Satz 1 ArbGG) durch die Tatsachengerichte grundsätzlich die Berücksichtigung des Sachvortrags der Parteien und der von ihnen angebotenen Beweismittel. Im arbeitsgerichtlichen Urteilsverfahren gelten wie im Zivilprozess die Dispositionsmaxime und der Verhandlungs- oder Beibringungsgrundsatz. Das Zivil- oder Arbeitsgericht darf nur die von den Parteien vorgebrachten Tatsachen verwerten. Umgekehrt ist es zugleich an den Vortrag der Parteien und einen ihm unterbreiteten, entscheidungserheblichen Sachverhalt gebunden. Der Tatsachenvortrag einer Partei kann nicht ohne gesetzliche Grundlagen unbeachtet und „unverwertet“ bleiben. Ordnungsgemäß in den Prozess eingeführten Sachvortrag muss das Gericht grundsätzlich berücksichtigen. Das Zivilprozessrecht kennt grundsätzlich kein Verbot der „Verwertung” von entscheidungserheblichem Sachvortrag. Dementsprechend bedarf es für die Annahme eines Beweisverwertungsverbots, das zugleich die Erhebung der angebotenen Beweise hindern soll, einer besonderen Legitimation und gesetzlichen Grundlage (BAG, Urteil vom 20. Juni 2013 – 2 AZR 546/12, Rn. 20, NZA 2014, 143, 145). Dies gilt ebenso für ein etwaiges Sachvortragsverwertungsverbot (BAG, Urteil vom 22. September 2016 – 2 AZR 848/15, Rn. 21 mwN, NZA 2017, 112, 113; siehe auch Reitz NZA 2017, 273, 277). Prozessuale Verwertungsverbote stellen also die begründungsbedürftige Ausnahme dar (Zöller/Greger, 33. Aufl. 2020, § 286 ZPO Rn. 15 ff.).
Ein das Gericht bindendes Beweisverwertungsverbot oder ein Verbot, selbst unstreitigen Sachvortrag zu verwerten, kommt deshalb nur dann in Betracht, wenn dies auf einer gesetzlichen Grundlage beruht, oder weil dies aufgrund einer verfassungsrechtlich geschützten Position einer Prozesspartei zwingend geboten ist („verfassungsrechtliches Verwertungsverbot“) (Schreiber ZZP 122 (2009), 227, 229; BAG, Urteil vom 16. Dezember 2010 – 2 AZR 485/08, Rn. 29, NZA 2011, 571 ff.). Das Gericht tritt den Verfahrensbeteiligten im Zivil- und Arbeitsgerichtsprozess in Ausübung staatlicher Hoheitsgewalt gegenüber. Es ist daher nach Art. 1 Abs. 3 GG bei der Urteilsfindung an die insoweit maßgeblichen Grundrechte gebunden und zu einer rechtsstaatlichen Verfahrensgestaltung (Art. 20 Abs. 3 GG), insbesondere zur fairen Handhabung des Prozess- und Beweisrechts bzw. einer rechtsstaatlichen Verfahrensgestaltung (BAG, Urteil vom 27. Juli 2017 – 2 AZR 681/16, Rn. 16, NZA 2017, 1327, 1328) verpflichtet (BVerfG, Beschluss vom 13. Februar 2007 – 1 BvR 421/05, Rn. 93 mwN, BVerfGE 117, 202ff. = NJW 2007, 753 ff.; BAG, Urteil vom 16. Dezember 2010 – 2 AZR 485/08, Rn. 31, NZA 2011, 571, 573). Dabei können sich auch aus materiellen Grundrechten wie dem allgemeinen Persönlichkeitsrecht (Art. 2 Abs. 1 iVm Art. 1 Abs. 1 GG) Anforderungen an das gerichtliche Verfahren ergeben, wenn es um die Offenbarung und Verwertung von persönlichen Daten des Arbeitnehmers geht, die grundrechtlich vor der Kenntnis durch Dritte geschützt sind (BAG, Urteil vom 22. September 2016 – 2 AZR 848/15, Rn. 23, NZA 2017, 112, 113). Das Gericht hat deshalb zu prüfen, ob die Verwertung von persönlichen Daten und Erkenntnissen, die bspw. heimlich beschafft wurden, mit datenschutzrechtlichen Belangen (insbesondere Art. 88 DSGVO iVm. § 26 BDSG) oder mit dem allgemeinen Persönlichkeitsrecht des hiervon betroffenen Beweisgegners vereinbar sind (BAG, Urteil vom 21. Juni 2012 – 2 AZR 153/11, Rn. 28, NZA 2012, 1025, 1027); BGH, Urteil vom 15. Mai 2013 – XII ZB 107/08, Rn. 21, NJW 2013, 2668 ff.), selbst wenn die rechtswidrige Beschaffung nicht vom Gericht veranlasst wurde. Auch wenn keine spezielle Ausprägung des allgemeinen Persönlichkeitsrechts betroffen ist, greift die Verwertung von personenbezogenen Daten in das Grundrecht auf informationelle Selbstbestimmung ein, das die Befugnis garantiert, selbst über die Preisgabe und Verwendung persönlicher Daten zu befinden (BAG, Urteil vom 27. Juli 2017 – 2 AZR 681/16, Rn. 16, NZA 2017, 1327, 1328); BAG, Urteil vom 20. Juni 2013 – 2 AZR 546/12, Rn. 21, NZA 2014, 143, 145). Dem Schutz des Grundrechts eines jeden, selbst zu entscheiden, ob persönliche Lebenssachverhalte offenbart werden, dienen auch Art. 8 Abs. 1 EMRK sowie Art. 7 und 8 GRCh (BAG, Urteil vom 22. September 2016 – 2 AZR 848/15, Rn. 23, NZA 2017, 112, 113). Im Ergebnis bedeutet dies eine Prüfung dahingehend, dass eine rechtswidrige Sachverhalts- bzw. Beweismittelbeschaffung wegen der Bindung an die Grundrechte der Gerichte nicht noch um eine grundrechtswidrige prozessuale Verwertung ergänzt werden soll.
Greift die prozessuale Verwertung eines Beweismittels in das allgemeine Persönlichkeitsrecht eines Arbeitnehmers ein (1. Stufe), das – jedenfalls außerhalb des unantastbaren Kernbereich privater Lebensführung – nicht schrankenlos gewährleistet wird, überwiegt bei einer Güterabwägung das Interesse des Arbeitgebers an seiner Verwertung und der Funktionstüchtigkeit der Rechtspflege das Interesse am Schutz dieses Grundrechts nur dann, wenn weitere, über das schlichte Beweisinteresse hinausgehende Umstände auf Seiten des Arbeitgebers hinzutreten (2. Stufe). Anderenfalls würde die (Grund )Rechtsverletzung, die der Arbeitgeber bei der Informationsbeschaffung begangen hat, durch das Gericht perpetuiert, weil mit der prozessualen Verwertung der Beweismittel durch Beweiserhebung ein – erneuter bzw. fortgesetzter – Eingriff in das allgemeine Persönlichkeitsrecht des Arbeitnehmers einherginge (BAG, Urteil vom 20. Juni 2013 – 2 AZR 546/12, Rn. 19, NZA 2014, 143, 145). Mitentscheidend für die Frage der Perpetuierung ist auch die Intensität des Eingriffs (BAG, Urteil vom 20. Juni 2013 – 2 AZR 546/12, Rn. 26, NZA 2014, 143, 146); ErfK/Schmidt, 20. Aufl. 2020, Art. 2 GG, Rn. 96), wobei die Heimlichkeit typischerweise das Gewicht der Freiheitsbeeinträchtigung erhöht (BAG, Urteil vom 20. Juni 2013 – 2 AZR 546/12, Rn. 31 mwN, NZA 2014, 143, 147). Das Interesse, sich ein Beweismittel für zivilrechtliche Ansprüche zu sichern, reicht für sich allein nicht aus (BVerfG, Beschluss vom 13. Februar 2007 – 1 BvR 421/05, Rn. 94, BVerfGE 117, 202ff. = NJW 2007, 753 ff.; BAG, Urteil vom 22. September 2016 – 2 AZR 848/15, Rn. 24, NZA 2017, 112, 114), denn damit liefe der Eingriff in das allgemeine Persönlichkeitsrecht weitgehend leer. Vielmehr müssen diese weiteren Umstände gerade die Art der Informationsbeschaffung und Beweiserhebung als gerechtfertigt und damit als schutzbedürftig erweisen (vgl. BAG, Urteil vom 21. Juni 2012 – 2 AZR 153/11, Rn. 29, NZA 2012, 1025, 1028). Sie können etwa darin liegen, dass sich der Beweisführer mangels
