Skip to content

OLG Köln: Zu den Grenzen der journalistischen Recherche - Keine Anwendung der DSGVO wegen des Medienprivilegs im Rundfunkstaatsvertrag

OLG Köln
Beschluss vom 18.07.2019
15 W 21/19


Das OLG Köln hat sich in dieser Entscheidung mit den Grenzen der Zulässigkeit journalistischen Recherche befasst. Das OLG Köln führt dabei auch aus, das die Vorgaben der DSGVO wegen des Medienprivilegs im Rundfunkstaatsvertrag nicht anzuwenden sind.

Heimliche Aufnahmen in psychiatrischer Klinik - Grenzen der journalistischen Recherche / Keine Anwendung der DSGVO wegen des Medienprivilegs im Rundfunkstaatsvertrag

Verdeckt erlangtes Ton- und Filmmaterial kann einen Unterlassungsanspruch begründen, auch wenn es nicht gesendet wird. Bereits die Weitergabe an Dritte kann das allgemeine Persönlichkeitsrecht verletzen und Straftatbestände erfüllen. Dies hat der 15. Zivilsenat des Oberlandesgerichts Köln in einem Beschluss vom 18.07.2019 ausgeführt.

Die Entscheidung erging im Zusammenhang mit einer Recherche für das TV-Format "Team Wallraff". Geklagt hatte ein seit früher Jugend unter einer Autismus-Störung leidender Patient einer geschlossenen psychiatrischen Klinik. Eine Journalistin (Beklagte zu 1) hatte sich im Auftrag der Produktionsfirma (Beklagte zu 2) mit dem Ziel einer verdeckten Recherche unter einem falschen Namen als Praktikantin in der Klinik anstellen lassen. Während ihres Praktikums fertigte sie in umstrittenem Umfang heimliche Ton- und Filmaufnahmen u.a. auch von dem Kläger. Am 18.03.2019 strahlte der Fernsehsender RTL eine Reportage über Zustände in psychiatrischen Kliniken in Deutschland aus. Ton- und Bildaufnahmen des Klägers waren nicht Teil dieser Sendung.

Die Parteien haben ursprünglich über den Antrag des Klägers gestritten, dass die ihn betreffenden Aufnahmen nicht verarbeitet oder verbreitet werden dürfen. Im Laufe des Verfahrens haben die Beklagten eidesstattliche Versicherungen vorgelegt, wonach das Material gelöscht worden war. Beide Parteien erklärten den Rechtsstreit daraufhin für erledigt, so dass nur noch über die Kosten zu entscheiden war. Hierbei ist vorgesehen, dass das Gericht in einer "summarischen Prüfung" die Erfolgsaussichten der Klage beurteilt.

Der 15. Zivilsenat des Oberlandesgerichts Köln hat entschieden, dass die Beklagten die Verfahrenskosten zu tragen haben. Ohne Löschung des Materials hätten sie den Rechtsstreit voraussichtlich verloren, auch wenn gar keine Veröffentlichung des Materials beabsichtigt gewesen wäre. Die Journalistin habe bereits durch die Aufnahmen bzw. die Weitergabe des Materials an die Produktionsfirma die Straftatbestände der §§ 201 Abs. 1 Nr. 2, 201 a Abs. 1 Nr. 3 StGB sowie 203 Abs. 4 S. 1 StGB verwirklicht.

Durch die Aufnahmen sei der höchstpersönliche Lebensbereich des Klägers verletzt worden. Auch eine zum Schein in die Klinik eingeschleuste Praktikantin sei eine sog. mitwirkende Person i.S.d. § 201 Abs. 4 S. 1, Abs. 3 S. 1 StGB. Die Produktionsfirma könne zwar selbst keine Straftatbestände verwirklichen, sie hafte zivilrechtlich aber über § 31 BGB.

Der Senat hat ausgeführt, dass investigative Recherchen von Journalisten grundsätzlich gerechtfertigt sein können. Dies sei der Fall, wenn bei gebotener Abwägung der widerstreitenden Interessen unter Beachtung der Schutzwürdigkeit der Dritten "erhebliche Missstände" sonst nicht aufzudecken wären und die berechtigten Interessen Dritter daher jedenfalls im Stadium der Recherche zurücktreten müssen. Für eine Rechtfertigung im vorliegenden Fall hätten die Beklagten aber nicht genügend vorgetragen.

Schließlich sieht der Senat keinen sich aus der Datenschutzgrundverordnung (DSGVO) ergebenden Unterlassungsanspruch. Art. 9 DSGVO finde bei einer Verarbeitung zu "journalistischen Zwecken" durch von privaten Rundfunkveranstaltern und deren "Hilfs- und Beteiligungsunternehmen" damit "befassten" Personen gemäß § 9 c Abs. 1 S. 4 bis 6 RStV keine Anwendung ("Medienprivileg").

Gegen den Beschluss sieht die ZPO kein Rechtsmittel vor.

Beschluss des Oberlandesgerichts Köln gem. § 91a BGB vom 18.07.2019 - Az. 15 W 21/19.




OVG Lüneburg: Auskunftsanspruch nach Art. 15 Abs. 1 DSGVO ist höchstpersönliches Recht und gehört nicht zur Insolvenzmasse

OVG Lüneburg
Beschluss vom 26.06.2019
11 LA 274/1


Das OVG Lüneburg hat entschieden, dass der Auskunftsanspruch nach Art. 15 Abs. 1 DSGVO ein höchstpersönliches Recht ist und nach Insolvenzeröffnung nicht zur Insolvenzmasse gehört. Der Anspruch kann daher nicht vom Insolvenzverwalter geltend gemacht werden.

Aus den Entscheidungsgründen:

"a) Die für die Geltendmachung eines Auskunftsanspruchs nach Art. 15 Abs. 1 DS-GVO erforderlichen Voraussetzungen liegen in der Person des Klägers nicht vor, weil er nicht „Betroffener“ im Sinne dieser Vorschrift ist. Nach der in Art. 4 Nr. 1 DS-GVO enthaltenen Begriffsbestimmung ist eine „betroffene Person“ diejenige identifizierte oder identifizierbare natürliche Person, auf die sich personenbezogene Daten beziehen. Die Bedeutung dieses Begriffs ergibt sich somit implizit aus der Begriffsbestimmung für personenbezogene Daten (Klabunde, in: Ehmann/Selmayr, DS-GVO, 2. Aufl. 2018, Art. 4, Rn. 12). Danach ist die betroffene Person diejenige, die davor zu schützen ist, dass sie durch den Umgang mit ihren personenbezogenen Daten in ihrem Persönlichkeitsrecht beeinträchtigt wird (Schild, in: Wolff/Brink, BeckOK Datenschutzrecht, Stand: 1.2.2019, DS-GVO, Art. 4, Rn. 28). Das Auskunftsrecht steht somit nur dem Betroffenen zu und beschränkt sich auf die zu seiner Person gespeicherten Daten (vgl. Ambs, in: Erbs/Kohlhaas, Strafrechtliche Nebengesetze, Stand: Jan. 2019, BDSG 2003, § 19, Rn. 1 a, bzgl. des Auskunftsanspruchs nach § 19 BDSG 2003). Demgegenüber ist es nicht darauf ausgerichtet, dass potenzielle „Dritte“ (vgl. zu diesem Begriff die Legaldefinition in Art. 4 Nr. 10 DS-GVO) Informationen über die bei staatlichen Stellen vorhandenen Daten erlangen (vgl. Schaffland/Holthaus, in: Schaffland/Wiltfang, DS-GVO/BDSG, Stand: Mai 2019, DS-GVO, Art. 15, Rn. 1 a, sowie OVG Hamburg, Urt. v. 8.2.2018 - 3 Bf 107/17 -, NordÖR 2018, 336, juris, Rn. 36). „Schutzsubjekt“ i.S.v. Art. 15 Abs. 1 DS-GVO ist vielmehr ausschließlich die betroffene Person und sind nicht potenzielle „Dritte“ (Senatsurt. v. 20.6.2019 - 11 LC 121/17 -, juris).

Davon ausgehend sind die vom Kläger von dem Beklagten begehrten Auskünfte weder vom Wortlaut noch vom Schutzbereich des Art. 15 Abs. 1 DS-GVO umfasst. Denn der Kläger begehrt nicht Auskunft über seine eigenen personenbezogenen Daten, sondern in Bezug auf die bei dem Beklagten im Steuerkonto des Insolvenzschuldners C. F. unter dessen Steuernummer H. gespeicherte Daten. Der Kläger ist daher weder „Betroffener“ i.S.v. Art. 15 Abs. 1 DS-GVO (vgl. OVG Hamburg, Urt. v. 8.2.2018 - 3 Bf 107/17 -, a.a.O., juris, Rn. 36; Rosenke, in: Pfirrmann/Rosenke/Wagner, BeckOK AO, Stand: 1.4.2019, § 32 c, Rn. 64 f.; BSG, Beschl. v. 4.4.2012 - B 12 SF 1/10 R -, juris, Rn. 12; VG Hannover, Urt. v. 12.12.2017 - 10 A 2866/17 -, juris, Rn. 25), noch „Schutzsubjekt“ dieser Vorschrift.

b) Das datenschutzrechtliche Auskunftsrecht des Betroffenen nach Art. 15 Abs. 1 DS-GVO geht auch nicht durch die Eröffnung des Insolvenzverfahrens auf den Insolvenz-verwalter über. Gemäß § 80 Abs. 1 InsO geht durch die Eröffnung des Insolvenzverfahrens das Recht des Schuldners, das zur Insolvenzmasse gehörende Vermögen zu verwalten und über es zu verfügen, auf den Insolvenzverwalter über. Zur Insolvenzmasse zählendes Vermögen i.S.v. § 80 Abs. 1, § 35 Abs. 1 InsO sind allerdings nur die einer Person zustehenden geldwerten Rechte. Gegenstände und Rechte, deren Pfandverwertung nicht zur Befriedigung des Geldanspruchs der Gläubiger führen kann, verkörpern keinen Vermögenswert, unterliegen nicht der Zwangsvollstreckung und gehören gemäß § 36 Abs. 1 InsO nicht zur Insolvenzmasse. Danach unterliegen insbesondere Güter des höchstpersönlichen Bereichs nicht der Zwangsvollstreckung (vgl. nur BVerwG, Beschl. v. 15.11.2018 - 6 B 147/18 -, juris, Rn. 4; Ott/Vuia, in: Münchener Kommentar zur InsO, Bd. 2, 3. Aufl. 2013, § 80, Rn. 44; Hirte, in: Uhlenbruck, InsO, 15. Aufl. 2019, § 35 Rn. 17; Sternal, in: K. Schmidt, InsO, 19. Aufl. 2016, § 80, Rn. 8). Höchstpersönliche Rechte des Schuldners sind untrennbar mit der Person des Schuldners verknüpft und somit einer von der Person des Schuldners losgelösten Verwertung nicht zugänglich. Soweit die Persönlichkeitsrechte dem Schutz ideeller Interessen dienen, sind sie unauflöslich an die Person ihres Trägers gebunden und als höchstpersönliche Rechte unverzichtbar, unveräußerlich, nicht übertragbar und grundsätzlich nicht vererblich (Hirte/Praß, in: Uhlenbruck, a.a.O., § 35, Rn. 17, m.w.N.). Dementsprechend fallen das allgemeine Persönlichkeitsrecht sowie seine besonderen Ausgestaltungen wie das Recht am eigenen Bild, Namensrechte und vergleichbare Rechte, die in erster Linie ideellen Interessen des Schuldners dienen, aufgrund des grundrechtlich gewährleisteten Schutzes der Menschenwürde und der Selbstbestimmung nicht in die Insolvenzmasse (Jilek, in Fridgen/Geiwitz/Göpfert, BeckOK InsO, Stand: 28.1.2019, § 35, Rn. 55; Hirte/Praß, in: Uhlenbruck, a.a.O., § 35, Rn. 17; Büteröwe, in: K. Schmidt, a.a.O., § 35, Rn. 36). Besteht ein Recht aus einer Kombination von vermögens- und personenrechtlichen Elementen (wie z.B. bei Urheberrechten, Geschmacksmustern, Patenten sowie Lizenzen), ist im Einzelfall abzuwägen und abzugrenzen, ob die Vermögensbezogenheit oder die Personbezogenheit im Vordergrund steht (Hirte/Praß, in: Uhlenbruck, a.a.O., § 35, Rn. 14; Ott/Vuia, in: Münchener Kommentar, a.a.O., § 80, Rn. 44, jeweils m.w.N.).

Davon ausgehend ist der datenschutzrechtliche Auskunftsanspruch nach Art. 15 Abs. 1 DS-GVO ein höchstpersönliches Recht des Betroffenen (so auch Rosenke, in: Pfirrmann/Rosenke/Wagner, a.a.O., § 32 c, Rn. 64). Auch wenn dieser Auskunftsanspruch - insbesondere für den Insolvenzverwalter bzw. die von ihm zu bedienenden Gläubiger - mittelbar auch vermögensrelevante Auswirkungen haben kann (vgl. OVG Hamburg, Urt. v. 8.2.2018 - 3 Bf 107/17 -, a.a.O., juris, Rn. 37), steht aufgrund seines Schutzzwecks, seiner Grundrechtsbezogenheit und seiner fundamentalen Bedeutung zur Durchsetzung des Rechts auf informationelle Selbstbestimmung der Schutz ideeller Interessen und damit die Personbezogenheit im Vordergrund. Der Auskunftsanspruch nach Art. 15 Abs. 1 DS-GVO ist daher kein Annex eines Vermögensrechts, sondern ein ausschließlich dem Betroffenen - hier dem Schuldner - höchstpersönlich zustehendes Recht. Der Auskunftsanspruch gehört somit nach § 36 Abs. 1 Satz 1 InsO nicht zur Insolvenzmasse und ist folglich auch vom Übergang des Verwaltungs- und Verfügungsrechts nach § 80 Abs. 1 InsO auf den Insolvenzverwalter nicht erfasst (vgl. dazu ausführlich: Senatsurt. v. 20.6.2019 - 11 LC 121/17 -, juris)."


Den Volltext der Entscheidung finden Sie hier:

BVerwG legt EuGH Fragen zur Auslegung von Art. 23 Abs. 1 Buchst. j und e DSGVO vor

BVerwG
Beschluss vom 04. Juli 2019
7 C 31.17


Das BVerwG hat dem EuGH Fragen zur Auslegung von Art. 23 Abs. 1 Buchst. j und e DSGVO vorgelegt.

Die Pressemitteilung des Bundesverwaltungsgerichts:

EuGH-Vorlage zum Informationszugang von Insolvenzverwaltern zu steuerlichen Daten der Finanzbehörden
Das Bundesverwaltungsgericht in Leipzig hat dem Gerichtshof der Europäischen Union (EuGH) mit Beschluss vom heutigen Tage Fragen zur Auslegung von Art. 23 Abs. 1 Buchst. j und e der Datenschutz- Grundverordnung (DSGVO) vorgelegt.


Im zugrunde liegenden Rechtsstreit begehrt ein Insolvenzverwalter gestützt auf das Informationsfreiheitsgesetz des Landes Nordrhein-Westfalen vom zuständigen Finanzamt Zugang zu steuerlichen Daten der Insolvenzschuldnerin. Das Finanzamt lehnte den Antrag ab; vor dem Verwaltungsgericht und dem Oberverwaltungsgericht hatte der Kläger Erfolg. Hiergegen wendet sich das beklagte Land mit seiner vom Oberverwaltungsgericht zugelassenen Revision.


Während des Revisionsverfahrens ist im Zusammenhang mit dem Inkrafttreten der Datenschutz-Grundverordnung und dadurch erforderlicher Anpassungen des nationalen Rechts auch die Abgabenordnung geändert worden; die Neuregelungen sind vorliegend zu berücksichtigen. Im Fokus stehen nunmehr u.a. die Vorschrift des § 32e AO, die das Verhältnis zu den Ansprüchen auf Informationszugang nach den Informationsfreiheitsgesetzen des Bundes und der Länder regelt, und der - auf Art. 23 Abs. 1 Buchst. j DSGVO gestützte - Ausschlusstatbestand des § 32c Abs. 1 Nr. 2 AO. Eine Anpassung der Abgabenordnung ist zwar nur für die datenschutzrechtlichen (Auskunfts-)Ansprüche natürlicher Personen unionsrechtlich gefordert. Angesichts des Regelungsziels des nationalen Gesetzgebers, ein einheitliches Steuerverfahrensrecht für alle Steuerschuldner und Steuerarten zu schaffen und diesem auch die Ansprüche auf Informationszugang zu unterstellen, scheidet eine „gespaltene“ Auslegung dieser Vorschriften für dem Unionsrecht unterfallende Sachverhalte einerseits und diesem nicht unterfallende Sachverhalte andererseits aber aus. Zur Gewährleistung einer einheitlichen Auslegung von Unionsrecht ist das Verfahren daher auszusetzen und dem EuGH zur Klärung der Fragen vorzulegen, ob Art. 23 Abs. 1 Buchst. j DSGVO auch dem Schutz der Interessen von Finanzbehörden dient, die „Durchsetzung zivilrechtlicher Ansprüche“ im Sinne dieser Vorschrift auch die Verteidigung der Finanzbehörden gegen zivilrechtliche Insolvenzanfechtungsansprüche bzw. deren Geltendmachung erfasst, oder eine Beschränkung des Auskunftsrechts nach Art. 15 DSGVO zu diesem Zweck auf Art. 23 Abs. 1 Buchst. e DSGVO gestützt werden kann.


Beschluss vom 04. Juli 2019 - BVerwG 7 C 31.17 -

Vorinstanzen:

OVG Münster, 15 A 29/17 - Urteil vom 14. September 2017 -

VG Köln, 13 K 5152/15 - Urteil vom 01. Dezember 2016 -




LG Stuttgart: Verstoß gegen DSGVO kein abmahnfähiger Wettbewerbsverstoß - Sanktionssystem der DSGVO ist abschließend

LG Stuttgart
Urteil vom 20.05.2019
35 O 68/18 KfH


Das LG Stuttgart hat entschieden, dass ein Verstoß gegen die Vorgaben der DSGVO kein abmahnfähiger Wettbewerbsverstoß ist. Nach Ansicht des LG Stuttgart ist das Sanktionssystem der DSGVO abschließend.

Aus den Entscheidungsgründen:

Beim Hauptantrag steht einem Anspruch aus § 8 Abs. 1 UWG i.V.m. §§ 3, 3a UWG entgegen, dass § 13 TMG aufgrund der seit dem 25.05.2018 geltenden VO (EU) 2016/679 (Datenschutzgrundverordnung) keinen Anwendungsbereich mehr hat. Da es sich um eine Verordnung i.S.d. Art. 288 Abs. 2 AEUV handelt, hat diese unmittelbare Geltung in allen Mitgliedesstaaten mit der Folge, dass nationale Regelungen vollständig verdrängt werden, soweit sie in den Anwendungsbereich des europäischen Rechts fallen. Dies ist für die Regelung des § 13 Abs. 1 TMG anzunehmen, nachdem auch Art. 13 VO (EU 2016/679) Regelungen zu Informationspflichten bei der Erhebung von personenbezogenen Daten enthält (vgl. auch Hullen/Roggenkamp in: Plath, DSGVO/BDSG, 3. Aufl., § 13 TMG Rn. 3). Daher konnte der Beklagte am 16.07.2018 nicht mehr gegen § 13 TMG verstoßen.

2. Beim Hilfsantrag steht einem Anspruch aus § 8 Abs. 1 UWG i.V.m. §§ 3, 3a UWG entgegen, dass die Datenschutzgrundverordnung die Sanktionen der Verstöße abschließend regelt und der Kläger danach nicht berechtigt ist, Unterlassungsansprüche geltend zu machen.

a) Die Frage, ob die Datenschutzgrundverordnung eine abschließende Regelung der Sanktionen enthält, ist streitig und höchstrichterlich noch nicht geklärt (dafür insbesondere LG Magdeburg v. 18.01.2019 - 36 O 48/18; LG Wiesbaden v. 05.11.2018 - 5 O 214/18; Köhler in: Köhler/Bornkamm/Feddersen, UWG, 37. Aufl., § 3a UWG Rn. 1.40a; Lettl, WRP 2019, 289, dagegen insbesondere OLG Hamburg v. 25.10.2018 - 3 U 66/17, ohne dass es allerdings auf die Frage ankam; vgl. auch Schmidt, WRP2019, 27).

b) Das Gericht schließt sich der Auffassung an, dass die Datenschutzgrundverordnung abschließend ist.

aa) Hierfür spricht, dass die Datenschutzgrundverordnung eine detaillierte Regelung der Sanktionen enthält. Nach Art. 57 VO (EU) 2016/679 ist die Durchsetzung Aufgabe der Aufsichtsbehörden. Hinzukommen in den Art. 77 ff. VO (EU) 2016/679 Regelungen über Rechtsbehelfe. Nach Art. 79 VO (EU) 2016/679 hat jede betroffene Person, also die Person, in deren Datenschutzrechte vermeintlich eingegriffen wurde, das Recht auf einen wirksamen gerichtlichen Rechtsbehelf. Die Vertretung der Betroffenen ist in Art. 80 VO (EU) 2016/679 geregelt. Nach dem Absatz 1 kann die betroffene Person bestimmte Einrichtungen mit der Durchsetzung ihrer Rechte beauftragen. Darüber hinaus können die Mitgliedsstaaten nach dem Absatz 2 vorsehen, dass bestimmte Einrichtungen die Rechte auch ohne einen Auftrag im Sinne von Absatz 1 durchsetzen. Hierdurch kommt zum Ausdruck, dass der europäische Gesetzgeber eine eigenmächtige Verfolgung von Verstößen durch Dritte nur zulassen will, wenn die in der Norm genannten Voraussetzungen erfüllt sind und der nationale Gesetzgeber dies geregelt hat. Mit Blick auf diese konkrete Regelung kann man auch nicht annehmen, dass die Klagebefugnis Dritter aus den Bestimmungen des Art. 82 bzw. Art. 84 VO (EU) 2016/679 folgt (so auch Köhler in: Köhler/Bomkamm/Feddersen, UWG, 37. Aufl., § 3a UWG Rn. 1.40e). Wenn der europäische Gesetzgeber mit den Vorschriften eine weitergehende Klagebefugnis Dritter hätte regeln wollen, dann hätte es der Regelung in Art. 80 Abs. 2 VO (EU) 2016/679 nicht bedurft.

bb) Wenn aber in der Datenschutzgrundverordnung eine abschließende Regelung erfolgt ist, so kann man eine Durchsetzung über das UWG auch nicht mit einer anderen Zielrichtung des Wettbewerbsrechts begründen (BGH v. 07.02.2006 - KZR 33/04 - Probeabonnement; so aber OLG Hamburg v. 25.10.2018 - 3 U 66/17). Andernfalls würde die differenzierte Regelung in der Datenschutzgrundverordnung konterkariert werden, was mit dem Vorrang europäischen Rechts nicht in Einklang gebracht werden kann. Dies gilt umso mehr, als die Datenschutzgrundverordnung gar keine wettbewerbsschützende Zielrichtung hat. Zwar dient sie nach Art. 1 Abs. 1 VO (EU) 2016/679 dem Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten. Der Schutz erfolgt aber nicht aufgrund der Eigenschaft als Verbraucher sondern unabhängig davon.

Der deutsche Gesetzgeber hat von der Ermächtigung in Art. 80 Abs. 2 VO (EU) 2016/679 keinen Gebrauch gemacht (vgl. auch Köhler in. Köhler/Bornkamm/Feddersen, UWG, 37. Aufl., § 2 UklaG Rn. 29e). Dafür, dass es dem Willen des Gesetzgebers entspricht, die Bestimmung des § 8 Abs. 3 Nr. 2 UWG als Umsetzung der Datenschutzgrundverordnung anzusehen, gibt es keine Anhaltspunkte. Das Gesetz zur Anpassung des Datenschutzrechts an die Verordnung (BGBl. I 2017, 2097) enthält hierzu keine Ausführungen. Zudem ist die Ermächtigung in Art. 80 Abs. 2 VO (EU) 2016/679 auch enger als § 8 Abs. 3 Nr. 2 UWG. Nach der europäischen Bestimmung muss die Einrichtung im Bereich des Schutzes der Rechte und Freiheiten von betroffenen Personen in Bezug auf den Schutz ihrer personenbezogenen Daten tätig sein. Diese Voraussetzung kennt § 8 Abs. 3 Nr. 2 UWG nicht.

3. Aufgrund der abschließenden Regelung der Datenschutzgrundverordnung stehen dem Kläger auch keine Unterlassungsansprüche nach dem UKIaG zu. Insoweit gilt das zum UWG Gesagte entsprechend (so auch Köhler in: Köhler/Bornkamm/Feddersen, UWG, 37. Aufl., § 2 UklaG Rn. 29e). Zwar nennt § 2 Abs. 1 Nr. 11 UKIaG ausdrücklich Vorschriften, die die Zulässigkeit der Erhebung personenbezogener Daten regeln. Die Bestimmung wurde aber lange vor der Datenschutzgrundverordnung in das Gesetz aufgenommen. Auch insoweit kann nicht angenommen werden, dass es dem Willen des Gesetzgebers entspricht, die Bestimmung des § 3 Abs. 1 Nr. 2 UKIaG als Umsetzung der Datenschutzgrundverordnung anzusehen, nachdem die weiteren Voraussetzungen des Art. 80 Abs. 2 VO (EU 2016/679) keine Berücksichtigung finden.



LG Köln: Auskunftsanspruch nach Art. 15 Abs. 1 DSGVO dient nicht der vereinfachten Buchführung des Betroffenen sondern Beurteilung von Umfang und Inhalt der gespeicherten personenbezogenen Daten

LG Köln
Teilurteil vom 18.03.2019
26 O 25/18


Das LG Köln hat sich in dieser Entscheidung mit der Reicheite des Auskunftsanspruchs nach Art. 15 Abs.1 DSGVO befasst. Das Gericht führt aus, dass der Auskunftsanspruch nicht der vereinfachten Buchführung des Betroffenen dienen soll. Vielmehr sollen der Betroffene in die Lage versetzt werden, den Umfang und Inhalt der gespeicherten personenbezogenen Daten zu beruteilen.

Aus den Entscheidungsgründen:

2. Hinsichtlich des Auskunftsanspruchs (Klageantrag Ziffer 1) ist die Klage aber unbegründet. Ein weitergehender Auskunftsanspruch steht der Klägerin nicht zu, nachdem die Beklagte während des Prozesses wiederholt Auskünfte erteilt hat und der Rechtsstreit insoweit übereinstimmend für erledigt erklärt wurde.

Gemäß Art. 15 Abs. 1 DS-GVO steht der betroffenen Person ein umfassender Anspruch auf Auskunft über verarbeitete sie betreffende personenbezogene Daten sowie weitere Informationen zu. Die Information muss u.a. auch die Verarbeitungszwecke (Ziffer a)), die Empfänger von Daten (Ziffer b)) und die geplante Dauer der Speicherung (Ziffer c)) enthalten. Gemäß Artikel 4 Nr. 1 DS-GVO sind „personenbezogene Daten“ in diesem Sinne alle Informationen, die sich auf identifizierte oder identifizierbare natürliche Personen beziehen. Eine „Verarbeitung von Daten“ stellt gemäß Artikel 4 Nr. 2 DS-GVO jeder Vorgang im Zusammenhang mit personenbezogenen Daten dar. Insofern ergibt sich ein umfassendes Auskunftsrecht bezogen auf die gespeicherten bzw. verarbeiteten personenbezogenen Daten. Dies beinhaltet Daten wie Namen oder Geburtsdatum genauso wie jegliche Merkmale, die die Identifizierbarkeit einer Person ermöglichen können, z.B. Gesundheitsdaten, Kontonummer usw. Nach diesen Grundsätzen und auf Grundlage der Erwägungsgründe stellen ärztliche Unterlagen, Gutachten oder sonstige vergleichbare Mitteilungen anderer Quellen ebenfalls „personenbezogene Daten“ dar. Nach der Auffassung der Kammer bezieht sich der Auskunftsanspruch aber nicht auf sämtliche internen Vorgänge der Beklagten, wie z.B. Vermerke, oder darauf, dass die betreffende Person sämtlichen gewechselten Schriftverkehr, der dem Betroffenen bereits bekannt ist, erneut ausgedruckt und übersendet erhalten kann (so das OLG Köln zu § 34 BDSG a.F., Beschluss vom 26.07.2018, 9 W 15/18). Rechtliche Bewertungen oder Analysen stellen insofern ebenfalls keine personenbezogenen Daten in diesem Sinne dar. Der Anspruch aus Art. 15 DS-GVO dient nicht der vereinfachten Buchführung des Betroffenen, sondern soll sicherstellen, dass der Betroffene den Umfang und Inhalt der gespeicherten personenbezogenen Daten beurteilen kann. Folgerichtig bestimmt Artikel 15 Abs. 3 DS-GVO, dass der Betroffene eine Kopie (lediglich) der personenbezogenen Daten, die Gegenstand der Verarbeitung sind, erhält. Vorliegend hat die Beklagte verschiedene Auskünfte und Informationen erteilt (u.a. Bl. 164 ff. d.A. = Anlage K 10; Bl. 234 d.A. = Anlage B 4, Bl. 359 ff. d.A. = SS vom 20.12.2018 nebst Anlage B 5) und angegeben, dass weitere personenbezogene Daten über die Klägerin nicht gespeichert seien bzw. verarbeitet wurden. Substantiierter Vortrag der Klägerin, welche Informationen seitens der Beklagten darüber hinaus noch verarbeitet worden seien könnten, ist nicht erfolgt. Insofern sind konkrete Anhaltspunkte, dass die Auskunft - nach Maßgabe der Rechtsauffassung der Kammer - unvollständig ist, nicht vorhanden. Aus den Auskünften der Beklagten ergeben sich vielmehr die personenbezogenen Daten sowie die sonstigen Informationen i.S.v. Art. 15 Abs. 1a)-h) wie Gruppen von personenbezogenen Daten, Erfassung der Daten, Speicherdauer usw..


Den Volltext der Entscheidung finden Sie hier:


LArbG Baden-Württemberg: Umfassender datenschutzrechtlicher Auskunftsanspruch nach § 15 DSGVO des Arbeitnehmers gegen Arbeitgeber - Abwägung mit Geheimhaltungsinteressen Dritter

LArbG Baden-Württemberg
Urteil vom 20.12.2018
17 Sa 11/18


Das LArbG Baden-Württemberg hat entschieden, dass ein umfassender datenschutzrechtlicher Auskunftsanspruch nach § 15 DSGVO des Arbeitnehmers gegen den Arbeitgeber besteht. Dem Anspruch können ggf. auch Geheimhaltungsinteressen Dritter entgegegengehalten werden. Es ist insofern aber eine umfassende Interessenabwägung vorzunehmen.

Aus den Entscheidungsgründen:

Maßgeblich für die nach objektiven Gesichtspunkten zu beurteilende Sachdienlichkeit ist der Gedanke der Prozesswirtschaftlichkeit, für den es entscheidend darauf ankommt, ob und inwieweit die Zulassung der Klageänderung zu einer sachgemäßen und endgültigen Erledigung des Streits zwischen den Parteien führt, der den Gegenstand des anhängigen Verfahrens bildet und einem andernfalls zu erwartenden weiteren Rechtsstreit vorbeugt (BAG, 14. Juni 2017 – 10 AZR 308/15, Rn. 39, juris). Dies ist vorliegend zu bejahen. Der Kläger änderte seinen Antrag im Hinblick auf die seit 25. Mai 2018 geltende Rechtslage nach der DS-GVO. Der früher in § 34 Abs. 1 S. 2 BDSG a.F. geregelte Auskunftsanspruch betroffener Personen ist seit dem 25. Mai 2018 in Art. 15 DSGVO geregelt. Der Sache nach begehrt der Kläger gegenüber seinem Arbeitgeber nach wie vor den bereits erstinstanzlich zunächst auf Basis von § 34 BDSG a.F. und später auf Grundlage von Art. 15 der DS-GVO geltend gemachten datenschutzrechtlichen Auskunftsanspruch. Die Klageänderung wird auch i.S.v. § 533 Nr. 2 ZPO auf Tatsachen gestützt, die das Berufungsgericht seiner Verhandlung und Entscheidung über die Berufung ohnehin nach § 529 ZPO zugrunde zu legen hatte. Zur Begründung des Anspruches wurden vom Kläger keine neuen Tatsachen in den Prozess eingeführt. Auch die Beklagte machte in der Ablehnung der geforderten Auskunft keine Gründe geltend, die nicht bereits zu dem bisherigen Auskunftsanspruch vorgebracht wurden. Damit liegt die nach § 533 Nr. 2 ZPO erforderliche kongruente Tatsachengrundlage vor.

Der Antrag ist auch bestimmt genug im Sinne von § 253 Abs. 2 Nr. 2 ZPO. Zwar ist der Beklagten zuzugeben, dass die Begriffe „Leistung“ und „Verhalten“ weder in Art. 15 DS-GVO genannt, noch in Art. 4 Nr. 1 DS-GVO legal definiert sind. Soweit der Kläger eine Auskunft der verarbeiteten und nicht in der Personalakte des Klägers gespeicherten personenbezogenen Leistungs- und Verhaltensdaten begehrt, ist der Antrag noch bestimmt genug. Gegenüber dem Anspruch auf Auskunft der personenbezogenen Daten handelt es sich um eine präzisierende Eingrenzung. Der Kläger kommt damit der Sollvorschrift aus der Erwägung 63 S. 7 zur DS-GVO nach und beschränkt seinen Auskunftsanspruch. Damit wird der Antrag näher spezifiziert – er beschreibt genauer, auf welche Bereiche er seine Auskunft erstreckt wissen will. Nicht in den Antrag aufgenommen werden können und müssen die eigentlichen personenbezogenen Daten, deren Auskunft begehrt wird. Es ist einem Auskunftsanspruch nach Art. 15 der DS-GVO immanent, dass der Anspruchssteller noch nicht die genauen Gegenstände seiner Auskunft kennt, die er erst einfordert. Eine weitere Konkretisierung ist dem Kläger nicht möglich, weil er nicht weiß, welche Daten die Beklagte über ihn verarbeitet.

D) Begründetheit der Anschlussberufung

Der Kläger hat einen Anspruch nach Art. 15 Abs. 1 der DS-GVO auf Erteilung der mit der Anschlussberufung geltend gemachten Auskünfte. Die DS-GVO findet unmittelbar Anwendung (1) und ist auf das Arbeitsverhältnis der Parteien anwendbar (2). Die Beklagte verarbeitet personenbezogene Daten über den Kläger (3), weshalb dieser sowohl die erweiterte Auskunft (4) nach Art. 15 Abs. 1 Halbsatz 2 DS-GVO als auch einen Anspruch auf Herausgabe einer Kopie (5) der Daten nach Art. 15 Abs. 3 Satz 1 DS-GVO hat. Diese Ansprüche sind im vorliegenden Fall auch nicht durch berechtigte Interessen Dritter eingeschränkt (6).

(1) Nach Art. 99 Abs. 2 DS-GVO gilt die DS-GVO seit dem 25. Mai 2018. Sie ist unmittelbar anwendbar. Die DS-GVO gilt gemäß Art. 288 AEUV unmittelbar in jedem Mitgliedsstaat der Union, ohne dass es einer weiteren Umsetzung durch nationales Recht bedarf.

(2) Der Auskunftsanspruch nach Art. 15 DS-GVO besteht auch in einem Arbeitsrechtsverhältnis. Die allgemeinen Bestimmungen der EU-DSGVO enthalten eine Vollregelung, auch zum Beschäftigtendatenschutz (Düwell/Brink, NZA 2016, 665). Die Mitgliedsstaaten sind jedoch gem. Art. 88 DS-GVO in bestimmten Grenzen befugt, spezifische nationale Vorschriften zum Beschäftigtendatenschutz zu erlassen.

(3) Die Beklagte verarbeitet personenbezogene Daten des Klägers.

a) Nach Art. 4 Nr. 1 DS-GVO sind personenbezogene Daten alle Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person („betroffene Person”) beziehen. Zur Verarbeitung gehört nach Art. 4 Nr. 2 DS-GVO insbesondere auch das Erheben, das Erfassen, die Organisation, das Ordnen, die Speicherung und die Verwendung. In einem Arbeitsverhältnis verarbeitet der Arbeitgeber zwangsläufig personenbezogene Daten der bei ihm beschäftigten Arbeitnehmer.

b) Dass die Beklagte personenbezogene Daten des Klägers verarbeitet, ergibt sich schon aus der Vielzahl der von den Parteien als Ausdrucke in diesem Rechtsstreit vorgelegten dienstlichen E-Mails, die der Kläger im Rahmen seines Arbeitsverhältnisses geschrieben, gesendet und empfangen hat. Jede einzelne vom Kläger geschriebene, gesendete und empfangene E-Mail enthält bereits personenbezogene Daten, nämlich Informationen, die sich auf den Kläger beziehen. Insofern ist der Einwand der Beklagten, sie würde außerhalb der Personalakte keine Negativlisten oder dergleichen über den Kläger führen, unerheblich.

(4) Der Kläger hat einen Anspruch auf Auskunftserteilung der personenbezogenen Leistungs- und Verhaltensdaten. Bei personenbezogenen Leistungs- und Verhaltensdaten handelt es sich um eine bestimmte Kategorie von personenbezogenen Daten im Sinne von Art. 15 Abs. 1 Hs. 2 b) DS-GVO i.V.m. Art 4 Nr. 1 DS-GVO. Der Auskunftsberechtigte ist nach Erwägungsgrund 63 S. 7 zur DS-GVO berechtigt, zu erklären, auf welche Informationen oder auf welche Verarbeitungsvorgänge sich das Auskunftsersuchen bezieht. Hiervon machte der Kläger Gebrauch und schränkte insoweit seinen zunächst umfassend bestehenden Auskunftsanspruch auf personenbezogene Leistungs- und Verhaltensdaten ein.

(5) Der Anspruch auf Herausgabe einer Kopie der Daten ergibt sich aus Art. 15 Abs. 3 Satz 1 DS-GVO.

(6) Die Ansprüche auf Auskunft und Herausgabe der personenbezogenen Leistungs- und Verhaltensdaten sind im vorliegenden Fall nicht durch berechtigte Interessen Dritter beschränkt.

a) Nach § 34 Abs. 1 i.V.m. § 29 Abs. 1 Satz 2 BDSG besteht das Recht auf Auskunft der betroffenen Person gemäß Artikel 15 der Verordnung (EU) 2016/679 (DS-GVO) nicht, soweit durch die Auskunft Informationen offenbart würden, die nach einer Rechtsvorschrift oder ihrem Wesen nach, insbesondere wegen der überwiegenden berechtigten Interessen eines Dritten, geheim gehalten werden müssen. Die Regelungen in § 34 Abs. 1 i.V.m. § 29 Abs. 1 und Abs. 2 BDSG beruhen auf der Öffnungsklausel des Art. 23 Abs. 1 lit. i DS-GVO, wonach Informations- und Benachrichtigungspflichten des Verantwortlichen bzw. das Auskunftsrecht betroffener Personen beschränkt werden können zum Schutz der betroffenen Person oder der Rechte und Freiheiten anderer Personen (BeckOK; DatenschutzR/Uwer, 26. Ed. 1.8.2018, BDSG § 29 Rn. 1).

Das Recht auf Erhalt einer Kopie wird gem. Art. 15 Abs. 4 DS-GVO durch Rechte und Freiheiten anderer Personen beschränkt (Gola DS-GVO/Franck, 2. Aufl. 2018, DS-GVO Art. 15 Rn. 33, 34). Es wird vertreten, dass sich diese Einschränkung nicht lediglich auf das in Art. 15 Abs. 4 DS-GVO geregelte Recht auf Erhalt einer Kopie beschränke, sondern auch den Auskunftsanspruch nach Art. 15 Abs. 1 DS-GVO erfasse (so Paal/Pauly/Paal, 2. Auflage 2018, DS-GVO, Art. 15 Rn. 41 – direkte Anwendung; BeckOK DatenschutR/Schmidt-Wudy, 25. Ed. Stand 01.08.2018, Art. 15 DS-GVO Rn. 97 – analoge Anwendung).

b) Jedenfalls führt auch das Vorliegen eines Geheimhaltungsgrundes nicht zwangsläufig zu dem Recht, die geforderte Auskunft zu verweigern. Das Recht auf Auskunft wird gem. § 34 Abs. 1 i.V.m. § 29 Abs. 1 Satz 2 BDSG nur eingeschränkt, „soweit“ durch die Auskunft Informationen offenbart würden, die nach einer Rechtsvorschrift oder ihrem Wesen nach, insbesondere wegen der überwiegenden berechtigten Interessen eines Dritten, geheim gehalten werden müssen. Damit ist eine dem Grundsatz der Verhältnismäßigkeit Rechnung tragende Güterabwägung zwischen dem Geheimhaltungsinteresse einerseits und dem Auskunftsinteresse andererseits geboten. Es muss in jedem Einzelfall das konkrete Interesse des Arbeitnehmers an der Auskunftserteilung ermittelt und gegen das betriebliche Interesse des Arbeitgebers an der Auskunftsversagung bzw. den berechtigten Interessen Dritter abgewogen werden. Es ist nicht von vornherein ausgeschlossen, dass durch eine Auskunftserteilung legitime Interessen des Arbeitgebers oder berechtigte Interesse anderer Mitarbeiter berührt werden. Es kann ein legitimes Interesse an der Geheimhaltung einer Informationsquelle darstellen, wenn der Arbeitgeber zum Zwecke der Aufklärung innerbetrieblichen Fehlverhaltens Hinweisgebern Anonymität zusichert. Bestimmte Arten von Regelverstößen innerhalb einer hierarchischen Struktur können effektiver durch anonyme Meldeverfahren aufgedeckt werden. Allerdings sind auch bei einem im Grundsatz - aus Gründen des Informantenschutzes - anerkennenswerten Geheimhaltungsinteresse Konstellationen denkbar, in denen das Geheimhaltungsinteresse hinter dem Auskunftsinteresse des Arbeitnehmers zurückzutreten hat. Dies kann Fälle betreffen, in welchen etwa ein Informant wider besseres Wissen oder leichtfertig dem Arbeitgeber unrichtige Informationen gegeben hat. In einem solchen Fall dürfte das Auskunftsinteresse des Betroffenen wegen eines dann erhöhten Schutzbedürfnisses ein überwiegendes Gewicht haben.

c) Im vorliegenden Fall kann die Beklagte den nach Art. 15 DS-GVO im Grundsatz bestehenden Auskunftsanspruch in Anwendung von § 34 Abs. 1 BDSG i.V.m. § 29 Abs. 1 Satz 2 BDSG jedenfalls nicht gänzlich verweigern. Nur „soweit“ schützenswerte Interessen Dritter bestehen würden und diese in der gebotenen Einzelfallabwägung gegenüber dem Auskunftsanspruch als gewichtiger einzustufen wären, wäre eine Einschränkung des Auskunftsanspruches anzunehmen. Die für diese Einzelfallabwägung maßgeblichen Tatsachen, die zur Einschränkung des Auskunftsanspruches führen könnten, sind jedoch von der Beklagten nicht vorgetragen worden. Die Beklagte verweist pauschal auf das Schutzbedürfnis von Hinweisgebern. Die Beklagte führt aus, sie sei auf den bedingungslosen Schutz der Anonymität hinweisgebender Mitarbeiter angewiesen. Ansonsten sei zu befürchten, dass Mitarbeiter künftig aus Angst vor Benachteiligung und „Repressalien“ auch bei schwerwiegendem Fehlverhalten auf entsprechende Hinweise an den Arbeitgeber verzichteten.

Diese Erwägungen sind zu allgemein gehalten, als dass damit gänzlich oder in einem bestimmten Umfang der Auskunftsanspruch des Klägers eingeschränkt werden könnte. Es bedürfte der Nennung eines konkreten Sachverhaltes, anhand dessen geprüft werden könnte, ob durch die Auskunftserteilung tatsächlich die Rechte und Freiheiten anderer Personen beschränkt werden würde. Die Einschränkung des Auskunftsanspruches wegen überwiegender schützenswerter Interesse Dritter scheitert bereits daran, dass es nach dem Vortrag der Beklagten unklar bleibt, auf welche personenbezogenen Daten des Klägers sich die behaupteten schützenswerten Interessen Dritter beziehen sollen. Soweit die Beklagte mit dem Hinweis auf schützenswerte Interessen Dritter den Auskunftsanspruch verweigert, ist sie für die maßgeblichen Umstände in der Darlegungslast. Sie wäre kraft Sachnähe in der Lage gewesen, vorzutragen, welche konkreten personenbezogen Daten nicht herausgegeben werden können, ohne dass schützenswerte Interessen Dritter tangiert werden. Zu dieser Darlegung hätten nicht schon die personenbezogenen Daten als solche preisgegeben werden müssen. Ausreichend, aber auch erforderlich wäre gewesen, darzulegen, auf welche genauen Informationen (Sachverhalt/Vorfall/Thema in zeitlicher und örtlicher Eingrenzung nebst handelnden Personen) sich das überwiegende berechtigte Interesse an einer Geheimhaltung beziehen soll. Nur dann wäre der Kammer die notwendige Einzelfallabwägung möglich gewesen. Soweit in diesem Fall die berechtigten Interessen Dritter gegenüber dem Auskunftsinteresse des Klägers überwogen hätte, wäre auch erst dann in einem zweiten Schritt eine gegenständliche Einschränkung im Tenor möglich gewesen.

Soweit die Beklagte schließlich einwendet, der Kläger mache sein Auskunftsbegehren über seinen Prozessbevollmächtigten geltend und der Kläger habe keinen Nachweis für dessen Bevollmächtigung erbracht, hat der im Berufungstermin anwesende Kläger seinen Prozessbevollmächtigten jedenfalls zu dem Zeitpunkt der Antragsstellung insoweit entsprechend legitimiert.

Den Volltext der Entscheidung finden Sie hier:

OLG München: DSGVO und kommende ePrivacy-Verordnung entfalten keine Sperrwirkung für wettbewerbsrechtliche Ansprüche - Unterlassungsanspruch bei Cold Calls eines Mitbewerbers

OLG München
Urteil v. 07.02.2019
6 U 2404/18


Das OLG München hat wenig überraschend entschieden, dass die DSGVO und die kommende ePrivacy-Verordnung keine Sperrwirkung für etwaige wettbewerbsrechtliche Ansprüche entfalten. Vorliegend ging es um Unterlassungsansprüche eines Mitbewerbers wegen unzulässiger Telefonwerbung mittels Cold Calls.

Aus den Entscheidungsgründen:

2. Aus den zutreffenden Gründen des landgerichtlichen Urteils (LGU S. 7/8 unter „3.“), auf die insoweit Bezug genommen wird, erfüllt das Vorgehen der Beklagten den Tatbestand der unzumutbaren Belästigung im Sinne von § 7 Abs. 2 Nr. 2 UWG und begründet sowohl den geltend gemachten wettbewerbsrechtlichen - den die Klägerin allein zum Gegenstand ihres Klagebegehrens gemacht hat, nicht hingegen bildet die Frage der Zulässigkeit von Werbeanrufen nach datenschutzrechtlichen Gesichtspunkten des Streitgegenstand des hiesigen Verfahrens - Unterlassungsanspruch (§ 8 Abs. 1 Nr. 1 UWG i.V.m. § 3, § 7 Abs. 2 Nr. 2 UWG), als auch den Anspruch auf Erstattung der - der Höhe nach unstreitigen - vorgerichtlichen Abmahnkosten (§ 12 Abs. 2 UWG i.V.m. § 3, § 7 Abs. 2 Nr. 2 UWG).

3. Ohne Erfolg macht die Beklagte geltend, das Unterlassungsbegehren der Klägerin könne nicht auf § 7 Abs. 2 Nr. 2 UWG i.V.m. Art. 13 EK-DSRL gestützt werden.

a) Der Beklagten kann nicht darin gefolgt werden, dass das Landgericht rechtsfehlerhaft davon abgesehen habe, nach Maßgabe des Art. 1 Abs. 1 der EK-DSRL (bzw. nach der seit 24.05.2018 geltenden DS-GVO, vgl. insoweit die nachfolgenden Ausführungen unter d)) in tatsächlicher Hinsicht Feststellungen zu treffen, ob im Streitfall personenbezogene Daten der von der Beklagten angerufenen Gesprächsteilnehmer verarbeitet worden sein. Der Beklagten kann nicht darin gefolgt werden, dass die datenschutzrechtlichen Bestimmungen über die Zulässigkeit und Verarbeitung personenbezogener Daten in Gestalt eines ungeschriebene Tatbestandsmerkmals als Prüfungsmaßstab bei der Beurteilung eines Verstoßes gegen das wettbewerbsrechtliche Belästigungsverbot heranzuziehen sind. In diesem Sinne sind entgegen der Auffassung der Beklagten auch nicht die vorstehend unter I. angeführten Veröffentlichungen von Köhler zu lesen. Diese befassen sich vielmehr mit der Frage der unionskonformen Umsetzung der EK-DSRL (sowie der UGP-RL) in nationales Recht.

b) Zur Frage der Unionskonformität der Vorschrift des § 7 Abs. 2 Nr. 2 UWG im Hinblick auf die Vereinbarkeit mit der EK-DSRL hat sich der BGH in seinem Urteil „double-opt-in-Verfahren“ (GRUR 2011, 936) auszugsweise wie folgt geäußert (BGH a.a.O., Tz. 24):

„Entgegen der Ansicht der Revision steht § 7 Abs. 2 Nr. 2 UWG mit dem Unionsrecht im Einklang. Art. 13 Abs. 3 der Richtlinie 2002/58/EG (Datenschutzrichtlinie für elektronische Kommunikation) erlaubt ausdrücklich mitgliedstaatliche Regelungen, nach denen Telefonwerbung ohne Einwilligung des betroffenen Teilnehmers nicht gestattet ist (sog. „opt-in“).“ Der im Schrifttum - auch von Köhler a.a.O. - vertretenen Auffassung, „aus der Regelung in Art. 13 Abs. 6 Satz 1 und Art. 15, 15a der Richtlinie 2002/58/EG über die Verarbeitung personenbezogener Daten und den Schutz der Privatsphäre in der elektronischen Kommunikation (Datenschutzrichtlinie für elektronische Kommunikation) in der durch die Richtlinie 2009/136/EG geänderten Fassung folge, dass Verstöße gegen § 7 Abs. 2 Nr. 2 bis 4 und Abs. 3 UWG von Mitbewerbern und Verbänden allenfalls in Vertretung oder Prozessstandschaft für den von der unzulässigen Werbung betroffenen Verbraucher oder sonstigen Marktteilnehmer verfolgt werden könnten“, hat der BGH eine Absage erteilt (BGH GRUR 2013, 1170, Tz. 11 - Telefonwerbung für DSL-Produkte).

c) Der Beklagten kann auch nicht darin gefolgt werden, ein sich im Streitfall auf die Anwendung des § 7 Abs. 2 Nr. 2 UWG stützendes Verbot verstoße gegen Art. 16 EU-GrCH bzw. gegen Art. 12 GG. Der BGH hat sich in den vorgenannten Entscheidungen „double-opt-in-Verfahren“ (GRUR 2011, 936) und „Telefonwerbung für DSL-Produkte“ (GRUR 2013, 1170) mit der Vereinbarkeit der einfachrechtlichen Vorschrift des § 7 Abs. 2 Nr. 2 UWG mit höherrangigem Recht auseinandergesetzt. Er hat von einer Vorlage an den EuGH ausdrücklich abgesehen (vgl. BGH a.a.O. - double-opt-in-Verfahren, Tz. 28) und einen Grundrechtsverstoß nicht festgestellt. Lediglich der Vollständigkeit halber ist insoweit anzumerken, dass im Hinblick auf das in Art. 16 Eu-CH sowie verfassungsrechtlich verankerte Verhältnismäßigkeitsgebot die Anforderungen, die der BGH in seinen Urteilen „Headhunter“ (DB 2004, 1555-1557), „Direktansprache am Arbeitsplatz I“ (GRUR 2004, 696) und „Direktansprache am Arbeitsplatz III“ an die Zulässigkeit kurzer Telefonanrufe am Arbeitsplatz zum Zweck der Abwerbung eines Arbeitnehmers gestellt hat, mangels Vergleichbarkeit zum wettbewerbsrechtlichen Belästigungsverbot des § 7 Abs. 2 Nr. 2 UWG hier keine entsprechende Geltung beanspruchen können.

d) Die Beklagte kann sich auch nicht mit Erfolg darauf berufen, dass sich an der vorstehend dargestellten Beurteilung der Durchsetzungsbefugnis der Klägerin als Mitbewerberin der Beklagten in rechtlicher Hinsicht das Inkrafttreten der DS-GVO zum 25.05.2018 (Art. 99 Abs. 2 DS-GVO) geändert habe. Dass Art. 13 Abs. 3 der Richtlinie 2002/58/EG der Auffassung der Beklagten folgend gegenüber der DS-GVO zurücktreten würde, lässt sich weder dem Verordnungstext - namentlich dessen Art. 95, welcher das Verhältnis zur EK-DSRL regelt, ohne die DS-GVO als vorrangig anzusehen bzw. mit deren Inkrafttreten die EK-DSRL, insbesondere deren Art. 13 Abs. 3, aufzuheben - noch dem Willen des Verordnungsgebers, wie er auch in den Erwägungsgründen zur DS-GVO zum Ausdruck kommt, entnehmen. In Erwägungsgrund 173 zur DS-GVO ist ausgeführt, „diese Verordnung sollte auf alle Fragen des Schutzes der Grundrechte und Grundfreiheiten bei der Verarbeitung personenbezogener Daten Anwendung finden, die nicht den in der Richtlinie 2002/58/EG … [EK-DSRL] bestimmten Pflichten, die dasselbe Ziel verfolgen, unterliegen, einschließlich der Pflichten des Verantwortlichen und der Rechte natürlicher Personen. Um das Verhältnis zwischen der vorliegenden Verordnung und der Richtlinie 2002/58/EG klarzustellen, sollte die Richtlinie entsprechend geändert werden. Sobald diese Verordnung angenommen worden ist, sollte die Richtlinie 2002/58/EG einer Überprüfung unterzogen werden, um insbesondere die Kohärenz mit dieser Verordnung zu gewährleisten.“ Vor diesem Hintergrund kann der Beklagten nicht darin gefolgt werden, dass die DS-GVO vorrangige Geltung gegenüber der EK-DSRL beanspruche und in ihrem Geltungsbereich letztere verdränge. Vielmehr kommen beide Vorschriften im Rahmen ihres Regelungsgehalts nebeneinander zur Anwendung. Ein Vorrang der DS-GVO im Sinne einer „Vorwirkung“ lässt sich auch nicht mit der im Gesetzgebungsverfahren befindlichen, auf eine Initiative der EU-Kommission im Januar 2017 zurückgehenden ePrivacy-VO begründen. Der im Hinblick auf den Regelungsgehalt vorstehend festgestellten Unionskonformität des § 7 Abs. 2 Nr. 2 UWG, namentlich im Hinblick auf die Frage der Durchsetzungsbefugnis durch den Mitbewerber, kann daher die Geltung der DS-GVO nicht entgegengehalten werden.

4. Der Beklagten kann auch nicht darin gefolgt werden, dass einem nach § 7 Abs. 2 Nr. 2 UWG auszusprechenden Verbot die unionsrechtliche Regelung in Anhang I Nr. 26 der UGP-RL entgegenstünde.

a) In Anhang I Nr. 26 der UGP-RL lautet es unter der Überschrift „Geschäftspraktiken, die unter allen Umständen als unlauter gelten“ auszugsweise:
„26. Kunden werden durch hartnäckiges und unerwünschtes Ansprechen über Telefon … geworben, außer in Fällen und in den Grenzen, in denen ein solches Verhalten nach den nationalen Rechtsvorschriften gerechtfertigt ist, um eine nationale Verpflichtung durchzusetzen. Dies gilt unbeschadet der Richtlinien … 2002/58/EG“.

b) Nach Ansicht der Beklagten scheide ein Verbot im Hinblick auf Anhang I Nr. 26 der UGP-RL aus, weil sie in § 7 Abs. 2 Nr. 2 UWG nicht korrekt umgesetzt sei (im Hinblick auf den dort keine Verwendung findenden Begriff „hartnäckig“), eine richtlinienkonforme Anwendung nicht in Betracht komme, weil sich der nationale Gesetzgeber bewusst gegen eine Aufnahme des Tatbestandsmerkmal „hartnäckig“ in § 7 Abs. 2 Nr. 2 UWG entschieden habe, jedenfalls es aber an tatsächlichen Feststellungen des Landgerichts zum Merkmal der „Hartnäckigkeit“ fehle.

aa) Auch insoweit ist die Rechtsprechung des BGH in „double-opt-in-Verfahren“ zu verweisen (BGH a.a.O. - Tz. 25-28): „…Nach dem ersten Satz der Nummer 26 des Anhangs I der Richtlinie ist allein das hartnäckige und unerwünschte Ansprechen von Kunden über Telefon, Fax, E-Mail oder sonstige für den Fernabsatz geeignete Medien unter allen Umständen unlauter. Dies gilt gemäß Satz 2 dieser Bestimmung jedoch „unbeschadet des Artikels 10 der Richtlinie 97/7/EG sowie der Richtlinien 95/46/EG und 2002/58/EG“. Dadurch wird insoweit nicht etwa ein Vorrang der Richtlinie 2005/29/EG angeordnet (aA Engels/Brunn, GRUR 2010, 886, 888). Die genannten Vorschriften - und damit insbesondere auch Art. 13 Abs. 3 der Richtlinie 2002/58/EG - behalten vielmehr ohne Einschränkung durch die Richtlinie 2005/29 EG weiterhin Gültigkeit. Diese schon nach dem Wortlaut gebotene Auslegung wird durch die beiden letzten Sätze des Erwägungsgrunds 14 dieser Richtlinie bestätigt. Danach sollte die Richtlinie 2005/29/EG das bestehende Gemeinschaftsrecht unberührt lassen, das den Mitgliedstaaten ausdrücklich die Wahl zwischen mehreren Regelungsoptionen für den Verbraucherschutz auf dem Gebiet der Geschäftspraktiken lässt. Die vorliegende Richtlinie sollte insbesondere Artikel 13 Absatz 3 der Richtlinie 2002/58/EG … unberührt lassen. Die Regelung in Nr. 26 des Anhangs I der Richtlinie 2005/29/EG wird bei weiterer Zulässigkeit der „Optin“-Lösung im Recht der Mitgliedstaaten keineswegs überflüssig. Sie behält ihren Anwendungsbereich für die Mitgliedstaaten, in denen in Anwendung der zweiten Regelungsoption des Art. 13 Abs. 3 der Richtlinie 2002/58/EG Telefonwerbung nur dann unzulässig ist, wenn sie sich an Teilnehmer richtet, die ihr widersprochen haben („Optout“-Lösung). Das Auslegungsergebnis einer Fortgeltung des Art. 13 Abs. 3 der Richtlinie 2002/58/EG ist nach Wortlaut, Systematik und Zweck der maßgeblichen unionsrechtlichen Vorschriften so eindeutig, dass es keiner Vorlage an den Gerichtshof der Europäischen Union zur Vorabentscheidung nach Art. 267 AEUV bedarf.“

bb) Vor diesem Hintergrund entbehrt die Rechtsauffassung der Beklagten, das Verbot der Telefonwerbung könne wegen des Vorrangs der Regelung in Anhang I Nr. 26 der UGP-RL nicht abschließend im UWG geregelt sein, einer hinreichenden rechtlichen Grundlage. Der Berufung der Beklagten kann in Ansehung der höchstrichterlichen Rechtsprechung auch kein Erfolg verbeschieden sein, soweit sie von der Annahme ausgeht, dass § 7 Abs. 2 Nr. 2 UWG mit Blick auf die höherrangige UGP-Richtlinie nicht unionskonform umgesetzt worden sei.


Den Volltext der Entscheidung finden Sie hier:

IGD Interessengemeinschaft Datenschutz e.V. nimmt DSGVO-Abmahnungen zurück

Der IGD Interessengemeinschaft Datenschutz e.V. hat in den von uns betreuten Fällen die bereits offensichtlich an der fehlenden Aktivlegitimation scheiternden DSGVO-Abmahnungen zurückgenommen. Der Verein hatte zahlreiche Website-Betreiber wegen fehlender SSL-Verschlüsselung bzw. TLS-Verschlüsselung von Kontaktformularen abgemahnt.

Siehe auch zum Thema
DSGVO-Abmahnung durch IGD Interessengemeinschaft Datenschutz e.V. wegen fehlender SSL-Verschlüsselung bzw TLS-Verschlüsselung

DSGVO-Abmahnung durch IGD Interessengemeinschaft Datenschutz e.V wegen fehlender SSL-Verschlüsselung bzw TLS-Verschlüsselung

Der IGD Interessengemeinschaft Datenschutz e.V versendet derzeit Abmahnungen wegen fehlender SSL-Verschlüsselung bzw TLS-Verschlüsselung auf Websites mit Kontaktformularen und dem damit verbunden Vorwurf des Verstoßes gegen die Datenschutzgrundverordnung ( DSGVO ). Neben einer einer Unterlassungserklärung wird eine Abmahnkostenpauschale verlangt.

Die Abmahnungen scheitern bereits an der Aktivlegitimation (= Befugnis den begehrten Unterlassungsanspruch geltend machen zu können und abmahnen zu dürfen).

Der Verein ist nicht in der Liste der nach § 4 UKlaG qualifizierten Einrichtungen eingetragen, so dass eine Abmahnbefugnis zur Wahrnehmung von Verbraucherinteressen nicht in Betracht kommt. Auch die Voraussetzungen für das Vorliegen einer Aktivlegitimation aufgrund der Stellung als rechtsfähiger Verband zur Förderung gewerblicher oder selbständiger beruflicher Interessen liegen nicht vor. Es ist bereits mehr als fraglich, ob der Verein überhaupt über die notwendige Anzahl an Mitgliedern verfügt, um abmahnen zu können.

Ferner sprechen weitere Indizien für Rechtsmissbrauch. So wurde der Verein erst kürzlich unmittelbar vor Versendung der Abmahnungen im Vereinsregister eingetragen.

Wer eine derartige Abmahnung erhält, sollte vor allem Ruhe bewahren. Es ist nicht zu empfehlen, eine Unterlassungserklärung abzugeben und /oder Abmahnkosten zu zahlen. Der Grundvorwurf bleibt jedoch. Wer eine Website mit Kontaktformularen betreibt, ist nach überwiegender Ansicht verpflichtet, die Website mit SSL-Verschlüsselung bzw. TLS-Verschlüsselung zu betreiben.



Datenschutzkonferenz: Brexit-Positionspapier zur Datenübermittlung in das Vereinigte Königreich Großbritannien und Nordirland ab dem 30. März 2019 - DSGVO

Die Konferenz der unabhängigen Datenschutzbehörden des Bundes und der Länder (DSK) hat ein Brexit-Positionspapier zur Datenübermittlung in das Vereinigte Königreich Großbritannien und Nordirland ab dem 30. März 2019 unter Berücksichtigung des DSGVO veröffentlicht.


LG Wiesbaden: Mitbewerber sind bei Verstößen gegen DSGVO nicht zur Abmahnung befugt

LG Wiesbaden
Urteil vom 05.11.2018
5 O 214/18


Das LG Wiesbaden hat entschieden, dass Mitbewerber bei Verstößen gegen die DSGVO nicht zur Abmahnung befugt sind.

Aus den Entscheidungsgründen:

"Die aufgeworfenen Fragen können deshalb offenbleiben, weil der Verfügungsklägerin als Mitbewerberin nach den §§ 3 Abs. 1,3 a i.V.m. § 8 Abs. 3 Nr. 1 UWG weder anspruchsberechtigt noch klagebefugt ist..

Der Gesetzgeber hat in Kap. 8 (Rechtsbehelfe, Haftung und Sanktionen) der Datenschutzgrundverordnung eingehend geregelt, wie die Datenschutzbestimmungen durchzusetzen sind. Im Mittelpunkt steht dabei die von einem Verstoß "betroffene Person". Sie kann sich mit einer Beschwerde an die zuständige Aufsichtsbehörde wenden (Art. 74, 78 DSGVO), die dann ihrerseits tätig wird. Die betroffene Person hat aber auch nach Art. 79 DSGVO selbst das "Recht auf einen wirksamen gerichtlichen Rechtsbehelf", wenn sie der Ansicht ist, dass ihre Rechte aus der Datenschutzgrundverordnung verletzt worden sind. Die betroffene Person kann nach Art. 82 DGSVO Ersatz ihres materiellen und immateriellen Schadens verlangen. Nach Art. 80 Abs. 1 DSGVO ist die betroffene Person ferner berechtigt, "Organisationen" und "ähnlichen Einrichtungen, die bestimmte Anforderungen erfüllen" zu beauftragen, in ihrem Namen ihre Rechte unter anderem aus Art. 79 DSGVO wahrzunehmen. Art. 80 Abs. 2 DSGVO enthält eine so genannte Öffnungsklausel zu Gunsten der Mitgliedstaaten. Sie können vorsehen, dass jede der in Art. 80 Abs. 1 DSGVO genannten "Organisationen" unabhängig von einem Auftrag der betroffenen Person das Recht hat, deren Rechte aus Art. 77-79 DSGVO in Anspruch zu nehmen, wenn nach ihrer Ansicht deren Rechte verletzt worden sind. Diese Regelung ist nicht unumstritten, weil damit letztlich Dritte über das Persönlichkeitsrecht der betroffenen Personen verfügen. Von einer entsprechenden Befugnis der Mitbewerbers des Verletzers, die Rechte der betroffenen Person ohne deren Zustimmung wahrzunehmen, ist in Art. 80 Abs. 2 DSGVO nicht die Rede.

Es wird die Frage diskutiert, ob die Durchsetzungsregelungen der DSGVO eine abschließende unionsrechtliche Regelung darstellen oder ob im jeweils nationalen Recht Erweiterungen zulässig sind. Es geht darum, ob der nationale Gesetzgeber über die Öffnungsklausel des Art. 80 Abs. 2 DSGVO hinaus zusätzliche Durchsetzungsregelungen aufstellen darf. Vor allem wird diskutiert, ob die Gerichte wegen eines Vorrangs des Unionsrechts daran gehindert sind, bestehende Regelungen des deutschen Rechtes anzuwenden, die zusätzliche Rechtsbehelfe gewähren könnten. Im Rahmen der Anwendung des §§ 3 Buchst. a UWG wird die Ansicht vertreten, die Vorschriften der Datenschutzgrundverordnung seien Marktverhaltensregelungen im Sinne von § 3 Buchst. a UWG und dementsprechend seien auch Mitbewerber des Verletzers nach § 8 Abs. 1 und Abs. 3 Nr. 1 UWG berechtigt, gegen Verstöße vorzugehen (vergleiche Wolff ZD 2018,248). Diese Ansicht verkennt, dass § 3 Buchst. a UWG dann nicht anwendbar ist, wenn die betreffende Regelung in der Datenschutzgrundverordnung die Rechtsfolgen eines Verstoßes abschließend regelt, was wiederum durch Auslegung festzustellen ist (vergleiche im Einzelnen Köhler ZD 2018,337 ff.). Eine solche abschließende Regelung gegenüber § 3 Buchst. a UWG stellen, so Köhler und Barth (Köhler ZD 2018,337 ff., Barth WRP 2018,790) die Art. 70 ff. Datenschutz Grundverordnung dar. Diese Ansicht beruft sich auf den allgemeinen Grundsatz des Unionsrechts, dass Ausnahmeregelungen, wie hier Art. 80 Abs. 2 DSGVO, eng auszulegen sind (ständige Rechtsprechung: EuGH WRP 2015, 1206, Rn. 54) und dementsprechend nicht über den Wortlaut hinaus erweitert werden dürfen. Die Autoren schließen aus dem Umstand, dass der Unionsgesetzgeber nicht schon jedem Verband ein Recht zur Wahrnehmung der Rechte einer betroffenen Person ohne deren Auftrag einräumt hat, sondern dafür ganz konkrete Anforderungen aufstellt, dass der Unionsgesetzgeber keine Erstreckung dieser Befugnis auf Mitbewerber des Verletzers zulassen wollte. Hätte der Unionsgesetzgeber, so die Autoren, dies gewollt, so hätte es nahegelegen, dass er eine dem Art. 11 Abs. 1 RL 2005/29/EG ("einschließlich Mitbewerbern") entsprechende Durchsetzungsregelungen eingeführt hätte. Köhler unterstreicht diese Argumentation durch die Herausarbeitung der unterschiedlichen Schutzzweckbestimmung der DSGVO auf der einen Seite und dem UWG auf der anderen Seite. Die Datenschutzgrundverordnung schützt "die Grundrechte und Grundfreiheiten natürlicher Personen insbesondere deren Recht auf Schutz personenbezogener Daten", insoweit wird auf Art. 1 Abs. 2 DSGVO Bezug genommen. Damit bringe die Datenschutzgrundverordnung klar zum Ausdruck, dass es um den Individualschutz der Betroffenen geht, vergleichbar dem Schutz des allgemeinen Persönlichkeitsrechtes nach den §§ 823 Abs. 1, 1004 Abs. 1 BGB analog. Demgegenüber stehe die Konzeption des UWG. Dieses Gesetz dient "dem Schutz der Mitbewerber, der Verbraucherinnen und Verbraucher sowie der sonstigen Marktteilnehmer vor unlauteren geschäftlichen Handlungen", insoweit wird auf § 1 S. 1 UWG Bezug genommen. Die gesetzliche Konzeption der Datenschutzgrundverordnung hat mit der dargestellten Regelung in Kap. VIII primär die Rechtsdurchsetzung bei den Aufsichtsbehörden angesiedelt, während § 8-10 UWG die Durchsetzung des Lauterkeitsrecht vollständig der privaten Initiative überlässt. Daraus folgt, dass einem Mitbewerber nach den §§ 3 Abs. 1,3 a UWG in Verbindung mit § 8 Abs. 3 Nr. 1 UWG die Klagebefugnis fehlt. Diese vornehmlich in der Literatur vertretene Ansicht findet ihre Bestätigung in der Entscheidung des Landgerichtes Bochum (Landgericht Bochum (12. Zivilkammer), Teil Versäumnis- und Schlussurteil vom 7.8.2018-I-12 O 85 / 18 zitiert nach Beck RS 2018,25219). Das Landgericht Bochum hat ausgeführt, dass dem Verfügungskläger eine Klagebefugnis nicht zusteht, weil die Datenschutzgrundverordnung in den Artikeln 77-84 eine die Ansprüche von Mitbewerbern abschließende und ausschließende Regelung enthält. Das Landgericht Bochum hat sich der Ansicht von Köhler mit dem Argument angeschlossen, dass die Datenschutzgrundverordnung eine detaillierte Regelung des anspruchsberechtigten Personenkreises enthält. Danach steht nicht jedem Verband ein Recht zur Wahrnehmung der Rechte einer betroffenen Person zu, sondern nur bestimmten Einrichtungen, Organisationen und Vereinigungen ohne Gewinnerzielungsabsicht unter weiteren Voraussetzungen. Hieraus sei zu schließen, dass der Uniongesetzgeber eine Erstreckung auf Mitbewerber des Verletzers nicht zulassen wollte. Diese Ansicht überzeugt, da es keine Rechtsschutzlücke besteht. Vor dem Hintergrund, dass keine Rechtsschutzlücke im Bereich der Datenschutzgrundverordnung besteht, muss sie auch nicht durch eine Anwendung des §§ 3 Buchst. a UWG geschlossen werden. An diese Überlegungen knüpft die Bundesratsinitiative des Freistaats Bayern an, wonach zur Anpassung zivilrechtlicher Vorschriften an die Datenschutzgrundverordnung ein Gesetzesantrag in den Bundesrat eingebracht worden ist (Bundesratsdrucksache 304 18 vom 6. 20.6.2018) woraus sich ableiten lässt, dass eine Klagebefugnis eines angeblichen Mitbewerbers ausscheiden soll, da ihm bereits eine Abmahnungsmöglichkeit verwehrt wird.

Es ist streitig, ob die fehlende Anspruchsberechtigung und fehlende Klagebefugnis zur Abweisung der Klage als unzulässig oder als unbegründet führt, doch handelt es sich bei der Anspruchsberechtigung um eine Frage der Aktivlegitimation und damit um eine Prüfung im Rahmen der Begründetheit der Klage, so dass die Klage auf Erlass einer einstweiligen Verfügung als unbegründet abzuweisen war."




LG München: Abmahnfähige Einwilligungs-Klausel wegen Verstoß gegen Art. 6 Abs. 1 DSGVO in AGB eines Online-Dating-Portals

LG München
Urteil vom 11.10.2018
12 O 19277/17


Das LG München hat entschieden, dass die Einwilligungsklausel für die Verarbeitung personenbezogener Daten in den AGB eines Online-Dating gegen Art. 6 Abs. 1 DSGVO verstößt und einen abmahnfähigen Wettbewerbsverstoß darstellt.

Aus den Entscheidungsgründen:

"Im Rahmen des Anmeldevorgangs heißt es auf der Startseite unterhalb einer „Weiter“-Schaltfläche: „Mit meiner Anmeldung erkläre ich mich mit den Nutzungsbedingungen, der Datenschutzerklärung und der Verwendung sowie Weitergabe meiner Daten einverstanden.“

Auf die Anlagen K 2 bis K 4 wird Bezug genommen. In den Nutzungsbedingungen der verschiedenen von der Beklagten betriebenen Plattformen finden sich - jeweils gleichlautend - unter § 2 Abs. 2 unter anderen folgende Passage:
„[...] Der Nutzer erkennt an und stimmt dem ausdrücklich zu, dass ... zur Erleichterung des Einstiegs für neue Nutzer in die Plattform und zur Unterstützung der Kommunikation zwischen den Nutzern, Nachrichten im Namen des Nutzers verschicken kann. [...] Mit der Registrierung bei [Angabe der jeweiligen Plattform] erklärt sich der Nutzer einverstanden auf anderen, thematisch passenden, Seiten des ... Netzwerkes angezeigt zu werden.“

Auf die Anlagen K 5 und K 7 wird Bezug genommen.

Die von der Beklagten für die einzelnen Plattformen verwendete Datenschutzerklärung enthält unter der Überschrift „Einwilligung“ und der Unterüberschrift „Erklärung“ unter anderem folgende Passage:
„Ich willige ferner ein, dass ... meine personenbezogenen Daten den Kooperationspartnern zur Verfügung stellt, die [Angabe der jeweiligen Plattform] organisatorisch betreuen und vermarkten.“

Auf die Anlagen K 6 und K 8 wird Bezug genommen.

[...]

2. Die Klausel 2 begründet daneben eine rechtswidrige und damit unzulässige Verarbeitung personenbezogener Daten durch die Beklagte.

Durch die Verwendung der Klausel verstößt die Beklagte gegen Art. 6 Abs. 1 DSGVO. Sie erlaubt die Weitergabe personenbezogener Daten an andere Internetplattformen und die Verarbeitung durch diese. An einer wirksamen Einwilligung fehlt es schon deswegen, weil die Klausel unter § 2 Abs. 2 S. 8 der Nutzungsbedingungen nicht Teil der von der Beklagten verwendeten „Einwilligung“ im Bereich „Datenschutz“ (Anlage K 8) ist. Sie ist auch sonst in keiner Weise hervorgehoben. Eine Einwilligung im Sinne von Art. 4 Nr. 11 DSGVO, der eine bewusste Handlung eines informierten Nutzers voraussetzt, liegt damit nicht vor. Zudem fehlt es mangels Nennung der Plattformen, an die Daten weitergegeben werden, sowie mangels Benennung der konkreten Daten, die weitergegeben werden, an einer transparenten Verarbeitung im Sinne des Art. 5 Abs. 1 a) DSGVO. Auch dies führt zur Rechtswidrigkeit und Unwirksamkeit der Klausel.

IV. Auch die in der Datenschutzerklärung der Beklagten (vgl. Anlagen K 6, K 8) unter der Überschrift „Einwilligung“ und der Unterüberschrift „Erklärung“ enthaltene Klausel 3, wonach der Nutzer einwilligt, dass die Beklagte seine personenbezogenen Daten Kooperationspartnern und Vermarktern zur Verfügung stellt, ist unwirksam.

1. Soweit die Beklagte die Auffassung vertritt, eine Einwilligung des Nutzers sei nicht erforderlich, überzeugt dies nicht. Zum einen geht die Beklagte ausweislich der Überschrift und des Wortlauts ihrer Datenschutzerklärung offenbar selbst davon aus, eine Einwilligung des Nutzers zu benötigen. Zum anderen liegen die Voraussetzungen eines der anderen Erlaubnistatbestände des Art. 6 DSGVO nicht vor. Insbesondere erschließt sich nicht, weshalb die Weitergabe von Daten an irgendwelche „Kooperationspartner“ hier schlicht Werbekunden der Beklagten - zur Erfüllung des Vertrags zwischen dem Nutzer und der Beklagten erforderlich sein sollte (Art. 6 Abs. 1 S. 1 b) DSGVO), oder wie eine solche Weitergabe an Werbekunden die Interessen der Nutzer wahren könnte (Art. 6 Abs. 1 S. 1 f) DSGVO).

2. Die Klausel verstößt gegen geltendes Datenschutzrecht. Eine wirksame Einwilligung des Nutzers nach Art. 6 DSGVO liegt in der streitgegenständlichen Klausel nicht. Die Wirksamkeit einer Einwilligung nach Art. 6 DSGVO setzt voraus, dass diese für den konkreten Fall und in Kenntnis der Sachlage abgegeben wird. Die betroffene Person muss wissen, was mit ihren Daten geschehen soll. Dazu muss sie zunächst wissen, auf welche personenbezogenen Daten sich die Einwilligung bezieht. Unspezifische Pauschal- oder Blankoeinwilligungen sind nicht statthaft (vgl. Schulz in: Gola, DSGVO, 2. Auflage, Rdnr. 34).

Daran fehlt es hier. Die streitgegenständliche Klausel konkretisiert weder, welche genauen personenbezogenen Daten des Nutzers weitergegeben werden. Sie verschweigt auch, wem diese Daten überlassen werden sollen. Die streitgegenständliche Klausel stellt letztlich den Versuch dar, der Beklagten eine pauschale Möglichkeit der Datenweitergabe an nicht näher benannte Vertragspartner zu verschaffen. Dies stellt eine unangemessene Benachteiligung im Sinne des § 307 Abs. 1 S. 1 BGB dar. Die Klausel ist unwirksam.


Den Volltext der Entscheidung finden Sie hier


LfDI Baden-Württemberg: Bußgeld von 20.000 EURO gegen knuddels.de wegen Verstoß gegen DSGVO - Speicherung der Passwörter im Klartext widerspricht Art. 32 Abs. 1 lit a DSGVO

Der Landesbeauftragte für den Datenschutz und die Informationsfreiheit Baden-Württemberg hat gegen den Betreiber des Internetportals knuddels.de ein Bußgeld in Höhe von 20.000 EURO wegen eines Verstoßes gegen die DSGVO verhängt. Die Speicherung von Passwörtern im Klartext verstößt gegen Art. 32 Abs. 1 lit a DSGVO

Die Pressemitteilung des LfDI:

Baden-Württemberg: Bußgeld über 20.000 EURO gegen knuddels.de wegen Verstoß gegen DSGVO - Speicherung der Passwörter im Klartext widerspricht Art. 32 Abs. 1 lit a DSGVO

LfDI Baden-Württemberg verhängt sein erstes Bußgeld in Deutschland nach der DS-GVO
Kooperation mit Aufsicht macht es glimpflich

Wegen eines Verstoßes gegen die nach Art. 32 DS-GVO vorgeschriebene Datensicherheit hat die Bußgeldstelle des LfDI Baden-Württemberg mit Bescheid vom 21.11.2018 gegen einen baden-württembergischen Social-Media-Anbieter eine Geldbuße von 20.000,- Euro verhängt und – in konstruktiver Zusammenarbeit mit dem Unternehmen – für umfangreiche Verbesserungen bei der Sicherheit der Nutzerdaten gesorgt.

Das Unternehmen hatte sich am 08. September 2018 mit einer Datenpannenmeldung an den LfDI gewandt, nachdem es bemerkt hatte, dass durch einen Hackerangriff im Juli 2018 personenbezogene Daten von circa 330.000 Nutzern, darunter Passwörter und E-Mail-Adressen, entwendet und Anfang September 2018 veröffentlicht worden waren. Ihre Nutzer informierte das Unternehmen nach den Vorgaben der EU-Datenschutzgrundverordnung (DS-GVO) unverzüglich und umfassend über den Hackerangriff. Gegenüber dem LfDI legte das Unternehmen in vorbildlicher Weise sowohl Datenverarbeitungs- und Unternehmensstrukturen als auch eigene Versäumnisse offen. Hierdurch wurde dem LfDI bekannt, dass das Unternehmen die Passwörter ihrer Nutzer im Klartext, mithin unverschlüsselt und unverfremdet (ungehasht), gespeichert hatte. Diese Klartextpasswörter nutzte das Unternehmen beim Einsatz eines sog. „Passwortfilters“ zur Verhinderung der Übermittlung von Nutzerpasswörtern an unberechtigte Dritte mit dem Ziel, die Nutzer besser zu schützen.

Das Unternehmen setzte innerhalb weniger Wochen weitreichende Maßnahmen zur Verbesserung ihrer IT-Sicherheitsarchitektur um und brachte damit die Sicherung ihrer Nutzerdaten auf den aktuellen Stand der Technik. Zudem wird das Unternehmen innerhalb der nächsten Wochen in Abstimmung mit dem LfDI zusätzliche Maßnahmen zur weiteren Verbesserung der Datensicherheit durchführen.

Durch die Speicherung der Passwörter im Klartext verstieß das Unternehmen wissentlich gegen seine Pflicht zur Gewährleistung der Datensicherheit bei der Verarbeitung personenbezogener Daten gem. Art. 32 Abs. 1 lit a DS-GVO.

Innerhalb des Bußgeldrahmens gemäß Art. 83 Abs. 4 DS-GVO sprach die sehr gute Kooperation mit dem LfDI in besonderem Maße zu Gunsten des Unternehmens. Die Transparenz des Unternehmens war ebenso beispielhaft wie die Bereitschaft, die Vorgaben und Empfehlungen des Landesbeauftragten für den Datenschutz und die Informationsfreiheit, Dr. Stefan Brink, umzusetzen. Auf diese Weise konnte in sehr kurzer Zeit die Sicherheit der Nutzerdaten des Social-Media-Dienstes deutlich verbessert werden. In Abstimmung mit dem LfDI wird die Sicherung der Nutzerdaten in den kommenden Wochen noch weiter ausgebaut. Bei der Bemessung der Geldbuße wurde neben weiteren Umständen die finanzielle Gesamtbelastung für das Unternehmen berücksichtigt. Bußgelder sollen nach der DS-GVO nicht nur wirksam und abschreckend, sondern auch verhältnismäßig sein. Unter Einbeziehung der aufgewendeten und avisierten Maßnahmen für IT-Sicherheit hat das Unternehmen einschließlich der Geldbuße infolge des Verstoßes einen Gesamtbetrag im sechsstelligen Euro-Bereich zu tragen.

„Wer aus Schaden lernt und transparent an der Verbesserung des Datenschutzes mitwirkt, kann auch als Unternehmen aus einem Hackerangriff gestärkt hervorgehen“, betonte Dr. Brink abschließend. „Als Bußgeldbehörde kommt es dem LfDI nicht darauf an, in einen Wettbewerb um möglichst hohe Bußgelder einzutreten. Am Ende zählt die Verbesserung von Datenschutz und Datensicherheit für die betroffenen Nutzer.“

Internet World Business-Beitrag von Rechtsanwalt Marcus Beckmann - DSGVO: Lage bleibt heikel - Uneinheitliche Entscheidungen zur Abmahnfähigkeit von DSGVO-Verstößen

In Ausgabe 22/2018, S. 17 der Zeitschrift Internet World Business erschien ein Beitrag von Rechtsanwalt Marcus Beckmann mit dem Titel "DSGVO: Lage bleibt heikel - Uneinheitliche Entscheidungen zur Abmahnfähigkeit von DSGVO-Verstößen".

Siehe auch zum Thema
LG Bochum: Verstoß gegen DSGVO ist kein Wettbewerbsverstoß der von Mitbewerbern abgemahnt werden kann

LG Würzburg: Unzureichende Datenschutzerklärung nach DSGVO ist abmahnfähiger Wettbewerbsverstoß

OLG Hamburg: Verstoß gegen Vorgaben der DSGVO kann abmahnfähiger Wettbewerbsverstoß sein


OLG München: DSGVO steht Auskunftsanspruch über Abnehmer von Waren regelmäßig nicht entgegen - Berechtigte Interessen nach Art. 6 Abs. 1 Satz 1 lit f DGSVO

OLG München
Teilurteil vom 24.10.2018
3 U 1551/17


Das OLG München hat entschieden, dass die Vorgaben der DSGVO einem Auskunftsanspruch über Abnehmer von Waren regelmäßig nicht entgegen steht. Insofern greift Art. 6 Abs. 1 Satz 1 lit f DGSVO.

Aus den Entscheidungsgründen:

Soweit die Beklagte die Auffassung vertritt, der Auskunftserteitung stünden Bestimmungen der Datenschutz-Grundverordnung entgegen, ist auf Art. 6 Abs. 1 Satz 1 Buchstabe f DS-GVO zu verweisen. Hiernach ist die Verarbeitung personenbezogener Daten dann rechtmäßig, wenn sie zur Wahrung der Interessen des Verantwortlichen oder eines Dritten erforderlich ist und die datenschutzbezogenen Interessen, Grundrechte und Grundfreiheiten des Betroffenen nicht überwiegen. Ein Abwägungsgesichtspunkt ist der Hinweis des europäischen Gesetzgebers in den Erwägungsgründen, dass die vernünftigen Erwartungen der betroffenen Person, die auf der Beziehung zu den Verantwortlichen beruhen, zu berücksichtigen sind (vgl. Erwägungsgrund 47 Satz 1 Halbsatz 2). In Satz 2 wird als Beispiel für eine solche Beziehung genannt, dass der Betroffene ein Kunde des Verantwortlichen ist oder in seinen Diensten steht (BeckOK Datenschutzrecht, 25. Edition, Stand 01.05.2018, Bearbeiter Albers/Veit, DS-GVO, Art. 6, Rn. 48).

Vor dem teleologischen Hintergrund von Art. 6 Abs. 1 Satz 1 Buchst. DS-GVO, einen Ausgleich zwischen den Interessen des Betroffenen und jenen des Verantwortlichen (oder eines Dritten) zu schaffen, können dabei nicht nur rechtliche Interessen von Bedeutung sein, sondern müssen auch wirtschaftliche oder ideelle Interessen des Verarbeiters berücksichtigt werden. Eine möglichst weite Interpretation des berechtigten Interesses ist zudem (unions-)grundrechtlich geboten, wobei das Recht auf Berufsfreiheit hervorzuheben ist (BeckOK, a.a.O., Rn. 49). Geht man davon aus, dass die von seiten der Klägerin erteilte Information der Beklagten zur Ermittlung eines möglichen Schadensersatzanspruchs aus der Verletzung des Vertragshändlervertrags dient und die Klagepartei gemäß § 242 BGB zur Erteilung einer solchen Information gehalten ist, kann der Gesichtspunkt des Schutzes der wirtschaftlichen Daten der jeweiligen Kunden der Klägerin nicht höhergestellt werden. Insoweit ist besonders zu berücksichtigen, dass die Daten keinen höchst persönlichen Bereich oder ein besonderes Knowhow der Branche betreffen, sondern einen nach außen hin - durch Einsatz der Kräne bzw, Aufbauten - nicht verborgen bleibenden Kaufvorgang. Auch stehen Interessen der Kunden an wirtschaftlicher Geheimhaltung nicht inmitten: Daten wie Ratenzahlung, Kreditfinanzierung u.ä. sind nicht Gegenstand der geschuldeten Auskunft.


Den Volltext der Entscheidung finden Sie hier: