Skip to content

LfDI Baden-Württemberg: 50.000 EURO Bußgeld wegen missbräuchlicher Verwendung von Grundbuchdaten durch Bauträgerunternehmen zu Werbezwecken - DSGVO-Verstoß

Der LfDI Baden-Württemberg hat ein Bußgeld in Höhe von 50.000 EURO wegen der missbräuchlichen Verwendung von Grundbuchdaten durch ein Bauträgerunternehmen zu Werbezwecken verhängt.

Die Pressemitteilung der Datenschutzbehörde:
Bußgeld: Daten aus dem Grundbuch stehen nicht zur freien Verfügung

LfDI Baden-Württemberg hat Geldbußen wegen missbräuchlicher Verwendung von Grundbuchdaten verhängt

Auch Daten aus öffentlichen Registern wie dem Grundbuch stehen nicht zur freien Verfügung

Der Landesbeauftragte Dr. Stefan Brink: „Verantwortliche sollten sich bewusstmachen, dass auch öffentliche Daten Schutz genießen und nicht zur freien Verfügung stehen. Die im vorliegenden Fall verhängten Geldbußen machen deutlich, dass sich heimliche Datenverarbeitungen unter Ausnutzung spezieller Zugriffsrechte nicht auszahlen. Die Datenschutz-Grundverordnung gilt auch im hart umkämpften Markt um Bauland.“

Wegen rechtswidriger Datenerhebung und –weitergabe und Verstößen gegen die Informationspflichten hat der Landesbeauftragte für den Datenschutz und die Informationsfreiheit Baden-Württemberg Geldbußen gegen ein Bauträgerunternehmen und einen Vermessungsingenieur in Höhe von 50.000 Euro und 5.000 Euro verhängt.

Ein Grundstückseigentümer in einem Neubaugebiet hatte ein Schreiben eines Bauträgers erhalten, in dem ihm ein Kaufpreisangebot für sein Grundstück unterbreitet wurde. Eine Information über die Herkunft seiner Daten enthielt das Schreiben nicht, auch auf Nachfrage wurde dem Adressaten nicht mitgeteilt, woher der Bauträger dessen Daten hatte, insbesondere die Kenntnis von dessen Eigentümerstellung.

Die Bußgeldstelle beim Landesbeauftragten ermittelte anschließend, dass ein Vermessungsingenieur von seiner Befugnis zur Einsichtnahme in das elektronische Grundbuch im automatisierten Abrufverfahren Gebrauch gemacht und in zwei Fällen mehrere Hundert Grundstückseigentümer ohne deren Kenntnis identifiziert und die entsprechenden Informationen an einen Bauträger weitergegeben hatte. Dieser wiederum schrieb die so ermittelten Eigentümer mit einem Kaufpreisangebot für deren Grundstücke an, ohne die notwendigen Informationen nach Art. 14 DS-GVO zu erteilen, insbesondere ohne über die Herkunft der Daten zu informieren.

Dieses Vorgehen stellt einerseits einen Verstoß gegen Art. 6 Abs. 1 DS-GVO dar. So ist bei der Interessenabwägung im Rahmen des Art. 6 Abs. 1 Buchst. f DS-GVO zu berücksichtigen, dass zwischen den Grundstückseigentümern und dem Bauträger keine vorherige Geschäftsbeziehung bestand und die Eigentümer nicht davon ausgehen mussten, dass ihre Daten im Grundbuch für werbliche Ansprachen zur Verfügung stehen. Hierbei kommt besondere Bedeutung der Tatsache zu, dass Grundstückseigentümer weder der Eintragung im Grundbuch noch der Datenübermittlung widersprechen können, vielmehr werden ihre Daten auf Grund einer gesetzlichen Pflicht erhoben. Diese gesetzliche Pflicht dient aber nicht der werblichen Ansprache, sondern der Rechtssicherheit bei Grundstücksgeschäften. Dementsprechend ist für das grundbuchrechtliche Einsichtsrecht auch allgemein anerkannt, dass ein alleiniges Erwerbsinteresse nicht zur Einsichtnahme berechtigt, es vielmehr bereits der konkreten Vertragsverhandlungen bedarf.

Zudem lag auch ein Verstoß gegen Art. 14 DS-GVO vor, indem den Eigentümern – auch bei Kontaktaufnahme – keine Informationen zur Datenverarbeitung zur Verfügung gestellt wurden. Diese Informationen sind aber wesentliche Voraussetzung für betroffene Personen, um ihre Betroffenenrechte nach den Art. 15 ff. DS-GVO geltend machen zu können. Ein Ausschlussgrund war vorliegend auch nicht gegeben, insbesondere stellt § 12 GBO keine Rechtsvorschrift im Sinne des Art. 14 Abs. 5 Buchst. c DS-GVO dar, da sich für betroffene Personen bei Einsichtnahme durch Dritte aus § 12 GBO weder die datenerhebende Stelle noch Umfang, Zweck oder Dauer der Datenerhebung ersichtlich sind.

Bei der Zumessung der Geldbuße wurde neben der Anzahl der betroffenen Personen, der Art der betroffenen Daten und der Bedeutung der verletzten Vorschriften vor allem die Kooperation der verantwortlichen Stellen im Bußgeldverfahren berücksichtigt.

Die Geldbußen wurden von den Verantwortlichen akzeptiert und sind zwischenzeitlich rechtskräftig.


BlnBDI: 525.00 EURO Bußgeld gegen Berliner E-Commerce-Konzern nach vorheriger Verwarnung wegen Verstoßes gegen DSGVO durch Interessenkonflikt des betrieblichen Datenschutzbeauftragten

Die Berliner Beauftragte für Datenschutz und Informationsfreiheit (BlnBDI) hat ein Bußgeld in Höhe von 525.00 EURO gegen einen Berliner E-Commerce-Konzern wegen Verstoßes gegen die Vorgaben der DSGVO durch einen Interessenkonflikt des betrieblichen Datenschutzbeauftragten verhängt. Die Datenschutzbehörde hatte vor Verhängung des Bußgelds fruchtlos eine Verwarnung ausgesprochen.

Die Pressemitteilung der BlnBDI:
Interessenkonflikt des betrieblichen Datenschutzbeauftragten: 525.000 Euro Bußgeld gegen die Tochtergesellschaft eines Berliner E-Commerce-Konzerns

Die Berliner Beauftragte für Datenschutz und Informationsfreiheit (BlnBDI) hat gegen die Tochtergesellschaft eines Berliner Handelskonzerns ein Bußgeld in Höhe von 525.000 Euro wegen eines Interessenkonflikts des betrieblichen Datenschutzbeauftragten verhängt. Das Unternehmen hatte einen Datenschutzbeauftragten benannt, der Entscheidungen unabhängig kontrollieren sollte, die er selbst in einer anderen Funktion getroffen hatte. Das Bußgeld ist noch nicht rechtskräftig. Betriebliche Datenschutzbeauftragte haben eine wichtige Aufgabe: Sie beraten das Unternehmen hinsichtlich der datenschutzrechtlichen Pflichten und kontrollieren die Einhaltung der Datenschutzvorschriften. Diese Funktion dürfen gemäß Art. 38 Abs. 6 Satz 2 Datenschutz-Grundverordnung (DS-GVO) ausschließlich Personen ausüben, die keinen Interessenkonflikten durch andere Aufgaben unterliegen. Das wäre zum Beispiel bei Personen mit leitenden Funktionen im Unternehmen der Fall, die selber maßgebliche Entscheidungen über die Verarbeitung von personenbezogenen Daten im Unternehmen treffen. Die Aufgabe darf demnach nicht von Personen wahrgenommen werden, die sich dadurch selbst überwachen würden.

So ein Interessenkonflikt lag nach Auffassung der BlnBDI im Falle eines Datenschutzbeauftragten einer Tochtergesellschaft eines Berliner E-Commerce-Konzerns vor. Die Person war gleichzeitig Geschäftsführer von zwei Dienstleistungsgesellschaften, die im Auftrag genau jenes Unternehmens personenbezogene Daten verarbeiteten, für die er als Datenschutzbeauftragter tätig war. Diese Dienstleistungsgesellschaften sind ebenfalls Teil des Konzerns; stellen den Kund:innenservice und führen Bestellungen aus.

Der Datenschutzbeauftragte musste somit die Einhaltung des Datenschutzrechts durch die im Rahmen der Auftragsverarbeitung tätigen Dienstleistungsgesellschaften überwachen, die von ihm selbst als Geschäftsführer geleitet wurden. Die BlnBDI sah in diesem Fall einen Interessenkonflikt und damit einen Verstoß gegen die Datenschutz-Grundverordnung. Die Aufsichtsbehörde erteilte daher im Jahr 2021 zunächst eine Verwarnung gegen das Unternehmen.

Nachdem eine erneute Überprüfung in diesem Jahr ergab, dass der Verstoß trotz der Verwarnung weiterbestand, verhängte die BlnBDI das Bußgeld, das noch nicht rechtskräftig ist.

Volker Brozio, kommissarischer Dienststellenleiter der BlnBDI: „Dieses Bußgeld unterstreicht die bedeutende Rolle der Datenschutzbeauftragten in Unternehmen. Ein Datenschutzbeauftragter kann nicht einerseits die Einhaltung des Datenschutzrechts überwachen und andererseits darüber mitentscheiden. Eine solche Selbstkontrolle widerspricht der Funktion eines Datenschutzbeauftragten, der gerade eine unabhängige Instanz sein soll, die im Unternehmen auf die Einhaltung des Datenschutzes hinwirkt.“

Bei der Bußgeldzumessung berücksichtigte die BlnBDI den dreistelligen Millionenumsatz des ECommerce-Konzerns im vorangegangen Geschäftsjahr und die bedeutende Rolle des Datenschutzbeauftragten als Ansprechpartner für die hohe Zahl an Beschäftigten und Kund:innen. Berücksichtigung fand auch die vorsätzliche Weiterbenennung des Datenschutzbeauftragten über fast ein Jahr trotz der bereits erteilten Verwarnung. Als bußgeldmindernd wurde u. a. eingestuft, dass das Unternehmen umfangreich mit der BlnBDI zusammengearbeitet und den Verstoß während des laufenden Bußgeldverfahrens abgestellt hat.

„Zur Vermeidung von Datenschutzverstößen sollten Unternehmen etwaige Doppelrollen der betrieblichen Datenschutzbeauftragten in Konzernstrukturen auf Interessenkonflikte hin prüfen“, sagt Brozio. „Das gilt insbesondere dann, wenn Auftragsverarbeitungen oder gemeinsame Verantwortlichkeiten zwischen den Konzerngesellschaften bestehen.“

LG Hamburg: Kein Anspruch Dritter gegen Hamburger Datenschutzbeauftragten auf Herausgabe des teilweise anonymisierten datenschutzrechtlichen Bußgeldbescheids gegen H&M

LG Hamburg
Beschluss vom vom 28.10.2021
625 Qs 21/21 OWi


Das LG Hamburg hat entschieden, dass Dritte keinen Anspruch gegen den Hamburger Datenschutzbeauftragten (HmbBfDI ) auf Herausgabe des teilweise anonymisierten datenschutzrechtlichen Bußgeldbescheids gegen H&M haben.

Aus den Entscheidungsgründen:
Der Antrag auf gerichtliche Entscheidung ist zulässig und hat auch in der Sache überwiegend Erfolg. Auf die mit Bescheid des HmbBfDI vom 28. Januar 2021 beabsichtigte umfassende Herausgabe des teilweise anonymisierten Bußgeldbescheids vom 30. September 2020 haben die vier Antragssteller keinen Anspruch. Ihnen ist lediglich hinsichtlich der Passage „Zumessung der Geldbuße“, Seite 9 des Bußgeldbescheids bis Seite 10, 3. Absatz, 1. Halbsatz „Anknüpfungspunkt ist daher der gesamte Umsatz im Onlinehandel“ Auskunft zuzubilligen.
[...]
Der Antrag auf gerichtliche Entscheidung hat in der Sache überwiegend Erfolg. Den vier auskunftssuchenden Antragsstellern steht kein Anspruch auf die Übermittlung des Bußgeldbescheids vom 30. September 2020 in der vom HmbBfDI teilanonymisierten Form, die dem angegriffenen Bescheid vom 28. Januar 2021 als Anlage 1 beigefügt war, und des Dokuments „ 2./2020 – Bußgeldzumessung unter Anwendung des DSK-Konzepts“ gemäß Anlage 2 des Bescheids vom 28. Januar 2021nach § 475 Abs. 1 und 4 StPO zu.

Gemäß § 475 Absatz 1 und 4 StPO können Privatpersonen Auskünfte aus Akten erteilt werden, soweit diese hierfür ein berechtigtes Interesse darlegen. Sie sind zu versagen, wenn der hiervon Betroffene ein schutzwürdiges Interesse an der Versagung hat. Im Übrigen soll Akteneinsicht grundsätzlich nur in dem Umfang erfolgen, als dies zur Wahrnehmung des berechtigten Interesses der Privatperson erkennbar erforderlich ist (vgl. LG Bochum, Beschluss vom 10.11.2004 – 1 AR 16/04).

Zwar haben alle auskunftssuchenden Antragssteller ein berechtigtes Interesse darlegt; deren Auskunftsinteresse der Antragsteller stehen aber die schutzwürdigen Interessen der Betroffenen an der Versagung der Auskünfte jedenfalls in Form der Übersendung des vom HmbBfDI lediglich geringfügig geschwärzten Bußgeldbescheids gemäß Anlage 1 und des Dokuments „ 2./2020 – Bußgeldzumessung unter Anwendung des DSK-Konzepts“ gemäß Anlage 2 zum Bescheid vom 28. Januar 2021 entgegen.

a. Berechtigtes Interesse der Antragssteller

Das „berechtigte Interesse“ i. S. d. § 475 StPO wird weit ausgelegt. Darunter fällt grundsätzlich jedes verständige, durch die Sachlage gerechtfertigte Interesse tatsächlicher, wirtschaftlicher oder ideeller Art, sofern es von dem jeweiligen Antragssteller schlüssig dargelegt wird; eine Glaubhaftmachung oder gar ein Beweis sind nicht erforderlich (BeckOK StPO/Wittig, 40. Ed. 1. Juli 2021, § 475 Rn. StPO, Rn. 9 f.).

Bei Anwendung dieser Maßstäbe habe alle vier Antragssteller ihr berechtigtes Interesse hinreichend dargelegt. Die Antragsteller 2 bis 4 haben angegeben, dass sie als (Syndikus-) Anwälte im Bereich Datenschutzrecht tätig sind. Antragssteller 2 und 3 haben ausgeführt, dass sie die Entscheidung für ihre berufliche Tätigkeit, d. h. in der Beratung ihrer Mandanten im Datenschutzrecht, nutzen wollen. Der Antragsteller zu 2 hat ferner ein Interesse daran dargelegt, zu erfahren, anhand welcher Kriterien die Adressatenauswahl und die Bußgeldberechnung erfolgt sei. Die Antragssteller 1, 3 und 4 haben weiter erklärt, dass sie beabsichtigten, einen wissenschaftlichen Aufsatz zu schreiben, der unter anderem den Bußgeldbescheid zum Gegenstand hat.

Diese Interessen sind grundsätzlich als ein berechtigtes Interesse anzuerkennen, denn dabei handelt es sich um verständige und durch die Sachlage gerechtfertigte Interessen.

b. Schutzwürdigen Interessen der Betroffenen

Dem Auskunftsinteresse der Antragssteller an der Übersendung des Bußgeldbescheids in der vom HmbBfDI teilgeschwärzten Fassung gemäß Anlage 1 zum Bescheid vom 28. Januar 2021 stehen jedoch die schutzwürdigen Interessen der Betroffenen an der Versagung der Auskunft entgegen (§ 475 Abs. 1 S. 2 StPO).

Im Unterschied zur ähnlich gelagerten Regelung des § 406e Abs. 2 StPO kommt es im Rahmen des § 475 StPO nicht auf ein „Überwiegen” der einer Auskunft entgegenstehenden schutzwürdigen Interessen an. Es genügt, dass ein schutzwürdiges Interesse an der Versagung besteht (LG Bochum, Beschluss vom 10.11.2004 – 1 AR 16/04, NJW 2005, 999). Ob die Interessen der Betroffenen i.S.d. § 475 Abs. 1 Satz 2 StPO schutzwürdig sind, ist dabei im Wege einer umfassenden Abwägung zwischen dem Informationsinteresse der Antragsteller und den entgegenstehenden Interessen der Betroffenen zu ermitteln. Entscheidend ist dabei, wie hoch das Informationsinteresse der Antragsteller an der begehrten Auskunft zu bewerten und wie stark der Eingriff in die Rechte der Betroffenen durch die Offenlegung der begehrten Informationen im Einzelfall zu gewichten ist. Je geringer der Eingriff in das Recht des Betroffenen, desto geringere Anforderungen sind an das Informationsinteresse der Antragsteller zu stellen; je intensiver und weitergehend die begehrte Auskunft reicht, desto gewichtiger muss das Informationsinteresse sein (vgl. VGH Baden-Württemberg DVBl 2014, 101 m.w.Nw, LG München, Beschluss vom 24.03.2015 – 7 Qs 5/15, ZD 2015, 483).

Ob eine Verletzung schutzwürdiger Interessen vorliegt, ist daher anhand des zu beurteilenden Einzelfalls festzustellen. Diese Abwägung geht hier zugunsten der Betroffenen aus:

Wie der HmbBfDI in dem angefochtenen Bescheid vom 28. Januar 2021 zutreffend ausführt, unterliegen die einzelnen Bestandteile des Bußgeldbescheids vom 30. September 2020 für sich bereits dem Schutz von Betriebs- und Geschäftsgeheimnissen der Betroffenen. Dies betrifft sämtliche in dem Bescheid vom 30. September 2020 enthaltenen Unternehmenskennzahlen (insb. Kennzahlen zur Mitarbeiterstruktur, Umsatzzahlen und sonstigen finanziellen Kennziffern) sowie Inhalte zu Arbeitsabläufen- und –organisation, die überwiegend bereits in der dem angegriffenen Bescheid vom 28. Januar 2021 als Anlage 1 beigefügten Fassung des Bußgeldbescheides geschwärzt worden waren. Insoweit wird ergänzend auf die diesbezüglichen Ausführungen des Bescheids vom 28. Januar 2021 Bezug genommen, denen sich die Kammer anschließt.

bb. Darüber hinaus steht dem Auskunftsinteresse der Antragsteller auch die durch Art. 12 Abs. 1 GG geschützte Berufsfreiheit der Betroffenen entgegen.

Art. 12 Abs. 1 GG gewährt das Recht der freien Berufswahl und -ausübung und ist gemäß Art. 19 Abs. 3 GG auch auf juristische Personen anwendbar, soweit sie - wie hier die Betroffenen - eine Erwerbszwecken dienende Tätigkeit ausüben, die ihrem Wesen und ihrer Art nach in gleicher Weise einer juristischen wie einer natürlichen Person offensteht. In der bestehenden Wirtschaftsordnung umschließt das Freiheitsrecht des Art. 12 Abs. GG das berufsbezogene Verhalten der Unternehmen am Markt nach den Grundsätzen des Wettbewerbs (Vgl. BVerfG, Beschlüsse vom 21. März 2018 - 1BVF113 1 BvF 1/13 - BVerfGE 148, Seite 40 = juris, Rn. 26 und vom 26. Juni 2002 - 1 BvR 558/91 -, BVerfGE 105, Seite 252 = juris, Rn. 41; OVG Münster Beschl. v. 17.5.2021 – 13 B 331/21, BeckRS 2021, 11654 Rn. 11).

Die in dem Bußgeldbescheid vom 30. September 2020 enthaltenen Informationen sind inhaltlich überwiegend geeignet, die Markt- und Wettbewerbssituation mittelbar-faktisch zum wirtschaftlichen Nachteil der Betroffenen zu verändern. Aus dem Bußgeldbescheid geht das konkret der Betroffenen zu 1 vorgeworfene Fehlverhalten der Führungskräfte aus dem C. S. C. in N. hervor. Dabei handelt es – auch aus Laiensphäre – um schwerwiegende Verstöße gegen die BSDG, deren Veröffentlichung geeignet ist, den Ruf von H. als Unternehmen zu schädigen und eine Prangerwirkung zu entfalten. Die Gefahr einer Prangerwirkung für das gesamte Unternehmen besteht dabei insbesondere, weil sich aus dem Bußgeldbescheid erstmals eine vollständige Offenlegung der Firma der Betroffenen zu 2 als weitere Beteiligte des Bußgeldverfahrens ergibt, obwohl sie selbst – wie sich aus dem Inhalt des Bußgeldbescheides ergibt und auch vom HmbBfDI selbst vorgetragen wird – die Verstöße nicht begangen hat. Eine solche Nennung der Betroffenen zu 2 im Zusammenhang mit den vorgeworfenen Datenschutzverstößen birgt erstmals die Gefahr einer erheblichen Rufschädigung für den gesamten Konzern der Betroffenen zu 2 und nicht nur für die in N. ansässige Betroffene zu 1. Dies ist auch geeignet, sich auf den Unternehmenswert insgesamt auszuwirken. Soweit der Inhalt des Bußgeldbescheides veröffentlicht wird, können bisherige Geschäftspartner der Betroffenen die mitgeteilten Informationen zum Anlass nehmen, aus Sorge vor einer eigenen Rufschädigung von einer weiteren Zusammenarbeit mit den Betroffenen Abstand zu nehmen. Potentielle neue Geschäftspartner können durch die mitgeteilten Informationen verschreckt werden und sich vorsorglich für die Inanspruchnahme anderer „unbelasteter“ Geschäftspartner entscheiden. Zudem können den Betroffenen die eigene Tätigkeit dadurch erschwert werden, dass zum einen ihr Ruf im Kreis der Verbraucher in Mitleidenschaft gezogen wird und sich dies auf deren Kaufverhalten auswirken kann, obwohl der Bußgeldbescheid nicht unmittelbar das Verhalten gegenüber den Kunden selbst betrifft. Dafür spricht, dass viele Konsumenten Wert darauf legen, dass Unternehmen bestimmte Wertestandards einhalten, und zwar auch betreffend den Umgang mit ihren eigenen Mitarbeitern. Zum anderen könnte die Veröffentlichung des Bußgeldbescheids auch potentielle Arbeitnehmer von einer Bewerbung bei H. abhalten.

Diese Erwägungen gelten auch unter Berücksichtigung der Art des geltend gemachten Interesses der Antragssteller und der grundsätzlichen Beschränkung der Verwendung der durch Akteneinsicht erlangten personenbezogenen Daten lediglich für die Zwecke, für die Akteneinsicht gewährt wurde, §§ 46, 49b OWIG i.V.m. § 479 Abs. 6 StPO i.V.m. § 32f Abs. 5 S. 2 StPO. Zwar haben die Antragssteller 2 und 3 geltend gemacht, den Bußgeldbescheid vorrangig für die Mandantenberatung nutzen zu wollen. Dies beinhaltet jedoch nicht ausschließbar auch, wesentliche Inhalte des Bescheids, insbesondere im Zusammenhang mit der Herleitung der Haftung der Betroffenen zu 2 für Verstöße der Betroffenen zu 1, im Rahmen eines Kanzlei-Newsletters über die Internetseite einer unbestimmten Anzahl an Personen zugänglich zu machen. Soweit die Antragsteller 1, 3 und 4 den Bußgelbescheid zudem in Publikationen bzw. Fachaufsätzen verarbeiten zu wollen, begehren die Antragssteller die Übermittlung des Bußgeldbescheids – entgegen der anderweitigen Auffassung des HmbBfDI – sehr wohl zum Zweck der (wissenschaftlichen) Veröffentlichung. Diese Veröffentlichungsform ist auch geeignet, die oben beschriebenen Verletzungen der Rechte der Betroffenen zu intensivieren. Auch hier erlangt eine unbekannte Anzahl Dritter Kenntnis über den Inhalt des Bußgeldbescheids. Zudem ist zu erwarten, dass die Publikationen in anderen Printmedien zitiert werden oder sonst wie weiterverbreitet werden. Hierbei ist auch zu berücksichtigen, dass die Übermittlungen zu wissenschaftlichen oder beruflichen Zwecken auch keine konkreten Vorgaben beinhalten, wie mit dem Bußgeldbescheid umzugehen ist. Auch eine Veröffentlichung zu wissenschaftlichen Zwecken könnte demnach freizugänglich im Internet erfolgen. Daneben ist zu erwarten, dass der Bußgeldbescheid oder dessen Inhalt auf anderen Medien – und wahrscheinlich auch unabhängig von einer etwaigen Publikation – öffentlich verbreitet werden. Dafür spricht auch, dass – so von den Betroffenen vorgetragen und anhand eines Screenshots belegt – der Antragssteller 1, S. H. auf seinem Twitter-Account bereits seine bisherige Kommunikation mit dem HmbBfDI betreffend den Bußgeldbescheid gegen die Betroffenen im Internet veröffentlicht hat (vgl. Tweet des Twitter Accounts @ s. h. vom 24. Februar 2021; https:// t..com/ s._ h./status/ ). In der Gesamtschau ist daher bei der Herausgabe des Bußgeldbescheids von einem Eingriff bzw. einer Intensivierung des Eingriffs (siehe nachfolgend, cc) in die Rechte der Betroffenen auszugehen.

cc. Das schutzwürdige Interesse der Betroffenen entfällt auch nicht dadurch, dass bereits Informationen über den Bußgeldbescheid in der Pressemitteilung vom 01. Oktober 2020 veröffentlicht wurden und die Vorgänge sowohl vor als auch nach Veröffentlichung der Pressemitteilung mehrfach Gegenstand von Presseberichterstattungen in Deutschland waren.
[...]
Insgesamt ist daher von einem Überwiegen der schutzwürdigen Interessen der Betroffenen aus Art. 12 GG auszugehen.

3. Daraus folgt, dass weite Teile des Bußgeldbescheids von der Akteneinsicht auszunehmen wären. Durch die Herausgabe eines geschwärzten Bußgeldbescheids in der bislang vom HmbBfDI vorgesehenen Form würde den schutzwürdigen Interessen der Betroffenen nicht hinreichend Rechnung getragen werden. Eine die Interessen der betroffenen wahrende Schwärzung des Bußgeldbescheides vom 30. September 2020 würde dazu führen, dass der Rest des Bußgeldbescheides überwiegend aus abstrakten Rechtssätzen, Normenketten und allgemeinen Ausführungen bestünde, die einer Nichtübermittlung des Bußgeldbescheides gleichkommen würden.


Den Volltext der Entscheidung finden Sie hier:


LfDI Bremen: Bußgeld von rund 1,9 Millionen Euro nach Art. 83 DSGVO gegen Wohnungsbaugesellschaft wegen diskriminierender Datenerhebung und Datenverarbeitung

Die Landesbeauftragte für Datenschutz und Informationsfreiheit (LfDI) Bremen hat ein Bußgeld von rund 1,9 Millionen Euro nach Art. 83 DSGVO gegen eine Wohnungsbaugesellschaft wegen diskriminierender Datenerhebung und Datenverarbeitung verhängt.

Die Pressemitteilung der LfDI Bremen:
LfDI verhängt gegen die BREBAU GmbH Geldbuße nach DSGVO

Am heutigen Tage hat die Landesbeauftragte für Datenschutz und Informationsfreiheit (LfDI) als datenschutzrechtliche Aufsichtsbehörde die BREBAU GmbH mit einer Geldbuße nach Artikel 83 Datenschutzgrundverordnung (DSGVO) belegt.

Die BREBAU GmbH hat mehr als 9.500 Daten über Mietinteressent:innen verarbeitet, ohne dass es hierfür eine Rechtsgrundlage gab. Beispielsweise Informationen über Haarfrisuren, den Körpergeruch und das persönliche Auftreten sind für den Abschluss von Mietverhältnissen nicht erforderlich.

Bei mehr als der Hälfte der Fälle handelte es sich darüber hinaus um Daten, die nach der DSGVO besonders geschützt sind. Rechtswidrig verarbeitet wurden auch Informationen über die Hautfarbe, die ethnische Herkunft, die Religionszugehörigkeit, die sexuelle Orientierung und über den Gesundheitszustand. Auch hat die BREBAU GmbH Anträge Betroffener auf Transparenz über die Verarbeitung ihrer Daten bewusst konterkariert.

Die nach Artikel 83 DSGVO verhängte Geldbuße beläuft sich auf rund 1,9 Millionen Euro. Der außerordentlichen Tiefe der Verletzung des Grundrechts auf Datenschutz wäre eine deutlich höhere Geldbuße angemessen gewesen. Weil die BREBAU GmbH im datenschutzrechtlichen Aufsichtsverfahren umfassend kooperierte, sich um Schadensminderung, eigene Aufklärung des Sachverhalts und darum bemühte, dass entsprechende Verstöße sich nicht wiederholen, konnte die Höhe der Geldbuße erheblich reduziert werden.

Anlässlich dieses Aufsichtsverfahrens äußerte die Landesbeauftragte für Datenschutz und Informationsfreiheit, Dr. Imke Sommer: "Im Zusammenhang mit der öffentlichen Diskussion über den Fall, der diesem datenschutzrechtlichen Aufsichtsverfahren zugrunde liegt, bin ich häufig gefragt worden, ob die DSGVO Diskriminierungen verbietet. Die Antwort auf diese Frage ist kompliziert, weil die DSGVO in spezifischer Weise auf Sachverhalte schaut. Nach der DSGVO ist es nur in wenigen Ausnahmefällen überhaupt erlaubt, Daten über Hautfarbe, ethnische Herkunft, Religionszugehörigkeit, sexuelle Orientierung und über den Gesundheitszustand zu verarbeiten. Damit sorgt die DSGVO dafür, dass diese besonders geschützten Daten in den allermeisten Fällen gar nicht erst erhoben und gespeichert werden dürfen. Nicht erhobene Daten können nicht missbraucht werden. In diesem Sinne schützt die DSGVO auch vor Diskriminierungen.



LG Flensburg: Anrufung der Datenschutzbehörde hemmt Verjährung nicht da es sich nicht um eine Streitbeilegungsstelle i.S.v. § 204 Abs. 1 Nr. 4 BGB handelt

LG Flensburg
Urteil vom 19.11.2021
3 O 227/19


Das LG Flensburg hat entschieden, dass Anrufung der Datenschutzbehörde die Verjährung etwaiger Ansprüche gegen die verarbeitende Stelle nicht hemmt, da es sich dabei nicht um eine Streitbeilegungsstelle i.S.v. § 204 Abs. 1 Nr. 4 BGB handelt.

Aus den Entscheidungsgründen:

bb) Ein etwaiger, hieraus folgender Schadensersatzanspruch des Klägers wäre nämlich verjährt und deshalb nicht durchsetzbar (§ 214 Abs. 1 BGB).

(1) Ein etwaiger Schadensersatzanspruch des Klägers unterläge der regelmäßigen dreijährigen Verjährungsfrist (§ 195 BGB).

(2) Diese Verjährungsfrist hätte mit dem Schluss des Jahres 2015 begonnen und mit Ablauf des Jahres 2018 geendet. Die regelmäßige Verjährungsfrist beginnt mit dem Schluss des Jahres, in dem der Anspruch entstanden ist und der Gläubiger von den den Anspruch begründenden Umständen und der Person des Schuldners Kenntnis erlangt oder ohne grobe Fahrlässigkeit erlangen müsste (§ 199 Abs. 1 BGB). Dies wäre hier der Schluss des Jahres 2015 gewesen:

Der Anspruch wäre im Jahr 2015 entstanden, weil die als gerügten Zugriffe auf die Patientendaten des Klägers im Mai 2015 stattfanden. Der Kläger hätte durch das Gespräch mit dem betrieblichen Datenschutzbeauftragten der Beklagten, dem Zeugen O. F., und der nachfolgenden Übersendung der Stellungnahmen der vier Mitarbeiter der Beklagten, jeweils im Jahr 2015, auch Kenntnis von den den Anspruch begründenden Umständen und der Person des Schuldners erlangt.

Anlässlich der Vernehmung des Zeugen F. hat der Kläger persönlich in der mündlichen Verhandlung bestätigt, dass das Gespräch mit dem betrieblichen Datenschutzbeauftragten, in welchem die fraglichen Zugriffe identifiziert worden seien, bereits im Jahr 2015 stattgefunden habe. Der Kläger hat ebenfalls bestätigt, die in dem E-Mails vom 14.12.2015 und 15.12.2015 erwähnte Post mit den Stellungnahmen der Beschäftigten erhalten zu haben. Hiermit hatte der Kläger bereits 2015 die hinreichende Kenntnis von den anspruchsbegründenden Umständen. Der Kläger wusste von den erfolgten Zugriffen auf seine Patientendaten, hat die Berechtigung für die vier streitgegenständlichen Zugriffe als zweifelhaft erkannt und er kannte die Stellungnahmen der vier Beschäftigten und damit deren Begründungen für die Zugriffe. Dies genügt, um die Verjährungsfrist beginnen zu lassen.

Entgegen der Auffassung des Klägers begann die Verjährung nicht erst dann zu laufen, als die internen Ermittlungen der Beklagten zu den Berechtigungen der Zugriffe abgeschlossen waren oder als das ULD Feststellungen hierzu getroffen hat. Die erforderliche Kenntnis von den Anspruchsvoraussetzungen und der Person des Ersatzpflichtigen liegt im Allgemeinen vor, wenn dem Geschädigten die Erhebung einer Schadensersatzklage, sei es auch nur in Form der Feststellungsklage, Erfolg versprechend, wenn auch nicht risikolos, möglich ist. Weder ist notwendig, dass der Geschädigte alle Einzelumstände kennt, die für die Beurteilung möglicherweise Bedeutung haben, noch muss er bereits hinreichend sichere Beweismittel in der Hand haben, um einen Rechtsstreit im Wesentlichen risikolos führen zu können. Auch kommt es grundsätzlich nicht auf eine zutreffende rechtliche Würdigung an. Vielmehr genügt aus Gründen der Rechtssicherheit und Billigkeit im Grundsatz die Kenntnis der den Ersatzanspruch begründenden tatsächlichen Umstände (statt vieler BGH, Urteil vom 27.05.2008 – XI ZR 132/07, juris Rn. 32 mwN). Hier hatte der Kläger bereits im Jahr 2015 Kenntnis aller tatsächlichen Umstände, auf deren Grundlage zumindest – wenn auch nicht risikolos – eine Feststellungsklage hätte erhoben werden können. Die Kenntnis von den gerügten Zugriffen auf seine Patientendaten, von bestehenden Zweifeln an der Berechtigung hierzu und von den Stellungnahmen der Beschäftigten, aufgrund derer er die Berechtigung der Beschäftigten hätte beurteilen können, genügte hierfür. Dies wird durch den vorliegenden Rechtsstreit bestätigt: Der Kläger gründet seine Klage letztlich auf die Umstände und Zweifel, die seinem Informationsstand im Jahr 2015 entsprechen. Der Umstand, dass das ULD mit Schreiben vom 10.08.2018 festgestellt hat, dass die Zugriffe einen Verstoß gegen Vorschriften der DSGVO darstellten, ändert hieran nichts; insoweit handelt es sich um die rechtliche Bewertung der bereits bekannten Umstände durch einen Dritten, auf die es für die Bestimmung des Verjährungsbeginns nicht ankommt.

(3) Die Verjährung wäre auch nicht gehemmt worden (§ 209 BGB).

(11) Die Verjährung wäre zunächst nicht durch Verhandlungen der Parteien gehemmt worden (§ 203 BGB).

Nach der Rechtsprechung des Bundesgerichtshofes ist der Begriff der „Verhandlungen“ im Sinne des § 203 Satz 1 BGB weit auszulegen. Der Gläubiger muss dafür lediglich klarstellen, dass er einen Anspruch geltend machen und worauf er ihn stützen will. Anschließend genügt jeder ernsthafte Meinungsaustausch über den Anspruch oder seine tatsächlichen Grundlagen, sofern der Schuldner dies nicht sofort und erkennbar ablehnt. Verhandlungen schweben schon dann, wenn eine der Parteien Erklärungen abgibt, die der jeweils anderen Partei die Annahme gestatten, der Erklärende lasse sich auf Erörterungen über die Berechtigung des Anspruches oder dessen Umfang ein. Nicht erforderlich ist, dass dabei Vergleichsbereitschaft oder Bereitschaft zum Entgegenkommen signalisiert wird oder dass Erfolgsaussicht besteht (statt vieler BGH, Urteil vom 14.07.2009 – XI ZR 18/08, juris Rn. 16 mwN).

An diesem Maßstab gemessen haben Verhandlungen im Sinne des § 203 BGB zwischen den Parteien in unverjährter Zeit nicht stattgefunden. Anders als der Kläger bewertet die Kammer die Kommunikation zwischen ihm und der Beklagten in der Zeit von 2015 bis 2018 nicht als Verhandlungen iSd. § 203 BGB. Die Parteien mögen dabei über Umstände gesprochen haben, die dem streitgegenständlichen Anspruch zugrunde liegen, etwa die gerügten Zugriffe auf die Patientendaten des Klägers, deren Berechtigungen etc. Erkennbar ist das Ziel des Klägers, Aufklärung zu erlangen und Vorsorge gegen zukünftige vermeintliche Datenschutzverstöße zu treffen. Auch forderte der Kläger die Beklagte immer wieder zu Stellungnahmen zu den gerügten und vermeintlichen weiteren Datenschutzverstößen auf. Weder aus dem Vortrag der Parteien noch aus der gesamten zur Akte gereichten Korrespondenz bis einschließlich 2018 ergibt sich aber, weder ausdrücklich noch konkludent, dass der Kläger gegenüber der Beklagten einen Schadensersatzanspruch geltend machen will. Dies aber ist Mindestvoraussetzung für ein „Verhandeln“ iSd. § 203 BGB, auch wenn dann anschließend jeder Meinungsaustausch hierüber, d.h. auch über die tatsächlichen Grundlagen, genügt. Soweit ersichtlich, begehrt der Kläger erstmals mit anwaltlichem Schreiben vom 15.01.2019 (Anlage K6, Blatt 18 der Akte) Schadensersatz in Form der Erstattung seiner Rechtsanwaltskosten und behält sich „etwaige Schadensersatzansprüche gemäß Art. 82 DSGVO“ vor. Dies geschah allerdings bereits in verjährter Zeit und vermochte eine Hemmung nicht mehr herbeizuführen.

(22) Die Anrufung des Unabhängigen Landeszentrums für Datenschutz Schleswig-Holstein durch den Kläger mit Schreiben vom 16.03.2018 führte ebenfalls nicht zu einer Hemmung der Verjährung. Der Landesbeauftragte ist nicht als staatliche oder staatlich anerkannte Streitbeilegungsstelle iSd. § 204 Abs. 1 Nr. 4 Buchst. a BGB oder als andere Streitbeilegungsstelle iSd. § 204 Abs. 1 Nr. 4 Buchst. b BGB tätig geworden. Trotz der fehlenden zeitlichen Anwendbarkeit der DSGVO (dazu oben) ist das ULD, dokumentiert etwa im Schreiben des ULD vom 16.07.2018 (Sonderband), aufgrund der Beschwerde des Klägers nach Art. 77 DSGVO im Rahmen eines aufsichtsbehördlichen Verfahrens gemäß § 74 LVwG tätig geworden, in dessen Ergebnis gemäß Art. 58 Abs. 2 DSGVO Abhilfebefugnisse wie etwa eine Verwarnung, Beschränkungen oder Geldbußen hätten ausgesprochen bzw. verhängt werden können, wovon das ULD letztlich aber absah. Dieses Verwaltungsverfahren ist auf die Überprüfung etwaiger Datenschutzverstöße, deren Sanktionierung und zukünftige Verhinderung gerichtet, nicht aber auf die Beilegung eines Streits zwischen Parteien über einen erhobenen, individuellen Anspruch. Im Übrigen muss für einen wirksam hemmenden Streitbeilegungsantrag - wie bei allen in § 204 Abs. 1 BGB genannten Rechtsverfolgungshandlungen und Verfahren - ein bestimmter Anspruch bezeichnet werden. Nur im Umfang des geltend gemachten Anspruchs erfolgt eine Hemmung. Antragsgegner, Streitbeilegungsstelle und einem ggf. später befassten Gericht muss es möglich sein, Art, Umfang und Tatsachenbasis einer Forderung zu identifizieren (zum Ganzen BeckOGK-BGB/Meller-Hannich, Stand 01.09.2021, § 204 BGB Rn. 176 mwN). Einen solchen individualisierten (Schadensersatz-) Anspruch hat der Kläger bei Anrufung des ULD weder geltend gemacht noch ist ein solcher Gegenstand des Verwaltungsverfahrens vor dem ULD. Auch dies zeigt, dass dieses Verwaltungsverfahren nicht auf Beilegung eines Streits zwischen Parteien über einen erhobenen Anspruch ausgerichtet und deshalb kein Streitbeilegungsverfahren ist, das ULD ist keine Streitbeilegungsstelle.

(33) Die Klage ist am 03.07.2019 und damit in verjährter Zeit bei Gericht eingegangen, so dass die Erhebung der Klage die Verjährung ebenfalls nicht mehr zu hemmen vermochte (§ 204 Abs. 1 Nr. 1 BGB).


Den Volltext der Entscheidung finden Sie hier:


OVG Schleswig-Holstein: Datenschutzbehörde durfte 2011 anordnen dass Unternehmen seine Facebook-Fanpage schließt - Entscheidung nach 10 Jahren nach dem Weg durch die Instanzen bis zum EuGH

OLG Schleswig-Holstein
Urteil vom 25.11.2021
4 LB 20/13


Das OVG Schleswig-Holstein hat entschieden, dass die zuständige Datenschutzbehörde 2011 anordnen durfte, dass ein Unternehmen seine Facebook-Fanpage schließt. Somit liegt nach 10 Jahren eine Entscheidung nach dem Weg durch die Instanzen bis zum EuGH (siehe dazu EuGH: Betreiber einer Facebook-Seite / Facebook-Fanpage gemeinsam mit Facebook für Verarbeitung der personenbezogenen Daten der Besucher verantwortlich) vor.

Den Volltext der Entscheidung finden Sie hier:1

Aus den Entscheidungsgründen:

B. Die streitgegenständlichen Verfügungen im Bescheid vom 3. November 2011 in Gestalt des Widerspruchsbescheids vom 16. Dezember 2011 sind rechtmäßig und verletzen die Klägerin nicht in ihren Rechten, § 113 Abs. 1 Satz 1 VwGO.

I. Dies gilt zunächst für die Anordnung der Deaktivierung der Fanpage der Klägerin.

Maßgeblich für die Beurteilung der Rechtmäßigkeit der Anordnung der Deaktivierung der Fanpage der Klägerin ist die Sach- und Rechtslage im Zeitpunkt der letzten Verwaltungsentscheidung, hier des Widerspruchsbescheids vom 16. Dezember 2011. Nachträgliche Änderungen sind nicht zu berücksichtigen (vgl. BVerwG, Urteil vom 11. September 2019 – 6 C 15.18 –, Rn. 16, juris). Dies ergibt sich für den Senat bindend aus der vorliegenden Revisionsentscheidung des Bundesverwaltungsgerichts (vgl. § 144 Abs. 6 VwGO).

Lediglich ergänzend wird darauf hingewiesen, dass dem auch die von der Klägerin angeführte Rechtsprechung des Bundesverwaltungsgerichts zu Dauerverwaltungsakten, nach der für den Erfolg einer gegen einen Dauerverwaltungsakt gerichteten Anfechtungsklage regelmäßig die Sach- und Rechtslage zum Zeitpunkt der letzten tatsachengerichtlichen Verhandlung maßgeblich ist (stRspr BVerwG, vgl. Urteil vom 19. September 2013 – 3 C 15.12 – Rn. 9, juris; Beschluss vom 5. Januar 2012 – 8 B 62.11 – Rn. 13, juris), nicht entgegensteht. Die streitgegenständliche Anordnung der Deaktivierung der Fanpage ist bei einer an §§ 133, 157 BGB entsprechend orientierten Auslegung des Regelungsinhalts nicht als Dauerverwaltungsakt zu bewerten. Es muss auch davon ausgegangen werden, dass dies der Auffassung des Bundesverwaltungsgerichts entspricht, da es vorliegend den Zeitpunkt der letzten Behördenentscheidung für maßgeblich erachtet hat, ohne sich zu seiner eigenen Rechtsprechung zu Dauerverwaltungsakten zu verhalten.

1. Rechtsgrundlage der streitgegenständlichen Anordnung des Beklagten ist § 38 Abs. 5 Satz 2 BDSG i. d. F. der Bekanntmachung vom 14. Januar 2003 (BGBl. I S. 66), zuletzt geändert durch Art. 1 des Gesetzes zur Änderung datenschutzrechtlicher Vorschriften vom 14. August 2009 (BGBl. I S. 2814; im Folgenden BDSG a. F.). Gemäß § 38 Abs. 5 Satz 2 BDSG a. F. kann die Aufsichtsbehörde zur Gewährleistung der Einhaltung des Bundesdatenschutzgesetzes und anderer Vorschriften über den Datenschutz bei schwerwiegenden Verstößen bei der Erhebung, Verarbeitung oder Nutzung personenbezogener Daten oder schwerwiegenden technischen oder organisatorischen Mängeln, insbesondere solchen, die mit einer besonderen Gefährdung des Persönlichkeitsrechts verbunden sind, die Erhebung, Verarbeitung oder Nutzung oder den Einsatz einzelner Verfahren untersagen, wenn die Verstöße oder Mängel entgegen der Anordnung nach § 38 Abs. 5 Satz 1 BDSG a. F. und trotz der Verhängung eines Zwangsgeldes nicht in angemessener Zeit beseitigt werden.

Die an die Klägerin gerichtete Anordnung, ihre Fanpage zu deaktivieren, ist gemäß der den Senat bindenden Revisionsentscheidung des Bundesverwaltungsgerichts nach dem Eingriffsgewicht als Untersagung des Einsatzes eines Verfahrens gemäß § 38 Abs. 5 Satz 2 BDSG a. F. zu werten. Dass der Beklagte in der Überschrift des Bescheids vom 3. November 2011 in Gestalt des Widerspruchsbescheids vom 16. Dezember 2011 auf § 38 Abs. 5 Satz 1 BDSG a. F. abhebt, ist – wie das Bundesverwaltungsgericht ebenfalls mit Bindungswirkung für den Senat festgestellt hat – unschädlich (BVerwG, Urteil vom 11. September 2019 – 6 C 15.18 –, Rn. 17, juris).

§ 38 Abs. 5 Satz 2 BDSG a. F. ist mit Blick auf eine Inanspruchnahme der Klägerin auch sonst anwendbar (vgl. zur Anwendbarkeit des Dritten Abschnitts des Bundesdatenschutzgesetzes a. F. § 27 Abs. 1 Nr. 1 BDSG a. F.). Die Klägerin ist als nichtöffentliche Stelle im Sinne des § 1 Abs. 2 Nr. 3, § 2 Abs. 4 BDSG a. F., die keine Aufgaben der öffentlichen Verwaltung wahrnimmt (vgl. § 2 Abs. 1 bis 3 BDSG a. F.), zu qualifizieren. Es handelt sich um eine privatrechtlich organisierte gemeinnützige Gesellschaft.

[...]

3. Die Anordnung zur Deaktivierung der Fanpage der Klägerin ist materiell-rechtlich nicht zu beanstanden. Im Gebrauch der Registrierungsdaten und der übrigen vorhandenen personenbezogenen Daten von im Facebook-Netzwerk registrierten und angemeldeten Personen sowie in der unzureichenden Bereitstellung von Informationen über die Erhebung und Verwendung personenbezogener Daten für diese Personengruppe sind im hier maßgeblichen Zeitpunkt im Dezember 2011 Verstöße bei der Erhebung, Verarbeitung oder Nutzung personenbezogener Daten zu erkennen (dazu unter a). Die Klägerin kann auch als Adressatin einer auf § 38 Abs. 5 Satz 2 BDSG a. F. beruhenden Verfügung herangezogen werden, da sie für den Gebrauch der genannten Daten zur Erstellung der auf ihre Fanpage bezogenen Insights-Statistiken durch Facebook sowie für die unzureichende Bereitstellung von Informationen (mit)verantwortlich ist (dazu unter b). Ferner wiegen die Verstöße schwer (dazu unter c). Vor diesem Hintergrund kann die rechtliche Bewertung einzelner technischer Abläufe dahinstehen (dazu unter d). Der materiell-rechtlichen Rechtmäßigkeit der hier streitgegenständlichen Verfügung steht auch nicht die in § 38 Abs. 5 Satz 1 und Satz 2 BDSG a. F. vorgegebenen "Stufenfolge" entgegen (dazu unter e).

a) Verstöße bei der Erhebung, Verarbeitung oder Nutzung personenbezogener Daten im Sinne des § 38 Abs. 5 Satz 2 TMG a. F. ergeben sich hier aus einem Widerspruch verschiedener durch den Besuch der Fanpage der Klägerin angestoßener und durch die Beigeladene gesteuerter Vorgänge zu den Vorgaben der § 12 und § 13 TMG in der Fassung des Art. 1 des Gesetzes zur Vereinheitlichung von Vorschriften über bestimmte elektronische Informations- und Kommunikationsdienste vom 26. Februar 2007 (BGBl. I S. 179), für den hier maßgeblichen Zeitraum zuletzt geändert durch das Erste Gesetz zur Änderung des Telemediengesetzes vom 31. Mai 2010 (BGBl. I S. 692; im Folgenden TMG a. F.). Gemäß § 12 Abs. 1 und Abs. 2 TMG a. F. darf ein Diensteanbieter personenbezogene Daten zur Bereitstellung von Telemedien nur erheben und verwenden, soweit das Telemediengesetz oder eine andere Rechtsvorschrift, die sich ausdrücklich auf Telemedien bezieht, es erlaubt oder der Nutzer eingewilligt hat. Der Diensteanbieter darf für die Bereitstellung von Telemedien erhobene personenbezogene Daten für andere Zwecke nur verwenden, soweit dieses Gesetz oder eine andere Rechtsvorschrift, die sich ausdrücklich auf Telemedien bezieht, es erlaubt oder der Nutzer eingewilligt hat. Nach § 13 Abs. 1 Satz 1 TMG a. F. hat der Diensteanbieter den Nutzer zu Beginn des Nutzungsvorgangs über Art, Umfang und Zwecke der Erhebung und Verwendung personenbezogener Daten sowie über die Verarbeitung seiner Daten in allgemein verständlicher Form zu unterrichten, sofern eine solche Unterrichtung nicht bereits erfolgt ist.

aa) Die durch den Besuch der Fanpage der Klägerin im Facebook-Netzwerk angestoßenen Vorgänge unterfallen dem Anwendungsbereich des gegenüber dem Bundesdatenschutzgesetz a. F. spezielleren Telemediengesetz a. F. Das soziale Netzwerk Facebook ist Telemedium im Sinne des § 1 Abs. 1 Satz 1 TMG a. F. (vgl. i. E. Ricke, in: Spindler/Schuster, Recht der elektronischen Medien, 4. Aufl. 2019, § 1 TMG, Rn. 12; Altenhain, in: MüKo zum StGB, 3. Auflage 2019, § 1 TMG, Rn. 26). Gemäß § 1 Abs. 1 Satz 1 TMG a. F. sind unter Telemedien alle elektronischen Informations- und Kommunikationsdienste ("IuK-Dienst"), die nicht Telekommunikation im engeren Sinne oder Rundfunk sind, zu verstehen. Dazu gehören beispielsweise Online-Angebote von Waren oder Internet-Suchmaschinen (vgl. BT-Drucks. 16/3078, S. 13). Das soziale Netzwerk Facebook ermöglicht durch seine Strukturen die Bereitstellung von Informationen sowie Diskussion über Sachthemen, d. h. das Verbreiten derartiger Themen und den anschließenden Dialog hierüber. Es ist damit selbst als sogenannter elektronischer "IuK-Dienst" anzusehen. Gleiches gilt für die Fanpage der Klägerin innerhalb des Facebook-Netzwerkes.

Die Beigeladene und die damalige Facebook Inc. sind auch Diensteanbieter im Sinne des § 12 Abs. 1 und Abs. 2 TMG a. F. Diensteanbieter ist gemäß § 2 Satz 1 Nr. 1 HS 1 TMG a. F. jede natürliche oder juristische Person, die eigene oder fremde Telemedien zur Nutzung bereithält oder den Zugang zur Nutzung vermittelt. Da sowohl die Beigeladene als auch ihr Mutterkonzern das Telemedium, d. h. das soziale Netzwerk bzw. die Fanpage zur Verfügung stellen und allen Interessierten Zugang hierzu vermitteln, liegen die Voraussetzungen des § 2 Satz 1 Nr. 1 HS 1 TMG a. F. vor. Die Klägerin ist ebenfalls Diensteanbieter in diesem Sinne, da sie über die Errichtung der Fanpage einen (eigenen oder fremden) elektronischen Informations- und Kommunikationsdienst, d. h. ein Telemedium im Sinne des § 1 Abs. 1 Satz 1 TMG a. F., bereitstellt bzw. jedenfalls Zugang zur Nutzung vermittelt.

Die Vorgänge des Erhebens, Verarbeitens und Nutzens personenbezogener Daten im Sinne des § 38 Abs. 5 i.V.m. § 3 Abs. 3 bis 5 BDSG a.F. entsprechen denen des Erhebens und Verwendens im Sinne des Abschnitt 4 im Telemediengesetz a.F.; der Begriff der Verwendung ist als Sammelbezeichnung für das Verarbeiten und Nutzen personenbezogener Daten i.S.d. § 3 Abs. 4 und 5 BDSG auszulegen (Bizer/Hornung, in: Roßnagel, Beck´scher Kommentar zum Recht der Telemediendienste, 1. Auflage 2013, § 12 TMG, Rn. 53 m.w.N.).

Der Anwendbarkeit des Telemediengesetzes steht im vorliegenden Fall nicht entgegen, dass die Beigeladene mit Sitz in Irland nach eigenem Bekunden die tatsächliche Verantwortung für die hier maßgeblichen Datenerhebungs- und -verwendungsvorgänge trägt. Die §§ 12 ff. TMG a. F. werden nicht durch eine vorrangige Anwendbarkeit irisches Datenschutzrecht – ggf. in Kombination mit einer vorrangigen Prüfungskompetenz der irischen Datenschutzbehörde – verdrängt. Insoweit wird zur Begründung auf die Revisionsentscheidung des Bundesverwaltungsgerichts und die Entscheidung des Gerichtshofs der Europäischen Union im vorliegenden Verfahren verwiesen (BVerwG, Urteil vom 11. September 2019 – 6 C 15.18 –, Rn. 24 ff., EuGH, Urteil vom 5. Juni 2018 – C-210/16 –, Rn. 50 ff., juris).

bb) Für die Feststellung der maßgeblichen Datenerhebungs- und -verwendungsvorgänge bis Ende 2011 geht der Senat von folgenden, zu seiner Überzeugung (§ 108 Abs. 1 VwGO) feststehenden Sachverhalten aus:

(1) Bei jedem Aufruf der Fanpage der Klägerin wird die Internetadresse der aufgerufenen Seite sowie die IP-Adresse des jeweiligen Internetnutzers an Facebook übertragen. IP-Adressen sind Ziffernfolgen, die dem mit dem Internet verbundenen Computern zugewiesen werden, um deren Kommunikation im Internet zu ermöglichen. Beim Abruf einer Website wird die IP-Adresse des abrufenden Computers an den Server übermittelt, auf dem die abgerufene Website gespeichert ist. Dies ist erforderlich, um die abgerufenen Daten an den richtigen Empfänger übertragen zu können (vgl. Ergebnisbericht der Arbeitsgruppe des AK I "Staatsrecht und Verwaltung" zum Datenschutz in sozialen Netzwerken vom 4. April 2012, S. 7, Bl. 223 GA; Datenschutzrechtliche Bewertung der Reichweitenanalyse durch Facebook, 11. August 2011, S. 15, Bl. 128 GA). Nach Angaben der Beigeladenen werden die empfangenen IP-Adressen nicht einzeln – insbesondere nicht in Profilen zu den Internetnutzern – gespeichert.

(2) Ferner ist der Senat davon überzeugt, dass Facebook bei Besuch der Fanpage den Inhalt der c_user-Cookies ausliest, die zuvor im Browser von im Netzwerk angemeldeten Facebook-Mitgliedern gesetzt worden sind. Cookies sind eindeutig zuzuordnende alphanumerische Kennungen, die im Internetbrowser auf dem Endgerät des Nutzers gespeichert werden. Facebook-Mitglieder haben sich im Facebook-Netzwerk registriert und im Zuge der Registrierung ihren Vor- und Nachnamen, ihr Geburtsdatum, ihr Geschlecht und ihre E-Mail-Adresse angegeben. Der c_user-Cookie enthält eine User-ID des Facebook-Mitglieds. Er wird von Facebook gesetzt, wenn sich das Facebook-Mitglied erstmals registriert oder wenn ein registriertes Facebook-Mitglied sich erneut im Netzwerk anmeldet (bzw. "einloggt"). Die Gültigkeit dieses Cookies hängt davon ab, ob das Facebook-Mitglied in den Kontoeinstellungen die Option gewählt hat, im Netzwerk (auch bei Verlassen) angemeldet zu bleiben. Ist dies der Fall, verliert der c_user-Cookie seine Gültigkeit erst, wenn das Facebook-Mitglied den Facebook-Webserver 30 Tage nicht mehr aufruft. Ansonsten wird der c_user-Cookie mit dem Schließen des Browsers gelöscht (vgl. Ergebnisbericht der Arbeitsgruppe des AK I "Staatsrecht und Verwaltung" zum Datenschutz in sozialen Netzwerken vom 4. April 2012, S. 8, Bl. 224 GA).

Der Inhalt des c_user-Cookie wird innerhalb seines Gültigkeitszeitraums bei jeder Kommunikation mit Facebook an Facebook übermittelt und gibt Facebook die Möglichkeit einer Verknüpfung des Seitenaufrufs mit dem registrierten Mitglied. Diese Verknüpfung ermöglicht unter anderem die personalisierte Darstellung von Fanpage-Inhalten. Über die Personalisierung erfährt das Facebook-Mitglied beispielsweise, welche seiner Facebook-Freunde die Fanpage empfohlen oder kommentiert haben (vgl. Ergebnisbericht der Arbeitsgruppe des AK I "Staatsrecht und Verwaltung" zum Datenschutz in sozialen Netzwerken vom 4. April 2012, S. 3, 15, Bl. 219, 231 GA).

Die über den c_user-Cookie ermöglichte Verknüpfung von Fanpage-Aufruf und Facebook-Mitglied speichert Facebook in den über das Mitglied angelegten Profilen, die wiederum zu Werbezwecken genutzt werden. Diese Überzeugung hat der Senat aufgrund der durchgeführten mündlichen Verhandlung gewonnen. In dieser hat die Beigeladene auf entsprechende Frage des Gerichts eingeräumt, es "ist anzunehmen", dass der Fanpage-Aufruf in den Profilen der Mitglieder gespeichert wird. Bereits zu Beginn dieses Verfahrens war zwischen der Beigeladenen und dem Beklagten unstreitig, dass Facebook "bis zu einem bestimmten Grad" Profile seiner Mitglieder anlegt und diese zu Werbezwecken nutzt. Ferner deuten die Datenverwendungsrichtlinien 2011 von Facebook die Durchführung entsprechender Vorgänge an, indem sie darauf hinweisen, dass Facebook jedes Mal, wenn das Mitglied mit Facebook interagiert, beispielsweise eine bestimmte Seite aufruft, Daten erhält (vgl. Datenverwendungsrichtlinien 2011, Abschnitt I, Überschrift Informationen, die wir über dich erhalten, S. 1) und dass Werbeanzeigen bei den Personen eingeblendet werden, welche die vom Werbetreibenden ausgewählten Kriterien (beispielsweise "Kinobesucher") erfüllen (vgl. Datenverwendungsrichtlinien 2011, Abschnitt IV, Überschrift: Personalisierte Werbeanzeigen, S. 4). Letzteres ist nur dann möglich, wenn Facebook über die Registrierungsdaten hinaus Informationen zu den Personen, beispielsweise zu bestimmten Interessen und Vorlieben, speichert.

(3) Facebook unterhält außerdem den Dienst "Insights". Dieser beinhaltet die Erstellung von Statistiken über die Nutzung von Fanpages (auch als Seitenstatistik bezeichnet). Die Seitenstatistik umfasst unter anderem Angaben zur Anzahl der Seitenaufrufe, zur Verweildauer der Besucher, sowie zu deren Alter, Geschlecht, geographischer Herkunft und Sprache und zur Nutzung der einzelnen Funktionalitäten der Fanpage (vgl. Ergebnisbericht der Arbeitsgruppe des AK I "Staatsrecht und Verwaltung" zum Datenschutz in sozialen Netzwerken vom 4. April 2012, S. 9, Bl. 225 GA; Datenschutzrechtliche Bewertung der Reichweitenanalyse durch Facebook, 11. August 2011, S. 12, Bl. 126 GA). Die Erstellung dieser Statistiken ist Facebook insbesondere aufgrund des c_user-Cookies möglich, da mit diesem der Aufruf einer Fanpage mit den Facebook-Mitgliedern und den zu diesen bereits gewonnenen Informationen verknüpft werden kann. Nach Angaben der Beigeladenen fließt der Aufruf einer Fanpage durch ein Nicht-Facebook-Mitglied ausschließlich in die Gesamtzahl der Aufrufe der Fanpage im Rahmen der Insights-Statistik ein. Weitere Erkenntnisse über Nicht-Mitglieder werden nach Angabe der Beigeladenen nicht in Insights verarbeitet.

Fanpage-Betreiber erhalten über Insights die Seitenstatistiken in aggregierter und anonymisierter Form, ohne dass es dazu der Erteilung eines entsprechenden Auftrags an Facebook bedürfte. Die Klägerin kann ebenso wie andere Fanpage-Betreiber den Dienst Insights auch nicht an- oder abwählen. Sie kann nicht steuern, welche Angaben in der Statistik enthalten sind. Ferner haben Fanpagebetreiber auf die technische Konfiguration der Fanpage keinen Einfluss, sie können die Fanpages "lediglich" mit Inhalt füllen.

Die Erstellung von Seitenstatistiken dient dem Zweck, den Betrieb einer Fanpage auf die Nutzer anzupassen, d. h. die Fanpage attraktiver gestalten zu können. Gleichzeitig sollen diese Facebook ermöglichen, den Werbewert des Netzwerkes zu erhöhen.




VG Hannover: Online-Apotheke darf bei Bestellungen nicht bei allen Produkten das Geburtsdatum des Kunden abfragen - Verstoß gegen Grundsatz der Datenminimierung

VG Hannover
Urteil vom 09.11.2021
10 A 502/19


Das VG Hannover hat entschieden, dass eine Online-Apotheke bei Bestellungen nicht bei allen Produkten das Geburtsdatum des Kunden abfragen darf. Insofern liegt ein Verstoß gegen den Grundsatz der Datenminimierung vor.

Die Pressemitteilung des Gerichts:

Online-Versandapotheke darf im Bestellvorgang das Geburtsdatum nicht bei jedem Produkt abfragen
10. KAMMER WEIST KLAGE EINER ONLINE-VERSANDAPOTHEKE AB

Die 10. Kammer des Verwaltungsgerichts Hannover hat mit Urteil vom 09. November 2021 die Klage einer Online-Versandapotheke abgewiesen. Die Klägerin ist eine Firma mit Sitz in Niedersachsen und Betreiberin einer Online-Versandapotheke. Die beklagte Landesbeauftrage für den Datenschutz Niedersachsen (LfD) wies die Klägerin mit Bescheid vom 08. Januar 2019 an, es zu unterlassen, unabhängig von der Art des bestellten Medikamentes das Geburtsdatum des Bestellers/der Bestellerin zu erheben und zu verarbeiten. Zudem wies sie die Klägerin zur Unterlassung der Verwendung der im Bestellprozess erhobenen Anrede (Herr/Frau) an, soweit Gegenstand der Bestellung Medikamente seien, die nicht geschlechtsspezifisch zu dosieren und/oder einzunehmen seien.

Gegen diesen Bescheid hat die Klägerin Klage vor dem Verwaltungsgericht Hannover erhoben. Die Klägerin hatte bereits vor dem Termin zur mündlichen Verhandlung hinsichtlich der Anrede „Herr/Frau“ die Auswahloption „ohne Angabe“ in ihrem Bestellformular eingefügt. Die Parteien haben diesbezüglich übereinstimmend das Verfahren für erledigt erklärt.

Bezüglich der Abfrage des Geburtsdatums trug die Klägerin vor, aufgrund der für Apotheker geltenden Berufsordnung bestimmten Beratungsobliegenheiten zu unterfallen. Hierzu gehöre auch die Pflicht zur altersgerechten Beratung. Um diese Verpflichtung erfüllen zu können, müsse eine entsprechende Abfrage im Bestellprozess erfolgen. Zudem habe sie ein berechtigtes Interesse daran zu erfahren, ob der Besteller bzw. die Bestellerin volljährig und damit voll geschäftsfähig sei.

Dem ist das Gericht nicht gefolgt. Die Kammer hat zunächst klargestellt, dass der von der LfD gerügte Bestellvorgang sich nur auf rezeptfrei erwerbbare Produkte beziehe. Die Verarbeitung des Geburtsdatums in diesem Bestellvorgang habe nach Ansicht der Kammer zumindest für solche Produkte zu unterbleiben, die keine altersspezifische Beratung erforderten. Ein Blick auf die von der Klägerin auf ihrer Webseite angebotenen Produktpalette zeige, dass sie eine große Zahl von Drogerieartikeln aber auch apothekenpflichtigen Medikamenten anbiete, die nicht altersspezifisch zu dosieren seien. Für diese Produkte könne in der Datenschutzgrundverordnung – nachdem sich die Klägerin bislang von ihren Kunden im Bestellprozess auch keine Einwilligung zur Datenverarbeitung einhole – keine Rechtsgrundlage zur Datenverarbeitung gefunden werden. Soweit die Klägerin die Geschäftsfähigkeit ihrer Kunden überprüfen wolle, so erfordere das datenschutzrechtliche Prinzip der Datenminimierung, dass lediglich die Volljährigkeit und nicht das genaue Geburtsdatum abgefragt werde.

Gegen die Entscheidung kann vor dem Niedersächsischen Oberverwaltungsgericht in Lüneburg innerhalb eines Monats die Zulassung der Berufung beantragt werden.

Urteil vom 09. November 2021 - Az.: 10 A 502/19


OVG Rheinland-Pfalz: DSGVO ist nicht auf abgeschaltete Überwachungskameras anzuwenden - Art. 58 Abs. 2 lit. f DSGVO keine Befugnisnorm für Abbauanordnung

OVG Rheinland-Pfalz
Urteil vom 25.06.2021
10 A 10302/21


Das OVG Rheinland-Pfalz hat entschieden, dass die DSGVO nicht auf abgeschaltete Überwachungskameras anzuwenden ist. Art. 58 Abs. 2 lit. f DSGVO ist daher keine Befugnisnorm für eine Abbauanordnung.

Aus den Entscheidungsgründen:

1. Der Anwendungsbereich der Datenschutz-Grundverordnung ist nicht eröffnet.

Nach Art. 2 Abs.1 DS-GVO gilt die Verordnung für die ganz oder teilweise automatisierte Verarbeitung personenbezogener Daten sowie für die nichtautomatisierte Verarbeitung personenbezogener Daten, die in einem Dateisystem gespeichert sind oder gespeichert werden sollen. Dabei bezeichnet „Verarbeitung“ gemäß Art. 4 Nr. 2 DS-GVO jeden mit oder ohne Hilfe automatisierter Verfahren ausgeführten Vorgang oder jede solche Vorgangsreihe im Zusammenhang mit personenbezogenen Daten wie das Erheben, das Erfassen, die Organisation, das Ordnen, die Speicherung, die Anpassung oder Veränderung, das Auslesen, das Abfragen, die Verwendung, die Offenlegung durch Übermittlung, Verbreitung oder eine andere Form der Bereitstellung, den Abgleich oder die Verknüpfung, die Einschränkung, das Löschen oder die Vernichtung. Daran fehlt es vorliegend.

Zwar handelt es sich bei Videoaufnahmen und deren vorläufiger Speicherung durch eine Überwachungskamera um Datenverarbeitungsvorgänge im Sinne von Art. 4 DS-GVO. Jedoch werden von der streitgegenständlichen Kamera 01 keine Daten (mehr) verarbeitet. Denn die in Ziffer 2 des Bescheids vom 23. November 2018 angeordnete Einstellung des Betriebes dieser Kamera ist, nachdem das Verwaltungsgericht die Klage insoweit abgewiesen, der Kläger diesbezüglich die Zulassung der Berufung nicht beantragt und sich auch der Berufung des Beklagten nicht gemäß § 127 Verwaltungsgerichtsordnung – VwGO – angeschlossen hat, bestandskräftig geworden. Ist die Kamera ausgeschaltet, findet – da Anhaltspunkte für einen fortdauernden und der Verfügung widersprechenden Betrieb nicht vorliegen und auch vom Beklagte nicht vorgetragen werden – eine Verarbeitung personenbezogener Daten nicht (mehr) statt. Der sachliche Anwendungsbereich der Datenschutzgrundverordnung gemäß Art. 2 Abs. 1 DS-GVO ist im Hinblick auf die bloß vorhandene, aber deaktivierte Kamera nicht eröffnet (vgl. Polenz in: Simitis/Hornung/Spiecker gen. Döhmann, Datenschutzrecht, 1. Auflage 2019, Anhang 1 zu Art. 6 Rn. 43; ebenso: Datenschutzkonferenz, Orientierungshilfe Videoüberwachung durch nicht-öffentliche Stellen, 17. Juli 2020, Nr. 1.1, S. 5).

2. Ungeachtet dessen ermächtigt Art. 58 Abs. 2 lit. f DS-GVO nicht zur Anordnung des Abbaus der stillgelegten Kamera; eine erweiternde Auslegung der Vorschrift, wie sie der Beklagte vornimmt, scheidet aus.

a) Nach Art. 58 Abs. 2 lit. f DS-GVO verfügt die Aufsichtsbehörde im Fall eines Datenschutzverstoßes über sämtliche Abhilfebefugnisse, die es ihr – lediglich – gestatten, eine vorübergehende oder endgültige Beschränkung der Verarbeitung, einschließlich eines Verbots, zu verhängen. Von dieser Befugnis hat der Beklagte durch die Anordnung zur Einstellung der Datenverarbeitung durch Kamera 01 Gebrauch gemacht; diese Verfügung ist bestandskräftig. Eine weitergehende Befugnis zur Anordnung auch des Abbaus der Kamera begründet Art. 58 Abs. 2 lit. f DS-GVO nicht. Vielmehr ermächtigt die Norm die Aufsichtsbehörde ihrem eindeutigen Wortlaut nach allein dazu, die Verarbeitung vorübergehend oder ganz zu beschränken bzw. zu verbieten. Ebenso wie die Untersagung in der Vorgängerregelung des § 38 Abs. 5 Satz 2 Bundesdatenschutzgesetz – BDSG – a.F. bezieht sich die Beschränkung bzw. das Verbot auf ein Verhalten – die Datenverarbei-tung –, erstreckt sich jedoch nicht auf die Beseitigung der zugehörigen Hardware (in diesem Sinne bereits zu § 38 Abs. 5 BDSG a.F.: VG Oldenburg, Urteil vom 12. März 2013 – 1 A 3850/12 –, juris, Rn. 22; Nguyen in: Gola, DS-GVO, a.a.O., Art. 58, Rn. 20).

b) Entgegen der Ansicht des Beklagten lässt sich die Anweisung zum Abbau einer deaktivierten Kamera nicht unter den Begriff des Verbots im Sinne der Vorschrift subsumieren. Gemäß Erwägungsgrund 129 Satz 4 DS-GVO darf ein Verbot nach Art. 58 Abs. 2 lit. f DS-GVO in Anwendung des Verhältnismäßigkeitsgrundsatzes nur verhängt werden, wenn weniger einschneidende Maßnahmen wie die Beschränkung der Verarbeitung keinen Erfolg versprechen. Stellt sich das Verbot damit als ultima ratio der Abhilfemaßnahmen nach Art. 58 Abs. 2 lit. f DS-GVO dar (vgl. Simitis/Horn/Spiecker, a.a.O., Art. 58. Rn. 40; VGH Baden-Württemberg, Beschluss vom 22. Januar 2020 – 1 S 3001/19 – juris, Rn. 61), scheidet eine erweiternde Auslegung des Verbotsbegriffes im Sinne eines deutlich eingriffsintensiveren Gebots zum Abbau einer deaktivierten Kamera aus. Dies gilt umso mehr, als es sich bei dem Verbot nach Art. 58 Abs. 2 lit. f DS-GVO im Vergleich zu den anderen Maßnahmen aus dem Katalog des Art. 58 Abs. 2 wie etwa Verwarnungen (vgl. lit. b) und Anweisungen zu künftigem Verhalten (lit. d) ohnehin bereits um eine der belastendsten Maßnahmen für den Datenverarbeiter handelt.

c) Anders als der Beklagte meint, ermächtigt Art. 58 Abs. 2 lit. f DS-GVO auch nicht zur Anordnung des Abbaus als „technisch-organisatorische Maßnahme im Verarbeitungsumfeld“. Zwar ist der für die Verarbeitung Verantwortliche verpflichtet, durch geeignete technische und organisatorische Maßnahmen u.a. sicherzustellen, dass die Verarbeitung gemäß der Datenschutz-Grundverordnung erfolgt (Art. 24 Abs. 1 DS-GVO), dass die Datenschutzgrundsätze wie etwa Datenminimierung wirksam umgesetzt werden (Art. 25 Abs. 1 DS-GVO) und ein dem Risiko angemessenes Schutzniveau gewährleistet ist (Art. 32 Abs. 1 DS-GVO). Die Verpflichtung zur Durchführung solcher Maßnahmen, deren Erforderlichkeit sich nach den jeweiligen Risiken der betreffenden Verarbeitung personenbezogener Daten richtet (sog. risikobasierter Ansatz, vgl. Erwägungsgrund 75 und 76 DS-GVO), besteht jedoch nicht isoliert. Vielmehr beziehen sich die vorgegebenen technischen und organisatorischen Maßnahmen ebenso wie die Beschränkungen und Verbote stets auf Datenverarbeitungsvorgänge, deren Vereinbarkeit mit der Datenschutz-Grundverordnung sie gewährleisten sollen. Derartige Verarbeitungsvorgänge finden jedoch bei einer deaktivierten Kamera wie dargelegt nicht statt. In Ermangelung von Datenverarbeitungsvorgängen lässt sich auch ein die Anordnung rechtfertigender mittelbarer Verarbeitungszusammenhang, wie er von der Beklagten behauptet wird, nicht feststellen.

d) Ebenso wenig lässt sich eine Abhilfebefugnis im Sinne einer Beseitigungsanordnung auf den unionsrechtlichen Effektivitätsgrundsatz stützen, wonach es den Mitgliedstaaten ebenso wie den nationalen Gerichten bei der Anwendung von Unionsrecht obliegt, die volle Wirkung seiner Bestimmungen zu gewährleisten („effet utile“, vgl. EuGH, Urteil vom 17. September 2002 – C-253/00 –, juris, Rn. 28 m.w.N.). Dafür, dass die datenschutzrechtlichen Regelungen zur Entfaltung ihrer vollen Wirksamkeit über das Verarbeitungsverbot des Art. 58 Abs. 2 lit. f DS-GVO hinaus einer weiteren Absicherung durch eine zusätzliche – nicht normierte – Befugnis zur Anordnung der Deinstallation von Datenverarbeitungsanlagen bedürfen, lässt sich aus der Entstehungsgeschichte der Norm nichts herleiten. Art. 58 DS-GVO hat Art. 28 Abs. 3 der Richtlinie 95/46/EG zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten und zum freien Datenverkehr (Datenschutz-Richtlinie – DS-RL –) abgelöst, der im Vergleich relativ grobe Untersuchungs- und Einwirkungsbefugnisse sowie das Klagerecht und die Anzeigebefugnis der Aufsichtsbehörden normiert hat. Im Gegensatz zu den Befugnissen nach Art. 28 Abs. 3 DS-RL, die in ihrer Reichweite und Wirksamkeit wesentlich von den Vorgaben des nationalen Gesetzgebers in den einzelnen nationalen Umsetzungsgesetzen abhingen und deshalb erheblich zwischen den Mitgliedstaaten divergieren konnten (vgl. Ehmann/Selmayr, Datenschutz-Grundverordnung, 2. Auflage 2018, Art. 58, Rn. 1), hat der Verordnungsgeber in Art. 58 DS-GVO die Befugnisse der Aufsichtsbehörde erstmals europaweit einheitlich und mit unmittelbarer Geltung geregelt, um ein einheitliches Datenschutzniveau innerhalb der EU herzustellen (vgl. Gesetzesbegründung der Kommission, KOM (2012) 11, S. 2). Angesichts der gegenüber der Vorgängernorm des § 28 Abs. 3 DS-RL deutlich erweiterten und präzisierten Abhilfebefugnisse – Art. 58 DS-GVO sieht 26 konkrete Untersuchungs-, Abhilfe- und Genehmigungsbefugnisse vor – kann nicht davon ausgegangen werden, dass der Verordnungsgeber ein – die vorgesehenen Abhilfebefugnisse in seiner Intensität zudem deutlich übersteigendes – Gebot zur Deinstallation von Hardware versehentlich nicht normiert hat, diese Lücke systemwidrig wäre und nunmehr über den Grundsatz des „effet utile“ geschlossen werden müsste. Dies gilt insbesondere deshalb, weil die Frage, ob die Aufsichtsbehörde auch zur Anordnung des Abbaus einer Kamera ermächtigt ist, bereits unter der Geltung von Art. 28 Abs. 3 DS-RL bzw. § 38 Abs. 5 Bundesdatenschutzgesetz (BDSG) a.F. umstritten war (vgl. Nguyen in Gola, a.a.O., Art. 58, Rn. 20 m.w.N., VG Oldenburg, Urteil vom 12. März 2013 – 1 A 3850/12 –, a.a.O.). Eine ausdrückliche Ermächtigungsgrundlage für eine Abbauanordnung hat jedoch trotz der bereits bekannten Problematik keinen Eingang in die Datenschutz-Grundverordnung gefunden. Im Gegenteil findet sich in der Gesetzesbegründung zu den Befugnissen der Aufsichtsbehörde (zum Entwurfszeitpunkt noch geregelt in Art. 53 der Verordnung) lediglich, dass Art. 53 – zum Teil gestützt auf die Vorgängerregelung des Art. 28 Abs. 3 DS-RL – die Befugnisse der Aufsichtsbehörde mit „einigen neuen Aspekten, darunter die Befugnis zur Verhängung verwaltungsrechtlicher Sanktionen“, regelt (vgl. Gesetzesbegründung der Kommission, a.a.O., S. 14). Anhaltspunkte dafür, dass zusätzlich zu den bislang ausschließlich als Verbot bzw. Beschränkung vorgesehenen Abhilfebefugnissen eine Abhilfebefugnis in Gestalt eines Handlungsgebotes (zum Abbau einer Datenverarbeitungsanlage) geschaffen werden sollte, fehlen.

e) Schließlich rechtfertigt der Umstand, dass von der abgeschalteten Kamera 01 ebenso wie von einer Attrappe ein sog. Überwachungsdruck ausgeht, nicht die Annahme einer Befugnis des Beklagten zur Anordnung des Abbaus. Soweit eine Videoüberwachung in das allgemeine Persönlichkeitsrecht des Einzelnen in seiner Ausprägung als Recht der informationellen Selbstbestimmung eingreift, sind evtl. Abwehr-, Unterlassungs- und Schadenersatzansprüche vom Betroffenen im Zivilrechtsweg geltend zu machen (vgl. Datenschutzkonferenz, Orientierungshilfe Videoüberwachung durch nicht-öffentliche Stellen vom 17. Juli 2020, a.a.O., Ziffer 1.3 m.w.N. zur zivilgerichtlichen Rechtsprechung; VG Oldenburg, Urteil vom 12. März 2013 – 1 A 3850/12 – juris, Rn. 24; Simitis/Hornung/Spiecker, Datenschutzrecht, a.a.O., Anhang 1 zur Art. 6, Rn. 43).

f) Soweit der Beklagte geltend macht, ein isoliertes Verarbeitungsverbot vermöge Verstößen gegen die Datenschutz-Grundverordnung nicht wirksam zu begegnen, da der Kläger die Kamera jederzeit wieder in Betrieb nehmen könne, ohne dass die Aufsichtsbehörde dies kontrollieren und der Kläger seiner Rechenschaftspflicht nach Art. 5 Abs. 2 DS-GVO nachkommen könne, ist er angesichts des klaren Wortlauts der Vorschrift auf Art. 58 Abs. 6 Satz 1 DS-GVO zu verweisen, wonach es jedem Mitgliedstaat freisteht, durch Rechtsvorschriften vorzusehen, dass seine Aufsichtsbehörde neben den in den Absätzen 1 bis 3 aufgeführten Befugnissen über zusätzliche Befugnisse verfügt, die allerdings nicht die effektive Durchführung des Kapitels VII der Datenschutz-Grundverordnung beeinträchtigen dürfen (ebenso: Nguyen in: Gola, DS-GVO, a.a.O., Art. 58, Rn. 20 a.E.). Von dieser Öffnungsklausel hat der nationale Gesetzgeber bislang nur in Gestalt von § 40 Abs. 3 Satz 3 und Abs. 6 Satz 2 BDSG (vgl. Simitis/Hornung/Spiecker gen. Döhmann, a.a.O., Art. 58, Rn. 74), nicht aber im Hinblick auf die Ermächtigung zum Erlass einer Beseitigungsanordnung Gebrauch gemacht.

Scheidet die Anordnung des Abbaus der Kamera auf der Grundlage von Art. 58 Abs. 2 lit. f DS-GVO aus, kommt es auf die Ausführungen der Beteiligten zur Verhältnismäßigkeit der Abbauanordnung nicht mehr an.


Den Volltext der Entscheidung finden Sie hier:


EuGH: Nationale Datenschutzbehörden dürfen bei DSGVO-Verstößen im Zusammenhang mit grenzüberschreitender Datenverarbeitung auch tätig werden wenn sie nicht federführend sind

EuGH
Urteil vom 15.06.2021
C‑645/19
Facebook Ireland Ltd, Facebook Inc., Facebook Belgium BVBA
gegen
Gegevensbeschermingsautoriteit


Der EuGH hat entschieden, dass die nationalen Datenschutzbehörden bei DSGVO-Verstößen im Zusammenhang mit grenzüberschreitender Datenverarbeitung auch dann tätig werden dürfen, wenn sie nicht federführend zuständig sind.

Tenor der Entscheidung:

1. Art. 55 Abs. 1 und die Art. 56 bis 58 sowie 60 bis 66 der Verordnung (EU) 2016/679 des Europäischen Parlaments und des Rates vom 27. April 2016 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten, zum freien Datenverkehr und zur Aufhebung der Richtlinie 95/46/EG (Datenschutz-Grundverordnung) sind in Verbindung mit den Art. 7, 8 und 47 der Charta der Grundrechte der Europäischen Union dahin auszulegen, dass eine Aufsichtsbehörde eines Mitgliedstaats, die nach den zur Durchführung von Art. 58 Abs. 5 der Verordnung erlassenen nationalen Rechtsvorschriften befugt ist, vermeintliche Verstöße gegen die Verordnung einem Gericht dieses Mitgliedstaats zur Kenntnis zu bringen und gegebenenfalls die Einleitung eines gerichtlichen Verfahrens zu betreiben, von dieser Befugnis, wenn eine grenzüberschreitende Datenverarbeitung in Rede steht, Gebrauch machen darf, obgleich sie für diese Datenverarbeitung nicht die „zuständige federführende Aufsichtsbehörde“ im Sinne von Art. 56 Abs. 1 der Verordnung ist, sofern es sich um einen der Fälle handelt, in denen die Verordnung 2016/679 der Aufsichtsbehörde eine Zuständigkeit einräumt, einen Beschluss zu erlassen, mit dem festgestellt wird, dass die fragliche Verarbeitung gegen die Vorschriften der Verordnung verstößt, und die in der Verordnung vorgesehen Verfahren der Zusammenarbeit und der Kohärenz eingehalten werden.

2. Art. 58 Abs. 5 der Verordnung 2016/679 ist dahin auszulegen, dass die Ausübung der einer Aufsichtsbehörde eines Mitgliedstaats, die nicht die federführende Aufsichtsbehörde ist, nach dieser Vorschrift zustehenden Befugnis zur Klageerhebung bei einer grenzüberschreitenden Verarbeitung personenbezogener Daten nicht voraussetzt, dass der für die grenzüberschreitende Verarbeitung personenbezogener Daten Verantwortliche oder der Auftragsverarbeiter, gegen den die Klage erhoben wird, im Hoheitsgebiet des Mitgliedstaats der fraglichen Aufsichtsbehörde eine Hauptniederlassung oder eine andere Niederlassung hat.

3. Art. 58 Abs. 5 der Verordnung 2016/679 ist dahin auszulegen, dass die einer Aufsichtsbehörde eines Mitgliedstaats, die nicht die federführende Aufsichtsbehörde ist, nach dieser Vorschrift zustehende Befugnis, vermeintliche Verstöße gegen die Verordnung einem Gericht dieses Mitgliedstaats zur Kenntnis zu bringen und gegebenenfalls die Einleitung eines gerichtlichen Verfahrens zu betreiben, sowohl gegenüber der Hauptniederlassung des Verantwortlichen, die sich in dem Mitgliedstaat der Aufsichtsbehörde befindet, als auch gegenüber einer anderen Niederlassung des Verantwortlichen ausgeübt werden kann, sofern Gegenstand der Klage eine Datenverarbeitung ist, die im Rahmen der Tätigkeiten der Niederlassung erfolgt, und die genannte Behörde nach den Ausführungen zu Vorlagefrage 1 dafür zuständig ist, die Befugnis auszuüben.

4. Art. 58 Abs. 5 der Verordnung 2016/679 ist dahin auszulegen, dass, wenn eine Aufsichtsbehörde eines Mitgliedstaats, die nicht die „federführende Aufsichtsbehörde“ im Sinne von Art. 56 Abs. 1 der Verordnung ist, vor dem 25. Mai 2018, also bevor die Verordnung galt, wegen einer grenzüberschreitenden Verarbeitung personenbezogener Daten eine Klage erhoben hat, diese Klage unionsrechtlich auf der Grundlage der Vorschriften der Richtlinie 95/46/EG des Europäischen Parlaments und des Rates vom 24. Oktober 1995 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten und zum freien Datenverkehr aufrechterhalten werden kann, die für Verstöße gegen die in ihr enthaltenen Vorschriften, die bis zu dem Zeitpunkt begangen worden sind, zu dem die Richtlinie aufgehoben wurde, weiter gilt. Darüber hinaus kann eine solche Klage von der Aufsichtsbehörde auf der Grundlage von Art. 58 Abs. 5 der Verordnung 2016/679 wegen nach diesem Zeitpunkt begangener Verstöße erhoben werden, sofern es sich um einen der Fälle handelt, in denen die Verordnung einer Aufsichtsbehörde eines Mitgliedstaats, die nicht die „federführende Aufsichtsbehörde“ ist, ausnahmsweise die Befugnis verleiht, einen Beschluss zu erlassen, mit dem festgestellt wird, dass die betreffende Datenverarbeitung gegen die in der Verordnung enthaltenen Vorschriften über den Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten verstößt, und die in der Verordnung vorgesehenen Verfahren der Zusammenarbeit und der Kohärenz eingehalten werden, was zu prüfen Sache des vorlegenden Gerichts ist.

5. Art. 58 Abs. 5 der Verordnung 2016/679 ist dahin auszulegen, dass die Vorschrift unmittelbare Wirkung hat, so dass eine nationale Aufsichtsbehörde sich auf sie berufen kann, um gegen Private eine Klage zu erheben oder ein entsprechendes Verfahren fortzuführen, auch wenn die Vorschrift in der Rechtsordnung des betreffenden Mitgliedstaats nicht speziell umgesetzt worden ist.

Den Volltext der Entscheidung finden Sie hier:

Die Pressemitteilung des EuGH:

Datenschutz-Grundverordnung (DSGVO): Der Gerichtshof erläutert die Voraussetzungen für die Ausübung der Befugnisse der nationalen Aufsichtsbehörden bei der grenzüberschreitenden Datenverarbeitung

Unter bestimmten Voraussetzungen kann eine nationale Aufsichtsbehörde ihre Befugnis, vermeintliche Verstöße gegen die DSGVO vor einem Gericht eines Mitgliedstaats geltend zu machen, ausüben, auch wenn sie in Bezug auf diese Verarbeitung nicht die federführende Behörde ist

"EuGH: Nationale Datenschutzbehörden dürfen bei DSGVO-Verstößen im Zusammenhang mit grenzüberschreitender Datenverarbeitung auch tätig werden wenn sie nicht federführend sind" vollständig lesen

OVG Münster: Bundesnetzagentur darf von Bußgeldverfahren betroffenes Unternehmen in Pressemitteilung nicht namentlich benennen - keine Ermächtigungsgrundlage

OVG Münster
Beschluss vom 17.05.2021
13 B 331/21


Das OVG Münster hat entschieden, dass die Bundesnetzagentur ein von einem Bußgeldverfahren betroffenes Unternehmen in einer Pressemitteilung nicht namentlich benennen darf. Es fehlt an einer ausreichenden Ermächtigungsgrundlage.

Leitsätze des Gerichts:

1. Öffentliche Stellen sind grundsätzlich ohne besondere Ermächtigung dazu berechtigt, im Zusammenhang mit der ihnen jeweils zugewiesenen Sachaufgabe Presse-, Öffentlichkeits- und Informationsarbeit zu betreiben. Amtliche Äußerungen, die einen unmittelbaren Grundrechtseingriff darstellen oder einem solchen Grundrechtseingriff als funktionales Äquivalent gleichkommen, bedürfen jedoch regelmäßig der Rechtfertigung durch eine gesetzliche oder verfassungsunmittelbare Ermächtigungsgrundlage.

2. Die amtliche Information der Öffentlichkeit kann in ihrer Zielsetzung und in ihren mittelbar-faktischen Wirkungen einem Eingriff als funktionales Äquivalent jedenfalls dann gleichkommen, wenn sie direkt auf die Marktbedingungen konkret individualisierter Unternehmen zielt, indem sie die Grundlagen der Entscheidungen am Markt zweckgerichtet beeinflusst und so die Markt- und Wettbewerbssituation zum wirtschaftlichen Nachteil der betroffenen Unternehmen verändert.

3. Eine einfachgesetzliche oder verfassungsunmittelbare Ermächtigung zur Auskunftserteilung gegenüber der Presse rechtfertigt keine in die Grundrechte Einzelner eingreifende Weitergabe von Informationen an Dritte über den Kreis der anspruchsberechtigten Pressevertreter hinaus, denen eine besondere Verantwortung im Umgang mit den so erhaltenen Informationen obliegt.

4. § 45n Abs. 8 Satz 1 TKG ermächtigt die Bundesnetzagentur zur Veröffentlichung von Informationen in ihrem Amtsblatt oder auf ihrer Internetseite, wenn und soweit diese Informationen sicherstellen, dass die Endnutzer bei der Wahl eines öffentlichen Telekommunikationsnetzes oder öffentlich zugänglichen Kommunikationsdienstes über eine volle Sachkenntnis verfügen. Es spricht Überwiegendes dafür, dass diese Regelung keine Ermächtigungsgrundlage für die öffentliche Bekanntmachung bußgeldbewehrter Rechtsverstöße darstellt.

5. § 67 Abs. 1 Satz 1 TKG setzt eine konkrete Gefahr der Verletzung gesetzlicher Vorschriften oder der von der Bundesnetzagentur erteilten Bedingungen über die Zuteilung von Nummern voraus. Hierbei hat die Bundesnetzagentur eine Prognoseentscheidung zu treffen, ob hinreichende Verdachtsmomente für eine drohende Verletzung bestehen.

Den Volltext der Entscheidung finden Sie hier:


VG Berlin: Nach DSGVO kein individueller Anspruch auf Einschreiten der Datenschutzbehörde und Einleitung bestimmter Maßnahmen

VG Berlin
Beschluss vom 21.04.2021
1 K 360.19


Das VG Berlin hat entschieden, dass nach der DSGVO kein individueller Anspruch auf Einschreiten der Datenschutzbehörde und Einleitung bestimmter Maßnahmen besteht.

Aus den Entscheidungsgründen:
Die Klage ist voraussichtlich unbegründet. Der Antragsteller und künftige Kläger hat keinen Anspruch darauf, dass der Antragsgegner (Beklagte) über seine Beschwerde vom 1. August 2019 erneut entscheidet. Mögliche Anspruchsgrundlage ist Art. 57 Abs. 1 lit. f) DS-GVO. Erhebt eine betroffene Person eine Beschwerde im Sinne von Art. 77 DS-GVO, muss sich die Aufsichtsbehörde nach Art. 57 Abs. 1 lit. f) DS-GVO mit der Beschwerde befassen, den Gegenstand der Beschwerde in angemessenem Umfang untersuchen und den Beschwerdeführer innerhalb einer angemessenen Frist über den Fortgang und das Ergebnis der Untersuchung unterrichten. Die Aufsichtsbehörde ist hiernach verpflichtet, die Beschwerde mit der gebotenen Sorgfalt und in angemessenem Umfang zu prüfen. Maßstab für den Umfang der Ermittlungen ist insbesondere die Schwere des in Rede stehenden Verstoßes, aber auch alle weiteren relevanten Aspekte sind zu berücksichtigen, insbesondere die in Art. 83 Abs. 2 DS-GVO genannten (Bergt, in: Kühling/Buchner, Datenschutz-Grundverordnung BDSG, 3. Auflage 2020, Art. 77 DS-GVO, Rn. 16). Nach Maßgabe dieser Grundsätze hat der Antragsgegner seine Pflichten bei der Bearbeitung der Beschwerde des Antragstellers erfüllt. Er hat den Sachverhalt ermittelt, indem er das Beschwerdevorbringen zur Kenntnis genommen und die D... zur Stellungnahme aufgefordert hat. Er hat den Sachverhalt anschließend bewertet und dem Antragsteller das Ergebnis seiner Prüfung mit Abschlussbescheid der Berliner Beauftragten für Datenschutz und Informationsfreiheit vom 25. September 2019 mitgeteilt. Weiter hat er den Antragsteller auf die Möglichkeit gerichtlichen Rechtschutzes gegen die Beschwerdeentscheidung nach Art. 78 Abs. 1 DS-GVO hingewiesen und der Mitteilung eine entsprechende Rechtsmittelbelehrung beigefügt (siehe hierzu Art. 77 Abs. 2 DS-GVO).

Umstritten ist zwar, ob eine weitergehende gerichtliche Überprüfung zum Inhalt der Beschwerdeentscheidung vorzunehmen ist. Dies hat die Kammer in einer Eilentscheidung verneint, weil das Beschwerderecht als Petitionsrecht ausgestaltet sei (Beschluss vom 28. Januar 2019, VG 1 L 1.19, juris, Rn. 5; so nunmehr auch OVG Koblenz, Urteil vom 26. Oktober 2020 – 10 A 10613/20, juris, Rn. 37 ff.; a.A. Halder, jurisPR-ITR 16/2020 Anm. 6; Bergt, a.a.O., Rn. 17, jeweils mwN). Ausgehend hiervon ist der Anspruch des Antragstellers erfüllt, weil dessen Beschwerde zur Kenntnis genommen, geprüft und beschieden worden ist. Selbst unter Zugrundelegung der Gegenmeinung wäre der Anspruch hier erfüllt. Nach der Gegenauffassung steht der betroffenen Person ein Anspruch auf eine ermessensfehlerfreie Entscheidung zu, welche gerichtlich überprüfbar und durchsetzbar sein soll (Halder, jurisPR-ITR 16/2020 Anm. 6); eine konkrete Maßnahme kann die betroffene Person hingegen nicht verlangen (vgl. Urteil der Kammer vom 18. Januar 2021 – VG 1 K 206.19; Bergt, a.a.O., Rn. 17). Auch unter Zugrundelegung dieses Maßstabs gilt im Ergebnis nichts anderes. Der Anspruch des Antragstellers auf eine ermessensfehlerfreie Entscheidung über ein Einschreiten des Beklagten gegen die D... ist erfüllt. Der Abschlussbescheid der Berliner Beauftragten für Datenschutz und Informationsfreiheit vom 25. September 2019 führt aus, dass die D... wegen ihrer unvollständigen Auskunft gegen Art. 15 DS-GVO verstoßen habe und sie deshalb verwarnt worden sei. Den datenschutzrechtlichen Belangen des Antragstellers ist damit ausreichend Rechnung getragen. Warum der Antragsteller gleichwohl meint, der Abschlussbescheid sei für ihn nicht positiv, bleibt unklar. Ein Anspruch auf Verhängung eines Bußgeldes gegen die D... steht ihm dagegen nicht zu, weil er eine konkrete Maßnahme nicht verlangen kann.


Den Volltext der Entscheidung finden Sie hier:

OVG Lüneburg: Veröffentlichung von Fotos einer Person auf Facebook-Fanpage des Ortsvereins einer Partei ohne Einwilligung nach KUG und DSGVO regelmäßig unzulässig

OVG Lüneburg
Beschluss vom 19.01.2021
11 LA 16/20


Das OVG Lüneburg hat entschieden, dass

Leitsätze des Gerichts:

1. Die Veröffentlichung eines Fotos auf einer Fanpage bei Facebook, auf dem Personen identifizierbar sind, stellt eine Verarbeitung personenbezogener Daten dar, die einer Legitimation nach datenschutzrechtlichen Vorschriften bedarf.

2. Kann das Ziel einer Datenverarbeitung auch durch die Veröffentlichung anonymisierter Daten erreicht werden, ist eine unanonymisierte Veröffentlichung nicht erforderlich.

3. Bei einem auf einer Fanpage bei Facebook veröffentlichten Foto, auf dem Personen identifizierbar sind, die in die Veröffentlichung nicht eingewilligt haben, ist im Rahmen der Interessenabwägung nach Art. 6 Abs. 1 lit. f DS-GVO zugunsten der betroffenen Personen u.a. zu berücksichtigen, dass eine solche Veröffentlichung aufgrund bestehender Missbrauchsmöglichkeiten sowie aufgrund der großen Reichweite derartiger Netzwerke mit erheblichen Risiken verbunden ist.

4. Art. 21 GG, § 1 ParteienG stellen keine spezifischen Rechtsgrundlagen zur Verarbeitung personenbezogener Daten i.S.v. Art. 6 Abs. 1 lit. e, Abs. 2 und Abs. 3 DS-GVO dar.

5. Zur Frage, wann eine Datenverarbeitung zur journalistischen Zwecken i.S.d. Art. 85 Abs. 2 DS-GVO vorliegt.

Aus den Entscheidungsgründen:

"Rechtsgrundlage der Verwarnung der Beklagten vom 9. Januar 2019 ist Art. 58 Abs. 2 lit. b der Verordnung (EU) 2016/679 des Europäischen Parlaments und des Rates vom 27. April 2016 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten, zum freien Datenverkehr und zur Aufhebung der Richtlinie 95/46/EG (Datenschutz-Grundverordnung, Abl. Nr. L 119, S. 1, im Folgenden: DS-GVO). Nach dieser Vorschrift hat die Aufsichtsbehörde gemäß Art. 51 DS-GVO die Befugnis, einen Verantwortlichen zu verwarnen, wenn er mit Verarbeitungsvorgängen gegen die Datenschutz-Grundverordnung verstoßen hat. Vorliegend stellt die vom Kläger vorgenommene Veröffentlichung des streitgegenständlichen Fotos auf seiner Fanpage bei Facebook am 17. September 2018 eine Verarbeitung personenbezogener Daten dar, die nicht nach Art. 5 Abs. 1 i.V.m. Art. 6 Abs. 1 DS-GVO gerechtfertigt war und damit gegen die Datenschutz-Grundverordnung verstoßen hat.

Bei der Veröffentlichung des streitgegenständlichen Fotos durch den Kläger auf seiner Fanpage bei Facebook handelt es sich um eine Verarbeitung personenbezogener Daten der abgebildeten Personen i.S.d. Art. 2 Abs. 1, Art. 4 Nrn. 1 und 2 DS-GVO. Als Betreiber der Fanpage bei Facebook ist der Kläger für die streitgegenständliche Datenverarbeitung gemeinsam mit Facebook Verantwortlicher i.S.d. Art. 4 Nr. 7 DS-GVO (vgl. EuGH, Urt. v. 5.6.2018 - C 210/16 -, juris, Leits. 1 bei juris und Rn. 30 ff.; BVerwG, Urt. v. 11.9.2019 - 6 C 15/18 -, juris, Rn. 21). Nach Art. 6 Abs. 1 DS-GVO ist die Verarbeitung personenbezogener Daten nur rechtmäßig, wenn mindestens eine der insgesamt sechs im Einzelnen in lit. a bis lit. f dieser Vorschrift aufgeführten Voraussetzungen erfüllt ist. Das Verwaltungsgericht ist zutreffend davon ausgegangen, dass die Veröffentlichung des streitgegenständlichen Fotos auf der Fanpage des Klägers bei Facebook nicht nach Art. 6 Abs. 1 lit. f DS-GVO gerechtfertigt war (dazu unter a)). Entgegen dem Zulassungsvorbringen des Klägers kann er sich auch nicht mit Erfolg darauf berufen, dass die streitgegenständliche Veröffentlichung nach Art. 6 Abs. 1 lit. e DS-GVO i.V.m. Art. 21 GG, § 1 ParteienG (dazu unter b)) oder nach §§ 22, 23 des Gesetzes betreffend das Urheberrecht an Werken der bildenden Künste und der Photographie (Kunsturhebergesetz - KUG -, dazu unter c)) zulässig war.

a) Gemäß Art. 6 Abs. 1 lit. f DS-GVO ist eine Verarbeitung rechtmäßig, wenn sie zur Wahrung der berechtigten Interessen des Verantwortlichen oder eines Dritten erforderlich ist, sofern nicht die Interessen oder Grundrechte und Grundfreiheiten der betroffenen Person, die den Schutz personenbezogener Daten erfordern, überwiegen. Bei dieser Vorschrift handelt es sich um eine zentrale Abwägungsnorm in der Datenschutz-Grundverordnung (vgl. Albers/Veit, in: Wolff/Brink, BeckOK Datenschutzrecht, Stand: 1.5.2020, Art. 6 DS-GVO, Rn. 45 f.; Schulz, in: Gola, DS-GVO, 2. Aufl. 2018, Art. 6, Rn. 56; Buchner/Petri, in: Kühling/Buchner, DS-GVO/BDSG, 3. Aufl. 2020, Art. 6 DS-GVO, Rn. 141).

aa) Unter dem Begriff der berechtigten Interessen i.S.d. Art. 6 Abs. 1 lit. f DS-GVO sind „die vernünftigen Erwartungen der betroffenen Person“ (siehe Erwägungsgrund 47 DS-GVO), also sämtliche rechtlichen, wirtschaftlichen oder ideellen Interessen zu verstehen (vgl. Albers/Veit, in: Wolff/Brink, a.a.O., Art. 6 DS-GVO, Rn. 48 f.; Schulz, in: Gola, a.a.O., Art. 6, Rn. 57; Frenzel, in: Paal/Pauly, DS-GVO/BDSG, 3. Aufl. 2021, Art. 6 DS-GVO, Rn. 28). Vorliegend diente die Veröffentlichung des streitgegenständlichen Fotos auf der Fanpage bei Facebook dazu, über die parteipolitischen Aktivitäten des Klägers und ihre Erfolge zu informieren und damit - jedenfalls mittelbar - auch an der politischen Willensbildung des Volkes mitzuwirken. Dieses Anliegen stellt ein berechtigtes Interesse i.S.d. Art. 6 Abs. 1 lit. f DS-GVO dar.

bb) Die Veröffentlichung des streitgegenständlichen Fotos war jedoch nicht erforderlich i.S.d. Art. 6 Abs. 1 lit. f DS-GVO. Der in der Datenschutz-Grundverordnung nicht gesondert definierte Begriff der Erforderlichkeit ist unter Berücksichtigung von Erwägungsgrund 39 Satz 9 DS-GVO dahingehend auszulegen, dass die Erforderlichkeit zu bejahen ist, wenn der Zweck der Verarbeitung nicht in zumutbarer Weise durch andere Mittel erreicht werden kann (vgl. Frenzel, in: Paal/Pauly, a.a.O., Art. 6 DS-GVO, Rn. 29; Buchner/Petri, in: Kühling/Buchner, a.a.O., Art. 6 DS-GVO, Rn. 147 a). Im Gegensatz zu den weit auszulegenden „berechtigten Interessen“ ist der Begriff der Erforderlichkeit eng auszulegen (Buchner/Petri, in: Kühling/Buchner, a.a.O., Art. 6 DS-GVO, Rn. 147 a; Schantz, in: Simitis/Hornung/Spiecker, Datenschutzrecht, 1. Aufl. 2019, Art. 6 Abs. 1 DS-GVO, Rn. 100, jeweils m.w.N.). Zur Bejahung der Erforderlichkeit reicht somit weder eine bloße Zweckdienlichkeit oder eine bestmögliche Effizienz der Datenverarbeitung, noch kann die Erforderlichkeit allein damit begründet werden, dass es sich bei der beabsichtigten Datenverarbeitung um die aus Sicht des Verantwortlichen wirtschaftlich sinnvollste Alternative handelt (vgl. Buchner/Petri, in: Kühling/Buchner, a.a.O., Art. 6 DS-GVO, Rn. 147 a, m.w.N.). Kann das Ziel einer Datenverarbeitung auch durch die Verarbeitung anonymisierter Daten erreicht werden, ist eine unanonymisierte Verarbeitung nicht erforderlich (vgl. EuGH, Urt. v. 16.12.2008 - C-524/06 -, juris, Rn. 65; Schantz, in: Simitis/Hornung/Spiecker, a.a.O., Art. 6 Abs. 1 DS-GVO, Rn. 100). Die Datenverarbeitung ist somit auf das „absolut Notwendige“ zu begrenzen (vgl. EuGH, Urt. v. 4.5.2017 - C-13/16 -, juris, Rn. 30; Schantz, in: Simitis/Hornung/Spiecker, a.a.O., Art. 6 Abs. 1 DS-GVO, Rn. 100).

Ausgehend von diesen Maßstäben hat das Verwaltungsgericht zu Recht angenommen, dass die Veröffentlichung des streitgegenständlichen Fotos durch den Kläger bei Facebook nicht erforderlich i.S.d. Art. 6 Abs. 1 lit. f DS-GVO war. Zur Begründung hat das Verwaltungsgericht ausgeführt, dass es vorliegend zur Wahrung der berechtigten Interessen des Klägers nicht darauf ankomme, dass gerade die Eheleute F. als solche in einen spezifischen Kontext zur politischen Tätigkeit des Klägers gesetzt würden, sondern es dem Kläger nur darum gegangen sei, zu dokumentieren, dass das Thema, für das er sich politisch eingesetzt habe, eine größere Anzahl von Personen interessiere. In diesem Fall reiche es aus, das streitgegenständliche Foto unter Unkenntlichmachung der abgebildeten Personen, z.B. durch Verpixelung der Gesichter, zu verwenden.

Die vom Kläger diesbezüglich im Zulassungsverfahren vorgebrachten Einwände begründen keine ernstlichen Richtigkeitszweifel an der angefochtenen Entscheidung. Soweit er in diesem Zusammenhang anführt, dass das Verwaltungsgericht für das Kriterium der Erforderlichkeit zu Unrecht den deutschen Grundsatz der Verhältnismäßigkeit herangezogen habe, ist dieser Einwand als unzutreffend zurückzuweisen. Denn das Verwaltungsgericht hat gerade nicht den deutschen Grundsatz der Verhältnismäßigkeit herangezogen, sondern - wie vom Kläger im Zulassungsverfahren gefordert - unter expliziter Berücksichtigung von Erwägungsgrund 39 Satz 9 DS-GVO darauf abgestellt, dass kein milderes, wirtschaftlich gleich effektives Mittel zur Verfügung stehen darf, um den entsprechenden Zweck mit gleicher Sicherheit zu verwirklichen. Unabhängig davon hat der Kläger im Zulassungsverfahren auch nicht dargelegt, dass bzw. unter welchem Gesichtspunkt aufgrund der vermeintlich fehlerhaften Anwendung des deutschen Verhältnismäßigkeitsgrundsatzes anzunehmen ist, dass die Durchführung eines Berufungsverfahrens zu einer Änderung des Ergebnisses der angefochtenen Entscheidung führen wird.

Entgegen der Ansicht des Klägers ist ihm eine Unkenntlichmachung derjenigen Personen, die auf dem Foto identifizierbar sind und die in die Veröffentlichung nicht eingewilligt haben, auch zumutbar. Seine Einwände, die Veröffentlichung eines teilweise verpixelten Fotos sei nicht glaubwürdig, nicht authentisch und unseriös, zudem käme die Verpixelung von Personen bzw. ihrer Gesichter einer „unglaublichen Puzzelarbeit gleich“, rechtfertigen keine andere Beurteilung. Wie bereits das Verwaltungsgericht in der angefochtenen Entscheidung ausgeführt hat, kann eine Verpixelung mit Hilfe gängiger Bildbearbeitungssoftware ohne erheblichen Kosten- und Zeitaufwand umgesetzt werden. Dieser Annahme ist der Kläger im Zulassungsverfahren nicht substantiiert entgegengetreten. Seine - weder belegte noch näher begründete - Behauptung, dass Gericht habe nicht geprüft, ob entsprechende Software dies tatsächlich leicht ermögliche, vermag die im Zulassungsverfahren erforderliche konkrete Auseinandersetzung mit den Gründen der angefochtenen Entscheidung nicht zu ersetzen. Entgegen der Ansicht des Klägers würde eine Unkenntlichmachung der Gesichter der Eheleute F. (und ggf. weiterer auf dem Foto identifizierbarer Personen, die in die Veröffentlichung nicht eingewilligt haben) auch nicht dazu führen, dass der Kläger das von ihm mit der Veröffentlichung verfolgte Ziel nicht mehr erreichen kann. Insofern teilt der Senat die von der Beklagten im Zulassungsverfahren vorgetragenen Erwägungen, dass eine Unkenntlichmachung von Personen u.a. durch Verpixelung in veröffentlichten Fotos weit verbreitet und allgemein anerkannt ist, um die häufig widerstreitenden Interessen der Öffentlichkeit an Information einerseits und dem Persönlichkeits- und Datenschutzrecht der abgebildeten Personen andererseits in einen angemessenen Ausgleich zu bringen. Vor diesem Hintergrund ist weder davon auszugehen, dass eine Unkenntlichmachung der Gesichter der Eheleute F. auf dem streitgegenständlichen Foto zu einem Wegfall der Glaubwürdigkeit bzw. Seriosität des Facebook-Posts und des vom Kläger mit der Veröffentlichung verfolgten Ziels geführt hätte, noch, dass durch eine Unkenntlichmachung die Mitwirkung an der politischen Willensbildung maßgeblich beeinträchtigt worden wäre. Dem Kläger ging es mit der Veröffentlichung des Facebook-Posts am 17. September 2018 darum aufzuzeigen, dass er sich erfolgreich für die Interessen einer größeren Anzahl von Anwohnern eingesetzt hat und die von den Anwohnern gewünschte Ampelanlage nunmehr „endlich“ gebaut wird. Um diese für den Kläger maßgeblichen Gesichtspunkte zu vermitteln, war es jedoch nicht erforderlich, dass die Eheleute F. auf dem streitgegenständlichen Foto aufgrund ihrer (Gesichts)Merkmale identifizierbar sind. Insofern hätte der vom Kläger veröffentlichte Post seine maßgebliche Aussagekraft auch nicht verloren, wenn die Eheleute F. auf dem Foto nicht mehr identifizierbar gewesen wären.

Entgegen dem Zulassungsvorbringen des Klägers bedeutet die vom Verwaltungsgericht und dem Senat vertretene Auffassung auch nicht, dass die Gesichter aller Teilnehmer an der Veranstaltung hätten unkenntlich gemacht werden müssen. Sämtliche Personen, die in die Veröffentlichung eingewilligt haben, durften auch ohne Unkenntlichmachung abgebildet werden (vgl. allgemein zur Einwilligung i.S.d. DS-GVO die Begriffsbestimmung in Art. 4 Nr. 11 DS-GVO sowie speziell zu den an eine Einwilligungserklärung nach Art. 6 Abs. 1 lit. a DS-GVO zu stellenden Anforderungen: Albers/Veit, in: Wolff/Brink, a.a.O., Art. 6 DS-GVO, Rn. 19 f., m.w.N.). So durfte insbesondere der Vorsitzende des Klägers, dessen besondere Rolle auf dem Foto auch durch die halbkreisförmige Anordnung der um ihn versammelten Personengruppe erkennbar ist und dessen entsprechendes Auftreten überhaupt erst den unmittelbaren Zusammenhang zu den parteipolitischen Aktivitäten des Klägers begründet, aufgrund seiner (konkludenten) Einwilligung gemäß Art. 6 Abs. 1 lit. a DS-GVO auch ohne Unkenntlichmachung abgebildet werden.

"OVG Lüneburg: Veröffentlichung von Fotos einer Person auf Facebook-Fanpage des Ortsvereins einer Partei ohne Einwilligung nach KUG und DSGVO regelmäßig unzulässig" vollständig lesen

EuGH-Generalanwalt: Nationale Datenschutzbehörde kann bei DSGVO-Verstoß im Zusammenhang mit grenzüberschreitender Datenverarbeitung tätig werden auch wenn sie nicht federführend zuständig ist

EuGH-Generalanwalt
Schlussanträge vom 13.01.2021
C-645/19
Facebook Ireland Limited, Facebook Inc., Facebook Belgium BVBA / Gegevensbeschermingsautoriteit


Der EuGH-Generalanwalt kommt in seinen Schlussanträgen zu dem Ergebnis, dass die nationalen Datenschutzbehörden bei DSGVO-Verstößen im Zusammenhang mit grenzüberschreitender Datenverarbeitung tätig werden können auch wenn sie nicht federführend zuständig sind.

Die Pressemitteilung des EuGH:

Generalanwalt Bobek: Die Datenschutzbehörde des Staates, in dem sich die Hauptniederlassung eines Verantwortlichen oder Auftragsverarbeiters in der EU befindet, hat eine allgemeine Zuständigkeit, um gerichtliche Verfahren wegen Verstößen gegen die Datenschutz-Grundverordnung in Bezug auf grenzüberschreitende Datenverarbeitung einzuleiten

Die anderen betroffenen nationalen Datenschutzbehörden seien gleichwohl befugt, in Situationen, in denen es ihnen die Datenschutz-Grundverordnung spezifisch gestatte, derartige Verfahren inihren jeweiligen Mitgliedstaaten einzuleiten

Im September 2015 leitete die belgische Datenschutzbehörde vor den belgischen Gerichten ein Verfahren gegen mehrere Unternehmen der Facebook-Gruppe (im Folgenden: Facebook) ein, nämlich gegen Facebook Inc., Facebook Ireland Ltd, das die Hauptniederlassung der Gruppe in der EU ist, und Facebook Belgium BVBA (im Folgenden: Facebook Belgium). In diesem Verfahren beantragte die Datenschutzbehörde, Facebook zu verpflichten, bei in Belgien ansässigen Internetnutzern, wenn sie hierein nicht eingewilligt haben, das Platzieren von bestimmten Cookies auf dem Gerät, das diese Personen verwenden, wenn sie auf eine Website der Domain Facebook.com oder auf eine Website eines Dritten gelangen, zu unterlassen sowie die
übermäßige Erhebung von Daten durch Social Plugins und Pixels auf Websites Dritter zu unterlassen. Ferner beantragte die genannte Behörde, alle personenbezogenen Daten, die mittels Cookies und Social Plugins über jeden in Belgien ansässigen Internetnutzer erlangt worden sind, zu vernichten.

Das fragliche Verfahren ist derzeit beim Hof van beroep te Brussel (Berufungsgericht Brüssel, Belgien) anhängig, betrifft aber nur noch Facebook Belgium, nachdem das genannte Gericht zuvor befunden hat, für Klagen gegen Facebook Inc. und Facebook Ireland Ltd nicht zuständig zu sein. In diesem Zusammenhang trägt Facebook Belgium vor, dass die belgische Datenschutzbehörde ab dem Zeitpunkt, zu dem die Datenschutz-Grundverordnung (DSGVO) 1 anwendbar geworden sei, die Zuständigkeit dafür verloren habe, das fragliche Gerichtsverfahren gegen Facebook weiter zu betreiben. Nach der DSGVO sei lediglich die Datenschutzbehörde desjenigen Staates, in dem sich die Hauptniederlassung von Facebook in der EU befinde (die sogenannte „federführende“ Datenschutzbehörde in der EU für Facebook), nämlich die Irish Data Protection Commission, befugt, wegen Verstößen gegen die DSGVO im Zusammenhang mit grenzüberschreitender Datenverarbeitung ein gerichtliches Verfahren gegen Facebook zu betreiben.

Unter diesen Umständen möchte der Hof van beroep te Brussel vom Gerichtshof wissen, ob die DSGVO tatsächlich andere Datenschutzbehörden als die federführende daran hindert, in ihrem jeweiligen Mitgliedstaat gerichtliche Verfahren wegen Verstößen gegen die Vorschriften der DSGVO in Bezug auf grenzüberschreitende Datenverarbeitung zu betreiben.

In seinen Schlussanträgen vom heutigen Tag vertritt Generalanwalt Michal Bobek erstens die Auffassung, dass sich aus dem Wortlaut der DSGVO ergebe, dass die federführende Datenschutzbehörde für grenzüberschreitende Datenverarbeitung eine allgemeine Zuständigkeit habe, wozu auch die Einleitung gerichtlicher Verfahren wegen Verstößen gegen die DSGVO gehöre; folglich seien die diesbezüglichen Handlungsbefugnisse der übrigen betroffenen Datenschutzbehörden weniger umfassend.

In Bezug darauf, dass die DSGVO jeder Datenschutzbehörde die Befugnis verleiht, gerichtliche Verfahren gegen mögliche Verstöße einzuleiten, die ihr Hoheitsgebiet betreffen, führt der Generalanwalt aus, dass diese Befugnis ausdrücklich beschränkt sei, soweit es um grenzüberschreitende Datenverarbeitung gehe, gerade um der federführenden Datenschutzbehörde zu ermöglichen, insoweit ihre Aufgaben wahrzunehmen.

Zweitens erinnert der Generalanwalt daran, dass der Grund, weswegen mit der DSGVO der sogenannte „One-Stop-Shop“-Mechanismus eingeführt worden sei, wodurch der federführenden Datenschutzbehörde eine bedeutende Rolle zugewiesen worden sei und zur Beteiligung anderer Datenschutzbehörden Kooperationsmechanismen geschaffen worden seien, gerade darin bestanden habe, bestimmten Unzulänglichkeiten abzuhelfen, die sich aus den früheren Rechtsvorschriften ergeben hätten.

Wirtschaftsteilnehmer hätten nämlich die verschiedenennationalen Regelwerke einhalten müssen, mit denen diese Rechtsvorschriften umgesetzt wordenseien, und zugleich mit allen nationalen Datenschutzbehörden in Verbindung treten müssen. Dies habe sich für die Wirtschaftsteilnehmer als kostspielig, belastend und zeitaufwändig erwiesen, und für sie und ihre Kunden hätten sich daraus unvermeidlicherweise Unsicherheiten und Konflikte ergeben.

Drittens betont der Generalanwalt, dass die federführende Datenschutzbehörde bei grenzüberschreitenden Sachverhalten nicht als alleinige Stelle zur Durchsetzung der DSGVO angesehen werden könne und im Einklang mit den einschlägigen Vorschriften und Fristen, die sich aus der DSGVO ergäben, eng mit den anderen betroffenen Datenschutzbehörden zusammenarbeiten müsse, deren Beiträge auf diesem Gebiet äußerst wichtig seien.

Viertens hebt der Generalanwalt hervor, dass nationale Datenschutzbehörden, selbst wenn sie nicht als federführende Behörde fungierten, gleichwohl unter bestimmten Umständen vor den Gerichten ihres jeweiligen Mitgliedstaats Verfahren wegen grenzüberschreitender Verarbeitung einleiten könnten. Dies sei insbesondere möglich, wenn die nationalen Datenschutzbehörden i) außerhalb des sachlichen Anwendungsbereichs der DSGVO tätig würden, ii) sie Untersuchungen
zu grenzüberschreitender Datenverarbeitung anstellten, die durch Behörden, im öffentlichen Interesse, in Ausübung öffentlicher Gewalt oder durch Verantwortliche erfolge, die keine Niederlassung in der Union hätten, iii) bei Dringlichkeit Maßnahmen ergriffen oder iv) tätig würden, nachdem die federführende Datenschutzbehörde beschlossen habe, sich nicht selbst mit dem Fall zu befassen.

Demnach ist der Generalanwalt der Auffassung, dass die Datenschutzbehörde eines Mitgliedstaats nach den Bestimmungen der DSGVO befugt ist, vor einem Gericht ihres Staates ein Verfahren wegen eines angeblichen Verstoßes gegen die DSGVO im Zusammenhang mit einer grenzüberschreitenden Datenverarbeitung einzuleiten, auch wenn sie nicht die federführende Datenschutzbehörde ist, der für die Einleitung solcher Verfahren eine allgemeine Befugnis verliehen worden ist, sofern die erstgenannte Datenschutzbehörde in Situationen tätig wird, in denen ihr die DSGVO spezifisch hierzu Befugnisse verleiht, und die in der DSGVO vorgesehenen entsprechenden Verfahren beachtet.

Den Volltext der Schlussanträge finden Sie hier:




OVG Koblenz: Kein individueller Anspruch auf Einschreiten der Datenschutzbehörde und Einleitung bestimmter Maßnahmen nach DSGVO

OVG Koblenz
Urteil vom 26.10.2020
10 A 10613/20.OVG


Das OVG Koblenz hat entschieden, dass kein individueller Anspruch auf Einschreiten der Datenschutzbehörde und Einleitung bestimmter Maßnahmen besteht. Die DSGVO enthält keine entsprechende Anspruchsgrundlage.

Hamburger Datenschutzbeauftragter: DSGVO - 35,3 Millionen Euro Bußgeld gegen H&M wegen datenschutzwidriger Mitarbeiterüberwachung im Servicecenter von H&M

Der Hamburgische Beauftragte für Datenschutz und Informationsfreiheit (HmbBfDI) hat gegen H&M ein Bußgeld in Höhe von 35,3 Millionen Euro wegen datenschutzwidriger Mitarbeiterüberwachung im Servicecenter von H&M verhängt.

35,3 Millionen Euro Bußgeld wegen Datenschutzverstößen im Servicecenter von H&M

Im Fall der Überwachung von mehreren hundert Mitarbeiterinnen und Mitarbeitern des H&M Servicecenters in Nürnberg durch die Center-Leitung hat der Hamburgische Beauftragte für Datenschutz und Informationsfreiheit (HmbBfDI) einen Bußgeldbescheid in Höhe von 35.258.707,95 Euro gegen die H&M Hennes & Mauritz Online Shop A.B. & Co. KG erlassen.

Die Gesellschaft mit Sitz in Hamburg betreibt ein Servicecenter in Nürnberg. Mindestens seit dem Jahr 2014 kam es bei einem Teil der Beschäftigten zu umfangreichen Erfassungen privater Lebensumstände. Entsprechende Notizen wurden auf einem Netzlaufwerk dauerhaft gespeichert. Nach Urlaubs- und Krankheitsabwesenheiten – auch kurzer Art – führten die vorgesetzten Teamleader einen sogenannten Welcome Back Talk durch. Nach diesen Gesprächen wurden in etlichen Fällen nicht nur konkrete Urlaubserlebnisse der Beschäftigten festgehalten, sondern auch Krankheitssymptome und Diagnosen. Zusätzlich eigneten sich einige Vorgesetzte über Einzel- und Flurgespräche ein breites Wissen über das Privatleben ihrer Mitarbeitenden an, das von eher harmlosen Details bis zu familiären Problemen sowie religiösen Bekenntnissen reichte. Die Erkenntnisse wurden teilweise aufgezeichnet, digital gespeichert und waren mitunter für bis zu 50 weitere Führungskräfte im ganzen Haus lesbar. Die Aufzeichnungen wurden bisweilen mit einem hohen Detailgrad vorgenommen und im zeitlichen Verlauf fortgeschrieben. Die so erhobenen Daten wurden neben einer akribischen Auswertung der individuellen Arbeitsleistung u.a. genutzt, um ein Profil der Beschäftigten für Maßnahmen und Entscheidungen im Arbeitsverhältnis zu erhalten. Die Kombination aus der Ausforschung des Privatlebens und der laufenden Erfassung, welcher Tätigkeit sie jeweils nachgingen, führte zu einem besonders intensiven Eingriff in die Rechte der Betroffenen.

Bekannt wurde die Datenerhebung dadurch, dass die Notizen infolge eines Konfigurationsfehlers im Oktober 2019 für einige Stunden unternehmensweit zugreifbar waren. Nachdem der Hamburgische Beauftragte für Datenschutz und Informationsfreiheit über die Datensammlung durch Presseberichte informiert wurde, ordnete er zunächst an, den Inhalt des Netzlaufwerks vollständig „einzufrieren“ und verlangte dann die Herausgabe. Das Unternehmen kam dem nach und legte einen Datensatz von rund 60 Gigabyte zur Auswertung vor. Vernehmungen zahlreicher Zeuginnen und Zeugen bestätigten nach Analyse der Daten die dokumentierten Praktiken.

Die Aufdeckung der erheblichen Verstöße hat die Verantwortlichen zur Ergreifung verschiedener Abhilfemaßnahmen veranlasst. Dem HmbBfDI wurde ein umfassendes Konzept vorgelegt, wie von nun an am Standort Nürnberg Datenschutz umgesetzt werden soll. Zur Aufarbeitung der vergangenen Geschehnisse hat sich die Unternehmensleitung nicht nur ausdrücklich bei den Betroffenen entschuldigt. Sie folgt auch der Anregung, den Beschäftigten einen unbürokratischen Schadenersatz in beachtlicher Höhe auszuzahlen. Es handelt sich insoweit um ein bislang beispielloses Bekenntnis zur Unternehmensverantwortung nach einem Datenschutzverstoß. Weitere Bausteine des neu eingeführten Datenschutzkonzepts sind unter anderem ein neu berufener Datenschutzkoordinator, monatliche Datenschutz-Statusupdates, ein verstärkt kommunizierter Whistleblower-Schutz sowie ein konsistentes Auskunfts-Konzept.

Hierzu Prof. Dr. Johannes Caspar, der Hamburgische Beauftragte für Datenschutz und Informationsfreiheit: „Der vorliegende Fall dokumentiert eine schwere Missachtung des Beschäftigtendatenschutzes am H&M-Standort Nürnberg. Das verhängte Bußgeld ist dementsprechend in seiner Höhe angemessen und geeignet, Unternehmen von Verletzungen der Privatsphäre ihrer Beschäftigten abzuschrecken.

Ausdrücklich positiv ist das Bemühen der Konzernleitung zu bewerten, die Betroffenen vor Ort zu entschädigen und das Vertrauen in das Unternehmen als Arbeitgeber wiederherzustellen. Die transparente Aufklärung seitens der Verantwortlichen und die Gewährleistung einer finanziellen Kompensation zeigen durchaus den Willen, den Betroffenen den Respekt und die Wertschätzung zukommen zu lassen, die sie als abhängig Beschäftigte in ihrem täglichen Einsatz für ihr Unternehmen verdienen.“