Skip to content

LG Bonn: Bußgeld gegen 1&1 wegen Verstoßes gegen Art. 32 DSGVO wird von 9,55 Mio EURO auf 900.000 EURO reduziert

LG Bonn
Urteil vom 12.11.2020
29 OWi 1/20 LG


Das LG Bonn hat entschieden, dass das Bußgeld gegen 1&1 (Siehe dazu: BfDI: Bußgeld von fast 10 Mio EURO gegen 1&1 - Verstoß gegen Art. 32 DSGVO bei telefonischer Kundenbetreuung - Kundenauthentifizierung bei der Hotline) wegen Verstoßes gegen Art. 32 DSGVO wird von 9,55 Mio EURO auf 900.000 EURO reduziert wird.

Die Pressemitteilung des Gerichts:

Urteil im Bußgeldverfahren gegen einen Telekommunikationsdienstleister

Die 9. Kammer für Bußgeldsachen des Landgerichts Bonn hat heute entschieden, dass das Bußgeld, welches der Bundesbeauftragte für den Datenschutz und Informationsfreiheit (BfDI) gegen einen Telekommunikationsdienstleister aufgrund eines Verstoßes gegen die Datenschutzgrundverordnung (DSGVO) verhängt hat, dem Grunde nach berechtigt, aber unangemessen hoch sei. Die Kammer hat das Bußgeld von ursprünglich 9,55 Millionen Euro daher auf 900.000 Euro herabgesetzt.

Anlass für das Bußgeldverfahren war eine Strafanzeige wegen Nachstellung („Stalking“) eines Kunden des Telekommunikationsdienstleisters. Dessen ehemalige Lebensgefährtin hatte über das Callcenter des Telekommunikationsdienstleisters die neue Telefonnummer ihres Ex-Partners erfragt, indem sie sich als dessen Ehefrau ausgegeben hatte. Zur Legitimierung musste sie lediglich den Namen und das Geburtsdatum des Kunden nennen. Die neue Telefonnummer hatte sie dann zu belästigenden Kontaktaufnahmen genutzt.

Der BfDI verhängte deshalb im November 2019 gegen den Telekommunikationsdienstleister ein Bußgeld in Höhe von 9,55 Millionen Euro wegen grob fahrlässigen Verstoßes gegen Art. 32 Abs. 1 DSGVO. Zur Begründung führte der BfDI aus, dass die bloße Abfrage von Name und Geburtsdatum zur Authentifizierung von Telefonanrufern keinen ausreichenden Schutz für die Daten im Callcenter gewährleiste.

Gegen diesen Bescheid hat der Telekommunikationsdienstleister Einspruch eingelegt, weshalb die Sache an fünf Hauptverhandlungstagen vor der 9. Kammer für Bußgeldsachen verhandelt wurde.

Die Kammer hat entschieden, dass die Verhängung eines Bußgelds gegen ein Unternehmen nicht davon abhänge, dass der konkrete Verstoß einer Leitungsperson des Unternehmens festgestellt werde. Das nach Auffassung der Kammer anwendbare europäische Recht stelle anders als das deutsche Ordnungswidrigkeitenrecht kein entsprechendes Erfordernis auf.

In der Sache liege ein Datenschutzverstoß vor, da der Telekommunikationsdienstleister die Daten seiner Kunden im Rahmen der Kommunikation über die sog. Callcenter nicht durch ein hinreichend sicheres Authentifizierungsverfahren geschützt habe. Auf diese Weise sei es nicht berechtigten Anrufern durch ein geschicktes Nachfragen und unter Vorgabe einer Berechtigung möglich gewesen, nur mithilfe des vollständigen Namens und des Geburtsdatums an weitere Kundendaten, wie z.B. die aktuelle Telefonnummer, zu gelangen. Sensible Daten wie Einzelverbindungsnachweise, Verkehrsdaten oder Kontoverbindungen hätten auf diesem Wege indes nicht abgefragt werden können.

Die Betroffene habe sich hinsichtlich der Angemessenheit des Schutzniveaus in einem Rechtsirrtum befunden. Mangels verbindlicher Vorgaben an den Authentifizierungsprozess in Callcentern sei dieser Rechtsirrtum zwar verständlich, aber vermeidbar gewesen.

Die Höhe des Bußgeldes hat die Kammer in ihrer Entscheidung auf 900.000 Euro herabgesetzt. Das Verschulden des Telekommunikationsdienstleisters sei gering. Im Hinblick auf die über Jahre geübte Authentifizierungspraxis, die bis zu dem Bußgeldbescheid nicht beanstandet worden sei, habe es dort an dem notwendigen Problembewusstsein gefehlt. Zudem sei zu berücksichtigten, dass es sich – auch nach der Ansicht des BfDI – nur um einen geringen Datenschutzverstoß handele. Diese habe nicht zur massenhaften Herausgabe von Daten an Nichtberechtigte führen können.




BAG legt EuGH Fragen zur ordentlichen Kündigung des Arbeitsverhältnisses des Datenschutzbeauftragten und der Vereinbarkeit von §§ 6 Abs. 4 Satz 2, 38 BDSG mit Art. 38 DSGVO vor

BAG
Beschluss vom 30.7.2020
2 AZR 225/20 (A)


Das BAG hat dem EuGH Fragen zur ordentlichen Kündigung des Arbeitsverhältnisses des Datenschutzbeauftragten und der Vereinbarkeit von §§ 6 Abs. 4 Satz 2, 38 BDSG mit Art. 38 DSGVO zur Entscheidung vorgelegt.

Leitsätze des BAG:

Der Gerichtshof der Europäischen Union wird gemäß Art. 267 des Vertrags über die Arbeitsweise der Europäischen Union (AEUV) um die Beantwortung der folgenden Fragen ersucht:

1. Ist Art. 38 Abs. 3 Satz 2 der Verordnung (EU) 2016/679 (Datenschutz-Grundverordnung; im Folgenden DSGVO) dahin auszulegen, dass er einer Bestimmung des nationalen Rechts, wie hier § 38 Abs. 1 und Abs. 2 iVm. § 6 Abs. 4 Satz 2 des Bundesdatenschutzgesetzes (BDSG), entgegensteht, die die ordentliche Kündigung des Arbeitsverhältnisses des Datenschutzbeauftragten durch den Verantwortlichen, der sein Arbeitgeber ist, für unzulässig erklärt, unabhängig davon, ob sie wegen der Erfüllung seiner Aufgaben erfolgt?

Falls die erste Frage bejaht wird:

2. Steht Art. 38 Abs. 3 Satz 2 DSGVO einer solchen Bestimmung des nationalen Rechts auch dann entgegen, wenn die Benennung des Datenschutzbeauftragten nicht nach Art. 37 Abs. 1 DSGVO verpflichtend ist, sondern nur nach dem Recht des Mitgliedstaats?

Falls die erste Frage bejaht wird:

3. Beruht Art. 38 Abs. 3 Satz 2 DSGVO auf einer ausreichenden Ermächtigungsgrundlage, insbesondere soweit er Datenschutzbeauftragte erfasst, die in einem Arbeitsverhältnis zum Verantwortlichen stehen?


Den Volltext der Entscheidung finden Sie hier:

Hamburger Datenschutzbeauftragter: DSGVO - 35,3 Millionen Euro Bußgeld gegen H&M wegen datenschutzwidriger Mitarbeiterüberwachung im Servicecenter von H&M

Der Hamburgische Beauftragte für Datenschutz und Informationsfreiheit (HmbBfDI) hat gegen H&M ein Bußgeld in Höhe von 35,3 Millionen Euro wegen datenschutzwidriger Mitarbeiterüberwachung im Servicecenter von H&M verhängt.

35,3 Millionen Euro Bußgeld wegen Datenschutzverstößen im Servicecenter von H&M

Im Fall der Überwachung von mehreren hundert Mitarbeiterinnen und Mitarbeitern des H&M Servicecenters in Nürnberg durch die Center-Leitung hat der Hamburgische Beauftragte für Datenschutz und Informationsfreiheit (HmbBfDI) einen Bußgeldbescheid in Höhe von 35.258.707,95 Euro gegen die H&M Hennes & Mauritz Online Shop A.B. & Co. KG erlassen.

Die Gesellschaft mit Sitz in Hamburg betreibt ein Servicecenter in Nürnberg. Mindestens seit dem Jahr 2014 kam es bei einem Teil der Beschäftigten zu umfangreichen Erfassungen privater Lebensumstände. Entsprechende Notizen wurden auf einem Netzlaufwerk dauerhaft gespeichert. Nach Urlaubs- und Krankheitsabwesenheiten – auch kurzer Art – führten die vorgesetzten Teamleader einen sogenannten Welcome Back Talk durch. Nach diesen Gesprächen wurden in etlichen Fällen nicht nur konkrete Urlaubserlebnisse der Beschäftigten festgehalten, sondern auch Krankheitssymptome und Diagnosen. Zusätzlich eigneten sich einige Vorgesetzte über Einzel- und Flurgespräche ein breites Wissen über das Privatleben ihrer Mitarbeitenden an, das von eher harmlosen Details bis zu familiären Problemen sowie religiösen Bekenntnissen reichte. Die Erkenntnisse wurden teilweise aufgezeichnet, digital gespeichert und waren mitunter für bis zu 50 weitere Führungskräfte im ganzen Haus lesbar. Die Aufzeichnungen wurden bisweilen mit einem hohen Detailgrad vorgenommen und im zeitlichen Verlauf fortgeschrieben. Die so erhobenen Daten wurden neben einer akribischen Auswertung der individuellen Arbeitsleistung u.a. genutzt, um ein Profil der Beschäftigten für Maßnahmen und Entscheidungen im Arbeitsverhältnis zu erhalten. Die Kombination aus der Ausforschung des Privatlebens und der laufenden Erfassung, welcher Tätigkeit sie jeweils nachgingen, führte zu einem besonders intensiven Eingriff in die Rechte der Betroffenen.

Bekannt wurde die Datenerhebung dadurch, dass die Notizen infolge eines Konfigurationsfehlers im Oktober 2019 für einige Stunden unternehmensweit zugreifbar waren. Nachdem der Hamburgische Beauftragte für Datenschutz und Informationsfreiheit über die Datensammlung durch Presseberichte informiert wurde, ordnete er zunächst an, den Inhalt des Netzlaufwerks vollständig „einzufrieren“ und verlangte dann die Herausgabe. Das Unternehmen kam dem nach und legte einen Datensatz von rund 60 Gigabyte zur Auswertung vor. Vernehmungen zahlreicher Zeuginnen und Zeugen bestätigten nach Analyse der Daten die dokumentierten Praktiken.

Die Aufdeckung der erheblichen Verstöße hat die Verantwortlichen zur Ergreifung verschiedener Abhilfemaßnahmen veranlasst. Dem HmbBfDI wurde ein umfassendes Konzept vorgelegt, wie von nun an am Standort Nürnberg Datenschutz umgesetzt werden soll. Zur Aufarbeitung der vergangenen Geschehnisse hat sich die Unternehmensleitung nicht nur ausdrücklich bei den Betroffenen entschuldigt. Sie folgt auch der Anregung, den Beschäftigten einen unbürokratischen Schadenersatz in beachtlicher Höhe auszuzahlen. Es handelt sich insoweit um ein bislang beispielloses Bekenntnis zur Unternehmensverantwortung nach einem Datenschutzverstoß. Weitere Bausteine des neu eingeführten Datenschutzkonzepts sind unter anderem ein neu berufener Datenschutzkoordinator, monatliche Datenschutz-Statusupdates, ein verstärkt kommunizierter Whistleblower-Schutz sowie ein konsistentes Auskunfts-Konzept.

Hierzu Prof. Dr. Johannes Caspar, der Hamburgische Beauftragte für Datenschutz und Informationsfreiheit: „Der vorliegende Fall dokumentiert eine schwere Missachtung des Beschäftigtendatenschutzes am H&M-Standort Nürnberg. Das verhängte Bußgeld ist dementsprechend in seiner Höhe angemessen und geeignet, Unternehmen von Verletzungen der Privatsphäre ihrer Beschäftigten abzuschrecken.

Ausdrücklich positiv ist das Bemühen der Konzernleitung zu bewerten, die Betroffenen vor Ort zu entschädigen und das Vertrauen in das Unternehmen als Arbeitgeber wiederherzustellen. Die transparente Aufklärung seitens der Verantwortlichen und die Gewährleistung einer finanziellen Kompensation zeigen durchaus den Willen, den Betroffenen den Respekt und die Wertschätzung zukommen zu lassen, die sie als abhängig Beschäftigte in ihrem täglichen Einsatz für ihr Unternehmen verdienen.“

LAG Nürnberg: Abberufung und Kündigung des internen Datenschutzbeauftragten aus wichtigem Grund - §§ 38 Abs. 2 iVm § 6 Abs. 4 Satz 1 BDSG mit Art. 38 Abs. 3 Satz 2 DSGVO vereinbar

LAG Nürnberg
Urteil vom 19.02.2020
2 Sa 274/19

Das LAG Nürnberg hat entschieden, dass die Abberufung und Kündigung des internen Datenschutzbeauftragten aus wichtigem Grund möglich ist. §§ 38 Abs. 2 iVm § 6 Abs. 4 Satz 1 BDSG ist insoweit mit Art. 38 Abs. 3 Satz 2 DSGVO vereinbar.

Aus den Entscheidungsgründen:

Die Beklagte zu 1) bedurfte auch für die Abberufung der Klägerin als ihre interne Datenschutzbeauftragte eines wichtigen Grundes. Diese nunmehr in §§ 38 Abs. 2 iVm § 6 Abs. 4 Satz 1 BDSG enthaltene nationale Regelung verstößt nicht gegen Art. 38 Abs. 3 Satz 2 DS-GVO.

1. Auch die Abberufung des Datenschutzbeauftragten ist in der DS-GVO nicht abschließend geregelt. Nach Art. 38 Abs. 3 Satz 2 DS-GVO darf der Datenschutzbeauftragte zwar nicht wegen der Erfüllung seiner Aufgaben abberufen oder benachteiligt werden. Damit ist aber nicht geregelt, unter welchen weitergehenden Voraussetzungen eine Abberufung des Datenschutzbeauftragten tatsächlich erfolgen kann. Mit der Bestellung zum Datenschutzbeauftragten überträgt der Arbeitgeber dem Arbeitnehmer die entsprechenden Aufgaben als Teil seiner arbeitsvertraglichen Pflichten. Der Arbeitsvertragsinhalt ändert sich (BAG 23.03.2011 - 10 AZR 652/09 - Rn 30; 13.03.2007 - 9 AZR 612/05 - Rn 23). Die Abberufung als interner Datenschutzbeauftragter zielt damit im Umkehrschluss ebenfalls auf eine Änderung der arbeitsvertraglichen Pflichten. Damit handelt es sich auch beim besonderen nationalen Abberufungsschutz nach § 38 Abs. 2 iVm § 6 Abs. 4 Satz 1 BDSG im Kern um eine arbeitsrechtliche Regelung. Es bedurfte daher auch bezüglich der arbeitsrechtlichen Regeln über die Abberufung keiner ausdrücklichen Öffnungsklausel (a.A. Kühling/Buchner/Kühling/Sackmann, 2. Aufl., 2018, BDSG § 38 Rn 20; Ehmann/Sehmayr/Heberlein, 2.Aufl., 2018, DS-GVO Art. 38 Rn 28), da die europarechtliche Kompetenznorm sich insoweit in Art. 153 Abs. 1 lit. b AEUV („Arbeitsbedingungen“) findet. In diesem Bereich wird die EU jedoch nicht durch Verordnung, sondern durch Richtlinien tätig und hindert strengere Schutzmaßnahmen der Mitgliedstaaten nicht (Art. 153 Abs. 4, 2. Spiegelstrich). Ebenso wie der Kündigungsschutz dient auch verstärkte nationale Abberufungsschutz gerade dem Ziel, dass der als Arbeitnehmer abhängig beschäftigte interne Datenschutzbeauftragte seine Pflichten und Aufgaben in vollständiger Unabhängigkeit ausüben kann (s. Erwägungsgrund 97 der DS-GVO). Der externe Datenschutzbeauftrage steht hingegen nicht in einem Arbeitsverhältnis zum Verantwortlichen und ist somit gerade nicht abhängig beschäftigt. Dies alles spricht dafür, dass die DS-GVO bezogen auf interne Datenschutzbeauftragte einen national verstärkten Abberufungsschutz nicht ausschließen wollte.

Mit dem Bundesgesetzgeber (BT-Drs. 18/11326, 82) vertritt die Berufungskammer daher die Auffassung, dass es sich auch bei dem besonderen Abberufungsschutz eines internen Datenschutzbeauftragten um eine arbeitsrechtliche Regelung handelt, die ergänzend zu den Vorgaben der DS-GVO auch im BDSG n. F. beibehalten werden kann (LAG Sachsen 19.08.2019 - 9 Sa 268/18 Rn 49; ErfK/Franzen, 20. Aufl., 2020, BDSG § 38 Rn 7; BeckOK DatenschutzR/Moos BDSG § 38 Rn 18; Pauly in Paal/Pauly, DS-GVO BDSG, 2. Aufl. 2018, § 38 BDSG Rn 17; Körffer in Paal/Pauly, a.a.O § 6 BDSG, Rn 3).

2. Ein wichtiger Grund für die Abberufung der Klägerin als Datenschutzbeauftragte lag nicht vor. Dies hat das Arbeitsgericht überzeugend unter Bezugnahme auf die Entscheidung des BAG vom 23.03.2011 - 10 AZR 562/09 herausgearbeitet. Ein wichtiger Grund liegt insbesondere nicht darin, einen internen Datenschutzbeauftragten durch einen externen Datenschutzbeauftragten aus organisatorischen, finanziellen oder personalpolitischen Gründen zu ersetzen. Weitere Ausführungen seitens des Berufungsgerichts sind hierzu nicht veranlasst.

3. Unabhängig davon folgt nach Überzeugung des erkennenden Gerichts auch aus dem Vortrag der Beklagten zu 1), dass die Abberufung jedenfalls auch wegen der Erfüllung der Aufgaben der Klägerin als Datenschutzbeauftragte erfolgte und damit nicht in Einklang mit Art. 38 Abs. 3 Satz 2 DS-GVO stand. Die Beklagte zu 1) beruft sich darauf, dass die Abberufung der Klägerin als Datenschutzbeauftragte wegen des relativ hohen Risiko- und Haftungspotenzials für Anwendungs- und Ausführungsfehler im Bereich Datenschutz und der daraus resultierenden Notwendigkeit der dringend notwendigen Professionalisierung für den Aufgabenbereich des Datenschutzbeauftragten erfolgt sei.

Diese Risiken und Notwendigkeiten lagen jedoch bereits bei der Einstellung der Klägerin zum 15.01.2018 vor. Die DS-GVO stammt vom 27.04.2016. Das diese ergänzende BDSG wurde am 30.06.2017 verkündet. In beiden Regelungswerken ist als Datum des Inkrafttretens von Anfang an der 25.05.2018 bestimmt gewesen. Die Klägerin wurde praktisch unmittelbar nach Beginn des Arbeitsverhältnisses mit Datum vom 15.01./31.01.2018 zur Datenschutzbeauftragten gem. § 4f BDSG aF bestellt. Die Bestellung zur Datenschutzbeauftragten war Teil der Aufgabenbeschreibung 9155, aus der sich gem. § 3 Abs. 1 des Arbeitsvertrages die Arbeitsaufgaben der Klägerin ergaben. Wenn die Beklagte zu 1) nunmehr anführt, die Verlagerung der Aufgaben auf einen externen Datenschutzbeauftragten sei aus Gründen der Professionalisierung notwendig, die Klägerin andererseits aber von Anfang an mit der Aufgabe der Datenschutzbeauftragten betraut wurde, so heißt das, dass die Klägerin ihre Aufgaben insoweit nicht ausreichend professionell wahrgenommen hat, um die von Anfang an absehbaren Risiken zu beherrschen.

Dies steht im Widerspruch zu der Behauptung, die Abberufung der Klägerin als Datenschutzbeauftragte sei nicht im Zusammenhang damit erfolgt, wie die Klägerin ihre Aufgaben als Datenschutzbeauftragte erfüllt habe. Die Beklagte zu 1) hat keinerlei Gründe vorgetragen, warum eine ausreichende Professionalisierung nicht durch Einräumung von mehr Zeit für die Klägerin für den Datenschutz hätte erreicht werden können. Dies gilt erst recht vor dem Hintergrund des behaupteten Wegfalls anderer Arbeitsaufgaben auf Grund der unternehmerischen Entscheidung. Werden jedoch nach Art. 38 Abs. 3 Satz 2 DS-GVO nicht explizit verbotene Gründe für die Abberufung nur vorgeschoben, ist die Abberufung unwirksam (Kühling/Buchner/Bergt, 2. Aufl., 2018, DS-GVO Art. 38 Rn 30).

Im Übrigen wird der europarechtlich gewährte Abberufungsschutz weit auszulegen sein, um zu gewährleisten, dass der Datenschutzbeauftragte seine Pflichten und Aufgaben in vollständiger Unabhängigkeit ausüben kann, wie in Erwägungsgrund 97 des DS-GVO festgehalten ist (vgl. hierzu EuArbRK/Franzen 3. Aufl., 2020, DS-GVO Art. 38, Rn 4).


Den Volltext der Entscheidung finden Sie hier:



BFH: Rechtsanwalt als externer Datenschutzbeauftragter übt gewerbliche Tätigkeit aus und ist gewerbesteuerpflichtig

Bundesfinanzhof
Urteil vom 14.01.2020
VIII R 27/17


Der BFH hat entschieden, dass ein Rechtsanwalt, der als externer Datenschutzbeauftragter tätig ist, eine gewerbliche Tätigkeit ausübt und somit gewerbesteuerpflichtig ist.

Leitsätze des BFH:

1. Ein externer Datenschutzbeauftragter übt auch dann, wenn er zugleich als Rechtsanwalt tätig ist, keinen in § 18 Abs. 1 Nr. 1 EStG genannten Katalogberuf aus.

2. Da ein Datenschutzbeauftragter ohne eine akademische Ausbildung tätig werden kann, übt er auch keine dem Beruf des Rechtsanwalts ähnliche Tätigkeit i.S. des § 18 Abs. 1 Nr. 1 Satz 2 EStG aus (Anschluss an BFH-Urteile vom 05.06.2003 - IV R 34/01, BFHE 202, 336, BStBl II 2003, 761; vom 26.06.2003 - IV R 41/01, BFH/NV 2003, 1557).

3. Die Tätigkeit des externen Datenschutzbeauftragten ist auch nicht den sonstigen selbständigen Tätigkeiten i.S. des § 18 Abs. 1 Nr. 3 EStG zuzuordnen.

Die Pressemitteilung des Bundesfinanzhofs:

Externe Datenschutzbeauftragte sind gewerbliche Unternehmer

Ein externer Datenschutzbeauftragter ist gewerblicher Unternehmer, auch wenn er zugleich als Rechtsanwalt tätig ist. Wie der Bundesfinanzhof (BFH) mit Urteil vom 14.01.2020 (VIII R 27/17) entschieden hat, liegt keine freiberufliche Tätigkeit i.S.d. § 18 Abs. 1 EStG vor. Der externe Datenschutzbeauftragte ist daher gewerbesteuerpflichtig und - bei Überschreiten bestimmter Gewinngrenzen – auch buchführungspflichtig.

Im Streitfall war der Kläger als selbständiger Rechtsanwalt im Bereich des IT-Rechts tätig. Daneben arbeitete er für verschiedene größere Unternehmen als externer Datenschutzbeauftragter. Das Finanzamt sah diese Tätigkeit als gewerblich an. Es setzte Gewerbesteuer fest und forderte den Kläger als gewerblichen Unternehmer gem. § 141 AO auf, ab dem Folgejahr Bücher zu führen und Abschlüsse zu machen. Der gegen diese Aufforderung aus dem Jahr 2012 gerichtete Einspruch des Klägers blieb ebenso wie die nachfolgende Klage vor dem Finanzgericht ohne Erfolg.

Der BFH hat die Vorentscheidung jetzt bestätigt. Als Datenschutzbeauftragter übe der Kläger keine dem Beruf des Rechtsanwaltes vorbehaltene Tätigkeit aus. Vielmehr werde er in einem eigenständigen, von seiner Anwaltstätigkeit abzugrenzenden Beruf tätig. Der Datenschutzbeauftragte berate in interdisziplinären Wissensgebieten. Hierfür müsse er zwar neben datenschutzrechtlichem Fachwissen auch Fachwissen in anderen Bereichen (z.B. der Informations- und Kommunikationstechnik und der Betriebswirtschaft) besitzen. Eine spezifische akademische Ausbildung müsse er aber – anders als der Rechtsanwalt - nicht nachweisen. Aus diesem Grunde sei der Kläger als Datenschutzbeauftragter auch nicht in einem dem Rechtsanwalt ähnlichen Beruf tätig. Schließlich sei – so der BFH – auch keine sonstige selbständige Arbeit i.S.d. § 18 Abs. 1 Nr. 3 EStG anzunehmen. Es fehle an der erforderlichen Vergleichbarkeit mit den dort genannten Regelbeispielen.


Den Volltext der Entscheidung finden Sie hier:




BAG: Sonderkündigungsschutz des Datenschutzbeauftragten endet mit Absinken der Beschäftigtenzahl unter Schwellenwert - es gilt nachwirkender Sonderkündigungsschutz

BAG
Urteil vom 05.12.2019
2 AZR 223/19


Das BAG hat entschieden, dass der Sonderkündigungsschutz des Datenschutzbeauftragten mit Absinken der Beschäftigtenzahl unter den Schwellenwert endet. Es gilt dann der nachwirkende Sonderkündigungsschutz.

Leitsatz des BAG:

Der Sonderkündigungsschutz des Beauftragten für den Datenschutz nach § 4f Abs. 3 Satz 5 BDSG in der bis zum 24. Mai 2018 geltenden Fassung (aF) endet mit Absinken der Beschäftigtenzahl unter den Schwellenwert des § 4f Abs. 1 Satz 4 BDSG aF. Gleichzeitig beginnt der nachwirkende Sonderkündigungsschutz des § 4f Abs. 3 Satz 6 BDSG aF.

Den Volltext der Entscheidung finden Sie hier:



BfDI: Bußgeld von fast 10 Mio EURO gegen 1&1 - Verstoß gegen Art. 32 DSGVO bei telefonischer Kundenbetreuung - Kundenauthentifizierung bei der Hotline

Der Bundesbeauftragte für den Datenschutz und die Informationsfreiheit (BfDI) gegen die 1&1 Telecom GmbH ein Bußgeld von fast 10 Mio EURO verhängt. Inhaltlich geht es um einen Verstoß gegen Art. 32 DSGVO (Sicherheit der Verarbeitung) bei der telefonischen Kundenbetreuung und der Kundenauthentifizierung gegenüber der Hotline. 1&1 hat bereit rechtliche Schritte gegen den Bescheid angekündigt.

Die Pressemitteilung des BfDI:

BfDI verhängt Geldbußen gegen Telekommunikationsdienstleister

Der Bundesbeauftragte für den Datenschutz und die Informationsfreiheit (BfDI) hat den Telekommunikationsdienstleister 1&1 Telecom GmbH mit einer Geldbuße in Höhe von 9.550.000 Euro belegt.

Das Unternehmen hatte keine hinreichenden technisch-organisatorischen Maßnahmen ergriffen, um zu verhindern, dass Unberechtigte bei der telefonischen Kundenbetreuung Auskünfte zu Kundendaten erhalten können. In einem weiteren Fall sprach der BfDI ein Bußgeld in Höhe von 10.000 Euro gegen die Rapidata GmbH aus.

Dazu sagte der Bundesbeauftragte Ulrich Kelber: Datenschutz ist Grundrechtsschutz. Die ausgesprochenen Geldbußen sind ein klares Zeichen, dass wir diesen Grundrechtsschutz durchsetzen werden. Die europäische Datenschutzgrundverordnung (DSGVO) gibt uns die Möglichkeit, die unzureichende Sicherung von personenbezogenen Daten entscheidend zu ahnden. Wir wenden diese Befugnisse unter Berücksichtigung der gebotenen Angemessenheit an.

Im Fall von 1&1 Telecom GmbH hatte der BfDI Kenntnis erlangt, dass Anrufer bei der Kundenbetreuung des Unternehmens allein schon durch Angabe des Namens und Geburtsdatums eines Kunden weitreichende Informationen zu weiteren personenbezogenen Kundendaten erhalten konnten. In diesem Authentifizierungsverfahren sieht der BfDI einen Verstoß gegen Artikel 32 DSGVO, nach dem das Unternehmen verpflichtet ist, geeignete technische und organisatorische Maßnahmen zu ergreifen, um die Verarbeitung von personenbezogenen Daten systematisch zu schützen.

Nachdem der BfDI den unzureichenden Datenschutz bemängelt hatte, zeigte sich 1&1 Telecom GmbH einsichtig und äußerst kooperativ. In einem ersten Schritt wurde zunächst der Authentifizierungsprozess durch die Abfrage zusätzlicher Angaben stärker abgesichert. In einem weiteren Schritt wird bei der 1&1 Telecom GmbH derzeit und nach Absprache mit dem BfDI ein neues, technisch und datenschutzrechtlich deutlich verbessertes Authentifizierungsverfahren eingeführt.

Ungeachtet dieser Maßnahmen war die Verhängung einer Geldbuße geboten. So war unter anderem der Verstoß nicht nur auf einen geringen Teil der Kunden begrenzt, sondern stellte ein Risiko für den gesamten Kundenbestand dar. Bei der Festsetzung der Höhe der Geldbuße blieb der BfDI aufgrund des während des gesamten Verfahrens kooperativen Verhaltens von 1&1 Telecom GmbH im unteren Bereich des möglichen Bußgeldrahmens.

Der BfDI untersucht aufgrund von eigenen Erkenntnissen, Hinweisen und auch Kundenbeschwerden zudem derzeit die Authentifizierungsprozesse weiterer Anbieter von Telekommunikationsdienstleistungen.

Ein weiteres Verfahren gegen den Telekommunikationsanbieter Rapidata GmbH wurde erforderlich, da das Unternehmen seiner gesetzlichen Auflage nach Artikel 37 DSGVO zur Benennung des betrieblichen Datenschutzbeauftragten trotz mehrmaliger Aufforderung nicht nachgekommen ist. Bei der Höhe der Geldbuße von 10.000 Euro wurde berücksichtigt, dass es sich hierbei um ein Unternehmen aus der Kategorie der Kleinstunternehmen handelt.



LfDI Rheinland-Pfalz: DSGVO-Bußgeld in Höhe von 105.000 Euro gegen Krankenhaus wegen Datenschutz-Defiziten beim Patientenmanagement

Der Landesbeauftragte für den Datenschutz und die Informationsfreiheit Rheinland-Pfalz (LfDI) hat ein Bußgeld in Höhe von 105.000 Euro gegen ein Krankenhaus wegen Datenschutz-Defiziten beim Patientenmanagement verhängt.

Die Pressemitteilung des LfDI:

Geldbuße gegen Krankenhaus aufgrund von Datenschutz-Defiziten beim Patientenmanagement

Der Landesbeauftragte für den Datenschutz und die Informationsfreiheit Rheinland-Pfalz (LfDI) hat gegenüber einem Krankenhaus in Rheinland-Pfalz eine Geldbuße in Höhe von 105.000 Euro verhängt. Zugleich begrüßt der LfDI die belastbar vorgetragenen Bemühungen des Krankenhauses, Fortentwicklungen und Verbesserungen des Datenschutzmanagements nachhaltig voranzutreiben.

Die bestandskräftige Geldbuße beruht auf mehreren Verstößen gegen die Datenschutz-Grundverordnung im Zusammenhang mit einer Patientenverwechslung bei der Aufnahme des Patienten. Diese hatte eine falsche Rechnungsstellung zur Folge und offenbarte strukturelle technische und organisatorische Defizite des Krankenhauses beim Patientenmanagement.

Der Landesbeauftragte, Prof. Dr. Kugelmann, hebt hervor: „Vorrangiges Ziel der Abhilfe- und Sanktionsmaßnahmen ist es, bestehende Defizite abzustellen und den Datenschutz zu verbessern. Geldbußen sind hierbei ein Instrument unter mehreren. Neben ihrer Sanktionswirkung enthalten sie immer auch ein präventives Element, indem deutlich wird, dass Missständen konsequent nachgegangen wird. Mir kommt es darauf an, dass mit Blick auf die besondere Sensibilität der Daten beim Gesundheitsdatenschutz substanzielle Fortschritte erzielt werden. Daher hoffe ich, dass die Geldbuße auch als Signal gewertet wird, dass die Datenschutzaufsichtsbehörden auf dem Feld des Umgangs mit Daten im Gesundheitswesen besondere Wachsamkeit an den Tag legen.“



Sächsiches LAG: Betriebsratsvorsitzender kann auch betrieblicher Datenschutzbeauftragter sein

Sächsiches LAG
Urtteil vom 19.08.2019
9 Sa 268/18


Das Sächsische LAG hat entschieden, dass ein Betriebsratsvorsitzender auch betrieblicher Datenschutzbeauftragter sein kann.

Aus den Entscheidungsründen:

Der Einwand der Beklagten, die Unwirksamkeit der Bestellung des Klägers als Datenschutzbeauftragter folge daraus, dass dieser nicht über die notwendige Zuverlässigkeit verfüge, die für die Bestellung notwendig sei, insoweit liege eine Inkompatibilität mit dem Amt des Betriebsratsvorsitzenden vor, überzeugt dagegen nicht. Das Bundesarbeitsgericht hat mit Urteil vom 23.03.2011 (- 10 AZR 562/09 -, AP Nr. 3 zu § 4 f BDSG m. w. N.) ausdrücklich festgestellt, dass die bloße Mitgliedschaft im Betriebsrat diese Person für das Amt des Beauftragten für den Datenschutz nicht unzuverlässig macht und insoweit grundsätzlich keine Inkompatibilität zwischen diesen beiden Ämtern besteht, und diese Rechtsauffassung auch ausführlich begründet. Dieser höchstrichterlichen Rechtsprechung schließt sich die erkennende Kammer ausdrücklich an. Warum vorliegend etwas anderes gelten soll, nur weil der Kläger nicht "einfaches" Betriebsratsmitglied ist, sondern Betriebsratsvorsitzender, erschließt sich dem Gericht ebenfalls nicht. Warum dies einen Unterschied machen soll, wird auch weder von der Beklagten noch vom Landesbeauftragten für den Datenschutz und die Informationsfreiheit, der ebenfalls dieser Auffassung zu sein scheint, näher begründet.


Den Volltext der Entscheidung finden Sie hier:


Hamburger Datenschutzbeauftragter eröffnet Verwaltungsverfahren gegen Google wegen Google Assistant - Datenschutzrechtliche Prüfung von Sprachassistenzsystemen

Der Hamburger Beauftragte für Datenschutz und Informationsfreiheit hat ein Verwaltungsverfahren gegen Google wegen des Sprachassistenzsystems Google Assistant eingeleitet.

Die Pressemitteilung des Hamburgischen Beauftragten für Datenschutz und Informationsfreiheit:

Sprachassistenzsysteme auf dem Prüfstand – Datenschutzbehörde eröffnet Verwaltungsverfahren gegen Google

Die Nutzung von automatischen Sprachassistenten von Anbietern wie Google, Apple und Amazon erweist sich als hoch risikoreich für die Privat- und Intimsphäre von Betroffenen. Dies gilt nicht nur für Personen, die einen Sprachassistenten betreiben, sondern für alle, die damit in Kontakt kommen, etwa wenn sie in einem Haushalt leben, in dem Geräte verwendet werden, auf denen z.B. Google Assistant installiert ist.

Gestützt auf Mitschnitte, die von Whistleblowern zugespielt wurden, wurde in den Medien kürzlich berichtet, dass Google im Rahmen seines Sprachassistenten Google Home akustische Aufnahmen der Nutzer von Menschen auswerten lässt, um die Spracherkennungsfähigkeit des Google Assistant zu optimieren. Bei diesen Auswertungen hören Mitarbeiter von Google bzw. von beauftragten Firmen die Sprachaufzeichnungen ab und transkribieren diese, um zu analysieren, ob die aufgenommenen akustischen Informationen von dem dahinter stehenden KI-System korrekt verarbeitet wurden. Diese Praxis hat Google in seinem Blog dargestellt (https://www.blog.google/products/assistant/more-information-about-our-processes-safeguard-speech-data/). Wie sich durch den Bericht der Whistleblower gezeigt hat, ließen sich den aufgezeichneten Gesprächen – zum Teil sensible – personenbezogene Informationen aus der Privat- und Intimsphäre der Betroffenen durch die von Google beauftragten Mitarbeiter entnehmen. Des Weiteren erfolgte ein nicht unerheblicher Teil der Aufnahmen aufgrund fehlerhafter Aktivierung.

Der Hamburgische Beauftragte für Datenschutz und Informationsfreiheit (HmbBfDI) hat vor diesem Hintergrund ein Verwaltungsverfahren eröffnet, um Google zu untersagen, entsprechende Auswertungen durch Mitarbeiter oder Dritte für den Zeitraum von drei Monaten vorzunehmen. Damit sollen die Persönlichkeitsrechte der Betroffenen zunächst vorläufig geschützt werden.

Zwar ist nach der Datenschutzgrundverordnung (DSGVO) für Anordnungen zunächst die sogenannte federführende Aufsichtsbehörde zuständig. Dabei handelt es sich um die Behörde in dem Mitgliedstaat, in dem die Hauptniederlassung der verantwortlichen Stelle liegt. Für Google ist das die IDPC in Irland. Dennoch sieht die DSGVO für Datenschutzbehörden in anderen Mitgliedstaaten auch die Möglichkeit vor, für einen Zeitraum von höchstens drei Monaten Maßnahmen in ihrem Hoheitsgebiet oder Zuständigkeitsbereich zu treffen, falls ein dringender Handlungsbedarf zum Schutz von Rechten und Freiheiten Betroffener besteht. Dies ist hier der Fall, denn ein effektiver Schutz Betroffener vor dem Abhören, Dokumentieren und dem Auswerten privater Gespräche durch dritte Personen kann nur durch einen zeitnahen Vollzug erreicht werden.

Google hat im Rahmen dieses Verwaltungsverfahrens gegenüber dem HmbBfDI erklärt, dass bereits gegenwärtig und für die Dauer von mindestens drei Monaten ab dem 1. August 2019 Transkriptionen von Sprachaufnahmen nicht mehr erfolgen. Diese Zusicherung bezieht sich auf die EU insgesamt. Insoweit sollten nun auch die zuständigen Behörden für andere Anbieter von Sprachassistenzsystemen, wie Apple oder Amazon, zügig überprüfen, entsprechende Maßnahmen umzusetzen.

Dazu Johannes Caspar, der Hamburgische Beauftragte für Datenschutz und Informationsfreiheit: “Der Einsatz von Sprachassistenzsystemen in der EU muss den Datenschutzvorgaben der DSGVO folgen. Im Fall des Google Assistant bestehen daran gegenwärtig erhebliche Zweifel. Die Nutzung von Sprachassistenzsystemen muss in einer transparenten Weise erfolgen, so dass eine informierte Einwilligung der Nutzer möglich ist. Dabei geht es insbesondere um die Bereitstellung ausreichender Informationen und um eine transparente Aufklärung Betroffener über die Verarbeitung der Sprachbefehle, aber auch über die Häufigkeit und die Risiken von Fehlaktivierungen. Schließlich muss dem Erfordernis des Schutzes Dritter, die von den Sprachaufnahmen betroffen sind, hinreichend Rechnung getragen werden. Zunächst sind nun weitere Fragen über die Funktionsweise des Sprachanalysesystems zu klären. Die Datenschutzbehörden werden dann über endgültige Maßnahmen zu entscheiden haben, die für einen datenschutzkonformen Betrieb erforderlich sind.“

VG Hamburg: Facebook darf voraussichtlich Klarnamenpflicht beibehalten - aufschiebende Wirkung des Widerspruchs gegen Bescheid des Hamburger Datenschutzbeauftragten

VG Hamburg
Beschluss vom 03.03.2016
15 E 4482/15


Das Verwaltungsgericht Hamburg hat entschieden, dass Facebook voraussichtlich die Klarnamenpflicht beibehalten darf und keine Pflicht besteht, die Nutzung per Pseudonym zu ermöglichen. Das Gericht hat die aufschiebende Wirkung des Widerspruchs gegen den entsprechenden Bescheid des Hamburger Datenschutzbeauftragten wiederhergestellt. Das Gericht geht davon aus, dass kein deutsches Datenschutzrecht auf die Fallkonstellation anzuwenden ist, da die streitgegenständliche Datenverarbeitung nicht von der Niederlassung Facebook Deutschland durchgeführt wird.

Aus den Entscheidungsgründen:

"Der zulässige, insbesondere gemäß § 80 Abs. 5 Satz 1 Var. 2 VwGO statthafte Antrag auf Wiederherstellung der aufschiebenden Wirkung des Widerspruchs der Antragstellerin ist auch begründet. In der Sache überwiegt das Interesse der Antragstellerin, von der sofortigen Vollziehung der streitigen Anordnung des Datenschutzbeauftragten vorläufig verschont
zu bleiben, das Interesse der Öffentlichkeit an deren sofortigen Vollziehung. Denn nach summarischer Prüfung unter Berücksichtigung des bisherigen Sach- und Streitstandes dürfte der Widerspruch der Antragstellerin Erfolg haben. Die angefochtene Anordnung des Datenschutzbeauftragten ist voraussichtlich rechtswidrig.

1. Die angegriffene Anordnung ist voraussichtlich materiell rechtswidrig. Mangels Anwendbarkeit materieller deutscher datenschutzrechtlicher Bestimmungen auf die angegriffene Datenverarbeitung vermag insbesondere ein Verstoß gegen § 13 Abs. 6 TMG den Erlass der Anordnung nicht zu rechtfertigen.

[...]

Nach vorstehenden Maßstäben sind auf die streitige Datenverarbeitung deutsche datenschutzrechtliche Bestimmungen nicht anzuwenden, da die streitige Datenverarbeitung nach dem der Entscheidung zugrunde zu legenden Sachverhalt mit der Tätigkeit der Niederlassung F.s bzw. der Antragstellerin in Dublin am engsten verbunden ist. Dies ist vor allem aufgrund des vorgelegten Data Transfer and Processing Agreement und des übrigen unstreitigen Vorbringens der Antragstellerin zu ihrer geschäftlichen Tätigkeit in Dublin und der geschäftlichen Tätigkeit von F. Germany anzunehmen. Nicht F. Germany, sondern die Antragstellerin ist gemäß den Nutzungsbedingungen Vertragspartnerin der Betroffenen. Die Antragstellerin verwaltet auch die Nutzerkonten, greift auf sie zu und sperrt sie in Fällen wie dem vorliegenden, wenn Zweifel an der Identität des Inhabers des Nutzerkontos aufkommen. Demgegenüber ist die Tätigkeit von F. Germany lediglich mittelbar, vor allem wirtschaftlich, mit der streitigen Datenverarbeitung verbunden. "



Den Volltext der Entscheidung finden Sie hier:

VG Neustadt: Landesdatenschutzbeauftragter ist gegenüber Bürgern im Rahmen seiner Beratungs- und Informationstätigkeit nicht an Fristen gebunden

VG Neustadt
Beschluss vom 22.12.2015
4 K 867/15.NW


Das VG Neustadt hat entschieden, dass der Landesdatenschutzbeauftragte gegenüber Bürgern im Rahmen seiner Beratungs- und Informationstätigkeit nicht an Fristen gebunden ist.

Aus den Entscheidungsgründen:

"1. Nach § 75 VwGO ist eine Untätigkeitsklage zulässig, wenn über einen Widerspruch oder über einen Antrag auf Vornahme eines Verwaltungsakts ohne zureichenden Grund in angemessener Frist sachlich nicht entschieden worden ist. Hier fehlt es sowohl an einem Widerspruch des Klägers als auch an einem Antrag auf Vornahme eines Verwaltungsakts. Denn der Kläger begehrte mit seinem Antrag vom 7. Oktober 2014 nicht den Erlass eines Verwaltungsakts im Sinne des § 1 Landesverwaltungsverfahrensgesetz – LVwVfG – i.V.m. § 35 Verwaltungsverfahrensgesetz – VwVfG –.

Gemäß § 24 Abs. 8 Landesdatenschutzgesetz – LDSG – berät und informiert der LDI die Bürgerinnen und Bürger in Fragen des Datenschutzes und der Datensicherheit, insbesondere über die ihnen bei der Verarbeitung ihrer Daten zustehenden Rechte und über geeignete Maßnahmen des Selbstdatenschutzes. Nach § 29 Abs. 1 LDSG können Betroffene sich jederzeit unmittelbar an den LDI wenden, wenn sie der Ansicht sind, bei der Verarbeitung ihrer personenbezogenen Daten in ihren Rechten verletzt worden zu sein. Diese Zugangsmöglichkeit zum LDI stellt, worauf der Beklagte zutreffend hingewiesen hat, eine besondere Ausprägung des Petitionsrechts nach Art. 11 LV dar. In der Rechtsprechung ist geklärt, dass auf Petitionen und Dienstaufsichtsbeschwerden ergehende Bescheide keine Verwaltungsakte sind (vgl. nur BVerwG, Beschluss vom 1. September 1976 – VII B 101.75 –, NJW 1977, 118 m.w.N.; Bay. VGH, Beschluss vom 11. September 2000 – 12 ZC 00.2290 –, juris). Ein Petitionsbescheid regelt nichts mit unmittelbarer rechtlicher Außenwirkung, sondern stellt nur die tatsächliche Erfüllung der Verpflichtung aus Art 17 Grundgesetz – GG – bzw. Art. 11 LV dar. Nach der zuletzt genannten Vorschrift hat jedermann das Recht, sich mit Eingaben an die Behörden oder an die Volksvertretung zu wenden. Dieses Recht, das unabhängig von den gegen die Behördenentscheidungen eröffneten gerichtlichen Rechtsschutzmöglichkeiten besteht (VerfGH RP, Beschluss vom 27. September 2002 – VGH B 21/02 –), beinhaltet nur den Anspruch des Grundrechtsträgers auf Entgegennahme seiner Petition, auf (sachliche) Befassung mit seiner Eingabe und auf Bescheidung der Eingabe, aus der ersichtlich wird, dass und mit welchem Ergebnis sie behandelt wurde (BVerfG, Beschluss vom 15. Mai 1992 – 1 BvR 1553/90 –, NJW 1992, 3033; BVerfG; Beschluss vom 26. März 2007 – 1 BvR 138/07 –, juris; Hess. VGH, Beschluss vom 20. März 2013 – 7 D 225/13 –, LKRZ 2013, 284). Art. 11 LV gewährt aber kein Recht auf Erledigung der Petition im Sinne des Petenten und auch keinen Anspruch darauf, Art und Umfang der sachlichen Prüfung der Petition einer gerichtlichen Kontrolle zu unterziehen (BVerfG, Beschluss vom 15. Mai 1992 – 1 BvR 1553/90 –, NJW 1992, 3033, VerfGH Rh-Pf, Beschluss vom 27. Juli 2001 – VGH B 11/01 – sowie Beschluss vom 4. Oktober 1999 – VGH B 9/99 –). Auch Art 19 Abs. 4 Satz 1 GG gebietet nicht die Zulassung von Anfechtungsklagen gegen ablehnende Petitionsbescheide oder Verpflichtungsklagen auf Erlass von positiven Petitionsbescheiden.

Ist die Untätigkeitsklage des Klägers daher von vornherein unstatthaft, muss sich das Gericht nicht mehr mit der Frage auseinander setzen, ob sich das diesbezügliche Verfahren mit Übersendung der Stellungnahme des Beklagten vom 11. September 2015 erledigt hat.


2. Auch wenn man das Begehren des Klägers als Leistungsklage auslegt, hat diese keine hinreichende Aussicht auf Erfolg. Der Kläger hat zwar einen mit der allgemeinen Leistungsklage durchsetzbaren Anspruch auf Erteilung eines informatorischen Bescheides über die Art und Weise der Erledigung seiner Petition (vgl. OVG Nordrhein-Westfalen, Beschluss vom 25. März 2015 – 15 E 94/15 –, NVwZ-RR 2015, 544; Hess. VGH, Beschluss vom 20. März 2013 – 7 D 225/13 –, LKRZ 2013, 284; Brocker, in: Epping/Hillgruber, Beck'scher Online-Kommentar GG, Stand 1. September 2015, Art. 17 Rn. 29). Wie oben bereits ausgeführt, gewährt Art. 11 LV aber kein Recht auf Erledigung der Petition im Sinne des Petenten und auch keinen Anspruch darauf, Art und Umfang der sachlichen Prüfung der Petition einer gerichtlichen Kontrolle zu unterziehen. Denn dann erhielte das Petitionsrecht die Funktion einer Popularklage. Der Beklagte hat im Übrigen den Anspruch des Klägers auf Entgegennahme seiner Petition, auf sachliche Befassung mit seiner Eingabe und auf Bescheidung der Eingabe, aus der ersichtlich wird, dass und mit welchem Ergebnis sie behandelt wurde, spätestens mit am 11. September 2015 übersandten Schreiben erfüllt.


3. Die Klage hat schließlich auch dann keine hinreichende Aussicht auf Erfolg, wenn man das Begehren dahingehend auslegt, festzustellen, dass der Beklagte verpflichtet war, innerhalb einer Frist von drei Monaten über den Antrag des Klägers vom 7. Oktober 2014 zu entscheiden.


Zum einen hat der Kläger weder ein besonderes Interesse für die Feststellung eines in der Vergangenheit liegenden Rechtsverhältnisses (z.B. Rehabilitationsinteresse, Wiederholungsgefahr oder tiefgreifender Grundrechtseingriff, vgl. Kopp/Schenke VwGO, 21. Auflage 2015, § 43 Rn. 25 und § 113 Rn. 136 ff.) dargetan noch ist ein solches Interesse für die Kammer ersichtlich. Infolgedessen ist eine solche Feststellungsklage schon unzulässig.

Zum anderen bestehen auch in der Sache keine Erfolgsaussichten für eine solche Klage. Der LDI ist im Rahmen seiner Beratungs- und Informationstätigkeit gegenüber den Bürgerinnen und Bürgern in Fragen des Datenschutzes und der Datensicherheit nicht an gesetzliche Fristen gebunden. Es kommt daher auf die konkreten Umstände des Einzelfalles an, innerhalb welcher Frist der LDI einen Petenten zu bescheiden hat (vgl. näher dazu, dass sich dem Grundgesetz keine allgemein gültigen Zeitvorgaben dafür entnehmen lassen, wann von einer unangemessenen Verfahrensdauer auszugehen ist BVerfG, Beschluss vom 8. Dezember 2015 – 1 BvR 99/11 – Vz 1/15 –, juris). Vorliegend gab der LDI, nachdem sich der Kläger mit seinem Begehren am 7. Oktober 2014 an die Dienststelle des LDI gewandt und um datenschutzrechtliche Überprüfung der Sparkasse ………., Filiale ……… gebeten hatte, dem Kläger schon nach nur neun Tagen eine datenschutzrechtliche Einschätzung zu den aufgeworfenen Fragen ab. Zugleich wies der LDI darauf hin, vor einer abschließenden Bewertung sei zunächst die Stellungnahme der Sparkasse einzuholen."

Stiftung Datenschutz vom Bundestag auf den Weg gebracht - Datenschutz-TÜV kommt

Der Bundestag hat die Errichtung der Stiftung Datenschutz beschlossen und auf den Weg gebracht. Auch die Stiftung wird die Probleme des deutschen und europäischen Datenschutzrechts leider nicht lösen. Immerhin sieht der Gesetzgeber die Notwendigkeit neue Instrumente und Institutionen zu schaffen.

In der dazugehörigen BT-Drucksache 17/10092 heißt es :

Der Deutsche Bundestag fordert die Bundesregierung auf,
1. das Stiftungsgeschäft zur Errichtung der Stiftung Datenschutz in Leipzig bis Oktober 2012
vorzunehmen und zügig die Anerkennung bei der zuständigen Stiftungsaufsicht zu beantragen
sowie vorbehaltlich der Entscheidung der Stiftungsaufsicht die Voraussetzungen für die Aufnahme
des Stiftungsbetriebs zum nächstmöglichen Zeitpunkt zu schaffen,

2. auch bei der Auswahl des Gründungsvorstands der Stiftung Datenschutz und der Besetzung
des Verwaltungsrates das Vertrauen der Bürgerinnen und Bürger in die Institution und ihre
Unabhängigkeit zu stärken,

3. bei der Wahrnehmung ihrer Aufgaben als Stifterin die Stiftung Datenschutz dauerhaft darin zu
unterstützen, gemeinsam mit der Wirtschaft, der Zivilgesellschaft sowie anderen Akteuren im
Bereich des Datenschutzes innovative und zukunftsfähige Konzepte zu entwickeln,

4. sich auch künftig im Rahmen der zur Verfügung stehenden Haushaltsmittel gemeinsam mit
der Wirtschaft für eine ausreichende finanzielle Basis der Stiftung einzusetzen,

5. gemeinsam mit den Ländern die Arbeit der Stiftung Datenschutz im Bereich der schulischen
wie außerschulischen Bildung und Aufklärung zu unterstützen.