Skip to content

EuGH: Betroffener einer Datenschutzverletzung hat keinen Anspruch gegen datenschutzrechtliche Aufsichtsbehörde auf Verhängung einer Geldbuße oder sonstiger Abhilfemaßnahmen

EuGH
Urteil vom 26.08.2024
C-768/21
Land Hessen (Handlungspflicht der Datenschutzbehörde)

Der EuGH hat entschieden, dass der Betroffene einer Datenschutzverletzung keinen Anspruch gegen die datenschutzrechtliche Aufsichtsbehörde auf Verhängung einer Geldbuße oder sonstiger Abhilfemaßnahmen hat.

Tenor der Entscheidung:
Art. 57 Abs. 1 Buchst. a und f, Art. 58 Abs. 2 sowie Art. 77 Abs. 1 der Verordnung (EU) 2016/679 des Europäischen Parlaments und des Rates vom 27. April 2016 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten, zum freien Datenverkehr und zur Aufhebung der Richtlinie 95/46/EG (Datenschutz-Grundverordnung)

sind dahin auszulegen, dass

die Aufsichtsbehörde im Fall der Feststellung einer Verletzung des Schutzes personenbezogener Daten nicht verpflichtet ist, nach diesem Art. 58 Abs. 2 eine Abhilfemaßnahme zu ergreifen, insbesondere eine Geldbuße zu verhängen, wenn ein solches Einschreiten nicht geeignet, erforderlich oder verhältnismäßig ist, um der festgestellten Unzulänglichkeit abzuhelfen und die umfassende Einhaltung dieser Verordnung zu gewährleisten.

Die Pressemitteilung des EuGH:
Schutz personenbezogener Daten: Die Aufsichtsbehörde ist nicht verpflichtet, in jedem Fall eines Verstoßes eine Abhilfemaßnahme zu ergreifen und insbesondere eine Geldbuße zu verhängen

Sie kann davon absehen, wenn der Verantwortliche bereits von sich aus die erforderlichen Maßnahmen ergriffen hat

In Deutschland stellte eine Sparkasse fest, dass eine Mitarbeiterin mehrmals unbefugt auf personenbezogene Daten eines Kunden zugegriffen hatte. Die Sparkasse setzte den Kunden hiervon nicht in Kenntnis, da ihr Datenschutzbeauftragter der Ansicht war, dass für diesen Kunden kein hohes Risiko bestehe. Denn die Mitarbeiterin hatte schriftlich bestätigt, dass sie die Daten weder kopiert oder gespeichert noch an Dritte übermittelt habe und dass sie dies auch zukünftig nicht tun werde. Außerdem hatte die Sparkasse gegen die Mitarbeiterin Disziplinarmaßnahmen ergriffen. Gleichwohl meldete die Sparkasse diesen Verstoß dem Landesdatenschutzbeauftragten.

Nachdem der Kunde nebenbei von diesem Vorfall Kenntnis erlangt hatte, reichte er bei dem Landesdatenschutzbeauftragten eine Beschwerde ein. Nach Anhörung der Sparkasse teilte der Landesdatenschutzbeauftragte dem Kunden mit, dass er es nicht für erforderlich halte, gegen die Sparkasse Abhilfemaßnahmen zu ergreifen.

Der Kunde erhob daraufhin Klage bei einem deutschen Gericht und beantragte, den Landesdatenschutzbeauftragten zum Einschreiten gegen die Sparkasse zu verpflichten und insbesondere dazu, gegen die Sparkasse eine Geldbuße zu verhängen.

Das deutsche Gericht hat den Gerichtshof ersucht, die Datenschutz-Grundverordnung (DSGVO) im Hinblick auf diese Fragestellung auszulegen.

In seinem Urteil antwortet der Gerichtshof, dass die Aufsichtsbehörde im Fall der Feststellung einer Verletzung des Schutzes personenbezogener Daten nicht verpflichtet ist, eine Abhilfemaßnahme zu ergreifen , insbesondere eine Geldbuße zu verhängen, wenn dies nicht erforderlich ist, um der festgestellten Unzulänglichkeit abzuhelfen und die umfassende Einhaltung der DSGVO zu gewährleisten. Ein solcher Fall könnte u. a. dann vorliegen, wenn der für die Verarbeitung Verantwortliche, sobald er von der Verletzung Kenntnis erlangt hat, die erforderlichen Maßnahmen ergriffen hat, damit die Verletzung abgestellt wird und sich nicht wiederholt.

Die DSGVO räumt der Aufsichtsbehörde ein Ermessen hinsichtlich der Art und Weise ein, wie sie der festgestellten Unzulänglichkeit abhilft.

Dieses Ermessen wird durch das Erfordernis begrenzt, durch den klar durchsetzbaren Rechtsrahmen der DSGVO ein gleichmäßiges und hohes Schutzniveau für personenbezogene Daten zu gewährleisten.

Es ist Sache des deutschen Gerichts, zu prüfen, ob der Landesdatenschutzbeauftragte diese Grenzen eingehalten hat


Den Volltext der Entscheidung finden Sie hier:

OVG Schleswig-Holstein: Bei YouTube veröffentlichte Dashcam-Aufnahmen müssen vom Uploader verpixelt werden so dass Personen und KfZ-Kennzeichen nicht zu erkennen sind

OVG Schleswig-Holstein
Urteil vom 07.08.2024
8 A 159/20


Das OVG Schleswig-Holstein hat entschieden, dass bei YouTube veröffentlichte Dashcam-Aufnahmen vom Uploader verpixelt werden müssen, so dass Personen und KfZ-Kennzeichen nicht zu erkennen sind.

Aus den Entscheidungsgründen:
Rechtsgrundlage für die Anordnung der Beklagten ist Art. 58 Abs. 2 Buchst. d DS-GVO in Verbindung mit Art. 12, 13 Abs. 1 Buchst. d DS-GVO. Gemäß Art. 58 Abs. 2 Buchst. d DS-GVO verfügt jede Aufsichtsbehörde – und damit auch die Beklagte – über sämtliche Abhilfebefugnisse, die es ihr gestatten, den Verantwortlichen oder den Auftragsverarbeiter anzuweisen, Verarbeitungsvorgänge gegebenenfalls auf bestimmte Weise und innerhalb eines bestimmten Zeitraums in Einklang mit dieser Verordnung zu bringen.

Nach Art. 12 Abs. 1 Satz 1 und 2 DS-GVO trifft der Verantwortliche geeignete Maßnahmen, um der betroffenen Person alle Informationen gemäß den Artikeln 13 und 14 und alle Mitteilungen gemäß den Artikeln 15 bis 22 und Artikel 34, die sich auf die Verarbeitung beziehen, in präziser, transparenter, verständlicher und leicht zugänglicher Form in einer klaren und einfachen Sprache zu übermitteln. Die Übermittlung der Informationen erfolgt schriftlich oder in anderer Form, gegebenenfalls auch elektronisch.

Entgegen der Ansicht des Klägers folgen die ihn treffenden Informationspflichten bei der Erstellung von Videoaufnahmen aus Art. 13 DS-GVO und nicht aus Art. 14 DS-GVO. Insoweit besteht zwischen Art. 13 und 14 DS-GVO im Hinblick auf den Zeitpunkt der Informationspflichten ein wesentlicher Unterschied. Bei Art. 13 DS-GVO sind die nach der Vorschrift erforderlichen Informationen der betroffenen Person zum Zeitpunkt der Erhebung dieser Daten zu erteilen, während bei Art. 14 DS-GVO die Informationen erst innerhalb einer angemessenen Frist nach Erlangung der personenbezogenen Daten, längstens jedoch innerhalb eines Monats erteilt werden müssen (Art. 14 Abs. 3 DS-GVO).

Art. 13 DS-GVO betrifft die Datenerhebung bei der betroffenen Person, während Art. 14 DS-GVO greift, wenn die Daten nicht bei der betroffenen Person erhoben wurden. Unter welchen Voraussetzungen von einer Datenerhebung bei der betroffenen Person auszugehen ist, ist Art. 13 und 14 DS-GVO nicht zu entnehmen.

Die Abgrenzung der Datenerhebung nach Art. 13 DS-GVO von derjenigen nach Art. 14 DS-GVO hat nach Auffassung des erkennenden Einzelrichters nach objektiven Kriterien zu erfolgen, insbesondere anhand des Ortes der Datenerhebung (vgl. Schmidt-Wudy in: BeckOK Datenschutzrecht, 48. Ed., Stand: 1. Mai 2024, Art. 14 Rn. 30) oder der Mitwirkung der betroffenen Person. Einer Abgrenzung nach subjektiven Kriterien, insbesondere der Kenntnis der betroffenen Person von der Datenerhebung (vgl. dazu Franck in: Gola/Heckmann, DS-GVO - BDSG, 3. Aufl. 2022, Art. 13 Rn. 4) stehen einerseits Abgrenzungsschwierigkeiten entgegen und der Umstand, dass der Verantwortliche anderenfalls durch offene oder verdeckte Datenerhebung wählen könnte, ob Art. 13 oder 14 DS-GVO eingreift. Letzteres wiederum hätte zur Folge, dass sich der Verantwortliche den Informationspflichten letztendlich vollständig durch verdeckte Datenerhebungen entziehen könnte, weil die betroffenen Personen dem Verarbeitenden oftmals unbekannt sind mit der Folge, dass Informationen im Nachhinein aus tatsächlichen Gründen nicht mehr erteilt werden können und der Ausschlusstatbestand des Art. 14 Abs. 5 Buchst. b DS-GVO griffe (Bäcker in: Kühling/Buchner, DS-GVO BDSG, 4. Aufl. 2024, Art. 13 Rn. 13 f.). Dies ist mit dem in Erwägungsgrund 6 DS-GVO normierten Ziel der Gewährleistung eines hohen Datenschutzniveaus trotz Zunahme des Datenaustausches nicht zu vereinbaren.

Vor diesem Hintergrund sind Videoaufzeichnungen unabhängig von der Frage, ob es sich um offene (mit Hinweisschild oder ähnlichem Hinweis) oder verdeckte Aufzeichnungen handelt, als Datenerhebung bei der betroffenen Person nach Art. 13 DS-GVO anzusehen (vgl. Bäcker in: Kühling/Buchner, DS-GVO BDSG, 4. Aufl. 2024, Art. 13 Rn. 15; a. A. Paal/Hennemann in: Paal/Pauly, DS-GVO BDSG, 3. Aufl. 2021, Art. 13 Rn. 11b; Schmidt-Wudy in: BeckOK Datenschutzrecht, 48. Ed., Stand: 1. Mai 2024, Art. 14 DS-GVO Rn. 31.2).

Die Differenzierung nach offenen und verdeckten Videoaufzeichnungen hätte auch hier zur Folge, dass der Verantwortliche im Ergebnis selbst wählen könnte, ob Art. 13 oder 14 DS-GVO einschlägig ist, indem er die Videoaufzeichnung entweder offen oder verdeckt ausführt. Dies hätte wiederum zur Folge, dass bei verdeckten Videoaufzeichnungen letztendlich oft keine Informationspflichten eingehalten werden müssten, weil die aufgezeichneten Personen dem Verantwortlichen unbekannt sind und deshalb der Ausschlusstatbestand des Art. 14 Abs. 5 Buchst. b DS-GVO greift (vgl. Bäcker in: Kühling/Buchner, DS-GVO BDSG, 4. Aufl. 2024, Art. 13 Rn. 13 f.).

Bezogen auf das streitgegenständliche Filmen mittels einer auf das Autodach montierten Kamera hätte die Abgrenzung nach dem subjektiven Merkmal der Kenntnis zudem Abgrenzungsprobleme in der Form zur Folge, dass der Kläger jeweils prüfen müsste, ob die Person die Kamera gesehen und damit Kenntnis von den Videoaufzeichnungen hat. In diesem Fall griffe dann Art. 13 DS-GVO. Im anderen Fall, in dem die betroffene Person die Kamera nicht gesehen hat, griffe Art. 14 DS-GVO ein und der Kläger müsste die darin normierten nachträglichen Informationspflichten erfüllen. Dazu müsste der Kläger bei jeder gefilmten Person prüfen, ob diese die Kamera gesehen beziehungsweise auf irgend eine Art davon Kenntnis erlangt hat. Bei allen anderen Personen müsste er prüfen, ob er die Informationen nachträglich erteilen kann oder der Ausschlusstatbestand des Art. 14 Abs. 5 Buchst. b DS-GVO greift. Diese Vorgehensweise erscheint nicht praxistauglich.

Der Kläger ist ausgehend von diesen Maßstäben nach Art. 13 Abs. 1 Buchst. d DS-GVO verpflichtet, der betroffenen Person zum Zeitpunkt der Datenerhebung die berechtigten Interessen mitzuteilen, die von dem Verantwortlichen oder einem Dritten verfolgt werden, wenn die Verarbeitung auf Art. 6 Abs. 1 Buchst. f DS-GVO beruht.

Der Kläger hat sich vorliegend insbesondere auf seine Kunstfreiheit und seine Berufsfreiheit und damit auf berechtigte Interessen im Sinne des Art. 6 Abs. 1 Buchst. f DS-GVO berufen.

Nach Art. 12 Abs. 1 Satz 2 DS-GVO erfolgt die Übermittlung der Informationen schriftlich oder in anderer Form, gegebenenfalls auch elektronisch. Jedenfalls über seine berechtigten Interessen im Sinne des Art. 6 Abs. 1 Buchst. f DS-GVO kann der Kläger auch in der von ihm gewählten Form informieren, dass sich auf dem Kraftfahrzeug ein Hinweis auf seine Website befindet, auf der dann wiederum die erforderlichen Informationen nachzulesen sind. Insoweit ist ein Medienbruch zulässig (vgl. Bäcker in: Kühling/Buchner, DS-GVO BDSG, 4. Aufl. 2024, Art. 12 Rn. 16). Gewisse Verarbeitungssituationen lassen es schlichtweg nicht zu, sämtliche Transparenzinformationen unmittelbar zur Verfügung zu stellen (vgl. Franck in: Gola/Heckmann, DS-GVO – BDSH, 3. Aufl. 2022, Art. 13 DS-GVO Rn. 43).

So ist auch hier zu berücksichtigen, dass beim Vorbeifahren eines Kraftfahrzeuges nur in begrenztem Umfang auf dem Kraftfahrzeug angebrachte Informationen von den betroffenen Personen wahrgenommen werden können und diese deshalb auf die essentiellen Informationen beschränkt werden müssen. Dazu zählen die berechtigten Interessen im Sinne des Art. 6 Abs. 1 Buchst. f DS-GVO nicht. Hier ist es ausreichend, wenn die betroffenen Personen die Informationen auf Sekundärebene über eine Website abrufen können.

Vor diesem Hintergrund ist auch Ziffer 4 des Bescheides der Beklagten vom 19. Oktober 2020 rechtswidrig und verletzt den Kläger in seinen Rechten, soweit sich die Nachweispflicht mittels eines Fotos auf die Pflicht bezieht, bei der Anfertigung von personenbezogenen Filmaufnahmen sichtbar darauf hinzuweisen, welche berechtigten Interessen im Sinne des Art. 6 Abs. 1 Buchst. f DS-GVO durch die Anfertigung der Filmaufnahmen verfolgt werden.

Im Übrigen sind Ziffer 3 und 4 des Bescheides der Beklagten vom 19. Oktober 2020 rechtmäßig und verletzen den Kläger nicht in seinen Rechten.

Die für die betroffenen Personen essentiellen Informationen nach Art. 13 Abs. 1 DS-GVO müssen ohne Medienbruch bei der Verarbeitung mitgeteilt werden (vgl. Franck in: Gola/Heckmann, DS-GVO – BDSH, 3. Aufl. 2022, Art. 13 DS-GVO Rn. 43). Dazu zählen jedenfalls die von der Beklagten angenommenen Hinweise darauf, dass Filmaufnahmen für den Zweck der Veröffentlichung im Internet erstellt werden (Art. 12 Abs. 1 Buchst. c DS-GVO), wer Verantwortlicher der Verarbeitung ist sowie dessen Kontaktdaten (Art. 12 Abs. 1 Buchst. a DS-GVO).

Diese überschaubare Anzahl an Daten kann bei gefilmten Personen bei einem Hinweis auf dem Kraftfahrzeug des Klägers noch wahrgenommen werden. Gleichzeitig ist die Information über diese Daten für die Wahrung der Rechte der betroffenen Personen notwendig, damit auch Personen mit wenig Medienkompetenz hinreichend informiert sind und ihre Rechte möglichst umfassend ausüben können.

Ziffer 4 des streitgegenständlichen Bescheides ist hinsichtlich der nicht zu beanstandenden Informationspflichten nach Ziffer 3 des Bescheides ebenfalls nicht zu beanstanden. Rechtsgrundlage ist Art. 58 Abs. 1 Buchst. a DS-GVO. Danach verfügt Jede Aufsichtsbehörde über sämtliche Untersuchungsbefugnisse, die es ihr gestatten, unter anderem den Verantwortliche anzuweisen, alle Informationen bereitzustellen, die für die Erfüllung ihrer Aufgaben erforderlich sind.

Das von der Beklagten geforderte Foto ist notwendig, um überprüfen zu können, ob der Kläger die von der Beklagten geforderten Informationspflichten nach Art. 13 DS-GVO beachtet. Dazu ist die Beklagte nach Art. 57 Abs. 1 Buchst. a DS-GVO verpflichtet. Ermessensfehler sind insoweit weder vorgetragen noch ersichtlich. An der Verhältnismäßigkeit bestehen keine Zweifel.

Im Übrigen ist der Bescheid der Beklagten vom 19. Oktober 2020 rechtmäßig und verletzt den Kläger nicht in seinen Rechten.

Zunächst leidet der Bescheid nicht an fehlender Bestimmtheit. Gemäß § 37 Abs. 1 VwVfG muss ein Verwaltungsakt inhaltlich hinreichend bestimmt sein. Das bedeutet zum einen, dass der Adressat in die Lage versetzt werden muss, zu erkennen, was von ihm gefordert wird. Zum anderen muss der Verwaltungsakt geeignete Grundlage für Maßnahmen zu seiner zwangsweisen Durchsetzung sein können. Im Einzelnen richten sich die Anforderungen an die notwendige Bestimmtheit eines Verwaltungsakts nach den Besonderheiten des jeweils anzuwendenden und mit dem Verwaltungsakt umzusetzenden materiellen Rechts (BVerwG, Urt. v. 15. Februar 1990 – 4 C 41.87 – juris Rn. 29).

Der Regelungsgehalt eines Verwaltungsakts ist entsprechend §§ 133, 157 BGB durch Auslegung zu ermitteln. Dabei ist der erklärte Wille maßgebend, wie ihn der Empfänger bei objektiver Würdigung verstehen konnte. Bei der Ermittlung dieses objektiven Erklärungswertes sind alle dem Empfänger bekannten oder erkennbaren Umstände heranzuziehen, insbesondere auch die Begründung des Verwaltungsakts. Die Begründung hat einen unmittelbaren Zusammenhang mit dem Regelungsgehalt. Sie ist die Erläuterung der Behörde, warum sie den verfügenden Teil ihres Verwaltungsakts so und nicht anders erlassen hat. Die Begründung bestimmt damit den Inhalt der getroffenen Regelung mit, sodass sie in aller Regel unverzichtbares Auslegungskriterium ist (BVerwG, Urt. v. 16. Oktober 2013 – 8 C 21.12 – juris Rn. 14).

Gemessen an diesen Maßstäben ist der Bescheid hinreichend bestimmt. Für den Kläger ist unter Berücksichtigung von Tenor und Begründung des Bescheides hinreichend klar, unter welchen Voraussetzungen die Aufnahmen so verändert werden müssen, dass Personen, nicht mehr anhand ihrer äußerlichen Erscheinung identifiziert werden können (Ziffer 1 und 2 des Bescheides) und was für ein Foto er einreichen soll (Ziffer 4 des Bescheides).

Dies ist bei Auslegung des Bescheides aus dem objektiven Empfängerhorizont immer dann der Fall, wenn aufgrund besonderer Umstände des Straßenverkehrs nicht mehr die Straße und die sie umgebende Landschaft die Aufnahme prägt. In den vom Kläger bislang veröffentlichten Aufnahmen prägt – im fließenden Verkehr – ganz überwiegend die Straße und die sie umgebende Straßenlandschaft das Bild. Gelegentlich passiert der Kläger dabei Personen, die jedoch im Hintergrund bleiben und kaum zu erkennen sind.

Anders verhält es sich unterdessen, wenn Personen aufgrund der äußeren Umstände der Verkehrssituation dicht an die auf dem Fahrzeugdach montierte Kamera herantreten, insbesondere an Ampeln, bei Verkehrsüberwegen und an Kreuzungen. In diesem Fall gerät die Person – angesichts der geringen Geschwindigkeit eines Fußgängers, Fahrradfahrers etc. über einen längeren Zeitraum – in den Fokus der Aufnahme mit der Folge, dass die Straße und die Straßenlandschaft verdeckt wird und in den Hintergrund gerät.

Zugegebenermaßen verbleiben dabei Abgrenzungsschwierigkeiten, weil nicht anhand fester Kriterien vom Kläger oder einem eingesetzten Algorithmus festgestellt werden kann, wie lange etwa eine Person aufgezeichnet werden muss, welchen Anteil sie vom Bildausschnitt ausfüllen muss beziehungsweise ab welcher Entfernung zur Kamera eine Anonymisierung zu erfolgen hat. Derartige feste Kriterien sind jedoch für die Abgrenzung nicht geeignet, weil anhand festgelegter Werte die Umstände der jeweils gegebenen konkreten Situation der Aufnahme nicht hinreichend gewürdigt werden können. Verbleibende Abgrenzungsschwierigkeiten sind in Kauf zu nehmen.

Dies vorangestellt hat die Beklagte zu Recht die Abgrenzungskriterien der sogenannten Beiwerk-Rechtsprechung zu § 23 Abs. 1 Nr. 2 KUG entsprechend herangezogen.

Nach dieser Vorschrift dürfen ohne die nach § 22 KUG erforderliche Einwilligung verbreitet und zur Schau gestellt werden Bilder, auf denen die Personen nur als Beiwerk neben einer Landschaft oder sonstigen Örtlichkeit erscheinen. Auch hier ist die Abgrenzung zwischen Haupt- und Beiwerk schwierig.

Die Vorschrift stellt in erster Linie auf das Verhältnis des Abgebildeten zu der übrigen Aussage des Bildes, auf seinen Stellenwert im Gesamteindruck des Bildes, nicht auf den Grad seiner Erkennbarkeit ab. Von einem Beiwerk in diesem Sinn kann grundsätzlich dann keine Rede sein, wenn die Person das Bild fast ganz ausfüllt (BGH, Urt. v. 26. Juni 1979 – VI ZR 108/78 – juris Rn. 18). Maßgeblich ist, ob entsprechend dem Gesamteindruck der Veröffentlichung die Landschaft oder die sonstige Örtlichkeit Abbildungsgegenstand ist und die einzelnen Abgebildeten nur "bei Gelegenheit" erscheinen oder ob einzelne aus der Anonymität herausgelöst werden (LG Oldenburg, Beschl. v. 23. uar 1986 – 5 O 3667/85GRUR 1986, 464, 465). Voraussetzung hierfür ist, dass nach dem Gesamteindruck der Veröffentlichung die Landschaft der den Gesamtcharakter des Bildes prägende Abbildungsgegenstand ist und die auf dem Bild erkennbaren Personen derart untergeordnetes Beiwerk darstellen, dass sie auch entfallen könnten, ohne dass Inhalt und Charakter des Bildes sich veränderten (OLG Oldenburg (Oldenburg), Urt. v. 14. November 1988 – 13 U 72/88 – juris Rn. 28). Die Personenabbildung muss derart untergeordnet sein, dass sie auch entfallen könnte, ohne dass Gegenstand und Charakter des Bildes sich verändern. Wesentlich ist damit, dass die Personendarstellung untergeordnet und nicht selbst Thema des Bildes ist (OLG Karlsruhe, Urt. v. 18. August 1989 – 14 U 105/88 – juris Rn. 27). Der Stellenwert der Personen entsprechend dem Gesamteindruck des Bildes muss gegenüber dem Stellenwert der Landschaft erheblich niedriger sein (OLG München, Urt. v. 13. November 1987 – 21 U 2979/87 – juris Rn. 31).

Ausgehend von dieser Rechtsprechung hat die Beklagte zu Recht für maßgeblich im Hinblick auf die Pflicht zur Anonymisierung darauf abgestellt, ob sich eine Person nach dem Gesamteindruck im Vordergrund des Bildausschnitts befindet.

In Bezug auf die in Ziffer 4 des Bescheides angeordnete Verpflichtung, durch Übersendung eines Fotos die Erfüllung der Informationspflichten nach Ziffer 3 des Bescheides nachzuweisen, bestehen im Hinblick auf den Bestimmtheitsgrundsatz keine Bedenken. Es ist ohne weiteres verständlich, dass ein Foto des klägerischen Kraftfahrzeuges mit den nach Ziffer 3 des Bescheides geforderten Informationen einzureichen ist.

Rechtsgrundlage für Ziffer 1 und 2 des streitgegenständlichen Bescheides ist Art. 58 Abs. 2 Buchst. f DS-GVO. Danach verfügt jede Aufsichtsbehörde über Abhilfebefugnisse, die es ihr gestatten, eine vorübergehende oder endgültige Beschränkung der Verarbeitung, einschließlich eines Verbots, zu verhängen.

Tatbestandsvoraussetzung für die Abhilfemaßnahmen des Art. 58 Abs. 2 DS-GVO ist das Vorliegen eines Verstoßes gegen die DS-GVO. Ein solcher Verstoß liegt insbesondere dann vor, wenn Daten ohne entsprechende Rechtsgrundlage verarbeitet werden. Dies war vorliegend der Fall.

Das Veröffentlichen von Aufnahmen, bei denen Personen, soweit sie sich nach dem Gesamteindruck im Vordergrund des Bildausschnitts befinden und Kraftfahrzeug-Kennzeichen gelesen werden können, stellt eine rechtswidrige Datenverarbeitung dar.

Bei der Veröffentlichung von Filmen, auf denen betroffene Personen zu erkennen sind, handelt es sich um personenbezogene Daten. Dazu zählen nach Art. 4 Nr. 1 Hs. 1 DS-GVO alle Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person beziehen. Als identifizierbar wird nach Art. 4 Nr. 1 Hs. 2 DS-GVO eine natürliche Person angesehen, die direkt oder indirekt, insbesondere mittels Zuordnung zu einer Kennung wie einem Namen, zu einer Kennnummer, zu Standortdaten, zu einer Online-Kennung oder zu einem oder mehreren besonderen Merkmalen, die Ausdruck der physischen, physiologischen, genetischen, psychischen, wirtschaftlichen, kulturellen oder sozialen Identität dieser natürlichen Person sind, identifiziert werden kann.

Das von einer Kamera aufgezeichnete Bild einer Person fällt daher unter den Begriff der personenbezogenen Daten, sofern es die Identifikation der betroffenen Person ermöglicht (vgl. EuGH, Urt. v. 11. Dezember 2014 – C-212/13 – juris Rn. 22). Dies ist jedenfalls für Personen anzunehmen, die sich nach dem Gesamteindruck im Vordergrund des Bildausschnitts befinden. Anhand ihrer äußeren Erscheinung können sie zumindest über Fotos sowie durch Personen, denen die äußere Erscheinung bekannt ist, identifiziert werden.

Auch Kraftfahrzeug-Kennzeichen stellen personenbezogene Daten dar, weil sie einem Halter und gegebenenfalls auch einem Fahrer zurechenbar sind (vgl. Schild in: BeckOK Datenschutzrecht, 48. Ed., Stand: 1. Mai 2024, Art. 4 DS-GVO Rn. 21). Daran ändert auch der Umstand nichts, dass Halterabfragen beim Kraftfahrt Bundesamt nur unter bestimmten Voraussetzungen zulässig sind.

Dies gilt uneingeschränkt für alle Kennzeichen, unabhängig davon, ob das Fahrzeug auf eine natürliche oder juristische Person zugelassen ist, weil die Kennzeichen auch bei auf juristische Personen zugelassenen Kraftfahrzeugen Rückschlüsse auf die Fahrer vermitteln können. Die DS-GVO findet nach Erwägungsgrund 14 auf juristische Personen keine Anwendung. Die hinter der juristischen Person stehenden natürliche Personen sind jedoch geschützt, wenn sich die Daten der juristischen Person auch auf sie beziehen (vgl. Gola in: Gola/Heckmann, DS-GVO - BDSG, 3. Aufl. 2022, Art. 4 Rn. 28). Jedenfalls Mitarbeiter oder anderweitig informierte Personen können ein Kraftfahrzeug einer juristischen Person über das Kennzeichen einer natürlichen Person als Fahrer zuordnen. So könnte etwa festgestellt werden, dass der Fahrer eines Fahrzeugs seines Arbeitsgebers (juristische Person) bei einer Dienstfahrt von der vorgegebenen Route abgewichen und in seiner Dienstzeit einer privaten Tätigkeit nachgegangen ist.

Im Einzelfall mag bei auf juristische Personen zugelassenen Fahrzeugen eine Identifizierung des Fahrers selbst unter Auswertung sämtlicher Datenquellen nicht möglich sein. Unter dem Aspekt einer praxistauglichen datenschutzrechtlichen Verfügung ist es jedoch nicht zu beanstanden, dass die Beklagte in Ziffer 1 und 2 des streitgegenständlichen Bescheides diese Fälle nicht vom Anwendungsbereich ihrer Anordnung ausgenommen hat. Es ist in tatsächlicher Hinsicht nicht möglich, zu erkennen, ob ein Kraftfahrzeug auf eine juristische oder eine natürliche Person zugelassen und deshalb dem Anwendungsbereich der DS-GVO unterfällt oder nicht. Dies ließe sich allenfalls durch eine Halterauskunft ermitteln. Auch Werbeaufschriften oder Ähnliches auf Fahrzeugen lassen keinen sicheren Schluss auf den Halter des Fahrzeugs zu, weil jeder Halter beziehungsweise Eigentümer eines Kraftfahrzeuges grundsätzlich frei über die äußere Gestaltung seines Fahrzeugs entscheiden kann. Zudem kann der Verantwortliche nicht erkennen, ob über das Kennzeichen etwa mittels eines Fahrtenbuches möglicherweise Rückschlüsse auf den Fahrer als natürliche Person gezogen werden können.

Das von dem Bescheid der Beklagten erfasste Veröffentlichen der Filme auf der Website Youtube stellt eine Datenverarbeitung dar. Nach Art. 4 Nr. 2 DS-GVO bezeichnet „Verarbeitung“ jeden mit oder ohne Hilfe automatisierter Verfahren ausgeführten Vorgang oder jede solche Vorgangsreihe im Zusammenhang mit personenbezogenen Daten wie unter anderem die Speicherung und die Offenlegung durch Verbreitung.

Die Datenverarbeitung ist nach Art. 6 Abs. 1 DS-GVO nur rechtmäßig, wenn mindestens eine der unter den Buchst. a bis f aufgeführten Bedingungen erfüllt ist.

Insbesondere eine Einwilligung der gefilmten Personen liegt nicht vor. Nach Art. 6 Abs. 1 Buchst. f DS-GVO ist die Datenverarbeitung rechtmäßig, wenn die Verarbeitung zur Wahrung der berechtigten Interessen des Verantwortlichen oder eines Dritten erforderlich ist, sofern nicht die Interessen oder Grundrechte und Grundfreiheiten der betroffenen Person, die den Schutz personenbezogener Daten erfordern, überwiegen, insbesondere dann, wenn es sich bei der betroffenen Person um ein Kind handelt.

Das Filmen und die Veröffentlichung der Aufnahmen ohne Anonymisierung ist zunächst als Betätigung der von Art. 13 GRCh geschützten Kunstfreiheit, der von Art. 15 Abs. 1 GRCh geschützten Berufsfreiheit und der von Art. 16 GRCh geschützten Unternehmerischen Freiheit einzuordnen und stellt damit ein berechtigtes Interesse dar.

Die Verarbeitung ist zur Wahrung der berechtigten Interessen des Verantwortlichen auch erforderlich. Dieses Tatbestandsmerkmal ist erfüllt, wenn kein anderes, gleich effektives Mittel ersichtlich ist (VG Ansbach, Urt. v. 23. Februar 2022 – AN 14 K 20.00083 – juris Rn. 40). Die Anonymisierung stellt kein gleich effektives Mittel dar, weil sie den Kläger in seiner Kunstfreiheit, Berufsfreiheit und der Unternehmerischen Freiheit beeinträchtigt.

Die Beklagte ist jedoch zu Recht davon ausgegangen, dass die Abwägung hier zu Lasten des Klägers ausfällt.

Abzuwiegen sind hier die berechtigten Interessen des Klägers als Verantwortlichen einerseits und die Interessen oder Grundrechte und Grundfreiheiten der betroffenen Person, die den Schutz personenbezogener Daten erfordern, andererseits. Erfasst – wie hier – derselbe Sachverhalt eine Vielzahl von betroffenen Personen, erfolgt die Abwägung anhand einer summarischen Prüfung der Belange der betroffenen Personen unter Zugrundelegung von Erfahrungswerten (Schulz in: Gola/Heckmann, DS-GVO – BDSG, 3. Aufl. 2022, Art. 6 Rn. 63).

Maßgeblich ist insoweit insbesondere die Eingriffsintensität, die Art der betroffenen Personen, die Zwecke der Datenverarbeitung sowie die Sphäre, in die eingegriffen wird (vgl. Schulz in: Gola/Heckmann, DS-GVO – BDSG, 3. Aufl. 2022, Art. 6 Rn. 63).

Die gefilmten Personen sind in ihrem Grundrecht auf informationelle Selbstbestimmung sowie des Rechts am eigenen Bild als Teil des allgemeinen Persönlichkeitsrechts aus Art. 1 Abs. 1 in Verbindung mit Art. 2 Abs. 1 GG berührt und zwar in erheblicher Weise.

Zunächst handelt es sich angesichts der Vielzahl an veröffentlichten Videos um eine erhebliche Vielzahl an betroffenen Personen, auch wenn je Video abhängig von der gefilmten Straßenlandschaft teilweise nur vereinzelt Personen in den Vordergrund des Bildausschnitts geraten. Die zufällig gefilmten Personen können sich dem Filmen zudem kaum beziehungsweise nur dann entziehen, wenn sie die Kamera bemerkt haben. Dies ist gerade bei größeren Kreuzungen oder unübersichtlicheren Verkehrssituationen oder wenn die gefilmten Personen durch Gespräche, Telefonate etc. abgelenkt sind nicht unbedingt der Fall.

Eingriffsmindernd ist auf der anderen Seite zu berücksichtigen, dass die Personen lediglich in ihrer Sozialsphäre betroffen sind. Die belastenden Auswirkungen der Verarbeitung auf die betroffenen Personen stellen sich zudem nach allgemeiner Lebenserfahrung und mangels entgegenstehender Anhaltspunkte als eher gering dar.

Dennoch überwiegen diese Interessen der betroffenen Personen die berechtigten Interessen des Klägers. Die Verpflichtung des Klägers, die veröffentlichten Filmaufnahmen aus dem öffentlichen Straßenverkehr so zu verändern, dass Personen, soweit sie sich nach dem Gesamteindruck im Vordergrund des Bildausschnitts befinden, nicht mehr anhand ihrer äußerlichen Erscheinung identifiziert werden können und Kraftfahrzeug-Kennzeichen nicht gelesen werden können, stellt nach Auffassung des erkennenden Einzelrichters einen Eingriff von geringer Intensität dar. Betroffen sind zunächst nur besondere Situationen, in denen Personen – anders als im fließenden Verkehr – in den Vordergrund geraten. Der ganz überwiegende Anteil der Aufnahmen ist nicht von der Pflicht zur Anonymisierung betroffen. Unter Würdigung der Gesamtumstände werden die vom Kläger erstellten und veröffentlichten Aufnahmen von Straßenlandschaften in ihrer Darstellung und Wirkung durch die Anonymisierung der Personen, die sich nach dem Gesamteindruck im Vordergrund des Bildausschnitts befinden, lediglich geringfügig beeinträchtigt, weil sich der Eindruck der Straßenlandschaft durch die Anonymisierung kaum verändert. Die abgebildete Person ist lediglich nicht mehr zu erkennen.

Erwägungsgrund 47 Satz 4 DS-GVO sieht zudem vor, dass insbesondere dann, wenn personenbezogene Daten in Situationen verarbeitet werden, in denen eine betroffene Person vernünftigerweise nicht mit einer weiteren Verarbeitung rechnen muss, die Interessen und Grundrechte der betroffenen Person das Interesse des Verantwortlichen überwiegen könnten.

Im öffentlichen Straßenverkehr können betroffene Personen grundsätzlich davon ausgehen, dass sie nicht gefilmt werden. Da vorliegend nichts dafür spricht, von diesem Grundsatz abzuweichen, führt auch dies zu einem Überwiegen der Interessen der betroffenen Personen.

Diese Wertung muss erst Recht für Kraftfahrzeug-Kennzeichen gelten. Es mag für den Kläger zusätzlichen Aufwand bedeuten, die Kennzeichen etwa durch eine Verpixelung zu anonymisieren. Im Übrigen werden die Aufnahmen der Straßenlandschaften durch die Anonymisierung der Kennzeichen jedoch nur sehr geringfügig verändert, so dass das Grundrecht auf informationelle Selbstbestimmung sowie das Recht am eigenen Bild als Teil des allgemeinen Persönlichkeitsrechts aus Art. 1 Abs. 1 in Verbindung mit Art. 2 Abs. 1 GG der Halter beziehungsweise Fahrer der gefilmten Kraftfahrzeuge überwiegt.

Rechtsfolge von Art. 58 Abs. 2 Buchst. f DS-GVO ist, dass der Aufsichtsbehörde bezüglich der Wahl der konkreten Abhilfemaßnahme ein Ermessen zusteht (vgl. dazu Erwägungsgrund 129 DS-GVO), welches gerichtlich nur eingeschränkt überprüfbar ist, § 114 VwGO. Vorliegend sind Ermessensfehler nicht ersichtlich. Die Beklage hat ihr Ermessen ausgeübt, indem sie unter den verschiedenen Möglichkeiten die aus ihrer Sicht am wenigsten einschränkende, lediglich punktuelle Veränderung der Aufnahmen angeordnet hat (vgl. S. 8 des Bescheides).

Den Volltext der Entscheidung finden SIe hier:

EuGH-Generalanwalt: Datenschutzbehörde muss grundsätzlich tätig werden wenn sie bei Prüfung einer Beschwerde einen DSGVO-Verstoß feststellt

EuGH-Generalanwalt
Schlussanträge vom 11.04.2024
C-768/21
Land Hessen (Handlungspflicht der Datenschutzbehörde)


Der EuGH-Generalanwalt kommt in seinen Schlussanträgen zu dem Ergebnis, dass eine Datenschutzbehörde grundsätzlich tätig werden muss, wenn sie bei der Prüfung einer Beschwerde einen DSGVO-Verstoß feststellt.

Ergebnis der Schlussanträge:
Nach alledem schlage ich dem Gerichtshof vor, die Vorlagefrage des Verwaltungsgerichts Wiesbaden (Deutschland) wie folgt zu beantworten:

Art. 57 Abs. 1 Buchst. a und f sowie Art. 58 Abs. 2 Buchst. a bis j in Verbindung mit Art. 77 Abs. 1 der Verordnung (EU) 2016/679 des Europäischen Parlaments und des Rates vom 27. April 2016 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten, zum freien Datenverkehr und zur Aufhebung der Richtlinie 95/46/EG (Datenschutz-Grundverordnung)

sind dahin auszulegen, dass

die Aufsichtsbehörde, wenn sie eine Datenverarbeitung feststellt, die in die Rechte der betroffenen Person eingreift, verpflichtet ist, gemäß Art. 58 Abs. 2 der Verordnung 2016/679 einzuschreiten, soweit dies erforderlich ist, um die vollständige Beachtung dieser Verordnung zu gewährleisten. In diesem Zusammenhang hat sie unter Berücksichtigung der konkreten Umstände des jeweiligen Einzelfalls das geeignete, erforderliche und verhältnismäßige Mittel auszuwählen, um insbesondere den Rechtsverstoß zu beheben und die Rechte der betroffenen Person durchzusetzen


Die Pressemitteilung des EuGH:
Schutz personenbezogener Daten: Nach Ansicht von Generalanwalt Pikamäe ist die Aufsichtsbehörde zum Einschreiten verpflichtet, wenn sie bei der Prüfung einer Beschwerde einen Verstoß feststellt.

Die Entscheidung über die zu ergreifende Abhilfemaßnahme hänge jedoch von den konkreten Umständen des jeweiligen Einzelfalls ab

Ein Kunde einer Sparkasse ersuchte den Hessischen Beauftragten für Datenschutz und Informationsfreiheit (Deutschland), gegen die Sparkasse wegen einer Verletzung des Schutzes seiner personenbezogenen Daten einzuschreiten. Eine Mitarbeiterin der Sparkasse hatte nämlich mehrmals unbefugt auf seine Daten zugegriffen.

Der Datenschutzbeauftragte stellte eine Verletzung des in der Datenschutz-Grundverordnung (DSGVO) vorgesehenen Datenschutzes fest . Er kam jedoch zu dem Ergebnis, dass ein Einschreiten gegen die Sparkasse nicht geboten sei, da diese gegen die betreffende Mitarbeiterin bereits Disziplinarmaßnahmen ergriffen habe.

Der Kunde geht gegen diese Weigerung bei einem deutschen Gericht vor und beantragt, den Datenschutzbeauftragten zum Einschreiten gegen die Sparkasse zu verpflichten. Er macht u. a. geltend, dass der Datenschutzbeauftragte gegen die Sparkasse Bußgelder hätte verhängen müssen.

Das deutsche Gericht hat den Gerichtshof zu den Befugnissen und Pflichten des Datenschutzbeauftragten als „Aufsichtsbehörde“ im Sinne der DSGVO befragt.

Nach Ansicht von Generalanwalt Pikamäe ist die Aufsichtsbehörde zum Einschreiten verpflichtet, wenn sie bei der Prüfung einer Beschwerde eine Verletzung des Schutzes personenbezogener Daten feststelle. Insbesondere habe sie die Abhilfemaßnahme(n) zu ermitteln, die zur Behebung des Verstoßes und zur Durchsetzung der Rechte der betroffenen Person am besten geeignet sei bzw. seien.

In diesem Zusammenhang räume die DSGVO der Aufsichtsbehörde zwar ein gewisses Ermessen ein, verlange jedoch, dass die Maßnahmen geeignet, erforderlich und verhältnismäßig seien. Daraus ergebe sich zum einen, dass das Ermessen bei der Wahl der Mittel beschränkt sei, wenn der erforderliche Schutz nur durch ganz bestimmte Maßnahmen gewährleistet werden könne, und zum anderen, dass die Aufsichtsbehörde unter bestimmten Voraussetzungen auf die Maßnahmen nach der DSGVO verzichten dürfe, wenn dies durch die besonderen Umstände des Einzelfalls gerechtfertigt sei. Dies könne insbesondere dann der Fall sein, wenn der Verantwortliche bestimmte Maßnahmen aus eigener Initiative ergriffen habe. Jedenfalls habe die betroffene Person keinen Anspruch auf Erlass einer bestimmten Maßnahme . Diese Grundsätze gälten auch für die Geldbußenregelung.


Die vollständigen Schlussanträge finden Sie hier:




OVG Lüneburg: Online-Apotheke darf bei Bestellungen nicht bei allen Produkten das Geburtsdatum des Kunden abfragen - Verstoß gegen Grundsatz der Datenminimierung

OVG Lüneburg
Beschluss vom 23.01.2024
14 LA 1/24


Das OVG Lüneburg hat entschieden, dass eine Online-Apotheke bei Bestellungen nicht bei allen Produkten das Geburtsdatum des Kunden abfragen darf. Insofern liegt ein Verstoß gegen den Grundsatz der Datenminimierung vor.

Aus den Entscheidungsgründen:
II. Die Berufung gegen das angefochtene Urteil ist nicht zuzulassen, da die Voraussetzungen der von der Klägerin geltend gemachten Zulassungsgründe des § 124 Abs. 2 Nrn. 1 und 3 VwGO teilweise schon nicht in einer § 124a Abs. 4 Satz 4 VwGO genügenden Weise dargelegt sind und im Übrigen nicht vorliegen.

1. Die Berufung ist nicht wegen ernstlicher Zweifel an der Richtigkeit der angefochtenen Entscheidung nach § 124 Abs. 2 Nr. 1 VwGO zuzulassen.

Ernstliche Zweifel an der Richtigkeit der erstinstanzlichen Entscheidung im Sinne des § 124 Abs. 2 Nr. 1 VwGO sind zu bejahen, wenn der Rechtsmittelführer einen einzelnen tragenden Rechtssatz oder eine einzelne erhebliche Tatsachenfeststellung mit schlüssigen Gegenargumenten in Frage stellt (BVerfG, Beschl. v. 18.6.2019 - 1 BvR 587/17 -, juris Rn. 32 und v. 8.12.2009 - 2 BvR 758/07 -, juris Rn. 96). Die Richtigkeitszweifel müssen sich dabei auch auf das Ergebnis der Entscheidung beziehen; es muss also mit hinreichender Wahrscheinlichkeit anzunehmen sein, dass die Berufung zu einer Änderung der angefochtenen Entscheidung führen wird (vgl. BVerwG, Beschl. v. 10.3.2004 - 7 AV 4.03 -, juris Rn. 9). Eine den Anforderungen des § 124a Abs. 4 Satz 4 VwGO genügende Darlegung dieses Zulassungsgrundes erfordert, dass im Einzelnen unter konkreter Auseinandersetzung mit der verwaltungsgerichtlichen Entscheidung ausgeführt wird, dass und warum Zweifel an der Richtigkeit der Auffassung des erkennenden Verwaltungsgerichts bestehen sollen. Hierzu bedarf es regelmäßig qualifizierter, ins Einzelne gehender, fallbezogener und aus sich heraus verständlicher Ausführungen, die sich mit der angefochtenen Entscheidung auf der Grundlage einer eigenständigen Sichtung und Durchdringung des Prozessstoffes auseinandersetzen (vgl. NdsOVG, Beschl. v. 17.6.2015 - 8 LA 16/15 -, juris, Rn. 10; Seibert, in: Sodan/Ziekow, VwGO, 5. Aufl. 2018, § 124a Rn. 206 jeweils m.w.N.). Hat das Verwaltungsgericht seine Entscheidung auf mehrere selbstständig tragende Gründe gestützt, kann ein Berufungszulassungsantrag nur dann Erfolg haben, wenn für jedes der die Entscheidung des erstinstanzlichen Gerichts selbständig tragenden Begründungselemente ein Zulassungsgrund dargelegt worden ist und vorliegt (NdsOVG, Beschl. v. vom 28.6.2022 - 10 LA 234/20 -, juris Rn. 2; vgl. Niedersächsisches OVG, Beschl. v. 1.8.2022 - 10 LA 14/22 -, juris Rn. 3 m.w.N.).

Bei der Entscheidung über den Zulassungsgrund des § 124 Abs. 2 Nr. 1 VwGO ist das Oberverwaltungsgericht nicht auf die Berücksichtigung der Sach- und Rechtslage im Zeitpunkt der Entscheidung des Verwaltungsgerichts beschränkt. Da über § 128a VwGO hinaus eine Präklusion gesetzlich nicht vorgesehen ist, sind im Zulassungsverfahren alle dargelegten tatsächlichen Gesichtspunkte zu berücksichtigen, die für den Erfolg des angestrebten Rechtsmittels entscheidungserheblich sein können. Zu berücksichtigen sind sowohl neue Tatsachen als auch Tatsachen, die zwar bereits vorlagen, vom Verwaltungsgericht jedoch nicht berücksichtigt werden konnten, weil sie von den Beteiligten nicht vorgetragen und mangels entsprechender Anhaltspunkte auch nicht von Amts wegen zu ermitteln waren (Roth, in: BeckOK VwGO, Stand: 1.7.2023, § 124 Rn. 27 m.w.N.).

Nach diesem Maßstab begründen die Einwände der Klägerin keine ernstlichen Zweifel an der Richtigkeit der angefochtenen Entscheidung.

a) Die Klägerin trägt vor, um die ihr bei der Durchführung der Verträge (Art. 6 Abs. 1 Satz 1 lit. b) DSGVO) obliegenden Beratungs- und Informationspflichten aus § 20 Abs. 1 und 2 der Apothekenbetriebsordnung (ApBetrO) erfüllen zu können, sei es eine unabdingbare Voraussetzung, den Kunden bzw. Patienten zweifelsfrei zu identifizieren. Nur eine solche Identifikation stelle sicher, dass Kunden, welche beispielsweise rezeptpflichtige Medikamente und Nahrungsergänzungsmittel zusammen einnähmen, zur sachgerechten Anwendung und zu möglichen Wechselwirkungen beraten werden können. Dafür werde für jeden Kunden ein Arzneimitteldossier angelegt. Für eine einwandfreie Identifikation des Kunden und zur Verhinderung von Dubletten bedürfe sie neben dem Vor- und Nachnamen des Kunden zusätzlich dessen Geburtsdatum. Dieses stelle bei einer Namensgleichheit sicher, dass sie die verschiedenen Kunden hinreichend sicher unterscheiden könne.

Damit zieht die Klägerin die Annahmen des Verwaltungsgerichts nicht durchgreifend in Zweifel. Das Verwaltungsgericht hat zutreffend darauf hingewiesen, dass der Besteller und diejenige Person, für die das bestellte Produkt zur Anwendung bzw. Einnahme bestimmt ist, nicht identisch seien müssen. Dieses Argument greift auch, soweit mit der Beschwerdebegründung nunmehr erstmals geltend gemacht wird, dass das Geburtsdatum als Identifizierungskriterium erforderlich sei, um ein Arzneimitteldossier für den Kunden anlegen zu können. Nicht die eindeutige Identifizierung des Bestellers ist zur Erfüllung von Beratungspflichten notwendig, sondern die Kenntnis von derjenigen Person, die das bestellte Produkt anwenden bzw. einnehmen wird. Die Anlage eines Arzneimitteldossiers für den Besteller erscheint daher zur Erfüllung von Beratungs- und Informationspflichten bereits nicht geeignet. Mit dieser schon vom Verwaltungsgericht aufgezeigten Problematik setzt sich die Beschwerdebegründung nicht auseinander. Ob bzw. unter welchen Voraussetzungen die Anlage eines Arzneimitteldossiers überhaupt datenschutzrechtlich zulässig ist, ist nicht Gegenstand des vorliegenden Verfahrens.

Davon abgesehen legt die Beschwerde auch nicht dar, warum das Geburtsdatum zur Identifizierung des Bestellers bei Namensgleichheit erforderlich sein soll. Die Klägerin verfügt auch über die Anschrift sowie die Telefonnummer des Bestellers, es wird nicht erläutert und ist auch nicht ersichtlich, warum mit diesen Daten nicht bereits eine hinreichend sichere Identifizierung namensgleicher Kunden möglich sein soll. Etwas anderes ergibt sich auch nicht aus der von der Klägerin zitierten Entscheidung des OLG München (Urt. v. 28.9.2006 - 29 U 2769/06). Die Entscheidung, die noch zum alten Recht erging, betraf ein Unternehmen, das ein Kundenbindungs- und Rabattsystem mit über 30 Millionen Kunden betrieb. Ein solches Unternehmen ist mit einer Versandapotheke bereits nicht vergleichbar; es verfügt schon nicht zwingend über die aktuelle Anschrift und Telefonnummer seiner Kunden.

Ergänzend wird zudem darauf hingewiesen, dass Versandapotheken zur Erfüllung ihrer Beratungspflicht den Kunden zur Angabe einer Telefonnummer auffordern müssen, unter der er durch pharmazeutisches Personal der Apotheke telefonisch und ohne zusätzliche Gebühren beraten werden kann (§ 17 Abs. 2a Satz 1 Nr. 7 ApBetrO). Sie haben damit die Möglichkeit, über diese Telefonnummer Kontakt zum Kunden aufzunehmen und in diesem Rahmen die für die konkrete Beratung erforderlichen Daten jeweils zu erfragen.

b) Auch soweit die Klägerin geltend macht, die Verarbeitung des Merkmals "Geburtsdatum" sei zur Feststellung der Geschäftsfähigkeit der Kunden erforderlich, zeigt sie keine ernstlichen Zweifel an der Entscheidung des Verwaltungsgerichts auf.

Das Verwaltungsgericht hat dazu ausgeführt, dass für diesen Zweck als milderes Mittel die einfache Abfrage der Volljährigkeit genüge. Damit setzt sich das Beschwerdevorbringen nicht hinreichend auseinander. Es ist auch nicht ersichtlich, dass die Abfrage der Volljährigkeit zu dem Zweck, die Geschäftsfähigkeit des Kunden zu prüfen, weniger geeignet ist. Anhaltspunkte dafür, dass bei dieser Abfrageart die Hemmschwelle, unwahre Angaben zu machen, geringer ist, als wenn das gesamte Geburtsdatum abgefragt wird, trägt die Klägerin weiterhin nicht vor und sind auch nicht ersichtlich. Eine Altersprüfung über die Angabe des Geburtsdatums bzw. eine Checkbox bietet im Übrigen ohnedies nicht die Gewähr der Richtigkeit der Angaben. Die Eignung der Abfrage ist daher ohnehin zweifelhaft.

c) Soweit die Klägerin geltend macht, die Verarbeitung des Merkmals "Geburtsdatum" sei zur Erfüllung von Rückabwicklungs- und Gewährleistungsansprüchen erforderlich, legt sie dies schon nicht hinreichend substantiiert dar. Es bleibt unklar, warum im Falle von Rückabwicklungs- und Gewährleistungsansprüchen ohne die Angabe eines Geburtsdatums der Vertragspartner, von dem Name, Anschrift und Telefonnummer bekannt sind, nicht hinreichend identifizierbar sein soll.

d) Auch das Vorbringen der Klägerin, die Verarbeitung des Geburtsdatums sei zur Erfüllung einer rechtlichen Verpflichtung (Art. 6 Abs. 1 Satz 1 lit. c) DSGVO) erforderlich, um Kunden, die ihre Rechte aus den Art. 15 ff. DSGVO geltend machten, hinreichend klar zu identifizieren, begründet keine ernstlichen Zweifel an der Entscheidung des Verwaltungsgerichts.

Art. 12 Abs. 6 DSGVO gestattet dem Verantwortlichen, sofern er begründete Zweifel an der Identität der natürlichen Person hat, die den Antrag gemäß den Artikeln 15 bis 21 stellt, zusätzliche Informationen anzufordern, die zur Bestätigung der Identität der betroffenen Person erforderlich sind. Eine routinemäßige Identitätsprüfung, die es dem Verantwortlichen ermöglicht, generell die Vorlage eines Identitätsnachweises zu verlangen, ist hiervon nicht erfasst. Ein Verantwortlicher sollte Identifizierungsdaten daher nicht allein zu dem Zweck speichern, auf mögliche Auskunftsersuchen reagieren zu können (Erwägungsgrund 64 Satz 2 der DSGVO; vgl. auch Greve, in: Sydow/Marsch, DSGVO, 3. Aufl. 2022, Art. 12 Rn. 30 m.w.N.). Die Klägerin kann daher nicht das Geburtsdatum sämtlicher Kunden erheben, um dieses im Falle eines Auskunftsersuchens zur im Einzelfall erforderlichen Identitätsprüfung nutzen zu können.

Aus dem von der Klägerin zitierten Urteil des Landgerichts Bonn (Urt. v. 11.11.2020 - 29 OWi 1/20 -, juris) ergibt sich im Übrigen lediglich, dass die Angabe des Namens und des Geburtsdatums zur Authentifizierung bei einem Telefonanbieter nicht ausreichend sind. Auch aus der angeführten Entscheidung des Bundesgerichtshofs (Urt. v. 16. Juli 2008 - VIII ZR 348/06 -, juris) folgt nichts anderes. Das Urteil knüpft an das zitierte Urteil des OLG München an und stellt (ebenfalls nach altem Recht) fest, dass angesichts der Vielzahl der Teilnehmer am Payback-Programm eine praktikable und gleichzeitig sichere Methode der Identifizierung der Programmteilnehmer zu den Vertragszwecken gehöre. Die Angabe des vollständigen Geburtsdatums sei bei einem Bonusprogramm, welches nach den Feststellungen des Berufungsgerichts rund dreißig Millionen Teilnehmer habe, zur Vermeidung von Identitätsverwechselungen in besonderer Weise geeignet. Dies ist - wie bereits ausgeführt - nicht auf die Bedürfnisse einer Versandapotheke übertragbar.

e) Schließlich wendet die Klägerin ein, die Verarbeitung des Geburtsdatums des Kunden sei auch auf Grundlage eines überwiegenden berechtigten Interesses nach Art. 6 Abs. 1 Satz 1 lit. f) DSGVO rechtmäßig. Das berechtigte Interesse ergebe sich aus der Notwendigkeit, dieses im Rahmen der Durchsetzung offener Forderungen gegen säumige Kunden verarbeiten zu müssen. Insbesondere bei der Einschaltung eines Gerichtsvollziehers bedürfe dieser bei der Ermittlung des Schuldners bei den in § 755 ZPO genannten Behörden häufig das Geburtsdatum des säumigen Kunden.

Auch damit begründet die Klägerin keine ernsthaften Zweifel an der erstinstanzlichen Entscheidung. Die Klägerin legt bereits nicht dar, welche Zahlungsmöglichkeiten sie anbietet und warum insoweit aus ihrer Sicht ein Ausfallrisiko bestehen soll. Ein Ausfallrisiko kann allenfalls beim Kauf auf Rechnung bestehen, weil hier die Klägerin gegenüber dem Kunden in Vorleistung geht. Der Kauf auf Rechnung ist beim Online-Handel aber nur eine von zahlreichen Varianten der Zahlungsabwicklung. Der Verkäufer kann die Versendung der Ware ebenso gut auch von einer vorherigen Zahlung des Kunden mittels Kreditkarte, Vorabüberweisung oder Ähnliches abhängig machen. Möchte der Verkäufer gleichwohl - etwa aus Marketinggesichtspunkten - in Vorleistung gehen und zur Risikoabsicherung weitere Daten des potentiellen Kunden erheben, so muss sie hierfür auf dessen Einwilligung zurückgreifen (vgl. Buchner/Petri, in: Kühling/Buchner, DSGVO, 4. Aufl. 2024, Art. 6 Rn. 66 m.w.N.).

2. Die Berufung ist auch nicht wegen der von der Klägerin geltend gemachten grundsätzlichen Bedeutung der Rechtssache i. S. d. § 124 Abs. 2 Nr. 3 VwGO zuzulassen.

Eine Rechtssache hat grundsätzliche Bedeutung im Sinne dieser Vorschrift, wenn sie eine konkrete noch nicht geklärte Rechts- oder Tatsachenfrage aufwirft, deren Beantwortung sowohl für die Entscheidung des Verwaltungsgerichts von Bedeutung war als auch für die Entscheidung im Berufungsverfahren erheblich sein wird, und die über den konkreten Fall hinaus wesentliche Bedeutung für die einheitliche Anwendung oder Weiterentwicklung des Rechts hat. Zur Darlegung des Zulassungsgrundes ist die Frage auszuformulieren und substantiiert auszuführen, warum sie für klärungsbedürftig und entscheidungserheblich gehalten und aus welchen Gründen ihr Bedeutung über den Einzelfall hinaus zugemessen wird. Ist die aufgeworfene Frage eine Rechtsfrage, so ist ihre Klärungsbedürftigkeit nicht schon allein deshalb zu bejahen, weil sie bislang nicht obergerichtlich oder höchstrichterlich entschieden ist. Nach der Zielsetzung des Zulassungsrechts ist vielmehr Voraussetzung, dass aus Gründen der Einheit oder Fortentwicklung des Rechts eine obergerichtliche oder höchstrichterliche Entscheidung geboten ist. Die Klärungsbedürftigkeit fehlt deshalb, wenn sich die als grundsätzlich bedeutsam bezeichnete Frage entweder schon auf der Grundlage des Gesetzeswortlauts nach allgemeinen Auslegungsmethoden oder aber (ggf. ergänzend) auf der Basis bereits vorliegender Rechtsprechung ohne weiteres beantworten lässt (Seibert, in: Sodan/Ziekow, VwGO, 5. Aufl. 2018, § 124 Rn. 127, 142 ff., 149 und 151 ff.).

In Anwendung dieser Grundsätze liegen die Voraussetzungen für eine Zulassung der Berufung nicht vor.

Zwar hat die Klägerin mit ihrer Zulassungsbegründung als rechtsgrundsätzlich bedeutsam die Frage formuliert, ob bzw. in welchem Umfang das Geburtsdatum eines Kunden unter datenschutzrechtlichen Gesichtspunkten von einer Online-Apotheke insbesondere unter Berücksichtigung der dieser obliegenden umfangreichen Beratungspflichten verarbeitet werden dürfe.

Sie legt jedoch nicht hinreichend dar, warum sie die aufgeworfene Frage für klärungsbedürftig und entscheidungserheblich hält und aus welchen Gründen sie ihr Bedeutung über den Einzelfall hinaus zumisst - dies wird lediglich behauptet. Unabhängig davon ist die Frage in ihrer Allgemeinheit nicht entscheidungserheblich gewesen. Konkret ging es darum, ob die von der Klägerin erstinstanzlich angeführten Gründe für die Erhebung des Geburtsdatums - die ihr nach § 20 ApBetrO obliegende Beratungspflicht sowie die Ermöglichung der Prüfung der Geschäftsfähigkeit des Bestellers - die Datenverarbeitung rechtfertigen können.

Mit der Ablehnung des Zulassungsantrags wird das angefochtene Urteil rechtskräftig (§ 124a Abs. 5 Satz 4 VwGO).


Den Volltext der Entscheidung finden Sie hier:


EuGH: Wird datenschutzrechtliche Aufsichtsbehörde mittelbar für Betroffenen tätig muss dieser gerichtlichen Rechtsbehelf gegen Entscheidung haben

EuGH
Urteil vom 16.11.2023
C-333/22
Ligue des droits humains (Prüfung der Datenverarbeitung durch die Aufsichtsbehörde)


Der EuGH hat entschieden, dass dem Betroffenen ein gerichtlicher Rechtsbehelf gegen eine Entscheidung der datenschutzrechtlichen Aufsichtsbehörde zustehen muss, wenn die Datenschutzbehörde mittelbar die Rechte des Betroffenen wahrgenommen hat.

Die Pressemitteilung des EuGH:
Verarbeitung personenbezogener Daten: Beschlüsse, die eine Aufsichtsbehörde im Rahmen der mittelbaren Ausübung von Rechten der betroffenen Person erlässt, sind rechtsverbindlich

Die Gründe und Beweise, auf die sie sich stützen, müssen gerichtlich überprüft werden können.

Ein Bürger beantragte zu beruflichen Zwecken bei der belgischen nationalen Sicherheitsbehörde die Erteilung einer Sicherheitsbescheinigung. Das Dokument wurde ihm mit der Begründung verweigert, dass er an Demonstrationen teilgenommen habe. Unter Berufung auf sein Recht auf Auskunft über seine Daten wandte sich der Bürger an das Organ für die Kontrolle polizeilicher Informationen, das ihm mitteilte, dass ihm nur ein mittelbarer Auskunftsanspruch zustehe und es selbst die Rechtmäßigkeit der Verarbeitung seiner Daten prüfen werde. Im Einklang mit dem belgischen Recht beschränkte sich das Organ nach Abschluss der Prüfung jedoch darauf, dem Bürger zu antworten, dass die erforderlichen Prüfungen durch die Aufsichtsbehörde erfolgt seien. Der Bürger erhob daraufhin Klage vor dem Gericht des ersten Rechtszugs, das sich für sachlich unzuständig erklärte.

Die vom Betroffenen und der Ligue des droits humains angerufene Cour d’appel de Bruxelles (Appellationshof Brüssel, Belgien) möchte vom Gerichtshof wissen, ob das Unionsrecht die Mitgliedstaaten dazu verpflichtet, der von der Verarbeitung ihrer Daten betroffenen Person die Möglichkeit zu geben, den Beschluss der Aufsichtsbehörde anzufechten, wenn diese Behörde die Rechte dieser Person in Bezug auf die Datenverarbeitung ausübt.

Der Gerichtshof ist der Auffassung, dass die zuständige Aufsichtsbehörde dadurch, dass sie die betroffene Person über das Ergebnis der Prüfungen unterrichtet, einen rechtsverbindlichen Beschluss erlässt. Gegen diesen Beschluss muss ein Rechtsbehelf eingelegt werden können, damit der Betroffene die Beurteilung der Rechtmäßigkeit der Datenverarbeitung durch die Aufsichtsbehörde und die Entscheidung zugunsten bzw. gegen die Ausübung von Abhilfebefugnissen anfechten kann.

Der Gerichtshof weist darauf hin, dass die Aufsichtsbehörde nach dem Unionsrecht verpflichtet ist, die betroffene Person „zumindest“ darüber zu unterrichten, „dass alle erforderlichen Prüfungen oder eine Überprüfung durch die Aufsichtsbehörde erfolgt sind“, und diese „über ihr Recht auf einen gerichtlichen Rechtsbehelf“ zu informieren. Wenn die im öffentlichen Interesse liegenden Zwecke dem nicht entgegenstehen, haben die Mitgliedstaaten jedoch vorzusehen, dass die Unterrichtung der betroffenen Person über diese Mindestangaben hinausgehen kann, damit die betroffene Person ihre Rechte verteidigen und entscheiden kann, ob sie das zuständige Gericht anruft.

Außerdem müssen die Mitgliedstaaten in den Fällen, in denen die der betroffenen Person übermittelten Informationen auf das strikte Minimum beschränkt wurden, dafür Sorge tragen, dass das zuständige Gericht bei der Prüfung der Stichhaltigkeit der Rechtfertigungsgründe für eine solche Beschränkung der Informationen die im öffentlichen Interesse liegenden Zwecke (Sicherheit des Staates, Verhütung, Aufdeckung, Untersuchung oder Verfolgung von Straftaten) und die Notwendigkeit, den Bürgern die Wahrung ihrer Verfahrensrechte zu gewährleisten, gegeneinander abwägen kann. Im Rahmen dieser gerichtlichen Kontrolle müssen die nationalen Vorschriften es dem Gericht ermöglichen, von den Gründen und Beweisen, auf die die Aufsichtsbehörde den Beschluss gestützt hat, aber auch von den daraus gezogenen Schlüssen Kenntnis zu nehmen.


Tenor der Entscheidung:

1. Art. 17 in Verbindung mit Art. 46 Abs. 1 Buchst. g, Art. 47 Abs. 1 und 2 und Art. 53 Abs. 1 der Richtlinie (EU) 2016/680 des Europäischen Parlaments und des Rates vom 27. April 2016 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten durch die zuständigen Behörden zum Zwecke der Verhütung, Ermittlung, Aufdeckung oder Verfolgung von Straftaten oder der Strafvollstreckung sowie zum freien Datenverkehr und zur Aufhebung des Rahmenbeschlusses 2008/977/JI des Rates sowie in Verbindung mit Art. 8 Abs. 3 und Art. 47 der Charta der Grundrechte der Europäischen Union ist dahin auszulegen, dass dass eine Person, wenn ihre Rechte in Anwendung von Art. 17 dieser Richtlinie über die zuständige Aufsichtsbehörde ausgeübt worden sind und diese Behörde sie über das Ergebnis der durchgeführten Prüfungen unterrichtet, über einen wirksamen gerichtlichen Rechtsbehelf gegen den Beschluss dieser Behörde, das Überprüfungsverfahren abzuschließen, verfügen muss.

2. Die Prüfung der zweiten Frage hat nichts ergeben, was geeignet wäre, die Gültigkeit von Art. 17 Abs. 3 der Richtlinie (EU) 2016/680 zu berühren.

Den Volltext der Entscheidung finden Sie hier:

OVG Schleswig-Holstein: Videoüberwachung von Trainingsfläche, Herrenumkleide und Sitzbereich durch Fitnessstudio unzulässig

OVG Schleswig-Holstein
Beschluss vom 13.07.2022
4 LA 11/20


Das OVG Schleswig-Holstein hat entschieden, dass die Videoüberwachung von Trainingsfläche, Herrenumkleide und Sitzbereich durch ein Fitnessstudio unzulässig ist.

Aus den Entscheidungsgründen:
1. Ernstliche Zweifel an der angegriffenen Entscheidung i.S.v. § 124 Abs. 2 Nr. 1 VwGO, die die Zulassung der Berufung rechtfertigen, sind zu bejahen, wenn ein einzelner tragender Rechtssatz oder eine einzelne erhebliche Tatsachenfeststellung mit schlüssigen Gegenargumenten zumindest insoweit infrage gestellt werden, dass der Erfolg des Rechtsmittels bei der im Zulassungsverfahren allein möglichen summarischen Überprüfung ebenso wahrscheinlich ist wie der Misserfolg. Ferner ist darzulegen, dass und aus welchen Gründen das verwaltungsgerichtliche Urteil auf diesen – aus Sicht der Klägerin fehlerhaften – Erwägungen beruht, d. h. die dargestellten Zweifel müssen im konkreten Fall entscheidungserheblich sein (stRspr des Senats, vgl. Beschl. v. 11.03.2021 – 4 LA 241/19 –, juris Rn. 4; Beschl. v. 27.01.2021 – 4 LA 165/19 –, juris Rn. 4 m. w. N.). Dies leistet das Zulassungsvorbringen nicht.

Das Verwaltungsgericht ist davon ausgegangen, dass die Verfügung des Beklagten vom 19. Juni 2017 in Gestalt des Widerspruchsbescheids vom 19. Oktober 2017, mit dem er der Klägerin aufgab, es zu unterlassen, den Bereich der Herrenumkleide (Kamera CH-02 und CH-03), den Bereich der Trainingsfläche (Kamera CH-05 und CH-06) sowie den Aufenthaltsbereich und die Sitzgelegenheiten bei der Getränkezapfanlage (Kamera CH-07) während der Öffnungszeiten ihres Fitnessstudios in Pinneberg mittels optisch-elektronischer Einrichtungen zu beobachten und Bildaufzeichnungen anzufertigen, sowie gespeicherte Aufzeichnungen zu vernichten, seine rechtliche Grundlage in „§ 38 Abs. 5 Satz 1 BDSG a.F.“ finde. Nach dieser Vorschrift habe die Aufsichtsbehörde nach pflichtgemäßem Ermessen darüber zu entscheiden, welche Maßnahmen sie ergreift, um den datenschutzrechtlich gebotenen Schutz personenbezogener Daten sicherzustellen. Das Verwaltungsgericht hat seiner Entscheidung sinngemäß ferner zugrunde gelegt, dass die streitbefangene Anfertigung von Videoaufnahmen in den genannten Bereichen gegen § 4 Abs. 1 BDSG a.F. verstoße, wonach die Erhebung, Verarbeitung und Nutzung personenbezogener Daten nur zulässig sei, soweit das Bundesdatenschutzgesetz a.F. oder eine andere Rechtsvorschrift dies erlaube oder anordne oder der Betroffene eingewilligt habe. Bei den Videoaufzeichnungen, die hier der Identifikation der Personen dienten, handele es sich um personenbezogene Daten, die durch die Aufzeichnung verarbeitet und ggf. genutzt würden. Eine Einwilligung der Besucher des Fitnessstudios sei nicht gegeben.

Das Verwaltungsgericht hat des Weiteren ausgeführt, dass die hier in Streit stehende Datenverarbeitung auch nicht gemäß § 6b BDSG a.F. zulässig sei. Danach sei die Beobachtung öffentlich zugänglicher Räume mit optisch-elektronischen Einrichtungen (Videoüberwachung) nur zulässig, soweit sie 1. zur Aufgabenerfüllung öffentlicher Stellen, 2. zur Wahrnehmung des Hausrechts oder 3. zur Wahrnehmung berechtigter Interessen für konkret festgelegte Zwecke erforderlich sei und keine Anhaltspunkte bestünden, dass schutzwürdige Interessen der Betroffenen überwiegen. Die sich daraus ergebenden Voraussetzungen für eine zulässige Videoüberwachung lägen nicht vor. Zwar seien hier schutzwürdige Interessen der Klägerin an der Videoüberwachung tangiert. Für den Bereich der Herrenumkleide bestünden allerdings Anhaltspunkte, dass schutzwürdige Interessen der Betroffenen überwögen. Hier sei die Intimsphäre der Betroffenen berührt. Dies stelle einen besonders intensiven Eingriff in das Persönlichkeitsrecht dar. Die Kameraüberwachung in Umkleidebereichen sei deshalb grundsätzlich unzulässig, weil sich Betroffene hier zum Teil unbekleidet zeigten und durch Kameraaufnahmen das Schamgefühl in erheblicher Weise berührt werde. Aber auch im Bereich der Trainingsfläche überwögen die schutzwürdigen Interessen der Betroffenen. Hinsichtlich der Überwachung des Aufenthaltsbereichs habe der Beklagte in der mündlichen Verhandlung klargestellt, dass die Untersagungsverfügung nicht die Videoüberwachung der Automaten und der Getränkezapfanlage umfasse. Betroffen sei allein die Beobachtung des Aufenthaltsbereichs und der Sitzgelegenheiten. Hier ist von der Klägerin schon kein berechtigtes Interesse im Sinne des § 6b Abs. 2 BDSG a.F. dargelegt worden.

a) Soweit die Klägerin vorträgt, dass sich nicht erschließe, warum die Videoüberwachung in einem Fitnessstudio unzulässig sein solle, weil man sich dort längere Zeit aufhalte, gleichzeitig aber eine ständige Videoüberwachung in einem Verkehrsmittel des Öffentlichen Personennahverkehrs zulässig sein solle, bleibt unklar, auf welche Prüfungspunkte der verwaltungsgerichtlichen Entscheidung sich dieses Vorbringen bezieht. Weder ordnet die Klägerin diesen Vortrag der Prüfung bestimmter Normen oder konkret bezeichneter Tatbestandsvoraussetzungen der herangezogenen Ermächtigungsgrundlage zu, noch lässt sich anderweitig erkennen, welchen tragenden Rechtssatz oder welche entscheidungsrelevante Tatsachenfeststellung sie insoweit beabsichtigt in Frage zu stellen. Das Vorbringen erscheint daher mehr als pauschale Kritik an dem Endergebnis der Entscheidung denn als Darlegung, die aufgrund einer intensiven Auseinandersetzung mit der angegriffenen Entscheidung deren Richtigkeit in Frage zu stellen vermag. Auch im Übrigen fehlt es weitgehend an konkreten Bezugnahmen auf die angegriffene Entscheidung.

b) Es lässt sich insoweit nur vermuten, dass die Klägerin mit ihrem Vortrag zu ernstlichen Zweifeln an der Richtigkeit der verwaltungsgerichtlichen Entscheidung der im Rahmen der Prüfung des § 6b BDSG a.F. geäußerten Auffassung des Verwaltungsgerichts, dass die schutzwürdigen Interessen der Betroffenen das berechtigte Interesse der Klägerin an der Videoaufzeichnung überwiegen, entgegentritt. Dies bleibt jedoch ohne Erfolg.

aa) Die Klägerin vermag zunächst nicht mit dem sinngemäßen Verweis darauf, dass die Videoüberwachung im Öffentlichen Personennahverkehr zulässig sei, obwohl die Betroffenen dort auch längere Zeit beobachtet würden, dieser Beobachtung nicht ausweichen könnten und auch dort Personal (z.B. der Busfahrer) zur Abwehr von Gefahren zur Verfügung stünde, die Interessenabwägung des Verwaltungsgerichts im Ergebnis ernstlich in Zweifel zu ziehen. Denn die Zulässigkeit einer Datenverarbeitung bei anderer Sachlage kann nicht das Vorliegen der Voraussetzungen des § 6b Abs. 1 BDSG a.F. im vorliegenden Fall begründen. Im Rahmen der Interessenabwägung nach § 6b Abs. 1 BDSG a.F. ist auf Seiten der verantwortlichen Stelle insbesondere die Zwecksetzung der Videoüberwachung zu beachten, während auf Seiten der von der Überwachung betroffenen Personen das allgemeine Persönlichkeitsrecht gemäß Art. 2 Abs. 1 i.V.m. Art. 1 Abs. 1 GG in seiner Ausprägung als Recht der informationellen Selbstbestimmung, des Rechtes am eigenen Bild sowie des Schutzes der Privatsphäre von Bedeutung ist. Der Frage der Eingriffsintensität kommt dabei eine entscheidende Bedeutung zu. Das Gewicht des Eingriffs wird maßgeblich durch Art und Umfang der erfassten Informationen, durch Anlass und Umstände der Erhebung, den betroffenen Personenkreis und die Art und den Umfang der Verwertung der erhobenen Daten bestimmt (OVG Lüneburg, Urt. v. 07.09.2017 – 11 LC 59/16 –, juris Rn. 47 m.w.N.). Die Interessenabwägung ist damit abhängig von den konkreten Gegebenheiten des jeweils zu beurteilenden Falles (vgl. OVG Berlin-Brandenburg, Urt. v. 06.04.2017 – OVG 12 B 7.16 –, juris Rn. 32). Neben dem Umstand, dass die Zulässigkeit der Videoüberwachung im Öffentlichen Personennahverkehr von der Klägerin im Zulassungsverfahren ohnehin nur ohne weitere Darlegungen behauptet wird, ist weder ersichtlich noch dargetan, dass die für eine Videoüberwachung im Öffentlichen Personennahverkehr sprechenden berechtigten Interessen grundsätzlich identisch mit den hier von der Klägerin dargelegten berechtigten Interessen sind oder sein können. Gleiches gilt mit Blick auf die Interessen der Betroffenen. Vielmehr drängt sich hier insbesondere mit Blick auf die Videoüberwachung einer Umkleidekabine ein gewichtiger Unterschied zur Überwachung öffentlicher Verkehrsmittel auf. Daher ist nicht ersichtlich, dass die Interessenabwägung mit Blick auf den Öffentlichen Personennahverkehr zwingend identisch zu der hier vorzunehmenden Interessenabwägung auszufallen hat.

bb) Die Klägerin verweist außerdem darauf, dass das Verwaltungsgericht nicht berücksichtigt habe, dass die Betroffenen ihr Fitnessstudio trotz der Videoüberwachung freiwillig aufsuchten oder die Videoüberwachung möglicherweise gerade in deren Interesse läge, weil diese ihnen ein Gefühl von Sicherheit vermittelte und Straftaten vermeiden könnte. Insoweit kritisiert die Klägerin zwar die vom Verwaltungsgericht vorgenommene Interessenabwägung. Dies jedoch ohne darzulegen, ob und inwieweit die nach ihrer Auffassung begangenen Fehler hier ergebnisrelevant sind, d.h. die Interessenabwägung – trotz der Feststellung des Verwaltungsgerichts, dass hier die Intimsphäre der Besucher betroffen und die Interessen der Klägerin geringer zu bewerten seien bzw. es schon an der Darlegung eines berechtigten Interesses fehle – bei Berücksichtigung der genannten Aspekte zugunsten der Klägerin ausgefallen wäre. Dies ist auch nicht ohne weiteres zu erkennen.

2. Die Klägerin zeigt mit der Begründung des Antrags auf Zulassung der Berufung auch keine besonderen rechtlichen oder tatsächlichen Schwierigkeiten im Sinne des § 124 Abs. 2 Nr. 2 VwGO auf. Besondere tatsächliche oder rechtliche Schwierigkeiten weist eine Rechtssache nur dann auf, wenn sie voraussichtlich in tatsächlicher oder rechtlicher Hinsicht größere, d. h. überdurchschnittliche, das normale Maß nicht unerheblich überschreitende Schwierigkeiten verursacht. Im Tatsächlichen ist dies besonders bei wirtschaftlichen, technischen und wissenschaftlichen Zusammenhängen, im Rechtlichen bei neuartigen oder ausgefallenen Rechtsfragen der Fall (vgl. OVG Schleswig, Beschl. v. 14.05.1999 – 2 L 244/98 –, juris Rn. 17; Beschl. d. Senats v. 02.10.2020 – 4 LA 141/18 –, juris Rn. 57). Zur Darlegung genügt nicht allein die Behauptung einer überdurchschnittlichen Schwierigkeit, die problematischen Rechts- und Tatsachenfragen und die Schwierigkeit müssen vielmehr konkret bezeichnet werden. Darüber hinaus ist aufzuzeigen, dass und aus welchen Gründen sie sich qualitativ von denjenigen eines Verwaltungsrechtsstreits „durchschnittlicher“ Schwierigkeit abheben (vgl. OVG Schleswig, Beschl. v. 16.06.2021 – 3 LA 56/20 –, juris Rn. 23; Beschl. v. 05.03.2021 – 2 LA 214/17 –, juris Rn. 4, jeweils m.w.N.). Diese Voraussetzungen erfüllt das Zulassungsvorbringen nicht.

Die Klägerin meint besondere Schwierigkeiten darin zu erkennen, dass das Verwaltungsgericht angenommen habe, dass ein Fitnessstudio ein „öffentlicher Raum“ im Sinne des § 6b BDSG a.F. sei, ohne sich gegebenenfalls mit den Unterschieden zu beispielsweise einem Bahnhofsplatz auseinanderzusetzen. Außerdem sei schwierig, welche Folgen eine Unanwendbarkeit der herangezogenen Rechtsgrundlage habe und dass das Verwaltungsgericht nicht weiter zwischen den rechtfertigenden Gründen einer Videoüberwachung, nämlich der Wahrnehmung des Hausrechts einerseits und der Wahrnehmung berechtigter Interessen andererseits, differenziert habe. Damit sind besondere Schwierigkeiten rechtlicher oder gar tatsächlicher Art jedoch nicht dargelegt. In diesem Vorbringen ist lediglich eine Kritik an der rechtlichen Prüfung des Verwaltungsgerichts, insbesondere der Subsumtion des Sachverhalts unter die herangezogenen Vorschriften erkennbar. Dass die an die gerichtliche Prüfung zu stellenden Anforderungen ausgefallen oder neuartig und damit als überdurchschnittlich schwierig zu bewerten sind, ergibt sich daraus jedoch nicht.

3. Eine Zulassung der Berufung wegen grundsätzlicher Bedeutung der Rechtssache nach § 124 Abs. 2 Nr. 3 VwGO kommt vorliegend ebenfalls nicht in Betracht. Eine solche erfordert u.a., dass eine konkrete Rechts-(oder Tatsachenfrage) aufgeworfen wird, die klärungsfähig und -bedürftig ist, mithin für die Entscheidung der Vorinstanz von Bedeutung war und dies auch für die Entscheidung im Berufungsverfahren sein wird, sowie, dass sie bisher höchstrichterlich oder – bei tatsächlichen Fragen oder nicht revisiblen Rechtsfragen – durch die Rechtsprechung des Berufungsgerichts nicht geklärt und über den Einzelfall hinaus bedeutsam ist. Um die grundsätzliche Bedeutung der Rechtssache darzulegen, ist u.a. auszuführen, dass die aufgeworfene Frage entscheidungserheblich ist und ihre Klärung im Berufungsverfahren zu erwarten steht (stRspr. des Senats, vgl. Beschl. des v. 17.02.2021 – 4 LA 208/19 –, juris Rn. 67 m.w.N.).

Entsprechende Darlegungen lässt der Antrag auf Zulassung der Berufung vollständig vermissen. Es fehlt bereits an der Formulierung einer konkreten, grundsatzbedeutsamen Frage. Der bloße Verweis darauf, dass hier die rechtlichen Voraussetzungen für den Erlass der in Streit stehenden Ordnungsverfügung bzw. die Voraussetzungen der Zulässigkeit einer Videoüberwachung im allgemeinen Interesse lägen, genügt insoweit nicht. Daneben ist im Übrigen auch nicht dargelegt, ob und inwieweit bereits Rechtsprechung zu den Voraussetzungen einer Videoüberwachung ergangen ist und inwieweit sich die Zulässigkeit einer solchen allgemeingültig, d.h. losgelöst vom jeweiligen konkreten Sachverhalt, beantworten lässt.


Den Volltext der Entscheidung finden Sie hier:

VG Hannover: Videoüberwachung der Sitzbereiche eines Wettbüros weder nach Art. 6 Abs. 1 lit. c DSGVO noch nach Art. 6 Abs. 1 lit. f DSGVO gerechtfertigt und somit rechtswidrig

VG Hannover
Urteil vom 10.10.2023
10 A 3472/20


Das VG Hannover hat entschieden, dass die Videoüberwachung der Sitzbereiche eines Wettbüros weder nach Art. 6 Abs. 1 lit. c DSGVO noch nach Art. 6 Abs. 1 lit. f DSGVO gerichtfertigt und somit rechtswidrig ist.

Aus den Entscheidungsgründen:
I. Die Klage ist zulässig. Gemäß § 20 Abs. 1 Satz 1 Bundesdatenschutzgesetz (hiernach: BDSG) ist für Rechtsansprüche aus der der Verordnung (EU) 2016/679 des Europäischen Parlaments und des Rates vom 27. April 2016 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten, zum freien Datenverkehr und zur Aufhebung der Richtlinie 95/46/EG (Datenschutz-Grundverordnung, hiernach: DS-GVO) nach Artikel 78 Abs. 1 und 2 der DS-GVO der Verwaltungsrechtsweg gegeben. Das Verwaltungsgericht Hannover ist gemäß § 20 Abs. 3 BDSG örtlich zuständig. Die Klage gegen die Verfügungen des Beklagten aus dem Bescheid vom 20. Mai 2020 ist als Anfechtungsklage statthaft.

II. Die Klage ist unbegründet. Der Bescheid des Beklagten vom 20. Mai 2020 ist rechtmäßig und verletzt die Klägerin nicht in ihren Rechten (§ 113 Abs. 1 Satz 1 VwGO).

1. Die unter Ziffer 1 ausgesprochene Anweisung, die Ausgestaltung der von der Klägerin betriebenen Videoüberwachung so einzurichten, dass die Erhebung von personenbezogenen Daten von Personen in den Sitzbereichen während der Öffnungszeiten ausgeschlossen ist (Kameras 1,3, 4, 5 und 9) und die Überarbeitung der Kameraeinstellungen durch die Übersendung entsprechender Screenshots nachzuweisen, ist rechtmäßig.

a) Die Rechtsgrundlage für diese Anweisung findet sich in Art. 58 Abs. 2 lit. d DS-GVO. Danach verfügt die Aufsichtsbehörde über sämtliche Befugnisse, die es ihr gestatten, den Verantwortlichen anzuweisen, Verarbeitungsvorgänge gegebenenfalls auf bestimmte Weise und innerhalb eines bestimmten Zeitraums in Einklang mit der DS-GVO zu bringen.

b) Der Bescheid ist in formeller Hinsicht nicht zu beanstanden. Der Beklagte ist für den Erlass des Bescheides zuständig. Dies ergibt sich aus § 40 Abs. 1 des Bundesdatenschutzgesetzes vom 30. Juni 2017 (BDSG), § 22 Satz 1 Nr. 1 des Niedersächsischen Datenschutzgesetzes vom 16. Mai 2018 (NDSG) und Art. 55 f. DS-GVO. Die Klägerin ist vor Erlass des angegriffenen Bescheids angehört worden.

c) Die Anweisung ist auch materiell rechtmäßig. Die Videoüberwachung durch die fünf streitgegenständlichen Kameras steht in ihrer derzeitigen Ausgestaltung nicht in Einklang mit der DS-GVO. Nach Art. 5 Abs. 1 lit. a DS-GVO müssen personenbezogene Daten auf rechtmäßige Weise verarbeitet werden. Die hier in Rede stehende Videoüberwachung, bei der die im Wettbüro der Klägerin installierten Kameras 1, 3, 4, 5 und 9 als "verlängertes Auge" der Beschäftigten genutzt werden, verstößt gegen die DS-GVO, weil sie nicht nach Art. 6 DS-GVO gerechtfertigt ist.

aa. Die DS-GVO ist anwendbar. Nach Art. 2 Abs. 1 DS-GVO gilt diese Verordnung für die ganz oder teilweise automatisierte Verarbeitung personenbezogener Daten sowie für die nichtautomatisierte Verarbeitung personenbezogener Daten, die in einem Dateisystem gespeichert sind oder gespeichert werden sollen.

Bei der Beobachtung der Gäste des Wettbüros durch Kameras, die als "verlängertes Auge" der Beschäftigten genutzt werden, handelt es sich um eine Verarbeitung personenbezogener Daten im Sinne des Art. 4 Nr. 1 und Nr. 2 DS-GVO. Nach Art. 4 Nr. 2 DSGVO meint "Verarbeitung" jeden Vorgang, der mit oder ohne Hilfe automatisierter Verfahren im Zusammenhang mit personenbezogenen Daten ausgeführt wird. Die sich an diese Begriffsbestimmung anschließende, ersichtlich umfassende Aufzählung von Vorgängen in Art. 4 Nr. 2 DSGVO zeigt, dass der Begriff der Verarbeitung jeglichen Umgang mit personenbezogenen Daten erfasst (vgl. BVerwG, Urteil vom 27.3.2019 - 6 C 2/18 -, juris Rn. 43). Die Daten sind nach Art. 4 Nr. 1 DS-GVO "personenbezogen", wenn es sich um Informationen handelt, die sich auf eine identifizierte oder identifizierbare natürliche Person beziehen; als identifizierbar wird eine natürliche Person angesehen, die direkt oder indirekt, insbesondere mittels Zuordnung zu einer Kennung wie einem Namen, zu einer Kennnummer, zu Standortdaten, zu einer Online-Kennung oder zu einem oder mehreren besonderen Merkmalen, die Ausdruck der physischen, physiologischen, genetischen, psychischen, wirtschaftlichen, kulturellen oder sozialen Identität dieser natürlichen Person sind, identifiziert werden kann. Die Aufzeichnung des Bildes einer Person durch Kameras ermöglicht es den Betrachtern der Bilder, die erfassten Personen zu identifizieren (vgl. BVerwG, Urteil vom 27.3.2019 - 6 C 2/18 -, juris Rn. 43).

bb. Das hier eingesetzte Kamera-Monitor-System ist in seiner derzeitigen Ausgestaltung gemäß Art. 6 DS-GVO rechtswidrig. Danach ist die Verarbeitung nur rechtmäßig, wenn mindestens eine der unter Art. 6 Abs. 1 lit. a - f genannten Bedingungen erfüllt ist. Dies ist nicht der Fall.

aaa. Zunächst haben die von der Videoüberwachung betroffenen Personen (s. Art. 4 Nr. 1 DS-GVO) nicht nach Art. 6 Abs. 1 lit. a DS-GVO ihre Einwilligung zu der Verarbeitung der sie betreffenden personenbezogenen Daten für einen oder mehrere bestimmte Zwecke gegeben. Eine Einwilligung ist gemäß Art. 4 Nr. 11 DS-GVO jede freiwillig für den bestimmten Fall, in informierter Weise und unmissverständlich abgegebene Willensbekundung in Form einer Erklärung oder einer sonstigen eindeutigen bestätigenden Handlung, mit der die betroffene Person zu verstehen gibt, dass sie mit der Verarbeitung der sie betreffenden personenbezogenen Daten einverstanden ist. Damit betroffene Personen in Kenntnis der Sachlage ihre Einwilligung geben können, sollten sie mindestens wissen, wer der Verantwortliche ist und für welche Zwecke ihre personenbezogenen Daten verarbeitet werden sollen. Es sollte nur dann davon ausgegangen werden, dass sie ihre Einwilligung freiwillig gegeben haben, wenn sie eine echte oder freie Wahl haben und somit in der Lage sind, die Einwilligung zu verweigern oder zurückzuziehen, ohne Nachteile zu erleiden (vgl. Erwägungsgrund Nr. 42 zur DS-GVO). Danach liegt im vorliegenden Fall keine Einwilligung der Gäste vor. Es kann bereits nicht angenommen werden, dass die Gäste beim Betreten des Wettbüros - auch nicht bei deutlich sichtbar angebrachten Hinweisen auf die Beobachtung - den Umfang und die Ausgestaltung der Videoüberwachung sowie deren Zwecke zur Kenntnis nehmen, sodass schon keine Willensbekundung "in informierter Weise" stattfinden kann (vgl. BVerfG, Stattgebender Kammerbeschluss vom 23.2.2007 - 1 BvR 2368.06 -, juris Rn. 40; BVerwG, Urteil vom 27.3.2019 - 6 C 2.18 -, juris Rn. 23). Auch kann im Eintritt in das Wettbüro und den dortigen Aufenthalt ohne ausdrücklichen Protest keine unmissverständliche Willensbekundung erkannt werden (vgl. BVerfG, Stattgebender Kammerbeschluss vom 23.2.2007, a.a.O.). Schließlich haben die Gäste auch keine freie Wahl, ob sie mit der Videoüberwachung der Sitzbereiche während ihres Aufenthaltes in dem Wettbüro einverstanden sind; sie können sich nur zu ihrem Nachteil entscheiden, das Wettbüro gar nicht erst zu betreten.

bbb. Die Videoüberwachung ist auch nicht gemäß Art. 6 Abs. 1 lit. c DS-GVO zur Erfüllung einer rechtlichen Verpflichtung erforderlich, welcher der Verantwortliche unterliegt. Gemeint ist damit die Verpflichtung kraft Rechts der Union oder eines Mitgliedstaates, vgl. Art. 6 Abs. 3 UAbs. 1. Die in einer Vorschrift des objektiven Rechts vorgesehene "rechtliche Verpflichtung" muss sich dabei unmittelbar auf die Datenverarbeitung beziehen; allein der Umstand, dass ein Verantwortlicher, um irgendeine rechtliche Verpflichtung erfüllen zu können, auch personenbezogene Daten verarbeiten muss, reicht nicht aus (Albers/Veit in: BeckOK DatenschutzR, 44. Ed. 1.5.2023, DS-GVO Art. 6 Rn. 48 m.w.N.). Nach diesem Maßstab vermögen die in § 7 Abs. 3 Nr. 1 Spielverordnung genannten Vorgaben, wonach Geld- oder Warenspielgeräte unter anderem dann unverzüglich aus dem Verkehr zu ziehen sind, wenn sie in ihrer ordnungsgemäßen Funktion gestört sind, keine rechtliche Verpflichtung in diesem Sinne zu bieten, weil diese rechtliche Vorgabe keinen unmittelbaren Bezug zu einer irgendwie gearteten Datenverarbeitung herstellt.

Die Videoüberwachung ist auch nicht zur Erfüllung der Verpflichtung aus § 10c des Niedersächsischen Spielbankgesetzes (NSpielbG) erforderlich. Nach § 10 c Abs. 1 Satz 1 NSpielbG sind zu den dort bestimmten Zwecken die Eingänge, die Ausgänge, die Bereiche, in denen üblicherweise der Transport, die Zählung oder die Aufbewahrung von Bargeld oder Spielmarken erfolgt, sowie die Spielräume der Spielbank, die Spieltische und Glücksspielautomaten der Spielbank mit Videokameras zu überwachen. Die Vorschrift ist bereits nicht anwendbar, weil es sich bei dem Wettbüro der Klägerin nicht um eine im Sinne des § 1 Abs. 1 Satz 1 NSpielbG zugelassene Spielbank handelt. Eine analoge Anwendung der Vorschrift auf das Wettbüro der Klägerin kommt schon deswegen nicht in Betracht, weil die Interessenlage nicht vergleichbar ist. Spielbanken sind Örtlichkeiten, in denen Spiele mit grundsätzlich hoher Manipulationsanfälligkeit und herausragendem Suchtpotenzial angeboten werden, zu denen traditionell Tischspiele mit und ohne Bankhalter wie Roulette, Black Jack und Poker sowie spezielle stationäre Automatenspiele gehören, welche den Einschränkungen des gewerblichen Spiels und des Online-Glücksspiels nicht unterliegen (vgl. Begründung zur Änderung des NSpielbG vom 13.10.2021, Landtag-Drs. 18/10075, S. 17). Derartige Spiele finden im Wettbüro der Klägerin nicht statt; soweit auch in ihren Räumlichkeiten Spielautomaten aufgestellt sind und in dem (der Öffentlichkeit nicht zugänglichen) Bürobereich mit größeren Mengen Bargeld umgegangen wird, hat der Beklagte die Videoüberwachung nicht beanstandet.

Unabhängig davon folgt eine Verpflichtung zu einer Videoüberwachung, wie die Klägerin sie derzeit betreibt, selbst dann nicht aus § 10 c NSpielbG, wenn man die Vorschrift auf den vorliegenden Fall analog anwenden wollte. Unter "Spielräumen" sind solche Bereiche zu verstehen, in denen sich Gäste zum Zwecke der Teilnahme an Spielen aufhalten. Bereiche wie die hier in Rede stehenden, die fast ausschließlich - mit Ausnahme vereinzelter Automaten, an denen Wetten abgegeben werden können - dem Aufenthalt oder dem Verzehr von Getränken dienen, sind dort gerade nicht angesprochen. Der Gesetzgeber hat zuletzt die zu überwachenden Bereiche angepasst und "die gegebenenfalls getrennt von den Eingängen vorhandenen Ausgänge" aufgenommen (vgl. Landtag-Drs. 18/10075, S. 37). Er hat sich also bewusst gegen die Aufnahme von anderen, dem Aufenthalt von Gästen dienenden Bereichen entschieden. Dafür, dass der Gesetzgeber beabsichtigt hat, solche vornehmlich dem Aufenthalt dienenden Bereiche gerade nicht mit der gesetzlichen Verpflichtung zur Videoüberwachung zu belegen, spricht auch, dass die Regelung überhaupt explizit Bereiche nennt, in denen die Videoüberwachung stattzufinden hat. Wäre die Videoüberwachung einschränkungslos auch in Bereichen obligatorisch, in denen keine manipulationsanfälligen Spiele stattfinden, hätte der Gesetzgeber anstelle einer expliziten Aufzählung von Bereichen schlicht die verpflichtende Videoüberwachung für die gesamte Spielbank anordnen können.

ccc. Die Videoüberwachung ist auch nicht nach Art. 6 Abs. 1 lit. f DS-GVO gerechtfertigt. Dies wäre nur dann der Fall, wenn die Verarbeitung zur Wahrung der berechtigten Interessen des Verantwortlichen oder eines Dritten erforderlich ist, sofern nicht die Interessen oder Grundrechte und Grundfreiheiten der betroffenen Person, die den Schutz personenbezogener Daten erfordern, überwiegen, insbesondere dann, wenn es sich bei der betroffenen Person um ein Kind handelt.

(1) Das berechtigte Interesse an der hier noch streitigen Videoüberwachung durch die Kameras 1, 3, 4, 5 und 9 ist anzunehmen.

Als berechtigt darf jedes rechtliche, tatsächliche, wirtschaftliche oder ideelle Interesse des Verantwortlichen angesehen werden, soweit es von der Rechtsordnung nicht missbilligt wird. Das berechtigte Interesse muss auf einen konkreten Verarbeitungs- oder Nutzungszweck gerichtet sein. Aus Art. 5 Abs. 1 lit. b DS-GVO folgt, dass das Interesse nur berechtigt sein kann, wenn die Verarbeitung legitim ist (vgl. Taeger in: Taeger/Gabel, DSGVO-BDSG-TTDSG, 4. Aufl. 2022, Art. 6 Rn. 129). Es muss zum Zeitpunkt der Datenverarbeitung entstanden und vorhanden sein und darf zu diesem Zeitpunkt nicht hypothetisch sein (EuGH, Urteil vom 11.12.2019 - C-708/18 -, juris Rn. 44). Der Verantwortliche hat sein berechtigtes Interesse substantiiert vorzutragen und zu belegen (vgl. Art. 5 Abs. 2 DS-GVO; Taeger in: Taeger/Gabel, DSGVO-BDSG-TTDSG, 4. Aufl. 2022, Art. 6 Rn. 135; vgl. auch EuGH, Urteil vom 24.2.2022 - C-175/20 -, juris Rn. 77; BVerwG, Urteil vom 2.3.2022 - 6 C 7.20 -, juris Rn. 50). Dieser speziellen Substantiierung bedarf es nur dann nicht, wenn eine Situation gegeben ist, die nach allgemeiner Lebenserfahrung typischerweise gefährlich ist und der Überwachung bedarf. Eine solch abstrakte Gefährdungslage kann beispielsweise bei Einkaufszentren und Kaufhäusern anzunehmen sein (vgl. zur alten Rechtslage Nds. OVG, Urteil vom 29.9.2014 - 11 LC 114/13 -, juris Rn. 44; vgl. VG Hannover, Urteil vom 13.3.2023 - 10 A 1443/19 -, juris Rn. 57; vgl. zur Anwendbarkeit dieser Grundsätze auch im Anwendungsbereich der DS-GVO Taeger in: Taeger/Gabel, DSGVO-BDSG-TTDSG, 4. Aufl. 2022, Art. 6 Rn. 135).

Die Verhinderung und Aufklärung von Straftaten stellen grundsätzlich berechtigte Interessen im Sinne von Art. 6 Abs. 1 lit. f DS-GVO dar. Sie können eine Videoüberwachung jedoch nur dann als objektiv begründbar rechtfertigen, wenn eine Gefährdungslage besteht, die über das allgemeine Lebensrisiko hinausgeht. Eine solche Gefährdung kann sich nur aus tatsächlichen Erkenntnissen ergeben; subjektive Befürchtungen oder ein Gefühl der Unsicherheit reichen nicht aus (vgl. zum alten Recht BVerwG, Urteil vom 27.3.2019 - 6 C 2/18 -, juris Rn. 28 m.w.N.). Allerdings kann bei der Beurteilung aller Umstände des jeweiligen Falles nicht zwingend verlangt werden, dass die Sicherheit des Eigentums und der Personen zuvor beeinträchtigt wurde (EuGH, Urteil vom 11.12.2019 - C-708/18 -, juris Rn. 44). Konkrete Vorfälle müssen nicht in jedem Fall beim Überwachenden selbst stattgefunden haben, sondern die Gefahrenlage kann sich auch daraus ergeben, dass vergleichbare Vorfälle oder Übergriffe in der unmittelbaren Nachbarschaft stattgefunden haben (vgl. Orientierungshilfe Videoüberwachung durch nicht-öffentliche Stellen" der Datenschutzkonferenz - DSK - vom 17. Juli 2020, S. 8 f. m.V.a. Art. 5 Abs. 2 DS-GVO und EuGH, Urteil vom 11.12.2019 - C-708/18 -, juris Rn. 44; Leitlinien 3/2019 zur Verarbeitung personenbezogener Daten durch Videogeräte des European Data Protection Board vom 29.1.2020, Rn. 18 ff.).

Danach hat die Klägerin - dies hat auch der Beklagte anerkannt - grundsätzlich ein berechtigtes Interesse an der Videoüberwachung ihres Wettbüros dargelegt, um damit Straftaten zu unterbinden und nachzuverfolgen. Sie hat konkrete Straftaten benannt, die sich in den hier in Rede stehenden Räumlichkeiten ereignet haben und durch den Verweis auf Vorkommnisse in anderen Filialen dargelegt, dass (unter anderem) aufgrund der größeren Mengen Bargeld, mit denen in Wettbüros umgegangen wird, ein potentiell hohes Risiko für das Begehen von Straftaten besteht. Dementsprechend hat der Beklagte der Klägerin die Überwachung diverser Bereiche der Liegenschaft zugestanden (Kameras 2, 6, 7 und 8). Dabei hat der Beklagte die Videoüberwachung der Laufwege zugelassen, sodass etwaige Straftäter jedenfalls beim Verlassen der Räumlichkeiten erfasst werden, sowie die Orte, an denen mit Bargeld umgegangen wird (z.B. der Tresor). Außerhalb der Öffnungszeiten dürfen die Videoaufnahmen aufgezeichnet werden, um das unbefugte Betreten der Filiale abzuwenden oder ggf. nachverfolgen zu können.

(2) Die Videoüberwachung ist in ihrer derzeitigen Ausgestaltung zur Wahrung der Interessen der Klägerin aber nicht erforderlich. Die personenbezogenen Daten sollten für die Zwecke, zu denen sie verarbeitet werden, angemessen und erheblich sowie auf das für die Zwecke ihrer Verarbeitung notwendige Maß beschränkt sein; sie sollten nur verarbeitet werden dürfen, wenn der Zweck der Verarbeitung nicht in zumutbarer Weise durch andere Mittel erreicht werden kann (vgl. Erwägungsgrund 39 zur DS-GVO).Voraussetzung für die Erforderlichkeit der Videoüberwachung ist also, dass kein milderes, gleich effektives Mittel zur Verfügung steht, um die Interessen des Verantwortlichen zu erreichen (Buchner/Petri in: Kühling/Buchner, 3. Aufl. 2020, DS-GVO Art. 6 Rn. 147a). Die Einschränkungen beim Datenschutz müssen sich "auf das absolut Notwendige" beschränken (vgl. EuGH, Urteil vom 11.12.2019 - C-708/18 -, juris Rn. 46). Eine bloße Zweckdienlichkeit der Datenverarbeitung reicht jedenfalls nicht aus und auch das Ansinnen einer "bestmöglichen Effizienz" macht die Datenverarbeitung noch nicht zu einer erforderlichen. Entsprechend kann die Erforderlichkeit auch nicht allein damit begründet werden, dass es sich bei der beabsichtigten Datenverarbeitung um die aus Sicht des Verantwortlichen wirtschaftlich sinnvollste Alternative handelt (Petri in: Kühling/Buchner/Buchner, 3. Aufl. 2020, DS-GVO Art. 6 Rn. 147a m.w.N.).

Nach diesem Maßstab ist die Videoüberwachung der Sitzbereiche durch die Kameras 1,3, 4, 5 und 9 nicht erforderlich. Es ist derzeit nicht ersichtlich, dass die Erhebung der dadurch gewonnenen personenbezogenen Daten überhaupt geeignet - also erheblich - ist, um die von der Klägerin verfolgten Zwecke zu erreichen. Auf Grundlage der bisherigen Unterlagen ist nicht erkennbar, dass die von der Beklagten konkret benannten Straftaten überhaupt im Zusammenhang mit einem Aufenthalt von Gästen in den Sitzbereichen gestanden haben. Die Klägerin stützt sich im Wesentlichen auf befürchtete Straftaten und sonstiges Fehlverhalten, welches in der "Szene" oder dem "Milieu", aus dem die Gäste der Klägerin stammen, üblich sein soll. Die von der Klägerin benannten Straftaten lassen teilweise eindeutig erkennen, dass sich der oder die Täter(in) vor der jeweils begangenen Tat gerade nicht in den Sitzbereichen aufgehalten oder die Tat als solche dort stattgefunden hat; dies gilt für die Öffnung des Tresors, der sich in dem für die Öffentlichkeit nicht zugänglichen Bereich befindet, sowie für die Entwendung von Bargeld durch Beschäftigte der Klägerin, einen Überfall unter Einsatz von Waffengewalt, eingeschmissene Schaufensterscheiben und das unberechtigte Betreten der Geschäftsräume außerhalb der Öffnungszeiten. Die übrigen von der Klägerin genannten Taten und Vorkommnisse lassen nicht erkennen, ob diese in den für Gäste vorgesehenen Sitzbereichen stattgefunden haben; dies gilt für die Angabe "milieubedingte Kriminalität in den Geschäftsräumen, zum Beispiel Übergabe von Drogen gegen Bargeld" und Trickbetrug durch das Erzwingen von Wechselgeldfehlern. Konkrete Vorfälle in der Nachbarschaft hat die Klägerin zwar behauptet, jedoch nicht substantiiert. Soweit sie sich auf die befürchtete Manipulation von Spielgeräten und die ihr glückspielrechtlich obliegende Verpflichtung, manipulierte Geräte unverzüglich aus dem Verkehr zu ziehen, beruft, hat sie derartige Vorfälle weder für die hier in Rede stehende noch für andere Filialen oder Einrichtungen in der Nachbarschaft vorgetragen. Es fehlen auch nähere Angaben dazu, wie "Vorbereitungshandlungen" für eine Manipulation von Spielgeräten konkret aussehen und aus welchem Grund sie befürchtet, dass solche gerade in den Sitzbereichen für Gäste stattfinden könnten. Den Konsum von und Handel mit Rauschgift hat sie bislang nur behauptet, aber nicht belegt. Auch hinsichtlich der weiteren, im Laufe des gerichtlichen Verfahrens genannten Straftaten, die sich im Zeitraum vom 3. August 2016 und dem 9. Oktober 2021 in der hier streitgegenständlichen Filiale ereignet haben sollen, nämlich eine Unterschlagung von Bargeld, ein Diebstahl von Bargeld durch einen Kunden, ein Diebstahl eines Gegenstandes durch einen Kunden und zwei Raubüberfälle, ist nicht erkennbar, dass diese Straftaten im Zusammenhang mit einem Aufenthalt in den Sitzbereichen des Wettbüros standen.

Es ist außerdem nicht erkennbar, dass die Videoüberwachung der Sitzbereiche überhaupt dazu geeignet wäre, die von der Klägerin genannten Straftaten - sowohl die in der Unternehmensgruppe als auch die in der hier in Rede stehenden Filiale begangenen - zu verhindern oder bei der Aufklärung dieser Straftat einen nennenswerten Mehrwert zu bringen. Dies gilt insbesondere für die genannten Raubüberfälle, Einbrüche und Sachbeschädigungen, die - soweit ersichtlich - nicht von Personen begangen worden sind, die sich zuvor in dem Wettbüro aufgehalten haben. Auch diejenigen Straftaten, die von Beschäftigten der Klägerin begangen worden sind, wie zum Beispiel das unberechtigte Betreten der Geschäftsräume außerhalb der Öffnungszeiten, die Unterschlagung von Bargeld oder die Öffnung der Tresore und Entwendung von Bargeld, ließen sich nicht durch eine Überwachung der Sitzbereiche für Gäste verhindern. Einzig denkbar wäre dies bezüglich des genannten Trickbetruges durch das Erzwingen von Wechselgeldfehlern oder den Handel mit sowie Konsum von Rauschgift. Insoweit ist aber fraglich, ob die Beschäftigten in der Lage wären, die Monitore derart aufmerksam zu beobachten, dass ihnen Wechselgeldfehler oder der Konsum von Rauschmitteln überhaupt auffallen könnte.

Die Fortsetzung der Videoüberwachung in ihrer jetzigen Form ist auch nicht deswegen erforderlich, weil andernfalls unzumutbar hohe Betriebskosten entstünden. Bei dem Bestreben, Kosten einzusparen, handelt es sich grundsätzlich um ein berechtigtes Interesse. Allerdings muss der Verantwortliche darlegen, dass er diese Kosten auch durch andere Vorkehrungen, insbesondere durch organisatorische Veränderungen anstelle der Videoüberwachung nicht vermeiden oder in einer hinnehmbaren Größenordnung halten kann. Die Kostenersparnis kann die Erforderlichkeit der Videoüberwachung jedenfalls nur dann begründen, wenn die ansonsten entstehenden Kosten im Verhältnis zu dem Umfang der geschäftlichen Tätigkeit ins Gewicht fallen oder gar deren Wirtschaftlichkeit in Frage stellten (vgl. BVerwG, Urteil vom 27.3.2019 - 6 C 2.18 -, juris Rn. 32). Die Klägerin hat dazu nicht substantiiert vorgetragen. Aus dem von ihr hierzu zitierten Urteil des OVG des Saarlandes vom 14. Dezember 2017 ergibt sich nicht, ob der dortige Kläger substantiierte Angaben dazu gemacht hat, aus welchem Grund ihm der Einsatz von Wachpersonal wirtschaftlich nicht zumutbar ist (Az. 2 A 662/17 -, juris Rn. 47). Zudem ist der dortige Fall auch schon deswegen nicht mit dem hier zu entscheidenden vergleichbar, weil es sich bei dem dortigen Kläger um eine Apotheke gehandelt hat, die - im Gegensatz zu der Klägerin - nicht ohnehin Wachpersonal beschäftigt.

Die Klägerin kann ihrem berechtigten Interesse daran, dass kein Rauschgift in ihrer Filiale gehandelt oder konsumiert wird oder andere Straftaten begangen werden, auch durch mildere und gleich effektive Mittel begegnen. Dem Beklagten dürfte darin zu folgen sein, dass die bereits vorhandenen Beschäftigten in regelmäßigen Abständen die Sitzbereiche begehen könnten. Der Auffassung der Klägerin, die Präsenz von Wachleuten werde von Gästen als deutlich gravierenderer Eingriff wahrgenommen, sodass darin kein milderes Mittel zu sehen sei, kann nicht gefolgt werden. Anders als in der von der Klägerin dazu angeführten Entscheidung des Niedersächsischen Oberverwaltungsgerichts steht hier keine "permanente Beobachtung" der Gäste durch Wachleute in Rede (vgl. Urteil vom 29.9.2014 - 11 LC 114/13 -, juris Rn. 57), sondern gelegentliche Rundgänge von ohnehin anwesendem Personal. Hinsichtlich der von der Klägerin bezweckten Abschreckungswirkung wirken auch nur gelegentlich die Räumlichkeit abschreitende Beschäftigte mindestens ebenso effektiv abschreckend wie die vorhandenen Kameras (vgl. VG Stuttgart, Urteil vom 12.3.2021 - 18 K 8202/19 -, n.v.). Ihre Beschäftigten können sich vor eventuell aggressiv auftretenden Gästen schützen, indem sie die Polizei kontaktieren, anstatt sie selbst anzusprechen oder des Hauses zu verweisen. Für die Beschäftigten dürfte der zeitliche und personelle Aufwand, die fünf streitigen Kameras neben ihren anderen Aufgaben dauerhaft aufmerksam zu beobachten, um die in den Sitzbereichen befürchteten Vorbereitungshandlungen für Straftaten zu entdecken, als ebenso hoch zu bewerten sein wie die Durchführung regelmäßiger Kontrollgänge durch die Sitzbereiche. Der Gefahr von durch Betrug erzwungenen Wechselgeldfehlern könnte die Klägerin begegnen, indem die Gäste ihre Getränke nur noch am Tresen bezahlen, der außerdem von der nicht mehr streitgegenständlichen Kamera 2 erfasst wird.

Aus dem bisherigen Vortrag der Klägerin ist auch nicht nachvollziehbar, aus welchem Grund das von dem Beklagten vorgeschlagene mildere Mittel, die streitigen Kameras mit einer Folie zu versehen oder eine "Privatzonenmaskierung" einzurichten, sodass die sitzenden Gäste nicht mehr identifizierbar sind, nicht ebenso geeignet ist, wie die Videoüberwachung in ihrer derzeitigen Form. Ihr Vortrag, in dem Fall seien Vorbereitungshandlungen für eine Manipulation eines Spielgerätes schwieriger erkennbar, ist ohne konkretere Angaben dazu, wie solche Vorbereitungshandlungen aussehen, nicht nachvollziehbar. Unabhängig davon sind solche Manipulationsversuche offenbar bislang nicht vorgekommen; jedenfalls ist dies nicht vorgetragen worden.

Schließlich führt auch die in § 10 c NSpielbG zum Ausdruck gekommene Wertung des Niedersächsischen Gesetzgebers nicht dazu, die Videoüberwachung für das hier in Rede stehende Wettbüro als erforderlich anzusehen. Insoweit wird auf die obigen Ausführungen verwiesen (s. II. 1. c. bb. bbb.).

(3) Im Übrigen und selbst für den Fall, dass die Verarbeitung der durch die Videokameras 1, 3, 4, 5 und 9 verarbeiteten personenbezogenen Daten zur Wahrung des berechtigten Interesses der Klägerin erforderlich wäre, überwiegen im vorliegenden Fall die Interessen der von der Videoüberwachung betroffenen Personen das Interesse der Klägerin. Ausgangspunkt der Abwägung sind einerseits die Auswirkungen, die eine Datenverarbeitung für die betroffene Person mit sich bringt, und andererseits die Interessen des Verantwortlichen oder Dritten. In diesem Zusammenhang sind Art, Inhalt und Aussagekraft der betroffenen Daten an dem mit der Datenverarbeitung verfolgten Zweck zu messen. Außerdem können die vernünftigen Erwartungen der betroffenen Person einbezogen werden; entscheidend soll sein, ob die betroffene Person zum Zeitpunkt der Datenerhebung angesichts der näheren Umstände "vernünftigerweise absehen kann", dass eine Datenverarbeitung für einen bestimmten Zweck stattfinden wird (vgl. Petri in: Kühling/Buchner/Buchner, 3. Aufl. 2020, DS-GVO Art. 6 Rn. 149 ff.)

Für die von der Videoüberwachung betroffenen Gäste streitet ihr Recht auf Schutz der personenbezogenen Daten nach Art. 8 GRCh sowie ihr Recht auf Achtung des Privat- und Familienlebens nach Art. 7 GRCh und Art. 8 EMRK. Demgegenüber hat die Klägerin ein Interesse an dem Schutz ihres Eigentums, der Verhinderung und Aufklärung von Straftaten sowie an der Gewährleistung der Einhaltung der ihr obliegenden gesetzlichen Verpflichtungen (Jugendschutz, gesperrte Spieler, glücksspielrechtliche Vorgaben bezüglich der Spielautomaten).

Zugunsten der Klägerin ist hier zu berücksichtigen, dass die Videoaufnahmen nicht gespeichert werden und ihr in der Vergangenheit durch begangene Straftaten erhebliche Vermögensschäden entstanden sind. Demgegenüber dienen die Bereiche einem längeren Verweilen von Gästen, die ganz überwiegend keinerlei böse Absichten hegen. Die Überwachung erfolgt anlasslos, regelmäßig und personengenau und betrifft in den allermeisten Fällen Personen, die weder die körperliche Unversehrtheit der Beschäftigten noch dem Eigentum der Klägerin schaden möchten (vgl. VG Stuttgart, Urteil vom 12.3.2021 - 18 K 8202/19 -, S. 23). Eine durchgängige Überwachung auch bei Beschäftigungen, die in keinem Zusammenhang zu der Art des Etablissements stehen, in dem sich die Gäste aufhalten, können sie auch nicht "vernünftigerweise" erwarten.

cc. Der Beklagte hat das ihm gemäß Art. 58 Abs. 2 DS-GVO zustehende Entschließungs- und Auswahlermessen schließlich auch fehlerfrei ausgeübt. Gemäß Art. 58 Abs. 2 DS-GVO verfügt der Beklagte über sämtliche Abhilfebefugnisse, die es ihm gestatten, den Verantwortlichen anzuweisen, Verarbeitungsvorgänge gegebenenfalls auf bestimmte Weise und innerhalb eines bestimmten Zeitraums in Einklang mit dieser Verordnung zu bringen (Buchstabe d) sowie eine vorübergehende Beschränkung oder Verbot der Verarbeitung zu verhängen (Buchstabe f). Die Aufsichtsbehörde kann von ihrer Abhilfebefugnis Gebrauch machen, wenn sie einen Verstoß gegen Datenschutzbestimmungen festgestellt hat. Bei der Ausübung des ihr dann eingeräumten Ermessens hat sie den Verhältnismäßigkeitsgrundsatz zu beachten. Bei festgestellten Verstößen ist die Aufsichtsbehörde in der Regel gehalten, dagegen mit dem Ziel der Abstellung des Verstoßes vorzugehen. Hinsichtlich des Entschließungsermessens ist daher von einem intendierten Ermessen auszugehen, wenn die Aufsichtsbehörde - wie hier - einen Rechtsverstoß festgestellt hat.

Es ist auch kein Fehler bei der Ausübung des Auswahlermessens zu erkennen. Bei der Auswahl der geeigneten Abhilfemaßnahme nach Art. 58 Abs. 2 DSGVO muss die Aufsichtsbehörde den Verhältnismäßigkeitsgrundsatz beachten und insofern auch die Eingriffsintensität berücksichtigen (vgl. VGH Baden-Württemberg, Beschluss vom 22.1.2020 - VGH 1 S 3001/19 -, juris Rn. 61; VG Mainz, Urteil vom 24.9.2020 - 1 K 584/19.MZ -, juris Rn. 51). Das hier ausgesprochene Verbot der Videoüberwachung in den Sitzbereichen ist geeignet, um die beeinträchtigten Rechte der Gäste zu wahren. Es war auch erforderlich. Ein milderes, gleich geeignetes Mittel ist nicht ersichtlich. In Art. 58 Abs. 2 DS-GVO ist kein abgestuftes System dahingehend zu erkennen, dass der Beklagte zuerst eine Verwarnung hätte aussprechen müssen. Eine Verwarnung kommt regelmäßig bei einfachen Verletzungen der DS-GVO in Frage, welche zu keiner erheblichen Gefährdung des Datenschutzgrundrechts geführt haben. Eine Verwarnung wird eine Datenschutz-Aufsichtsbehörde aussprechen, wenn die Schwelle zur Verhängung einer Geldbuße noch nicht erreicht ist; die Verwarnung lässt sich daher auch als "kleine Schwester der Geldbuße" bezeichnen, also als Abhilfemaßnahme, die bei geringfügigen Verstößen gegen die DS-GVO oder sonstigen Gründen der Verhältnismäßigkeit "anstelle einer Geldbuße" (so explizit Erwägungsgrund 148 Satz 2 DS-GVO) verhängt werden kann (Selmayr in: Ehmann/Selmayr, 2. Aufl. 2018, DS-GVO Art. 58 Rn. 20 m.w.N.). Hier steht gerade kein geringfügiger Verstoß in Rede, sondern die Gäste des Wettbüros werden anlasslos und dauerhaft gefilmt und beobachtet. Der Beklagte hat dem Verhältnismäßigkeitsgrundsatz insofern schon im Vorfeld des gerichtlichen Verfahrens Rechnung getragen, als dass er die Videoüberwachung in weiten Teilen des Wettbüros nicht mehr beanstandet.


Den Volltext der Entscheidung finden Sie hier:


EDSA untersagt Meta / Facebook / Instagram die Nutzung personenbezogener Daten für personalisierte Werbung

Der Europäische Datenschutzausschuss (EDSA) hat Meta / Facebook / Instagram die Nutzung personenbezogener Daten für personalisierte Werbung untersagt.

Die Pressemitteilung der EDSA:
EDPB Urgent Binding Decision on processing of personal data for behavioural advertising by Meta

Launch of coordinated enforcement

On 27 October, the EDPB adopted an urgent binding decision instructing the Irish (IE) DPA as lead supervisory authority (LSA) to take, within two weeks, final measures regarding Meta Ireland Limited (Meta IE) and to impose a ban on the processing of personal data for behavioural advertising on the legal bases of contract and legitimate interest across the entire European Economic Area (EEA).

The urgent binding decision followed a request from the Norwegian Data Protection Authority (NO DPA) to take final measures in this matter that would have effect in the entire European Economic Area (EEA).

The ban on processing will become effective one week after the notification of the final measures by the IE SA to the controller.
The Irish DPC has notified Meta on 31/10 about the EDPB Urgent Binding Decision.
The EDPB takes note of Meta's proposal to rely on a consent based approach as legal basis, as it was reported on 30/10. The Irish DPC is currently evaluating this together with the Concerned Supervisory Authorities (CSAs).

EDPB Chair Anu Talus said: “After careful consideration, the EDPB considered it necessary to instruct the IE SA to impose an EEA-wide processing ban, addressed to Meta IE. Already in December 2022, the EDPB Binding Decisions clarified that contract is not a suitable legal basis for the processing of personal data carried out by Meta for behavioural advertising. In addition, Meta has been found by the IE SA to not have demonstrated compliance with the orders imposed at the end of last year. It is high time for Meta to bring its processing into compliance and to stop unlawful processing.”


VG Ansbach: Betroffener kann nach 3 Monaten Untätigkeit Leistungsklage gegen Datenschutzbehörde erheben - Kosten trägt § 161 Abs. 3 VwGO analog die Behörde

VG Ansbach
Beschluss vom 03.08.2023
AN 14 K 19.01313

Das VG Ansbach hat entschieden, dass ein Betroffener nach 3 Monaten Untätigkeit Leistungsklage gegen die zuständige Datenschutzbehörde erheben kann. Die Kosten trägt § 161 Abs. 3 VwGO analog die Datenschutzbehörde.

Aus den Entscheidungsgründen:
1. Die Kosten des Verfahrens trägt vorliegend analog § 161 Abs. 3 VwGO der Beklagte.

Entgegen der Ansicht der Klägerin war für die Kostenentscheidung § 161 Abs. 3 VwGO nicht direkt anwendbar, da es sich vorliegend nicht um eine Untätigkeitsklage i.S.d. § 161 Abs. 3, § 75 VwGO gehandelt hat. Denn das Klagebegehren der Klägerin richtete sich nicht auf eine bestimmte, als Verwaltungsakt zu qualifizierende Maßnahme seitens den Beklagten, sondern auf ein Tätigwerden des Beklagten im Rahmen ihrer Datenschutzbeschwerde nach Art. 77 f. DS-GVO. Daher war nicht die Untätigkeitsklage nach § 75 VwGO die hier statthafte Klageart, sondern die allgemeine Leistungsklage.

§ 161 Abs. 3 VwGO ist auf den hier vorliegenden Fall aber analog anzuwenden, da es sich um eine Interessenlage handelt, welche der einer Untätigkeitsklage vergleichbar ist, für welche aber eine planwidrige Regelungslücke besteht.

Für den Fall einer Klage nach Art. 78 Abs. 2 Alt. 2 VwGO besteht hinsichtlich der Kostenentscheidung eine planwidrige Regelungslücke, da die §§ 154 ff. VwGO, welche über § 20 Abs. 2 BDSG auch im Fall einer Klage nach Art. 78 Abs. 2 Alt. 2 VwGO zur Anwendung kommen, keine spezielle Kostenregelung für diese Klagekonstellation enthalten. Die Interessenlage ist in dieser Konstellation aber insgesamt mit der einer Untätigkeitsklage nach § 75 VwGO vergleichbar, da beiden Fällen zugrunde liegt, dass eine Behörde pflichtwidrig nicht (rechtzeitig) tätig geworden ist.

Daher ist in Fällen wie dem vorliegenden, in denen der Beklagte den Beschwerdeführer entgegen der Vorschrift des Art. 78 Abs. 2 Alt. 2 DS-GVO nicht innerhalb von drei Monaten über den Stand der Beschwerde in Kenntnis gesetzt hatte und der Beschwerdeführer daraufhin deswegen Klage erhoben hat, § 161 Abs. 3 VwGO analog anzuwenden.

Die Voraussetzungen des § 161 Abs. 3 VwGO liegen hier vor. Die Klägerin durfte grundsätzlich aufgrund der Vorschrift des Art. 78 Abs. 2 Alt. 2 VwGO damit rechnen, dass der Beklagte sie innerhalb von drei Monaten über den Stand ihrer Datenschutzbeschwerde vom 5. April 2019 in Kenntnis setzt. Entgegen der Ansicht des Beklagten handelte es sich bei dieser E-Mail der Klägerin auch um eine Beschwerde i.S.d. Art. 77, 78 DS-GVO, denn die Voraussetzungen an die bloße Einleitung eines Beschwerdeverfahrens dürfen im Sinne des hier bezweckten effektiven Rechtsbehelfs nicht überspannt werden. Die Klägerin hat in dieser E-Mail ausdrücklich einen Verstoß gegen das Kopplungsverbot (Art. 7 Abs. 4 DS-GVO) gerügt, sodass die Behandlung ihrer E-Mail als Beschwerde i.S.d. Art. 77, 78 DS-GVO mit der entsprechenden Unterrichtungspflicht aus Art. 78 Abs. 2 Alt. 2 DS-GVO angezeigt gewesen wäre.

Da die inhaltlichen Anforderungen an ein Inkenntnissetzen i.S.d. Art. 78 Abs. 2 Alt. 2 DS-GVO wohl nicht allzu hoch sind, dürfte sich auch der behördliche Zeitaufwand hierfür in Grenzen halten und in der Regel innerhalb von drei Monaten umsetzbar sein. Es sind im vorliegenden Fall auch keine außergewöhnlichen Anhaltspunkte ersichtlich, die möglicherweise eine Verlängerung der starren Frist des Art. 78 Abs. 2 Alt. 2 DS-GVO rechtfertigen könnten. Daher durfte die Klägerin analog § 161 Abs. 3 VwGO mit einem Tätigwerden des Beklagten vor Klageerhebung rechnen.

Deswegen waren die Kosten des Verfahrens vorliegend analog § 161 Abs. 3 VwGO dem Beklagten aufzuerlegen.

2. Die Streitwertfestsetzung beruht auf § 51 Abs. 2 GKG. Da das Begehren der Klägerin allein auf die Durchführung eines Beschwerdeverfahrens gerichtet war und somit hinter einem Begehren auf eine solche Durchführung eines Beschwerdeverfahrens einschließlich einer bestimmten behördlichen Entscheidung zurückbleibt, erscheint nach dem Ermessen des Gerichts die Festsetzung eines Streitwerts in Höhe des hälftigen Auffangstreitwerts aus § 52 Abs. 2 GKG angemessen (§ 52 Abs. 1 GKG) (vgl. VG Ansbach, U.v. 12.10.2022 – AN 14 K 19.01728 – juris Rn. 48-50).


Den Volltext der Entscheidung finden Sie hier:


BlnBD: 215.000 EURO Bußgeld gegen Unternehmen u.a. wegen datenschutzwidriger Speicherung von Gesundheitsdaten von Beschäftigten in Probezeit

Die Berliner Beauftragte für Datenschutz und Informationsfreiheit (BlnBDI) hat ein Bußgeld in Höhe von 215.000 EURO gegen ein Unternehmen u.a. wegen datenschutzwidriger Speicherung von Gesundheitsdaten und Interesse an Betriebsratsgründung von Beschäftigten in der Probezeit verhängt.

Die Pressemitteilung des der BlnBDI:
Eine Liste mit Informationen über Beschäftigte in der Probezeit

Die Berliner Beauftragte für Datenschutz und Informationsfreiheit (BlnBDI) hat gegen ein Unternehmen Bußgelder in Höhe von insgesamt 215.000 Euro verhängt. Das Unternehmen hatte u. a. unzulässigerweise sensible Informationen über den Gesundheitszustand einzelner Beschäftigter oder deren Interesse an einer Betriebsratsgründung dokumentiert. Der Bußgeldbescheid ist noch nicht rechtskräftig.

Um mögliche Kündigungen zum Ende der Probezeit vorzubereiten, führte eine Vorgesetzte auf Weisung der Geschäftsführung des Unternehmens von März bis Juli 2021 eine tabellarische Übersicht aller Beschäftigten in der Probezeit. Die Berliner Datenschutzbeauftragte erfuhr durch Medienberichte und eine persönliche Beschwerde eines Betroffenen von dem Vorfall und leitete eine Prüfung ein.

In der Übersicht listete die Vorgesetzte alle Mitarbeitenden in der Probezeit auf und bewertete die weitere Beschäftigung von elf Personen als „kritisch“ oder „sehr kritisch“. Diese Einstufung wurde in einer Tabellenspalte mit der Überschrift „Begründung“ näher erläutert. Hier fanden sich Angaben zu persönlichen Äußerungen sowie gesundheitlichen und außerbetrieblichen Gründen, die einer flexiblen Schichteinteilung entgegenstehen würden. Auch ein mögliches Interesse an der Gründung eines Betriebsrates und die regelmäßige Teilnahme an einer Psychotherapie wurden hier genannt. In vielen Fällen hatten die Beschäftigten die aufgeführten Informationen selbst für die Dienstplanung mitgeteilt. Die Weiterverarbeitung in der Liste war ihnen nicht bekannt.

Die Berliner Datenschutzbeauftragte kam bei ihrer Prüfung zu dem Ergebnis, dass die Verarbeitung der erhobenen Daten in den beanstandeten Fällen nicht rechtmäßig war. Zusätzlich zur Ahndung dieses strukturellen Verstoßes verhängte die BlnBDI gegen das Unternehmen drei weitere Bußgelder in Höhe von insgesamt rund 40.000 Euro wegen fehlender Beteiligung der betrieblichen Datenschutzbeauftragten bei der Erstellung der Liste, verspäteter Meldung einer Datenpanne und fehlender Erwähnung der Liste im Verarbeitungsverzeichnis.

Meike Kamp, Berliner Beauftragte für Datenschutz und Informationsfreiheit: „Die Erhebung, Speicherung und Verwendung von Beschäftigtendaten müssen stets im zulässigen Zusammenhang mit dem Beschäftigungsverhältnis erfolgen. Das war in diesem Fall nicht gegeben. Insbesondere Gesundheitsdaten sind besonders sensitive Informationen, die nur in engen Grenzen verarbeitet werden dürfen.“

Grundsätzlich dürfen Arbeitgeber:innen Überlegungen anstellen, inwiefern Beschäftigte weiterbeschäftigt werden sollen und insofern auch personenbezogene Daten verarbeiten. Die verarbeiteten Daten müssen jedoch für diesen Zweck geeignet und erforderlich sein. Sie dürfen nur Rückschlüsse auf Leistung oder Verhalten zulassen, die in unmittelbarem Zusammenhang mit dem Beschäftigungsverhältnis stehen. Arbeitgeber:innen dürfen auch von Beschäftigten selbst mitgeteilte Informationen nicht einfach weiterverarbeiten, sondern müssen prüfen, ob die Verarbeitung erforderlich und angemessen ist.

Bei der Bemessung der Bußgelder berücksichtigte die BlnBDI den Umsatz des Unternehmens und die Anzahl der betroffenen Beschäftigten. Außerdem wurde berücksichtigt, dass insbesondere die Verarbeitung von Gesundheitsdaten ohne Rechtsgrundlage einen besonders schwerwiegenden Verstoß darstellt. Bußgeldmindernd wurde u. a. berücksichtigt, dass das Unternehmen umfassend mit der BlnBDI kooperiert hat und den Verstoß nach öffentlichem Bekanntwerden bereits ohne Aufforderung von sich aus abgestellt hat.



VG Hannover: Speicherdauer von Videoaufzeichnungen einer Tankstelle darf 72 Stunden nicht überschreiten

VG Hannover
Urteil vom 13.03.2023
10 A 1443/19


Das VG Hannover hat entschieden, dass die Speicherdauer von Videoaufzeichnungen einer Tankstelle 72 Stunden nicht überschreiten darf.

Aus den Entscheidungsgründen:
1. Der Bescheid vom 18. Februar 2019 ist rechtmäßig. Die datenschutzrechtliche Beschränkung zur Speicherdauer (a), die Aufforderung zur Bestätigungsanzeige (b) und auch die Zwangsgeldandrohung (c) sind rechtlich nicht zu beanstanden.

a) Die Anordnung der Beklagten, die Aufzeichnungen der klägerischen Videoüberwachung in der Regel auf 72 Stunden zu beschränken, ist rechtmäßig.

aa) Rechtsgrundlage für die streitgegenständliche Beschränkung zur Speicherdauer der Videoaufzeichnungen ist Art. 58 Abs. 2 lit. f) der Verordnung (EU) 2016/679 des Europäischen Parlaments und des Rates vom 27. April 2016 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten, zum freien Datenverkehr und zur Aufhebung der Richtlinie 95/46/EG (Datenschutz-Grundverordnung; hiernach: DSGVO). Demnach kann die Aufsichtsbehörde eine vorübergehende oder endgültige Beschränkung der Verarbeitung, einschließlich eines Verbots, verhängen, was die Beklagte mit der Beschränkung der Speicherdauer der Videoaufzeichnung getan hat.

bb) Der Bescheid ist in formeller Hinsicht nicht zu beanstanden. Die Beklagte ist für den Erlass des Bescheides nach §§ 19 Abs. 1, 22 Abs. 1 Nr. 1 Niedersächsisches Datenschutzgesetz (NDSG) zuständig. Die Klägerin wurde vor dessen Erlass zureichend nach § 1 Abs. 1 Niedersächsisches Verwaltungsverfahrensgesetz (NVwVfG) i.V.m. § 28 Abs. 1 Verwaltungsverfahrensgesetz (VwVfG) angehört und der Bescheid ist auch hinreichend bestimmt nach § 1 Abs. 1 NVwVfG i.V.m. § 37 Abs. 1 VwVfG.

Nach § 37 Abs. 1 VwVfG muss ein Verwaltungsakt inhaltlich hinreichend bestimmt sein. Ein Verwaltungsakt ist inhaltlich hinreichend bestimmt, wenn der Inhalt der von der Behörde getroffenen Regelung für die Beteiligten, insbesondere für die Adressatinnen oder Adressaten des Verwaltungsakts, so vollständig, klar und unzweideutig erkennbar ist, dass sie ihr Verhalten danach richten können, und wenn der Bescheid darüber hinaus geeignet ist, Grundlage für Maßnahmen einer zwangsweisen Durchsetzung zu sein (Tegethoff, in: Kopp/Schenke, VwVfG, 23. Auflage, § 37 Rn. 5). Dies ist hier der Fall. Dem Bescheid lässt sich, ausgehend vom Wortlaut unter Berücksichtigung der weiteren Umstände des Einzelfalles und nach Treu und Glauben durch Auslegung entnehmen, dass der Klägerin grundsätzlich untersagt wird, Videoaufzeichnungen länger als 72 Stunden zu speichern.

Anders als die Klägerin meint, ist die Regelung nicht deshalb unbestimmt, da unklar bleibe, in welchen Fällen sie zu einer längeren Speicherung als 72 Stunden berechtigt sei. Dem streitgegenständlichen Bescheid lässt sich dahingehend unzweideutig entnehmen, dass für Fälle von Feiertagsabwesenheiten eine längere Speicherdauer zulässig ist. Auch hat die Beklagte dargelegt, dass eine längere Speicherung in Fällen möglich ist, in denen das Aufzeichnungsmaterial zur Aufklärung von Schadensfällen oder der Durchsetzung etwaiger Ansprüche, die die Klägerin selbst geltend machen möchte oder gegen die sie sich zu wehren hat, notwendig ist.

cc) Der Bescheid ist auch materiell rechtmäßig. Die von der Beklagten beanstandete Datenverarbeitung der Klägerin ist rechtswidrig. Es besteht daher ein Anlass für ein Einschreiten der Beklagten. Sie erfolgte zu dem Zweck, einen datenschutzrechtswidrigen Zustand zu beenden, da die Aufzeichnungen der Videoüberwachung bisher für sechs bis acht Wochen und damit - datenschutzrechtswidrig - zu lang gespeichert wurden.

Die von der Klägerin vorgenommene Videoüberwachung und die Speicherung der dabei gewonnenen Daten unterfällt dem Regelungsregime der DSGVO (1). Die Zwecke, zu denen die Klägerin danach die Videoüberwachung durchführen darf (2), rechtfertigen in der Regel keine längere Speicherdauer als 72 Stunden (3). Die Beklagte hat die datenschutzrechtliche Beschränkung zur Speicherdauer schließlich auch ermessensfehlerfrei angeordnet (4.).

(1) Die von der Klägerin vorgenommene Videoüberwachung und die Speicherung der dabei gewonnenen Daten unterfällt dem Regelungsregime der DSGVO. Anders als die Klägerin meint, kann sie die Videoüberwachung und die Speicherung nicht auf § 4 BDSG stützen. Diese Vorschrift ist unionsrechtswidrig, soweit sie neben öffentlichen auch nichtöffentliche Stellen betrifft. Art. 6 Abs. 1 lit. e) und Abs. 3 DSGVO eröffnet den Mitgliedsstaaten nur insoweit einen Regelungsspielraum, als es sich bei der Videoüberwachung um die Wahrnehmung einer Aufgabe handelt, die im öffentlichen Interesse liegt oder in Ausübung öffentlicher Gewalt erfolgt. Damit lässt sich zwar die erste Alternative des § 4 Abs. 1 BDSG (Aufgabenerfüllung öffentlicher Stellen) unter die Öffnungsklausel des Art. 6 Abs. 1 lit. e) und Abs. 3 DSGVO fassen. Darüber hinaus erlaubt aber § 4 Abs. 1 BDSG - unionsrechtswidrig - auch noch die Videoüberwachung zur Wahrnehmung des Hausrechts (Abs. 1 Nr. 2) oder zur Wahrnehmung berechtigter Interessen (Abs. 1 Nr. 3) und dies für öffentliche Stellen ebenso wie für nichtöffentliche Stellen. Damit ist aber der zulässige Grund der Öffnungsklausel verlassen, sodass aufgrund des Vorrangs des EU-Rechts § 4 BDSG hier außer Betracht bleiben muss (so etwa Buchner, in: Kühling/Buchner, DSGVO und BDSG, 3. Auflage, BDSG, § 4 Rn. 3).

Gegen eine Anwendung von § 4 BDSG für die Videoüberwachung durch nichtöffentliche Stellen hat sich auch das Bundesverwaltungsgericht in einem obiter dictum zu einem Urteil vom 27. März 2019 ausgesprochen und festgestellt, dass sich die Videoüberwachung durch private Verantwortliche nach Art. 6 Abs. 1 S. 1 lit. f) DSGVO richtet (- 6 C 2.18 -, juris). Soweit die Klägerin meint, diese Entscheidung sei auf den vorliegenden Fall nicht anzuwenden, weil er sich auf eine veraltete Rechtslage bezieht, so ist dem entgegenzuhalten, dass das Bundesverwaltungsgericht in seiner Entscheidung ausdrücklich auf die für die Zukunft geltende Rechtslage nach Inkrafttreten der DSGVO abgestellt hat (Urt. v. 27.03.2019 - 6 C 2.18 -, juris Rn. 41 ff.). Dem folgend nimmt auch die Datenschutzkonferenz in ihrer Orientierungshilfe zur Videoüberwachung für nichtöffentliche Stellen an, dass § 4 BDSG für die Videoüberwachung durch nichtöffentliche Stellen keine Anwendung findet, sondern Art. 6 Abs. 1 Satz 1 lit. f) DSGVO zum Tragen kommt (abrufbar unter: 20200903_oh_vü_dsk.pdf (datenschutzkonferenz-online.de), S. 7 Fn. 8, zuletzt abgerufen am: 17.03.2023). Soweit die Klägerin meint, § 4 BDSG sei auf sie anzuwenden, weil sie Treibstoff veräußere und damit eine öffentliche Aufgabe im Rahmen der Daseinsvorsorge wahrnehme, so ist dem nicht zuzustimmen. Die Norm ist ausdrücklich nur auf öffentliche Stellen anzuwenden. Die Klägerin ist - selbst wenn sie öffentliche Aufgaben wahrnehmen würde - aber unstreitig ein Privatunternehmen.

Die Klägerin kann die Videoüberwachung und die Speicherung der dabei gewonnenen Daten auch nicht auf § 24 BDSG stützen. Diese Vorschrift erfasst diejenigen Fälle, bei denen zu einem anderen Zweck als zu demjenigen, zu dem die Daten erhoben wurden, Daten verarbeitet werden. Einen solch anderen Zweck hat die Klägerin nicht benannt und er ist auch ansonsten nicht erkennbar.

(2) Nach Art. 6 Abs. 1 lit. f) DSGVO ist die Klägerin zwar zur Videoüberwachung berechtigt, jedoch darf sie diese nicht für alle von ihr vorgetragenen Zwecke durchführen. Soweit sie vorgetragen hat, sie nehme die Videoüberwachung auch zur Durchsetzung bzw. zur Verteidigung gegen zivilrechtliche Ansprüche vor, so ist es ihr nicht gelungen, substantiiert darzulegen und zu belegen, dass sie ein berechtigtes Interesse zur Durchführung der Videoüberwachung zu eben diesem Zweck hat.

Nach Art. 6 Abs. 1 lit. f) DSGVO ist die Verarbeitung personenbezogener Daten nur rechtmäßig, wenn die Verarbeitung zur Wahrung berechtigter Interessen des Verantwortlichen oder eines Dritten erforderlich ist, sofern nicht die Interessen oder Grundrechte oder Grundfreiheiten der betroffenen Personen, die den Schutz personenbezogener Daten erfordern, überwiegen, insbesondere dann, wenn es sich bei der betroffenen Person um ein Kind handelt.

Als berechtigt darf jedes rechtliche, tatsächliche, wirtschaftliche oder ideelle Interesse des Verantwortlichen angesehen werden, soweit es von der Rechtsordnung nicht missbilligt wird. Das berechtigte Interesse muss auf einen konkreten Verarbeitungs- oder Nutzungszweck gerichtet sein. Berechtigt ist das Interesse also nur, wenn die Verarbeitung legitim und rechtmäßig ist (Taeger, in Taeger/Gabel, DSGVO - BDSG - TTDSG, 4. Aufl. 2022, Art. 6 Rn. 129). Das berechtigte Interesse des Verantwortlichen ist von diesem substantiiert vorzutragen und zu belegen (Taeger, in Taeger/Gabel, DSGVO - BDSG - TTDSG, 4. Aufl. 2022, Art. 6 Rn. 135; vgl. auch BVerwG, Urt. v. 02.03.2022 - 6 C 7/20 -, juris Rn. 50). Dieser speziellen Substantiierung bedarf es nur dann nicht, wenn eine Situation gegeben ist, die nach allgemeiner Lebenserfahrung typischerweise gefährlich ist und der Überwachung bedarf. Eine solch abstrakte Gefährdungslage wird beispielsweise bei Einkaufszentren und Kaufhäusern angenommen (vgl. zur alten Rechtslage Nds. OVG, Urt. v. 29.09.2014 - 11 LC 114/13 -, NJW 2015, 502, 505 Rn. 44; vgl. zur Anwendbarkeit dieser Grundsätze auch im Anwendungsbereich der DSGVO Taeger, in Taeger/Gabel, DSGVO - BDSG - TTDSG, 4. Aufl. 2022, Art. 6 Rn. 135).

Die Klägerin - dies hat auch die Beklagte anerkannt - ist nach Anwendung dieser Grundsätze berechtigt, die Videoüberwachung zur Unterbindung und Nachverfolgung von Straftaten, insbesondere von Vandalismus und Sachbeschädigungen, durchzuführen. Bei der von der Klägerin betriebenen SB-Tankstelle handelt es sich um eine nach der allgemeinen Lebenserfahrung potentiell stark gefährdete Einrichtung, die typischerweise Opfer von Vandalismus und Sachbeschädigungen wird, sodass die Klägerin ihr berechtigtes Interesse an der Videoaufzeichnung diesbezüglich nicht besonders belegen muss.

Soweit die Klägerin überdies vorgetragen hat, die Videoüberwachung diene auch dazu, sich gegen unberechtigte zivilrechtliche Ansprüche schützen und solche gegebenenfalls selbst durchsetzen zu können, so darf sie die Videoüberwachung zu diesem Zweck nicht durchführen. Sie hat ein berechtigtes Interesse zur Datenerhebung zu diesen Zwecken weder substantiiert dargelegt noch belegt.

Zunächst ist festzuhalten, dass die Durchsetzung des Kaufpreisanspruches und die Verteidigung gegen zivilrechtliche Ansprüche eines etwaigen Tankbetrügers an einer Selbstbedienungstankstelle keine Situation darstellt, bei der nach der allgemeinen Lebenserfahrung davon auszugehen ist, dass sie typischerweise regelmäßig vorkommt. Die Klägerin ist demnach nach den oben geschilderten Grundsätzen diesbezüglich dazu verpflichtet, ihr berechtigtes Interesse an der Datenerhebung und -verarbeitung darzulegen und zu belegen. Dies ist ihr vorliegend nicht gelungen.

Zur Durchsetzung von Kaufpreisansprüchen nach § 433 BGB bedarf es der Videoaufzeichnung schon deswegen nicht, weil bei der von der Klägerin betriebenen SB-Tankstelle Benzin grundsätzlich erst dann ausgegeben wird, wenn die Tanksäule freigeschaltet wurde. Die Freischaltung erfolgt durch die Einführung der akzeptierten Zahlkarten unter Nutzung einer PIN. Sobald die Zapfpistole wieder eingehängt wird, wird die Abbuchung vom Konto des Kunden direkt veranlasst. Kunden können die Tankstelle ohne Initiierung des Zahlvorgangs also grundsätzlich nicht verlassen.

Soweit die Klägerin dargelegt hat, dass an ihrer Tankstelle auch eigens ausgegebene Tankkarten akzeptiert werden, bei denen eine monatliche Abrechnung über ein SEPA-Lastschrift-Verfahren erfolgt, so berechtigt auch dies nicht zur Videoüberwachung. Die Klägerin hat diesbezüglich zwar ausgeführt, dass Kunden dem Einzug des Rechnungsbetrages ohne Angaben von Gründen gegenüber ihrer Bank widersprechen können und die Banken teilweise nach den vertraglichen Vereinbarungen sodann berechtigt seien, den an die Klägerin ausgezahlten Betrag wieder zurück zu buchen. Zur Durchsetzung des Kaufpreisanspruches ist die Klägerin dennoch nicht auf die Aufzeichnungen der Videoüberwachungsanlage angewiesen. Der Nachweis über den (den Kaufvertrag begründenden) Tankvorgang kann sie schließlich bereits dadurch erbringen, dass die personalisierte Tankkarte unter Nutzung einer PIN an ihrer Selbstbedienungstankstelle verwendet wurde. Dies ist über die Abrechnungsbelege nachweisbar. Schließlich hat die Klägerin keinen einzigen Beleg dafür erbracht, dass es in der Vergangenheit zu einem solchen Fall gekommen ist. Das Gericht hat die Klägerin bereits im Vorfeld zur mündlichen Verhandlung zur Vorlage entsprechender Belege aufgefordert. Dem ist die Klägerin - auch im Rahmen der mündlichen Verhandlung - nicht nachgekommen. Soweit der Geschäftsführer der Klägerin diesbezüglich ausgeführt hat, Belege und Nachweise könnten nicht vorgelegt werden, weil in der Vergangenheit entsprechende Fälle immer dadurch hätten aufgeklärt werden können, dass er allein sich die Videoaufzeichnungen angeschaut habe und seinem Gegenüber am Telefon habe versichern können, dass der Tankvorgang stattgefunden habe, so hält die Kammer dies für fernliegend und nicht überzeugend. Es entspricht nicht der allgemeinen Lebenserfahrung, dass etwaige Rechtsansprüche immer ausschließlich nur telefonisch dargelegt und sodann auch telefonisch abschließend geklärt werden können.

Die Klägerin darf die Videoüberwachung auch nicht zum Zweck der Verteidigung gegen zivilrechtliche Ansprüche nach §§ 812 ff. BGB durchführen. Sie hat diesbezüglich behauptet, in der Vergangenheit sei es zu Fällen gekommen, in denen nach einem Tankvorgang die Karte eines Kunden belastet worden sei und der Kunde sodann behauptet habe, sein Fahrzeug nicht bei der Klägerin betankt und deswegen den Kaufpreis zurückgefordert zu haben. Es stünde demnach im Raum, dass die Klägerin den Kaufpreis durch Leistung des Kunden ohne Rechtsgrund erlangt habe. Selbst wenn es in der Vergangenheit zu solchen Fällen gekommen ist, rechtfertigen sie die Videoüberwachung nach Ansicht der Kammer nicht. Nach den zivilrechtlichen Beweislastregeln wäre zunächst grundsätzlich der vermeintliche Kunde für das Fehlen des Rechtsgrundes, also für den Umstand beweisbelastet, dass zwischen ihm und der Klägerin kein Kaufvertrag zustande gekommen ist - sprich, dass kein Tankvorgang vorgenommen wurde (vgl. beispielsweise Wendehorst, in BeckOK BGB, 65. Ed., § 812, Rn. 281f.). Zudem kann die Klägerin auch in solchen Konstellationen grundsätzlich über die Abrechnungen einen Nachweis für den Tankvorgang und damit das Vorliegen eines Rechtsgrundes erbringen. Soweit die Klägerin diesbezüglich ohne Vorlage entsprechender Nachweise pauschal vorgetragen hat, dass auf den Abrechnungen nicht die volle IBAN des Kunden dargestellt werde, so ist die Kammer davon überzeugt, dass die IBAN und demnach die Identität des jeweiligen Kartennutzers sich anhand der auf der Abrechnung vorhandenen Angaben durch Erforschungsmaßnahmen bei der Bank ermitteln lässt. Die Klägerin hat zudem auch für diese vorgetragene Konstellation keinen einzigen Beleg erbracht, dass es in der Vergangenheit zu entsprechenden Fällen tatsächlich gekommen ist. Auch diesbezüglich hält die Kammer es für fernliegend, dass Kunden versuchen, ihre vermeintlichen Rechtsansprüche mündlich durchzusetzen und sodann wegen einer telefonischen Auskunft, die auf der für den Kunden nicht nachvollziehbaren Sichtung des Videomaterials beruht, von der Weiterverfolgung absehen.

Auch für die von der Klägerin vorgetragene Konstellation, Kunden hätten in der Vergangenheit behauptet, ihre Karte samt PIN sei entwendet und zum Tanken verwendet worden, ist die Klägerin zur Videoüberwachung nicht berechtigt. Die Beweislast für das treuwidrige Verhalten Dritter liegt in solchen Konstellationen nicht bei der Klägerin, sondern in der Regel nach §§ 675 v -675 w BGB bei den Kreditinstituten. Bei § 675 v BGB handelt es sich um die zentrale Haftungsnorm im Rechtsverhältnis von Zahlungsdienstleister und Zahlungsdienstnutzer. Sie regelt, welche Partei bei missbräuchlicher Verwendung von Zahlungsdiensten einen durch unberechtigt verfügende Dritte entstandenen Schaden zu tragen hat. Eine Haftung des Zahlungsempfängers ist hier nicht vorgesehen. § 675 w BGB regelt dahingehend die Beweislasten und bezieht sich ebenfalls nicht auf den Zahlungsempfänger. Zudem besteht bei Nutzung einer EC-Karte/Visa-Karte mit PIN - und nur solche sind bei der Klägerin nach ihrem eigenen Vortrag nutzbar - grundsätzlich eine Zahlungsgarantie des Kreditunternehmens. Schließlich ist es der Klägerin auch hinsichtlich dieser behaupteten Konstellation nicht gelungen, eine Gefährdungslage substantiiert darzulegen. Nachweise dafür, dass es zu solchen Fällen in der Vergangenheit gekommen ist, hat sie trotz gerichtlicher Aufforderung nicht erbracht.

Die Klägerin hat weiter vorgetragen, sie sei auf die Videoüberwachung angewiesen, um Fälle aufklären zu können, bei denen Kunden nach einer Fehlbedienung die doppelte Belastung ihrer Karte rügen würden. In der Vergangenheit sei es zu Fällen gekommen, in denen Kunden durch das zentrale Terminal zunächst eine falsche und sodann die richtige Zapfsäule freigeschaltet hätten. Ein anderer Kunde habe sodann an der versehentlich freigeschalteten Zapfsäule auf Kosten dieses Kunden getankt. Auch dieser Vortrag rechtfertigt eine Videoüberwachung nicht. Zunächst ist die Kammer davon überzeugt, dass solchen Fällen durch technische Vorrichtungen begegnet werden kann, sodass sie gar nicht vorkommen müssten. Zudem hat die Klägerin auch hinsichtlich dieser Fallkonstellation keinerlei belastbaren Nachweise dafür vorgebracht, dass sie in der Vergangenheit tatsächlich vorgekommen wären.

Soweit die Klägerin schließlich noch behauptet hat, sie sei auf die Videoüberwachung angewiesen, weil sie sich wegen der vermeintlich falschen Belastung von Zahlungskarten auch gegen strafrechtliche Vorwürfe verteidigen können müsse, so hat sie auch diesbezüglich nicht substantiiert darlegen können, dass in der Vergangenheit tatsächlich strafrechtlich gegen sie ermittelt oder gar ein Strafverfahren eingeleitet wurde. Dass es auch für solche Konstellationen keinerlei schriftliche Nachweise gibt, hält die Kammer für abwegig.

(3) Soweit die Klägerin zur Durchführung der Videoüberwachung berechtigt ist, dürfen die dabei gewonnenen Aufzeichnungen grundsätzlich nicht länger als 72 Stunden gespeichert werden.

Personenbezogene Daten dürfen nach Art. 5 Abs. 1 lit. c) und e) DSGVO nicht länger gespeichert werden, als es für die Zwecke, für die sie verarbeitet wurden, erforderlich ist (Grundsätze der Datenminimierung und der Speicherbegrenzung). Spiegelbildlich bestimmt Art. 17 Abs. 1 lit. a) DSGVO, dass personenbezogene Daten unverzüglich zu löschen sind, wenn sie für die Zwecke, für die sie erhoben wurden, nicht mehr notwendig sind. Dem kommt die Klägerin gegenwärtig nicht nach.

Zulässiger Zweck der Videoüberwachung ist die Unterbindung und Nachverfolgung von Straftaten, insbesondere von Vandalismus und Sachbeschädigungen. Zu diesem Zweck ist die Klägerin berechtigt, Bildaufnahmen zu erheben und auch zu speichern. Es ist aber nicht notwendig, diese Aufzeichnungen für die Zweckerreichung sechs bis acht Wochen vorzuhalten.

Wann Daten zur Zweckerfüllung nicht mehr notwendig sind, lässt sich nicht pauschal festlegen. Erforderlich ist eine Prüfung im Einzelfall (Herbst, in: Kühling/Buschner, DSGVO und BDSG, 3. Auflage, Art. 17 Rn. 17). Allerdings lassen sich einige allgemeingültige Grundsätze durchaus ausmachen. So sollten unter Berücksichtigung der Grundsätze nach Art. 5 Abs. 1 lit. c) und e) DSGVO die personenbezogenen Daten in den meisten Fällen nach einigen wenigen Tagen automatisch gelöscht werden. Je länger die Speicherfrist ist, desto höher ist der Argumentationsaufwand in Bezug auf die Rechtmäßigkeit des Zwecks und der Erforderlichkeit. Dies gilt insbesondere dann, wenn sie mehr als 72 Stunden beträgt (European Data Protection Board, Leitlinien 3/2019 zur Verarbeitung personenbezogener Daten durch Videogeräte, 29.01.2020, S. 30). An diesen Anforderungen gemessen, lässt sich feststellen, dass die sechs- bis achtwöchige Dauer der Speicherung hier nicht notwendig ist.

Es ist ohne weiteres möglich, binnen 72 Stunden festzustellen, ob Vandalismus oder Beschädigungen an der klägerischen Tankstelle aufgetreten sind und sollte dem so sein, das Videomaterial daraufhin zu sichten. Sollte sodann das Videomaterial weiteren Aufschluss zu einem Tatvorgang geben, so ist die Klägerin zur längeren Speicherung berechtigt (vgl. Art. 17 Abs. 3 lit e) DSGVO). Die Klägerin sieht sich demnach, entgegen ihres Vortrags, durch die streitgegenständliche Anordnung auch nicht dem Vorwurf der Strafvereitelung nach § 339 StGB ausgesetzt, abgesehen davon, dass sie schon nicht taugliche Täterin der Strafnorm ist. Dies sind nur Richter, andere Amtsträger (§ 11 Abs. 1 Nr. 2 StGB) oder Schiedsrichter (§ 1025 Zivilprozessordnung (ZPO), § 101 Arbeitsgerichtsgesetz (ArbGG), § 76 Zehntes Buch Sozialgesetzbuch (SGB IX), § 168 Abs. 1 Nr. 5 VwGO). Die Klägerin wird durch die Anordnung der Beklagten zur Speicherdauer auch nicht angehalten, Beweismittel zu vernichten. Im Regelfall sollten ihr Fälle von Sachbeschädigung/Vandalismus innerhalb von 72 Stunden auffallen; sollte sodann das Videomaterial weiteren Aufschluss zu einem Tatvorgang geben, so ist sie zur längeren Speicherung berechtigt. Sollte ausnahmsweise Beweismaterial gelöscht werden, so dürfte es zudem am notwendigen Vorsatz für die Strafvereitelung fehlen.

Die Berechtigung zu einer längeren Speicherdauer lässt sich auch unter Heranziehung der verschiedenen von der Klägerin zitierten Quellen, Guidelines, Orientierungshilfen und Auskünfte nicht begründen.


Den Volltext der Entscheidung finden Sie hier:

BlnBDI: 300.000 EURO Bußgeld gegen Bank wegen mangelnder Transparenz bei automatisierter Ablehnung eines Kreditantrags

Die Berliner Beauftragte für Datenschutz und Informationsfreiheit (BlnBDI) hat ein Bußgeld in Höhe von 300.000 EURO gegen eine Bank wegen mangelnder Transparenz bei der automatisierter Ablehnung eines Kreditantrags verhängt.

Die Pressemitteilung der BlnBDI:
300.000 Euro Bußgeld gegen Bank nach mangelnder Transparenz über automatisierte Ablehnung eines Kreditkartenantrags - Computer sagt Nein

Die Berliner Beauftragte für Datenschutz und Informationsfreiheit (BlnBDI) hat gegen eine Bank ein Bußgeld in Höhe von 300.000 Euro wegen mangelnder Transparenz über eine automatisierte Einzelentscheidung verhängt. Die Bank hatte sich geweigert, einem Kunden nachvollziehbare Auskünfte über die Gründe der automatisierten Ablehnung eines Kreditkartenantrags zu erteilen. Das Unternehmen hat umfassend mit der BlnBDI kooperiert und den Bußgeldbescheid akzeptiert.

Eine automatisierte Entscheidung ist eine Entscheidung, die ein IT-System ausschließlich auf Grundlage von Algorithmen und ohne menschliches Eingreifen trifft. Für diesen Fall sieht die Datenschutz-Grundverordnung (DSGVO) spezielle Transparenzpflichten vor. So müssen personenbezogenen Daten in einer für die betroffenen Personen nachvollziehbaren Weise verarbeitet werden. Betroffene Personen haben einen Anspruch auf Erläuterung der nach einer entsprechenden Bewertung getroffenen Entscheidung. Beantragen betroffene Personen bei den Verantwortlichen eine Auskunft, müssen diese aussagekräftige Informationen über die involvierte Logik hinter der automatisierten Entscheidung erteilen.

In diesem Fall beherzigte die Bank dies jedoch bei ihrem digitalen Antrag für eine Kreditkarte nicht. Über ein Online-Formular fragte die Bank verschiedene Daten über Einkommen, Beruf und Personalien des Antragstellers ab. Anhand der abgefragten Informationen und zusätzlicher Daten aus externen Quellen lehnte der Bank-Algorithmus den Antrag des Kunden ohne besondere Begründung ab. Der Algorithmus basiert auf zuvor von der Bank definierten Kriterien und Regeln.

Da der Kunde einen guten Schufa-Score und ein regelmäßiges hohes Einkommen hatte, bezweifelte er die automatisierte Ablehnung. Die Bank machte auch auf Nachfrage lediglich pauschale und vom Einzelfall gelöste Angaben zum Scoring-Verfahren. Sie weigerte sich jedoch, ihm mitzuteilen, warum sie in seinem Fall von einer schlechten Bonität ausging. Der Beschwerdeführer konnte somit nicht nachvollziehen, welche Datenbasis und Faktoren der Ablehnung zugrunde lagen und anhand welcher Kriterien sein Kreditkartenantrag dementsprechend abgelehnt worden ist. Ohne diese Einzelfallbegründung war es ihm aber auch nicht möglich, die automatisierte Einzelentscheidung sinnvoll anzufechten. Daraufhin beschwerte er sich bei der Datenschutzbeauftragten.

Meike Kamp, Berliner Beauftragte für Datenschutz und Informationsfreiheit: „Wenn Unternehmen automatisiert Entscheidungen treffen, sind sie verpflichtet, diese stichhaltig und nachvollziehbar zu begründen. Die Betroffenen müssen in der Lage sein, die automatisierte Entscheidung nachzuvollziehen. Dass die Bank in diesem Fall auch auf Anfrage nicht transparent und nachvollziehbar über die automatisierte Ablehnung informiert hat, hat ein Bußgeld zur Folge. Eine Bank ist verpflichtet, die Kund:innen bei der automatisierten Entscheidung über einen Kreditkartenantrag über die tragenden Gründe einer Ablehnung zu unterrichten. Hierzu zählen konkrete Informationen zur Datenbasis und den Entscheidungsfaktoren sowie die Kriterien für die Ablehnung im Einzelfall.“

Die Datenschutzbeauftragte hat festgestellt, dass die Bank in dem konkreten Fall gegen Art. 22 Abs. 3, Art. 5 Abs. 1 lit. a und Art. 15 Abs. 1 lit. h DSGVO verstoßen hat. Bei der Bußgeldzumessung berücksichtigte die BlnBDI insbesondere den hohen Umsatz der Bank sowie die vorsätzliche Ausgestaltung des Antragsprozesses und der Auskunft. Als bußgeldmindernd wurde u. a. eingestuft, dass das Unternehmen den Verstoß eingeräumt sowie Änderungen an den Prozessen bereits umgesetzt und weitere Verbesserungen angekündigt hat.



EDPB: Facebook / Meta soll 1,2 Milliarden EURO Bußgeld wegen DSGVO-widriger Übermittlung personenbezogener Daten in die USA zahlen

Facebook / Meta soll 1,2 Milliarden EURO Bußgeld wegen DSGVO-widriger Übermittlung personenbezogener Daten in die USA zahlen.

Die Pressemitteilung des European Data Protection Board (EDPB):
1.2 billion euro fine for Facebook as a result of EDPB binding decision

Brussels, 22 May - Following the EDPB’s binding dispute resolution decision of 13 April 2023, Meta Platforms Ireland Limited (Meta IE) was issued a 1.2 billion euro fine following an inquiry into its Facebook service, by the Irish Data Protection Authority (IE DPA). This fine, which is the largest GDPR fine ever, was imposed for Meta’s transfers of personal data to the U.S. on the basis of standard contractual clauses (SCCs) since 16 July 2020. Furthermore, Meta has been ordered to bring its data transfers into compliance with the GDPR.

Andrea Jelinek, EDPB Chair, said: “The EDPB found that Meta IE’s infringement is very serious since it concerns transfers that are systematic, repetitive and continuous. Facebook has millions of users in Europe, so the volume of personal data transferred is massive. The unprecedented fine is a strong signal to organisations that serious infringements have far-reaching consequences.”

In its binding decision of 13 April 2023, the EDPB instructed the IE DPA to amend its draft decision and to impose a fine on Meta IE. Given the seriousness of the infringement, the EDPB found that the starting point for calculation of the fine should be between 20% and 100% of the applicable legal maximum. The EDPB also instructed the IE DPA to order Meta IE to bring processing operations into compliance with Chapter V GDPR, by ceasing the unlawful processing, including storage, in the U.S. of personal data of European users transferred in violation of the GDPR, within 6 months after notification of the IE SA’s final decision.

The IE DPA's final decision incorporates the legal assessment expressed by the EDPB in its binding decision, adopted on the basis of Art. 65(1)(a) GDPR after the IE DPA, as lead supervisory authority (LSA), had triggered a dispute resolution procedure concerning the objections raised by several concerned supervisory authorities (CSAs). Among others, CSAs issued objections aiming to include an administrative fine and/or an additional order to bring processing into compliance*.

The final decision taken by the IE DPA is available in the Register for Decisions taken by supervisory authorities and courts on issues handled in the consistency mechanism.



BfDI: Bundesbeauftragter für Datenschutz hat dem Bundespresseamt den Betrieb der Facebook Fanpage der Bundesregierung untersagt

Der Bundesbeauftragter für Datenschutz (BfDI) hat dem Bundespresseamt den Betrieb der Facebook Fanpage der Bundesregierung untersagt.

Die Pressemitteilung des BfDI:
BfDI untersagt Betrieb der Fanpage der Bundesregierung
Der BfDI, Professor Ulrich Kelber, hat das Bundespresseamt (BPA) angewiesen, den Betrieb der Facebook Fanpage der Bundesregierung einzustellen. Ein entsprechendes Schreiben hat der BfDI zu Beginn der Woche versendet. Das BPA hat ab Erhalt des Bescheids vier Wochen Zeit diesen umzusetzen.

Der BfDI sagte dazu: „Ich habe lange darauf hingewiesen, dass der Betrieb einer Facebook Fanpage nicht datenschutzkonform möglich ist. Das zeigen unsere eigenen Untersuchungen und das Kurzgutachten der Datenschutzkonferenz. Alle Behörden stehen in der Verantwortung, sich vorbildlich an Recht und Gesetz zu halten. Dies ist nach dem Ergebnis meiner Prüfungen beim Betrieb einer Fanpage wegen der umfassenden Verarbeitung personenbezogener Daten der Nutzenden aktuell unmöglich. Ich finde es wichtig, dass der Staat über soziale Medien erreichbar ist und Informationen teilen kann. Das darf er aber nur, wenn die Grundrechte der Bürgerinnen und Bürger gewahrt bleiben.“

Da sich insbesondere die Interessen von Betreibenden von Fanpages und von Meta ergänzen, besteht nach Einschätzung des BfDI eine gemeinsame Verantwortlichkeit für die Verarbeitung der bei Nutzung der Fanpage erhobenen personenbezogenen Daten. Das BPA muss als Verantwortlicher nachweisen können, dass die Grundsätze des Datenschutzrechts eingehalten werden. Einen solchen Nachweis konnte das BPA im Verfahren nicht zur aufsichtsbehördlichen Überzeugung erbringen. Der BfDI kritisiert insbesondere, dass es nach seiner Begutachtung hier bislang an einer wirksamen Rechtsgrundlage für die Datenverarbeitung fehlt. Außerdem muss nach dem Telekommunikation-Telemedien-Datenschutz-Gesetz für die Verwendung nicht unbedingt erforderlicher Cookies und ähnlicher Trackingtechnologien eine Einwilligung eingeholt werden. Im Falle der Facebook Fanpages wird eine solche Einwilligung jedoch nach Ergebnis der aufsichtsbehördlichen Prüfungen derzeit nicht wirksam eingeholt.

Das BPA hat die Möglichkeit innerhalb eines Monats gegen den Bescheid des BfDI zu klagen.


EuGH: Zivilrechtliche und verwaltungsrechtliche Rechtsbehelfe bzw. Ansprüche der DSGVO schließen einander nicht aus und können parallel geltend gemacht werden

EuGH
Urteil vom 12.01.2023
C-132/21
Nemzeti Adatvédelmi és Információszabadság Hatóság


Der EuGH hat entschieden, dass sich zivilrechtliche und verwaltungsrechtliche Rechtsbehelfe bzw. Ansprüche der DSGVO einander nicht ausschließen und parallel geltend gemacht werden können.

Die Pressemitteilung des Gerichts:
Die in der Datenschutz-Grundverordnung vorgesehenen verwaltungs- und zivilrechtlichen Rechtsbehelfe können nebeneinander und unabhängig voneinander eingelegt werden

Es obliegt den Mitgliedstaaten, dafür zu sorgen, dass die parallele Einlegung dieser Rechtsbehelfe die gleichmäßige und einheitliche Anwendung dieser Verordnung nicht beeinträchtigt.

Im April 2019 nahm BE an der Hauptversammlung einer Aktiengesellschaft teil, deren Aktionär er ist, und richtete bei dieser Gelegenheit Fragen an die Mitglieder des Verwaltungsrats und an andere Teilnehmer. Im Anschluss forderte er die Gesellschaft auf, ihm den während der Hauptversammlung aufgezeichneten Tonmitschnitt zu übermitteln. Die Gesellschaft stellte ihm jedoch nur die Abschnitte der Aufzeichnung zur Verfügung, die seine eigenen Beiträge wiedergaben, nicht aber jene der anderen Teilnehmer, selbst wenn es sich hierbei um die Antworten auf seine Fragen handelte.

BE beantragte daraufhin bei der nach der Allgemeinen Datenschutzverordnung (DSGVO) zuständigen ungarischen Aufsichtsbehörde, der Gesellschaft aufzugeben, ihm die fragliche Aufzeichnung zu übermitteln. Da die Behörde seinen Antrag ablehnte, erhob BE eine verwaltungsrechtliche Klage gegen die ablehnende Entscheidung beim Hauptstädtischen Stuhlgericht Budapest. Parallel dazu erhob er auch bei den ungarischen Zivilgerichten eine Klage gegen die Entscheidung der Gesellschaft über die Verweigerung des Zugangs. Diese Klage stützte sich auf eine Bestimmung der DSGVO, die jeder Person, die der Ansicht ist, dass die ihr durch diese Verordnung garantierten Rechte verletzt wurden, das Recht auf einen wirksamen gerichtlichen Rechtsbehelf verleiht. Das erste dieser Verfahren ist noch anhängig; die im zweiten Verfahren angerufenen ungarischen Zivilgerichte stellten jedoch bereits in einem rechtskräftig gewordenen Urteil fest, dass die Gesellschaft das Recht von BE auf Zugang zu seinen personenbezogenen Daten verletzt habe.

Das Hauptstädtische Stuhlgericht Budapest fragt den Gerichtshof, ob es im Rahmen der Überprüfung der Rechtmäßigkeit der Entscheidung der nationalen Aufsichtsbehörde an das rechtskräftige Urteil der Zivilgerichte gebunden sei, das sich auf denselben Sachverhalt und dieselbe Behauptung eines Verstoßes gegen die DSGVO durch die betreffende Gesellschaft beziehe. Da eine parallele Einlegung von verwaltungs- und zivilrechtlichen Rechtsbehelfen zu einander widersprechenden Entscheidungen führen könne, möchte das ungarische Gericht außerdem wissen, ob einer der Rechtsbehelfe gegenüber dem anderen Vorrang habe.

Der Gerichtshof erinnert daran, dass die DSGVO Personen, die einen Verstoß gegen deren Bestimmungen geltend machen, verschiedene Rechtsbehelfe bietet, wobei jeder dieser Rechtsbehelfe „unbeschadet“ der anderen eingelegt werden können muss. Somit sieht die Verordnung weder eine vorrangige oder ausschließliche Zuständigkeit noch einen Vorrang der Beurteilung der Aufsichtsbehörde oder eines Gerichts zum Vorliegen einer Verletzung der betreffenden Rechte vor. Folglich können die in der DSGVO vorgesehenen verwaltungs- und zivilrechtlichen Rechtsbehelfe nebeneinander und unabhängig voneinander eingelegt werden.

Was die Gefahr einander widersprechender Entscheidungen der betroffenen nationalen Verwaltungsbehörden und Gerichte betrifft, betont der Gerichtshof, dass es den Mitgliedstaaten obliegt, durch den Erlass der hierfür erforderlichen Verfahrensvorschriften und in Ausübung ihrer Verfahrensautonomie sicherzustellen, dass die in der DSGVO nebeneinander und unabhängig voneinander vorgesehenen Rechtsbehelfe weder die praktische Wirksamkeit und den effektiven Schutz der durch diese Verordnung garantierten Rechte noch die gleichmäßige und einheitliche Anwendung ihrer Bestimmungen oder das Recht auf einen wirksamen Rechtsbehelf bei einem Gericht in Frage stellen.


Den Volltext der Entscheidung finden Sie hier: