BECKMANN UND NORDA - Rechtsanwälte Bielefeld

VG Köln
Urteil vom 22.05.2025
13 K 1419/23

Wir hatten bereits in dem Beitrag VG Köln: Bundespresseamt darf "Facebook-Fanpage" zur Öffentlichkeitsarbeit für die Bundesregierung betreiben - Untersagungsverfügung der BfDI rechtswidrig über die Entscheidung berichtet.

Leitsätze des Gerichts:
1. Zur Einholung einer Einwilligung nach § 25 Abs. 1 Satz 1 TTDSG verpflichtet ist jede natürliche oder juristische Person, die kausal die Ausführung des Quelltexts veranlasst, der die Informationen speichert oder ausliest, und der deshalb die Realisierung der Distanzgefahr durch den Fernzugriff, vor dem der Endnutzer geschützt werden soll, zuzurechnen ist. Hierfür ist ein hinreichend enger Wirkungs- und Ursachenzusammenhang zwischen der Durchführung des Fernzugriffs und dem Verhalten der Person zu verlangen.

2. Die gemeinsame datenschutzrechtliche Verantwortlichkeit gemäß Art. 4 Nr. 7 Halbs. 1, Art. 26 Abs. 1 Satz 1 DSGVO setzt eine gemeinsame Festlegung von sowohl Zwecken als auch Mitteln der konkreten Datenverarbeitung voraus.

3. Ob die Mittel der Datenverarbeitung gemeinsam festgelegt werden, ist auf Grundlage einer Gesamtwürdigung der Umstände des Einzelfalls zu beurteilen. Die bloße Mitursächlichkeit des Verhaltens einer Person für eine Verarbeitung personenbezogener Daten genügt für die Annahme einer gemeinsamen Mittelfestlegung nicht.

4. Tauglicher Adressat einer Verwarnung auf Grundlage des Art. 58 Abs. 2 Buchst. b DSGVO ist der für den vollendeten Datenschutzverstoß Verantwortliche oder der Auftragsverarbeiter nur dann, wenn er im Zeitpunkt des Erlasses des Verwarnungsbescheides im Hinblick auf die als datenschutzwidrig monierte Datenverarbeitung noch Verantwortlicher oder Auftragsverarbeiter ist

Den Volltext der Entscheidung finden Sie hier:

VG Köln
Urteil vom 22.05.2025
13 K 1419/23

Das VG Köln hat entschieden, dass das Bundespresseamt eine "Facebook-Fanpage" zur Öffentlichkeitsarbeit für die Bundesregierung betreiben darf und entschieden, dass die Untersagungsverfügung der BfDI rechtswidrig ist.

Die Pressemitteilung des Gerichts:
VG Köln: Bundesregierung darf „Facebook-Fanpage“ zur Öffentlichkeitsarbeit weiterbetreiben

Das Presse- und Informationsamt der Bundesregierung darf seine „Facebook-Fanpage“ weiterbetreiben. Dies hat das Verwaltungsgericht Köln aufgrund der mündlichen Verhandlung vom 17. Juli 2025 entschieden und damit den gegen die Bundesbeauftragte für den Datenschutz und die Informationssicherheit (BfDI) gerichteten Klagen des Bundes und von „Meta“ (vormals „Facebook“) stattgegeben.

Das Bundespresseamt betreibt eine „Fanpage“ in dem sozialen Netzwerk „Facebook“. Dort informiert es über aktuelle politische Tätigkeiten der Bundesregierung. Bei dem Besuch der „Fanpage“ können auf den Endgeräten der Nutzenden sogenannte „Cookies“ platziert werden.

Die BfDI untersagte dem Bundespresseamt 2023 den Betrieb seiner „Facebook“-Seite („Fanpage“) wegen Gesetzesverstößen, unter anderem gegen die Datenschutzgrundverordnung (DSGVO). Die BfDI vertrat die Auffassung, wegen der nicht datenschutzkonformen Ausgestaltung des von „Meta“ genutzten „Cookie-Banners“ liege keine wirksame Einwilligung für die Speicherung und das Auslesen bestimmter „Cookies“ vor. Nicht nur „Meta“, sondern auch das Bundespresseamt als Betreiber der „Fanpage“ sei gesetzlich verpflichtet, eine Einwilligung des jeweiligen Benutzers einzuholen. Außerdem sei das Bundespresseamt gemeinsam mit „Meta“ verantwortlich, dafür Sorge zu tragen, dass die Datenverarbeitungen auf einer ausreichenden Rechtsgrundlage wie einer Einwilligung beruhten.

Gegen den an das Bundespresseamt gerichteten Bescheid haben sich sowohl die Bundesregierung als auch „Meta“ mit ihren Klagen gewandt, denen das Gericht nunmehr überwiegend stattgegeben hat. Zur Begründung führt das Gericht im Wesentlichen aus:

Nicht das Bundespresseamt, sondern allein „Meta“ ist zur Einholung einer Einwilligung der Endnutzenden für die Platzierung von „Cookies“ verpflichtet. Es besteht kein ausreichender Ursachen- und Wirkungszusammenhang zwischen dem Betrieb der „Fanpage“ durch das Bundespresseamt und dem mit der Speicherung und dem Auslesen der „Cookies“ verbundenen Fernzugriff auf die Endgeräte der Nutzer. Die „Cookies“ können zwar bei Gelegenheit des Besuches einer „Fanpage“, ebenso jedoch bei dem Besuch einer jeden anderen „Facebook-Seite“ platziert werden.

Auch nach der DSGVO sind „Meta“ und das Bundespresseamt nicht gemeinsam für die beanstandeten Datenverarbeitungen verantwortlich. Der Beitrag des Bundespresseamtes zur Speicherung und zum Auslesen der „Cookies“ erschöpft sich in dem Betrieb der „Fanpage“. Insbesondere kann das Bundespresseamt keine Parameter für die Platzierung der „Cookies“ und die Auswertung der erhobenen Daten vorgeben. Die bloße Ermöglichung einer Datenverarbeitung begründet nach Auffassung der Kammer indessen nicht die notwendige gemeinsame Festlegung der Mittel der Datenverarbeitung.

Das Gericht hat die Berufung zugelassen, über die das Oberverwaltungsgericht für das Land Nordrhein-Westfalen mit Sitz in Münster entscheiden würde, wenn die Beteiligten Berufung einlegen.

Aktenzeichen: 13 K 1419/23

VG Ansbach
Beschluss v. 19.02.2025
AN 14 K 22.02562

Das VG Ansbach hat dem EuGH zur Vorabentscheidung vorgeleget, ob ein Auskunftsanspruch aus Art. 15 DSGVO gegen eine Datenschutzbehörde besteht.

Tenor der Entscheidung:
Dem Gerichtshof der Europäischen Union werden nach Art. 267 AEUV folgende Fragen zur Vorabentscheidung vorgelegt:

1. Ist Art. 15 VO (EU) 2016/679 i.V.m. Art. 4 Nr. 7 VO (EU) 2016/679 dahingehend auszulegen, dass eine Aufsichtsbehörde nach Art. 4 Nr. 21 VO (EU) 2016/679, die im Rahmen eines von einer betroffenen Person eingeleiteten Beschwerdeverfahrens nach Art. 77 VO (EU) 2016/679 tätig wird, gleichzeitig im Sinne von Art. 15 VO (EU) 2016/679 i.V.m. Art. 4 Nr. 7 VO (EU) 2016/679 „Verantwortlicher“ und damit auf Grundlage des Art. 15 VO (EU) 2016/679 gegenüber der betroffenen Person zur Auskunft verpflichtet ist ?

2. Für den Fall, dass Frage 1 mit „ja“ beantwortet wird:
Ist das Unionsrecht, insbesondere Art. 23 VO (EU) 2016/679, dahingehend auszulegen, dass es einer nationalen Regelung – wie dem im Ausgangsverfahren streitigen Art. 20 Abs. 2 BayDSG – entgegensteht, wonach Auskunfts- oder Einsichtsrechte hinsichtlich Akten und Dateien der Aufsichtsbehörden nach Art. 4 Nr. 21 VO (EU) 2016/679 pauschal nicht bestehen ?

Den Volltext der Entscheidung finden Sie hier:

EuGH
Urteil vom 13.02.2025
C-383/23
ILVA A/S

Der EuGH hat entschieden, dass eine Geldbuße nach Art. 83 Abs. 4 bis 6 d DSGVO auf Basis des weltweiten Jahresumsatz des gesamten Konzerns bestimmt werden kann.

Tenor der Entscheidung:
Art. 83 Abs. 4 bis 6 der Verordnung (EU) 2016/679 des Europäischen Parlaments und des Rates vom 27. April 2016 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten, zum freien Datenverkehr und zur Aufhebung der Richtlinie 95/46/EG (Datenschutz-Grundverordnung) in Verbindung mit dem 150. Erwägungsgrund dieser Verordnung ist dahin auszulegen, dass

der Begriff „Unternehmen“ im Sinne dieser Vorschriften dem Begriff „Unternehmen“ im Sinne der Art. 101 und 102 AEUV entspricht, so dass der Höchstbetrag einer Geldbuße, die gegen einen Verantwortlichen für personenbezogene Daten, der ein Unternehmen ist oder einem Unternehmen angehört, wegen eines Verstoßes gegen die Verordnung 2016/679 verhängt wird, auf der Grundlage eines Prozentsatzes des gesamten weltweit erzielten Jahresumsatzes des vorangegangenen Geschäftsjahrs des Unternehmens bestimmt wird. Der Begriff „Unternehmen“ ist auch zu berücksichtigen, um die tatsächliche oder materielle Leistungsfähigkeit des Adressaten der Geldbuße zu beurteilen und so zu überprüfen, ob die Geldbuße sowohl wirksam und verhältnismäßig als auch abschreckend ist.

Den Volltext der Entscheidung finden Sie hier:

VG Düsseldorf
Urteil vom 11.11.2024
29 K 4853/22

Das VG Düsseldorf hat entschieden, dass einen Betroffener keinen Anspruch gegen die datenschutzrechtliche Aufsichtsbehörde auf Abhilfemaßnahmen nach Art 58 Abs. 2 DSGVO hat, wenn der Verantwortliche für den Datenschutzverstoß nicht ermittelt werden kann.

Aus den Entscheidungsgründen:
Rechtsgrundlage der streitgegenständlichen Beschwerdeentscheidung ist Art. 57 Abs. 1 Buchst. f DSGVO i. V. m. Art. 77 Abs. 1 DSGVO, sofern das Landgericht U. und die Staatsanwaltschaft U. Verwaltungsaufgaben wahrnehmen (§ 5 Abs. 4 DSG NRW). Soweit durch das Landgericht U. an die Staatsanwaltschaft U. personenbezogene Daten zum Zwecke der Verhütung, Ermittlung, Aufdeckung oder Verfolgung von Straftaten oder der Strafvollstreckung, einschließlich des Schutzes vor und der Abwehr von Gefahren für die öffentliche Sicherheit verarbeitet werden, ist der Anwendungsbereich der Richtlinie (EU) 2016/680 des Europäischen Parlaments und des Rates zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten durch die zuständigen Behörde zum Zwecke der Verhütung, Ermittlung, Aufdeckung oder Verfolgung von Straftaten oder der Strafvollstreckung sowie zum freien Datenverkehr und zur Aufhebung des Rahmenbeschlusses 2008/977/JI des Rates vom 27. April 2016 (JI-RL) eröffnet. Über die Regelungen in §§ 60 Abs. 2, 61 DSG NRW richtet sich die Beschwerdeentscheidung ebenfalls nach Art. 57 Abs. 1 Buchst. f DSGVO i.V.m. Art. 77 Abs. 1 DSGVO.

Aus diesen Rechtsnormen ergibt sich nicht lediglich ein petitionsähnliches Recht in dem Sinne, dass die gerichtliche Kontrolle darauf beschränkt wäre, ob sich die Aufsichtsbehörde mit der Beschwerde befasst, den Beschwerdegegenstand in angemessenem Umfang untersucht und den Beschwerdeführer über das Ergebnis der Prüfung unterrichtet hat.

So noch: OVG Rheinland-Pfalz, Urteil vom 26. Oktober 2020 – 10 A 10613/20 –, juris Rn. 37 ff.; VGH Baden-Württemberg, Urteil vom 22. Januar 2020 – 1 S 3001/19 –, juris Rn. 51,

Stattdessen unterliegt die Entscheidung der Aufsichtsbehörde einer vollständigen inhaltlichen Überprüfung durch das Gericht. Insbesondere ist jede Aufsichtsbehörde nach Art. 57 Abs. 1 Buchst. f DSGVO verpflichtet, sich in ihrem Hoheitsgebiet mit Beschwerden zu befassen, die jede Person gem. Art. 77 Abs. 1 DSGVO einlegen kann, wenn sie der Ansicht ist, dass eine Verarbeitung sie betreffender personenbezogener Daten gegen diese Verordnung verstößt, und den Gegenstand der Beschwerde in angemessenem Umfang zu untersuchen. Die Aufsichtsbehörde muss eine solche Beschwerde mit aller gebotenen Sorgfalt bearbeiten. Hinsichtlich der Bearbeitung von Beschwerden verleiht Art. 58 Abs. 1 DSGVO jeder Aufsichtsbehörde weitreichende Untersuchungsbefugnisse. Stellt eine solche Behörde am Ende ihrer Untersuchung einen Verstoß gegen die Bestimmungen dieser Verordnung fest, ist sie verpflichtet, in geeigneter Weise zu reagieren, um der festgestellten Unzulänglichkeit abzuhelfen. Zu diesem Zweck werden in Art. 58 Abs. 2 DSGVO die verschiedenen der Aufsichtsbehörde zur Verfügung stehenden Abhilfebefugnisse aufgezählt. Hinsichtlich dieser in Art. 58 Abs. 2 DSGVO genannten Abhilfebefugnisse verfügt die Behörde indes über ein Ermessen in Bezug auf die geeigneten und erforderlichen Mittel, welches das Gericht nur dahingehend überprüft, ob die Aufsichtsbehörde die Grenzen ihres Ermessens eingehalten hat.

Vgl. EuGH, Urteil vom 7. Dezember 2023 – C-26/22 –, juris Rn. 47 ff. sowie bereits: BFH, Urteil vom 12. Dezember 2023 – IX R 33/21 –, juris Rn. 14 ff.; BSG, Urteil vom 20. Januar 2021 – B 1 KR 15/20 R –, juris Rn. 111; Hamburgisches OVG, Urteil vom 7. Oktober 2019 – 5 Bf 291/17 –, juris Rn. 69 ff.

Unter Berücksichtigung der vorstehenden Ausführungen handelt es sich bei dem Recht auf Beschwerde nach Art. 57 Abs. 1 Buchst. f DSGVO i. V. m. Art. 77 Abs. 1 DSGVO um ein subjektiv-öffentliches Recht, aus dem sich ein gerichtlich überprüfbarer, zweistufiger Anspruch ergibt. Zunächst ist zu prüfen, ob die Aufsichtsbehörde in angemessenem Umfang überprüft hat, ob ein Verstoß gegen die Datenschutzgrundverordnung vorliegt. Für den Fall, dass ein Verstoß festgestellt wird, besteht ein Anspruch des Klägers auf ermessensfehlerfreie Entscheidung über ein aufsichtsbehördliches Einschreiten der Beklagten.

Vgl. BFH, Urteil vom 12. Dezember 2023 – IX R 33/21 –, juris Rn. 32; VG Hamburg, Urteil vom 1. Juni 2021 – 17 K 2977/19 –, juris Rn. 53.

Soweit der Kläger mit seinem Hauptantrag einen Anspruch auf Verhängung eines Verbots der Datenverarbeitung in Form der Übermittlung seiner personenbezogenen Daten aus den ihn betreffenden Verfahrensakten an Medienvertreter und in Form der Vervielfältigung der Verfahrensakten gegenüber dem „Rechtsträger des Landgerichts U. sowie der Staatsanwaltschaft beim Landgericht U.“ begehrt, kann dahinstehen, ob die Beklagte einen Verstoß gegen datenschutzrechtliche Vorschriften in angemessenem Umfang überprüft hat. Denn ein Anspruch des Klägers gemäß Art. 58 Abs. 2 Buchst. f DSGVO oder gemäß § 60 Abs. 3 DSG NRW entsprechend Art. 58 Abs. 2 Buchst. f DSGVO auf ein aufsichtsrechtliches Tätigwerden der Beklagten gegenüber dem Rechtsträger des Landgerichts U. und der Staatsanwaltschaft U. – nach Auffassung des Klägers das Ministerium für Justiz des Landes Nordrhein-Westfalen – ist bereits deshalb nicht gegeben, weil dieser nicht Verantwortlicher im Sinne der datenschutzrechtlichen Vorschriften ist. Vielmehr sind das Landgericht U. und die Staatsanwaltschaft U. datenschutzrechtlich jeweils selbst verantwortliche Stellen.

Da der Beklagte als Aufsichtsbehörde allein die Einhaltung und Überwachung der datenschutzrechtlichen Bestimmungen obliegt (vgl. §§ 26, 60 DSG NRW), richtet sich die Verantwortlichkeit für einen Datenschutzverstoß nicht nach zivil- oder strafrechtlichen Vorschriften, sondern allein nach Datenschutzrecht.

Die Rechte und Pflichten aus der DSGVO knüpfen an den Verantwortlichen im datenschutzrechtlichen Sinne an.

Vgl. Schild, in: BeckOK Datenschutzrecht, Wolff/Brink/v.Ungern-Sternberg, 49. Edition, Stand 1. August 2024, Art. 4 Rn. 88.

Der Verantwortliche ist nach Art. 5 Abs. 2 DSGVO für die Einhaltung der in Art. 5 Abs. 1 DSGVO genannten Grundsätze für die Verarbeitung personenbezogener Daten verantwortlich und müssen deren Einhaltung nachweisen können. Nur ihnen gegenüber kann die Beklagte als Aufsichtsbehörde demzufolge Maßnahmen ergreifen. Nur der für die Datenverarbeitung Verantwortliche hat die Möglichkeit, auf die Datenverarbeitung einzuwirken und etwaige Verstöße abzustellen.

„Verantwortlicher“ ist nach der gesetzlichen Definition in Art. 4 Nr. 7 DSGVO die natürliche oder juristische Person, Behörde, Einrichtung oder andere Stelle, die allein oder gemeinsam mit anderen über die Zwecke und Mittel der Verarbeitung von personenbezogenen Daten entscheidet; sind die Zwecke und Mittel dieser Verarbeitung durch das Unionsrecht oder das Recht der Mitgliedstaaten vorgegeben, so kann der Verantwortliche bzw. können die bestimmten Kriterien seiner Benennung nach dem Unionsrecht oder dem Recht der Mitgliedstaaten vorgesehen werden.

Nichts Anderes gilt im Anwendungsbereich der JI-RL und des 3. Teils des DSG NRW, sodass offenbleiben kann, auf welcher Grundlage die (rechtswidrige) Datenverarbeitung durch Weitergabe an Medienvertreter erfolgte. Nach der bezogen auf Behörden gleichlautenden Vorschrift ist „Verantwortlicher“ gemäß Art. 3 Nr. 8 JI-RL, § 36 Nr. 9 DSG NRW die zuständige Behörde, die allein oder gemeinsam mit anderen über die Zwecke und Mittel der Verarbeitung von personenbezogenen Daten entscheidet. „Zuständige Behörde“ wiederum ist nach Art. 3 Nr. 7 JI-RL, § 36 Nr. 8 Buchst. a DSG NRW jede staatliche Stelle, die personenbezogene Daten zum Zwecke der Verhütung, Ermittlung, Aufdeckung oder Verfolgung von Straftaten oder die Strafvollstreckung, einschließlich des Schutzes vor und der Abwehr von Gefahren für die öffentliche Sicherheit oder Ordnung verarbeitet.

In Bezug auf Behörden oder öffentliche Stellen wird sowohl nach der DSGVO als auch nach der JI-RL hinsichtlich des „Verantwortlichen“ auf die Behörde oder staatliche Stelle als solche abgestellt.

Vgl. Schild, in: BeckOK Datenschutzrecht, Wolff/Brink/v.Ungern-Sternberg, 49. Edition, Stand 1. August 2024, Art. 4 Rn. 88.

Das Landgericht U. und die Staatsanwaltschaft U. sind Behörde bzw. staatliche Stelle in diesem Sinne. Als untere Justizbehörden nehmen das Landgericht U. und die Staatsanwaltschaft U. Verwaltungsaufgaben wahr (§ 3 Abs. 2 Gesetz über die Justiz im Land Nordrhein-Westfalen (Justizgesetz Nordrhein-Westfalen – JustG NRW)). Soweit die Gerichte und die Strafverfolgungsbehörden als Organe der Rechtspflege tätig werden, zählen sie zu den öffentlichen Stellen.

Vgl. Eßer, in: Schwartmann/Pabst, Landesdatenschutzgesetz Nordrhein-Westfalen, § 36 Rn. 127.

Die für die Datenverarbeitung beim Landgericht U. und bei der Staatsanwaltschaft U. verantwortliche Stelle ist hiernach das Landgericht U. bzw. die Staatsanwaltschaft U. selbst, entweder, soweit sie Verwaltungsaufgaben wahrnehmen, oder weil sie mit der Bearbeitung der betreffenden Rechtssache befasst sind.

Das schließt die Qualifizierung des „Rechtsträgers des Landgerichts U. bzw. der Staatsanwaltschaft beim Landgericht U.“ – sei es das Ministerium der Justiz des Landes Nordrhein-Westfalen, sei es eine andere übergeordnete staatliche Stelle – als „Verantwortlicher“ für die Datenverarbeitung beim Landgericht U. und bei der Staatsanwaltschaft U. und infolgedessen diesem gegenüber die Verhängung eines Verbots der Datenverarbeitung aus. Weder die DSGVO noch die JI-RL stellen bei der Bestimmung des Verantwortlichen auf eine übergeordnete Behörde ab. Vielmehr entscheiden sowohl das Landgericht U. als auch die Staatsanwaltschaft U. als Behörde bzw. staatliche Stelle eigenständig über die Zwecke und Mittel der Verarbeitung von personenbezogenen Daten in ihrem Geschäftsbereich. Sind sie allein für die Datenverarbeitung in ihrem Bereich verantwortlich, scheidet auch eine vom Kläger aufgeworfene gemeinsame datenschutzrechtliche Verantwortlichkeit mit dem Ministerium der Justiz aus.

Der Hilfsantrag ist ebenfalls unbegründet. Da ein Adressat aufsichtsrechtlicher Maßnahmen nicht genannt wird, legt das Gericht den Hilfsantrag des Klägers dahingehend aus, dass er die Verpflichtung der Beklagten begehrt, gegenüber dem Verantwortlichen geeignete Maßnahmen zu ergreifen, um die Weitergabe personenbezogener Daten des Klägers im Geschäftsbereich des Rechtsträgers des LG U. und/oder der Staatsanwaltschaft beim LG U. geführten Verfahrensakten an Dritte zu unterbinden.

Auch mit dem so verstandenen Antrag dringt der Kläger nicht durch.

Die Weitergabe personenbezogener Daten des Klägers aus diesen betreffenden Verfahrensakten vor Verlesung in der Hauptverhandlung an Medienvertreter dürfte zwar objektiv eine rechtswidrige Datenverarbeitung im Sinne von Art. 4 Nr. 2 DSGVO in Form der Offenlegung durch Übermittlung oder Verbreitung darstellen. Weder hat der Kläger in die Übermittlung oder Verbreitung seiner Daten eingewilligt (Art. 6 Abs. 1 Satz 1 Buchst. a DSGVO), noch ist die Übermittlung oder Verbreitung der Anklageschrift und Teilen der Verfahrensakte an die Presse zur Wahrnehmung der Aufgaben der Justiz erforderlich (Art. 6 Abs. 1 Satz 1 Buchst. c und e DSGVO). Dasselbe gilt, soweit in Umsetzung der JI-RL der Anwendungsbereich des DSG NRW eröffnet sein sollte, und es sich um die Verarbeitung personenbezogener Daten durch das Landgericht U. und die Staatsanwaltschaft U. im Rahmen ihrer Aufgabenwahrnehmung zur Verhütung, Ermittlung, Aufdeckung, Verfolgung und Ahndung von Straftaten oder Ordnungswidrigkeiten und der Strafvollstreckung handelt (§ 35 Abs. 1 Satz 1 Nr. 3 DSG NRW). Gemäß § 37 Nr. 2 DSG NRW müssen personenbezogene Daten für festgelegte, eindeutige und rechtmäßige Zwecke erhoben und nicht in einer mit diesen Zwecken nicht zu vereinbarenden Weise verarbeitet werden. Eine schriftliche Einwilligung (§ 38 DSG NRW) des Klägers in die Verbreitung seiner personenbezogenen Daten an die Presse liegt nicht vor.

Gleichwohl hat der Kläger auf den Erlass aufsichtsrechtlicher Maßnahmen keinen Anspruch, weil der Verantwortliche für die Verletzung des Schutzes seiner personenbezogenen Daten nicht bekannt ist. Es steht nicht fest, ob die rechtswidrige Verbreitung der Anklageschrift und von Teilen der Verfahrensakte im Geschäftsbereich des Landgerichts U. oder im Geschäftsbereich der Staatsanwaltschaft U. oder durch eine andere verantwortliche Stelle oder Person erfolgt ist. Der Präsident des Landgerichts U. gab auf das an ihn gerichtete Auskunftsersuchen der Beklagten nach Art. 58 Abs. 1 Buchst. e DSGVO hin an, dass die Prozessakte oder Teile hiervon Vertretern der Presse weder im Rahmen der Öffentlichkeitsarbeit noch durch die zuständige Kammer zugänglich gemacht worden seien. Die Leitende Oberstaatsanwältin im U. verwies in ihrer Auskunft auf den Bescheid der Generalstaatsanwältin in D. vom 14. Juli 2021, wonach es keine zureichenden tatsächlichen Anhaltspunkte für eine strafbare Informationsweitergabe durch die Staatsanwaltschaft U. gebe.

Eine Wahlfeststellung, wie sie der Kläger ins Spiel bringt, kommt von vorneherein nicht in Betracht. Das Rechtsinstitut der Wahlfeststellung setzt in verfahrensrechtlicher Hinsicht u.a. die Gewissheit der Verwirklichung eines von mehreren Strafgesetzen durch den Beschuldigten voraus.

Vgl. Jens Bülte/​Gerhard Dannecker/​Eric Hilgendorf/​Florian Jeßberger/​Bernd Schünemann/​Jan C. Schuhr/​Tonio Walter/​Thomas Weigend/​Gerhard Werle, in: Leipziger Kommentar zum StGB, 13. Auflage, Anhang zu § 1 Wahlfeststellung, IV Nr. 1.

An der Gewissheit, wer den Datenschutzverstoß begangen hat, fehlt es aber gerade.

Das schließt die Ergreifung von Abhilfemaßnahmen nach Art. 58 Abs. 2 DSGVO durch die Beklagte aus. Lässt sich ein Verantwortlicher für den Datenschutzverstoß nicht feststellen, kann die Beklagte als Aufsichtsbehörde weder auf Abhilfe hinwirken noch kann sie gemäß den in der Datenschutzgrundverordnung vorgesehenen Möglichkeiten eine Maßnahme oder Sanktion erlassen.

Die Beklagte konnte den Verantwortlichen auch nicht ermitteln. Das Absehen von weiteren Aufklärungsmaßnahmen ist nicht zu beanstanden.

Um bewerten zu können, ob eine Datenverarbeitung rechtswidrig ist und ob aufsichtsrechtliche Maßnahmen zu ergreifen sind, muss die Aufsichtsbehörde den Sachverhalt ermitteln und alle zur Ermittlung und Überprüfung des Verstoßes erforderlichen Umstände aufklären. Dazu gehört auch die Klärung, wer den möglichen Datenschutzverstoß begangen hat. Denn wenn der Verantwortliche für die Rechtsverletzung nicht feststeht, kommen Abhilfebefugnisse der Aufsichtsbehörde nach Art. 58 Abs. 2 DSGVO mit dem Ziel, den Verstoß abzustellen, von vornherein nicht in Betracht.

Welcher Untersuchungsumfang im Rahmen des Amtsermittlungsgrundsatzes bei der Bearbeitung einer Beschwerde als "in angemessenen Umfang" anzusehen ist, regelt Art. 57 DSGVO nicht. Aus Erwägungsgrund 141 Satz 2 der DSGVO folgt, dass die Untersuchung vorbehaltlich gerichtlicher Überprüfung so weit gehen soll, wie dies im Einzelfall angemessen ist. Maßstab für den Umfang der Ermittlungen sind danach insbesondere die individuelle Bedeutung der Sache und die Schwere des in Rede stehenden Verstoßes. Insoweit steht der Aufsichtsbehörde ein Ermessen zu.

Bundesfinanzhof (BFH), Urteil vom 12. Dezember 2023 – IX R 33/21 –, juris Rn. 30; BeckOK Datenschutzrecht, Wolff/Brink/v. Ungern-Sternberg, 49. Edition, Stand 01.05.2024, DSGVO Art. 57 Rz 17; Boehm in Kühling/Buchner, DSGVO BDSG, 4. Aufl. 2024, Art. 57 DSGVO Rz 11 f; Körffer in Paal/Pauly, DS-GVO BDSG, 3. Aufl. 2021, Art. 77 DSGVO Rz 5.

Die gerichtliche Prüfung richtet sich demnach nach § 114 Abs. 1 VwGO.

Bei Ermessensentscheidungen hat das Gericht nur zu prüfen, ob die Verwaltung den ihr eingeräumten Ermessensspielraum ausgeschöpft hat, ob sie die nach dem Zweck der Ermessensermächtigung für die Entscheidung relevanten Gesichtspunkte bei ihrer Entscheidung berücksichtigt hat und ob sie die gesetzlichen Grenzen der Ermessensbetätigung überschritten hat. Das Gericht darf die getroffene Entscheidung nur anhand derjenigen Erwägungen überprüfen, die die Behörde tatsächlich angestellt hat, wozu auch in Einklang mit § 114 Satz 2 VwGO nachgeschobene Erwägungen zählen.

Vgl. BVerwG, Urteil vom 11. Mai 2016 - 10 C 8/15 -, juris Rn. 13 m.w.N.

Nach diesem Maßstab sind Ermessensfehler bei der Entscheidung der Beklagten, von weiteren Aufklärungsmaßnahmen abzusehen, nicht erkennbar.

Den Volltext der Entscheidung finden Sie hier:

EuGH
Urteil vom 26.08.2024
C-768/21
Land Hessen (Handlungspflicht der Datenschutzbehörde)

Der EuGH hat entschieden, dass der Betroffene einer Datenschutzverletzung keinen Anspruch gegen die datenschutzrechtliche Aufsichtsbehörde auf Verhängung einer Geldbuße oder sonstiger Abhilfemaßnahmen hat.

Tenor der Entscheidung:
Art. 57 Abs. 1 Buchst. a und f, Art. 58 Abs. 2 sowie Art. 77 Abs. 1 der Verordnung (EU) 2016/679 des Europäischen Parlaments und des Rates vom 27. April 2016 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten, zum freien Datenverkehr und zur Aufhebung der Richtlinie 95/46/EG (Datenschutz-Grundverordnung)

sind dahin auszulegen, dass

die Aufsichtsbehörde im Fall der Feststellung einer Verletzung des Schutzes personenbezogener Daten nicht verpflichtet ist, nach diesem Art. 58 Abs. 2 eine Abhilfemaßnahme zu ergreifen, insbesondere eine Geldbuße zu verhängen, wenn ein solches Einschreiten nicht geeignet, erforderlich oder verhältnismäßig ist, um der festgestellten Unzulänglichkeit abzuhelfen und die umfassende Einhaltung dieser Verordnung zu gewährleisten.

Die Pressemitteilung des EuGH:
Schutz personenbezogener Daten: Die Aufsichtsbehörde ist nicht verpflichtet, in jedem Fall eines Verstoßes eine Abhilfemaßnahme zu ergreifen und insbesondere eine Geldbuße zu verhängen

Sie kann davon absehen, wenn der Verantwortliche bereits von sich aus die erforderlichen Maßnahmen ergriffen hat

In Deutschland stellte eine Sparkasse fest, dass eine Mitarbeiterin mehrmals unbefugt auf personenbezogene Daten eines Kunden zugegriffen hatte. Die Sparkasse setzte den Kunden hiervon nicht in Kenntnis, da ihr Datenschutzbeauftragter der Ansicht war, dass für diesen Kunden kein hohes Risiko bestehe. Denn die Mitarbeiterin hatte schriftlich bestätigt, dass sie die Daten weder kopiert oder gespeichert noch an Dritte übermittelt habe und dass sie dies auch zukünftig nicht tun werde. Außerdem hatte die Sparkasse gegen die Mitarbeiterin Disziplinarmaßnahmen ergriffen. Gleichwohl meldete die Sparkasse diesen Verstoß dem Landesdatenschutzbeauftragten.

Nachdem der Kunde nebenbei von diesem Vorfall Kenntnis erlangt hatte, reichte er bei dem Landesdatenschutzbeauftragten eine Beschwerde ein. Nach Anhörung der Sparkasse teilte der Landesdatenschutzbeauftragte dem Kunden mit, dass er es nicht für erforderlich halte, gegen die Sparkasse Abhilfemaßnahmen zu ergreifen.

Der Kunde erhob daraufhin Klage bei einem deutschen Gericht und beantragte, den Landesdatenschutzbeauftragten zum Einschreiten gegen die Sparkasse zu verpflichten und insbesondere dazu, gegen die Sparkasse eine Geldbuße zu verhängen.

Das deutsche Gericht hat den Gerichtshof ersucht, die Datenschutz-Grundverordnung (DSGVO) im Hinblick auf diese Fragestellung auszulegen.

In seinem Urteil antwortet der Gerichtshof, dass die Aufsichtsbehörde im Fall der Feststellung einer Verletzung des Schutzes personenbezogener Daten nicht verpflichtet ist, eine Abhilfemaßnahme zu ergreifen , insbesondere eine Geldbuße zu verhängen, wenn dies nicht erforderlich ist, um der festgestellten Unzulänglichkeit abzuhelfen und die umfassende Einhaltung der DSGVO zu gewährleisten. Ein solcher Fall könnte u. a. dann vorliegen, wenn der für die Verarbeitung Verantwortliche, sobald er von der Verletzung Kenntnis erlangt hat, die erforderlichen Maßnahmen ergriffen hat, damit die Verletzung abgestellt wird und sich nicht wiederholt.

Die DSGVO räumt der Aufsichtsbehörde ein Ermessen hinsichtlich der Art und Weise ein, wie sie der festgestellten Unzulänglichkeit abhilft.

Dieses Ermessen wird durch das Erfordernis begrenzt, durch den klar durchsetzbaren Rechtsrahmen der DSGVO ein gleichmäßiges und hohes Schutzniveau für personenbezogene Daten zu gewährleisten.

Es ist Sache des deutschen Gerichts, zu prüfen, ob der Landesdatenschutzbeauftragte diese Grenzen eingehalten hat

Den Volltext der Entscheidung finden Sie hier:

OVG Schleswig-Holstein
Urteil vom 07.08.2024
8 A 159/20

Das OVG Schleswig-Holstein hat entschieden, dass bei YouTube veröffentlichte Dashcam-Aufnahmen vom Uploader verpixelt werden müssen, so dass Personen und KfZ-Kennzeichen nicht zu erkennen sind.

Aus den Entscheidungsgründen:
Rechtsgrundlage für die Anordnung der Beklagten ist Art. 58 Abs. 2 Buchst. d DS-GVO in Verbindung mit Art. 12, 13 Abs. 1 Buchst. d DS-GVO. Gemäß Art. 58 Abs. 2 Buchst. d DS-GVO verfügt jede Aufsichtsbehörde – und damit auch die Beklagte – über sämtliche Abhilfebefugnisse, die es ihr gestatten, den Verantwortlichen oder den Auftragsverarbeiter anzuweisen, Verarbeitungsvorgänge gegebenenfalls auf bestimmte Weise und innerhalb eines bestimmten Zeitraums in Einklang mit dieser Verordnung zu bringen.

Nach Art. 12 Abs. 1 Satz 1 und 2 DS-GVO trifft der Verantwortliche geeignete Maßnahmen, um der betroffenen Person alle Informationen gemäß den Artikeln 13 und 14 und alle Mitteilungen gemäß den Artikeln 15 bis 22 und Artikel 34, die sich auf die Verarbeitung beziehen, in präziser, transparenter, verständlicher und leicht zugänglicher Form in einer klaren und einfachen Sprache zu übermitteln. Die Übermittlung der Informationen erfolgt schriftlich oder in anderer Form, gegebenenfalls auch elektronisch.

Entgegen der Ansicht des Klägers folgen die ihn treffenden Informationspflichten bei der Erstellung von Videoaufnahmen aus Art. 13 DS-GVO und nicht aus Art. 14 DS-GVO. Insoweit besteht zwischen Art. 13 und 14 DS-GVO im Hinblick auf den Zeitpunkt der Informationspflichten ein wesentlicher Unterschied. Bei Art. 13 DS-GVO sind die nach der Vorschrift erforderlichen Informationen der betroffenen Person zum Zeitpunkt der Erhebung dieser Daten zu erteilen, während bei Art. 14 DS-GVO die Informationen erst innerhalb einer angemessenen Frist nach Erlangung der personenbezogenen Daten, längstens jedoch innerhalb eines Monats erteilt werden müssen (Art. 14 Abs. 3 DS-GVO).

Art. 13 DS-GVO betrifft die Datenerhebung bei der betroffenen Person, während Art. 14 DS-GVO greift, wenn die Daten nicht bei der betroffenen Person erhoben wurden. Unter welchen Voraussetzungen von einer Datenerhebung bei der betroffenen Person auszugehen ist, ist Art. 13 und 14 DS-GVO nicht zu entnehmen.

Die Abgrenzung der Datenerhebung nach Art. 13 DS-GVO von derjenigen nach Art. 14 DS-GVO hat nach Auffassung des erkennenden Einzelrichters nach objektiven Kriterien zu erfolgen, insbesondere anhand des Ortes der Datenerhebung (vgl. Schmidt-Wudy in: BeckOK Datenschutzrecht, 48. Ed., Stand: 1. Mai 2024, Art. 14 Rn. 30) oder der Mitwirkung der betroffenen Person. Einer Abgrenzung nach subjektiven Kriterien, insbesondere der Kenntnis der betroffenen Person von der Datenerhebung (vgl. dazu Franck in: Gola/Heckmann, DS-GVO - BDSG, 3. Aufl. 2022, Art. 13 Rn. 4) stehen einerseits Abgrenzungsschwierigkeiten entgegen und der Umstand, dass der Verantwortliche anderenfalls durch offene oder verdeckte Datenerhebung wählen könnte, ob Art. 13 oder 14 DS-GVO eingreift. Letzteres wiederum hätte zur Folge, dass sich der Verantwortliche den Informationspflichten letztendlich vollständig durch verdeckte Datenerhebungen entziehen könnte, weil die betroffenen Personen dem Verarbeitenden oftmals unbekannt sind mit der Folge, dass Informationen im Nachhinein aus tatsächlichen Gründen nicht mehr erteilt werden können und der Ausschlusstatbestand des Art. 14 Abs. 5 Buchst. b DS-GVO griffe (Bäcker in: Kühling/Buchner, DS-GVO BDSG, 4. Aufl. 2024, Art. 13 Rn. 13 f.). Dies ist mit dem in Erwägungsgrund 6 DS-GVO normierten Ziel der Gewährleistung eines hohen Datenschutzniveaus trotz Zunahme des Datenaustausches nicht zu vereinbaren.

Vor diesem Hintergrund sind Videoaufzeichnungen unabhängig von der Frage, ob es sich um offene (mit Hinweisschild oder ähnlichem Hinweis) oder verdeckte Aufzeichnungen handelt, als Datenerhebung bei der betroffenen Person nach Art. 13 DS-GVO anzusehen (vgl. Bäcker in: Kühling/Buchner, DS-GVO BDSG, 4. Aufl. 2024, Art. 13 Rn. 15; a. A. Paal/Hennemann in: Paal/Pauly, DS-GVO BDSG, 3. Aufl. 2021, Art. 13 Rn. 11b; Schmidt-Wudy in: BeckOK Datenschutzrecht, 48. Ed., Stand: 1. Mai 2024, Art. 14 DS-GVO Rn. 31.2).

Die Differenzierung nach offenen und verdeckten Videoaufzeichnungen hätte auch hier zur Folge, dass der Verantwortliche im Ergebnis selbst wählen könnte, ob Art. 13 oder 14 DS-GVO einschlägig ist, indem er die Videoaufzeichnung entweder offen oder verdeckt ausführt. Dies hätte wiederum zur Folge, dass bei verdeckten Videoaufzeichnungen letztendlich oft keine Informationspflichten eingehalten werden müssten, weil die aufgezeichneten Personen dem Verantwortlichen unbekannt sind und deshalb der Ausschlusstatbestand des Art. 14 Abs. 5 Buchst. b DS-GVO greift (vgl. Bäcker in: Kühling/Buchner, DS-GVO BDSG, 4. Aufl. 2024, Art. 13 Rn. 13 f.).

Bezogen auf das streitgegenständliche Filmen mittels einer auf das Autodach montierten Kamera hätte die Abgrenzung nach dem subjektiven Merkmal der Kenntnis zudem Abgrenzungsprobleme in der Form zur Folge, dass der Kläger jeweils prüfen müsste, ob die Person die Kamera gesehen und damit Kenntnis von den Videoaufzeichnungen hat. In diesem Fall griffe dann Art. 13 DS-GVO. Im anderen Fall, in dem die betroffene Person die Kamera nicht gesehen hat, griffe Art. 14 DS-GVO ein und der Kläger müsste die darin normierten nachträglichen Informationspflichten erfüllen. Dazu müsste der Kläger bei jeder gefilmten Person prüfen, ob diese die Kamera gesehen beziehungsweise auf irgend eine Art davon Kenntnis erlangt hat. Bei allen anderen Personen müsste er prüfen, ob er die Informationen nachträglich erteilen kann oder der Ausschlusstatbestand des Art. 14 Abs. 5 Buchst. b DS-GVO greift. Diese Vorgehensweise erscheint nicht praxistauglich.

Der Kläger ist ausgehend von diesen Maßstäben nach Art. 13 Abs. 1 Buchst. d DS-GVO verpflichtet, der betroffenen Person zum Zeitpunkt der Datenerhebung die berechtigten Interessen mitzuteilen, die von dem Verantwortlichen oder einem Dritten verfolgt werden, wenn die Verarbeitung auf Art. 6 Abs. 1 Buchst. f DS-GVO beruht.

Der Kläger hat sich vorliegend insbesondere auf seine Kunstfreiheit und seine Berufsfreiheit und damit auf berechtigte Interessen im Sinne des Art. 6 Abs. 1 Buchst. f DS-GVO berufen.

Nach Art. 12 Abs. 1 Satz 2 DS-GVO erfolgt die Übermittlung der Informationen schriftlich oder in anderer Form, gegebenenfalls auch elektronisch. Jedenfalls über seine berechtigten Interessen im Sinne des Art. 6 Abs. 1 Buchst. f DS-GVO kann der Kläger auch in der von ihm gewählten Form informieren, dass sich auf dem Kraftfahrzeug ein Hinweis auf seine Website befindet, auf der dann wiederum die erforderlichen Informationen nachzulesen sind. Insoweit ist ein Medienbruch zulässig (vgl. Bäcker in: Kühling/Buchner, DS-GVO BDSG, 4. Aufl. 2024, Art. 12 Rn. 16). Gewisse Verarbeitungssituationen lassen es schlichtweg nicht zu, sämtliche Transparenzinformationen unmittelbar zur Verfügung zu stellen (vgl. Franck in: Gola/Heckmann, DS-GVO – BDSH, 3. Aufl. 2022, Art. 13 DS-GVO Rn. 43).

So ist auch hier zu berücksichtigen, dass beim Vorbeifahren eines Kraftfahrzeuges nur in begrenztem Umfang auf dem Kraftfahrzeug angebrachte Informationen von den betroffenen Personen wahrgenommen werden können und diese deshalb auf die essentiellen Informationen beschränkt werden müssen. Dazu zählen die berechtigten Interessen im Sinne des Art. 6 Abs. 1 Buchst. f DS-GVO nicht. Hier ist es ausreichend, wenn die betroffenen Personen die Informationen auf Sekundärebene über eine Website abrufen können.

Vor diesem Hintergrund ist auch Ziffer 4 des Bescheides der Beklagten vom 19. Oktober 2020 rechtswidrig und verletzt den Kläger in seinen Rechten, soweit sich die Nachweispflicht mittels eines Fotos auf die Pflicht bezieht, bei der Anfertigung von personenbezogenen Filmaufnahmen sichtbar darauf hinzuweisen, welche berechtigten Interessen im Sinne des Art. 6 Abs. 1 Buchst. f DS-GVO durch die Anfertigung der Filmaufnahmen verfolgt werden.

Im Übrigen sind Ziffer 3 und 4 des Bescheides der Beklagten vom 19. Oktober 2020 rechtmäßig und verletzen den Kläger nicht in seinen Rechten.

Die für die betroffenen Personen essentiellen Informationen nach Art. 13 Abs. 1 DS-GVO müssen ohne Medienbruch bei der Verarbeitung mitgeteilt werden (vgl. Franck in: Gola/Heckmann, DS-GVO – BDSH, 3. Aufl. 2022, Art. 13 DS-GVO Rn. 43). Dazu zählen jedenfalls die von der Beklagten angenommenen Hinweise darauf, dass Filmaufnahmen für den Zweck der Veröffentlichung im Internet erstellt werden (Art. 12 Abs. 1 Buchst. c DS-GVO), wer Verantwortlicher der Verarbeitung ist sowie dessen Kontaktdaten (Art. 12 Abs. 1 Buchst. a DS-GVO).

Diese überschaubare Anzahl an Daten kann bei gefilmten Personen bei einem Hinweis auf dem Kraftfahrzeug des Klägers noch wahrgenommen werden. Gleichzeitig ist die Information über diese Daten für die Wahrung der Rechte der betroffenen Personen notwendig, damit auch Personen mit wenig Medienkompetenz hinreichend informiert sind und ihre Rechte möglichst umfassend ausüben können.

Ziffer 4 des streitgegenständlichen Bescheides ist hinsichtlich der nicht zu beanstandenden Informationspflichten nach Ziffer 3 des Bescheides ebenfalls nicht zu beanstanden. Rechtsgrundlage ist Art. 58 Abs. 1 Buchst. a DS-GVO. Danach verfügt Jede Aufsichtsbehörde über sämtliche Untersuchungsbefugnisse, die es ihr gestatten, unter anderem den Verantwortliche anzuweisen, alle Informationen bereitzustellen, die für die Erfüllung ihrer Aufgaben erforderlich sind.

Das von der Beklagten geforderte Foto ist notwendig, um überprüfen zu können, ob der Kläger die von der Beklagten geforderten Informationspflichten nach Art. 13 DS-GVO beachtet. Dazu ist die Beklagte nach Art. 57 Abs. 1 Buchst. a DS-GVO verpflichtet. Ermessensfehler sind insoweit weder vorgetragen noch ersichtlich. An der Verhältnismäßigkeit bestehen keine Zweifel.

Im Übrigen ist der Bescheid der Beklagten vom 19. Oktober 2020 rechtmäßig und verletzt den Kläger nicht in seinen Rechten.

Zunächst leidet der Bescheid nicht an fehlender Bestimmtheit. Gemäß § 37 Abs. 1 VwVfG muss ein Verwaltungsakt inhaltlich hinreichend bestimmt sein. Das bedeutet zum einen, dass der Adressat in die Lage versetzt werden muss, zu erkennen, was von ihm gefordert wird. Zum anderen muss der Verwaltungsakt geeignete Grundlage für Maßnahmen zu seiner zwangsweisen Durchsetzung sein können. Im Einzelnen richten sich die Anforderungen an die notwendige Bestimmtheit eines Verwaltungsakts nach den Besonderheiten des jeweils anzuwendenden und mit dem Verwaltungsakt umzusetzenden materiellen Rechts (BVerwG, Urt. v. 15. Februar 1990 – 4 C 41.87 – juris Rn. 29).

Der Regelungsgehalt eines Verwaltungsakts ist entsprechend §§ 133, 157 BGB durch Auslegung zu ermitteln. Dabei ist der erklärte Wille maßgebend, wie ihn der Empfänger bei objektiver Würdigung verstehen konnte. Bei der Ermittlung dieses objektiven Erklärungswertes sind alle dem Empfänger bekannten oder erkennbaren Umstände heranzuziehen, insbesondere auch die Begründung des Verwaltungsakts. Die Begründung hat einen unmittelbaren Zusammenhang mit dem Regelungsgehalt. Sie ist die Erläuterung der Behörde, warum sie den verfügenden Teil ihres Verwaltungsakts so und nicht anders erlassen hat. Die Begründung bestimmt damit den Inhalt der getroffenen Regelung mit, sodass sie in aller Regel unverzichtbares Auslegungskriterium ist (BVerwG, Urt. v. 16. Oktober 2013 – 8 C 21.12 – juris Rn. 14).

Gemessen an diesen Maßstäben ist der Bescheid hinreichend bestimmt. Für den Kläger ist unter Berücksichtigung von Tenor und Begründung des Bescheides hinreichend klar, unter welchen Voraussetzungen die Aufnahmen so verändert werden müssen, dass Personen, nicht mehr anhand ihrer äußerlichen Erscheinung identifiziert werden können (Ziffer 1 und 2 des Bescheides) und was für ein Foto er einreichen soll (Ziffer 4 des Bescheides).

Dies ist bei Auslegung des Bescheides aus dem objektiven Empfängerhorizont immer dann der Fall, wenn aufgrund besonderer Umstände des Straßenverkehrs nicht mehr die Straße und die sie umgebende Landschaft die Aufnahme prägt. In den vom Kläger bislang veröffentlichten Aufnahmen prägt – im fließenden Verkehr – ganz überwiegend die Straße und die sie umgebende Straßenlandschaft das Bild. Gelegentlich passiert der Kläger dabei Personen, die jedoch im Hintergrund bleiben und kaum zu erkennen sind.

Anders verhält es sich unterdessen, wenn Personen aufgrund der äußeren Umstände der Verkehrssituation dicht an die auf dem Fahrzeugdach montierte Kamera herantreten, insbesondere an Ampeln, bei Verkehrsüberwegen und an Kreuzungen. In diesem Fall gerät die Person – angesichts der geringen Geschwindigkeit eines Fußgängers, Fahrradfahrers etc. über einen längeren Zeitraum – in den Fokus der Aufnahme mit der Folge, dass die Straße und die Straßenlandschaft verdeckt wird und in den Hintergrund gerät.

Zugegebenermaßen verbleiben dabei Abgrenzungsschwierigkeiten, weil nicht anhand fester Kriterien vom Kläger oder einem eingesetzten Algorithmus festgestellt werden kann, wie lange etwa eine Person aufgezeichnet werden muss, welchen Anteil sie vom Bildausschnitt ausfüllen muss beziehungsweise ab welcher Entfernung zur Kamera eine Anonymisierung zu erfolgen hat. Derartige feste Kriterien sind jedoch für die Abgrenzung nicht geeignet, weil anhand festgelegter Werte die Umstände der jeweils gegebenen konkreten Situation der Aufnahme nicht hinreichend gewürdigt werden können. Verbleibende Abgrenzungsschwierigkeiten sind in Kauf zu nehmen.

Dies vorangestellt hat die Beklagte zu Recht die Abgrenzungskriterien der sogenannten Beiwerk-Rechtsprechung zu § 23 Abs. 1 Nr. 2 KUG entsprechend herangezogen.

Nach dieser Vorschrift dürfen ohne die nach § 22 KUG erforderliche Einwilligung verbreitet und zur Schau gestellt werden Bilder, auf denen die Personen nur als Beiwerk neben einer Landschaft oder sonstigen Örtlichkeit erscheinen. Auch hier ist die Abgrenzung zwischen Haupt- und Beiwerk schwierig.

Die Vorschrift stellt in erster Linie auf das Verhältnis des Abgebildeten zu der übrigen Aussage des Bildes, auf seinen Stellenwert im Gesamteindruck des Bildes, nicht auf den Grad seiner Erkennbarkeit ab. Von einem Beiwerk in diesem Sinn kann grundsätzlich dann keine Rede sein, wenn die Person das Bild fast ganz ausfüllt (BGH, Urt. v. 26. Juni 1979 – VI ZR 108/78 – juris Rn. 18). Maßgeblich ist, ob entsprechend dem Gesamteindruck der Veröffentlichung die Landschaft oder die sonstige Örtlichkeit Abbildungsgegenstand ist und die einzelnen Abgebildeten nur "bei Gelegenheit" erscheinen oder ob einzelne aus der Anonymität herausgelöst werden (LG Oldenburg, Beschl. v. 23. uar 1986 – 5 O 3667/85 – GRUR 1986, 464, 465). Voraussetzung hierfür ist, dass nach dem Gesamteindruck der Veröffentlichung die Landschaft der den Gesamtcharakter des Bildes prägende Abbildungsgegenstand ist und die auf dem Bild erkennbaren Personen derart untergeordnetes Beiwerk darstellen, dass sie auch entfallen könnten, ohne dass Inhalt und Charakter des Bildes sich veränderten (OLG Oldenburg (Oldenburg), Urt. v. 14. November 1988 – 13 U 72/88 – juris Rn. 28). Die Personenabbildung muss derart untergeordnet sein, dass sie auch entfallen könnte, ohne dass Gegenstand und Charakter des Bildes sich verändern. Wesentlich ist damit, dass die Personendarstellung untergeordnet und nicht selbst Thema des Bildes ist (OLG Karlsruhe, Urt. v. 18. August 1989 – 14 U 105/88 – juris Rn. 27). Der Stellenwert der Personen entsprechend dem Gesamteindruck des Bildes muss gegenüber dem Stellenwert der Landschaft erheblich niedriger sein (OLG München, Urt. v. 13. November 1987 – 21 U 2979/87 – juris Rn. 31).

Ausgehend von dieser Rechtsprechung hat die Beklagte zu Recht für maßgeblich im Hinblick auf die Pflicht zur Anonymisierung darauf abgestellt, ob sich eine Person nach dem Gesamteindruck im Vordergrund des Bildausschnitts befindet.

In Bezug auf die in Ziffer 4 des Bescheides angeordnete Verpflichtung, durch Übersendung eines Fotos die Erfüllung der Informationspflichten nach Ziffer 3 des Bescheides nachzuweisen, bestehen im Hinblick auf den Bestimmtheitsgrundsatz keine Bedenken. Es ist ohne weiteres verständlich, dass ein Foto des klägerischen Kraftfahrzeuges mit den nach Ziffer 3 des Bescheides geforderten Informationen einzureichen ist.

Rechtsgrundlage für Ziffer 1 und 2 des streitgegenständlichen Bescheides ist Art. 58 Abs. 2 Buchst. f DS-GVO. Danach verfügt jede Aufsichtsbehörde über Abhilfebefugnisse, die es ihr gestatten, eine vorübergehende oder endgültige Beschränkung der Verarbeitung, einschließlich eines Verbots, zu verhängen.

Tatbestandsvoraussetzung für die Abhilfemaßnahmen des Art. 58 Abs. 2 DS-GVO ist das Vorliegen eines Verstoßes gegen die DS-GVO. Ein solcher Verstoß liegt insbesondere dann vor, wenn Daten ohne entsprechende Rechtsgrundlage verarbeitet werden. Dies war vorliegend der Fall.

Das Veröffentlichen von Aufnahmen, bei denen Personen, soweit sie sich nach dem Gesamteindruck im Vordergrund des Bildausschnitts befinden und Kraftfahrzeug-Kennzeichen gelesen werden können, stellt eine rechtswidrige Datenverarbeitung dar.

Bei der Veröffentlichung von Filmen, auf denen betroffene Personen zu erkennen sind, handelt es sich um personenbezogene Daten. Dazu zählen nach Art. 4 Nr. 1 Hs. 1 DS-GVO alle Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person beziehen. Als identifizierbar wird nach Art. 4 Nr. 1 Hs. 2 DS-GVO eine natürliche Person angesehen, die direkt oder indirekt, insbesondere mittels Zuordnung zu einer Kennung wie einem Namen, zu einer Kennnummer, zu Standortdaten, zu einer Online-Kennung oder zu einem oder mehreren besonderen Merkmalen, die Ausdruck der physischen, physiologischen, genetischen, psychischen, wirtschaftlichen, kulturellen oder sozialen Identität dieser natürlichen Person sind, identifiziert werden kann.

Das von einer Kamera aufgezeichnete Bild einer Person fällt daher unter den Begriff der personenbezogenen Daten, sofern es die Identifikation der betroffenen Person ermöglicht (vgl. EuGH, Urt. v. 11. Dezember 2014 – C-212/13 – juris Rn. 22). Dies ist jedenfalls für Personen anzunehmen, die sich nach dem Gesamteindruck im Vordergrund des Bildausschnitts befinden. Anhand ihrer äußeren Erscheinung können sie zumindest über Fotos sowie durch Personen, denen die äußere Erscheinung bekannt ist, identifiziert werden.

Auch Kraftfahrzeug-Kennzeichen stellen personenbezogene Daten dar, weil sie einem Halter und gegebenenfalls auch einem Fahrer zurechenbar sind (vgl. Schild in: BeckOK Datenschutzrecht, 48. Ed., Stand: 1. Mai 2024, Art. 4 DS-GVO Rn. 21). Daran ändert auch der Umstand nichts, dass Halterabfragen beim Kraftfahrt Bundesamt nur unter bestimmten Voraussetzungen zulässig sind.

Dies gilt uneingeschränkt für alle Kennzeichen, unabhängig davon, ob das Fahrzeug auf eine natürliche oder juristische Person zugelassen ist, weil die Kennzeichen auch bei auf juristische Personen zugelassenen Kraftfahrzeugen Rückschlüsse auf die Fahrer vermitteln können. Die DS-GVO findet nach Erwägungsgrund 14 auf juristische Personen keine Anwendung. Die hinter der juristischen Person stehenden natürliche Personen sind jedoch geschützt, wenn sich die Daten der juristischen Person auch auf sie beziehen (vgl. Gola in: Gola/Heckmann, DS-GVO - BDSG, 3. Aufl. 2022, Art. 4 Rn. 28). Jedenfalls Mitarbeiter oder anderweitig informierte Personen können ein Kraftfahrzeug einer juristischen Person über das Kennzeichen einer natürlichen Person als Fahrer zuordnen. So könnte etwa festgestellt werden, dass der Fahrer eines Fahrzeugs seines Arbeitsgebers (juristische Person) bei einer Dienstfahrt von der vorgegebenen Route abgewichen und in seiner Dienstzeit einer privaten Tätigkeit nachgegangen ist.

Im Einzelfall mag bei auf juristische Personen zugelassenen Fahrzeugen eine Identifizierung des Fahrers selbst unter Auswertung sämtlicher Datenquellen nicht möglich sein. Unter dem Aspekt einer praxistauglichen datenschutzrechtlichen Verfügung ist es jedoch nicht zu beanstanden, dass die Beklagte in Ziffer 1 und 2 des streitgegenständlichen Bescheides diese Fälle nicht vom Anwendungsbereich ihrer Anordnung ausgenommen hat. Es ist in tatsächlicher Hinsicht nicht möglich, zu erkennen, ob ein Kraftfahrzeug auf eine juristische oder eine natürliche Person zugelassen und deshalb dem Anwendungsbereich der DS-GVO unterfällt oder nicht. Dies ließe sich allenfalls durch eine Halterauskunft ermitteln. Auch Werbeaufschriften oder Ähnliches auf Fahrzeugen lassen keinen sicheren Schluss auf den Halter des Fahrzeugs zu, weil jeder Halter beziehungsweise Eigentümer eines Kraftfahrzeuges grundsätzlich frei über die äußere Gestaltung seines Fahrzeugs entscheiden kann. Zudem kann der Verantwortliche nicht erkennen, ob über das Kennzeichen etwa mittels eines Fahrtenbuches möglicherweise Rückschlüsse auf den Fahrer als natürliche Person gezogen werden können.

Das von dem Bescheid der Beklagten erfasste Veröffentlichen der Filme auf der Website Youtube stellt eine Datenverarbeitung dar. Nach Art. 4 Nr. 2 DS-GVO bezeichnet „Verarbeitung“ jeden mit oder ohne Hilfe automatisierter Verfahren ausgeführten Vorgang oder jede solche Vorgangsreihe im Zusammenhang mit personenbezogenen Daten wie unter anderem die Speicherung und die Offenlegung durch Verbreitung.

Die Datenverarbeitung ist nach Art. 6 Abs. 1 DS-GVO nur rechtmäßig, wenn mindestens eine der unter den Buchst. a bis f aufgeführten Bedingungen erfüllt ist.

Insbesondere eine Einwilligung der gefilmten Personen liegt nicht vor. Nach Art. 6 Abs. 1 Buchst. f DS-GVO ist die Datenverarbeitung rechtmäßig, wenn die Verarbeitung zur Wahrung der berechtigten Interessen des Verantwortlichen oder eines Dritten erforderlich ist, sofern nicht die Interessen oder Grundrechte und Grundfreiheiten der betroffenen Person, die den Schutz personenbezogener Daten erfordern, überwiegen, insbesondere dann, wenn es sich bei der betroffenen Person um ein Kind handelt.

Das Filmen und die Veröffentlichung der Aufnahmen ohne Anonymisierung ist zunächst als Betätigung der von Art. 13 GRCh geschützten Kunstfreiheit, der von Art. 15 Abs. 1 GRCh geschützten Berufsfreiheit und der von Art. 16 GRCh geschützten Unternehmerischen Freiheit einzuordnen und stellt damit ein berechtigtes Interesse dar.

Die Verarbeitung ist zur Wahrung der berechtigten Interessen des Verantwortlichen auch erforderlich. Dieses Tatbestandsmerkmal ist erfüllt, wenn kein anderes, gleich effektives Mittel ersichtlich ist (VG Ansbach, Urt. v. 23. Februar 2022 – AN 14 K 20.00083 – juris Rn. 40). Die Anonymisierung stellt kein gleich effektives Mittel dar, weil sie den Kläger in seiner Kunstfreiheit, Berufsfreiheit und der Unternehmerischen Freiheit beeinträchtigt.

Die Beklagte ist jedoch zu Recht davon ausgegangen, dass die Abwägung hier zu Lasten des Klägers ausfällt.

Abzuwiegen sind hier die berechtigten Interessen des Klägers als Verantwortlichen einerseits und die Interessen oder Grundrechte und Grundfreiheiten der betroffenen Person, die den Schutz personenbezogener Daten erfordern, andererseits. Erfasst – wie hier – derselbe Sachverhalt eine Vielzahl von betroffenen Personen, erfolgt die Abwägung anhand einer summarischen Prüfung der Belange der betroffenen Personen unter Zugrundelegung von Erfahrungswerten (Schulz in: Gola/Heckmann, DS-GVO – BDSG, 3. Aufl. 2022, Art. 6 Rn. 63).

Maßgeblich ist insoweit insbesondere die Eingriffsintensität, die Art der betroffenen Personen, die Zwecke der Datenverarbeitung sowie die Sphäre, in die eingegriffen wird (vgl. Schulz in: Gola/Heckmann, DS-GVO – BDSG, 3. Aufl. 2022, Art. 6 Rn. 63).

Die gefilmten Personen sind in ihrem Grundrecht auf informationelle Selbstbestimmung sowie des Rechts am eigenen Bild als Teil des allgemeinen Persönlichkeitsrechts aus Art. 1 Abs. 1 in Verbindung mit Art. 2 Abs. 1 GG berührt und zwar in erheblicher Weise.

Zunächst handelt es sich angesichts der Vielzahl an veröffentlichten Videos um eine erhebliche Vielzahl an betroffenen Personen, auch wenn je Video abhängig von der gefilmten Straßenlandschaft teilweise nur vereinzelt Personen in den Vordergrund des Bildausschnitts geraten. Die zufällig gefilmten Personen können sich dem Filmen zudem kaum beziehungsweise nur dann entziehen, wenn sie die Kamera bemerkt haben. Dies ist gerade bei größeren Kreuzungen oder unübersichtlicheren Verkehrssituationen oder wenn die gefilmten Personen durch Gespräche, Telefonate etc. abgelenkt sind nicht unbedingt der Fall.

Eingriffsmindernd ist auf der anderen Seite zu berücksichtigen, dass die Personen lediglich in ihrer Sozialsphäre betroffen sind. Die belastenden Auswirkungen der Verarbeitung auf die betroffenen Personen stellen sich zudem nach allgemeiner Lebenserfahrung und mangels entgegenstehender Anhaltspunkte als eher gering dar.

Dennoch überwiegen diese Interessen der betroffenen Personen die berechtigten Interessen des Klägers. Die Verpflichtung des Klägers, die veröffentlichten Filmaufnahmen aus dem öffentlichen Straßenverkehr so zu verändern, dass Personen, soweit sie sich nach dem Gesamteindruck im Vordergrund des Bildausschnitts befinden, nicht mehr anhand ihrer äußerlichen Erscheinung identifiziert werden können und Kraftfahrzeug-Kennzeichen nicht gelesen werden können, stellt nach Auffassung des erkennenden Einzelrichters einen Eingriff von geringer Intensität dar. Betroffen sind zunächst nur besondere Situationen, in denen Personen – anders als im fließenden Verkehr – in den Vordergrund geraten. Der ganz überwiegende Anteil der Aufnahmen ist nicht von der Pflicht zur Anonymisierung betroffen. Unter Würdigung der Gesamtumstände werden die vom Kläger erstellten und veröffentlichten Aufnahmen von Straßenlandschaften in ihrer Darstellung und Wirkung durch die Anonymisierung der Personen, die sich nach dem Gesamteindruck im Vordergrund des Bildausschnitts befinden, lediglich geringfügig beeinträchtigt, weil sich der Eindruck der Straßenlandschaft durch die Anonymisierung kaum verändert. Die abgebildete Person ist lediglich nicht mehr zu erkennen.

Erwägungsgrund 47 Satz 4 DS-GVO sieht zudem vor, dass insbesondere dann, wenn personenbezogene Daten in Situationen verarbeitet werden, in denen eine betroffene Person vernünftigerweise nicht mit einer weiteren Verarbeitung rechnen muss, die Interessen und Grundrechte der betroffenen Person das Interesse des Verantwortlichen überwiegen könnten.

Im öffentlichen Straßenverkehr können betroffene Personen grundsätzlich davon ausgehen, dass sie nicht gefilmt werden. Da vorliegend nichts dafür spricht, von diesem Grundsatz abzuweichen, führt auch dies zu einem Überwiegen der Interessen der betroffenen Personen.

Diese Wertung muss erst Recht für Kraftfahrzeug-Kennzeichen gelten. Es mag für den Kläger zusätzlichen Aufwand bedeuten, die Kennzeichen etwa durch eine Verpixelung zu anonymisieren. Im Übrigen werden die Aufnahmen der Straßenlandschaften durch die Anonymisierung der Kennzeichen jedoch nur sehr geringfügig verändert, so dass das Grundrecht auf informationelle Selbstbestimmung sowie das Recht am eigenen Bild als Teil des allgemeinen Persönlichkeitsrechts aus Art. 1 Abs. 1 in Verbindung mit Art. 2 Abs. 1 GG der Halter beziehungsweise Fahrer der gefilmten Kraftfahrzeuge überwiegt.

Rechtsfolge von Art. 58 Abs. 2 Buchst. f DS-GVO ist, dass der Aufsichtsbehörde bezüglich der Wahl der konkreten Abhilfemaßnahme ein Ermessen zusteht (vgl. dazu Erwägungsgrund 129 DS-GVO), welches gerichtlich nur eingeschränkt überprüfbar ist, § 114 VwGO. Vorliegend sind Ermessensfehler nicht ersichtlich. Die Beklage hat ihr Ermessen ausgeübt, indem sie unter den verschiedenen Möglichkeiten die aus ihrer Sicht am wenigsten einschränkende, lediglich punktuelle Veränderung der Aufnahmen angeordnet hat (vgl. S. 8 des Bescheides).

Den Volltext der Entscheidung finden SIe hier:

EuGH-Generalanwalt
Schlussanträge vom 11.04.2024
C-768/21
Land Hessen (Handlungspflicht der Datenschutzbehörde)

Der EuGH-Generalanwalt kommt in seinen Schlussanträgen zu dem Ergebnis, dass eine Datenschutzbehörde grundsätzlich tätig werden muss, wenn sie bei der Prüfung einer Beschwerde einen DSGVO-Verstoß feststellt.

Ergebnis der Schlussanträge:
Nach alledem schlage ich dem Gerichtshof vor, die Vorlagefrage des Verwaltungsgerichts Wiesbaden (Deutschland) wie folgt zu beantworten:

Art. 57 Abs. 1 Buchst. a und f sowie Art. 58 Abs. 2 Buchst. a bis j in Verbindung mit Art. 77 Abs. 1 der Verordnung (EU) 2016/679 des Europäischen Parlaments und des Rates vom 27. April 2016 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten, zum freien Datenverkehr und zur Aufhebung der Richtlinie 95/46/EG (Datenschutz-Grundverordnung)

sind dahin auszulegen, dass

die Aufsichtsbehörde, wenn sie eine Datenverarbeitung feststellt, die in die Rechte der betroffenen Person eingreift, verpflichtet ist, gemäß Art. 58 Abs. 2 der Verordnung 2016/679 einzuschreiten, soweit dies erforderlich ist, um die vollständige Beachtung dieser Verordnung zu gewährleisten. In diesem Zusammenhang hat sie unter Berücksichtigung der konkreten Umstände des jeweiligen Einzelfalls das geeignete, erforderliche und verhältnismäßige Mittel auszuwählen, um insbesondere den Rechtsverstoß zu beheben und die Rechte der betroffenen Person durchzusetzen

Die Pressemitteilung des EuGH:
Schutz personenbezogener Daten: Nach Ansicht von Generalanwalt Pikamäe ist die Aufsichtsbehörde zum Einschreiten verpflichtet, wenn sie bei der Prüfung einer Beschwerde einen Verstoß feststellt.

Die Entscheidung über die zu ergreifende Abhilfemaßnahme hänge jedoch von den konkreten Umständen des jeweiligen Einzelfalls ab

Ein Kunde einer Sparkasse ersuchte den Hessischen Beauftragten für Datenschutz und Informationsfreiheit (Deutschland), gegen die Sparkasse wegen einer Verletzung des Schutzes seiner personenbezogenen Daten einzuschreiten. Eine Mitarbeiterin der Sparkasse hatte nämlich mehrmals unbefugt auf seine Daten zugegriffen.

Der Datenschutzbeauftragte stellte eine Verletzung des in der Datenschutz-Grundverordnung (DSGVO) vorgesehenen Datenschutzes fest . Er kam jedoch zu dem Ergebnis, dass ein Einschreiten gegen die Sparkasse nicht geboten sei, da diese gegen die betreffende Mitarbeiterin bereits Disziplinarmaßnahmen ergriffen habe.

Der Kunde geht gegen diese Weigerung bei einem deutschen Gericht vor und beantragt, den Datenschutzbeauftragten zum Einschreiten gegen die Sparkasse zu verpflichten. Er macht u. a. geltend, dass der Datenschutzbeauftragte gegen die Sparkasse Bußgelder hätte verhängen müssen.

Das deutsche Gericht hat den Gerichtshof zu den Befugnissen und Pflichten des Datenschutzbeauftragten als „Aufsichtsbehörde“ im Sinne der DSGVO befragt.

Nach Ansicht von Generalanwalt Pikamäe ist die Aufsichtsbehörde zum Einschreiten verpflichtet, wenn sie bei der Prüfung einer Beschwerde eine Verletzung des Schutzes personenbezogener Daten feststelle. Insbesondere habe sie die Abhilfemaßnahme(n) zu ermitteln, die zur Behebung des Verstoßes und zur Durchsetzung der Rechte der betroffenen Person am besten geeignet sei bzw. seien.

In diesem Zusammenhang räume die DSGVO der Aufsichtsbehörde zwar ein gewisses Ermessen ein, verlange jedoch, dass die Maßnahmen geeignet, erforderlich und verhältnismäßig seien. Daraus ergebe sich zum einen, dass das Ermessen bei der Wahl der Mittel beschränkt sei, wenn der erforderliche Schutz nur durch ganz bestimmte Maßnahmen gewährleistet werden könne, und zum anderen, dass die Aufsichtsbehörde unter bestimmten Voraussetzungen auf die Maßnahmen nach der DSGVO verzichten dürfe, wenn dies durch die besonderen Umstände des Einzelfalls gerechtfertigt sei. Dies könne insbesondere dann der Fall sein, wenn der Verantwortliche bestimmte Maßnahmen aus eigener Initiative ergriffen habe. Jedenfalls habe die betroffene Person keinen Anspruch auf Erlass einer bestimmten Maßnahme . Diese Grundsätze gälten auch für die Geldbußenregelung.

Die vollständigen Schlussanträge finden Sie hier:

OVG Lüneburg
Beschluss vom 23.01.2024
14 LA 1/24

Das OVG Lüneburg hat entschieden, dass eine Online-Apotheke bei Bestellungen nicht bei allen Produkten das Geburtsdatum des Kunden abfragen darf. Insofern liegt ein Verstoß gegen den Grundsatz der Datenminimierung vor.

Aus den Entscheidungsgründen:
II. Die Berufung gegen das angefochtene Urteil ist nicht zuzulassen, da die Voraussetzungen der von der Klägerin geltend gemachten Zulassungsgründe des § 124 Abs. 2 Nrn. 1 und 3 VwGO teilweise schon nicht in einer § 124a Abs. 4 Satz 4 VwGO genügenden Weise dargelegt sind und im Übrigen nicht vorliegen.

1. Die Berufung ist nicht wegen ernstlicher Zweifel an der Richtigkeit der angefochtenen Entscheidung nach § 124 Abs. 2 Nr. 1 VwGO zuzulassen.

Ernstliche Zweifel an der Richtigkeit der erstinstanzlichen Entscheidung im Sinne des § 124 Abs. 2 Nr. 1 VwGO sind zu bejahen, wenn der Rechtsmittelführer einen einzelnen tragenden Rechtssatz oder eine einzelne erhebliche Tatsachenfeststellung mit schlüssigen Gegenargumenten in Frage stellt (BVerfG, Beschl. v. 18.6.2019 - 1 BvR 587/17 -, juris Rn. 32 und v. 8.12.2009 - 2 BvR 758/07 -, juris Rn. 96). Die Richtigkeitszweifel müssen sich dabei auch auf das Ergebnis der Entscheidung beziehen; es muss also mit hinreichender Wahrscheinlichkeit anzunehmen sein, dass die Berufung zu einer Änderung der angefochtenen Entscheidung führen wird (vgl. BVerwG, Beschl. v. 10.3.2004 - 7 AV 4.03 -, juris Rn. 9). Eine den Anforderungen des § 124a Abs. 4 Satz 4 VwGO genügende Darlegung dieses Zulassungsgrundes erfordert, dass im Einzelnen unter konkreter Auseinandersetzung mit der verwaltungsgerichtlichen Entscheidung ausgeführt wird, dass und warum Zweifel an der Richtigkeit der Auffassung des erkennenden Verwaltungsgerichts bestehen sollen. Hierzu bedarf es regelmäßig qualifizierter, ins Einzelne gehender, fallbezogener und aus sich heraus verständlicher Ausführungen, die sich mit der angefochtenen Entscheidung auf der Grundlage einer eigenständigen Sichtung und Durchdringung des Prozessstoffes auseinandersetzen (vgl. NdsOVG, Beschl. v. 17.6.2015 - 8 LA 16/15 -, juris, Rn. 10; Seibert, in: Sodan/Ziekow, VwGO, 5. Aufl. 2018, § 124a Rn. 206 jeweils m.w.N.). Hat das Verwaltungsgericht seine Entscheidung auf mehrere selbstständig tragende Gründe gestützt, kann ein Berufungszulassungsantrag nur dann Erfolg haben, wenn für jedes der die Entscheidung des erstinstanzlichen Gerichts selbständig tragenden Begründungselemente ein Zulassungsgrund dargelegt worden ist und vorliegt (NdsOVG, Beschl. v. vom 28.6.2022 - 10 LA 234/20 -, juris Rn. 2; vgl. Niedersächsisches OVG, Beschl. v. 1.8.2022 - 10 LA 14/22 -, juris Rn. 3 m.w.N.).

Bei der Entscheidung über den Zulassungsgrund des § 124 Abs. 2 Nr. 1 VwGO ist das Oberverwaltungsgericht nicht auf die Berücksichtigung der Sach- und Rechtslage im Zeitpunkt der Entscheidung des Verwaltungsgerichts beschränkt. Da über § 128a VwGO hinaus eine Präklusion gesetzlich nicht vorgesehen ist, sind im Zulassungsverfahren alle dargelegten tatsächlichen Gesichtspunkte zu berücksichtigen, die für den Erfolg des angestrebten Rechtsmittels entscheidungserheblich sein können. Zu berücksichtigen sind sowohl neue Tatsachen als auch Tatsachen, die zwar bereits vorlagen, vom Verwaltungsgericht jedoch nicht berücksichtigt werden konnten, weil sie von den Beteiligten nicht vorgetragen und mangels entsprechender Anhaltspunkte auch nicht von Amts wegen zu ermitteln waren (Roth, in: BeckOK VwGO, Stand: 1.7.2023, § 124 Rn. 27 m.w.N.).

Nach diesem Maßstab begründen die Einwände der Klägerin keine ernstlichen Zweifel an der Richtigkeit der angefochtenen Entscheidung.

a) Die Klägerin trägt vor, um die ihr bei der Durchführung der Verträge (Art. 6 Abs. 1 Satz 1 lit. b) DSGVO) obliegenden Beratungs- und Informationspflichten aus § 20 Abs. 1 und 2 der Apothekenbetriebsordnung (ApBetrO) erfüllen zu können, sei es eine unabdingbare Voraussetzung, den Kunden bzw. Patienten zweifelsfrei zu identifizieren. Nur eine solche Identifikation stelle sicher, dass Kunden, welche beispielsweise rezeptpflichtige Medikamente und Nahrungsergänzungsmittel zusammen einnähmen, zur sachgerechten Anwendung und zu möglichen Wechselwirkungen beraten werden können. Dafür werde für jeden Kunden ein Arzneimitteldossier angelegt. Für eine einwandfreie Identifikation des Kunden und zur Verhinderung von Dubletten bedürfe sie neben dem Vor- und Nachnamen des Kunden zusätzlich dessen Geburtsdatum. Dieses stelle bei einer Namensgleichheit sicher, dass sie die verschiedenen Kunden hinreichend sicher unterscheiden könne.

Damit zieht die Klägerin die Annahmen des Verwaltungsgerichts nicht durchgreifend in Zweifel. Das Verwaltungsgericht hat zutreffend darauf hingewiesen, dass der Besteller und diejenige Person, für die das bestellte Produkt zur Anwendung bzw. Einnahme bestimmt ist, nicht identisch seien müssen. Dieses Argument greift auch, soweit mit der Beschwerdebegründung nunmehr erstmals geltend gemacht wird, dass das Geburtsdatum als Identifizierungskriterium erforderlich sei, um ein Arzneimitteldossier für den Kunden anlegen zu können. Nicht die eindeutige Identifizierung des Bestellers ist zur Erfüllung von Beratungspflichten notwendig, sondern die Kenntnis von derjenigen Person, die das bestellte Produkt anwenden bzw. einnehmen wird. Die Anlage eines Arzneimitteldossiers für den Besteller erscheint daher zur Erfüllung von Beratungs- und Informationspflichten bereits nicht geeignet. Mit dieser schon vom Verwaltungsgericht aufgezeigten Problematik setzt sich die Beschwerdebegründung nicht auseinander. Ob bzw. unter welchen Voraussetzungen die Anlage eines Arzneimitteldossiers überhaupt datenschutzrechtlich zulässig ist, ist nicht Gegenstand des vorliegenden Verfahrens.

Davon abgesehen legt die Beschwerde auch nicht dar, warum das Geburtsdatum zur Identifizierung des Bestellers bei Namensgleichheit erforderlich sein soll. Die Klägerin verfügt auch über die Anschrift sowie die Telefonnummer des Bestellers, es wird nicht erläutert und ist auch nicht ersichtlich, warum mit diesen Daten nicht bereits eine hinreichend sichere Identifizierung namensgleicher Kunden möglich sein soll. Etwas anderes ergibt sich auch nicht aus der von der Klägerin zitierten Entscheidung des OLG München (Urt. v. 28.9.2006 - 29 U 2769/06). Die Entscheidung, die noch zum alten Recht erging, betraf ein Unternehmen, das ein Kundenbindungs- und Rabattsystem mit über 30 Millionen Kunden betrieb. Ein solches Unternehmen ist mit einer Versandapotheke bereits nicht vergleichbar; es verfügt schon nicht zwingend über die aktuelle Anschrift und Telefonnummer seiner Kunden.

Ergänzend wird zudem darauf hingewiesen, dass Versandapotheken zur Erfüllung ihrer Beratungspflicht den Kunden zur Angabe einer Telefonnummer auffordern müssen, unter der er durch pharmazeutisches Personal der Apotheke telefonisch und ohne zusätzliche Gebühren beraten werden kann (§ 17 Abs. 2a Satz 1 Nr. 7 ApBetrO). Sie haben damit die Möglichkeit, über diese Telefonnummer Kontakt zum Kunden aufzunehmen und in diesem Rahmen die für die konkrete Beratung erforderlichen Daten jeweils zu erfragen.

b) Auch soweit die Klägerin geltend macht, die Verarbeitung des Merkmals "Geburtsdatum" sei zur Feststellung der Geschäftsfähigkeit der Kunden erforderlich, zeigt sie keine ernstlichen Zweifel an der Entscheidung des Verwaltungsgerichts auf.

Das Verwaltungsgericht hat dazu ausgeführt, dass für diesen Zweck als milderes Mittel die einfache Abfrage der Volljährigkeit genüge. Damit setzt sich das Beschwerdevorbringen nicht hinreichend auseinander. Es ist auch nicht ersichtlich, dass die Abfrage der Volljährigkeit zu dem Zweck, die Geschäftsfähigkeit des Kunden zu prüfen, weniger geeignet ist. Anhaltspunkte dafür, dass bei dieser Abfrageart die Hemmschwelle, unwahre Angaben zu machen, geringer ist, als wenn das gesamte Geburtsdatum abgefragt wird, trägt die Klägerin weiterhin nicht vor und sind auch nicht ersichtlich. Eine Altersprüfung über die Angabe des Geburtsdatums bzw. eine Checkbox bietet im Übrigen ohnedies nicht die Gewähr der Richtigkeit der Angaben. Die Eignung der Abfrage ist daher ohnehin zweifelhaft.

c) Soweit die Klägerin geltend macht, die Verarbeitung des Merkmals "Geburtsdatum" sei zur Erfüllung von Rückabwicklungs- und Gewährleistungsansprüchen erforderlich, legt sie dies schon nicht hinreichend substantiiert dar. Es bleibt unklar, warum im Falle von Rückabwicklungs- und Gewährleistungsansprüchen ohne die Angabe eines Geburtsdatums der Vertragspartner, von dem Name, Anschrift und Telefonnummer bekannt sind, nicht hinreichend identifizierbar sein soll.

d) Auch das Vorbringen der Klägerin, die Verarbeitung des Geburtsdatums sei zur Erfüllung einer rechtlichen Verpflichtung (Art. 6 Abs. 1 Satz 1 lit. c) DSGVO) erforderlich, um Kunden, die ihre Rechte aus den Art. 15 ff. DSGVO geltend machten, hinreichend klar zu identifizieren, begründet keine ernstlichen Zweifel an der Entscheidung des Verwaltungsgerichts.

Art. 12 Abs. 6 DSGVO gestattet dem Verantwortlichen, sofern er begründete Zweifel an der Identität der natürlichen Person hat, die den Antrag gemäß den Artikeln 15 bis 21 stellt, zusätzliche Informationen anzufordern, die zur Bestätigung der Identität der betroffenen Person erforderlich sind. Eine routinemäßige Identitätsprüfung, die es dem Verantwortlichen ermöglicht, generell die Vorlage eines Identitätsnachweises zu verlangen, ist hiervon nicht erfasst. Ein Verantwortlicher sollte Identifizierungsdaten daher nicht allein zu dem Zweck speichern, auf mögliche Auskunftsersuchen reagieren zu können (Erwägungsgrund 64 Satz 2 der DSGVO; vgl. auch Greve, in: Sydow/Marsch, DSGVO, 3. Aufl. 2022, Art. 12 Rn. 30 m.w.N.). Die Klägerin kann daher nicht das Geburtsdatum sämtlicher Kunden erheben, um dieses im Falle eines Auskunftsersuchens zur im Einzelfall erforderlichen Identitätsprüfung nutzen zu können.

Aus dem von der Klägerin zitierten Urteil des Landgerichts Bonn (Urt. v. 11.11.2020 - 29 OWi 1/20 -, juris) ergibt sich im Übrigen lediglich, dass die Angabe des Namens und des Geburtsdatums zur Authentifizierung bei einem Telefonanbieter nicht ausreichend sind. Auch aus der angeführten Entscheidung des Bundesgerichtshofs (Urt. v. 16. Juli 2008 - VIII ZR 348/06 -, juris) folgt nichts anderes. Das Urteil knüpft an das zitierte Urteil des OLG München an und stellt (ebenfalls nach altem Recht) fest, dass angesichts der Vielzahl der Teilnehmer am Payback-Programm eine praktikable und gleichzeitig sichere Methode der Identifizierung der Programmteilnehmer zu den Vertragszwecken gehöre. Die Angabe des vollständigen Geburtsdatums sei bei einem Bonusprogramm, welches nach den Feststellungen des Berufungsgerichts rund dreißig Millionen Teilnehmer habe, zur Vermeidung von Identitätsverwechselungen in besonderer Weise geeignet. Dies ist - wie bereits ausgeführt - nicht auf die Bedürfnisse einer Versandapotheke übertragbar.

e) Schließlich wendet die Klägerin ein, die Verarbeitung des Geburtsdatums des Kunden sei auch auf Grundlage eines überwiegenden berechtigten Interesses nach Art. 6 Abs. 1 Satz 1 lit. f) DSGVO rechtmäßig. Das berechtigte Interesse ergebe sich aus der Notwendigkeit, dieses im Rahmen der Durchsetzung offener Forderungen gegen säumige Kunden verarbeiten zu müssen. Insbesondere bei der Einschaltung eines Gerichtsvollziehers bedürfe dieser bei der Ermittlung des Schuldners bei den in § 755 ZPO genannten Behörden häufig das Geburtsdatum des säumigen Kunden.

Auch damit begründet die Klägerin keine ernsthaften Zweifel an der erstinstanzlichen Entscheidung. Die Klägerin legt bereits nicht dar, welche Zahlungsmöglichkeiten sie anbietet und warum insoweit aus ihrer Sicht ein Ausfallrisiko bestehen soll. Ein Ausfallrisiko kann allenfalls beim Kauf auf Rechnung bestehen, weil hier die Klägerin gegenüber dem Kunden in Vorleistung geht. Der Kauf auf Rechnung ist beim Online-Handel aber nur eine von zahlreichen Varianten der Zahlungsabwicklung. Der Verkäufer kann die Versendung der Ware ebenso gut auch von einer vorherigen Zahlung des Kunden mittels Kreditkarte, Vorabüberweisung oder Ähnliches abhängig machen. Möchte der Verkäufer gleichwohl - etwa aus Marketinggesichtspunkten - in Vorleistung gehen und zur Risikoabsicherung weitere Daten des potentiellen Kunden erheben, so muss sie hierfür auf dessen Einwilligung zurückgreifen (vgl. Buchner/Petri, in: Kühling/Buchner, DSGVO, 4. Aufl. 2024, Art. 6 Rn. 66 m.w.N.).

2. Die Berufung ist auch nicht wegen der von der Klägerin geltend gemachten grundsätzlichen Bedeutung der Rechtssache i. S. d. § 124 Abs. 2 Nr. 3 VwGO zuzulassen.

Eine Rechtssache hat grundsätzliche Bedeutung im Sinne dieser Vorschrift, wenn sie eine konkrete noch nicht geklärte Rechts- oder Tatsachenfrage aufwirft, deren Beantwortung sowohl für die Entscheidung des Verwaltungsgerichts von Bedeutung war als auch für die Entscheidung im Berufungsverfahren erheblich sein wird, und die über den konkreten Fall hinaus wesentliche Bedeutung für die einheitliche Anwendung oder Weiterentwicklung des Rechts hat. Zur Darlegung des Zulassungsgrundes ist die Frage auszuformulieren und substantiiert auszuführen, warum sie für klärungsbedürftig und entscheidungserheblich gehalten und aus welchen Gründen ihr Bedeutung über den Einzelfall hinaus zugemessen wird. Ist die aufgeworfene Frage eine Rechtsfrage, so ist ihre Klärungsbedürftigkeit nicht schon allein deshalb zu bejahen, weil sie bislang nicht obergerichtlich oder höchstrichterlich entschieden ist. Nach der Zielsetzung des Zulassungsrechts ist vielmehr Voraussetzung, dass aus Gründen der Einheit oder Fortentwicklung des Rechts eine obergerichtliche oder höchstrichterliche Entscheidung geboten ist. Die Klärungsbedürftigkeit fehlt deshalb, wenn sich die als grundsätzlich bedeutsam bezeichnete Frage entweder schon auf der Grundlage des Gesetzeswortlauts nach allgemeinen Auslegungsmethoden oder aber (ggf. ergänzend) auf der Basis bereits vorliegender Rechtsprechung ohne weiteres beantworten lässt (Seibert, in: Sodan/Ziekow, VwGO, 5. Aufl. 2018, § 124 Rn. 127, 142 ff., 149 und 151 ff.).

In Anwendung dieser Grundsätze liegen die Voraussetzungen für eine Zulassung der Berufung nicht vor.

Zwar hat die Klägerin mit ihrer Zulassungsbegründung als rechtsgrundsätzlich bedeutsam die Frage formuliert, ob bzw. in welchem Umfang das Geburtsdatum eines Kunden unter datenschutzrechtlichen Gesichtspunkten von einer Online-Apotheke insbesondere unter Berücksichtigung der dieser obliegenden umfangreichen Beratungspflichten verarbeitet werden dürfe.

Sie legt jedoch nicht hinreichend dar, warum sie die aufgeworfene Frage für klärungsbedürftig und entscheidungserheblich hält und aus welchen Gründen sie ihr Bedeutung über den Einzelfall hinaus zumisst - dies wird lediglich behauptet. Unabhängig davon ist die Frage in ihrer Allgemeinheit nicht entscheidungserheblich gewesen. Konkret ging es darum, ob die von der Klägerin erstinstanzlich angeführten Gründe für die Erhebung des Geburtsdatums - die ihr nach § 20 ApBetrO obliegende Beratungspflicht sowie die Ermöglichung der Prüfung der Geschäftsfähigkeit des Bestellers - die Datenverarbeitung rechtfertigen können.

Mit der Ablehnung des Zulassungsantrags wird das angefochtene Urteil rechtskräftig (§ 124a Abs. 5 Satz 4 VwGO).

Den Volltext der Entscheidung finden Sie hier:

EuGH
Urteil vom 16.11.2023
C-333/22
Ligue des droits humains (Prüfung der Datenverarbeitung durch die Aufsichtsbehörde)

Der EuGH hat entschieden, dass dem Betroffenen ein gerichtlicher Rechtsbehelf gegen eine Entscheidung der datenschutzrechtlichen Aufsichtsbehörde zustehen muss, wenn die Datenschutzbehörde mittelbar die Rechte des Betroffenen wahrgenommen hat.

Die Pressemitteilung des EuGH:
Verarbeitung personenbezogener Daten: Beschlüsse, die eine Aufsichtsbehörde im Rahmen der mittelbaren Ausübung von Rechten der betroffenen Person erlässt, sind rechtsverbindlich

Die Gründe und Beweise, auf die sie sich stützen, müssen gerichtlich überprüft werden können.

Ein Bürger beantragte zu beruflichen Zwecken bei der belgischen nationalen Sicherheitsbehörde die Erteilung einer Sicherheitsbescheinigung. Das Dokument wurde ihm mit der Begründung verweigert, dass er an Demonstrationen teilgenommen habe. Unter Berufung auf sein Recht auf Auskunft über seine Daten wandte sich der Bürger an das Organ für die Kontrolle polizeilicher Informationen, das ihm mitteilte, dass ihm nur ein mittelbarer Auskunftsanspruch zustehe und es selbst die Rechtmäßigkeit der Verarbeitung seiner Daten prüfen werde. Im Einklang mit dem belgischen Recht beschränkte sich das Organ nach Abschluss der Prüfung jedoch darauf, dem Bürger zu antworten, dass die erforderlichen Prüfungen durch die Aufsichtsbehörde erfolgt seien. Der Bürger erhob daraufhin Klage vor dem Gericht des ersten Rechtszugs, das sich für sachlich unzuständig erklärte.

Die vom Betroffenen und der Ligue des droits humains angerufene Cour d’appel de Bruxelles (Appellationshof Brüssel, Belgien) möchte vom Gerichtshof wissen, ob das Unionsrecht die Mitgliedstaaten dazu verpflichtet, der von der Verarbeitung ihrer Daten betroffenen Person die Möglichkeit zu geben, den Beschluss der Aufsichtsbehörde anzufechten, wenn diese Behörde die Rechte dieser Person in Bezug auf die Datenverarbeitung ausübt.

Der Gerichtshof ist der Auffassung, dass die zuständige Aufsichtsbehörde dadurch, dass sie die betroffene Person über das Ergebnis der Prüfungen unterrichtet, einen rechtsverbindlichen Beschluss erlässt. Gegen diesen Beschluss muss ein Rechtsbehelf eingelegt werden können, damit der Betroffene die Beurteilung der Rechtmäßigkeit der Datenverarbeitung durch die Aufsichtsbehörde und die Entscheidung zugunsten bzw. gegen die Ausübung von Abhilfebefugnissen anfechten kann.

Der Gerichtshof weist darauf hin, dass die Aufsichtsbehörde nach dem Unionsrecht verpflichtet ist, die betroffene Person „zumindest“ darüber zu unterrichten, „dass alle erforderlichen Prüfungen oder eine Überprüfung durch die Aufsichtsbehörde erfolgt sind“, und diese „über ihr Recht auf einen gerichtlichen Rechtsbehelf“ zu informieren. Wenn die im öffentlichen Interesse liegenden Zwecke dem nicht entgegenstehen, haben die Mitgliedstaaten jedoch vorzusehen, dass die Unterrichtung der betroffenen Person über diese Mindestangaben hinausgehen kann, damit die betroffene Person ihre Rechte verteidigen und entscheiden kann, ob sie das zuständige Gericht anruft.

Außerdem müssen die Mitgliedstaaten in den Fällen, in denen die der betroffenen Person übermittelten Informationen auf das strikte Minimum beschränkt wurden, dafür Sorge tragen, dass das zuständige Gericht bei der Prüfung der Stichhaltigkeit der Rechtfertigungsgründe für eine solche Beschränkung der Informationen die im öffentlichen Interesse liegenden Zwecke (Sicherheit des Staates, Verhütung, Aufdeckung, Untersuchung oder Verfolgung von Straftaten) und die Notwendigkeit, den Bürgern die Wahrung ihrer Verfahrensrechte zu gewährleisten, gegeneinander abwägen kann. Im Rahmen dieser gerichtlichen Kontrolle müssen die nationalen Vorschriften es dem Gericht ermöglichen, von den Gründen und Beweisen, auf die die Aufsichtsbehörde den Beschluss gestützt hat, aber auch von den daraus gezogenen Schlüssen Kenntnis zu nehmen.

Tenor der Entscheidung:

1. Art. 17 in Verbindung mit Art. 46 Abs. 1 Buchst. g, Art. 47 Abs. 1 und 2 und Art. 53 Abs. 1 der Richtlinie (EU) 2016/680 des Europäischen Parlaments und des Rates vom 27. April 2016 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten durch die zuständigen Behörden zum Zwecke der Verhütung, Ermittlung, Aufdeckung oder Verfolgung von Straftaten oder der Strafvollstreckung sowie zum freien Datenverkehr und zur Aufhebung des Rahmenbeschlusses 2008/977/JI des Rates sowie in Verbindung mit Art. 8 Abs. 3 und Art. 47 der Charta der Grundrechte der Europäischen Union ist dahin auszulegen, dass dass eine Person, wenn ihre Rechte in Anwendung von Art. 17 dieser Richtlinie über die zuständige Aufsichtsbehörde ausgeübt worden sind und diese Behörde sie über das Ergebnis der durchgeführten Prüfungen unterrichtet, über einen wirksamen gerichtlichen Rechtsbehelf gegen den Beschluss dieser Behörde, das Überprüfungsverfahren abzuschließen, verfügen muss.

2. Die Prüfung der zweiten Frage hat nichts ergeben, was geeignet wäre, die Gültigkeit von Art. 17 Abs. 3 der Richtlinie (EU) 2016/680 zu berühren.

Den Volltext der Entscheidung finden Sie hier:

OVG Schleswig-Holstein
Beschluss vom 13.07.2022
4 LA 11/20

Das OVG Schleswig-Holstein hat entschieden, dass die Videoüberwachung von Trainingsfläche, Herrenumkleide und Sitzbereich durch ein Fitnessstudio unzulässig ist.

Aus den Entscheidungsgründen:
1. Ernstliche Zweifel an der angegriffenen Entscheidung i.S.v. § 124 Abs. 2 Nr. 1 VwGO, die die Zulassung der Berufung rechtfertigen, sind zu bejahen, wenn ein einzelner tragender Rechtssatz oder eine einzelne erhebliche Tatsachenfeststellung mit schlüssigen Gegenargumenten zumindest insoweit infrage gestellt werden, dass der Erfolg des Rechtsmittels bei der im Zulassungsverfahren allein möglichen summarischen Überprüfung ebenso wahrscheinlich ist wie der Misserfolg. Ferner ist darzulegen, dass und aus welchen Gründen das verwaltungsgerichtliche Urteil auf diesen – aus Sicht der Klägerin fehlerhaften – Erwägungen beruht, d. h. die dargestellten Zweifel müssen im konkreten Fall entscheidungserheblich sein (stRspr des Senats, vgl. Beschl. v. 11.03.2021 – 4 LA 241/19 –, juris Rn. 4; Beschl. v. 27.01.2021 – 4 LA 165/19 –, juris Rn. 4 m. w. N.). Dies leistet das Zulassungsvorbringen nicht.

Das Verwaltungsgericht ist davon ausgegangen, dass die Verfügung des Beklagten vom 19. Juni 2017 in Gestalt des Widerspruchsbescheids vom 19. Oktober 2017, mit dem er der Klägerin aufgab, es zu unterlassen, den Bereich der Herrenumkleide (Kamera CH-02 und CH-03), den Bereich der Trainingsfläche (Kamera CH-05 und CH-06) sowie den Aufenthaltsbereich und die Sitzgelegenheiten bei der Getränkezapfanlage (Kamera CH-07) während der Öffnungszeiten ihres Fitnessstudios in Pinneberg mittels optisch-elektronischer Einrichtungen zu beobachten und Bildaufzeichnungen anzufertigen, sowie gespeicherte Aufzeichnungen zu vernichten, seine rechtliche Grundlage in „§ 38 Abs. 5 Satz 1 BDSG a.F.“ finde. Nach dieser Vorschrift habe die Aufsichtsbehörde nach pflichtgemäßem Ermessen darüber zu entscheiden, welche Maßnahmen sie ergreift, um den datenschutzrechtlich gebotenen Schutz personenbezogener Daten sicherzustellen. Das Verwaltungsgericht hat seiner Entscheidung sinngemäß ferner zugrunde gelegt, dass die streitbefangene Anfertigung von Videoaufnahmen in den genannten Bereichen gegen § 4 Abs. 1 BDSG a.F. verstoße, wonach die Erhebung, Verarbeitung und Nutzung personenbezogener Daten nur zulässig sei, soweit das Bundesdatenschutzgesetz a.F. oder eine andere Rechtsvorschrift dies erlaube oder anordne oder der Betroffene eingewilligt habe. Bei den Videoaufzeichnungen, die hier der Identifikation der Personen dienten, handele es sich um personenbezogene Daten, die durch die Aufzeichnung verarbeitet und ggf. genutzt würden. Eine Einwilligung der Besucher des Fitnessstudios sei nicht gegeben.

Das Verwaltungsgericht hat des Weiteren ausgeführt, dass die hier in Streit stehende Datenverarbeitung auch nicht gemäß § 6b BDSG a.F. zulässig sei. Danach sei die Beobachtung öffentlich zugänglicher Räume mit optisch-elektronischen Einrichtungen (Videoüberwachung) nur zulässig, soweit sie 1. zur Aufgabenerfüllung öffentlicher Stellen, 2. zur Wahrnehmung des Hausrechts oder 3. zur Wahrnehmung berechtigter Interessen für konkret festgelegte Zwecke erforderlich sei und keine Anhaltspunkte bestünden, dass schutzwürdige Interessen der Betroffenen überwiegen. Die sich daraus ergebenden Voraussetzungen für eine zulässige Videoüberwachung lägen nicht vor. Zwar seien hier schutzwürdige Interessen der Klägerin an der Videoüberwachung tangiert. Für den Bereich der Herrenumkleide bestünden allerdings Anhaltspunkte, dass schutzwürdige Interessen der Betroffenen überwögen. Hier sei die Intimsphäre der Betroffenen berührt. Dies stelle einen besonders intensiven Eingriff in das Persönlichkeitsrecht dar. Die Kameraüberwachung in Umkleidebereichen sei deshalb grundsätzlich unzulässig, weil sich Betroffene hier zum Teil unbekleidet zeigten und durch Kameraaufnahmen das Schamgefühl in erheblicher Weise berührt werde. Aber auch im Bereich der Trainingsfläche überwögen die schutzwürdigen Interessen der Betroffenen. Hinsichtlich der Überwachung des Aufenthaltsbereichs habe der Beklagte in der mündlichen Verhandlung klargestellt, dass die Untersagungsverfügung nicht die Videoüberwachung der Automaten und der Getränkezapfanlage umfasse. Betroffen sei allein die Beobachtung des Aufenthaltsbereichs und der Sitzgelegenheiten. Hier ist von der Klägerin schon kein berechtigtes Interesse im Sinne des § 6b Abs. 2 BDSG a.F. dargelegt worden.

a) Soweit die Klägerin vorträgt, dass sich nicht erschließe, warum die Videoüberwachung in einem Fitnessstudio unzulässig sein solle, weil man sich dort längere Zeit aufhalte, gleichzeitig aber eine ständige Videoüberwachung in einem Verkehrsmittel des Öffentlichen Personennahverkehrs zulässig sein solle, bleibt unklar, auf welche Prüfungspunkte der verwaltungsgerichtlichen Entscheidung sich dieses Vorbringen bezieht. Weder ordnet die Klägerin diesen Vortrag der Prüfung bestimmter Normen oder konkret bezeichneter Tatbestandsvoraussetzungen der herangezogenen Ermächtigungsgrundlage zu, noch lässt sich anderweitig erkennen, welchen tragenden Rechtssatz oder welche entscheidungsrelevante Tatsachenfeststellung sie insoweit beabsichtigt in Frage zu stellen. Das Vorbringen erscheint daher mehr als pauschale Kritik an dem Endergebnis der Entscheidung denn als Darlegung, die aufgrund einer intensiven Auseinandersetzung mit der angegriffenen Entscheidung deren Richtigkeit in Frage zu stellen vermag. Auch im Übrigen fehlt es weitgehend an konkreten Bezugnahmen auf die angegriffene Entscheidung.

b) Es lässt sich insoweit nur vermuten, dass die Klägerin mit ihrem Vortrag zu ernstlichen Zweifeln an der Richtigkeit der verwaltungsgerichtlichen Entscheidung der im Rahmen der Prüfung des § 6b BDSG a.F. geäußerten Auffassung des Verwaltungsgerichts, dass die schutzwürdigen Interessen der Betroffenen das berechtigte Interesse der Klägerin an der Videoaufzeichnung überwiegen, entgegentritt. Dies bleibt jedoch ohne Erfolg.

aa) Die Klägerin vermag zunächst nicht mit dem sinngemäßen Verweis darauf, dass die Videoüberwachung im Öffentlichen Personennahverkehr zulässig sei, obwohl die Betroffenen dort auch längere Zeit beobachtet würden, dieser Beobachtung nicht ausweichen könnten und auch dort Personal (z.B. der Busfahrer) zur Abwehr von Gefahren zur Verfügung stünde, die Interessenabwägung des Verwaltungsgerichts im Ergebnis ernstlich in Zweifel zu ziehen. Denn die Zulässigkeit einer Datenverarbeitung bei anderer Sachlage kann nicht das Vorliegen der Voraussetzungen des § 6b Abs. 1 BDSG a.F. im vorliegenden Fall begründen. Im Rahmen der Interessenabwägung nach § 6b Abs. 1 BDSG a.F. ist auf Seiten der verantwortlichen Stelle insbesondere die Zwecksetzung der Videoüberwachung zu beachten, während auf Seiten der von der Überwachung betroffenen Personen das allgemeine Persönlichkeitsrecht gemäß Art. 2 Abs. 1 i.V.m. Art. 1 Abs. 1 GG in seiner Ausprägung als Recht der informationellen Selbstbestimmung, des Rechtes am eigenen Bild sowie des Schutzes der Privatsphäre von Bedeutung ist. Der Frage der Eingriffsintensität kommt dabei eine entscheidende Bedeutung zu. Das Gewicht des Eingriffs wird maßgeblich durch Art und Umfang der erfassten Informationen, durch Anlass und Umstände der Erhebung, den betroffenen Personenkreis und die Art und den Umfang der Verwertung der erhobenen Daten bestimmt (OVG Lüneburg, Urt. v. 07.09.2017 – 11 LC 59/16 –, juris Rn. 47 m.w.N.). Die Interessenabwägung ist damit abhängig von den konkreten Gegebenheiten des jeweils zu beurteilenden Falles (vgl. OVG Berlin-Brandenburg, Urt. v. 06.04.2017 – OVG 12 B 7.16 –, juris Rn. 32). Neben dem Umstand, dass die Zulässigkeit der Videoüberwachung im Öffentlichen Personennahverkehr von der Klägerin im Zulassungsverfahren ohnehin nur ohne weitere Darlegungen behauptet wird, ist weder ersichtlich noch dargetan, dass die für eine Videoüberwachung im Öffentlichen Personennahverkehr sprechenden berechtigten Interessen grundsätzlich identisch mit den hier von der Klägerin dargelegten berechtigten Interessen sind oder sein können. Gleiches gilt mit Blick auf die Interessen der Betroffenen. Vielmehr drängt sich hier insbesondere mit Blick auf die Videoüberwachung einer Umkleidekabine ein gewichtiger Unterschied zur Überwachung öffentlicher Verkehrsmittel auf. Daher ist nicht ersichtlich, dass die Interessenabwägung mit Blick auf den Öffentlichen Personennahverkehr zwingend identisch zu der hier vorzunehmenden Interessenabwägung auszufallen hat.

bb) Die Klägerin verweist außerdem darauf, dass das Verwaltungsgericht nicht berücksichtigt habe, dass die Betroffenen ihr Fitnessstudio trotz der Videoüberwachung freiwillig aufsuchten oder die Videoüberwachung möglicherweise gerade in deren Interesse läge, weil diese ihnen ein Gefühl von Sicherheit vermittelte und Straftaten vermeiden könnte. Insoweit kritisiert die Klägerin zwar die vom Verwaltungsgericht vorgenommene Interessenabwägung. Dies jedoch ohne darzulegen, ob und inwieweit die nach ihrer Auffassung begangenen Fehler hier ergebnisrelevant sind, d.h. die Interessenabwägung – trotz der Feststellung des Verwaltungsgerichts, dass hier die Intimsphäre der Besucher betroffen und die Interessen der Klägerin geringer zu bewerten seien bzw. es schon an der Darlegung eines berechtigten Interesses fehle – bei Berücksichtigung der genannten Aspekte zugunsten der Klägerin ausgefallen wäre. Dies ist auch nicht ohne weiteres zu erkennen.

2. Die Klägerin zeigt mit der Begründung des Antrags auf Zulassung der Berufung auch keine besonderen rechtlichen oder tatsächlichen Schwierigkeiten im Sinne des § 124 Abs. 2 Nr. 2 VwGO auf. Besondere tatsächliche oder rechtliche Schwierigkeiten weist eine Rechtssache nur dann auf, wenn sie voraussichtlich in tatsächlicher oder rechtlicher Hinsicht größere, d. h. überdurchschnittliche, das normale Maß nicht unerheblich überschreitende Schwierigkeiten verursacht. Im Tatsächlichen ist dies besonders bei wirtschaftlichen, technischen und wissenschaftlichen Zusammenhängen, im Rechtlichen bei neuartigen oder ausgefallenen Rechtsfragen der Fall (vgl. OVG Schleswig, Beschl. v. 14.05.1999 – 2 L 244/98 –, juris Rn. 17; Beschl. d. Senats v. 02.10.2020 – 4 LA 141/18 –, juris Rn. 57). Zur Darlegung genügt nicht allein die Behauptung einer überdurchschnittlichen Schwierigkeit, die problematischen Rechts- und Tatsachenfragen und die Schwierigkeit müssen vielmehr konkret bezeichnet werden. Darüber hinaus ist aufzuzeigen, dass und aus welchen Gründen sie sich qualitativ von denjenigen eines Verwaltungsrechtsstreits „durchschnittlicher“ Schwierigkeit abheben (vgl. OVG Schleswig, Beschl. v. 16.06.2021 – 3 LA 56/20 –, juris Rn. 23; Beschl. v. 05.03.2021 – 2 LA 214/17 –, juris Rn. 4, jeweils m.w.N.). Diese Voraussetzungen erfüllt das Zulassungsvorbringen nicht.

Die Klägerin meint besondere Schwierigkeiten darin zu erkennen, dass das Verwaltungsgericht angenommen habe, dass ein Fitnessstudio ein „öffentlicher Raum“ im Sinne des § 6b BDSG a.F. sei, ohne sich gegebenenfalls mit den Unterschieden zu beispielsweise einem Bahnhofsplatz auseinanderzusetzen. Außerdem sei schwierig, welche Folgen eine Unanwendbarkeit der herangezogenen Rechtsgrundlage habe und dass das Verwaltungsgericht nicht weiter zwischen den rechtfertigenden Gründen einer Videoüberwachung, nämlich der Wahrnehmung des Hausrechts einerseits und der Wahrnehmung berechtigter Interessen andererseits, differenziert habe. Damit sind besondere Schwierigkeiten rechtlicher oder gar tatsächlicher Art jedoch nicht dargelegt. In diesem Vorbringen ist lediglich eine Kritik an der rechtlichen Prüfung des Verwaltungsgerichts, insbesondere der Subsumtion des Sachverhalts unter die herangezogenen Vorschriften erkennbar. Dass die an die gerichtliche Prüfung zu stellenden Anforderungen ausgefallen oder neuartig und damit als überdurchschnittlich schwierig zu bewerten sind, ergibt sich daraus jedoch nicht.

3. Eine Zulassung der Berufung wegen grundsätzlicher Bedeutung der Rechtssache nach § 124 Abs. 2 Nr. 3 VwGO kommt vorliegend ebenfalls nicht in Betracht. Eine solche erfordert u.a., dass eine konkrete Rechts-(oder Tatsachenfrage) aufgeworfen wird, die klärungsfähig und -bedürftig ist, mithin für die Entscheidung der Vorinstanz von Bedeutung war und dies auch für die Entscheidung im Berufungsverfahren sein wird, sowie, dass sie bisher höchstrichterlich oder – bei tatsächlichen Fragen oder nicht revisiblen Rechtsfragen – durch die Rechtsprechung des Berufungsgerichts nicht geklärt und über den Einzelfall hinaus bedeutsam ist. Um die grundsätzliche Bedeutung der Rechtssache darzulegen, ist u.a. auszuführen, dass die aufgeworfene Frage entscheidungserheblich ist und ihre Klärung im Berufungsverfahren zu erwarten steht (stRspr. des Senats, vgl. Beschl. des v. 17.02.2021 – 4 LA 208/19 –, juris Rn. 67 m.w.N.).

Entsprechende Darlegungen lässt der Antrag auf Zulassung der Berufung vollständig vermissen. Es fehlt bereits an der Formulierung einer konkreten, grundsatzbedeutsamen Frage. Der bloße Verweis darauf, dass hier die rechtlichen Voraussetzungen für den Erlass der in Streit stehenden Ordnungsverfügung bzw. die Voraussetzungen der Zulässigkeit einer Videoüberwachung im allgemeinen Interesse lägen, genügt insoweit nicht. Daneben ist im Übrigen auch nicht dargelegt, ob und inwieweit bereits Rechtsprechung zu den Voraussetzungen einer Videoüberwachung ergangen ist und inwieweit sich die Zulässigkeit einer solchen allgemeingültig, d.h. losgelöst vom jeweiligen konkreten Sachverhalt, beantworten lässt.

Den Volltext der Entscheidung finden Sie hier:

VG Hannover
Urteil vom 10.10.2023
10 A 3472/20

Das VG Hannover hat entschieden, dass die Videoüberwachung der Sitzbereiche eines Wettbüros weder nach Art. 6 Abs. 1 lit. c DSGVO noch nach Art. 6 Abs. 1 lit. f DSGVO gerichtfertigt und somit rechtswidrig ist.

Aus den Entscheidungsgründen:
I. Die Klage ist zulässig. Gemäß § 20 Abs. 1 Satz 1 Bundesdatenschutzgesetz (hiernach: BDSG) ist für Rechtsansprüche aus der der Verordnung (EU) 2016/679 des Europäischen Parlaments und des Rates vom 27. April 2016 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten, zum freien Datenverkehr und zur Aufhebung der Richtlinie 95/46/EG (Datenschutz-Grundverordnung, hiernach: DS-GVO) nach Artikel 78 Abs. 1 und 2 der DS-GVO der Verwaltungsrechtsweg gegeben. Das Verwaltungsgericht Hannover ist gemäß § 20 Abs. 3 BDSG örtlich zuständig. Die Klage gegen die Verfügungen des Beklagten aus dem Bescheid vom 20. Mai 2020 ist als Anfechtungsklage statthaft.

II. Die Klage ist unbegründet. Der Bescheid des Beklagten vom 20. Mai 2020 ist rechtmäßig und verletzt die Klägerin nicht in ihren Rechten (§ 113 Abs. 1 Satz 1 VwGO).

1. Die unter Ziffer 1 ausgesprochene Anweisung, die Ausgestaltung der von der Klägerin betriebenen Videoüberwachung so einzurichten, dass die Erhebung von personenbezogenen Daten von Personen in den Sitzbereichen während der Öffnungszeiten ausgeschlossen ist (Kameras 1,3, 4, 5 und 9) und die Überarbeitung der Kameraeinstellungen durch die Übersendung entsprechender Screenshots nachzuweisen, ist rechtmäßig.

a) Die Rechtsgrundlage für diese Anweisung findet sich in Art. 58 Abs. 2 lit. d DS-GVO. Danach verfügt die Aufsichtsbehörde über sämtliche Befugnisse, die es ihr gestatten, den Verantwortlichen anzuweisen, Verarbeitungsvorgänge gegebenenfalls auf bestimmte Weise und innerhalb eines bestimmten Zeitraums in Einklang mit der DS-GVO zu bringen.

b) Der Bescheid ist in formeller Hinsicht nicht zu beanstanden. Der Beklagte ist für den Erlass des Bescheides zuständig. Dies ergibt sich aus § 40 Abs. 1 des Bundesdatenschutzgesetzes vom 30. Juni 2017 (BDSG), § 22 Satz 1 Nr. 1 des Niedersächsischen Datenschutzgesetzes vom 16. Mai 2018 (NDSG) und Art. 55 f. DS-GVO. Die Klägerin ist vor Erlass des angegriffenen Bescheids angehört worden.

c) Die Anweisung ist auch materiell rechtmäßig. Die Videoüberwachung durch die fünf streitgegenständlichen Kameras steht in ihrer derzeitigen Ausgestaltung nicht in Einklang mit der DS-GVO. Nach Art. 5 Abs. 1 lit. a DS-GVO müssen personenbezogene Daten auf rechtmäßige Weise verarbeitet werden. Die hier in Rede stehende Videoüberwachung, bei der die im Wettbüro der Klägerin installierten Kameras 1, 3, 4, 5 und 9 als "verlängertes Auge" der Beschäftigten genutzt werden, verstößt gegen die DS-GVO, weil sie nicht nach Art. 6 DS-GVO gerechtfertigt ist.

aa. Die DS-GVO ist anwendbar. Nach Art. 2 Abs. 1 DS-GVO gilt diese Verordnung für die ganz oder teilweise automatisierte Verarbeitung personenbezogener Daten sowie für die nichtautomatisierte Verarbeitung personenbezogener Daten, die in einem Dateisystem gespeichert sind oder gespeichert werden sollen.

Bei der Beobachtung der Gäste des Wettbüros durch Kameras, die als "verlängertes Auge" der Beschäftigten genutzt werden, handelt es sich um eine Verarbeitung personenbezogener Daten im Sinne des Art. 4 Nr. 1 und Nr. 2 DS-GVO. Nach Art. 4 Nr. 2 DSGVO meint "Verarbeitung" jeden Vorgang, der mit oder ohne Hilfe automatisierter Verfahren im Zusammenhang mit personenbezogenen Daten ausgeführt wird. Die sich an diese Begriffsbestimmung anschließende, ersichtlich umfassende Aufzählung von Vorgängen in Art. 4 Nr. 2 DSGVO zeigt, dass der Begriff der Verarbeitung jeglichen Umgang mit personenbezogenen Daten erfasst (vgl. BVerwG, Urteil vom 27.3.2019 - 6 C 2/18 -, juris Rn. 43). Die Daten sind nach Art. 4 Nr. 1 DS-GVO "personenbezogen", wenn es sich um Informationen handelt, die sich auf eine identifizierte oder identifizierbare natürliche Person beziehen; als identifizierbar wird eine natürliche Person angesehen, die direkt oder indirekt, insbesondere mittels Zuordnung zu einer Kennung wie einem Namen, zu einer Kennnummer, zu Standortdaten, zu einer Online-Kennung oder zu einem oder mehreren besonderen Merkmalen, die Ausdruck der physischen, physiologischen, genetischen, psychischen, wirtschaftlichen, kulturellen oder sozialen Identität dieser natürlichen Person sind, identifiziert werden kann. Die Aufzeichnung des Bildes einer Person durch Kameras ermöglicht es den Betrachtern der Bilder, die erfassten Personen zu identifizieren (vgl. BVerwG, Urteil vom 27.3.2019 - 6 C 2/18 -, juris Rn. 43).

bb. Das hier eingesetzte Kamera-Monitor-System ist in seiner derzeitigen Ausgestaltung gemäß Art. 6 DS-GVO rechtswidrig. Danach ist die Verarbeitung nur rechtmäßig, wenn mindestens eine der unter Art. 6 Abs. 1 lit. a - f genannten Bedingungen erfüllt ist. Dies ist nicht der Fall.

aaa. Zunächst haben die von der Videoüberwachung betroffenen Personen (s. Art. 4 Nr. 1 DS-GVO) nicht nach Art. 6 Abs. 1 lit. a DS-GVO ihre Einwilligung zu der Verarbeitung der sie betreffenden personenbezogenen Daten für einen oder mehrere bestimmte Zwecke gegeben. Eine Einwilligung ist gemäß Art. 4 Nr. 11 DS-GVO jede freiwillig für den bestimmten Fall, in informierter Weise und unmissverständlich abgegebene Willensbekundung in Form einer Erklärung oder einer sonstigen eindeutigen bestätigenden Handlung, mit der die betroffene Person zu verstehen gibt, dass sie mit der Verarbeitung der sie betreffenden personenbezogenen Daten einverstanden ist. Damit betroffene Personen in Kenntnis der Sachlage ihre Einwilligung geben können, sollten sie mindestens wissen, wer der Verantwortliche ist und für welche Zwecke ihre personenbezogenen Daten verarbeitet werden sollen. Es sollte nur dann davon ausgegangen werden, dass sie ihre Einwilligung freiwillig gegeben haben, wenn sie eine echte oder freie Wahl haben und somit in der Lage sind, die Einwilligung zu verweigern oder zurückzuziehen, ohne Nachteile zu erleiden (vgl. Erwägungsgrund Nr. 42 zur DS-GVO). Danach liegt im vorliegenden Fall keine Einwilligung der Gäste vor. Es kann bereits nicht angenommen werden, dass die Gäste beim Betreten des Wettbüros - auch nicht bei deutlich sichtbar angebrachten Hinweisen auf die Beobachtung - den Umfang und die Ausgestaltung der Videoüberwachung sowie deren Zwecke zur Kenntnis nehmen, sodass schon keine Willensbekundung "in informierter Weise" stattfinden kann (vgl. BVerfG, Stattgebender Kammerbeschluss vom 23.2.2007 - 1 BvR 2368.06 -, juris Rn. 40; BVerwG, Urteil vom 27.3.2019 - 6 C 2.18 -, juris Rn. 23). Auch kann im Eintritt in das Wettbüro und den dortigen Aufenthalt ohne ausdrücklichen Protest keine unmissverständliche Willensbekundung erkannt werden (vgl. BVerfG, Stattgebender Kammerbeschluss vom 23.2.2007, a.a.O.). Schließlich haben die Gäste auch keine freie Wahl, ob sie mit der Videoüberwachung der Sitzbereiche während ihres Aufenthaltes in dem Wettbüro einverstanden sind; sie können sich nur zu ihrem Nachteil entscheiden, das Wettbüro gar nicht erst zu betreten.

bbb. Die Videoüberwachung ist auch nicht gemäß Art. 6 Abs. 1 lit. c DS-GVO zur Erfüllung einer rechtlichen Verpflichtung erforderlich, welcher der Verantwortliche unterliegt. Gemeint ist damit die Verpflichtung kraft Rechts der Union oder eines Mitgliedstaates, vgl. Art. 6 Abs. 3 UAbs. 1. Die in einer Vorschrift des objektiven Rechts vorgesehene "rechtliche Verpflichtung" muss sich dabei unmittelbar auf die Datenverarbeitung beziehen; allein der Umstand, dass ein Verantwortlicher, um irgendeine rechtliche Verpflichtung erfüllen zu können, auch personenbezogene Daten verarbeiten muss, reicht nicht aus (Albers/Veit in: BeckOK DatenschutzR, 44. Ed. 1.5.2023, DS-GVO Art. 6 Rn. 48 m.w.N.). Nach diesem Maßstab vermögen die in § 7 Abs. 3 Nr. 1 Spielverordnung genannten Vorgaben, wonach Geld- oder Warenspielgeräte unter anderem dann unverzüglich aus dem Verkehr zu ziehen sind, wenn sie in ihrer ordnungsgemäßen Funktion gestört sind, keine rechtliche Verpflichtung in diesem Sinne zu bieten, weil diese rechtliche Vorgabe keinen unmittelbaren Bezug zu einer irgendwie gearteten Datenverarbeitung herstellt.

Die Videoüberwachung ist auch nicht zur Erfüllung der Verpflichtung aus § 10c des Niedersächsischen Spielbankgesetzes (NSpielbG) erforderlich. Nach § 10 c Abs. 1 Satz 1 NSpielbG sind zu den dort bestimmten Zwecken die Eingänge, die Ausgänge, die Bereiche, in denen üblicherweise der Transport, die Zählung oder die Aufbewahrung von Bargeld oder Spielmarken erfolgt, sowie die Spielräume der Spielbank, die Spieltische und Glücksspielautomaten der Spielbank mit Videokameras zu überwachen. Die Vorschrift ist bereits nicht anwendbar, weil es sich bei dem Wettbüro der Klägerin nicht um eine im Sinne des § 1 Abs. 1 Satz 1 NSpielbG zugelassene Spielbank handelt. Eine analoge Anwendung der Vorschrift auf das Wettbüro der Klägerin kommt schon deswegen nicht in Betracht, weil die Interessenlage nicht vergleichbar ist. Spielbanken sind Örtlichkeiten, in denen Spiele mit grundsätzlich hoher Manipulationsanfälligkeit und herausragendem Suchtpotenzial angeboten werden, zu denen traditionell Tischspiele mit und ohne Bankhalter wie Roulette, Black Jack und Poker sowie spezielle stationäre Automatenspiele gehören, welche den Einschränkungen des gewerblichen Spiels und des Online-Glücksspiels nicht unterliegen (vgl. Begründung zur Änderung des NSpielbG vom 13.10.2021, Landtag-Drs. 18/10075, S. 17). Derartige Spiele finden im Wettbüro der Klägerin nicht statt; soweit auch in ihren Räumlichkeiten Spielautomaten aufgestellt sind und in dem (der Öffentlichkeit nicht zugänglichen) Bürobereich mit größeren Mengen Bargeld umgegangen wird, hat der Beklagte die Videoüberwachung nicht beanstandet.

Unabhängig davon folgt eine Verpflichtung zu einer Videoüberwachung, wie die Klägerin sie derzeit betreibt, selbst dann nicht aus § 10 c NSpielbG, wenn man die Vorschrift auf den vorliegenden Fall analog anwenden wollte. Unter "Spielräumen" sind solche Bereiche zu verstehen, in denen sich Gäste zum Zwecke der Teilnahme an Spielen aufhalten. Bereiche wie die hier in Rede stehenden, die fast ausschließlich - mit Ausnahme vereinzelter Automaten, an denen Wetten abgegeben werden können - dem Aufenthalt oder dem Verzehr von Getränken dienen, sind dort gerade nicht angesprochen. Der Gesetzgeber hat zuletzt die zu überwachenden Bereiche angepasst und "die gegebenenfalls getrennt von den Eingängen vorhandenen Ausgänge" aufgenommen (vgl. Landtag-Drs. 18/10075, S. 37). Er hat sich also bewusst gegen die Aufnahme von anderen, dem Aufenthalt von Gästen dienenden Bereichen entschieden. Dafür, dass der Gesetzgeber beabsichtigt hat, solche vornehmlich dem Aufenthalt dienenden Bereiche gerade nicht mit der gesetzlichen Verpflichtung zur Videoüberwachung zu belegen, spricht auch, dass die Regelung überhaupt explizit Bereiche nennt, in denen die Videoüberwachung stattzufinden hat. Wäre die Videoüberwachung einschränkungslos auch in Bereichen obligatorisch, in denen keine manipulationsanfälligen Spiele stattfinden, hätte der Gesetzgeber anstelle einer expliziten Aufzählung von Bereichen schlicht die verpflichtende Videoüberwachung für die gesamte Spielbank anordnen können.

ccc. Die Videoüberwachung ist auch nicht nach Art. 6 Abs. 1 lit. f DS-GVO gerechtfertigt. Dies wäre nur dann der Fall, wenn die Verarbeitung zur Wahrung der berechtigten Interessen des Verantwortlichen oder eines Dritten erforderlich ist, sofern nicht die Interessen oder Grundrechte und Grundfreiheiten der betroffenen Person, die den Schutz personenbezogener Daten erfordern, überwiegen, insbesondere dann, wenn es sich bei der betroffenen Person um ein Kind handelt.

(1) Das berechtigte Interesse an der hier noch streitigen Videoüberwachung durch die Kameras 1, 3, 4, 5 und 9 ist anzunehmen.

Als berechtigt darf jedes rechtliche, tatsächliche, wirtschaftliche oder ideelle Interesse des Verantwortlichen angesehen werden, soweit es von der Rechtsordnung nicht missbilligt wird. Das berechtigte Interesse muss auf einen konkreten Verarbeitungs- oder Nutzungszweck gerichtet sein. Aus Art. 5 Abs. 1 lit. b DS-GVO folgt, dass das Interesse nur berechtigt sein kann, wenn die Verarbeitung legitim ist (vgl. Taeger in: Taeger/Gabel, DSGVO-BDSG-TTDSG, 4. Aufl. 2022, Art. 6 Rn. 129). Es muss zum Zeitpunkt der Datenverarbeitung entstanden und vorhanden sein und darf zu diesem Zeitpunkt nicht hypothetisch sein (EuGH, Urteil vom 11.12.2019 - C-708/18 -, juris Rn. 44). Der Verantwortliche hat sein berechtigtes Interesse substantiiert vorzutragen und zu belegen (vgl. Art. 5 Abs. 2 DS-GVO; Taeger in: Taeger/Gabel, DSGVO-BDSG-TTDSG, 4. Aufl. 2022, Art. 6 Rn. 135; vgl. auch EuGH, Urteil vom 24.2.2022 - C-175/20 -, juris Rn. 77; BVerwG, Urteil vom 2.3.2022 - 6 C 7.20 -, juris Rn. 50). Dieser speziellen Substantiierung bedarf es nur dann nicht, wenn eine Situation gegeben ist, die nach allgemeiner Lebenserfahrung typischerweise gefährlich ist und der Überwachung bedarf. Eine solch abstrakte Gefährdungslage kann beispielsweise bei Einkaufszentren und Kaufhäusern anzunehmen sein (vgl. zur alten Rechtslage Nds. OVG, Urteil vom 29.9.2014 - 11 LC 114/13 -, juris Rn. 44; vgl. VG Hannover, Urteil vom 13.3.2023 - 10 A 1443/19 -, juris Rn. 57; vgl. zur Anwendbarkeit dieser Grundsätze auch im Anwendungsbereich der DS-GVO Taeger in: Taeger/Gabel, DSGVO-BDSG-TTDSG, 4. Aufl. 2022, Art. 6 Rn. 135).

Die Verhinderung und Aufklärung von Straftaten stellen grundsätzlich berechtigte Interessen im Sinne von Art. 6 Abs. 1 lit. f DS-GVO dar. Sie können eine Videoüberwachung jedoch nur dann als objektiv begründbar rechtfertigen, wenn eine Gefährdungslage besteht, die über das allgemeine Lebensrisiko hinausgeht. Eine solche Gefährdung kann sich nur aus tatsächlichen Erkenntnissen ergeben; subjektive Befürchtungen oder ein Gefühl der Unsicherheit reichen nicht aus (vgl. zum alten Recht BVerwG, Urteil vom 27.3.2019 - 6 C 2/18 -, juris Rn. 28 m.w.N.). Allerdings kann bei der Beurteilung aller Umstände des jeweiligen Falles nicht zwingend verlangt werden, dass die Sicherheit des Eigentums und der Personen zuvor beeinträchtigt wurde (EuGH, Urteil vom 11.12.2019 - C-708/18 -, juris Rn. 44). Konkrete Vorfälle müssen nicht in jedem Fall beim Überwachenden selbst stattgefunden haben, sondern die Gefahrenlage kann sich auch daraus ergeben, dass vergleichbare Vorfälle oder Übergriffe in der unmittelbaren Nachbarschaft stattgefunden haben (vgl. Orientierungshilfe Videoüberwachung durch nicht-öffentliche Stellen" der Datenschutzkonferenz - DSK - vom 17. Juli 2020, S. 8 f. m.V.a. Art. 5 Abs. 2 DS-GVO und EuGH, Urteil vom 11.12.2019 - C-708/18 -, juris Rn. 44; Leitlinien 3/2019 zur Verarbeitung personenbezogener Daten durch Videogeräte des European Data Protection Board vom 29.1.2020, Rn. 18 ff.).

Danach hat die Klägerin - dies hat auch der Beklagte anerkannt - grundsätzlich ein berechtigtes Interesse an der Videoüberwachung ihres Wettbüros dargelegt, um damit Straftaten zu unterbinden und nachzuverfolgen. Sie hat konkrete Straftaten benannt, die sich in den hier in Rede stehenden Räumlichkeiten ereignet haben und durch den Verweis auf Vorkommnisse in anderen Filialen dargelegt, dass (unter anderem) aufgrund der größeren Mengen Bargeld, mit denen in Wettbüros umgegangen wird, ein potentiell hohes Risiko für das Begehen von Straftaten besteht. Dementsprechend hat der Beklagte der Klägerin die Überwachung diverser Bereiche der Liegenschaft zugestanden (Kameras 2, 6, 7 und 8). Dabei hat der Beklagte die Videoüberwachung der Laufwege zugelassen, sodass etwaige Straftäter jedenfalls beim Verlassen der Räumlichkeiten erfasst werden, sowie die Orte, an denen mit Bargeld umgegangen wird (z.B. der Tresor). Außerhalb der Öffnungszeiten dürfen die Videoaufnahmen aufgezeichnet werden, um das unbefugte Betreten der Filiale abzuwenden oder ggf. nachverfolgen zu können.

(2) Die Videoüberwachung ist in ihrer derzeitigen Ausgestaltung zur Wahrung der Interessen der Klägerin aber nicht erforderlich. Die personenbezogenen Daten sollten für die Zwecke, zu denen sie verarbeitet werden, angemessen und erheblich sowie auf das für die Zwecke ihrer Verarbeitung notwendige Maß beschränkt sein; sie sollten nur verarbeitet werden dürfen, wenn der Zweck der Verarbeitung nicht in zumutbarer Weise durch andere Mittel erreicht werden kann (vgl. Erwägungsgrund 39 zur DS-GVO).Voraussetzung für die Erforderlichkeit der Videoüberwachung ist also, dass kein milderes, gleich effektives Mittel zur Verfügung steht, um die Interessen des Verantwortlichen zu erreichen (Buchner/Petri in: Kühling/Buchner, 3. Aufl. 2020, DS-GVO Art. 6 Rn. 147a). Die Einschränkungen beim Datenschutz müssen sich "auf das absolut Notwendige" beschränken (vgl. EuGH, Urteil vom 11.12.2019 - C-708/18 -, juris Rn. 46). Eine bloße Zweckdienlichkeit der Datenverarbeitung reicht jedenfalls nicht aus und auch das Ansinnen einer "bestmöglichen Effizienz" macht die Datenverarbeitung noch nicht zu einer erforderlichen. Entsprechend kann die Erforderlichkeit auch nicht allein damit begründet werden, dass es sich bei der beabsichtigten Datenverarbeitung um die aus Sicht des Verantwortlichen wirtschaftlich sinnvollste Alternative handelt (Petri in: Kühling/Buchner/Buchner, 3. Aufl. 2020, DS-GVO Art. 6 Rn. 147a m.w.N.).

Nach diesem Maßstab ist die Videoüberwachung der Sitzbereiche durch die Kameras 1,3, 4, 5 und 9 nicht erforderlich. Es ist derzeit nicht ersichtlich, dass die Erhebung der dadurch gewonnenen personenbezogenen Daten überhaupt geeignet - also erheblich - ist, um die von der Klägerin verfolgten Zwecke zu erreichen. Auf Grundlage der bisherigen Unterlagen ist nicht erkennbar, dass die von der Beklagten konkret benannten Straftaten überhaupt im Zusammenhang mit einem Aufenthalt von Gästen in den Sitzbereichen gestanden haben. Die Klägerin stützt sich im Wesentlichen auf befürchtete Straftaten und sonstiges Fehlverhalten, welches in der "Szene" oder dem "Milieu", aus dem die Gäste der Klägerin stammen, üblich sein soll. Die von der Klägerin benannten Straftaten lassen teilweise eindeutig erkennen, dass sich der oder die Täter(in) vor der jeweils begangenen Tat gerade nicht in den Sitzbereichen aufgehalten oder die Tat als solche dort stattgefunden hat; dies gilt für die Öffnung des Tresors, der sich in dem für die Öffentlichkeit nicht zugänglichen Bereich befindet, sowie für die Entwendung von Bargeld durch Beschäftigte der Klägerin, einen Überfall unter Einsatz von Waffengewalt, eingeschmissene Schaufensterscheiben und das unberechtigte Betreten der Geschäftsräume außerhalb der Öffnungszeiten. Die übrigen von der Klägerin genannten Taten und Vorkommnisse lassen nicht erkennen, ob diese in den für Gäste vorgesehenen Sitzbereichen stattgefunden haben; dies gilt für die Angabe "milieubedingte Kriminalität in den Geschäftsräumen, zum Beispiel Übergabe von Drogen gegen Bargeld" und Trickbetrug durch das Erzwingen von Wechselgeldfehlern. Konkrete Vorfälle in der Nachbarschaft hat die Klägerin zwar behauptet, jedoch nicht substantiiert. Soweit sie sich auf die befürchtete Manipulation von Spielgeräten und die ihr glückspielrechtlich obliegende Verpflichtung, manipulierte Geräte unverzüglich aus dem Verkehr zu ziehen, beruft, hat sie derartige Vorfälle weder für die hier in Rede stehende noch für andere Filialen oder Einrichtungen in der Nachbarschaft vorgetragen. Es fehlen auch nähere Angaben dazu, wie "Vorbereitungshandlungen" für eine Manipulation von Spielgeräten konkret aussehen und aus welchem Grund sie befürchtet, dass solche gerade in den Sitzbereichen für Gäste stattfinden könnten. Den Konsum von und Handel mit Rauschgift hat sie bislang nur behauptet, aber nicht belegt. Auch hinsichtlich der weiteren, im Laufe des gerichtlichen Verfahrens genannten Straftaten, die sich im Zeitraum vom 3. August 2016 und dem 9. Oktober 2021 in der hier streitgegenständlichen Filiale ereignet haben sollen, nämlich eine Unterschlagung von Bargeld, ein Diebstahl von Bargeld durch einen Kunden, ein Diebstahl eines Gegenstandes durch einen Kunden und zwei Raubüberfälle, ist nicht erkennbar, dass diese Straftaten im Zusammenhang mit einem Aufenthalt in den Sitzbereichen des Wettbüros standen.

Es ist außerdem nicht erkennbar, dass die Videoüberwachung der Sitzbereiche überhaupt dazu geeignet wäre, die von der Klägerin genannten Straftaten - sowohl die in der Unternehmensgruppe als auch die in der hier in Rede stehenden Filiale begangenen - zu verhindern oder bei der Aufklärung dieser Straftat einen nennenswerten Mehrwert zu bringen. Dies gilt insbesondere für die genannten Raubüberfälle, Einbrüche und Sachbeschädigungen, die - soweit ersichtlich - nicht von Personen begangen worden sind, die sich zuvor in dem Wettbüro aufgehalten haben. Auch diejenigen Straftaten, die von Beschäftigten der Klägerin begangen worden sind, wie zum Beispiel das unberechtigte Betreten der Geschäftsräume außerhalb der Öffnungszeiten, die Unterschlagung von Bargeld oder die Öffnung der Tresore und Entwendung von Bargeld, ließen sich nicht durch eine Überwachung der Sitzbereiche für Gäste verhindern. Einzig denkbar wäre dies bezüglich des genannten Trickbetruges durch das Erzwingen von Wechselgeldfehlern oder den Handel mit sowie Konsum von Rauschgift. Insoweit ist aber fraglich, ob die Beschäftigten in der Lage wären, die Monitore derart aufmerksam zu beobachten, dass ihnen Wechselgeldfehler oder der Konsum von Rauschmitteln überhaupt auffallen könnte.

Die Fortsetzung der Videoüberwachung in ihrer jetzigen Form ist auch nicht deswegen erforderlich, weil andernfalls unzumutbar hohe Betriebskosten entstünden. Bei dem Bestreben, Kosten einzusparen, handelt es sich grundsätzlich um ein berechtigtes Interesse. Allerdings muss der Verantwortliche darlegen, dass er diese Kosten auch durch andere Vorkehrungen, insbesondere durch organisatorische Veränderungen anstelle der Videoüberwachung nicht vermeiden oder in einer hinnehmbaren Größenordnung halten kann. Die Kostenersparnis kann die Erforderlichkeit der Videoüberwachung jedenfalls nur dann begründen, wenn die ansonsten entstehenden Kosten im Verhältnis zu dem Umfang der geschäftlichen Tätigkeit ins Gewicht fallen oder gar deren Wirtschaftlichkeit in Frage stellten (vgl. BVerwG, Urteil vom 27.3.2019 - 6 C 2.18 -, juris Rn. 32). Die Klägerin hat dazu nicht substantiiert vorgetragen. Aus dem von ihr hierzu zitierten Urteil des OVG des Saarlandes vom 14. Dezember 2017 ergibt sich nicht, ob der dortige Kläger substantiierte Angaben dazu gemacht hat, aus welchem Grund ihm der Einsatz von Wachpersonal wirtschaftlich nicht zumutbar ist (Az. 2 A 662/17 -, juris Rn. 47). Zudem ist der dortige Fall auch schon deswegen nicht mit dem hier zu entscheidenden vergleichbar, weil es sich bei dem dortigen Kläger um eine Apotheke gehandelt hat, die - im Gegensatz zu der Klägerin - nicht ohnehin Wachpersonal beschäftigt.

Die Klägerin kann ihrem berechtigten Interesse daran, dass kein Rauschgift in ihrer Filiale gehandelt oder konsumiert wird oder andere Straftaten begangen werden, auch durch mildere und gleich effektive Mittel begegnen. Dem Beklagten dürfte darin zu folgen sein, dass die bereits vorhandenen Beschäftigten in regelmäßigen Abständen die Sitzbereiche begehen könnten. Der Auffassung der Klägerin, die Präsenz von Wachleuten werde von Gästen als deutlich gravierenderer Eingriff wahrgenommen, sodass darin kein milderes Mittel zu sehen sei, kann nicht gefolgt werden. Anders als in der von der Klägerin dazu angeführten Entscheidung des Niedersächsischen Oberverwaltungsgerichts steht hier keine "permanente Beobachtung" der Gäste durch Wachleute in Rede (vgl. Urteil vom 29.9.2014 - 11 LC 114/13 -, juris Rn. 57), sondern gelegentliche Rundgänge von ohnehin anwesendem Personal. Hinsichtlich der von der Klägerin bezweckten Abschreckungswirkung wirken auch nur gelegentlich die Räumlichkeit abschreitende Beschäftigte mindestens ebenso effektiv abschreckend wie die vorhandenen Kameras (vgl. VG Stuttgart, Urteil vom 12.3.2021 - 18 K 8202/19 -, n.v.). Ihre Beschäftigten können sich vor eventuell aggressiv auftretenden Gästen schützen, indem sie die Polizei kontaktieren, anstatt sie selbst anzusprechen oder des Hauses zu verweisen. Für die Beschäftigten dürfte der zeitliche und personelle Aufwand, die fünf streitigen Kameras neben ihren anderen Aufgaben dauerhaft aufmerksam zu beobachten, um die in den Sitzbereichen befürchteten Vorbereitungshandlungen für Straftaten zu entdecken, als ebenso hoch zu bewerten sein wie die Durchführung regelmäßiger Kontrollgänge durch die Sitzbereiche. Der Gefahr von durch Betrug erzwungenen Wechselgeldfehlern könnte die Klägerin begegnen, indem die Gäste ihre Getränke nur noch am Tresen bezahlen, der außerdem von der nicht mehr streitgegenständlichen Kamera 2 erfasst wird.

Aus dem bisherigen Vortrag der Klägerin ist auch nicht nachvollziehbar, aus welchem Grund das von dem Beklagten vorgeschlagene mildere Mittel, die streitigen Kameras mit einer Folie zu versehen oder eine "Privatzonenmaskierung" einzurichten, sodass die sitzenden Gäste nicht mehr identifizierbar sind, nicht ebenso geeignet ist, wie die Videoüberwachung in ihrer derzeitigen Form. Ihr Vortrag, in dem Fall seien Vorbereitungshandlungen für eine Manipulation eines Spielgerätes schwieriger erkennbar, ist ohne konkretere Angaben dazu, wie solche Vorbereitungshandlungen aussehen, nicht nachvollziehbar. Unabhängig davon sind solche Manipulationsversuche offenbar bislang nicht vorgekommen; jedenfalls ist dies nicht vorgetragen worden.

Schließlich führt auch die in § 10 c NSpielbG zum Ausdruck gekommene Wertung des Niedersächsischen Gesetzgebers nicht dazu, die Videoüberwachung für das hier in Rede stehende Wettbüro als erforderlich anzusehen. Insoweit wird auf die obigen Ausführungen verwiesen (s. II. 1. c. bb. bbb.).

(3) Im Übrigen und selbst für den Fall, dass die Verarbeitung der durch die Videokameras 1, 3, 4, 5 und 9 verarbeiteten personenbezogenen Daten zur Wahrung des berechtigten Interesses der Klägerin erforderlich wäre, überwiegen im vorliegenden Fall die Interessen der von der Videoüberwachung betroffenen Personen das Interesse der Klägerin. Ausgangspunkt der Abwägung sind einerseits die Auswirkungen, die eine Datenverarbeitung für die betroffene Person mit sich bringt, und andererseits die Interessen des Verantwortlichen oder Dritten. In diesem Zusammenhang sind Art, Inhalt und Aussagekraft der betroffenen Daten an dem mit der Datenverarbeitung verfolgten Zweck zu messen. Außerdem können die vernünftigen Erwartungen der betroffenen Person einbezogen werden; entscheidend soll sein, ob die betroffene Person zum Zeitpunkt der Datenerhebung angesichts der näheren Umstände "vernünftigerweise absehen kann", dass eine Datenverarbeitung für einen bestimmten Zweck stattfinden wird (vgl. Petri in: Kühling/Buchner/Buchner, 3. Aufl. 2020, DS-GVO Art. 6 Rn. 149 ff.)

Für die von der Videoüberwachung betroffenen Gäste streitet ihr Recht auf Schutz der personenbezogenen Daten nach Art. 8 GRCh sowie ihr Recht auf Achtung des Privat- und Familienlebens nach Art. 7 GRCh und Art. 8 EMRK. Demgegenüber hat die Klägerin ein Interesse an dem Schutz ihres Eigentums, der Verhinderung und Aufklärung von Straftaten sowie an der Gewährleistung der Einhaltung der ihr obliegenden gesetzlichen Verpflichtungen (Jugendschutz, gesperrte Spieler, glücksspielrechtliche Vorgaben bezüglich der Spielautomaten).

Zugunsten der Klägerin ist hier zu berücksichtigen, dass die Videoaufnahmen nicht gespeichert werden und ihr in der Vergangenheit durch begangene Straftaten erhebliche Vermögensschäden entstanden sind. Demgegenüber dienen die Bereiche einem längeren Verweilen von Gästen, die ganz überwiegend keinerlei böse Absichten hegen. Die Überwachung erfolgt anlasslos, regelmäßig und personengenau und betrifft in den allermeisten Fällen Personen, die weder die körperliche Unversehrtheit der Beschäftigten noch dem Eigentum der Klägerin schaden möchten (vgl. VG Stuttgart, Urteil vom 12.3.2021 - 18 K 8202/19 -, S. 23). Eine durchgängige Überwachung auch bei Beschäftigungen, die in keinem Zusammenhang zu der Art des Etablissements stehen, in dem sich die Gäste aufhalten, können sie auch nicht "vernünftigerweise" erwarten.

cc. Der Beklagte hat das ihm gemäß Art. 58 Abs. 2 DS-GVO zustehende Entschließungs- und Auswahlermessen schließlich auch fehlerfrei ausgeübt. Gemäß Art. 58 Abs. 2 DS-GVO verfügt der Beklagte über sämtliche Abhilfebefugnisse, die es ihm gestatten, den Verantwortlichen anzuweisen, Verarbeitungsvorgänge gegebenenfalls auf bestimmte Weise und innerhalb eines bestimmten Zeitraums in Einklang mit dieser Verordnung zu bringen (Buchstabe d) sowie eine vorübergehende Beschränkung oder Verbot der Verarbeitung zu verhängen (Buchstabe f). Die Aufsichtsbehörde kann von ihrer Abhilfebefugnis Gebrauch machen, wenn sie einen Verstoß gegen Datenschutzbestimmungen festgestellt hat. Bei der Ausübung des ihr dann eingeräumten Ermessens hat sie den Verhältnismäßigkeitsgrundsatz zu beachten. Bei festgestellten Verstößen ist die Aufsichtsbehörde in der Regel gehalten, dagegen mit dem Ziel der Abstellung des Verstoßes vorzugehen. Hinsichtlich des Entschließungsermessens ist daher von einem intendierten Ermessen auszugehen, wenn die Aufsichtsbehörde - wie hier - einen Rechtsverstoß festgestellt hat.

Es ist auch kein Fehler bei der Ausübung des Auswahlermessens zu erkennen. Bei der Auswahl der geeigneten Abhilfemaßnahme nach Art. 58 Abs. 2 DSGVO muss die Aufsichtsbehörde den Verhältnismäßigkeitsgrundsatz beachten und insofern auch die Eingriffsintensität berücksichtigen (vgl. VGH Baden-Württemberg, Beschluss vom 22.1.2020 - VGH 1 S 3001/19 -, juris Rn. 61; VG Mainz, Urteil vom 24.9.2020 - 1 K 584/19.MZ -, juris Rn. 51). Das hier ausgesprochene Verbot der Videoüberwachung in den Sitzbereichen ist geeignet, um die beeinträchtigten Rechte der Gäste zu wahren. Es war auch erforderlich. Ein milderes, gleich geeignetes Mittel ist nicht ersichtlich. In Art. 58 Abs. 2 DS-GVO ist kein abgestuftes System dahingehend zu erkennen, dass der Beklagte zuerst eine Verwarnung hätte aussprechen müssen. Eine Verwarnung kommt regelmäßig bei einfachen Verletzungen der DS-GVO in Frage, welche zu keiner erheblichen Gefährdung des Datenschutzgrundrechts geführt haben. Eine Verwarnung wird eine Datenschutz-Aufsichtsbehörde aussprechen, wenn die Schwelle zur Verhängung einer Geldbuße noch nicht erreicht ist; die Verwarnung lässt sich daher auch als "kleine Schwester der Geldbuße" bezeichnen, also als Abhilfemaßnahme, die bei geringfügigen Verstößen gegen die DS-GVO oder sonstigen Gründen der Verhältnismäßigkeit "anstelle einer Geldbuße" (so explizit Erwägungsgrund 148 Satz 2 DS-GVO) verhängt werden kann (Selmayr in: Ehmann/Selmayr, 2. Aufl. 2018, DS-GVO Art. 58 Rn. 20 m.w.N.). Hier steht gerade kein geringfügiger Verstoß in Rede, sondern die Gäste des Wettbüros werden anlasslos und dauerhaft gefilmt und beobachtet. Der Beklagte hat dem Verhältnismäßigkeitsgrundsatz insofern schon im Vorfeld des gerichtlichen Verfahrens Rechnung getragen, als dass er die Videoüberwachung in weiten Teilen des Wettbüros nicht mehr beanstandet.

Den Volltext der Entscheidung finden Sie hier:

Der Europäische Datenschutzausschuss (EDSA) hat Meta / Facebook / Instagram die Nutzung personenbezogener Daten für personalisierte Werbung untersagt.

Die Pressemitteilung der EDSA:
EDPB Urgent Binding Decision on processing of personal data for behavioural advertising by Meta

Launch of coordinated enforcement

On 27 October, the EDPB adopted an urgent binding decision instructing the Irish (IE) DPA as lead supervisory authority (LSA) to take, within two weeks, final measures regarding Meta Ireland Limited (Meta IE) and to impose a ban on the processing of personal data for behavioural advertising on the legal bases of contract and legitimate interest across the entire European Economic Area (EEA).

The urgent binding decision followed a request from the Norwegian Data Protection Authority (NO DPA) to take final measures in this matter that would have effect in the entire European Economic Area (EEA).

The ban on processing will become effective one week after the notification of the final measures by the IE SA to the controller.
The Irish DPC has notified Meta on 31/10 about the EDPB Urgent Binding Decision.
The EDPB takes note of Meta's proposal to rely on a consent based approach as legal basis, as it was reported on 30/10. The Irish DPC is currently evaluating this together with the Concerned Supervisory Authorities (CSAs).

EDPB Chair Anu Talus said: “After careful consideration, the EDPB considered it necessary to instruct the IE SA to impose an EEA-wide processing ban, addressed to Meta IE. Already in December 2022, the EDPB Binding Decisions clarified that contract is not a suitable legal basis for the processing of personal data carried out by Meta for behavioural advertising. In addition, Meta has been found by the IE SA to not have demonstrated compliance with the orders imposed at the end of last year. It is high time for Meta to bring its processing into compliance and to stop unlawful processing.”

VG Ansbach
Beschluss vom 03.08.2023
AN 14 K 19.01313

Das VG Ansbach hat entschieden, dass ein Betroffener nach 3 Monaten Untätigkeit Leistungsklage gegen die zuständige Datenschutzbehörde erheben kann. Die Kosten trägt § 161 Abs. 3 VwGO analog die Datenschutzbehörde.

Aus den Entscheidungsgründen:
1. Die Kosten des Verfahrens trägt vorliegend analog § 161 Abs. 3 VwGO der Beklagte.

Entgegen der Ansicht der Klägerin war für die Kostenentscheidung § 161 Abs. 3 VwGO nicht direkt anwendbar, da es sich vorliegend nicht um eine Untätigkeitsklage i.S.d. § 161 Abs. 3, § 75 VwGO gehandelt hat. Denn das Klagebegehren der Klägerin richtete sich nicht auf eine bestimmte, als Verwaltungsakt zu qualifizierende Maßnahme seitens den Beklagten, sondern auf ein Tätigwerden des Beklagten im Rahmen ihrer Datenschutzbeschwerde nach Art. 77 f. DS-GVO. Daher war nicht die Untätigkeitsklage nach § 75 VwGO die hier statthafte Klageart, sondern die allgemeine Leistungsklage.

§ 161 Abs. 3 VwGO ist auf den hier vorliegenden Fall aber analog anzuwenden, da es sich um eine Interessenlage handelt, welche der einer Untätigkeitsklage vergleichbar ist, für welche aber eine planwidrige Regelungslücke besteht.

Für den Fall einer Klage nach Art. 78 Abs. 2 Alt. 2 VwGO besteht hinsichtlich der Kostenentscheidung eine planwidrige Regelungslücke, da die §§ 154 ff. VwGO, welche über § 20 Abs. 2 BDSG auch im Fall einer Klage nach Art. 78 Abs. 2 Alt. 2 VwGO zur Anwendung kommen, keine spezielle Kostenregelung für diese Klagekonstellation enthalten. Die Interessenlage ist in dieser Konstellation aber insgesamt mit der einer Untätigkeitsklage nach § 75 VwGO vergleichbar, da beiden Fällen zugrunde liegt, dass eine Behörde pflichtwidrig nicht (rechtzeitig) tätig geworden ist.

Daher ist in Fällen wie dem vorliegenden, in denen der Beklagte den Beschwerdeführer entgegen der Vorschrift des Art. 78 Abs. 2 Alt. 2 DS-GVO nicht innerhalb von drei Monaten über den Stand der Beschwerde in Kenntnis gesetzt hatte und der Beschwerdeführer daraufhin deswegen Klage erhoben hat, § 161 Abs. 3 VwGO analog anzuwenden.

Die Voraussetzungen des § 161 Abs. 3 VwGO liegen hier vor. Die Klägerin durfte grundsätzlich aufgrund der Vorschrift des Art. 78 Abs. 2 Alt. 2 VwGO damit rechnen, dass der Beklagte sie innerhalb von drei Monaten über den Stand ihrer Datenschutzbeschwerde vom 5. April 2019 in Kenntnis setzt. Entgegen der Ansicht des Beklagten handelte es sich bei dieser E-Mail der Klägerin auch um eine Beschwerde i.S.d. Art. 77, 78 DS-GVO, denn die Voraussetzungen an die bloße Einleitung eines Beschwerdeverfahrens dürfen im Sinne des hier bezweckten effektiven Rechtsbehelfs nicht überspannt werden. Die Klägerin hat in dieser E-Mail ausdrücklich einen Verstoß gegen das Kopplungsverbot (Art. 7 Abs. 4 DS-GVO) gerügt, sodass die Behandlung ihrer E-Mail als Beschwerde i.S.d. Art. 77, 78 DS-GVO mit der entsprechenden Unterrichtungspflicht aus Art. 78 Abs. 2 Alt. 2 DS-GVO angezeigt gewesen wäre.

Da die inhaltlichen Anforderungen an ein Inkenntnissetzen i.S.d. Art. 78 Abs. 2 Alt. 2 DS-GVO wohl nicht allzu hoch sind, dürfte sich auch der behördliche Zeitaufwand hierfür in Grenzen halten und in der Regel innerhalb von drei Monaten umsetzbar sein. Es sind im vorliegenden Fall auch keine außergewöhnlichen Anhaltspunkte ersichtlich, die möglicherweise eine Verlängerung der starren Frist des Art. 78 Abs. 2 Alt. 2 DS-GVO rechtfertigen könnten. Daher durfte die Klägerin analog § 161 Abs. 3 VwGO mit einem Tätigwerden des Beklagten vor Klageerhebung rechnen.

Deswegen waren die Kosten des Verfahrens vorliegend analog § 161 Abs. 3 VwGO dem Beklagten aufzuerlegen.

2. Die Streitwertfestsetzung beruht auf § 51 Abs. 2 GKG. Da das Begehren der Klägerin allein auf die Durchführung eines Beschwerdeverfahrens gerichtet war und somit hinter einem Begehren auf eine solche Durchführung eines Beschwerdeverfahrens einschließlich einer bestimmten behördlichen Entscheidung zurückbleibt, erscheint nach dem Ermessen des Gerichts die Festsetzung eines Streitwerts in Höhe des hälftigen Auffangstreitwerts aus § 52 Abs. 2 GKG angemessen (§ 52 Abs. 1 GKG) (vgl. VG Ansbach, U.v. 12.10.2022 – AN 14 K 19.01728 – juris Rn. 48-50).

Den Volltext der Entscheidung finden Sie hier:

Die Berliner Beauftragte für Datenschutz und Informationsfreiheit (BlnBDI) hat ein Bußgeld in Höhe von 215.000 EURO gegen ein Unternehmen u.a. wegen datenschutzwidriger Speicherung von Gesundheitsdaten und Interesse an Betriebsratsgründung von Beschäftigten in der Probezeit verhängt.

Die Pressemitteilung des der BlnBDI:
Eine Liste mit Informationen über Beschäftigte in der Probezeit

Die Berliner Beauftragte für Datenschutz und Informationsfreiheit (BlnBDI) hat gegen ein Unternehmen Bußgelder in Höhe von insgesamt 215.000 Euro verhängt. Das Unternehmen hatte u. a. unzulässigerweise sensible Informationen über den Gesundheitszustand einzelner Beschäftigter oder deren Interesse an einer Betriebsratsgründung dokumentiert. Der Bußgeldbescheid ist noch nicht rechtskräftig.

Um mögliche Kündigungen zum Ende der Probezeit vorzubereiten, führte eine Vorgesetzte auf Weisung der Geschäftsführung des Unternehmens von März bis Juli 2021 eine tabellarische Übersicht aller Beschäftigten in der Probezeit. Die Berliner Datenschutzbeauftragte erfuhr durch Medienberichte und eine persönliche Beschwerde eines Betroffenen von dem Vorfall und leitete eine Prüfung ein.

In der Übersicht listete die Vorgesetzte alle Mitarbeitenden in der Probezeit auf und bewertete die weitere Beschäftigung von elf Personen als „kritisch“ oder „sehr kritisch“. Diese Einstufung wurde in einer Tabellenspalte mit der Überschrift „Begründung“ näher erläutert. Hier fanden sich Angaben zu persönlichen Äußerungen sowie gesundheitlichen und außerbetrieblichen Gründen, die einer flexiblen Schichteinteilung entgegenstehen würden. Auch ein mögliches Interesse an der Gründung eines Betriebsrates und die regelmäßige Teilnahme an einer Psychotherapie wurden hier genannt. In vielen Fällen hatten die Beschäftigten die aufgeführten Informationen selbst für die Dienstplanung mitgeteilt. Die Weiterverarbeitung in der Liste war ihnen nicht bekannt.

Die Berliner Datenschutzbeauftragte kam bei ihrer Prüfung zu dem Ergebnis, dass die Verarbeitung der erhobenen Daten in den beanstandeten Fällen nicht rechtmäßig war. Zusätzlich zur Ahndung dieses strukturellen Verstoßes verhängte die BlnBDI gegen das Unternehmen drei weitere Bußgelder in Höhe von insgesamt rund 40.000 Euro wegen fehlender Beteiligung der betrieblichen Datenschutzbeauftragten bei der Erstellung der Liste, verspäteter Meldung einer Datenpanne und fehlender Erwähnung der Liste im Verarbeitungsverzeichnis.

Meike Kamp, Berliner Beauftragte für Datenschutz und Informationsfreiheit: „Die Erhebung, Speicherung und Verwendung von Beschäftigtendaten müssen stets im zulässigen Zusammenhang mit dem Beschäftigungsverhältnis erfolgen. Das war in diesem Fall nicht gegeben. Insbesondere Gesundheitsdaten sind besonders sensitive Informationen, die nur in engen Grenzen verarbeitet werden dürfen.“

Grundsätzlich dürfen Arbeitgeber:innen Überlegungen anstellen, inwiefern Beschäftigte weiterbeschäftigt werden sollen und insofern auch personenbezogene Daten verarbeiten. Die verarbeiteten Daten müssen jedoch für diesen Zweck geeignet und erforderlich sein. Sie dürfen nur Rückschlüsse auf Leistung oder Verhalten zulassen, die in unmittelbarem Zusammenhang mit dem Beschäftigungsverhältnis stehen. Arbeitgeber:innen dürfen auch von Beschäftigten selbst mitgeteilte Informationen nicht einfach weiterverarbeiten, sondern müssen prüfen, ob die Verarbeitung erforderlich und angemessen ist.

Bei der Bemessung der Bußgelder berücksichtigte die BlnBDI den Umsatz des Unternehmens und die Anzahl der betroffenen Beschäftigten. Außerdem wurde berücksichtigt, dass insbesondere die Verarbeitung von Gesundheitsdaten ohne Rechtsgrundlage einen besonders schwerwiegenden Verstoß darstellt. Bußgeldmindernd wurde u. a. berücksichtigt, dass das Unternehmen umfassend mit der BlnBDI kooperiert hat und den Verstoß nach öffentlichem Bekanntwerden bereits ohne Aufforderung von sich aus abgestellt hat.