Skip to content

EU-Kommission veröffentlicht Entwurf neuer Standardvertragsklauseln für den Transfer personenbezogener Daten in Drittländer - standard contractual clauses - scc

Die EU-Kommission hat einen Entwurf neuer Standardvertragsklauseln für den Transfer personenbezogener Daten in Drittländer veröffentlicht:

Entwurf - Standardvertragsklauseln - standard contractual clauses for the transfer of personal data to third countries pursuant to Regulation (EU) 2016/679 of the European Parliament and of the Council

Entwurf - Dazugehörige Entscheidung der EU-Kommission


LG Bonn: Bußgeld gegen 1&1 wegen Verstoßes gegen Art. 32 DSGVO wird von 9,55 Mio EURO auf 900.000 EURO reduziert

LG Bonn
Urteil vom 12.11.2020
29 OWi 1/20 LG


Das LG Bonn hat entschieden, dass das Bußgeld gegen 1&1 (Siehe dazu: BfDI: Bußgeld von fast 10 Mio EURO gegen 1&1 - Verstoß gegen Art. 32 DSGVO bei telefonischer Kundenbetreuung - Kundenauthentifizierung bei der Hotline) wegen Verstoßes gegen Art. 32 DSGVO wird von 9,55 Mio EURO auf 900.000 EURO reduziert wird.

Die Pressemitteilung des Gerichts:

Urteil im Bußgeldverfahren gegen einen Telekommunikationsdienstleister

Die 9. Kammer für Bußgeldsachen des Landgerichts Bonn hat heute entschieden, dass das Bußgeld, welches der Bundesbeauftragte für den Datenschutz und Informationsfreiheit (BfDI) gegen einen Telekommunikationsdienstleister aufgrund eines Verstoßes gegen die Datenschutzgrundverordnung (DSGVO) verhängt hat, dem Grunde nach berechtigt, aber unangemessen hoch sei. Die Kammer hat das Bußgeld von ursprünglich 9,55 Millionen Euro daher auf 900.000 Euro herabgesetzt.

Anlass für das Bußgeldverfahren war eine Strafanzeige wegen Nachstellung („Stalking“) eines Kunden des Telekommunikationsdienstleisters. Dessen ehemalige Lebensgefährtin hatte über das Callcenter des Telekommunikationsdienstleisters die neue Telefonnummer ihres Ex-Partners erfragt, indem sie sich als dessen Ehefrau ausgegeben hatte. Zur Legitimierung musste sie lediglich den Namen und das Geburtsdatum des Kunden nennen. Die neue Telefonnummer hatte sie dann zu belästigenden Kontaktaufnahmen genutzt.

Der BfDI verhängte deshalb im November 2019 gegen den Telekommunikationsdienstleister ein Bußgeld in Höhe von 9,55 Millionen Euro wegen grob fahrlässigen Verstoßes gegen Art. 32 Abs. 1 DSGVO. Zur Begründung führte der BfDI aus, dass die bloße Abfrage von Name und Geburtsdatum zur Authentifizierung von Telefonanrufern keinen ausreichenden Schutz für die Daten im Callcenter gewährleiste.

Gegen diesen Bescheid hat der Telekommunikationsdienstleister Einspruch eingelegt, weshalb die Sache an fünf Hauptverhandlungstagen vor der 9. Kammer für Bußgeldsachen verhandelt wurde.

Die Kammer hat entschieden, dass die Verhängung eines Bußgelds gegen ein Unternehmen nicht davon abhänge, dass der konkrete Verstoß einer Leitungsperson des Unternehmens festgestellt werde. Das nach Auffassung der Kammer anwendbare europäische Recht stelle anders als das deutsche Ordnungswidrigkeitenrecht kein entsprechendes Erfordernis auf.

In der Sache liege ein Datenschutzverstoß vor, da der Telekommunikationsdienstleister die Daten seiner Kunden im Rahmen der Kommunikation über die sog. Callcenter nicht durch ein hinreichend sicheres Authentifizierungsverfahren geschützt habe. Auf diese Weise sei es nicht berechtigten Anrufern durch ein geschicktes Nachfragen und unter Vorgabe einer Berechtigung möglich gewesen, nur mithilfe des vollständigen Namens und des Geburtsdatums an weitere Kundendaten, wie z.B. die aktuelle Telefonnummer, zu gelangen. Sensible Daten wie Einzelverbindungsnachweise, Verkehrsdaten oder Kontoverbindungen hätten auf diesem Wege indes nicht abgefragt werden können.

Die Betroffene habe sich hinsichtlich der Angemessenheit des Schutzniveaus in einem Rechtsirrtum befunden. Mangels verbindlicher Vorgaben an den Authentifizierungsprozess in Callcentern sei dieser Rechtsirrtum zwar verständlich, aber vermeidbar gewesen.

Die Höhe des Bußgeldes hat die Kammer in ihrer Entscheidung auf 900.000 Euro herabgesetzt. Das Verschulden des Telekommunikationsdienstleisters sei gering. Im Hinblick auf die über Jahre geübte Authentifizierungspraxis, die bis zu dem Bußgeldbescheid nicht beanstandet worden sei, habe es dort an dem notwendigen Problembewusstsein gefehlt. Zudem sei zu berücksichtigten, dass es sich – auch nach der Ansicht des BfDI – nur um einen geringen Datenschutzverstoß handele. Diese habe nicht zur massenhaften Herausgabe von Daten an Nichtberechtigte führen können.




EuGH: Keine wirksame datenschutzrechtliche Einwilligung durch bereits vom für die Verarbeitung Verantwortlichen angekreuztes Kästchen auf Vertragsformular

EuGH
Urteil vom 11.11.2020
C-61/19
Orange România SA / Autoritatea Naţională de Supraveghere a Prelucrării Datelor cu Caracter Personal (ANSPDCP)


Der EuGH hat entschieden, dass keine wirksame datenschutzrechtliche Einwilligung durch ein bereits vom für die Verarbeitung Verantwortlichen angekreuztes Kästchen auf dem Vertragsformular vorliegt.

Die Pressemitteilung des EuGH:

Mit einem Vertrag über Telekommunikationsdienste, der die Klausel enthält, dass der Kunde in die Sammlung und Aufbewahrung einer Kopie seines Ausweisdokuments eingewilligt hat, kann nicht nachgewiesen werden, dass dieser seine Einwilligung gültig erteilt hat, wenn das betreffende Kästchen von dem für die Verarbeitung Verantwortlichen vor Unterzeichnung des Vertrags angekreuzt wurde

Gleiches gilt, wenn der Verbraucher über die Möglichkeit, den Vertrag auch bei Verweigerung dieser Datenverarbeitung abzuschließen, irregeführt wird oder wenn die freie Entscheidung, sich dieser Sammlung und Aufbewahrung zu widersetzen, beeinträchtigt wird, indem ein zusätzliches Formular verlangt wird, in dem diese Weigerung zum Ausdruck kommt Die Orange România SA bietet Mobiltelekommunikationsdienste auf dem rumänischen Markt an.

Am 28. März 2018 verhängte die Autoritatea Naţională de Supraveghere a Prelucrării Datelor cu Caracter Personal (ANSPDCP) (Nationale Behörde zur Überwachung der Verarbeitung personenbezogener Daten) gegen Orange România eine Geldbuße, weil sie Kopien der Ausweisdokumente ihrer Kunden ohne deren ausdrückliche Einwilligung aufbewahrt hatte.

Nach den Angaben dieser Behörde hatte Orange România im Zeitraum vom 1. März 2018 bis zum 26. März 2018 Verträge über Mobiltelekommunikationsdienste geschlossen, die die Klausel enthielten, dass die Kunden informiert wurden und in die Sammlung und Aufbewahrung einer Kopie ihres Ausweisdokuments mit Identifikationsfunktion einwilligten. Das diese Klausel betreffende Kästchen wurde vom für die Verarbeitung Verantwortlichen vor Unterzeichnung des Vertrags angekreuzt.

Vor diesem Hintergrund hat das Tribunalul București (Landgericht Bukarest, Rumänien) den Gerichtshof ersucht, klarzustellen, unter welchen Voraussetzungen die Einwilligung von Kunden in die Verarbeitung personenbezogener Daten als gültig angesehen werden kann.

Mit seinem heutigen Urteil weist der Gerichtshof zunächst darauf hin, dass das Unionsrecht eine abschließende Aufzählung der Fälle vorsieht, in denen die Verarbeitung personenbezogener Daten als rechtmäßig angesehen werden kann. Konkret muss die Einwilligung der betreffenden Person freiwillig, für den bestimmten Fall, in informierter Weise und unmissverständlich erfolgen.
Die Einwilligung wird bei Stillschweigen, bereits angekreuzten Kästchen oder Untätigkeit nicht gültig erteilt.

Zudem muss, wenn die Einwilligung der betroffenen Person durch eine schriftliche Erklärung erfolgt, die noch andere Sachverhalte betrifft, diese Erklärung in verständlicher und leicht zugänglicher Form zur Verfügung gestellt werden und in einer klaren und einfachen Sprache formuliert sein. Zur Sicherstellung einer echten Wahlfreiheit für die betroffene Person dürfen die
Vertragsbestimmungen diese nicht über die Möglichkeit irreführen, den Vertrag abschließen zu können, auch wenn sie sich weigert, in die Verarbeitung ihrer Daten einzuwilligen.

Der Gerichtshof erläutert, da Orange România die für die Verarbeitung personenbezogener Daten Verantwortliche ist, muss sie in der Lage sein, die Rechtmäßigkeit der Verarbeitung dieser Daten nachzuweisen, im vorliegenden Fall also das Vorliegen einer gültigen Einwilligung ihrer Kunden. Da die betroffenen Kunden das Kästchen in Bezug auf die Sammlung und die Aufbewahrung von Kopien ihres Ausweisdokuments anscheinend nicht selbst angekreuzt haben, ist der bloße Umstand, dass dieses Kästchen angekreuzt wurde, nicht geeignet, eine positive Einwilligungserklärung dieser Kunden nachzuweisen. Es ist Sache des nationalen Gerichts, die dafür erforderlichen Feststellungen zu treffen.

Es ist ebenfalls Sache des nationalen Gerichts, zu prüfen, ob die in Rede stehenden Vertragsbestimmungen die betroffenen Kunden mangels näherer Angaben zu der Möglichkeit, den Vertrag trotz der Weigerung, in die Verarbeitung ihrer Daten einzuwilligen, abzuschließen, hinsichtlich dieses Punkts irreführen konnten. Zudem führt der Gerichtshof aus, dass Orange
România für den Fall, dass ein Kunde die Einwilligung in die Verarbeitung seiner Daten verweigert hat, verlangt hat, dass dieser schriftlich erklärt, weder in die Sammlung noch in die Aufbewahrung der Kopie seines Ausweisdokuments einzuwilligen. Nach Ansicht des Gerichtshofs ist eine solche zusätzliche Anforderung geeignet, die freie Entscheidung, sich dieser Sammlung und Aufbewahrung zu widersetzen, ungebührlich zu beeinträchtigen. Da es jedenfalls Orange România obliegt, nachzuweisen, dass ihre Kunden ihre Einwilligung in die Verarbeitung ihrer personenbezogenen Daten durch aktives Verhalten bekundet haben, kann sie nicht von ihnen verlangen, dass sie ihre Weigerung aktiv bekunden.

Der Gerichtshof kommt daher zu dem Ergebnis, dass ein Vertrag über die Erbringung von Telekommunikationsdiensten, der die Klausel enthält, dass die betroffene Person über die Sammlung und die Aufbewahrung einer Kopie ihres Ausweisdokuments mit
Identifikationsfunktion informiert worden ist und darin eingewilligt hat, nicht als Nachweis dafür geeignet ist, dass diese Person ihre Einwilligung in die Sammlung und Aufbewahrung dieser Dokumente gültig erteilt hat, wenn a) das Kästchen, das sich auf diese Klausel bezieht, von dem für die Verarbeitung der Daten Verantwortlichen vor Unterzeichnung dieses Vertrags angekreuzt worden ist oder wenn b) die Vertragsbestimmungen dieses Vertrags die betroffene Person über die Möglichkeit, den Vertrag abzuschließen, auch wenn sie sich weigert, in die Verarbeitung ihrer Daten einzuwilligen, irreführen können oder wenn c) die freie Entscheidung, sich dieser Sammlung und Aufbewahrung zu widersetzen, von diesem Verantwortlichen ungebührlich beeinträchtigt wird, indem verlangt wird, dass die betroffene Person zur Verweigerung ihrer Einwilligung ein zusätzliches Formular unterzeichnet, in dem diese Weigerung zum Ausdruck kommt.


Den Volltext der Entscheidung finden Sie hier:



LG Frankenthal: Facebook darf Nutzerbeitrag bei Verdacht auf Hassposting vorübergehend sperren und prüfen

LG Frankenthal
Urteil vom 08.09.2020
6 O 23/20


Das LG Frankenthal hat entschieden, dass Facebook einen Nutzerbeitrag bei Verdacht Hassposting vorübergehen sperren und prüfen darf.

Aus den Entscheidungsgründen:

"1. Der Antrag Ziff. 1 auf Berichtigung der bei der Beklagten gespeicherten Daten des Klägers dahingehend, dass das Vorliegen eines Verstoßes gegen die Nutzungsbedingungen durch den am 18.10.2019 gelöschten Beitrag aus dem Datensatz gelöscht und der Zähler, der die Zahl der Verstöße erfasst, um einen Verstoß zurückgesetzt wird, ist unbegründet.

Der Kläger kann sich nicht auf einen solchen Anspruch gegenüber der Beklagten aus Art. 16 Satz 1 DSGVO berufen. Aus Art. 16 Satz 1 DSGVO folgt das Recht der betroffenen Person, von dem Verantwortlichen unverzüglich die Berichtigung sie betreffender unrichtiger personenbezogener Daten zu verlangen. Hinsichtlich der Unrichtigkeit der Daten ist aufgrund des Zusammenhangs und des Zwecks auf den Zeitpunkt der Datenerfassung abzustellen. Werturteile, die aufgrund der Datenverarbeitung entstehen, unterfallen nicht dem Berechtigungsanspruch (vgl. LG Köln, Urt. v. 13.05.2019 – 21 O 283/18, Anlage B31).

Unter Zugrundelegung dieser Maßstäbe ist nicht ersichtlich, dass unrichtige Daten des Klägers bzw. seines Nutzerkontos bei der Beklagten gespeichert sind. Vorliegend kann nur davon ausgegangen werden, dass eine Speicherung bezüglich des Nutzerkontos des Klägers dahingehend erfolgte, dass wegen eines angenommenen Verstoßes gegen die Gemeinschaftsstandards der streitgegenständliche Beitrag des Klägers sowie dessen Nutzerkonto am 18.10.2019 vorübergehend gelöscht bzw. gesperrt wurde, diese Löschung und Sperre aber am selben Tag wieder aufgehoben und der streitgegenständliche Beitrag wiederhergestellt wurde. Hierbei handelt es sich nicht um unrichtige Daten iSd Art. 16 Satz 1 DSGVO, da lediglich das tatsächliche Geschehen zutreffend wiedergegeben wurde. Insbesondere kommt es hier nicht darauf an, ob die Beklagte zur vorübergehenden Löschung des Beitrags und Sperrung des Nutzerkontos berechtigt war.

Es ist nicht ersichtlich, dass unrichtige Daten in der Form gespeichert wurden, dass tatsächlich ein Verstoß des Klägers gegen die Gemeinschaftsstandards erfasst wurde, weswegen der Kläger nun zu befürchten habe, dass bei etwaigen künftigen Verstößen ihn weitergehende Nachteile treffen würden. Die Beklagte hat im Rahmen der Klageerwiderung klargestellt, dass in den Daten des Klägers gerade nicht gespeichert ist, dass der Kläger mit der Veröffentlichung des streitgegenständlichen Beitrags gegen die vertraglichen Bestimmungen verstoßen hat. Der Kläger ist seiner Darlegungs- und Beweislast bezüglich der Unrichtigkeit der Daten nicht nachgekommen, da die Speicherung anderer Daten weder darlegen noch beweisen konnte.

2. Der auf Feststellung der Erledigung gerichtete Antrag Ziff. 3 ist unbegründet. Der Antrag wäre begründet, wenn der Klageantrag Ziff. 3 zulässig und begründet war, aber durch ein nach Anhängigkeit eingetretenes Ereignis unzulässig und/oder unbegründet geworden ist. Vorliegend war der ursprüngliche Klageantrag Ziff. 3 bereits im Zeitpunkt der Anhängigkeit unbegründet und ist nicht erst nachträglich unbegründet geworden. Der streitgegenständliche Beitrag wurde unstreitig am 18.10.2019 wiederhergestellt. Hinsichtlich des auf Wiederherstellung gerichteten ursprünglichen Klageantrags ist daher bereits am 18.10.2019 und somit vor Klageerhebung am 19.01.2020 Erfüllung gemäß § 362 Abs. 1 BGB eingetreten.

3. Der Klageantrag Ziff. 4 auf Unterlassung einer erneuten Sperrung des Benutzerkontos sowie Löschung des Beitrags ist unbegründet. Dem Kläger steht ein solcher Anspruch nicht nach §§ 1004, 241 Abs. 2 BGB zu, da es an der erforderlichen Voraussetzung der Wiederholungsgefahr fehlt.

a) Die tatsächliche Vermutung greift nicht, da es an einer früheren rechtswidrigen Beeinträchtigung fehlt. Die Beklagte war zur vorübergehenden Löschung des Beitrags und Sperrung des Nutzerkontos berechtigt, da der streitgegenständliche Beitrag den Anschein erweckte gegen die Gemeinschaftsstandards zu verstoßen.

aa) Die Parteien haben unstreitig einen Vertrag über die Nutzung des sozialen Netzwerks der Beklagten geschlossen, bei dem es sich um einen schuldrechtlichen Vertrag mit Elementen des Miet-, Werk- sowie Dienstvertragsrechts handelt (so auch: OLG München, Beschl. v. 24.08.2018 – 18 W 1294/18, NJW 2018, 3115).

bb) Die Beklagte war aufgrund ihrer wirksam einbezogenen Gemeinschaftsstandards berechtigt, den streitgegenständlichen Beitrag des Klägers vorübergehend zu löschen als auch das Nutzerkonto des Klägers vorübergehend zu sperren.

(1) Bei den Gemeinschaftsstandards handelt es sich um für eine Vielzahl von Verträgen vorformulierte Vertragsbedingungen und damit um AGB i.S.d. §§ 305 ff. BGB. Die Bedingungen hat die Beklagte durch Veröffentlichung auf ihrer Homepage wirksam einbezogen. Weder die in den Gemeinschaftsstandards niedergelegte Definition von "Gewalt und Anstiftung" sowie der „Hassrede“ noch die hieran anknüpfende Sanktion der Nutzungsbedingungen verstoßen gegen § 307 Abs. 1 S. 2 oder Abs. 2 BGB (so auch: OLG Dresden, Beschl. v. 08.08.2018 – 4 W 577/18, NJW 2018, 3111 zur vorangegangenen Regelung).

(a) Der Bewertung sind die aktualisierten Gemeinschaftsstandards zugrunde zu legen, da diese wirksam in den Vertrag zwischen den Parteien einbezogen wurden. Der Kläger hat auf den detaillierten Vortrag der Beklagten zur erteilten Zustimmung vom 01.05.2018 (Bl. 302 d. A.) nicht mehr substantiiert erwidert. Gründe, warum die neuen Standards zum 19.04.2018 durch nachträgliche Zustimmung des Klägers nicht wirksam geworden sein sollen, sind nicht ersichtlich. Insbesondere folgt dies nicht aus einer Unwirksamkeit der Einbeziehung auf Grund der im ursprünglichen Vertrag vorgesehenen Möglichkeit einer Anpassung der Gemeinschaftsstandards. Dass die Anbieter bekannter Onlinedienste ihre Nutzungsbedingungen fortdauernd anpassen, ist einem jeden durchschnittlich versierten Internetnutzer geläufig und kann keinesfalls als überraschend i.S.d. § 305c BGB bewertet werden. Der am 18.10.2019 geteilte streitgegenständliche Beitrag erfolgte nach dem Zeitpunkt der wirksamen Anpassung der Gemeinschaftsstandards im Frühjahr 2018.

(b) Die Regelungen sind insbesondere nicht unwirksam, weil sie die Nutzer als Vertragspartner der Beklagten entgegen den Geboten von Treu und Glauben nicht unangemessen i.S.d. § 307 Abs. 1 Satz 1 BGB benachteiligen. Es wird im Rahmen der Gemeinschaftsstandards ausführlich und verständlich ausgeführt, welche Art von Beiträgen durch die Beklagte nicht gestattet werden, da sie ihr soziales Netzwerk nicht für die Unterstützung von Hassorganisationen zur Verfügung stellen möchte. Insbesondere enthalten die Gemeinschaftsstandards eine ausführliche, in leicht verständlicher Sprache verfasste Definition der „Hassrede“ und „Hassorganisation“.

(c) Insbesondere erscheint die durch die Beklagte eröffnete Möglichkeit der Sperrung auch nicht ungewöhnlich i.S.d. § 305c BGB. Ob dies der Fall ist, beurteilt sich nach den Gesamtumständen des Vertrages hauptsächlich danach, ob eine Klausel vom Leitbild des Vertragstyps oder von den üblichen Vertragsbedingungen oder dem dispositiven Recht erheblich abweicht (vgl. BGH, Urt. v. 19.02.1992 – VIII ZR 65/91, NJW 1992, 1236). Eine solche Abweichung ist hier nicht ersichtlich. Gemessen an den gesetzlichen Maßstäben können die Gemeinschaftsstandards für den durchschnittlichen Nutzer kaum als überraschend qualifiziert werden: Denn fast alle vergleichbaren Kommunikationsplattformen kennen in der ein oder anderen Form vergleichbare Verhaltensregeln; sie sind auch in der Öffentlichkeit hinreichend diskutiert worden, durchaus in Gestalt als Kritik bezüglich der Löschung bzw. Sperrung an sich zulässiger Inhalte durch soziale Netzwerke, aber auch im Rahmen der Diskussion um das NetzDG bzw. „hate speech“. Daher dürfte es jedem durchschnittlichen Nutzer bewusst sein, dass Betreiber sozialer Netzwerke sich entsprechende Rechte vorbehalten und versuchen, Teilnahmebedingungen bzw. Qualitätsstandards durchzusetzen, auch wenn in den letzten Jahren eine Verrohung der Kommunikationssitten um sich gegriffen hat. Ferner sind die Bedingungen nicht unüblich, wie die Vertragswerke bzw. Regeln anderer Plattformen zeigen, so dass der durchschnittliche Nutzer mit ihnen rechnen kann (Spindler, CR 2019, 238, 241).

(2) Unter Anwendung der wirksam einbezogenen Gemeinschaftsstandards im vorliegenden Fall durfte die Beklagte den streitgegenständlichen Beitrag dem ersten Anschein nach als Verstoß gegen die Gemeinschaftsstandards werten und daher vorübergehend sperren.

(a) Zunächst kann sich der Kläger nicht darauf berufen, dass er sich durch das Teilen des streitgegenständlichen Beitrags den Inhalt nicht zu eigen macht. Bereits begrifflich ist das Teilen als konkludentes Zueigenmachen zu werten und zielt darauf ab, auf den geteilten Beitrag hinzuweisen. Etwas anderes könnte erst dann angenommen werden, wenn im Rahmen des Teilens durch einen ergänzenden Beitrag eine Distanzierung des Teilenden von dem Inhalt des geteilten Beitrags vorgenommen wird. Sodann könnte man das Teilen lediglich als Verweis auf fremde Inhalte und Meinungen ansehen. Vorliegend fehlt es jedoch an jeglicher Stellungnahme des Klägers zu dem geteilten Beitrag. Hieraus lässt sich nicht auf eine Distanzierung schließen. Vielmehr ist bei einem Teilen ohne einer ergänzenden Bemerkung davon auszugehen, dass der Teilende allein auf den geteilten Beitrag Bezug nehmen möchte und sich diesen zu eigen macht.

(b) Eine Abbildung von Adolf Hitler als Anführer der NSDAP, die zweifellos eine terroristische und kriminelle Organisation im Sinne der Gemeinschaftsstandards darstellt, ist stets darauf zu prüfen, ob die Abbildung als Unterstützung dieser kriminellen Organisation zu werten ist. Vorliegend fehlt es an jeglicher kritischen Auseinandersetzung mit der Person Adolf Hitlers und es erfolgt ebenso wenig eine offensichtlich lächerliche Darstellung. Vielmehr kann die Darstellung Adolf Hitlers Game Boy spielend auf dem Sofa als Verharmlosung angesehen werden. Nach Auffassung des OLG München (Beschl. v. 30.11.2018 – 24 W 1771/18, GRUR-RS 2018, 50857) ist eine Abbildung samt Wortbeiträgen ohne jede Distanzierung als Unterstützung von Hitler bzw. der NSDAP zu werten. Aus verständiger und unvoreingenommener Sicht konnte der streitegegenständliche Beitrag im Rahmen einer ersten Überprüfung somit durchaus als Hassrede verstanden werden. Die vorübergehende Löschung ist daher keineswegs als willkürlich zu bewerten, sondern wurde durch den Beitrag des Klägers veranlasst. Aufgrund der in Betracht kommenden Hassrede war die Beklagte berechtigt im Rahmen einer schnellen Reaktion eine vorläufige Sperre des Beitrags vorzunehmen. Zudem ist ihr im Rahmen der ersten Beurteilung ein gewisser Ermessensspielraum einzuräumen ohne dass dies im Falle einer fehlerhaften Ersteinschätzung sogleich weitere Rechtsfolgen nach sich zieht (LG Karlsruhe, Urt. v. 04.07.2019 – 2 O 160/18, Anlage B33).

b) Selbst wenn man die vorübergehende Löschung des Beitrags und Sperrung des Kontos nicht durch die Gemeinschaftsstandards als gedeckt ansehen würde - wovon das Gericht jedoch ausgeht -, fehlt es an der Wiederholungsgefahr. Das konkrete Verhalten der Beklagten, die noch am selben Tag den streitgegenständlichen Beitrag wiederherstellte und die Sperrung des Nutzerkontos aufhob, zeigt, dass diese konkludent anerkannt hat, dass der streitgegenständliche Beitrag nicht gegen ihre Gemeinschaftsstandards verstößt. Es ist daher nicht damit zu rechnen, dass die Beklagte denselben Beitrag erneut löschen oder zum Anlass für eine erneute Sperrung des Nutzerkontos des Klägers nehmen wird (LG Köln, Urt. v. 13.05.2019 – 21 O 283/18, Anlage B31; LG Karlsruhe, Urt. v. 04.07.2019 – 2 O 160/18, Anlage B33). Es fehlt bereits an jeglichem Anhaltspunkt, warum die Beklagte den Beitrag überhaupt erneut prüfen und sodann bei erneuter Prüfung zu einem anderen Ergebnis kommen sollte (LG Hamburg, Urt. v. 02.12. 2019 – 322 O 109/19, Anlage B86).

4. Der Klageantrag Ziff. 5 ist bereits mangels Schlüssigkeit unbegründet. Ein Auskunftsanspruch kann sich grundsätzlich aus § 242 BGB ergeben, wenn die zwischen den Parteien bestehende Rechtsbeziehung es mit sich bringt, dass der Auskunftsberechtigte in entschuldbarer Weise über Bestehen oder Umfang seines Rechts im Ungewissen ist und der Verpflichtete die zur Beseitigung der Ungewissheit erforderliche Auskunft unschwer erteilen kann (Palandt/Grüneberg, BGB, 78. Aufl. § 260 Rn. 4 m.w.N.). Verpflichtet ist dabei in der Regel derjenige, gegen den der Leistungsanspruch geltend gemacht werden soll, für den die Auskunft benötigt wird (Palandt/Grüneberg BGB, 78. Aufl. § 260 Rn. 9). Inwieweit die hier begehrten Informationen allerdings für die Durchsetzung der von dem Kläger geltend gemachten Ansprüche erforderlich sind, ist weder ersichtlich noch schlüssig dargetan. Insbesondere ist es für die erhobenen Ansprüche vollkommen unerheblich, ob die Sperre durch die Beklagte selbst oder in ihrem Auftrag durch einen externen Dienstleister vorgenommen wurde. Es ist zudem nicht ersichtlich, dass die Einschaltung von Drittunternehmen weitere Ansprüche des Klägers gegen die Beklagte begründen könnte, zumal sich aus den AGB der Beklagten, insbesondere deren Datenrichtlinie, sehr weit gehende Rechte zur Nutzung und Weitergabe der von den Nutzern ihrer Dienste erhobenen Daten ergeben und nicht ersichtlich ist, dass durch die Offenlegung gegenüber beauftragten Unternehmen ein Schaden entstehen könnte (OLG München, Beschl. v. 22.08.2019 – 18 U 1310/19, BeckRS 2019, 26477). Der Kläger trägt auch nicht substantiiert vor, unter welchem Gesichtspunkt ihm Ansprüche gegen Dritte auf Grundlage der Auskunftserteilung zustehen könnten.

5. Der Auskunftsantrag Ziff. 6 ist ebenfalls unbegründet. Für die erhobenen Ansprüche ist es unerheblich, ob die Bundesregierung irgendwelche Erklärungen gegenüber der Beklagten hinsichtlich der Löschung von Beiträgen abgegeben hat. Somit fehlt es an einer schlüssigen Darlegung, inwiefern die begehrte Information zur Durchsetzung der Klageansprüche erforderlich ist. Ein Interesse des Klägers an der Auskunft darüber, ob die Beklagte „Weisungen, Hinweise, Ratschläge oder sonst irgendwelche Vorschläge von der Bundesregierung oder nachgeordneten Dienststellen hinsichtlich der Löschung von Beiträgen und/oder der Sperrung von Nutzern erhalten hat“, legt der Kläger in seinem Vorbringen nicht schlüssig dar. Zudem werden auch keine Anhaltspunkte vorgetragen, die für eine Einflussnahme der Bundesregierung oder sonstiger Bundesbehörden auf Sperrungen oder Löschungen durch die Beklagte sprechen könnten (OLG München, Beschl. v. 22.08.2019 – 18 U 1310/19, BeckRS 2019, 26477).

6. Der in Ziff. 7 geltend gemachte Anspruch auf Schadensersatz oder Zahlung eines „Schmerzensgeldes“ i.H.v 1.500,00 € ist unbegründet, da er dem Kläger unter keinem in Betracht kommenden rechtlichen Gesichtspunkt zusteht. Ein Schadensersatzanspruch, sei es aus § 280 Abs. 1 oder §§ 823 ff. BGB, scheitert – ungeachtet aller übrigen Voraussetzungen – daran, dass der Kläger nicht nachvollziehbar dargelegt hat, dass ihm ein materieller Schaden in Höhe des geltend gemachten Betrags entstanden ist. Die Darlegungs- und Beweislast für die Entstehung des Schadens und dessen Höhe trifft bei sämtlichen Haftungstatbeständen den Geschädigten (vgl. Palandt/Grüneberg, BGB, 78. Aufl. § 280 Rn. 34; Palandt/Sprau, BGB, 78 Aufl. § 823 Rn. 80 f.).

a) Vorliegend fehlt es bereits nach dem klägerischen Vortrag an der schlüssigen Darlegung des geltend gemachten Betrages in Höhe von 1.500,00 €. Nach der klägerischen Auffassung sind als Schadensersatz 50,00 € für jeden Tag, an welchem der Kläger sein Konto nicht nutzen konnte, zugrunde zu legen. Die Sperrung des klägerischen Nutzerkontos dauerte im gegebenen Fall keine 24 Stunden, weswegen nicht einmal der Schadensersatz für einen Tag schlüssig dargelegt ist. Erst recht ist nicht ersichtlich, wieso der Sperrung des Nutzerkontos des Klägers für ein paar Stunden ein Wert von 1.500,00 € zukommen solle.

b) Der Kläger verkennt darüber hinaus hinsichtlich des geltend gemachten Schadens, dass der zeitweiligen Einschränkung seiner privaten Kommunikationsmöglichkeiten auf dem sozialen Netzwerk der Beklagten für sich genommen kein Vermögenswert zukommt. Die Einschränkung des „Kontakts nach außen“ kann allenfalls im Rahmen des von § 823 Abs. 1 BGB als „sonstiges Recht“ geschützten Rechts am eingerichteten und ausgeübten Gewerbebetrieb (vgl. hierzu Palandt/Sprau, BGB, 78. Aufl. § 823 Rn. 133 ff.) einen Vermögensschaden begründen. Wegen eines immateriellen Schadens kann gem. § 253 Abs. 1 BGB Entschädigung in Geld nur in den gesetzlich bestimmten Fällen gefordert werden. Die tatbestandlichen Voraussetzungen eines Schmerzensgeldanspruchs aus § 253 Abs. 2 BGB liegen offensichtlich nicht vor. Der Kläger ist nicht in einem der in dieser Vorschrift genannten Rechtsgüter verletzt worden. Auf andere Rechtsgüter und absolute Recht ist die Vorschrift nicht entsprechend anwendbar (Palandt/Grüneberg, BGB, 78. Aufl. § 253 Rn. 11). Dem Kläger steht schließlich auch kein Anspruch auf eine Geldentschädigung wegen Verletzung seines allgemeinen Persönlichkeitsrechts gemäß Art. 2 Abs. 1, 1 Abs. 1 GG zu (OLG München, Urt. v. 07.01.2020 – 18 U 1491/19Pre, GRUR-RR 2020, 174).

7. Mangels zu bejahendem Hauptanspruchs besteht auch kein Anspruch auf die in Ziff. 8 a) beantragte Freistellung von außergerichtlichen Rechtsanwaltskosten. Zudem sind unter dem Gesichtspunkt des Verzugsschadens Rechtsverfolgungskosten nur dann zu erstatten, wenn die Inanspruchnahme anwaltlicher Hilfe zur Wahrung und Durchsetzung der Rechte unter den Umständen des Falles erforderlich und zweckmäßig ist. Zum Zeitpunkt der Beauftragung war die Löschung und Sperrung bereits rückgängig gemacht worden, weswegen die Beauftragung eines Rechtsanwalts nicht erforderlich war."

Den Volltext der Entscheidung finden Sie hier:



LG Frankfurt: Datenschutzrechtlicher Unterlassungsanspruch bei rechtswidriger Verarbeitung - Keine Sperrwirkung durch Art. 79 DSGVO

LG Frankfurt
Beschluss vom 15.10.2020
2-03 O 356/20


Das LG Frankfurt hat entschieden, dass der Betroffene bei rechtswidriger Verarbeitung seiner personenbezogenen Daten einen datenschutzrechtlichen Unterlassungsanspruch hat und diesen auch im Wege einer einstweiligen Verfügung durchsetzen kann. Art. 79 DSGVO entfaltet insoweit keine Sperrwirkung.

Aus den Entscheidungsgründen:

Die Kammer geht insoweit davon aus, dass der Betroffene auch datenschutzrechtliche Ansprüche im Wege des Unterlassungsanspruchs geltend machen kann und solche Ansprüche nicht durch Art. 79 DSGVO gesperrt sind (vgl. auch LG Frankfurt a.M., Urt. v. 13.09.2018 – 2-03 O 283/18, ZD 2018, 587; LG Darmstadt, Urt. v. 26.05.2020 – 13 O 244/19; Ehmann/Selmayr-Kamann/Braun, Art. 21 Rn. 5; Kühling/Buchner/Bergt, 3. Aufl. 2020, DS-GVO Art. 79 Rn. 1, 15a; Spindler/Schuster/Spindler/Dalby, 4. Aufl. 2019, DS-GVO Art. 79 Rn. 17; Paal/Pauly/Martini, 2. Aufl. 2018 Rn. 12, DS-GVO Art. 79 Rn. 12; MAH-ArbR-Dendorfer-Ditges, 4. Aufl. 2017, § 35 Rn. 259). Der Antragsgegner kann sich für die Verwendung der Daten auch nicht auf einen der Gründe in Art. 6 Abs. 1 DSGVO berufen. Der Aushang der Daten des Mietvertrags ist nicht vom Vertragszweck nach Art. 6 Abs. 1 lit. b) DSGVO gedeckt. Dass der Antragsgegner sich auf ein berechtigtes Interesse nach Art. 6 Abs. 1 lit. f) DSGVO berufen könnte, ist weder vorgetragen noch sonst ersichtlich.

Soweit der Antragsgegner in seiner Stellungnahme im Rahmen der schriftlichen Anhörung anführt, dass Abmahnung und Antragsschrift nicht deckungsgleich seien, was nach Auffassung der Kammer zutrifft, führt dies im hiesigen Fall nicht zur Zurückweisung des Antrags, sondern nur zu einer – von der Kammer erfüllten – Anhörungsobliegenheit des Gerichts.


Den Volltext der Entscheidung finden Sie hier:



ArbG Dresden: 1.500 EURO Schadensersatz aus Art 82 Abs.1 DSGVO für unberechtigte Weitergabe von Gesundheitsdaten durch ehemaligen Arbeitgeber an Behörde

ArbG Dresden
Urteil vom 26.08.2020
13 Ca 1046/20


Das ArbG Dresden hat 1.500 EURO Schadensersatz aus Art 82 Abs.1 DSGVO für die unberechtigte Weitergabe von Gesundheitsdaten durch einen ehemaligen Arbeitgeber an eine Behörde zugesprochen.

LAG Hannover: Auskunftsanspruch nach Art. 15 DSGVO umfasst nicht den vom Anspruchsteller selbst geführten E-Mail-Verkehr

LAG Hannover
Urteil vom 09.06.2020
9 Sa 608/19


Das LAG Hannover hat entschieden, dass der Auskunftsanspruch nach Art. 15 DSGVO nicht den vom Anspruchsteller selbst geführten E-Mail-Verkehr umfasst. Sinn- und Zweck des Auskunftsanspruchs ist es - so das Gericht -, dass der betroffenen Person eine Überprüfung der Datenverarbeitung ermöglicht wird. Hingegen bezweckt Art. 15 DSGVO nicht, dass die betroffene Person eine vollständige Kopie aller Unterlagen erhält.

BAG legt EuGH Fragen zur ordentlichen Kündigung des Arbeitsverhältnisses des Datenschutzbeauftragten und der Vereinbarkeit von §§ 6 Abs. 4 Satz 2, 38 BDSG mit Art. 38 DSGVO vor

BAG
Beschluss vom 30.7.2020
2 AZR 225/20 (A)


Das BAG hat dem EuGH Fragen zur ordentlichen Kündigung des Arbeitsverhältnisses des Datenschutzbeauftragten und der Vereinbarkeit von §§ 6 Abs. 4 Satz 2, 38 BDSG mit Art. 38 DSGVO zur Entscheidung vorgelegt.

Leitsätze des BAG:

Der Gerichtshof der Europäischen Union wird gemäß Art. 267 des Vertrags über die Arbeitsweise der Europäischen Union (AEUV) um die Beantwortung der folgenden Fragen ersucht:

1. Ist Art. 38 Abs. 3 Satz 2 der Verordnung (EU) 2016/679 (Datenschutz-Grundverordnung; im Folgenden DSGVO) dahin auszulegen, dass er einer Bestimmung des nationalen Rechts, wie hier § 38 Abs. 1 und Abs. 2 iVm. § 6 Abs. 4 Satz 2 des Bundesdatenschutzgesetzes (BDSG), entgegensteht, die die ordentliche Kündigung des Arbeitsverhältnisses des Datenschutzbeauftragten durch den Verantwortlichen, der sein Arbeitgeber ist, für unzulässig erklärt, unabhängig davon, ob sie wegen der Erfüllung seiner Aufgaben erfolgt?

Falls die erste Frage bejaht wird:

2. Steht Art. 38 Abs. 3 Satz 2 DSGVO einer solchen Bestimmung des nationalen Rechts auch dann entgegen, wenn die Benennung des Datenschutzbeauftragten nicht nach Art. 37 Abs. 1 DSGVO verpflichtend ist, sondern nur nach dem Recht des Mitgliedstaats?

Falls die erste Frage bejaht wird:

3. Beruht Art. 38 Abs. 3 Satz 2 DSGVO auf einer ausreichenden Ermächtigungsgrundlage, insbesondere soweit er Datenschutzbeauftragte erfasst, die in einem Arbeitsverhältnis zum Verantwortlichen stehen?


Den Volltext der Entscheidung finden Sie hier:

Hamburger Datenschutzbeauftragter: DSGVO - 35,3 Millionen Euro Bußgeld gegen H&M wegen datenschutzwidriger Mitarbeiterüberwachung im Servicecenter von H&M

Der Hamburgische Beauftragte für Datenschutz und Informationsfreiheit (HmbBfDI) hat gegen H&M ein Bußgeld in Höhe von 35,3 Millionen Euro wegen datenschutzwidriger Mitarbeiterüberwachung im Servicecenter von H&M verhängt.

35,3 Millionen Euro Bußgeld wegen Datenschutzverstößen im Servicecenter von H&M

Im Fall der Überwachung von mehreren hundert Mitarbeiterinnen und Mitarbeitern des H&M Servicecenters in Nürnberg durch die Center-Leitung hat der Hamburgische Beauftragte für Datenschutz und Informationsfreiheit (HmbBfDI) einen Bußgeldbescheid in Höhe von 35.258.707,95 Euro gegen die H&M Hennes & Mauritz Online Shop A.B. & Co. KG erlassen.

Die Gesellschaft mit Sitz in Hamburg betreibt ein Servicecenter in Nürnberg. Mindestens seit dem Jahr 2014 kam es bei einem Teil der Beschäftigten zu umfangreichen Erfassungen privater Lebensumstände. Entsprechende Notizen wurden auf einem Netzlaufwerk dauerhaft gespeichert. Nach Urlaubs- und Krankheitsabwesenheiten – auch kurzer Art – führten die vorgesetzten Teamleader einen sogenannten Welcome Back Talk durch. Nach diesen Gesprächen wurden in etlichen Fällen nicht nur konkrete Urlaubserlebnisse der Beschäftigten festgehalten, sondern auch Krankheitssymptome und Diagnosen. Zusätzlich eigneten sich einige Vorgesetzte über Einzel- und Flurgespräche ein breites Wissen über das Privatleben ihrer Mitarbeitenden an, das von eher harmlosen Details bis zu familiären Problemen sowie religiösen Bekenntnissen reichte. Die Erkenntnisse wurden teilweise aufgezeichnet, digital gespeichert und waren mitunter für bis zu 50 weitere Führungskräfte im ganzen Haus lesbar. Die Aufzeichnungen wurden bisweilen mit einem hohen Detailgrad vorgenommen und im zeitlichen Verlauf fortgeschrieben. Die so erhobenen Daten wurden neben einer akribischen Auswertung der individuellen Arbeitsleistung u.a. genutzt, um ein Profil der Beschäftigten für Maßnahmen und Entscheidungen im Arbeitsverhältnis zu erhalten. Die Kombination aus der Ausforschung des Privatlebens und der laufenden Erfassung, welcher Tätigkeit sie jeweils nachgingen, führte zu einem besonders intensiven Eingriff in die Rechte der Betroffenen.

Bekannt wurde die Datenerhebung dadurch, dass die Notizen infolge eines Konfigurationsfehlers im Oktober 2019 für einige Stunden unternehmensweit zugreifbar waren. Nachdem der Hamburgische Beauftragte für Datenschutz und Informationsfreiheit über die Datensammlung durch Presseberichte informiert wurde, ordnete er zunächst an, den Inhalt des Netzlaufwerks vollständig „einzufrieren“ und verlangte dann die Herausgabe. Das Unternehmen kam dem nach und legte einen Datensatz von rund 60 Gigabyte zur Auswertung vor. Vernehmungen zahlreicher Zeuginnen und Zeugen bestätigten nach Analyse der Daten die dokumentierten Praktiken.

Die Aufdeckung der erheblichen Verstöße hat die Verantwortlichen zur Ergreifung verschiedener Abhilfemaßnahmen veranlasst. Dem HmbBfDI wurde ein umfassendes Konzept vorgelegt, wie von nun an am Standort Nürnberg Datenschutz umgesetzt werden soll. Zur Aufarbeitung der vergangenen Geschehnisse hat sich die Unternehmensleitung nicht nur ausdrücklich bei den Betroffenen entschuldigt. Sie folgt auch der Anregung, den Beschäftigten einen unbürokratischen Schadenersatz in beachtlicher Höhe auszuzahlen. Es handelt sich insoweit um ein bislang beispielloses Bekenntnis zur Unternehmensverantwortung nach einem Datenschutzverstoß. Weitere Bausteine des neu eingeführten Datenschutzkonzepts sind unter anderem ein neu berufener Datenschutzkoordinator, monatliche Datenschutz-Statusupdates, ein verstärkt kommunizierter Whistleblower-Schutz sowie ein konsistentes Auskunfts-Konzept.

Hierzu Prof. Dr. Johannes Caspar, der Hamburgische Beauftragte für Datenschutz und Informationsfreiheit: „Der vorliegende Fall dokumentiert eine schwere Missachtung des Beschäftigtendatenschutzes am H&M-Standort Nürnberg. Das verhängte Bußgeld ist dementsprechend in seiner Höhe angemessen und geeignet, Unternehmen von Verletzungen der Privatsphäre ihrer Beschäftigten abzuschrecken.

Ausdrücklich positiv ist das Bemühen der Konzernleitung zu bewerten, die Betroffenen vor Ort zu entschädigen und das Vertrauen in das Unternehmen als Arbeitgeber wiederherzustellen. Die transparente Aufklärung seitens der Verantwortlichen und die Gewährleistung einer finanziellen Kompensation zeigen durchaus den Willen, den Betroffenen den Respekt und die Wertschätzung zukommen zu lassen, die sie als abhängig Beschäftigte in ihrem täglichen Einsatz für ihr Unternehmen verdienen.“

OLG Dresden: Löschung von Posts durch soziales Netzwerk ist Verarbeitung von Daten im Sinne der DSGVO löst allein aber keinen Schadensersatzanspruch nach Art. 82 DSGVO aus

OLG Dresden
Urteil vom 20.08.2020
4 U 784/20


Das OLG Dresden hat entschieden, dass die Löschung von Posts durch ein soziales Netzwerk eineVerarbeitung von Daten im Sinne der DSGVO ist, aber allein keinen Schadensersatzanspruch nach Art. 82 DSGVO auslöst.

Leitsätze des Gerichts:

1. Die Änderung der Nutzungsbedingungen eines sozialen Netzwerkes kann wirksam durch Anklicken einer Schaltfläche in einem "pop-up"-Fenster erfolgen (Festhaltung Senat, Beschluss vom 19. November 2019 - 4 U 1471/19, juris).

2. Auskunftsansprüche gegen den Betreiber eines sozialen Netzwerkes, ob und durch welches beauftragte Drittunternehmen die Löschung eines Beitrages vorgenommen wurde, kommen mangels einer schuldrechtlichen Sonderbindung nicht in Betracht.

3. Die Löschung von Posts ist grundsätzlich eine Verarbeitung von Daten im Sinne der DSGVO; sie stellt jedoch für sich genommen noch keinen ersatzfähigen Schaden dar (Festhaltung Senat, Beschlusse vom 11. Dezember 2019 - 4 U 1680/19, juris).

Aus den Entscheidungsgründen:

c) Schließlich scheidet auch ein Anspruch auf Zahlung von 1.500,00 € mangels Anspruchsgrundlage für einen Zahlungsanspruch aus.

(1) Der aus Art. 1, 2 Abs. 1 GG hergeleitete Anspruch auf eine immaterielle Geldentschädigung liegt nicht bei jeder Verletzung des allgemeinen Persönlichkeitsrechts, schon gar nicht bei jeder Vertragsverletzung vor. Er setzt vielmehr voraus, dass ihm ein schwerwiegender Eingriff in das allgemeine Persönlichkeitsrecht zugrunde liegt und die hiervon ausgehende Beeinträchtigung nicht in anderer Weise befriedigend aufgefangen werden kann. Dabei hängt die Entscheidung, ob eine hinreichend schwerwiegende Verletzung des Persönlichkeitsrechts vorliegt, insbesondere von der Bedeutung und Tragweite des Eingriffs, ferner auch von Anlass und Beweggrund des Handelnden sowie von
dem Grad seines Verschuldens ab (Senat Urteil vom 30. Januar 2018 – 4 U 1110/17 –, Rn. 4, juris mit weiteren Nachweisen). Dass der Kläger durch die Löschung des Beitrages und die zeitlich befristete Sperrung von dreißig Tagen eine solche Beeinträchtigung erlitten haben soll, wird nicht behauptet und erscheint auch nicht vorstellbar. Der Kläger bemisst seine immaterielle Einbuße mit lediglich 1500,- € und gibt hierdurch zu erkennen, dass er selbst dem Verhalten der Beklagten keine hinreichende Eingriffsschwere beimisst. Nach der ständigen Rechtsprechung des Senats (Senat a.a.O; Urteil vom 13. Februar 2018 – 4 U 1234/17 –, juris) liegt die Mindestuntergrenze für eine Geldentschädigung bei 2500,- €. Unterhalb dieser Mindestuntergrenze ist regelmäßig davon auszugehen, dass die
erforderliche hinreichende Eingriffsschwere nicht vorliegt. So ist es auch hier.

(2) Bereicherungsrechtliche Ansprüche auf eine fiktive Lizenzgebühr aus § 812 BGB kann der Kläger ebenfalls nicht geltend machen. Ob die Beklagte seine Daten während des Zeitraums der Sperrung seine persönlichen Daten zu Werbezwecken tatsächlich genutzt hat, kann hierfür dahinstehen. Denn jedenfalls hatte der Kläger nach seinem eigenen Vortrag in der Klageschrift mit der Nutzung seine Einwilligung zu der in den Nutzungsbedingungen festgelegten Befugnis, „alle Beiträge und erhaltenen Daten dauerhaft zu speichern und zu nutzen" erteilt. Einen Vorbehalt für den Zeitraum etwaiger Sperrungen hatte er nicht erklärt. Eine rechtsgrundlose Nutzung von durch das allgemeine Persönlichkeitsrecht geschützten Daten liegt nach alledem nicht vor. Auch für einen fiktiven Schadensersatz nach den Grundsätzen der Lizenzanalogie fehlt es an den erforderlichen Voraussetzungen. Für einen
Schadensersatzanspruch nach §§ 280, 241 BGB i.V.m. dem Nutzungsvertrag enthält der Vortrag in der Klageschrift keine substantiierten Tatsachengrundlagen.

(3) Schließlich scheiden auch die geltend gemachten Ansprüche nach Art. 82 Abs. 1 DSGVO aus. Jede Person, der wegen eines Verstoßes gegen diese Verordnung ein materieller oder immaterieller Schaden entstanden ist, hat hiernach Anspruch auf Schadenersatz gegen den Verantwortlichen. Ein Verstoß gegen die Vorgaben der Datenschutzgrundverordnung liegt jedoch nicht vor. Erhebung und Verarbeitung seiner Daten, wozu gem. Art. 4 Nr. 2 DSGVO auch die Löschung des streitgegenständlichen Posts und die Sperrung seines Kontos zählen, beruhen auf der vom Kläger vorab erteilten Zustimmung zu den Nutzungsbedingungen der Beklagten (Art. 6 Abs. 1 lit a DSGVO). Diese ist gerade nicht daran geknüpft, dass auch die Beklagte ihren vertraglichen Verpflichtungen nachkommt und umfasst daher auch Zeiträume, in denen der Account gesperrt ist. Dass dem Kläger durch die Sperrung ein materieller oder immaterieller Schaden im Sinne des Art. 82 DSGVO entstanden wäre, kann der Senat überdies nicht erkennen. Die bloße Sperrung seiner Daten stellt ebenso wie der Datenverlust noch keinen Schaden im Sinne der DSGVO dar (Wybitu/Haß/Albrecht, NJW 2018 S. 113 (114). Die behauptete Hemmung in der Persönlichkeitsentfaltung durch die dreißigtägige Sperrung hat allenfalls Bagatellcharakter, was die Zuerkennung eines immateriellen Schadensersatzes nicht rechtfertigt (zu den geltend gemachten Auskunfts- und Schadensersatzansprüchen so bereits ausdrücklich Senatsbeschluss vom 11.12.2019 - 4 U 1680/19 im Hinblick auf eine insofern ebenfalls gleichgelagerte Berufungsbegründung).


Den Volltext der Entscheidung finden Sie hier:.

BGH: § 22 und § 23 KUG gelten im journalistischen Bereich auch nach Inkrafttreten der DSGVO fort - Zur Zulässigkeit der Wort- und Bildberichterstattung über ein Scheidungsverfahren

BGH
Urteil vom 07.07.2020 - VI ZR 246/19
Urteil vom 07.07.2020 - VI ZR 250/19
GG Art. 1 Abs. 1, Art. 2 Abs. 1, Art. 5 Abs. 1; BGB § 823 Abs. 1, § 1004 Abs. 1 Satz 2; KUG § 22, § 23


Der BGH hat entschieden, dass § 22 und 23 KUG im journalistischen Bereich auch nach Inkrafttreten der DSGVO fortgelten. In dem Rechtsstreit ging es um die Zulässigkeit der Wort- und Bildberichterstattung über eine Scheidungsverfahren.

Leitsatz des BGH - VI ZR 246/19:
Zur Zulässigkeit einer Wort- und Bildberichterstattung über ein Scheidungsverfahren.
BGH, Urteil vom 7. Juli 2020 - VI ZR 246/19 - OLG Köln - LG Köln

Leitsatz des BGH - VI ZR 250/19:
Zur Zulässigkeit einer Wort- und Bildberichterstattung im Internet über ein Scheidungsverfahren.
BGH, Urteil vom 7. Juli 2020 - VI ZR 250/19 - OLG Köln - LG Köln

Aus den Entscheidungsgründen (VI ZR 246/19):

"Der Anwendbarkeit der §§ 22, 23 KUG steht im hier betroffenen journalistischen Bereich die zwischenzeitlich eingetretene Geltung der Verordnung (EU) 2016/679 des Europäischen Parlaments und des Rates vom 27. April 2016 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten, zum freien Datenverkehr und zur Aufhebung der Richtlinie 95/46/EG (Datenschutz-Grundverordnung/DS-GVO, ABl. L 119 S. 1, ber. ABl. L 314 S. 72 und ABl. 2018 L 127 S. 2) schon deshalb nicht entgegen, weil die Länder aufgrund der Öffnungsklausel des Art. 85 DS-GVO Datenverarbeitungen zu journalistischen Zwecken von den die Rechtmäßigkeit der Datenverarbeitung betreffenden Vorschriften in Art. 6 und Art. 7 DS-GVO ausgenommen haben (so z.B. in § 19 Abs. 1 Berliner Datenschutzgesetz - BlnDSG vom 13. Juni 2018 [GVBl. S. 418]; § 12 Pressegesetz für das Land Nordrhein-Westfalen - Landespressegesetz NRW in der Fassung des Gesetzes vom 8. Mai 2018 [GV. NRW. S. 214]) und die §§ 22, 23 KUG im Hinblick auf die Beurteilung der Zulässigkeit von Bildveröffentlichungen im journalistischen Bereich als die Öffnungsklausel des Art. 85 DS-GVO ausfüllende Gesetze anzusehen sind (vgl. zum sogenannten Medienprivileg BVerfG, AfP 2020, 35 Rn. 11 f., 74; Senatsurteil vom 9. Februar 2010 - VI ZR 244/08, juris Rn. 25 f., 41 mwN; zum Meinungsstand in der Literatur vgl. Lauber-Rönsberg, AfP 2019, 373 Rn. 29 ff. mwN; Cornils in BeckOK InfoMedienR, 28. Ed., DS-GVO Art. 85 Rn. 114 ff. mwN)."

Die Volltexte der Entscheidungen finden Sie hier:
VI ZR 246/19
VI ZR 250/19

LG Hamburg: Kein Anspruch auf Ersatz immaterieller Schäden bzw. Schmerzensgeld aus Art. 82 DSGVO durch Datenschutzverstoß allein - Schaden z.B. durch Persönlichkeitsrechtsverletzung erforderlich

LG Hamburg
Urteil vom 04.09.2020
324 S 9/19


Das LG Hamburg hat entschieden, dass kein Anspruch auf Ersatz immaterieller Schäden bzw. Schmerzensgeld aus Art. 82 DSGVO allein aufgrund eines Verstoßes gegen die Normen der DSGVO besteht. Vielmehr muss auch tatsächlich ein Schaden z.B. durch eine Persönlichkeitsrechtsverletzung entstanden sein.

Aus den Entscheidungsgründen:

1) Der Klägerin steht gegen den Beklagten ein Anspruch auf Erstattung der Abmahnkosten zu, allerdings nur nach einem Gegenstandswert von € 3.000,--.

Dabei kann dahinstehen, ob der Anspruch auf § 1004 Abs. 1 BGB analog, § 823 Abs. 1 BGB oder auf § 1004 Abs. 1 BGB analog, § 823 Abs. 2 BGB, Art. 6 Abs. 1, 17 Abs. 1 lit. d DSGVO gestützt wird, da in jedem Fall eine Abwägung der Interessen zugunsten der Klägerin ausfällt.

Der Beklagte ist Verantwortlicher i.S.d. Art. 4 Nr. 7 DSGVO für die ordnungsgemäße Verarbeitung der personenbezogenen Daten (Art. 4 Nr. 1 DSGVO) der Klägerin. Er hat die Daten der Klägerin durch die Erfassung in dem Terminsformular seiner Webseite verarbeitet und durch die öffentliche Freischaltung auch verbreitet (Art. 4 Nr. 2 DSGVO). In die Verbreitung ihrer Daten hat die Klägerin auch nicht eingewilligt.

Der Beklagte kann sich nicht durch einen Verweis auf seinen Dienstleister exkulpieren, da dies nichts an der Verantwortlichkeit des Beklagten ändert.

Die Höhe des Erstattungsanspruchs richtet sich nach dem zugrunde liegenden Gegenstandswert, welcher mit € 3.000,-- anzusetzen ist, § 2 Abs. 1 RVG. Der Gegenstandswert ist nach § 23 Abs. 3 S. 2 RVG nach billigem Ermessen festzusetzen. Es liegen auch die notwendigen tatsächlichen Anhaltspunkte für eine Schätzung vor, so dass nicht von einem Regelstreitwert i.H.v. € 5.000,-- nach § 23 Abs. 3 S. 2 HS 2 RVG auszugehen ist. Insbesondere sind der Umfang und die Bedeutung der Sache zu berücksichtigen. Vorliegend handelt es sich um einen Vorfall von geringem Umfang und nicht erheblicher Bedeutung. Die Daten der Klägerin wurden vom Beklagten zwar im Internet frei verfügbar abrufbar vorgehalten, allerdings nur über einen Zeitraum von nicht mehr als ca. 6 Wochen.

Allerdings verbreitete der Beklagte die Daten nicht aktiv, indem er auf diese z.B. auf seiner Webseite oder in anderer Weise hingewiesen hätte. Die regelmäßig von der Kammer angenommenen Streitwerte für eine pressemäßige Verbreitung sind damit nicht zugrunde zu legen. Der Verstoß war auch leicht feststellbar. Die Bedeutung der Sache erscheint zuletzt auch deshalb nicht besonders erheblich, weil die Daten zwar private, wohl aber nicht intime Aspekte der Klägerin betrafen.

Zusammenfassend ist der Gegenstandswert daher mit € 3.000,-- richtig bemessen.

Auch die von der Klägerin angeführten und von anderen Gerichten getroffenen Festsetzungen von Gegenstandswerten führen bereits deshalb zu keiner anderen Einschätzung, da dort Datenschutzverstöße gegenständlich waren, die – soweit erkennbar – jeweils erheblich größeren Ausmaßes waren.

Der Zahlungsanspruch nebst Zinsen bemisst sich i.Ü. wie vom Amtsgericht dargelegt, so dass auf die dortigen zutreffenden Ausführungen verwiesen wird.

2) Der Klägerin steht gegen den Beklagten auch kein Anspruch auf Ersatz immaterieller Schäden („Schmerzensgeld“) aus Art. 82 DSGVO oder sonst einem rechtlichen Aspekt zu. Für die Zubilligung eines Schadensersatzanspruchs bedarf es des Eintritts eines Schadens. Diesen hat die Klägerin weder dargelegt noch ist er sonst ersichtlich. Allein der Verstoß gegen datenschutzrechtliche Vorschriften führt nicht zu einer Verpflichtung des Verantwortlichen zur Zahlung von Schadensersatz (so auch LG Karlsruhe, Urteil vom 2.8.2019 – 8 O 26/19 = ZD 2019, 511). Voraussetzung eines Anspruchs auf Schadensersatz aus Art. 82 Abs. 1 DSGVO, der im nationalen Recht unmittelbar Anwendung findet und andere Anspruchsgrundlagen nicht ausschließt (Nemitz, in: Ehmann/Selmayr, DS-GVO, 2. Aufl., Art. 82 Rn. 7), ist ein Verstoß gegen die DSGVO und ein hierdurch verursachter Schaden, was ein Kläger darzulegen und zu beweisen hat (LG Karlsruhe a.a.O.).

Nach dem Erwägungsgrund 146 ist der Begriff des Schadens weit auszulegen, so dass Betroffene einen wirksamen Ersatz erhalten. Erwägungsgrund 85 besagt, dass eine Verletzung des Schutzes personenbezogener Daten einen physischen, materiellen oder immateriellen Schaden für natürliche Personen – wie etwa Verlust der Kontrolle über ihre personenbezogenen Daten oder Einschränkung ihrer Rechte, Diskriminierung, Identitätsdiebstahl oder -betrug, finanzielle Verluste, unbefugte Aufhebung der Pseudonymisierung oder Rufschädigung – nach sich ziehen kann, wenn nicht rechtzeitig und angemessen reagiert wird.

Es bedarf danach zwar keiner schweren Verletzung des Persönlichkeitsrechts, um einen immateriellen Schaden geltend zu machen (Gola/Piltz, DS-GVO, 2. Aufl., Art. 82 Rn. 13). Dennoch führt nicht bereits jeder Verstoß gegen die DSGVO zu einer Ausgleichspflicht, denn der Verpflichtung zum Ausgleich eines immateriellen Schadens muss eine benennbar und insoweit tatsächliche Persönlichkeitsverletzung gegenüberstehen, die z.B. in der mit einer unrechtmäßigen Zugänglichmachung von Daten liegenden „Bloßstellung“ liegen kann (LG Karlsruhe a.a.O.).

Eine solche „Bloßstellung“ ist vorliegend allerdings nicht erfolgt. Ferner hat die Klägerin den Eintritt von Nachteilen nicht behauptet, sondern lediglich vorgetragen, dass sie Nachteile befürchtet.

Auch der Vortrag der Klägerin zu dem von ihr abgemahnten ehemaligen Mitarbeiter bleibt unsubstantiiert. So ergibt sich aus dem Vortrag nicht, wann genau die Abmahnung erfolgt ist, so dass nachvollziehbar sein könnte, ob der betreffende Mitarbeiter überhaupt die Daten hätte abrufen können, als er ein Interesse daran hätte haben können.

Hinsichtlich der mitgeteilten Urlaubsabwesenheit erschließt sich der Kammer – im Einklang mit dem Amtsgericht – nicht, warum sich einem potentiellen Einbrecher, der nach den Daten der Klägerin gesucht hätte, hätte erschließen sollen, dass die eingetragenen Urlaubsabwesenheiten sich tatsächlich auf das Jahr 2019 beziehen sollten. Denn aus dem Anmeldeformular (Anlage K2) ergibt sich insbesondere nicht, dass dieses abgesendet wurde, als die in dem Formular mitgeteilten Zeiten bereits verstrichen waren.

Die Klägerin hat zuletzt auch nicht behauptet, das der unberechtigten Veröffentlichung der Wohnungsanzeige auf Immonet die auf der Webseite des Beklagten verfügbaren Daten zugrunde gelegen hätten.

Auch der Hinweis der Klägerin auf das Urteil des Arbeitsgerichts Düsseldorf (BeckRS 2020, 11910) führt zu keiner anderen Einschätzung. Dort hat das Gericht einen auf Art. 82 Abs. 1 DSGVO gestützten Schadensersatzanspruch angenommen, nachdem der Auskunftsanspruch des dortigen Klägers aus Art. 15 Abs. 1 DSGVO verletzt worden war. Dieser Verstoß hielt nach den Ausführungen des Gerichts offenbar mindestens fünf Monate an, in denen der Kläger über die Datenverarbeitung durch die Beklagte im Ungewissen war. Damit dürfte anzunehmen sein, dass der dortige Verantwortliche im Einklang mit Erwägungsgrund 85 „nicht rechtzeitig und angemessen reagiert“ hatte, was sodann den Eintritt des konkreten Nachteils, nämlich der Ungewissheit des dortigen Klägers, hätte nach sich ziehen können.

Insoweit handelt es sich allerdings um einen anderen und nicht mit dem hiesigen vergleichbaren Fall, da hier von einer deutlich kürzeren Zeitspanne der freien Abrufbarkeit der Daten auszugehen ist, und die Klägerin nicht erfolglos einen Auskunftsanspruch gegen den Beklagten geltend machte.

Die Kammer kann abschließend auch nicht erkennen, warum und inwieweit die Rechtsprechung zur Verletzung des Rechts am eigenen Bild im Internet analog heranzuziehen wäre. Weder begründet eine derartige Verletzung ohne weiteres einen Schadensersatzanspruch noch liegt eine vergleichbare Interessenlage notwendiger Weise vor.


Den Volltext der Entscheidung finden Sie hier:



BVerwG: Insolvenzverwalter hat keinen Auskunftsanspruch nach Art. 15 Abs. 1 DSGVO hinsichtlich der personenbezogenen Daten des Insolvenzschuldners

BVerwG
Urteil vom 16.09.2020
6 C 10.19


Das BVerwG hat entschieden, dass ein Insolvenzverwalter keinen Auskunftsanspruch nach Art. 15 Abs. 1 DSGVO hinsichtlich der personenbezogenen Daten des Insolvenzschuldners hat. Ein solcher Anspruch steht nur dem Insolvenzschuldner selbst zu.

Die Pressemitteilung des Gerichts:

Kein datenschutzrechtlicher Anspruch des Insolvenzverwalters auf Auskunft über das Steuerkonto des Insolvenzschuldners

Der Insolvenzverwalter kann nach Art. 15 Abs. 1 Datenschutzgrundverordnung (DSGVO) keine Auskunft vom Finanzamt über das Steuerkonto des Insolvenzschuldners verlangen. Das hat das Bundesverwaltungsgericht in Leipzig entschieden.

Der Kläger ist Insolvenzverwalter und begehrt in dieser Funktion vom beklagten Finanzamt einen Auszug aus dem Steuerkonto des Schuldners. Hierdurch erhielte er die Möglichkeit, potentiell anfechtungsrelevante Sachverhalte zur Mehrung der Insolvenzmasse zu ermitteln. Sein zunächst auf das Niedersächsische Landesdatenschutzrecht gestütztes Begehren verfolgt er unter Berufung auf Art. 15 Abs. 1 DSGVO seit dessen Inkrafttreten im Mai 2018 weiter. Art. 15 Abs. 1 DSGVO räumt einer betroffenen Person das Recht ein, von einem für die Datenverarbeitung Verantwortlichen Auskunft über die Verarbeitung der sie betreffenden personenbezogenen Daten zu verlangen. Dieser Anspruch besteht grundsätzlich auch gegenüber den Finanzbehörden. Allerdings ist der Insolvenzverwalter hinsichtlich der personenbezogenen Daten des Insolvenzschuldners weder nach dem Wortlaut, der Systematik noch nach dem Sinn und Zweck der einschlägigen Regelungen der DSGVO "betroffene Person". Betroffene Person ist nach Art. 4 Nr. 1 DSGVO nur diejenige natürliche Person, die durch die jeweiligen personenbezogenen Daten identifizierbar oder identifiziert ist. Eine Erweiterung dieses Begriffs auf den mit der Verwaltung der Insolvenzmasse betrauten Insolvenzverwalter widerspräche dem Charakter des Auskunftsanspruchs aus Art. 15 Abs. 1 DSGVO. Denn die in der DSGVO verankerten Betroffenenrechte dienen dem Schutz des Grundrechts auf Achtung der Privatsphäre aus Art. 8 der Charta der Grundrechte der Europäischen Union. Dieser Schutz lässt sich nur verwirklichen, wenn sich die von einer Datenverarbeitung betroffene Person vergewissern kann, dass ihre personenbezogenen Daten richtig sind und in zulässiger Weise verarbeitet werden, um andernfalls von dem für die Verarbeitung Verantwortlichen unter anderem die Berichtigung oder Löschung ihrer Daten zu verlangen. Der Auskunftsanspruch ist daher seiner Natur nach ein Instrument zur Schaffung des notwendigen Wissensfundaments für die Geltendmachung weitergehender Betroffenenrechte und zielt nicht auf die vom Kläger beabsichtigte Gewinnung von Informationen mit vermögensrechtlichem Bezug.

Auch ein Übergang dieses Auskunftsanspruchs in die Verfügungsbefugnis des Insolvenzverwalters gemäß § 80 Abs. 1 Insolvenzordnung findet nicht statt. Denn er ist seinem Charakter nach untrennbar mit der Person des Berechtigten verbunden und kann nicht losgelöst von den weiteren Betroffenenrechten betrachtet werden. Eine Ausübung durch den Insolvenzverwalter würde seine Zielrichtung und seinen Zweck verändern. Auch eine Differenzierung nach dem Vermögensbezug der betroffenen Daten kommt daher nicht in Betracht.

BVerwG 6 C 10.19 - Urteil vom 16. September 2020

Vorinstanzen:

OVG Lüneburg, 11 LC 121/17 - Urteil vom 20. Juni 2019 -

VG Lüneburg, 1 A 343/15 - Urteil vom 01. März 2017 -



VG Mainz: Datenschutzrechtliche Beschwerde muss alle Informationen enthalten so dass datenschutzrechtliche Aufsichtsbehörde die Sache prüfen kann

VG Mainz
Urteil vom 22.07.2020
1 K 473/19.MZ


Das VG Mainz hat entschieden, dass eine datenschutzrechtliche Beschwerde alle Informationen enthalten muss, so dass die datenschutzrechtliche Aufsichtsbehörde die Sache prüfen kann.

Aus den Entscheidungsgründen:

II. Die Klage hat ungeachtet dessen auch in der Sache keinen Erfolg. Der Bescheid des Beklagten vom 26. April 2019 ist rechtmäßig und verletzt den Kläger nicht in seinen Rechten. Die Beendigung des vom Kläger erhobenen Beschwerdeverfahrens durch den Beklagten ist nicht zu beanstanden, weil der Kläger keine prüffähige Beschwerde beim LFDI erhoben hat. Dabei hat der Beklagte das Beschwerdeverfahren nicht etwa deshalb eingestellt – wie der Kläger wohl meint –, weil der Kläger nur die aus seiner Sicht bestehenden Missstände und seine Rechtsauffassung mitteilt, sondern weil die Beschwerde des Klägers mangels konkreter Informationen zu einem Datenschutzrechtsverstoß vom LFDI nicht geprüft werden konnte.

1. Eine Beschwerde kann gemäß Art. 77 Abs. 1 DSGVO bei der Aufsichtsbehörde – hier: LFDI – eingelegt werden, wenn die betroffene Person der Ansicht ist, dass die Verarbeitung der sie betreffenden personenbezogenen Daten gegen diese Verordnung verstößt. Der Beschwerdeführer hat nicht nur – wie es bei einer Petition der Fall wäre – ein Recht auf Beantwortung und Bescheidung seiner Beschwerde, sondern einen darüberhinausgehenden Anspruch auf fehlerfreie Ermessensausübung und im Falle einer Ermessensreduzierung auf Null einen Anspruch auf ein konkretes Einschreiten der Aufsichtsbehörde (vgl. VG Mainz, Urteil vom 16. Januar 2020 – 1 K 129/19.MZ –, juris, Rn. 35; VG Ansbach, Urteil vom 8. August 2019 – AN 14 K 19.272 –, BeckRS 2019, 30069, Rn. 25; Albrecht/Jotzo, Das neue Datenschutzrecht der EU, 1. Aufl. 2017, Teil 8, Rn. 6 f., beck-online; Mundil, in Wolff/Brink, BeckOK Datenschutzrecht, 30. Ed. Stand: 1. Februar 2017, Art. 78 DSGVO, Rn. 7). Eine Beschwerde kann formlos eingereicht werden, da Art. 77 Abs. 1 DSGVO keine ausdrücklichen Formerfordernisse regelt. Inhaltlich dürfen an die Beschwerde zwar keine zu strengen Anforderungen gestellt werden, damit das Beschwerderecht grundsätzlich einfach und unbürokratisch ausgeübt werden kann (vgl. Bergt, in: Kühling/Buchner, DS-GVO/BDSG, 2. Aufl. 2018, Art. 77, Rn. 10; Körffer, in: Paal/Pauly, DS-GVO/BDSG, 2. Aufl. 2018, Art. 77, Rn. 3). Gleichwohl muss die Beschwerde zumindest alle Informationen enthalten, die erforderlich sind, dass die Aufsichtsbehörde den Sachverhalt erfassen und gegebenenfalls weiter aufklären und etwaige Datenschutzrechtsverstöße prüfen kann. Die Beschwerde muss daher Angaben über die betroffene Person und den Verantwortlichen aufweisen und zumindest ansatzweise zum Ausdruck bringen, welcher Verstoß gegen datenschutzrechtliche Vorschriften gerügt wird (vgl. Mundil, in: Wolff/Brink, BeckOK Datenschutzrecht, 31. Edition, Stand: 1. Februar 2020, Art. 77, Rn. 7). Schließlich kann der Beschwerdeführer keine Ermittlungen ins Blaue hinein durch den LFDI beantragen. Dabei kann von der betroffenen Person zwar keine rechtliche Analyse erwartet werden, allerdings muss die Behauptung eines Rechtsverstoßes substantiiert durch Tatsachen dargelegt werden. Sofern die Beschwerde noch nicht hinreichend substantiiert ist, ist es Aufgabe der Aufsichtsbehörde den Beschwerdeführer hierauf hinzuweisen und auf eine Konkretisierung der Beschwerde hinzuwirken (vgl. Nemitz, in: Ehmann/Selmayr, DSGVO, 2. Aufl. 2018, Art. 77, Rn. 8).

2. Unter Anwendung des dargestellten Rechtsmaßstabs fehlt es hier an einer hinreichend substantiierten, überprüfbaren Beschwerde des Klägers. Der Kläger hat mit seiner Beschwerde vom 5. Februar 2019 zwar mitgeteilt, dass er Unterstützung bei seinem Auskunftsbegehren nach Art. 15 DSGVO benötige. Er habe verschiedene Behörden um Auskunft gebeten und verweise insofern auf seine beigefügten Anfrageschreiben an die jeweiligen Behörden sowie die Rückantworten des Sozialgerichts Mainz, des Landessozialgerichts Rheinland-Pfalz, der Staatskanzlei und der Generalstaatsanwaltschaft Koblenz. Aus seinem Beschwerdeschreiben und auch der weiteren Korrespondenz mit dem LFDI sowie aus seinem Vortrag im Klageverfahren ergibt sich jedoch nicht, ob und warum er überhaupt von einer Datenverarbeitung durch die angefragten Stellen ausgeht (a)), ob ihm alle angefragten Behörden geantwortet haben bzw. welche Behörden sich nicht zurückgemeldet haben (b)) und warum die Rückantworten, die er erhalten und seiner Beschwerde beigefügt hat, nicht ausreichen (c)).

a) Sofern der Kläger nicht erklärt, dass (und warum) er von einer Datenverarbeitung durch die verantwortliche Behörde ausgeht und sich dies auch nicht aus den Umständen ergibt, kann der LFDI teilweise bereits seine Zuständigkeit nicht prüfen.

Art. 55 Abs. 3 DSGVO regelt, dass die Aufsichtsbehörden – hier: der LFDI – nicht zuständig sind für die Aufsicht über die von den Gerichten im Rahmen ihrer justiziellen Tätigkeit vorgenommenen Verarbeitungen von personenbezogenen Daten (vgl. insofern auch Erwägungsgrund 20 der DSGVO). Das bedeutet, dass der LFDI keine Aufsichtsbefugnisse über Gerichte hat, sofern diese Tätigkeiten ausüben, die mit der gerichtlichen Entscheidungsfindung in Zusammenhang stehen (vgl. Selmayr, in: Ehmann/Selmayr, 2. Aufl. 2018, DS-GVO Art. 55 Rn. 12). Damit soll der verfassungsrechtlich gebotenen Unabhängigkeit der Justiz Rechnung getragen werden (vgl. Schaar, „Datenschutz und Rechtspflege“, DRiZ 2018, 166, beck-online). Die Gerichtsverwaltung ist von der Zuständigkeit der Aufsichtsbehörden hingegen nicht ausgenommen. Damit unterliegen die Verarbeitung personenbezogener Daten der Mitarbeiter der Justizverwaltung, die Datenverarbeitung bei der Mittelbeschaffung für die Gerichte sowie bei Justizverwaltungsakten und Rechtspflegetätigkeiten der Kontrolle des LFDI (vgl. Selmayr, in: Ehmann/Selmayr, DS-GVO, 2. Aufl. 2018, Art. 55, Rn. 14). In Bezug auf die Gerichte (Sozialgericht Mainz, Landessozialgericht Rheinland-Pfalz), an die der Kläger ein Auskunftsersuchen adressiert hat, konnte der LFDI mangels substantiierten Vortrags durch den Kläger nicht prüfen, ob sich die betroffene Datenverarbeitung – über die der Kläger eine Auskunft begehrt – auf die justizielle Tätigkeit der Gerichte oder die Gerichtsverwaltung bezieht. In seinem Schreiben vom 7. März 2019 führt der Kläger zwar aus, dass die jeweiligen Gerichtsverwaltungen Stellung zu seinen Anfragen genommen hätten. Es kommt für eine Überprüfung durch den LFDI jedoch nicht darauf an, wer das Auskunftsersuchen beantwortet, sondern wer die personenbezogenen Daten verarbeitet hat.

Ebenso war es dem LFDI nicht möglich, seine Zuständigkeit hinsichtlich der Beschwerde des Klägers in Bezug auf sein Auskunftsbegehren gegenüber dem Petitionsausschuss des Rheinland-Pfälzischen Landtags zu prüfen und positiv festzustellen. Gemäß § 2 Abs. 3 LDSG unterliegen der Landtag, seine Gremien, seine Mitglieder, die Fraktionen sowie deren Verwaltungen und deren Beschäftigte nicht den Bestimmungen dieses Gesetzes, soweit sie in Wahrnehmung parlamentarischer Aufgaben personenbezogene Daten verarbeiten. Der Landtag erlässt insoweit unter Berücksichtigung seiner verfassungsrechtlichen Stellung, der DSGVO und der Grundsätze des Landesdatenschutzgesetzes eine Datenschutzordnung. Soweit das Auskunftsersuchen des Klägers also eine Verarbeitung personenbezogener Daten betrifft, die im Rahmen parlamentarischer Aufgaben erfolgt ist, ist der LFDI als Aufsichtsbehörde nicht zuständig. Ob und inwieweit vorliegend eine Datenverarbeitung des Klägers im Bereich parlamentarischer Aufgaben von seinem Auskunftsersuchen betroffen ist, konnte der LFDI jedoch gar nicht erst prüfen, weil ihm insofern nicht hinreichende Informationen übermittelt wurden.

In diesem Zusammenhang ist zu berücksichtigen, dass der LFDI in seinen Schreiben vom 15. Februar 2019 und vom 1. April 2019 auf seine eingeschränkte Zuständigkeit hingewiesen und mitgeteilt hat, dass aus den Schreiben des Klägers ein Datenschutzverstoß nicht substantiiert erkennbar sei und deshalb um Konkretisierung der Beschwerde gebeten werde. Der Kläger wurde auf seine nicht prüffähige Beschwerde hingewiesen und hat zwei Mal die Möglichkeit erhalten, seine Beschwerde zu konkretisieren.

b) Aus der Beschwerde wird weiterhin nicht erkennbar, ob der Kläger von allen Behörden, an die er ein Auskunftsersuchen adressiert hat, eine Rückantwort erhalten hat. Er hat jedenfalls nur von manchen der angeschriebenen Behörden eine Antwort seiner Beschwerde beigelegt (Sozialgericht Mainz, Staatskanzlei Rheinland-Pfalz, Landessozialgericht Rheinland-Pfalz, Generalstaatsanwaltschaft Koblenz). In dem Schreiben des Sozialgerichts Mainz wird der Kläger nur darüber informiert, dass die Beschwerde zur Bearbeitung an die Gerichtsverwaltung weitergeleitet wurde, sodass nicht erkennbar ist, ob und in welcher Weise eine inhaltliche Beantwortung des Auskunftsersuchens später noch erfolgt ist und den rechtlichen Anforderung entspricht. In dem Schreiben des Landessozialgerichts Rheinland-Pfalz vom 18. Januar 2019 wird nur Bezug genommen auf eine mit Schreiben vom 8. Januar 2019 wohl vom Landessozialgericht erteilte Antwort. Dieses Antwortschreiben hat der Kläger nicht seiner Beschwerde beigelegt, sodass ein etwaiger Verstoß gegen das Auskunftsrecht nach Art. 15 DSGVO nicht überprüfbar ist. Ob es Rückantworten des Petitionsausschusses des Landtags, des Justizministeriums und der Staatsanwaltschaft Mainz gab, wird aus der Beschwerde nicht erkennbar. Etwaige fehlende Antworten werden vom Kläger auch nicht ausdrücklich gerügt.

c) Zur Begründung seiner Beschwerde führt der Kläger zwar an, dass aus den ihm zugegangenen Antworten (mit Ausnahme der Angaben der Generalstaatsanwaltschaft Koblenz) nicht erkennbar sei, welche Dokumente er löschen lassen könne. Allerdings ist vom Auskunftsrecht nach Art. 15 Abs. 1 lit. e) DSGVO allein umfasst, dass die betroffene Person über das Bestehen ihres Rechts auf Löschung der sie betreffenden personenbezogenen Daten gemäß Art. 17 DSGVO informiert werden muss – wie es die Staatskanzlei Rheinland-Pfalz in ihrem Auskunftsschreiben (dem einzigen Schreiben, das der Kläger neben der Antwort der Generalstaatsanwaltschaft Koblenz vorgelegt hat) im Übrigen auch in rechtlich hinreichender Weise getan hat. Ein Anspruch auf Mitteilung, welche konkreten Dokumente mit personenbezogenen Daten vorhanden sind und gegebenenfalls gemäß Art. 17 DSGVO gelöscht werden müssen, lässt sich aus Art. 15 Abs. 1 DSGVO nicht ableiten. Aus seinem Auskunftsbegehren („ich nehme hiermit mein Auskunftsrecht nach Art. 15 DSGVO wahr und bitte um Rückantwort innerhalb der im Gesetz vorgesehenen Fristsetzung.“) ergibt sich auch weder, dass der Kläger etwa gemäß Art. 15 Abs. 3 DSGVO Kopien der personenbezogenen Daten, die Gegenstand der Verarbeitung bei dem jeweiligen Verantwortlichen sind, bekommen wollte, noch, dass er die Löschung seiner personenbezogenen Daten verlangt. Jedenfalls wäre es dem Kläger im Rahmen seiner Mitwirkungspflichten zuzumuten gewesen, im Falle einer aus seiner Sicht unzureichenden Beantwortung gegenüber der Behörde sein Auskunftsersuchen zu präzisieren und beispielsweise ausdrücklich eine Kopie zu verlangen. Im Übrigen ist auch nicht ersichtlich, dass eine betroffene Person für die Ausübung ihres Löschungsrechts nach Art. 17 DSGVO die Kenntnis bestimmter Dokumente benötigt; vielmehr dürfte es ausreichen die Löschung bestimmter personenbezogener Daten, die bei dem Verantwortlichen vorhanden sind, zu verlangen.

Darüber hinaus verlangt der Kläger aufgrund seiner Beschwerde offenbar, dass der LFDI Schulungen bei den verschiedenen Behörden durchführt. Hierauf hat der Kläger jedoch keinen durchsetzbaren Anspruch. Ebenso wenig kann er im Beschwerde- oder Klageverfahren eine einheitliche Rechtsanwendung durchsetzen, wobei insofern auch unklar ist, worin er anhand der verschiedenen, ihm zugegangenen Rückantworten der Behörden eine uneinheitliche Rechtsanwendung sieht.

Hinsichtlich der vom Kläger gerügten vermeintlich unvollständig und fehlerhaft geführte Verwaltungsakte ist nicht ersichtlich, in welcher Weise die Akte manipuliert sein soll und sich dieser Vorwurf auf das streitgegenständliche Verfahren auswirken könnte. In der Anpassung des Datums auf dem Bescheid vom 26. April 2019 (S. 77 der Verwaltungsakte) ist keine rechtswidrige Manipulation zu erkennen. Es ist offensichtlich, dass es sich bei dem Schreiben auf S. 77 der Verwaltungsakte um den finalen Entwurf des Bescheids handelte. Dies wird dadurch deutlich, dass der Landesdatenschutzbeauftragte Herr L. nur mit seinem Kürzel unterzeichnet hat und auf der Rückseite (S. 76 der Verwaltungsakte) eine interne Verfügung vermerkt ist. Dabei wurde in dem Schreiben das Datum der finalen Erstellung des Schreibens (Freitag, der 26. April 2019) über dem ursprünglich vermerkten Datum (24. April 2019) handschriftlich korrigiert. Diese Vorgehensweise wurde von dem Beklagtenvertreter in der mündlichen Verhandlung am 18. Juni 2020 auch bestätigt (vgl. Protokoll über die öffentliche Sitzung der 1. Kammer am 18. Juni 2020). Aus einer Datumskorrektur kann nicht ohne weitere Anhaltspunkte auf eine Aktenmanipulation geschlossen werden, zumal es auf das genaue Datum, an dem der Bescheid verfasst wurde, hier nicht ankommt. Die Verwaltungsakte ist allein dahingehend unvollständig, als sie eine Kopie des originalen, an den Kläger abgesendeten Bescheids über die finale Entwurfsfassung hinaus nicht zusätzlich in Kopie enthält. Wenngleich es wünschenswert wäre, dass der Beklagte auch den Originalbescheid in Kopie in die Verwaltungsakte aufnimmt, lässt sich aus der bisherigen Verwaltungspraxis des Beklagten für den Kläger keine Rechtsverletzung ableiten, zumal das Schreiben auf S. 77 – bis auf das handschriftlich korrigierte Datum – inhaltlich identisch ist mit dem Bescheid, den der Kläger nachweislich (Bl. 1 (Rückseite) der Gerichtsakte) erhalten hat. Entgegen der Auffassung des Klägers muss die Verwaltungsakte auch nicht die innere Entscheidungsbildung der Behördenmitarbeiter im Einzelnen abbilden.

Dem Kläger wurde auch Akteneinsicht im Sinne von § 100 VwGO gewährt. Er ist zwei Mal im Verwaltungsgericht erschienen, um Einsicht in die Akte zu nehmen; ihm wurden weitere Möglichkeiten zur Akteneinsicht angeboten, die er nicht wahrgenommen hat. Darüber hinaus wurde dem Kläger zwar verwehrt Fotografien oder Kopien von der Verwaltungsakte selbst zu erstellen, ihm wurde aber angeboten, dass auf seine Kosten Kopien durch die Geschäftsstelle angefertigt werden. Von dieser Möglichkeit hat er keinen Gebrauch gemacht.

Im Übrigen geht der Verweis des Klägers auf eine Entscheidung des Verwaltungsgerichts Mainz vom 5. April 2017 (– 3 K 569/16.MZ –) fehl, da es darin nicht um eine Akteneinsicht in Gerichts- und Verwaltungsakten nach § 100 VwGO ging, sondern um die Gebührenfreiheit bei der Einsichtnahme in amtliche Informationen vor Ort nach § 13 Abs. 1 Satz 2 Landesinformationsfreiheitsgesetz – LIFG –.


Den Volltext der Entscheidung finden Sie hier:

VG Schleswig-Holstein: Für Posten des Landesdatenschutzbeauftragten ist auch nach der DSGVO keine öffentliche Ausschreibung erforderlich

VG Schleswig-Holstein
Beschluss vom 19.08.2020
12 B 36/20


Das VG Schleswig-Holstein hat entschieden, dass für den Posten des Landesdatenschutzbeauftragten auch nach der DSGVO keine öffentliche Ausschreibung erforderlich ist.

Aus den Entscheidungsgründen:

Die Beigeladene wurde entsprechend dem in § 5 Abs. 1 Satz 1 ULDErrG SH geregelten Wahlverfahren gewählt. Danach wählt der Landtag auf Vorschlag der Fraktionen ohne Aussprache die Landesbeauftragte oder den Landesbeauftragten mit mehr als der Hälfte seiner Mitglieder für die Dauer von sechs Jahren. § 5 Abs. 1 Satz 1 ULDErrG SH verstößt nicht gegen die in Art. 53 Abs. 1 der Verordnung (EU) 2016/679 (Datenschutzgrundverordnung - DS-GVO) niedergelegten europarechtlichen Vorgaben. Danach sehen die Mitgliedstaaten vor, dass jedes Mitglied ihrer Aufsichtsbehörden im Wege eines transparenten Verfahrens ernannt wird, und zwar vom Parlament, von der Regierung, vom Staatsoberhaupt oder von einer unabhängigen Stelle, die nach dem Recht des Mitgliedstaats mit der Ernennung betraut wird. Das in § 5 Abs. 1 Satz 1 ULDErrG SH geregelte Wahlverfahren verstößt nicht gegen das Transparenzgebot. Einer öffentlichen Ausschreibung des Postens des Landesdatenschutzbeauftragten bedarf es - anders als bei der Ernennung des Europäischen Datenschutzbeauftragten (Art. 42 Abs. 1 der Verordnung (EG) Nr. 45/20019 - nicht (Boehm, in: Kühling/Buchner, DS-GVO, BDSG, 2. Aufl., Art. 53 DS-GVO Rn. 6; Ziebarth, in: Sydow, Europäische Datenschutzgrundverordnung, 2. Aufl., Art. 53 Rn. 8). Wen die Fraktionen des schleswig-holsteinischen Landtags für das Amt vorschlugen, war öffentlich bekannt. Einer öffentlichen Debatte über mögliche Kandidaten bedurfte es nicht (Nguyen/Stroh, in: Gola, Datenschutz-Grundverordnung, 2. Aufl., Art. 53 Rn. 3). Im Übrigen ist der Antragsteller durch die fehlende Ausschreibung nicht in seinen Rechten verletzt, da er sich bei den Fraktionen des schleswig-holsteinischen Landtags noch vor der Wahl der Beigeladenen für das Amt des Landesbeauftragten für Datenschutz beworben hatte. Der Wahlvorgang selbst erfolgte in einer öffentlichen Sitzung des Landtages, war also hinlänglich transparent. Indem die bzw. der Landesbeauftragte von den Fraktionen des Landtags vorgeschlagen und anschließend vom Landtag mit mehr als der Hälfte seiner Mitglieder gewählt wird, verfügt die Leiterin bzw. der Leiter des Unabhängigen Landeszentrums für Datenschutz über die erforderliche demokratische Legitimation (Nguyen/Stroh, a.a.O., Art. 53 Rn. 3). Indem die Wahl des bzw. der Landesdatenschutzbeauftragten in Schleswig-Holstein ausschließlich in der Hand des Landtags liegt, ist dem unionsrechtlichen Gebot der „völligen Unabhängigkeit“ der bzw. des Landesdatenschutzbeauftragten (Art. 52 Abs. 1 DS-GVO), die eine Nähe zur Regierung ausschließen soll (Zierbarth, a.a.O., Art. 53 Rn. 11), Rechnung getragen.

Den Volltext der Entscheidung finden Sie hier: