Skip to content

BGH: Verfahren über Reichweite des Auskunftsanspruchs aus Art. 15 DSGVO wird bis zur Entscheidung des EuGH in den Verfahren C-487/21 bzw. C-307/22 nach § 148 ZPO analog ausgesetzt

BGH
Beschluss vom 31.05.2022
VI ZR 223/21


Der BGH hat ein Verfahren über die Reichweite des Auskunftsanspruchs aus Art. 15 DSGVO bis zur Entscheidung des EuGH in den Verfahren C-487/21 bzw. C-307/22 nach § 148 ZPO analog ausgesetzt.

Aus den Entscheidungsgründen:
Die Parteien streiten, soweit im Revisionsverfahren noch relevant, über den Regelungsgehalt von Art. 15 Abs. 3 Satz 1 DS-GVO. Die Klägerin hatte im Jahr 2004 bei der Beklagten eine fondsgebundene Rentenversicherung abgeschlossen, die im Jahr 2016 gekündigt und im Jahr 2017 abgerechnet worden war. Im April 2019 machte die Klägerin auf der Grundlage von Art. 15 Abs. 1 DS-GVO Auskunftsrechte geltend. Die Beklagte erteilte diverse Auskünfte und übersandte eine Kopie des Versicherungsantrags. Die Klägerin verlangte daraufhin die Erteilung weiterer Auskünfte sowie die Herausgabe von Abschriften bzw. Kopien der jeweiligen Dokumente, die personenbezogene Daten von ihr enthielten. Das Landgericht hat die Klage abgewiesen. Das Berufungsgericht hat die Beklagte zur Erteilung weiterer Auskünfte verurteilt, den Antrag auf Übermittlung von Kopien der jeweiligen, die personenbezogenen Daten der Klägerin enthaltenden Dokumente jedoch abgewiesen. Der Anspruch auf Erteilung einer Kopie aus Art. 15 Abs. 3 Satz 1 DS-GVO gehe nicht weiter als der Auskunftsanspruch aus Art. 15 Abs. 1 DS-GVO. Es sei daher ausreichend, die in Art. 15 Abs. 1
DS-GVO genannten Angaben in Kopie zu übermitteln. Mit ihrer vom Berufungsgericht hinsichtlich des Anspruchs auf Erteilung von Abschriften und Kopien zugelassenen Revision verfolgt die Klägerin ihren Herausgabeanspruch aus Art. 15 Abs. 3 Satz 1 DS-GVO weiter.

II. Das vorliegende Verfahren ist gemäß § 148 ZPO analog bis zu der Entscheidung des Gerichtshofs der Europäischen Union (im Folgenden: Gerichtshof) in den dort anhängigen Verfahren C-487/21 bzw. C-307/22 auszusetzen.

1. Das Österreichische Bundesverwaltungsgericht hat durch Beschluss vom 9. August 2021 (W211 2222613-2; ECLI:AT:BVWG:2021: W211.2222613.2.00; Rs. C-487/21; ABl. EU C 431 vom 25. Oktober 2021 S. 8 f.) dem Gerichtshof u.a. folgende Fragen zur Vorabentscheidung gemäß Art. 267 AEUV vorgelegt:

1. Ist der Begriff der "Kopie" in Art. 15 Abs. 3 der Verordnung (EU) 2016/679 des Europäischen Parlaments und des Rates vom 27. April 2016 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten, zum freien Datenverkehr und zur Aufhebung der Richtlinie 95/46/EG (Datenschutz-Grundverordnung, ABl L 119/1 vom 4. Mai 2016, S. 1; im Folgenden: "DS-GVO") dahingehend auszulegen, dass damit eine Fotokopie bzw. ein Faksimile oder eine elektronische Kopie eines (elektronischen) Datums gemeint ist, oder fällt dem Begriffsverständnis deutscher, französischer und englischer Wörterbücher folgend unter den Begriff auch eine "Abschrift", un "double" ("duplicata") oder ein "transcript"?

2. Ist Art. 15 Abs. 3 Satz 1 DS-GVO, wonach "der Verantwortliche eine Kopie der personenbezogenen Daten, die Gegenstand der Verarbeitung sind", zur Verfügung stellt, dahingehend auszulegen, dass darin ein allgemeiner Rechtsanspruch einer betroffenen Person auf Ausfolgung einer Kopie - auch - gesamter Dokumente enthalten ist, in denen personenbezogene Daten der betroffenen Person verarbeitet werden, bzw. auf Ausfolgung einer Kopie eines Datenbankauszuges bei Verarbeitung der personenbezogenen Daten in einer solchen, oder besteht damit - nur - ein Rechtsanspruch für die betroffene Person auf originalgetreue Reproduktion der nach Art. 15 Abs. 1 DS-GVO zu beauskunftenden personenbezogenen Daten?

3. Für den Fall, dass die Frage 2. dahingehend beantwortet wird, dass nur ein Rechtsanspruch für die betroffene Person auf originalgetreue Reproduktion der nach Art. 15 Abs. 1 DS-GVO zu beauskunftenden personenbezogenen Daten besteht, ist Art. 15 Abs. 3 Satz 1 DS-GVO dahingehend auszulegen, dass es bedingt durch die Art der verarbeiteten Daten (zum Beispiel in Bezug auf die im Erwägungsgrund 63 angeführten Diagnosen, Untersuchungsergebnisse, Befunde oder auch Unterlagen im Zusammenhang mit einer Prüfung im Sinne des Urteils des Gerichtshofs der Europäischen Union vom 20. Dezember 2017, C-434/16, ECLI:EU:C:2017:994) und das Transparenzgebot in Art. 12 Abs. 1 DS-GVO im Einzelfall dennoch erforderlich sein kann, auch Textpassagen oder ganze Dokumente der betroffenen Person zur Verfügung zu stellen?

2. Der erkennende Senat hat dem Gerichtshof durch Beschluss vom 29. März 2022 - VI ZR 1352/20 (DB 2022, 1249; Rs. C-307/22) unter Ziff. 3 folgende Frage zur Vorabentscheidung vorgelegt:

Umfasst der Anspruch aus Art. 15 Abs. 3 Satz 1 DS-GVO im Arzt-Patienten-Verhältnis einen Anspruch auf Überlassung von Kopien aller die personenbezogenen Daten des Patienten enthaltenden Teile der Patientenakte oder ist er nur auf Herausgabe einer Kopie der personenbezogenen Daten des Patienten als solche gerichtet, wobei es dem datenverarbeitenden Arzt überlassen bleibt, in welcher Weise er dem betroffenen Patienten
die Daten zusammenstellt?

3. Diese Fragen sind auch im vorliegenden Fall entscheidungserheblich.
Die Parteien streiten darüber, ob sich aus Art. 15 Abs. 3 Satz 1 DS-GVO (lediglich) ein Anspruch auf eine Kopie der nach Art. 15 Abs. 1 DS-GVO zu beauskunftenden Daten oder ein Anspruch auf Herausgabe von Kopien der diese Daten enthaltenden Dokumente ergibt.

4. Aufgrund der Entscheidungserheblichkeit der oben unter II. 1 und 2 genannten Fragen kann der Senat in dieser Sache unter Beachtung seiner in Art. 267 Abs. 3 AEUV enthaltenen Vorlageverpflichtung keine abschließende Sachentscheidung treffen. Eine Vorlage auch dieses Verfahrens an den Gerichtshof würde jedoch dort nicht zu einer schnelleren Beantwortung der maßgeblichen Rechtsfrage führen. Im Gegenteil würde die Funktion des Gerichtshofs im Vorabentscheidungsverfahren beeinträchtigt, wenn die gleiche Rechtsfrage
mehrfach vorgelegt würde. Das Vorabentscheidungsverfahren nach Art. 267 AEUV stellt ein grundlegendes Instrument dar, um den Grundsatz des Vorrangs des Unionsrechts vor nationalem Recht zu verwirklichen und die einheitliche Anwendung des Unionsrechts in allen Mitgliedstaaten zu gewährleisten. Die verbindliche Auslegung des Unionsrechts ist dem Gerichtshof vorbehalten. Da der Gerichtshof aber kein Rechtsmittelgericht für sämtliche mitgliedschaftlichen Verfahren darstellt, genügt es, wenn dort über die klärungsbedürftige Rechtsfrage in den bereits anhängigen Verfahren verhandelt und entschieden wird (vgl. BGH, Beschluss vom 24. Januar 2012 - VIII ZR 236/10, RIW 2012, 405, juris Rn. 8 mwN).

5. Der Senat hält es daher für angemessen, das vorliegende Verfahren gemäß § 148 ZPO analog wegen Vorgreiflichkeit der beim Gerichtshof anhängigen Vorlageverfahren auszusetzen (zur Zulässigkeit dieser Vorgehensweise vgl. BGH, aaO Rn. 9 mwN).



Den Volltext der Entscheidung finden Sie hier:


EuGH: Vorgaben der DSGVO stehen deutscher Regelung zum Kündigungsschutz des Datenschutzbeauftragten im BDSG nicht entgegen

EuGH
Urteil vom 22.06.2022
C‑534/20
Leistritz AG gegen LH


Der EuGH hat entschieden, dass die Vorgaben der DSGVO der strengeren deutschen Regelung zum Kündigungsschutz des Datenschutzbeauftragten im BDSG nicht entgegenstehen.

Tenor der Entscheidung:
Art. 38 Abs. 3 Satz 2 der Verordnung (EU) 2016/679 des Europäischen Parlaments und des Rates vom 27. April 2016 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten, zum freien Datenverkehr und zur Aufhebung der Richtlinie 95/46/EG (Datenschutz-Grundverordnung) ist dahin auszulegen, dass er einer nationalen Regelung nicht entgegensteht, nach der einem bei einem Verantwortlichen oder einem Auftragsverarbeiter beschäftigten Datenschutzbeauftragten nur aus wichtigem Grund gekündigt werden kann, auch wenn die Kündigung nicht mit der Erfüllung seiner Aufgaben zusammenhängt, sofern diese Regelung die Verwirklichung der Ziele der DSGVO nicht beeinträchtigt.

Den Volltext der Entscheidung finden Sie hier:

LG Hamburg: Kein Anspruch Dritter gegen Hamburger Datenschutzbeauftragten auf Herausgabe des teilweise anonymisierten datenschutzrechtlichen Bußgeldbescheids gegen H&M

LG Hamburg
Beschluss vom vom 28.10.2021
625 Qs 21/21 OWi


Das LG Hamburg hat entschieden, dass Dritte keinen Anspruch gegen den Hamburger Datenschutzbeauftragten (HmbBfDI ) auf Herausgabe des teilweise anonymisierten datenschutzrechtlichen Bußgeldbescheids gegen H&M haben.

Aus den Entscheidungsgründen:
Der Antrag auf gerichtliche Entscheidung ist zulässig und hat auch in der Sache überwiegend Erfolg. Auf die mit Bescheid des HmbBfDI vom 28. Januar 2021 beabsichtigte umfassende Herausgabe des teilweise anonymisierten Bußgeldbescheids vom 30. September 2020 haben die vier Antragssteller keinen Anspruch. Ihnen ist lediglich hinsichtlich der Passage „Zumessung der Geldbuße“, Seite 9 des Bußgeldbescheids bis Seite 10, 3. Absatz, 1. Halbsatz „Anknüpfungspunkt ist daher der gesamte Umsatz im Onlinehandel“ Auskunft zuzubilligen.
[...]
Der Antrag auf gerichtliche Entscheidung hat in der Sache überwiegend Erfolg. Den vier auskunftssuchenden Antragsstellern steht kein Anspruch auf die Übermittlung des Bußgeldbescheids vom 30. September 2020 in der vom HmbBfDI teilanonymisierten Form, die dem angegriffenen Bescheid vom 28. Januar 2021 als Anlage 1 beigefügt war, und des Dokuments „ 2./2020 – Bußgeldzumessung unter Anwendung des DSK-Konzepts“ gemäß Anlage 2 des Bescheids vom 28. Januar 2021nach § 475 Abs. 1 und 4 StPO zu.

Gemäß § 475 Absatz 1 und 4 StPO können Privatpersonen Auskünfte aus Akten erteilt werden, soweit diese hierfür ein berechtigtes Interesse darlegen. Sie sind zu versagen, wenn der hiervon Betroffene ein schutzwürdiges Interesse an der Versagung hat. Im Übrigen soll Akteneinsicht grundsätzlich nur in dem Umfang erfolgen, als dies zur Wahrnehmung des berechtigten Interesses der Privatperson erkennbar erforderlich ist (vgl. LG Bochum, Beschluss vom 10.11.2004 – 1 AR 16/04).

Zwar haben alle auskunftssuchenden Antragssteller ein berechtigtes Interesse darlegt; deren Auskunftsinteresse der Antragsteller stehen aber die schutzwürdigen Interessen der Betroffenen an der Versagung der Auskünfte jedenfalls in Form der Übersendung des vom HmbBfDI lediglich geringfügig geschwärzten Bußgeldbescheids gemäß Anlage 1 und des Dokuments „ 2./2020 – Bußgeldzumessung unter Anwendung des DSK-Konzepts“ gemäß Anlage 2 zum Bescheid vom 28. Januar 2021 entgegen.

a. Berechtigtes Interesse der Antragssteller

Das „berechtigte Interesse“ i. S. d. § 475 StPO wird weit ausgelegt. Darunter fällt grundsätzlich jedes verständige, durch die Sachlage gerechtfertigte Interesse tatsächlicher, wirtschaftlicher oder ideeller Art, sofern es von dem jeweiligen Antragssteller schlüssig dargelegt wird; eine Glaubhaftmachung oder gar ein Beweis sind nicht erforderlich (BeckOK StPO/Wittig, 40. Ed. 1. Juli 2021, § 475 Rn. StPO, Rn. 9 f.).

Bei Anwendung dieser Maßstäbe habe alle vier Antragssteller ihr berechtigtes Interesse hinreichend dargelegt. Die Antragsteller 2 bis 4 haben angegeben, dass sie als (Syndikus-) Anwälte im Bereich Datenschutzrecht tätig sind. Antragssteller 2 und 3 haben ausgeführt, dass sie die Entscheidung für ihre berufliche Tätigkeit, d. h. in der Beratung ihrer Mandanten im Datenschutzrecht, nutzen wollen. Der Antragsteller zu 2 hat ferner ein Interesse daran dargelegt, zu erfahren, anhand welcher Kriterien die Adressatenauswahl und die Bußgeldberechnung erfolgt sei. Die Antragssteller 1, 3 und 4 haben weiter erklärt, dass sie beabsichtigten, einen wissenschaftlichen Aufsatz zu schreiben, der unter anderem den Bußgeldbescheid zum Gegenstand hat.

Diese Interessen sind grundsätzlich als ein berechtigtes Interesse anzuerkennen, denn dabei handelt es sich um verständige und durch die Sachlage gerechtfertigte Interessen.

b. Schutzwürdigen Interessen der Betroffenen

Dem Auskunftsinteresse der Antragssteller an der Übersendung des Bußgeldbescheids in der vom HmbBfDI teilgeschwärzten Fassung gemäß Anlage 1 zum Bescheid vom 28. Januar 2021 stehen jedoch die schutzwürdigen Interessen der Betroffenen an der Versagung der Auskunft entgegen (§ 475 Abs. 1 S. 2 StPO).

Im Unterschied zur ähnlich gelagerten Regelung des § 406e Abs. 2 StPO kommt es im Rahmen des § 475 StPO nicht auf ein „Überwiegen” der einer Auskunft entgegenstehenden schutzwürdigen Interessen an. Es genügt, dass ein schutzwürdiges Interesse an der Versagung besteht (LG Bochum, Beschluss vom 10.11.2004 – 1 AR 16/04, NJW 2005, 999). Ob die Interessen der Betroffenen i.S.d. § 475 Abs. 1 Satz 2 StPO schutzwürdig sind, ist dabei im Wege einer umfassenden Abwägung zwischen dem Informationsinteresse der Antragsteller und den entgegenstehenden Interessen der Betroffenen zu ermitteln. Entscheidend ist dabei, wie hoch das Informationsinteresse der Antragsteller an der begehrten Auskunft zu bewerten und wie stark der Eingriff in die Rechte der Betroffenen durch die Offenlegung der begehrten Informationen im Einzelfall zu gewichten ist. Je geringer der Eingriff in das Recht des Betroffenen, desto geringere Anforderungen sind an das Informationsinteresse der Antragsteller zu stellen; je intensiver und weitergehend die begehrte Auskunft reicht, desto gewichtiger muss das Informationsinteresse sein (vgl. VGH Baden-Württemberg DVBl 2014, 101 m.w.Nw, LG München, Beschluss vom 24.03.2015 – 7 Qs 5/15, ZD 2015, 483).

Ob eine Verletzung schutzwürdiger Interessen vorliegt, ist daher anhand des zu beurteilenden Einzelfalls festzustellen. Diese Abwägung geht hier zugunsten der Betroffenen aus:

Wie der HmbBfDI in dem angefochtenen Bescheid vom 28. Januar 2021 zutreffend ausführt, unterliegen die einzelnen Bestandteile des Bußgeldbescheids vom 30. September 2020 für sich bereits dem Schutz von Betriebs- und Geschäftsgeheimnissen der Betroffenen. Dies betrifft sämtliche in dem Bescheid vom 30. September 2020 enthaltenen Unternehmenskennzahlen (insb. Kennzahlen zur Mitarbeiterstruktur, Umsatzzahlen und sonstigen finanziellen Kennziffern) sowie Inhalte zu Arbeitsabläufen- und –organisation, die überwiegend bereits in der dem angegriffenen Bescheid vom 28. Januar 2021 als Anlage 1 beigefügten Fassung des Bußgeldbescheides geschwärzt worden waren. Insoweit wird ergänzend auf die diesbezüglichen Ausführungen des Bescheids vom 28. Januar 2021 Bezug genommen, denen sich die Kammer anschließt.

bb. Darüber hinaus steht dem Auskunftsinteresse der Antragsteller auch die durch Art. 12 Abs. 1 GG geschützte Berufsfreiheit der Betroffenen entgegen.

Art. 12 Abs. 1 GG gewährt das Recht der freien Berufswahl und -ausübung und ist gemäß Art. 19 Abs. 3 GG auch auf juristische Personen anwendbar, soweit sie - wie hier die Betroffenen - eine Erwerbszwecken dienende Tätigkeit ausüben, die ihrem Wesen und ihrer Art nach in gleicher Weise einer juristischen wie einer natürlichen Person offensteht. In der bestehenden Wirtschaftsordnung umschließt das Freiheitsrecht des Art. 12 Abs. GG das berufsbezogene Verhalten der Unternehmen am Markt nach den Grundsätzen des Wettbewerbs (Vgl. BVerfG, Beschlüsse vom 21. März 2018 - 1BVF113 1 BvF 1/13 - BVerfGE 148, Seite 40 = juris, Rn. 26 und vom 26. Juni 2002 - 1 BvR 558/91 -, BVerfGE 105, Seite 252 = juris, Rn. 41; OVG Münster Beschl. v. 17.5.2021 – 13 B 331/21, BeckRS 2021, 11654 Rn. 11).

Die in dem Bußgeldbescheid vom 30. September 2020 enthaltenen Informationen sind inhaltlich überwiegend geeignet, die Markt- und Wettbewerbssituation mittelbar-faktisch zum wirtschaftlichen Nachteil der Betroffenen zu verändern. Aus dem Bußgeldbescheid geht das konkret der Betroffenen zu 1 vorgeworfene Fehlverhalten der Führungskräfte aus dem C. S. C. in N. hervor. Dabei handelt es – auch aus Laiensphäre – um schwerwiegende Verstöße gegen die BSDG, deren Veröffentlichung geeignet ist, den Ruf von H. als Unternehmen zu schädigen und eine Prangerwirkung zu entfalten. Die Gefahr einer Prangerwirkung für das gesamte Unternehmen besteht dabei insbesondere, weil sich aus dem Bußgeldbescheid erstmals eine vollständige Offenlegung der Firma der Betroffenen zu 2 als weitere Beteiligte des Bußgeldverfahrens ergibt, obwohl sie selbst – wie sich aus dem Inhalt des Bußgeldbescheides ergibt und auch vom HmbBfDI selbst vorgetragen wird – die Verstöße nicht begangen hat. Eine solche Nennung der Betroffenen zu 2 im Zusammenhang mit den vorgeworfenen Datenschutzverstößen birgt erstmals die Gefahr einer erheblichen Rufschädigung für den gesamten Konzern der Betroffenen zu 2 und nicht nur für die in N. ansässige Betroffene zu 1. Dies ist auch geeignet, sich auf den Unternehmenswert insgesamt auszuwirken. Soweit der Inhalt des Bußgeldbescheides veröffentlicht wird, können bisherige Geschäftspartner der Betroffenen die mitgeteilten Informationen zum Anlass nehmen, aus Sorge vor einer eigenen Rufschädigung von einer weiteren Zusammenarbeit mit den Betroffenen Abstand zu nehmen. Potentielle neue Geschäftspartner können durch die mitgeteilten Informationen verschreckt werden und sich vorsorglich für die Inanspruchnahme anderer „unbelasteter“ Geschäftspartner entscheiden. Zudem können den Betroffenen die eigene Tätigkeit dadurch erschwert werden, dass zum einen ihr Ruf im Kreis der Verbraucher in Mitleidenschaft gezogen wird und sich dies auf deren Kaufverhalten auswirken kann, obwohl der Bußgeldbescheid nicht unmittelbar das Verhalten gegenüber den Kunden selbst betrifft. Dafür spricht, dass viele Konsumenten Wert darauf legen, dass Unternehmen bestimmte Wertestandards einhalten, und zwar auch betreffend den Umgang mit ihren eigenen Mitarbeitern. Zum anderen könnte die Veröffentlichung des Bußgeldbescheids auch potentielle Arbeitnehmer von einer Bewerbung bei H. abhalten.

Diese Erwägungen gelten auch unter Berücksichtigung der Art des geltend gemachten Interesses der Antragssteller und der grundsätzlichen Beschränkung der Verwendung der durch Akteneinsicht erlangten personenbezogenen Daten lediglich für die Zwecke, für die Akteneinsicht gewährt wurde, §§ 46, 49b OWIG i.V.m. § 479 Abs. 6 StPO i.V.m. § 32f Abs. 5 S. 2 StPO. Zwar haben die Antragssteller 2 und 3 geltend gemacht, den Bußgeldbescheid vorrangig für die Mandantenberatung nutzen zu wollen. Dies beinhaltet jedoch nicht ausschließbar auch, wesentliche Inhalte des Bescheids, insbesondere im Zusammenhang mit der Herleitung der Haftung der Betroffenen zu 2 für Verstöße der Betroffenen zu 1, im Rahmen eines Kanzlei-Newsletters über die Internetseite einer unbestimmten Anzahl an Personen zugänglich zu machen. Soweit die Antragsteller 1, 3 und 4 den Bußgelbescheid zudem in Publikationen bzw. Fachaufsätzen verarbeiten zu wollen, begehren die Antragssteller die Übermittlung des Bußgeldbescheids – entgegen der anderweitigen Auffassung des HmbBfDI – sehr wohl zum Zweck der (wissenschaftlichen) Veröffentlichung. Diese Veröffentlichungsform ist auch geeignet, die oben beschriebenen Verletzungen der Rechte der Betroffenen zu intensivieren. Auch hier erlangt eine unbekannte Anzahl Dritter Kenntnis über den Inhalt des Bußgeldbescheids. Zudem ist zu erwarten, dass die Publikationen in anderen Printmedien zitiert werden oder sonst wie weiterverbreitet werden. Hierbei ist auch zu berücksichtigen, dass die Übermittlungen zu wissenschaftlichen oder beruflichen Zwecken auch keine konkreten Vorgaben beinhalten, wie mit dem Bußgeldbescheid umzugehen ist. Auch eine Veröffentlichung zu wissenschaftlichen Zwecken könnte demnach freizugänglich im Internet erfolgen. Daneben ist zu erwarten, dass der Bußgeldbescheid oder dessen Inhalt auf anderen Medien – und wahrscheinlich auch unabhängig von einer etwaigen Publikation – öffentlich verbreitet werden. Dafür spricht auch, dass – so von den Betroffenen vorgetragen und anhand eines Screenshots belegt – der Antragssteller 1, S. H. auf seinem Twitter-Account bereits seine bisherige Kommunikation mit dem HmbBfDI betreffend den Bußgeldbescheid gegen die Betroffenen im Internet veröffentlicht hat (vgl. Tweet des Twitter Accounts @ s. h. vom 24. Februar 2021; https:// t..com/ s._ h./status/ ). In der Gesamtschau ist daher bei der Herausgabe des Bußgeldbescheids von einem Eingriff bzw. einer Intensivierung des Eingriffs (siehe nachfolgend, cc) in die Rechte der Betroffenen auszugehen.

cc. Das schutzwürdige Interesse der Betroffenen entfällt auch nicht dadurch, dass bereits Informationen über den Bußgeldbescheid in der Pressemitteilung vom 01. Oktober 2020 veröffentlicht wurden und die Vorgänge sowohl vor als auch nach Veröffentlichung der Pressemitteilung mehrfach Gegenstand von Presseberichterstattungen in Deutschland waren.
[...]
Insgesamt ist daher von einem Überwiegen der schutzwürdigen Interessen der Betroffenen aus Art. 12 GG auszugehen.

3. Daraus folgt, dass weite Teile des Bußgeldbescheids von der Akteneinsicht auszunehmen wären. Durch die Herausgabe eines geschwärzten Bußgeldbescheids in der bislang vom HmbBfDI vorgesehenen Form würde den schutzwürdigen Interessen der Betroffenen nicht hinreichend Rechnung getragen werden. Eine die Interessen der betroffenen wahrende Schwärzung des Bußgeldbescheides vom 30. September 2020 würde dazu führen, dass der Rest des Bußgeldbescheides überwiegend aus abstrakten Rechtssätzen, Normenketten und allgemeinen Ausführungen bestünde, die einer Nichtübermittlung des Bußgeldbescheides gleichkommen würden.


Den Volltext der Entscheidung finden Sie hier:


BVerwG: Art. 16 Satz 1 DSGVO ist Anspruchsgrundlage für Berichtigung des Geburtsdatums im Melderegister - Beweislast für Unrichtigkeit trägt Anspruchsteller

BVerwG
Urteil vom 02.03.2022
6 C 7.20

Das BVerwG hat entschieden, dass Art. 16 Satz 1 DSGVO die Anspruchsgrundlage für die Berichtigung des Geburtsdatums im Melderegister ist. Die Beweislast für die Unrichtigkeit bzw. das richtige Datum trägt Anspruchsteller.

Aus den Entscheidungsgründen:

a) Das Berufungsgericht hat die Klage im Hinblick auf den Hauptantrag zu Recht als zulässig angesehen. Allerdings hat es unzutreffend angenommen, dass das auf Art. 16 Satz 1 der Verordnung (EU) 2016/679 des Europäischen Parlaments und des Rates vom 27. April 2016 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten, zum freien Datenverkehr und zur Aufhebung der Richtlinie 95/46/EG (ABl. L 119 S. 1) - Datenschutz-Grundverordnung, DSGVO - gestützte Begehren des Klägers, das Melderegister der Beklagten zu berichtigen, im Wege der kombinierten Anfechtungs- und Leistungsklage geltend zu machen sei. Statthafte Klageart für diesen Anspruch ist vielmehr die Verpflichtungsklage.

Die Verpflichtungsklage ist gemäß § 42 Abs. 1 VwGO statthaft, wenn die Verurteilung einer Behörde zum Erlass eines abgelehnten oder unterlassenen Verwaltungsakts begehrt wird. Sie ist auch dann einschlägig, wenn eine Klage auf ein tatsächliches Handeln einer Behörde gerichtet ist, dem begehrten tatsächlichen Handeln der Behörde aber ein Verwaltungsakt vorausgeht. In diesen Fällen ist der rechtliche Schwerpunkt der behördlichen Tätigkeit nicht in der tatsächlichen Handlung als solcher, sondern in der zugrundeliegenden Entscheidung zu sehen, die in der Form eines Verwaltungsakts ergeht (BVerwG, Urteile vom 28. November 2007 - 6 A 2.07 - BVerwGE 130, 29 Rn. 13 und vom 16. September 2020 - 6 C 10.19 - Buchholz 403.1 Allg DatenschutzR Nr. 21 Rn. 12). Dies ist etwa der Fall, wenn die Behörde vor der tatsächlichen Handlung eine Entscheidung trifft, die auf der Grundlage eines gesetzlichen Prüfprogramms zu treffen ist und bei der die Behörde besondere verfahrensrechtliche Vorkehrungen wie etwa Begründungs- oder Anhörungspflichten zu beachten hat (BVerwG, Urteil vom 16. September 2020 - 6 C 10.19 - Buchholz 403.1 Allg DatenschutzR Nr. 21 Rn. 12). Dabei setzt der für einen Verwaltungsakt erforderliche Regelungscharakter der Entscheidung voraus, dass diese nach ihrem objektiven Erklärungsgehalt darauf gerichtet ist, eine Rechtsfolge zu setzen. Sie muss für den Betroffenen rechtsverbindlich Rechte oder Pflichten begründen, inhaltlich ausgestalten, ändern, aufheben, feststellen oder einen derartigen Ausspruch rechtsverbindlich ablehnen. Ein feststellender Verwaltungsakt liegt demnach vor, wenn das Ergebnis der behördlichen Rechtsanwendung rechtsverbindlich festgeschrieben wird (vgl. BVerwG, Urteil vom 21. Juni 2017 - 6 C 3.16 - BVerwGE 159, 148 Rn. 12 m.w.N.).

Hiervon ausgehend ist der Anspruch auf Berichtigung des Melderegisters auf Grund der nach Maßgabe der folgenden Darlegungen anzuwendenden Vorschrift des Art. 16 Satz 1 DSGVO nicht allein auf ein tatsächliches Verwaltungshandeln - die Änderung des Melderegisters -, sondern auf einen zuvor ergehenden Verwaltungsakt gerichtet. Rechtlicher Schwerpunkt des begehrten hoheitlichen Handelns ist nicht die tatsächliche Änderung des Eintrags im Melderegister. Der Schwerpunkt liegt vielmehr in der dem Prüfprogramm des Art. 16 Satz 1 DSGVO entsprechenden Entscheidung über diese Änderung, in deren Rahmen die Behörde insbesondere eine Aussage über die Richtigkeit bzw. Unrichtigkeit der in Rede stehenden Daten trifft. Damit regelt die Behörde die Konfliktlage, die durch das Aufeinandertreffen des "alten", bereits gespeicherten Datums und des durch den Antragsteller an die Behörde herangetragenen "neuen" Datums gekennzeichnet ist. Das durch das Berichtigungsbegehren entstandene streitbefangene Rechtsverhältnis wird damit einer - dem Interesse der Rechtssicherheit dienenden - Klärung zugeführt, der Berichtigungsanspruch verbindlich festgestellt. Die Auflösung dieser spezifischen Konfliktlage unterscheidet die durch den Berichtigungsantrag geschaffene Situation von anderen Konstellationen wie etwa der Fortschreibung des Melderegisters von Amts wegen oder der Ersteintragung eines Datums ins Register (vgl. zu diesen Konstellationen etwa OVG Koblenz, Beschluss vom 29. Januar 1993 - 7 A 11526/92 - juris Rn. 19 f.; OVG Greifswald, Beschluss vom 21. Juni 1999 - 1 M 63/99 - NVwZ-RR 2009, 93 <93 f.>; OVG Lüneburg, Beschluss vom 25. April 2014 - 11 ME 64/14 - juris Rn. 7 f. und OVG Münster, Beschluss vom 24. Mai 2017 - 16 E 1119/16 - juris Rn. 11). Die mit der Entscheidung verbundene Feststellung der Richtigkeit des in Rede stehenden Datums betrifft den jeweiligen Anspruchsteller als außerhalb der Verwaltung stehende natürliche Person in seinem Recht auf informationelle Selbstbestimmung und entfaltet damit auch unmittelbare Außenwirkung.

Die Entscheidung des Berufungsgerichts stellt sich insoweit jedoch aus anderen Gründen als richtig dar, § 144 Abs. 4 VwGO. Auch bei Zugrundelegung der Verpflichtungsklage als statthafte Klageart ist die Klage zulässig. Insbesondere hat der Kläger das Vorverfahren nach § 68 Abs. 1 Satz 1 VwGO erfolglos durchgeführt und danach fristgerecht Klage erhoben.

b) Im Ergebnis zu Recht hat das Berufungsgericht die Klage mit ihrem Hauptantrag als unbegründet abgewiesen. Zutreffend hat es als Anspruchsgrundlage Art. 16 Satz 1 DSGVO herangezogen (aa)) und im Ergebnis zu Recht angenommen, dass die tatbestandlichen Voraussetzungen des Berichtigungsanspruchs nicht erfüllt sind (bb)).

aa) Anspruchsgrundlage für das Begehren des Klägers, sein Geburtsjahr im Melderegister der Beklagten zu ändern, ist Art. 16 Satz 1 DSGVO.

(1) Der Anwendung der Datenschutzgrundverordnung steht nicht entgegen, dass diese am 25. Mai 2018 und damit erst während des Berufungsverfahrens in Kraft getreten ist. Nach ständiger Rechtsprechung des Bundesverwaltungsgerichts ergibt sich die für die gerichtliche Entscheidung maßgebliche Rechtslage aus dem materiellen Recht, dem nicht nur die tatbestandlichen Voraussetzungen einer Ermächtigungsgrundlage oder eines Anspruchs selbst, sondern auch die Antwort auf die Frage zu entnehmen ist, zu welchem Zeitpunkt diese Voraussetzungen erfüllt sein müssen (BVerwG, Urteile vom 31. März 2004 - 8 C 5.03 - BVerwGE 120, 246 <250> und vom 16. September 2020 - 6 C 10.19 - Buchholz 403.1 Allg. DatenschutzR Nr. 21 Rn. 13). Maßgeblich ist daher, welche Rechtsvorschriften sich nach ihrem Geltungswillen im Zeitpunkt der Entscheidung für die Beurteilung des Klagebegehrens Geltung beimessen und zwar gleichgültig, ob es sich um eine Feststellungsklage, eine Leistungsklage, eine Anfechtungsklage oder eine Verpflichtungsklage handelt (BVerwG, Urteil vom 16. September 2020 - 6 C 10.19 - Buchholz 403.1 Allg. DatenschutzR Nr. 21 Rn. 13). Dies wird bei der hier vorliegenden Leistungskonstellation, in der von der Behörde ein Handeln verlangt wird, in der Regel die letzte mündliche Verhandlung sein, wenn sich aus dem materiellen Recht kein Anhaltspunkt für einen abweichenden Zeitpunkt ergibt (vgl. BVerwG, Urteile vom 9. Juni 2010 - 6 C 5.09 - BVerwGE 137, 113 Rn. 23, vom 4. Dezember 2014 - 4 C 33.13 - BVerwGE 151, 36 Rn. 18 und vom 16. September 2020 - 6 C 10.19 - Buchholz 403.1 Allg. DatenschutzR Nr. 21 Rn. 14).

Der Datenschutz-Grundverordnung selbst lässt sich kein Hinweis darauf entnehmen, dass über Auskunftsanträge, die vor ihrem Inkrafttreten gestellt worden sind, noch nach altem Recht zu entscheiden wäre (vgl. auch EuGH, Urteil vom 1. Oktober 2019 - C-673/17 [ECLI:​EU:​C:​2019:​801] - Rn. 41). Vielmehr beansprucht sie gemäß ihrem Art. 99 Abs. 2 ab dem 25. Mai 2018 unmittelbar in allen Mitgliedstaaten uneingeschränkte Geltung (vgl. BVerwG, Urteil vom 16. September 2020 - 6 C 10.19 - Buchholz 403.1 Allg. DatenschutzR Nr. 21 Rn. 14; BGH, Urteil vom 12. Juli 2018 - III ZR 183/17 - BGHZ 219, 243 Rn. 66). Anders verhält es sich nur in Bezug auf abgeschlossene Sachverhalte, über die die Behörde bereits nach altem Recht entschieden hat (vgl. BVerwG, Urteil vom 16. September 2020 - 6 C 10.19 - Buchholz 403.1 Allg. DatenschutzR Nr. 21 Rn. 14 mit Hinweis auf BVerwG, Urteil vom 27. März 2019 - 6 C 2.18 - BVerwGE 165, 111 Rn. 8 ff.; vgl. hierzu auch EuGH, Urteil vom 11. November 2020 - C-61/19 [ECLI:​EU:​C:​2020:​901] - Rn. 31). Der hier maßgebliche Sachverhalt, die Verarbeitung des Geburtsdatums des Klägers im Melderegister, ist jedoch noch nicht abgeschlossen, sondern wirkt fort. Auch dem Bundesmeldegesetz in der seit dem 26. November 2019 geltenden Fassung des Zweiten Gesetzes zur Anpassung des Datenschutzrechts an die Verordnung (EU) 2016/679 und zur Umsetzung der Richtlinie (EU) 2016/680 (Zweites Datenschutz-Anpassungs- und Umsetzungsgesetz EU - 2. DSAnpUG-EU) vom 20. November 2019 (BGBl. I 1626) lässt sich nicht entnehmen, dass vor Inkrafttreten der Änderungen gestellte Berichtigungsanträge noch nach alter Rechtslage, d.h. nach § 12 BMG a.F., zu beurteilen sein sollten.

(2) Der sachliche Anwendungsbereich der Datenschutz-Grundverordnung ist gemäß Art. 2 DSGVO eröffnet. Bei der Speicherung des Geburtsdatums des Klägers im Melderegister der Beklagten handelt es sich um eine Datenverarbeitung im Sinne des Art. 2 Abs. 1 DSGVO. Die Ausnahmetatbestände des Art. 2 Abs. 2 DSGVO greifen nicht ein. Insbesondere ist die Anwendung der Datenschutz-Grundverordnung nicht nach Art. 2 Abs. 2 Buchst. a DSGVO ausgeschlossen. Hiernach findet die Verordnung keine Anwendung auf die Verarbeitung personenbezogener Daten im Rahmen einer Tätigkeit, die nicht in den Anwendungsbereich des Unionsrechts fällt. Nach der Rechtsprechung des Gerichtshofs der Europäischen Union (im Folgenden: EuGH) ist diese Ausnahmevorschrift eng auszulegen und in Verbindung mit Art. 2 Abs. 2 Buchst. b DSGVO sowie ihrem 16. Erwägungsgrund zu lesen. Danach gilt diese Verordnung nicht für die Verarbeitung personenbezogener Daten im Zusammenhang mit Tätigkeiten, die nicht in den Anwendungsbereich des Unionsrechts fallen, weil sie etwa die nationale Sicherheit betreffen oder im Rahmen der Gemeinsamen Außen- und Sicherheitspolitik der Union erfolgen. Überdies ist dieser Ausnahmegrund im Lichte seiner Vorgängerregelung zu verstehen, an die er teilweise anknüpft. Bereits zu Art. 3 Abs. 2 erster Gedankenstrich der Richtlinie 95/46/EG des Europäischen Parlaments und des Rates vom 24. Oktober 1995 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten und zum freien Datenverkehr (ABl. L 281 S. 31) - Datenschutz-Richtlinie, DSRL - war anerkannt, dass diese Richtlinie keine Anwendung fand u.a. bei der Ausübung von Tätigkeiten, die nicht in den Anwendungsbereich des Gemeinschaftsrechts fielen und ausdrücklich in der Norm genannt waren, beispielsweise Verarbeitungen betreffend die öffentliche Sicherheit, die Landesverteidigung oder die Sicherheit des Staates (vgl. dazu EuGH, Urteile vom 27. September 2017 - C-73/16 [ECLI:​EU:​C:​2017:​725] - Rn. 37 und vom 10. Juli 2018 - C-25/17 [ECLI:​EU:​C:​2018:​551] - Rn. 38). Daher reicht der bloße Umstand, dass eine Tätigkeit eine spezifische Tätigkeit des Staates oder einer Behörde ist, nach Ansicht des EuGH auch für den Ausnahmetatbestand des Art. 2 Abs. 2 Buchst. a DSGVO nicht aus. Für sein Eingreifen ist vielmehr erforderlich, dass es sich um eine Verarbeitung personenbezogener Daten durch staatliche Stellen im Rahmen einer Tätigkeit handelt, die der Wahrung der nationalen Sicherheit dient, oder einer Tätigkeit, die derselben Kategorie zugeordnet werden kann. Die auf die Wahrung der nationalen Sicherheit abzielenden Tätigkeiten umfassen insbesondere solche, die den Schutz der grundlegenden Funktionen des Staates und der grundlegenden Interessen der Gesellschaft bezwecken (vgl. EuGH, Urteil vom 22. Juni 2021 - C-439/19 [ECLI:​EU:​C:​2021:​504] - Rn. 62 ff.).

Um solche Datenverarbeitungen geht es hier jedoch ersichtlich nicht. Vielmehr dient die Führung des Melderegisters neben der in § 2 Abs. 1 des Bundesmeldegesetzes (BMG) i.d.F. der Bekanntmachung vom 3. Mai 2013 (BGBl. I S. 1084), zuletzt geändert durch Art. 4 des Gesetzes vom 28. März 2021 (BGBl. I S. 591) bestimmten Pflicht zur Identifizierung der Einwohner als Informationsgrundlage für eine Vielzahl öffentlicher Stellen, wie sich aus § 2 Abs. 3 BMG entnehmen lässt. Ungeachtet der damit einhergehenden großen praktischen Bedeutung des Melderegisters ist nicht erkennbar, dass hierbei der Schutz der grundlegenden Funktionen des Staates oder ebensolcher Interessen der Gesellschaft bzw. eine gleich gewichtige Tätigkeit in Rede steht. Im Übrigen ist auch der nationale Gesetzgeber von der Anwendung der Datenschutz-Grundverordnung im Bereich des Meldewesens ausgegangen, wie aus § 12 BMG in der aktuell geltenden Fassung des Zweiten Datenschutz-Anpassungs- und Umsetzungsgesetzes EU sowie aus der Gesetzesbegründung hierzu (BT-Drs. 19/4674 S. 224) hervorgeht.

bb) Bei der Prüfung des Anspruchs des Art. 16 Satz 1 DSGVO hat das Berufungsgericht zutreffend angenommen, dass zwar der persönliche und sachliche Anwendungsbereich der Vorschrift eröffnet ist ((1)), sich aber nicht feststellen lässt, dass das vom Kläger angegebene Geburtsjahr 1953 richtig ist ((2)). Es ist dabei von einem zutreffenden Begriff der Richtigkeit ausgegangen ((a)) und hat ohne Rechtsfehler eine hinreichende Überzeugung vom Vorliegen dieser Voraussetzung verneint ((b)). Die daraufhin getroffene Beweislastentscheidung hat es im Ergebnis zutreffend zu Lasten des Klägers getroffen ((c)).

(1) Nach Art. 16 Satz 1 DSGVO hat die betroffene Person das Recht, von dem Verantwortlichen unverzüglich die Berichtigung sie betreffender unrichtiger personenbezogener Daten zu verlangen.

Die Vorschrift ist hier anwendbar, denn bei der Angabe des Geburtsjahres des Klägers handelt es sich um eine Information, die sich auf eine identifizierte natürliche Person bezieht, mithin um ein personenbezogenes Datum im Sinne des Art. 4 Nr. 1 DSGVO. Der Kläger ist auch betroffene Person im Sinne des Art. 16 Satz 1 DSGVO und die Beklagte Verantwortliche für die in Rede stehende Datenverarbeitung in ihrem Melderegister. Verantwortlich in diesem Sinne ist nach Art. 4 Nr. 7 DSGVO die natürliche oder juristische Person, Behörde, Einrichtung oder andere Stelle, die allein oder gemeinsam mit anderen über die Zwecke und Mittel der Verarbeitung von personenbezogenen Daten entscheidet. Die Beklagte als für die Führung des in Rede stehenden kommunalen Melderegisters zuständige Meldebehörde (vgl. § 1 BMG i.V.m. § 1 Abs. 2 des baden-württembergischen Ausführungsgesetzes zum Bundesmeldegesetz und § 107 Abs. 4 PolG BW) ist damit Verantwortliche im Sinne der Vorschrift.

(2) Voraussetzung für den Berichtigungsanspruch des Art. 16 Satz 1 DSGVO ist weiter, dass er sich auf die Ersetzung eines unrichtigen Datums durch ein richtiges Datum richtet (vgl. zum Berichtigungsanspruch nach dem früher geltenden Melderechtsrahmengesetz BVerwG, Urteil vom 30. September 2015 - 6 C 38.14 - BVerwGE 153, 89 Rn. 10; siehe auch Meents/Hinzpeter in: Taeger/Gabel, DSGVO - BDSG - TTDSG, 4. Aufl. 2022, Art. 16 Rn. 15).

(a) Maßstab für die Qualifizierung eines Datums als "richtig" oder "unrichtig" im Sinne des Art. 16 Satz 1 DSGVO ist zunächst die objektive Wirklichkeit. Richtig ist ein Datum, das mit der Wirklichkeit übereinstimmt; unrichtig ist es, wenn es ihr nicht entspricht (so auch OVG Berlin-Brandenburg, Beschluss vom 1. Juli 2020 - 3 S 24/20 - juris Rn. 6; LSG Essen, Urteil vom 24. Juli 2020 - L 21 AS 195/19 - juris Rn. 24; Meents/Hinzpeter, in: Taeger/Gabel, DSGVO - BDSG - TTDSG, 4. Aufl. 2022, Art. 16 Rn. 8; Paal, in Paal/Pauly, Datenschutz-Grundverordnung, 3. Aufl. 2021, Art. 16 DSGVO Rn. 15; Peuker, in: Sydow, Europäische Datenschutzverordnung, 2. Auflage 2018, Art. 16 Rn. 11; vgl. zum Berichtigungsanspruch nach § 20 Abs. 1 Satz 1 BDSG a.F. auch BVerwG, Beschluss vom 4. März 2004 - 1 WB 32.03 - BVerwGE 120, 188 <190>).

Inwieweit der jeweilige Zweck der Datenverarbeitung die Beurteilung der Richtigkeit der Daten beeinflusst, kann hier dahinstehen. Zwar hat der EuGH zu dem im Wortlaut mit Art. 5 Abs. 1 Buchst. d DSGVO im Wesentlichen übereinstimmenden Art. 6 Abs. 1 Buchst. d der Richtlinie 95/46/EG entschieden, dass die Richtigkeit und Vollständigkeit personenbezogener Daten im Hinblick auf den Zweck zu beurteilen sind, für den die Daten erhoben wurden (EuGH, Urteil vom 20. Dezember 2017 - C-434/16 [ECLI:​EU:​C:​2017:​944] - Rn. 53). Das bedarf aber hier keiner Vertiefung, da der Zweck der Führung des Melderegisters nicht verlangt, für die Bestimmung der Richtigkeit eines eingetragenen Geburtsdatums von der objektiven Richtigkeit abweichende Bezugspunkte heranzuziehen.

Insbesondere führt die nach § 2 Abs. 1 BMG bestehende Identifizierungsfunktion des Melderegisters entgegen der Auffassung des Klägers nicht dazu, bei eine Person identifizierenden Merkmalen für die Richtigkeit nicht auf die Realität, sondern auf die Eintragungen in Ausweispapieren abzustellen. Den Zwecken des Melderegisters, insbesondere der Unterstützungsfunktion für andere behördliche Tätigkeitsbereiche durch Vorhaltung der zur Aufgabenerfüllung erforderlichen Informationen (vgl. hierzu Gamp, in: Lisken/Denninger, Handbuch des Polizeirechts, 7. Aufl. 2021, S. 1408 Rn. 336) wird in aller Regel am besten durch die Realität möglichst zutreffend abbildende Daten Genüge getan. Dies gilt angesichts zahlreicher Bereiche, für die das Alter des jeweiligen Einwohners maßgebend ist - wie z.B. die Aufstellung von Wählerlisten (vgl. § 3 Abs. 2 Nr. 1 BMG) oder die Erfassung zur Erfüllung der Schulpflicht -, insbesondere für das Geburtsdatum einer Person. Ein aus der Identifizierungsfunktion fließendes Bedürfnis für das vom Kläger geforderte Abweichen vom Kriterium der objektiven Wirklichkeit zugunsten der Angaben in Ausweispapieren besteht angesichts der Möglichkeiten, etwaige Abweichungen in verschiedenen Dokumenten offen zu legen und zu dokumentieren - wie dies hier etwa beim Kläger durch den Hinweis in seiner Niederlassungserlaubnis erfolgt ist - nicht.


Den Volltext der Entscheidung finden Sie hier:


OLG Köln: Auskunftsanspruch aus Art. 15 DSGVO ist nicht teleologisch einschränkend auszulegen und kann nicht nur aus Gründen gemäß Erwägungsgrund 63 der DSGVO geltend gemacht werden

OLG Köln
Urteil vom 22.05.2022
20 U 198/21


Das OLG Köln hat entschieden, dass der Auskunftsanspruch aus Art. 15 DSGVO nicht teleologisch einschränkend auszulegen ist und nicht nur aus Gründen gemäß Erwägungsgrund 63 der DSGVO geltend gemacht werden kann.

Aus den Entscheidungsgründen:
bb. Der Auskunftsanspruch ergibt sich jedoch – wovon das Landgericht zutreffend ausgegangen ist - aus Art. 15 Abs. 1, 3 DS-GVO.

Nach Art. 15 Abs. 1 DS-GVO hat jede betroffene Person, nach Art. 4 Nr. 1 DS-GVO also jede durch personenbezogene Daten identifizierbare oder identifizierte Person, das Recht, von dem Verantwortlichen eine Bestätigung darüber zu verlangen, ob sie betreffende personenbezogene Daten verarbeitet werden; ist dies der Fall, so hat sie u. a. ein Recht auf Auskunft über diese personenbezogenen Daten. Gemäß Art. 15 Abs. 3 DS-GVO hat der Verantwortliche eine Kopie der personenbezogenen Daten, die Gegenstand der Verarbeitung sind, zur Verfügung zu stellen.

Der Begriff der „personenbezogenen Daten“ nach Art. 4 DS-GVO ist dabei weit gefasst (BGH, Urteil vom 15.06.2021, Az. VI ZR 576/19 – zitiert nach juris; vgl. dazu auch unser Urteil vom 26.07.2019 in der Sache 20 U 75/18). Er ist insbesondere nicht auf sensible oder private Informationen beschränkt, sondern umfasst potenziell alle Arten von Informationen sowohl objektiver als auch subjektiver Natur unter der Voraussetzung, dass es sich um Informationen über die in Rede stehende Person handelt (BGH, Urteil vom 15.06.2021, Az. VI ZR 576/19 – zitiert nach juris). Die letztgenannte Voraussetzung ist erfüllt, wenn die Information aufgrund ihres Inhalts, ihres Zwecks oder ihrer Auswirkungen mit einer bestimmten Person verknüpft ist (BGH, Urteil vom 15.06.2021, Az. VI ZR 576/19 – zitiert nach juris). Nicht erforderlich ist, dass es sich um „signifikante biografische Informationen“ handelt, die „im Vordergrund“ des fraglichen Dokuments stehen (BGH, Urteil vom 15.06.2021, Az. VI ZR 576/19 – zitiert nach juris).

Der BGH hat im Rahmen seines Urteils vom 15.06.2021 (Az. VI ZR 576/19 – zitiert nach juris) ausdrücklich klargestellt, dass insbesondere weder Daten des Versicherungsscheins noch die zurückliegende Korrespondenz von Versicherungsnehmer und Versicherer kategorisch vom Anwendungsbericht des Art. 15 DS-GVO ausgeschlossen sind. Die Schreiben des Versicherers an den Versicherungsnehmer sollen dem Auskunftsanspruch vielmehr insoweit unterfallen, als sie Informationen über den Versicherungsnehmer nach den dargestellten Kriterien enthalten.

Im vorliegenden Fall begehrt die Klägerin Auskunft über die Höhe der Beitragserhöhungen in den Jahren 2011 bis 2016 unter Benennung der jeweiligen Tarife durch Zurverfügungstellung der hierzu übermittelten Informationen in Form von Anschreiben, Nachträgen zum Versicherungsschein sowie der zum Zwecke der Beitragserhöhungen übermittelten Begründungen sowie Beiblätter.

Unproblematisch mit der Person des Versicherungsnehmers verknüpft sind die Nachträge zu dem Versicherungsschein; denn aus diesen ergibt sich, in welchem Inhalt und zu welchen Konditionen für den Versicherungsnehmer bei dem Versicherer Versicherungsschutz besteht.

Auch die hierzu übersandten Anschreiben weisen die erforderliche Verknüpfung auf; denn regelmäßig ergibt sich aus diesen (anderes trägt auch die Beklagte nicht vor), dass der Versicherungsnehmer unter einem bestimmten Datum von einer Änderung in Bezug auf seinen Versicherungsvertrag in Kenntnis gesetzt worden ist. Sie stellen regelmäßig zugleich Begründungsschreiben nach § 203 Abs. 5 VVG dar, für die die Verknüpfung daraus folgt, dass diesen zu entnehmen ist, dass und inwieweit Änderungen aus welchen Gründen in einem für den Versicherungsnehmer bestehenden Tarif erfolgt sind.

Die erforderliche Verknüpfung ist schließlich auch für mit den Begründungsschreiben etwa auch übermittelte Beiblätter zu bejahen. Regelmäßig enthalten die Beiblätter zwar – wie die Beklagte vorträgt und wie dem Senat aus zahlreichen Verfahren aus eigener Anschauung bekannt ist – keine konkret auf den Vertrag des jeweiligen Versicherungsnehmers oder dessen Person bezogene Informationen. Diese werden vielmehr identisch einer unbestimmten Vielzahl von Versicherungsnehmern übersandt. Die erforderliche Verknüpfung ergibt sich aber aus dem Umstand, dass diese Beiblatt zu dem jeweiligen Begründungsschreiben waren und damit Teil der mitgeteilten Begründung – hinreichend oder nicht – für die Beitragsanpassung sind. Dies gilt vor allem – aber nicht nur dann – wenn die Beiblätter in dem jeweiligen Anpassungsschreiben ausdrücklich in Bezug genommen werden.

Ob die entsprechenden Informationen dem Versicherungsnehmer bereits bekannt sind (was hier unterstellt werden kann, da die ursprüngliche Übersendung durch die Klägerin nicht bestritten wird) und ob dieser die Unterlagen noch hat oder entschuldbar nicht mehr hat, ist insoweit irrelevant. Denn der BGH hat klargestellt, dass der Umstand, dass Schreiben dem Versicherungsnehmer bekannt sind, den datenschutzrechtlichen Auskunftsanspruch nicht ausschließt (Urteil vom 15.06.2021, Az. VI ZR 576/19 – zitiert nach juris). Dieser könne auch wiederholt Auskunft verlangen.

Soweit die Beklagte meint, jedenfalls nur Kopien der bezogenen Daten, die Gegenstand der Verarbeitung seien, zur Verfügung stellen zu müssen, nicht aber Kopien der betreffenden Akten oder Unterlagen, erschließt sich auf der Grundlage ihres Vortrags schon nicht, wie eine Zurverfügungstellung von Kopien der hier streitgegenständlichen Daten ihrerseits – wenn nicht durch eine Kopie der Unterlagen – erfolgen soll. Die bloße Mitteilung jedenfalls, dass es ein Anpassungsschreiben mit Beiblatt gab, ist zur Erfüllung des Auskunftsanspruchs ersichtlich nicht geeignet.

Zwar wird ein Anspruch auf Herausgabe von Kopien von Unterlagen zum Teil (vgl. etwa OLG Stuttgart, Urt. v. 16.6.2021 – 7 U 325/20) mit der Begründung verneint, nach dem Wortlaut von Art. 15 Abs. 3 S. 1 DS-GVO habe die betroffene Person einen Anspruch nur auf die Kopie der personenbezogenen Daten, die Gegenstand der Verarbeitung seien. Der Senat teilt indes die Auffassung des OLG München (Urteil vom 04.10.2021, Az. 3 U 3906/29 - zitiert nach juris; so auch Schmidt-Wudy in: BeckOK Datenschutzrecht, 39. Edition, Stand 01.11.2021, Art, 15 Rn. 85 m.w.N.; Koreng, NJW 2021, 2692), wonach der Begriff der Datenkopie i.S.v. Art. 15 Abs. 3 DS-GVO, der einen eigenständigen Anspruch neben Art. 15 DS-GVO beinhaltet, extensiv auszulegen ist. Folge ist, dass der betroffenen Person von der speichernden Stelle sämtliche von ihm gespeicherten personenbezogenen Daten in der bei ihm vorliegenden Rohfassung als Kopie zu übermitteln sind. Die Urteile des EuGH vom 17.07.2014, Az. C-141/12 und C-372/12 (zitiert nach juris) können zur Begründung der gegenteiligen Auffassung der Beklagten schon deshalb nicht herangezogen werden, weil diese nicht zu Art. 15 DS-GVO, sondern zur Vorgängerregelung in RL 95/46/EG ergangen sind.

Die Geltendmachung eines auf Art. 15 DS-GVO gestützten Auskunftsanspruchs in Fällen wie dem vorliegenden ist auch nicht als rechtsmissbräuchlich, § 242 BGB, zu bewerten.

Richtig ist, dass das Auskunftsrecht der betroffenen Person hinsichtlich der sie betreffenden personenbezogenen Daten dem Zweck dient, sich der Verarbeitung bewusst zu sein und deren Rechtmäßigkeit überprüfen zu können (vgl. Erwägungsgrund 63 zur DS-GVO). Es mag unterstellt werden, dass es der Klägerin im vorliegenden Fall im Ergebnis nicht, jedenfalls nicht primär, um den Schutz ihrer Daten geht, sondern um die Vorbereitung vermögensrechtlicher Ansprüche. Der Geltendmachung eines auf Art. 15 DS-GVO gestützten Auskunftsanspruchs steht dies jedoch nicht entgegen. Entsprechendes kann insbesondere nicht der Entscheidung des BGH vom 15.06.2021 (Az. VI ZR 576/19) entnommen werden. Eine Festlegung dazu, ob ein datenschutzrechtlicher Auskunftsanspruch auch besteht, wenn ein Versicherungsnehmer Zwecke verfolgt, die Art. 15 Abs. 1 DS-GVO nicht schützt, ist dort gerade nicht erfolgt.

In Rechtsprechung und Literatur ist die Frage umstritten.

Das OLG München (Hinweisbeschluss vom 24.11.2021, Az. 14 U 6205/21; so sowohl im Ergebnis als auch in der Begründung auch OLG Hamm, Beschluss vom 15.11.2021, Az. 20 U 269/21) etwa hat einen Auskunftsanspruch in einem ähnlich gelagerten Fall (auch) mit der Begründung abgewiesen, dass Sinn und Zweck von Art. 15 Abs. 3 DS-GVO nicht sei, die büromäßig strukturierte Aufarbeitung von Unterlagen des Versicherungsnehmers für diesen durch den Versicherer mit dem Ziel, dem Versicherungsnehmer anschließend die Geltendmachung vermögensrechtlicher Ansprüche zu ermöglichen, wenn er seine Unterlagen nicht aufbewahrt habe.

Nach Auffassung des erkennenden Senats ist eine entsprechende teleologische Einschränkung jedoch nicht vorzunehmen (vgl. bereits das Urteil vom 26.07.2019 in der Sache 20 U 75/18). Daraus, dass Zweck von Art. 15 DS-GVO ist, die Rechtmäßigkeit der Verarbeitung der personenbezogenen Daten sicherzustellen und dem Betroffenen die Durchsetzung der hierzu in der DS-GVO vorgesehenen Rechte zu ermöglichen, folgt keineswegs zwingend , dass der Anspruch auch nur zu diesem Zwecke ausgeübt werden darf. Der Senat teilt vielmehr die ihn überzeugende Auffassung von Bäcker (in: Kühling/Buchner, DS-GVO BDSG, 3. Auflage 2020, Art. 15 Rn. 42d; so auch Wälder, r+s 2021, 98; Schmidt-Wudy in: BeckOK Datenschutzrecht, 39. Edition, Stand 01.11.2021, Art, 15 Rn. 85 ff. m.w.N.), der ausführt, dass sich die Funktion von Art. 15 DS-GVO nicht in einer solchen datenschutzinternen Nutzung der erlangten Informationen erschöpfe. Vielmehr bezwecke die Verordnung insgesamt den Schutz der Rechte und Freiheiten der Person gegen Beeinträchtigungen und Gefährdungen durch Verarbeitungen personenbezogener Daten. Nutze die betroffene Person ihr Recht auf eine Datenkopie, um Informationsasymmetrien zwischen sich und dem Verantwortlichen abzubauen und so ihre Rechte und Freiheiten zu wahren, so sei dies ein legitimes und rechtlich anzuerkennendes Ziel. Dabei komme es nicht darauf an, ob diese Rechte und Freiheiten selbst im Datenschutzrecht oder in einer anderen Teilordnung des Rechts verankert seien. Unbedenklich und grundsätzlich zu erfüllen sei darum etwa ein Kopieersuchen, mit dem die betroffene Person sich Informationen zur Vorbereitung eines Gerichtsverfahrens gegen den Verantwortlichen, in dem sie datenschutzexterne Ansprüche geltend machen will, beschaffen wolle.

Angemerkt sei darüber hinaus, dass es nach Auffassung des Senats ohnehin kaum je auszuschließen sein wird, dass es dem Versicherungsnehmer zumindest auch um den Schutz seiner Daten geht. Auch vor diesem Hintergrund erscheint es als nicht sinnvoll, das Bestehen des Auskunftsanspruchs nach der DS-GVO von einer entsprechenden – nicht überprüfbaren – Behauptung zur inneren Motivation des jeweiligen Anspruchstellers abhängig zu machen.

Unter Zugrundelegung dessen ist die Beklagte auch nicht berechtigt, die Auskunft nach Art. 12 Abs. 5 S. 2 DS-GVO zu verweigern. Denn der Antrag stellt sich nicht allein deshalb als exzessiv dar, weil es der Klägerin nicht primär um die Wahrung ihrer Rechte aus der DS-GVO gehen mag. Für eine Schikane oder ein in unangemessen kurzen Abständen wiederkehrendes Auskunftsersuchen ist ebenfalls nichts ersichtlich. Ob das Ansinnen der Beklagten, die Überprüfung der Rechtmäßigkeit der von ihr gestellten Beitragsforderungen durch ihren Versicherungsnehmer durch die Nichtherausgabe gespeicherter Unterlagen nach Möglichkeit zu erschweren, vor dem Hintergrund vertraglicher Fürsorgepflichten schutzwürdig ist, mag dahinstehen.

Die Beklagte kann all dem schließlich auch nicht entgegenhalten, der Auskunftsantrag sei auf Ausforschung gerichtet und widerspreche daher dem zivilprozessualen Beibringungsgrundsatz. Denn vorliegend geht es nicht um die Frage der Substantiierung und Darlegungslast im Zivilprozess, sondern um das Bestehen eines materiell-rechtlichen Auskunftsanspruchs.

Der Anspruch ist entgegen der Annahme der Beklagten auch nicht durch Erfüllung erloschen. Erteilt hat die Beklagte als Anlage C 22 (Bl. 582 d.A.) zur Berufungsbegründung zwar nunmehr Auskunft zur Beitragshöhe in den jeweiligen Tarifen. Hierdurch ist indes keine, auch keine teilweise Erfüllung eingetreten ist, weil sich aus den tabellarischen Übersichten nur die Höhe der im jeweiligen Tarif insgesamt zu entrichtenden Beiträge, nicht aber der jeweilige Erhöhungsbetrag ersehen lässt. Dieser lässt sich auch nicht in allen Fällen errechnen, weil etwa der Beitrag für das Jahr 2010 als Ausgangswert nicht angegeben ist.

Der auf Art. 15 DS-GVO gestützte Auskunftsanspruch ist schließlich auch nicht verjährt. Eine Verjährung könnte hier frühestens mit der Löschung der gespeicherten Daten beginnen, die die Beklagte jedoch selbst nicht behauptet. Darauf, ob Zahlungsansprüche, die mit Hilfe der erteilten Auskünften substantiiert werden könnten, verjährt wären, kommt es für den datenschutzrechtlichen Auskunftsanspruch nicht an.


Den Volltext der Entscheidung finden Sie hier:

LG Köln: 1.200 EURO Schadensersatz aus Art. 82 Abs. 1 DSGVO wenn Verantwortlicher Zugangsdaten eines ehemaligen IT-Dienstleister nicht zeitnah löscht

LG Köln
Urteil vom 18.05.2022
28 O 328/21


Das LG Köln hat in diesem Fall entschieden, dass der Betroffene einen Anspruch auf 1.200 EURO Schadensersatz aus Art. 82 Abs. 1 DSGVO hat, da der Verantwortliche die Zugangsdaten eines ehemaligen IT-Dienstleister nicht zeitnah gelöscht hatte.

Aus den Entscheidungsgründen:

Der Kläger hat im tenorierten Umfang Anspruch auf Ersatz eines immateriellen Schadens aus Art. 82 Abs. 1 DSGVO. Nach dieser Vorschrift hat jede Person, der wegen eines Verstoßes gegen diese Verordnung ein materieller oder immaterieller Schaden entstanden ist, Anspruch auf Schadenersatz gegen den Verantwortlichen oder gegen den Auftragsverarbeiter.

Die Beklagte hat dadurch, dass sie die der Fa. C. zur Verfügung gestellten Zugangsdaten nach Ende der Vertragsbeziehung nicht änderte, gegen ihre Verpflichtung aus Art. 32 DSGVO sowie aus Art. 5 DSGVO verstoßen. Nach Art. 32 DSGVO haben der Verantwortliche und der Auftragsverarbeiter geeignete technische und organisatorische Maßnahmen unter Berücksichtigung des Stands der Technik, der Implementierungskosten und der Art, des Umfangs, der Umstände und der Zwecke der Verarbeitung sowie der unterschiedlichen Eintrittswahrscheinlichkeit und Schwere des Risikos für die Rechte und Freiheiten natürlicher Personen zu treffen, um ein dem Risiko angemessenes Schutzniveau zu gewährleisten. Gemäß Art. 5 Abs. 1 lit. f) DSGVO müssen personenbezogene Daten in einer Weise verarbeitet werden, die eine angemessene Sicherheit der personenbezogenen Daten gewährleistet, einschließlich Schutz vor unbefugter oder unrechtmäßiger Verarbeitung und vor unbeabsichtigtem Verlust, unbeabsichtigter Zerstörung oder unbeabsichtigter Schädigung durch geeignete technische und organisatorische Maßnahmen („Integrität und Vertraulichkeit“).

Die Kammer nimmt einen Verstoß gegen diese Vorgaben aufgrund des zwischen den Parteien unstreitigen Umstandes an, dass die der Fa. C. zur Verfügung gestellten Zugangsdaten nach Beendigung der vertraglichen Beziehung zu der Vertragspartnerin über mehrere Jahre nicht verändert wurden. Damit schuf die Beklagte das Risiko, dass die Daten der Betroffenen nicht nur im Falle von ihr selbst zu verantwortender Unzulänglichkeiten, sondern auch durch von Seiten von Mitarbeitern der C. vorsätzlich oder fahrlässig ermöglichte Zugriffe einem Missbrauch ausgesetzt waren. Die Beklagte kann sich angesichts der Sensibilität der gespeicherten Kundendaten insbesondere nicht darauf berufen, sie habe davon ausgehen können, dass die Daten seitens C. dauerhaft und vollständig gelöscht werden würden (so auch in einem Parallelfall LG München I, Urt. v. 9.12.2021, 31 O 16606/20, juris, Rn. 36). Jedenfalls wäre eine Überprüfung der Löschung angezeigt gewesen, die die Beklagte aber ebenfalls nicht vorträgt.

Das der Beklagten anzulastende Versäumnis war – was ausreichend ist – jedenfalls mitursächlich für den dem Kläger entstandenen Schaden (vgl. LG München I a.a.O. Rn. 39).

Dem Kläger entstand auch ein Schaden im Sinne des Art. 82 DSGVO. Die Erwägungsgründe 75 und 85 DS-GVO zählen beispielhaft auf, welche konkreten Beeinträchtigungen einen "physischen, materiellen oder immateriellen Schaden" darstellen können, so etwa Diskriminierung, Identitätsdiebstahl oder -betrug, finanzieller Verlust, Rufschädigung, unbefugte Aufhebung einer Pseudonymisierung oder andere erhebliche wirtschaftliche oder gesellschaftliche Nachteile. Nach Erwägungsgrund 146 DS-GVO muss der Begriff des Schadens zudem "im Lichte der Rechtsprechung des Gerichtshofs weit auf eine Art und Weise ausgelegt werden, die den Zielen dieser Verordnung in vollem Umfang entspricht" und die "betroffenen Personen sollen einen vollständigen und wirksamen Schadensersatz für den erlittenen Schaden erhalten". Im Vordergrund steht hier eine abschreckende Wirkung des Schadensersatzes, die insbesondere durch dessen Höhe erreicht werden soll. Dieser Gedanke wird auch aus Art. 4 III EUV abgeleitet. Danach sind die Mitgliedstaaten angehalten, Verstöße wirksam zu sanktionieren, weil nur so eine effektive Durchsetzung des EU-Rechts – und damit auch der DS-GVO – gewährleistet ist (LG München I a.a.O. Rn. 41 mit w.N.).

Aufgrund des dem Kläger mit Schreiben vom 19.10.2020 mitgeteilten Umfangs der entwendeten persönlichen Daten geht die Beklagte ausweislich dieses Schreibens selbst davon aus, dass versucht werden konnte, die Betroffenen zu bestimmten Verhaltensweisen zu bewegen, insbesondere zur Preisgabe von weiteren vertraulichen Informationen oder Zahlungen zu veranlassen, sowie dass die Gefahr bestand, dass es mit Hilfe der Daten zu Identitätsmissbrauchsversuchen kommen würde. Auf die weiteren, teilweise zwischen den Parteien streitigen, Umstände der tatsächlichen oder gefühlten Beeinträchtigung des Klägers durch den Vorfall kommt es nach Auffassung der Kammer vor diesem Hintergrund nicht maßgeblich an.

Für die Bemessung der Höhe des Schadensersatzes können die Kriterien des Art. 83 Abs. 2 herangezogen werden, wie etwa die Art, Schwere und Dauer des Verstoßes unter Berücksichtigung der Art, des Umfangs oder des Zwecks der betreffenden Verarbeitung, die betroffenen Kategorien personenbezogener Daten, wobei die Ermittlung im Übrigen dem Gericht nach § 287 ZPO obliegt (LG München I a.a.O. Rn. 44 m.w.N.).

Hier war bei der Bemessung der Höhe zu berücksichtigen, dass ein Missbrauch der Daten zu Lasten des Klägers bislang nicht festgestellt werden musste, und es daher einstweilen bei einer Gefährdung geblieben ist. Wie vom LG München I a.a.O. zutreffend herausgearbeitet, muss allerdings auch die Absicht des EU-Verordnungsgebers berücksichtigt werden, mit Hilfe des Schadensersatzanspruchs eine abschreckende Wirkung zu erzielen. Zu Gunsten der Beklagten fällt allerdings – wie in der mündlichen Verhandlung bereits ausgeführt, ins Gewicht, dass der ihr zuzurechnende Datenschutzverstoß nur eine von mehreren Ursachen war, die erst im Zusammenwirken den Schadenseintritt bewirkten. Denn hinzu kam ein weiterer mindestens fahrlässiger Verstoß bei der Fa. C. sowie nicht zuletzt das vorsätzliche rechtswidrige Vorgehen der Hacker selbst. Zu berücksichtigen ist auch, dass die Beklagte dem Kläger vorübergehend das „meine Schufa Plus“ Angebot finanzierte. Unter Abwägung der maßgeblichen Gesichtspunkte erachtet die Kammer damit eine Schadensersatzzahlung in der tenorierten Höhe für angemessen.


Den Volltext der Entscheidung finden Sie hier:


OLG Koblenz: Höhe des immateriellen Schadensersatzanspruchs aus Art 82 DSGVO ist unter Berücksichtigung seiner Funktion zum Ausgleich, zur Genugtuung und zur Generalprävention zu bestimmen

OLG Koblenz
Urteil vom 18.05.2022
5 U 2141/21


Das OLG Koblenz hat entschieden, dass die Höhe des immateriellen Schadensersatzanspruchs aus Art 82 DSGVO unter Berücksichtigung seiner Funktion zum Ausgleich, zur Genugtuung und zur Generalprävention zu bestimmen ist.

Leitsätze des Gerichts:

1. Der immaterielle Schadensersatzanspruch nach Art 82 DSGVO bestimmt sich der Höhe nach unter Berücksichtigung seiner Funktion zum Ausgleich, zur Genugtuung und zur Generalprävention.

2. Die Höhe muss berücksichtigen, dass der Einmeldung von Zahlungsstörungen auch im Verbraucherinteresse liegt, so dass die Verantwortlichen durch die Höhe des immateriellen Schadensersatzes nicht gänzlich davon abgehalten werden dürfen, Einmeldungen vorzunehmen.

Aus den Entscheidungsgründen:

a) Der Begriff des immateriellen Schadens im Sinne von Art. 82 Abs. 1 DSGVO ist - europarechtlich autonom und die in den Erwägungsgründen zur DSGVO niedergelegten Zielsetzungen aufnehmend - weit auszulegen.

Bereits aus dem Wortlaut der Norm ergibt sich, dass ein immaterieller Schadensersatzanspruch kausale Folge der Pflichtverletzung sein kann. Er ist allerdings von den materiellen Schäden, etwa wegen einer verweigerten oder nur zu ungünstigeren Bedingungen zustande gekommenen Kreditgewährung oder der Versagung bestimmter Zahlungsmethoden mit der Folge höherer Transaktionskosten, abzugrenzen und zu unterscheiden. Diese Trennung gelingt der Beklagten in ihren Erwägungen zur Höhe des Anspruches nicht immer.

Andererseits spricht der Wortlaut der Norm dafür, dass der europäische Gesetzgeber nicht davon ausgeht, dass schon allein die Pflichtverletzung den materiellen Schaden begründet (so auch Laoutoumai, K&R 2022, 25, 27; LG Saarbrücken v. 22.11.2021, 5 O 151/19 in seinem Vorlagebeschluss an den EuGH). Ein Anspruch auf den Schadensersatz besteht nämlich nur, wenn „ein materieller oder immaterieller Schaden entstanden ist“. Dieser Differenzierung im Wortlaut hätte es nicht bedurft, wenn bereits der Verstoß konstitutiv für den Anspruch wäre. Insoweit folgt der Senat nicht dem Bundesarbeitsgericht (26.08.2021, 8 AZR 253/20, Rn. 33 - juris), welches annimmt, dass „bereits die Verletzung der DSGVO selbst zu einem auszugleichenden immateriellen Schaden“ führt. Es muss mithin ein irgendwie gearteter immaterieller Schaden entstanden sein. Zwar geht der Anspruch dann in seiner Zielrichtung über einen erlittenen Schaden heraus, verzichtet aber aufgrund weitergehender Zielsetzungen hierauf nicht. Insoweit bleibt Grundlage des Anspruchs ein Individualrecht zu schützen. Art 82 DSGVO ist nicht Teil des kollektiven Rechtsschutzes. Das wirft die Frage auf, wann von einem erlittenen Schaden auszugehen ist.

Diese Fragestellung ist von der Annahme abzugrenzen, im Rahmen von Art. 82 Abs. 1 DSGVO sei eine Bagatellgrenze zu berücksichtigen. Eine Bagatellgrenze normiert Art. 82 Abs. 1 DSGVO seinem Wortlaut nach nicht und eine solche erscheint auch im Übrigen nicht angezeigt. Schon im nationalen Recht wurden einer solchen Grenze im Rahmen der Schuldrechtsreform 2002 verfassungsrechtliche Bedenken entgegengehalten (Ebert in: Erman, BGB, 16. Aufl. 2020, § 253 BGB, Rn. 14a). Der Gesetzgeber verwarf solche Ansätze deshalb (BT-Drucks. 14/8780). Ist ein immaterieller Schaden entstanden, ist dessen Schwere im Rahmen der Höhe des Ersatzanspruches zu berücksichtigen, nicht aber bei einer notwendigerweise nur willkürlich zu setzenden Bagatellgrenze zu finden. Soweit der BGH eine Korrektur aus Gründen der Billigkeit angenommen hat (BGH NJW 1992, 1043, Rn. 8; BGH NJW 1993, 2173) beruhte dies einerseits auf einer heute nicht mehr gültigen Norm (§ 847 BGB) und knüpfte andererseits nicht an einer Bagatellgrenze an, sondern an dem Umstand, dass weder die Ausgleichs- noch die Genugtuungsfunktion derart tangiert waren, dass ein immaterieller Schaden überhaupt entstanden ist. Es fehlt also in der zuletzt genannten Konstellation an einem „erlittenen Schaden“.

Da der bisherige § 8 Abs. 2 BDSG, der den Ersatz immaterieller Schäden von einer schweren Verletzung des Persönlichkeitsrechts des Betroffenen abhängig machte, nicht mehr anwendbar ist, kann auf die dazu ergangene Rechtsprechung zum Schadensbegriff nicht zurückgegriffen werden. Insoweit ist auch die nationale Rechtsprechung, die daran - teilweise bei nur verbaler Distanzierung - festhält (vgl. OLG Dresden v. 12.1.2021, 4 U 1600/20, Rn. 31 - juris; OLG Dresden v. 20.08.2020, 4 U 784/20, Rn. 32 - juris; AG Hannover v. 09.03.2020, 531 C 10952/19, Rn. 21 ff. - juris; AG Frankfurt a.M. v. 10.07.2020, 385 C 155/19, Rn. 28 - juris), abzulehnen.

Die Kategorien des nationalen Schadensersatzrechtes sind mithin nicht zielführend, um den Begriff des immateriellen Schadensersatzes im Sinne des Art. 82 DSGVO europarechtlich autonom auszulegen. Der Schadensbegriff des Art. 82 Abs. 1 DSGVO ist ein europarechtlicher Begriff, bei dessen Ausfüllung nicht auf nationale Erheblichkeitsschwellen oder andere Einschränkungen abgestellt werden darf (vgl. Kühling/Buchner/Bergt, 3. Aufl. 2020, DS-GVO Art. 82 Rn. 18a-18b).

Der Begriff des Schadens soll nach dem Erwägungsgrund 146 S. 3 EU-DSGVO „im Lichte der Rechtsprechung des Gerichtshofs weit auf eine Art und Weise ausgelegt werden, die den Zielen dieser Verordnung in vollem Umfang entspricht.“ Daraus kann abgeleitet werden, dass der nach Abs. 1 bereits weite – weil Ansprüche aus § 253 BGB bereits umfassende – Schadensbegriff im Zweifel nicht begrenzend auszulegen sein wird (vgl. Paal/Pauly/Frenzel, 3. Aufl. 2021, DS-GVO Art. 82 Rn. 10). Einen Ausschluss vermeintlicher Bagatellschäden sieht die DSGVO nicht vor.

Der immaterielle Schadensersatz ist mithin auch ein Instrument, um die Ziele der DSGVO, wie sie in deren Art. 1 niedergelegt sind, unter dem Schutzzweck des Individualrechtsschutzes zu verwirklichen. Kern ist danach der Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten im Schutzbereich der Grundrechte und der Grundfreiheiten im konkreten Einzelfall.

Der Funktion eines immateriellen Schadensersatzanspruches dienend, sind deshalb verschiedene Aspekte in die Bemessung des immateriellen Schadensersatzes der Höhe nach einzube-

ziehen. Zunächst die immaterielle und individuelle Ausgleichsfunktion wegen der Schutzgutverletzung, sodann die den Verstoß feststellende Genugtuungsfunktion und letztlich die generalpräventive Einwirkung auf den Schädiger zur künftigen Beachtung des Datenschutzes. In diesem Sinne kommt Art. 82 DSGVO kein Strafcharakter zu - dieser ist vielmehr das staatliche Gewaltmonopol respektierend in Art. 84 DSGVO niedergelegt, sehr wohl aber eine Anreizfunktion für den Verantwortlichen, hinreichende Sicherungsmaßnahmen zum Schutz der personenbezogenen Daten der betroffenen Person zu treffen.

Wegen der in Erwägungsgrund 146 S. 3 geforderten weiten Auslegung sieht der Senat mit Stimmen in der Literatur bereits in dem unguten Gefühl der Ungewissheit, ob personenbezogene Daten Unbefugten bekannt geworden sind, einen erlittenen immateriellen Schaden. Potentielle Schäden sind deshalb beispielsweise Ängste, Stress sowie Komfort- und Zeiteinbußen und die potentielle Stigmatisierung, die Diskriminierung, die Rufschädigung und der Verlust von Vertraulichkeit durch einen Negativeintrag bei einer Auskunftei, ohne dass dieser an Dritte übermittelt wird (vgl. hierzu auch Kühling/Buchner/Bergt, 3. Aufl. 2020, DS-GVO Art. 82 Rn. 18a-18b; Quaas, BeckOK Datenschutzrecht, 39. Ed., Stand 01.11.2021, Rn. 24). Dieser immaterielle Schaden, auch, wenn er im Einzel- und Regelfall niederschwellig sein wird, ist auszugleichen. Einen Schaden erst dann anzunehmen, wenn es zu einer mit einer unrechtmäßigen Zugänglichmachung von Daten liegenden (öffentlichen) Bloßstellung, einem Identitätsdiebstahl, einer Weitergabe sensibler Informationen oder einer anderen ernsthaften Beeinträchtigung für das Selbstbild oder Ansehen einer Person kommt, und ein besonderes immaterielles Interesse zu verlangen, das über den allein durch die Verletzung an sich hervorgerufenen Ärger oder sonstige Gefühlsschäden hinausgeht, verkennt den autonom und nach Erwägungsgrund 146 ausdrücklich weit auszulegenden Begriff des Schadens (Kühling/Buchner/Bergt, 3. Aufl. 2020, DS-GVO Art. 82 Rn. 18a-18b) und missachtet den individuellen Ausgleichsanspruch im Hinblick auf die aufgezeigten Folgen. Eine solche Sichtweise greift also zu kurz. Die vorgenannten Beschränkungen bleiben bei der Frage nach dem Schadensersatzanspruch dem Grunde nach außer Betracht, sondern sind erst im Kontext der Höhe des Ersatzanspruches zu berücksichtigen. Maßgeblich ist, ob die betroffene Person mit dem Beweismaß des § 286 ZPO die immaterielle Betroffenheit darlegen und nachweisen kann. Deren Intensität ist dann mit dem Beweismaß des § 287 ZPO bei der Höhe des Anspruches zu berücksichtigen. Erst hier kommen dann die weiter denkbaren immateriellen Beeinträchtigungen der Bloßstellung oder das notwendige Schutzniveau der betroffenen Daten zum Tragen.

Die Genugtuungsfunktion kommt dann - ergänzend - zum Tragen, wenn es zu einer tatsächlichen Beeinträchtigung der Schutzgüter im Verhältnis zu Dritten im Sinne einer Verwendung der pflichtwidrig verarbeiteten personenbezogenen Daten gegenüber Dritten gekommen ist. Hier greift also nicht (nur) die Sorge vor der Stigmatisierung, Diskriminierung oder Rufschädigung, sondern das in dem Datenschutzverstoß liegende Risiko hat sich nun verwirklicht. Das steigert einerseits die Anforderungen an die Ausgleichsfunktion und begründet zugleich innerhalb des

einheitlich zu bestimmenden immateriellen Ersatzanspruchs die Genugtuung als Bestimmungsmerkmal für die Höhe. Genau diese Verarbeitung unter Beteiligung Dritter bewirkt die zu korrigierende Bloßstellung außerhalb dadurch verursachter materieller Schäden. Dies kann bei der Konfrontation mit Negativauskünften bei einer Kreditanfrage ebenso der Fall sein, wie bei der Bewerbung um eine Mietwohnung oder negativen Auskünften im Rahmen eines Arbeitsverhältnisses. Auch die Verweigerung von Postpaid-Angeboten wegen negativer Scores kann hierzu gehören. Die betroffene Person hat auf der Grundlage der ihr zustehenden Auskunftsansprüche nach Art. 15 DSGVO regelmäßig keine Schwierigkeiten die Verarbeitung der Daten gegenüber Dritten nachzuweisen und auf dieser Grundlage die Genugtuungsfunktion geltend zu machen.

Nicht übersehen werden darf die generalpräventive Wirkung des immateriellen Schadensersatzanspruches. Im Spannungsfeld zwischen dem Risiko der entgeltlichen Sanktionierung von folgenlosen Verstößen gegen die DSGVO durch einen immateriellen Schadensersatzanspruch nach Art. 82 DSGVO, den Aufgaben des kollektiven Rechtsschutzes durch Aufsichtsbehörden mit den Sanktionsmöglichkeiten nach Art 84. DSGVO, dem Verhältnismäßigkeitsgrundsatz und dem Grundsatz, die gleiche Pflichtverletzung mit der gleichen Zielsetzung nicht doppelt zu sanktionieren, muss dem Grundanliegen der DSGVO, schon die Verarbeitung der Daten im Kontext der Schutzzwecke zu gewährleisten, Rechnung getragen werden. Schon bei der Bestimmung der Zwecke, den angenommenen Rechtsfertigungsgründen und der ggfs. vorzunehmenden Datenschutzfolgeabwägung muss das Schutzniveau auch durch den immateriellen Schadensersatzanspruch effektiv gewahrt werden. Hier gilt es also im Lichte des immateriellen Schadensersatzanspruches nach Art. 82 DSGVO Anreize zu schaffen, dass das Schutzniveau so hoch ist, dass es zur Realisierung des Schadensersatzrisikos erst gar nicht kommt. Dabei muss die generalpräventive Wirkung sich nicht in besonders hohen immateriellen Schadensersatzansprüchen niederschlagen, sondern kann gerade in der Breitenwirkung - auch kleine Verstöße werden ohne Bagatellgrenze sanktioniert - ihre Funktion erfüllen. Wo Menschen arbeiten, passieren Fehler. Kommt es hierzu im Einzelfall, ist die geringere Sanktion verhältnismäßig und gleichwohl spürbar und damit effektiv. Kommt es dagegen zu vielfachen Pflichtverletzungen und Rechtsverstößen, wird sich aus vielen kleinen Ansprüchen - zumal diese auch sowohl kollektiv als im Rahmen von Legal-Tech-Angeboten sehr breit geltend gemacht werden -, schnell ein großer finanzieller Verlust bei dem betroffenen Unternehmen einstellen. Bei großer oder größerer Quantität der Pflichtverletzungen wird also auch eine höhere Effektivität kleinerer Schadensersatzansprüche im Einzelfall erreicht. Dabei muss auch das weiter in Art. 1 DSGVO formulierte Ziel gesehen werden, den freien Verkehr von Daten sehr wohl zu ermöglichen. Bonitätsprüfungen schützen nicht nur Wirtschaftsunternehmen vor leistungsunfähigen und leistungsunwilligen Kunden, sondern auch Verbraucher vor einer übermäßigen Verschuldung gerade im bargeldlosen Zahlungsverkehr. Die generalpräventive Wirkung darf in der Bemessung des immateriellen Schadensersatzes deshalb nicht dazu führen, dass wegen des Schadensersatzrisikos keine Einmeldungen bei Wirtschaftsauskunfteien mehr erfolgen, weil dann andere Schutzzwecke negativ tangiert werden. Der in seinen finanziellen Verhältnissen nicht gefestigte Verbraucher soll

durch Einmeldungen davor geschützt werden, schnell in die Verschuldung zu geraten. Die Warnfunktion durch die Beschränkung kreditierter Geschäfte ist ein Baustein, um dies zu gewährleisten. In diesem Kontext ist dann auch zu bewerten, dass die Zuerkennung immateriellen Schadensersatzes nicht die einzige Sanktionsform gegenüber dem pflichtwidrig handelnden Unternehmen darstellt, gerade dann, wenn über Beschwerden an Aufsichtsbehörden beharrliche Rechtsverstöße festzustellen sind. Auch darf am Ende keine Motivation bestehen, wegen hoher immaterieller Ersatzansprüche Datenschutzverstöße zu provozieren, insbesondere, wenn schon ein geringes Verschulden oder sogar nur der objektive Pflichtverstoß den Anspruch auslöst. Bei der Bewertung der generalpräventiven Wirkung in der Bemessung des immateriellen Schadensersatzanspruches der Höhe nach ist deshalb auch zu berücksichtigen, inwieweit im konkreten Einzelfall die verfolgten Ziele schon durch Ausgleich und Genugtuung erreicht sind oder es einer überschießenden Wirkung bedarf.


Den Volltext der Entscheidung finden Sie hier:


LG Berlin: Kein Schadensersatz aus Art. 82 DSGVO wegen Recherche nach einer Adresse bei Google Maps - Adresse allein fehlt es schon am Personenbezug

LG Berlin
Urteil vom 27.01.2022
26 O 177/21


Das LG Berlin hat entschieden, dass kein Anspruch auf Schadensersatz aus Art. 82 DSGVO wegen der Recherche nach einer Adresse bei Google Maps besteht. Der Adresse allein fehlt es schon am Personenbezug

Aus den Entscheidungsgründen:
I. Die Klägerin hat keinen Schadensersatzanspruch gemäß Art. 82 DSGVO.

Gemäß Art. 82 DSGVO hat jede Person, der wegen eines Verstoßes gegen diese Verordnung ein materieller oder immaterieller Schaden entstanden ist, Anspruch auf Schadenersatz gegen den Verantwortlichen oder gegen den Auftragsverarbeiter.

Es fehlt bereits an einem Verstoß gegen die Datenschutzgrundverordnung. Insbesondere hat der Beklagte weder personenbezogene Daten entgegen Art. 5 DSGVO nicht rechtmäßig verarbeitet noch liegt eine unzulässige Übermittlung von personenbezogenen Daten in einen Drittstaat und damit ein Verstoß gegen Art. 44 DSGVO vor.

Es ist bereits unklar, welche genauen Adressdaten die Richterin bei Google Maps eingegeben hat. Auch wenn bereits die Angabe „...straße, ... Berlin“ ausreichen könnte, um dann zu dem entsprechenden Hausgrundstück mit der Nr. ... in Google Maps zu „wandern“, mag hier unterstellt werden, dass die Richterin die Daten „...straße ..., ... Berlin“ eingegeben hat. Doch auch bei der bloßen Nutzung der Anschrift „...straße ..., ... Berlin“ auf der Website von Google fehlt es an einem personenbezogenen Datum.

„Personenbezogene Daten“ sind gemäß Art. 4 Nr. 1 DSGVO alle Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person (im Folgenden „betroffene Person“) beziehen; als identifizierbar wird eine natürliche Person angesehen, die direkt oder indirekt, insbesondere mittels Zuordnung zu einer Kennung wie einem Namen, zu einer Kennnummer, zu Standortdaten, zu einer Online-Kennung oder zu einem oder mehreren besonderen Merkmalen, die Ausdruck der physischen, physiologischen, genetischen, psychischen, wirtschaftlichen, kulturellen oder sozialen Identität dieser natürlichen Person sind, identifiziert werden kann.

In der bloßen Eingabe einer (puren) Adresse ist noch kein personenbezogenes Datum zu erblicken. Denn die bloße Adresse ohne Bezugnahme auf eine Person – sei es durch namentliche Nennung, sei es durch die Bezugnahme auf ein diese Adresse betreffendes Eigentums-, Besitz- oder Mietverhältnis o.ä. – stellt keinen hinreichenden Personenbezug dar. Hierbei ist zu berücksichtigen, dass der Zweck der DSGVO der Schutz der Grundrechte natürlicher Personen bei der Verarbeitung der ihnen zugeordneten Daten ist, nicht ein wie auch immer gearteter Schutz der Daten selbst oder wirtschaftlicher oder anderer Interessen der datenverarbeitenden Organisationen. Die Begriffsbestimmungen und andere Regelungen der DSGVO sind daher immer vor dem Hintergrund des möglichen Effekts der Verarbeitung von personenbezogenen Daten auf die betroffenen Personen zu verstehen (Ehmann/Selmayr/Klabunde, 2. Aufl. 2018, DSGVO Art. 4 Rn. 7).

Ohne dass dies entscheidungserheblich wäre, gesteht die Klägerin im Übrigen auf S. 5 f. ihres Schriftsatzes vom 26. Juli 2021 selbst zu, dass die „zugänglichen Luftbildaufnahmen (Google Maps oder Google Earth) der Kreuzungssituation … schon keine personenbezogenen Daten“ darstellen. Ein rechtlich relevanter Unterschied der dort abgerufenen Luftbilder einer Kreuzung in Nordrhein-Westfalen, die auch über die Eingabe der an die Kreuzung angrenzenden Adresse in Google Maps lokalisiert worden sein dürfte, und der hier abgerufenen Luftbilder in Berlin erschließt sich nicht. Soweit die Klägerin hierzu in der mündlichen Verhandlung vorgetragen hat, dass im dortigen Fall auch nicht die Adresse eines Verfahrensbeteiligten „gegoogelt“ worden sei, stellt sich die datenschutzrechtliche Situation hier nicht anders dar. Denn auch hier wurde von der Richterin am Amtsgericht Pankow/Weißensee nicht ein Bezug zwischen Verfahrensbeteiligung/-stellung einer Person und der eingegebenen Adresse hergestellt.

II. Auch ein Amtshaftungsanspruch aus § 839 BGB, Art. 34 GG ist nicht gegeben, weil es bereits an einer Amtspflichtverletzung durch die Richterin am Amtsgericht Pankow-Weißensee fehlt.

Den Volltext der Entscheidung finden Sie hier:



ArbG Köln: Entgegen der DSGVO oder anderweitig datenschutzwidrig erlangte Tatsachen können einem Verwertungsverbot im Prozess unterliegen

ArbG Köln
Urteil vom 23.03.2022
18 Ca 6830/21

Das ArbG Köln hat entschieden, dass entgegen der DSGVO oder anderweitig datenschutzwidrig erlangte Tatsachen einem Verwertungsverbot im Prozess unterliegen können.

Aus den Entscheidungsgründen:
(2)Der Zugrundelegung des entsprechenden Tatsachenvortrags der Beklagten als unstreitig steht – entgegen der Auffassung der Klägerin - nicht entgegen, dass die Beklagte das maßgebliche Indiz für die Täuschung der Klägerin widerrechtlich – unter Verletzung des ihr gebührenden Datenschutzes – erlangt hätte.

(a) Allerdings können Verstöße gegen das Recht auf den durch Art. 8 Abs. 1 GRCh gebotenen Schutz der personenbezogenen Daten bzw. das aus Art. 2 Abs. 1 i. V. m. 1 Abs. 1 GG abzuleitende Recht auf informationelle Selbstbestimmung (vgl. BVerfG, Urteil vom 24. November 2010 – 1 BvF 2/05 –, BVerfGE 128, 1-90, Rn. 150 ff. mwN) zu prozessualen Verwertungsverboten führen:

Für die Rechtslage bis zum Inkrafttreten der unionsrechtlichen Datenschutz-Grundverordnung hat das Bundesarbeitsgericht die Frage prozessualer Verwertungsverbote rein an verfassungsrechtlichen Maßstäben bemessen und – verkürzt - wie folgt beantwortet:

In Fällen, in denen die dem Sachvortrag einer Partei zugrunde liegende Informations- oder Beweisbeschaffung das allgemeine Persönlichkeitsrecht der anderen Partei verletzt, ohne dass dies durch überwiegende Belange gerechtfertigt ist, kommt ein „verfassungsrechtliches Verwertungsverbot“ in Betracht. Obwohl der Anspruch auf rechtliches Gehör aus Art. 103 Abs. 1 GG es im Zivilprozess grundsätzlich gebietet, den Sachvortrag der Parteien und die von ihnen angebotenen Beweise zu berücksichtigen, kann dann eine Verwertung durch das Gericht unzulässig sein, wenn dies wegen einer grundrechtlich geschützten Position einer Prozesspartei zwingend geboten ist. Dies ist dann der Fall, wenn die prozessuale Verwertung der Erkenntnis oder des Beweismittels selbst einen Grundrechtsverstoß darstellen würde und das nach Art. 1 Abs. 3 GG unmittelbar an die Grundrechte gebundene Gericht ohne Rechtfertigung in eine verfassungsrechtlich geschützte Position einer Prozesspartei eingriffe, indem es eine Persönlichkeitsrechtsverletzung durch einen Privaten perpetuierte oder vertiefte. Insofern kommt die Funktion der Grundrechte als Abwehrrechte gegen den Staat zum Tragen. Auf eine nicht gerechtfertigte Beeinträchtigung des Persönlichkeitsrechts durch einen Privaten darf kein verfassungswidriger Grundrechtseingriff durch ein Staatsorgan „aufgesattelt“ werden (st. Rspr., vgl. nur BAG, Urteil vom 28. März 2019 – 8 AZR 421/17 –, Rn. 28, juris mwN).

Ein verfassungsrechtlich gebotenes Verbot der Verwertung von Sachvortrag und Beweismitteln hat Auswirkungen auf die Geständnisfiktion des § 138 Abs. 3 ZPO und damit auf die Einordung eines Sachvortrags als streitig oder unstreitig. Sieht eine Arbeitnehmerin oder ein Arbeitnehmer von einem - ggf. wahrheitswidrigen - Bestreiten des gegnerischen Sachvortrags ab, bewirkt ein Sachvortragsverwertungsverbot, dass das inkriminierte Vorbringen des Arbeitgebers gleichwohl als bestritten zu behandeln ist (BAG, Urteil vom 23. August 2018 – 2 AZR 133/18 –, BAGE 163, 239-256, Rn. 16).

Ob eine Verletzung des allgemeinen Persönlichkeitsrechts in Gestalt des Rechts auf informationelle Selbstbestimmung vorlag oder nicht, hat das Bundesarbeitsgericht danach beurteilt, ob die zu verwertenden Daten unter Verstoß gegen die einfachgesetzlichen Datenschutzvorschriften erlangt wurden oder nicht. Diese Bestimmungen (des BDSG aF) konkretisierten und aktualisierten für den Einzelnen den Schutz seines Rechts auf informationelle Selbstbestimmung. Sei die betreffende Maßnahme nach den Vorschriften des BDSG aF zulässig gewesen, läge keine Verletzung des allgemeinen Persönlichkeitsrechts in Gestalt des Rechts auf informationelle Selbstbestimmung vor. Ein Verwertungsverbot scheide von vornherein aus. Nur dann, wenn die fragliche Maßnahme nach diesen Bestimmungen nicht erlaubt gewesen sei, müsse gesondert geprüft werden, ob die Verwertung gewonnener Erkenntnisse im Prozess einen Grundrechtsverstoß durch das Gericht darstellen würde (vgl. BAG, Urteil vom 23. August 2018 – 2 AZR 133/18 –, BAGE 163, 239-256, Rn. 15 mwN).

(b) An diesen Bewertungsmaßstäben hat sich durch das Inkrafttreten der unmittelbar geltenden Datenschutzgrundverordnung (Art. 288 Abs. 2 AEUV) am 25.05.2018 keine wesentliche Änderung ergeben. Die Frage der Verwertbarkeit datenschutzwidrig erlangter Informationen richtet sich nach den Bestimmungen der Verordnung. Dabei enthält die DS-GVO kein vorbehaltloses Verbot der gerichtlichen Verwertung unrechtmäßig erlangter Daten (Arg. e Art. 17 Abs. 3 lit. e DS-GVO). Die Datenverarbeitung hat dem einschlägigen Erlaubnistatbestand nach Art. 6 Abs. 1 S. 1 lit. e, Abs. 3 S. 1 lit. b DS-GVO iVm. § 3 BDSG zu genügen. Danach ist die Verwertung des Sachvortrags durch das Gericht zulässig, wenn dies zur Erfüllung seiner hoheitlichen Aufgaben erforderlich ist. Im Rahmen der danach vorzunehmenden umfassenden Verhältnismäßigkeitsprüfung unter Abwägung der aus Art. 7 und Art. 8 GRCh bzw. Art. 2 Abs. 1 iVm. 1 Abs. 1 GG folgenden Rechte besteht Raum und Relevanz für die auch nach der bisherigen Rechtsprechung vorgenommene datenschutzrechtliche Vorprüfung der außerprozessualen Erkenntnisgewinnung (vgl. BAG, Urteil vom 23. August 2018 – 2 AZR 133/18 –, BAGE 163, 239-256, Rn. 47; Schindler DRiZ 2021, 370, 373; Frank/Heine, BB 2021, 884, 885; Tiedemann, ZD 2019, 230, 231).

(c)Unter Zugrundelegung dieser Grundsätze erweist sich der Vortrag der Beklagten als verwertbar. Die von der Beklagten vorgenommene Verarbeitung der Gesundheitsdaten der Klägerin war durch Art. 6 Abs. 1 Satz 1 lit. c DS-GVO iVm. § 28b Abs. 3 Satz 3 IfSG in der vom 24.11. bis 11.12.2021 geltenden Fassung (aF) gedeckt und damit rechtmäßig.

Unabhängig vom Vorliegen einer Einwilligung im Sinne von Art. 6 Abs. 1 Satz 1 lit. a DS-GVO war die Beklagte am 03.12.2021 berechtigt, den Impfstatus der Klägerin zu dokumentieren. Denn nach § 28b Abs. 3 Satz 1 IfSG aF war sie ab dem 24.11.2021 - das Datum der Mitarbeiterinformation hierzu (22.11.2021) ist insoweit ebenso irrelevant wie die von der Klägerin beklagte Uneindeutigkeit des entsprechenden Rund-Schreibens -gesetzlich verpflichtet, die Einhaltung der nach § 28b Abs. 1 Satz 1 IfSG aF geltenden 3-G-Zutrittsbeschränkung zum Betrieb zu überwachen und zu dokumentieren. Nach § 28b Abs. 3 Satz 3 IfSG aF war ihr zu diesem Zweck die Verarbeitung der personenbezogene Daten der Mitarbeiter einschließlich der Daten zum Impfstatus erlaubt. Es ist nicht ersichtlich, dass die Klägerin den Impfausweis nicht zum Nachweis der Zutrittsvoraussetzungen nach § 28b Abs. 1 Satz 1 IfSG aF vorgelegt hätte. Jedenfalls konnte die Beklagte nicht davon ausgehen, dass sie trotz ihres positiven Impfstatus die Einhaltung der 3-G-Regel durch eine Testung (über-) erfüllen wollte. Dass die Nachweis-Vorlage auch der Kontrolle der Einhaltung der 2-G-Vorgabe für die von der Klägerin weiterhin durchgeführten Kunden-Präsenztermine dienen konnte, würde zusätzlich eine Rechtfertigung nach § 26 Abs. 1 Satz 1 BDSG bedeuten.

In Erfüllung der aus § 28b Abs. 3 Satz 1 IfSG aF folgenden Kontroll-Verpflichtung war die Beklagte nach Abs. 3 Satz 3 auch zur Verarbeitung durch Abgleich mit den öffentlich erhältlichen Daten der Chargenabfrage – welche selbst keine personenbezogenen Daten im Sinne von Art. 4 Nr. 1 DS-GVO bzw. des BDSG § 46 Nr. 1 BDSG enthielt - berechtigt. Nur so konnte die Beklagte mangels Vorlage des QR-Codes sicherstellen, dass tatsächlich der behauptete Impfstatus gegeben war.

Es kann dahinstehen, ob aufgrund des frühen Erst-Impftermins der Klägerin eine Rechtfertigung der Datenverarbeitung auch nach § 26 Abs. 1 Satz 2 BDSG bestand.

(d) Selbst wenn man den Abgleich der Daten aus dem Impfausweis der Klägerin mit den Daten aus der Chargenabfrage als nicht von den datenschutzrechtlichen Bestimmungen gedeckt ansehen wollte, wäre die Verwertung des darauf basierenden Sachvortrags im vorliegenden Kündigungsschutzverfahren nach Auffassung der Kammer zulässig:

Die Beeinträchtigung des Rechts der Klägerin auf Schutz ihrer personenbezogenen Daten tritt angesichts der hohen Bedeutung der Verpflichtung ihrer Arbeitgeberin auf Kontrolle der gesetzlichen Infektionsschutzvorgaben zurück: Ein Arbeitnehmer, der seinem Arbeitgeber zum Nachweis der Einhaltung gesetzlicher oder auch vertraglich verbindlich gesetzter Infektionsschutzregeln eine unrichtige Urkunde vorlegt, ist bezogen auf die darin enthaltenen - unzutreffenden – personenbezogenen Daten nicht derart schutzwürdig, dass die staatlichen Gerichte an der Verwertung der durch die Datenverarbeitung gewonnenen Erkenntnisse gehindert wären. Das folgt aus der Wertung des Gesetzgebers, der im Zeitpunkt der Datenverarbeitung bereits die Vorlage unrichtiger Gesundheitszeugnisse in § 279 StGB unter Strafe gestellt und diesen Straftatbestand als Offizialdelikt ausgestaltet hatte. Mit Blick auf die durch den Gebrauch des unrichtigen Impfpasses folgende Gefährdung der Allgemeinheit und die geringe Eingriffsintensität in Bezug auf unrichtige Gesundheitsdaten wäre ein prozessuales Verwertungsverbot nicht gerechtfertigt.

Den Volltext der Entscheidung finden Sie hier:

BGH legt EuGH vor: Anspruch gegen Arzt auf kostenfreie Zurverfügungstellung der Patientenakte nach Art. 15 Abs. 3 DSGVO und Möglichkeit der Beschränkung nach § 630g Abs. 2 Satz 2 BGB

BGH
Beschluss vom 29.03.2022
VI ZR 1352/20
Verordnung (EU) 2016/679 Art. 12 Abs. 5, Art. 15 Abs. 3 Satz 1, Art. 23 Abs. 1; BGB § 630g Abs. 2 Satz 2


Der BGH hat dem EuGH zur Vorabentscheidung vorgelegt, ob bzw. in welchem Umfang der Anspruch des Patienten gegen seinen Arzt auf kostenfreie Zurverfügungstellung der in der Patientenakte gespeicherten personenbezogenen Daten nach Art. 15 Abs. 3 DSGVO durch § 630g Abs. 2 Satz 2 BGB beschränkt ist.

Leitsatz des BGH:
Vorlagefragen an den Gerichtshof der Europäischen Union zur Auslegung von Art. 15 Abs. 3 Satz 1 i.V.m. Art. 12 Abs. 5 und Art. 23 Abs. 1 der Verordnung (EU) 2016/679 des Europäischen Parlaments und des Rates vom 27. April 2016 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten, zum freien Datenverkehr und zur Aufhebung der Richtlinie 95/46/EG (Datenschutz-Grundverordnung, DS-GVO, ABl. EU L 119 vom 4. Mai 2016 S. 1) bezüglich der Reichweite des unionsrechtlichen Anspruchs des Patienten gegen den behandelnden Arzt auf kostenfreie Zurverfügungstellung einer ersten Kopie seiner in der Patientenakte verarbeiteten personenbezogenen Daten und der Möglichkeit einer Beschränkung dieses Anspruchs durch § 630g Abs. 2 Satz 2 BGB.

BGH, Beschluss vom 29. März 2022 - VI ZR 1352/20 - LG Dessau-Roßlau - AG Köthen

Den Volltext der Entscheidung finden Sie hier:


EuGH: Verbandsklagebefugnis für Verbraucherschutzverbände bei DSGVO-Verstößen mit DSGVO zu vereinbaren und unionsrechtskonform

EuGH
Urteil vom 28.04.2022
C-319/20
Meta Platforms Ireland Limited, vormals Facebook Ireland Limited
gegen
Bundesverband der Verbraucherzentralen und Verbraucherverbände – Verbraucherzentrale Bundesverband e. V.


Der EuGH hat entschieden, dass eine Verbandsklagebefugnis für Verbraucherschutzverbände bei DSGVO-Verstößen mit der DSGVO zu vereinbaren und somit unionsrechtskonform ist.

Tenor der Entscheidung:
Art. 80 Abs. 2 der Verordnung (EU) 2016/679 des Europäischen Parlaments und des Rates vom 27. April 2016 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten, zum freien Datenverkehr und zur Aufhebung der Richtlinie 95/46/EG (Datenschutz-Grundverordnung) ist dahin auszulegen, dass er einer nationalen Regelung, nach der ein Verband zur Wahrung von Verbraucherinteressen gegen den mutmaßlichen Verletzer des Schutzes personenbezogener Daten ohne entsprechenden Auftrag und unabhängig von der Verletzung konkreter Rechte betroffener Personen Klage mit der Begründung erheben kann, dass gegen das Verbot der Vornahme unlauterer Geschäftspraktiken, ein Verbraucherschutzgesetz oder das Verbot der Verwendung unwirksamer Allgemeiner Geschäftsbedingungen verstoßen worden sei, nicht entgegensteht, sofern die betreffende Datenverarbeitung die Rechte identifizierter oder identifizierbarer natürlicher Personen aus dieser Verordnung beeinträchtigen kann.

Die Pressemitteilung des EuGH:

Verbraucherschutzverbände können gegen Verletzungen des Schutzes personenbezogener Daten Verbandsklagen erheben

Solche Klagen können unabhängig von der konkreten Verletzung des Rechts einer betroffenenPerson auf den Schutz ihrer Daten und ohne entsprechenden Auftrag erhoben werden Meta Platforms Ireland, vormals Facebook Ireland, ist die für die Verarbeitung personenbezogener Daten von Nutzern des sozialen Netzwerks Facebook in der Union Verantwortliche.

Der Bundesverband der Verbraucherzentralen und Verbraucherverbände – Verbraucherzentrale Bundesverband e. V. (Deutschland, im Folgenden: Bundesverband) erhob gegen Meta Platforms Ireland eine Unterlassungsklage, weil diese ihren Nutzern kostenlose Spiele von Drittanbietern zugänglich gemacht habe und dabei gegen die Vorschriften zum Schutz personenbezogener Daten, zur Bekämpfung unlauteren Wettbewerbs und zum Schutz der Verbraucher verstoßen habe.

Der Bundesgerichtshof (Deutschland) hält die Klage des Bundesverbands für begründet, hegt aber Zweifel an ihrer Zulässigkeit.
Er stellt sich nämlich die Frage, ob einem Verband zur Wahrung von Verbraucherinteressen wie dem Bundesverband seit dem Inkrafttreten der Datenschutz-Grundverordnung (DSGVO) noch die Befugnis zustehe, wegen Verstößen gegen diese Verordnung unabhängig von der konkreten Verletzung von Rechten einzelner betroffener Personen und ohne deren Auftrag im Wege einer Klage vor den Zivilgerichten vorzugehen. Außerdem merkt er an, dass aus der DSGVO abgeleitet werden könne, dass die Prüfung ihrer Einhaltung in erster Linie den Aufsichtsbehörden obliege.

In seinem heutigen Urteil stellt der Gerichtshof fest, dass die DSGVO einer nationalen Regelung, nach der ein Verband zur Wahrung von Verbraucherinteressen gegen den mutmaßlichen Verletzer des Schutzes personenbezogener Daten ohne entsprechenden Auftrag und unabhängig von der Verletzung konkreter Rechte betroffener Personen Klage mit der Begründung erheben kann, dass gegen das Verbot der Vornahme unlauterer Geschäftspraktiken, ein Verbraucherschutzgesetz oder das Verbot der Verwendung unwirksamer Allgemeiner Geschäftsbedingungen verstoßen worden sei, nicht entgegensteht, sofern die betreffende Datenverarbeitung die Rechte identifizierter oder identifizierbarer natürlicher Personen aus dieser Verordnung beeinträchtigen kann.

Vorab weist der Gerichtshof darauf hin, dass mit der DSGVO eine grundsätzlich vollständige Harmonisierung der nationalen Rechtsvorschriften zum Schutz personenbezogener Daten vorgenommen worden ist. Allerdings eröffnen einige Bestimmungen der DSGVO den Mitgliedstaaten die Möglichkeit, zusätzliche nationale Vorschriften, die ihnen einen Ermessensspielraum hinsichtlich der Art und Weise der Durchführung dieser Bestimmungen lassen, vorzusehen, sofern diese Vorschriften nicht gegen den Inhalt und die Ziele dieser Verordnung verstoßen. Insoweit haben die Mitgliedstaaten insbesondere die Möglichkeit, ein Verfahren einer Verbandsklage gegen den mutmaßlichen Verletzer des Schutzes personenbezogener Daten vorzusehen, wobei dies jedoch an eine Reihe von Anforderungen geknüpft ist.

Zunächst einmal fällt ein Verband zur Wahrung von Verbraucherinteressen wie der Bundesverband unter den Begriff einer im Sinne der DSGVO klagebefugten Einrichtung, da er ein im öffentlichen Interesse liegendes Ziel verfolgt, das darin besteht, die Rechte der Verbraucher zu gewährleisten. Der Verstoß gegen Vorschriften über den Verbraucherschutz oder über unlautere Geschäftspraktiken kann nämlich mit einem Verstoß gegen eine Vorschrift über den Schutz personenbezogener Daten einhergehen.

Ferner kann eine solche Einrichtung eine Verbandsklage unabhängig von einem ihr erteilten Auftrag nur dann erheben, wenn „ihres Erachtens“ die Rechte einer betroffenen Person gemäß der DSGVO infolge einer Verarbeitung der personenbezogenen Daten dieser Person verletzt worden sind, ohne dass von ihr verlangt würde, dass sie die Person, die von der Datenverarbeitung
konkret betroffen ist, im Voraus individuell ermittelt und das Vorliegen einer konkreten Verletzung der Rechte aus den Datenschutzvorschriften behauptet.

Eine solche Auslegung steht im Einklang mit dem Ziel der DSGVO, das insbesondere darin besteht, ein hohes Niveau des Schutzes personenbezogener Daten zu gewährleisten.

Schließlich steht die DSGVO nicht nationalen Bestimmungen entgegen, nach denen im Wege von Verbandsklagen gegen Verletzungen der in dieser Verordnung vorgesehenen Rechte gegebenenfalls über Vorschriften zum Schutz der Verbraucher oder zur Bekämpfung unlauterer Geschäftspraktiken vorgegangen werden kann.


Den Volltext der Entscheidung finden Sie hier:


LAG Baden-Württemberg: Fristlose Kündigung eines Betriebsrats wegen DSGVO-Verstoß durch Verbreitung von Mitarbeiter-Gesundheitsdaten per Dropbox-Link wirksam

LAG Baden-Württemberg
Urteil vom 25.03.2022
7 Sa 63/21


Das LAG Baden-Württemberg hat entschieden, dass die fristlose Kündigung eines Betriebsratsmitglieds wegen DSGVO-Verstößen durch Verbreitung von Mitarbeiter-Gesundheitsdaten per Dropbox-Link berechtigt und somit wirksam ist.

Die Pressemitteilung des Gerichts:
Fristlose Kündigung eines Betriebsrats bei der Robert Bosch GmbH

Die dem Kläger gegenüber ausgesprochene außerordentliche Kündigung der Robert Bosch GmbH vom 18.01.2019 ist wirksam.

Der Kläger ist seit September 1997 bei der Robert Bosch GmbH (Beklagte) als Entwicklungsingenieur am Standort Feuerbach beschäftigt. Seit 2006 ist er Mitglied des Betriebsrats und seit 2014 freigestelltes Betriebsratsmitglied.

Im vorliegenden Verfahren streiten die Parteien über die Wirksamkeit einer außerordentlichen Kündigung vom 18.01.2019, zu der das Betriebsratsgremium seine Zustimmung erteilt hat. Die Beklagte begründet diese Kündigung damit, dass der Kläger mit der Veröffentlichung von Prozessakten aus einem vorherigen Kündigungsschutzverfahren zwischen den Parteien, insbesondere von Schriftsätzen der Beklagten, gegen Bestimmungen des Datenschutzrechts verstoßen habe. In den Schriftsätzen der Beklagten seien auch personenbezogene Daten, insbesondere auch Gesundheitsdaten, weiterer Mitarbeiter der Beklagten unter voller Namensnennung enthalten gewesen. Diese personenbezogenen Daten habe der Kläger einem größeren Verteilerkreis mithilfe eines Zugriffs auf eine sogenannte Dropbox offenbart.

Der Kläger ist der Auffassung, dass die Kündigung unwirksam ist. Es bestehe keine Vorschrift, die es gebiete, Prozessakten geheim zu halten, im Übrigen sei ein Datenschutzverstoß schon deshalb abzulehnen, nachdem er mit Blick auf Art. 2 Abs. 2c DS-GVO ausschließlich im Rahmen „persönlicher oder familiärer Tätigkeiten“ gehandelt habe. Außerdem habe er auch im
berechtigten Eigeninteresse gehandelt, denn ihm stehe das Recht zu, zu dem Fall Stellung zu nehmen und zu informieren, insbesondere im Hinblick auf die ihn als Familienvater und Betriebsratsmitglied zutiefst belastenden Vorwürfe.

Das Arbeitsgericht hat mit Urteil vom 04.08.2021 den Kündigungsschutzantrag mit der Begründung abgewiesen, dass der Kläger mit der Veröffentlichung weiter Teile der Prozessakten durch die Zurverfügungstellung des Dropbox-Links in rechtswidriger Weise gegen Bestimmungen des Datenschutzrechts verstoßen hat (Az 25 Ca 1048/19).

Die hiergegen gerichtete Berufung des Klägers zum Landesarbeitsgericht blieb ohne Erfolg. Wer im Rahmen eines von ihm angestrengten Gerichtsverfahrens bestimmte Schriftsätze der Gegenseite, in denen Daten, insbesondere auch besondere Kategorien personenbezogener Daten (Gesundheitsdaten), verarbeitet werden, der Betriebsöffentlichkeit durch die Verwendung eines zur Verfügung gestellten Links offenlegt und dadurch auch die Weiterverbreitungsmöglichkeit eröffnet, ohne dafür einen rechtfertigenden Grund zu haben, verletzt rechtswidrig und schuldhaft Persönlichkeitsrechte der in diesen Schriftsätzen namentlich benannten Personen mit der Folge, dass vorliegend die außerordentliche Kündigung der Beklagten gerechtfertigt ist. Die Wahrnehmung berechtigter Interessen des Klägers lag jedenfalls insofern nicht vor, als die Entscheidungsgründe des Urteils des Arbeitsgerichts am Tage der Zurverfügungstellung des Links noch nicht vorlagen und dem Kläger auch noch die Möglichkeit offenstand, gegen das Urteil das Rechtsmittel der Berufung einzulegen, um in diesem Verfahren seinen Standpunkt darzulegen.

LAG Baden-Württemberg, Urteil vom 25.03.2022, 7 Sa 63/21

ArbG Neuruppin: 1.000 Euro Geldentschädigung aus Art. 82 DSGVO wenn ehemaliger Mitarbeiter nicht von Website des Arbeitgebers entfernt wird

ArbG Neuruppin
Urteil vom 14.12.2021
2 Ca 554/21


Das ArbG Neuruppin hat entschieden, dass ein Anspruch auf Zahlung von 1.000 Euro Geldentschädigung aus Art. 82 DSGVO besteht, wenn ein ehemaliger Mitarbeiter nicht von der Website des Arbeitgebers entfernt wird.

Aus den Entscheidungsgründen:

Der Anspruch der Klägerin ist in Höhe von 1.000,00 € abzüglich der geleisteten 150,00 Euro begründet. Im Übrigen war die Klage abzuweisen.

I. Der Anspruch der Klägerin folgt zunächst aus Art. 82 DSGVO als sogenannte "Basisvorschrift" (vgl. dazu: Wächter, Datenschutz im Unternehmen, 5. Aufl., Rz. 1158). Mit Art. 82 DSGVO enthält die Grundverordnung eine eigenständige deliktische Haftungsnorm. Voraussetzung ist eine rechtswidrige Datenverarbeitung, die zu einem Schaden der betroffenen Person (Art. 4 Nr. 1 DSGVO) führt. Art. 82 DSGVO ersetzt dabei die zuvor in Art. 23 DS-RL enthaltene Regelung sowie die mitgliedstaatlichen Regelungen zur Umsetzung dieser Vorschrift (im BDSG-alt die §§ 7,8) (vgl. nur: Ehmann/Selmayr, Datenschutzgrundverordnung, Art. 82, Rz. 4m.w.N.). Nicht jeder einer betroffenen Person entstandene Schaden ist jedoch auszugleichen. Voraussetzung ist, dass der Verstoß gegen die Bestimmungen der DSGVO, delegierte Rechtsakte oder konkretisierende nationale Bestimmungen kausal für den eingetretenen Schaden ist (Specht/Manz, Handbuch Europäisches und deutsches Datenschutzrecht, Teil A, Rz. 243). Dabei gewährt Art. 82 DSGVO gegenüber der verantwortlichen Stelle (hier der Beklagten, da sie für den Inhalt ihrer Homepage verantwortlich im datenschutzrechtlichen Sinne ist i.S.v. Art. 4 Ziff. 7 DSGVO), einen Anspruch auf Ersatz des Schadens, der durch die unrichtige bzw. unzulässige Verwendung von personenbezogenen Daten entstanden ist (Weth/Herberger/Wächter/Sorge, Daten- und Persönlichkeitssschutz im Arbeitsverhältnis, 2. Auflage, Teil A XV, Rz. 24). Der unbefugte Umgang mit den Daten muss darüber hinaus schuldhaft i.S.v. § 276 BGB erfolgen, damit vorsätzlich oder zumindest fahrlässig (Weth/Herberger/Wächter/Sorge, a.a.0.). Dabei wird mit der nunmehr seit Mai 2018 geltenden Norm des Art. 82 III DSGVO ein schuldhaftes Verhalten vermutet, was eine deutliche Verschärfung gegenüber dem bis dahin geltenden Recht bedeutet. Von dieser Vermutung kann sich der Verantwortliche oder auch der Auftragsverarbeiter gemäß Art. 82 III DSGVO nur dann entlasten (exkulpieren), wenn er in keinerlei Hinsicht für den Umstand, durch welchen der Schaden entstanden ist, verantwortlich ist (Weth/Herberger/Wächter/Sorge, a.a.O.). Der Schaden kann ein materieller sein. Ebenfalls ist jedoch ein immaterieller Schaden wegen Verletzung des allgemeinen Persönlichkeitsrechtes auszugleichen. Der Erwägungsgrund 146 stellt für die Auslegung von Art. 82 DSGVO klar, dass es sich um einen "vollständigen und wirksamen Schadensersatz" handeln muss. Dies zielt auf die Ersatzhöhe ab (vgl. nur Körner, NZA 2021, 1137 ff. m. w. N.). Dem Grunde nach sind damit sämtliche Verletzungen des allgemeinen Persönlichkeitsrechtes erfasst. Da der Schadensersatzanspruch nach Art. 82 DSGVO im Übrigen auch im Umfang auch die Elemente der Wirksamkeit und Abschreckung enthalten soll, können in die Berechnung des Haftungsumfangs auch präventive Gesichtspunkte einfließen (Specht/Manz, a.a.O. Rz. 247).

II. Die Beklagte hat trotz entsprechender Hinweise der Klägervertreterin im Schreiben vom 28.08.2020 die Daten der Klägerin nicht umgehend von ihrer Internetseite entfernt, obwohl das Arbeitsverhältnis beendet wurde. Unabhängig davon war sie jedoch auch bereits ohne anwaltliches Schreiben dazu verpflichtet gewesen, sämtliche im Zusammenhang mit der Klägerin veröffentlichten Daten von ihrer Homepage zu entfernen, da das Arbeitsverhältnis beendet wurde. Dies ergibt sich nicht nur aufgrund der bestehenden datenschutzrechtlichen Pflichten, sondern stellt auch eine allgemeine Nebenpflicht aus dem Arbeitsverhältnis i.S.v. § 241 Abs. 2 BGB dar. Auch mehrere Monate später waren die entsprechenden Daten jedoch noch verfügbar. Die Klägerin wurde - was unstreitig ist - weiterhin auf der Internetseite geführt, obwohl sie dort nicht als Biologin tätig war, sondern lediglich im Büromanagement beschäftigt wurde, insofern waren die Daten auch nicht zutreffend. Dabei spielt es entgegen der Ansicht der Beklagten auch keine Rolle, dass die Klägerin leidglich mit ihrem "Mädchennamen" dort aufgeführt wird und nicht mit ihrem tatsächlichen "Doppelnamen". Bereits dadurch wurde die Klägerin in ihren Persönlichkeitsrechten verletzt.

Dass die Beklagte erkannt hat, dass sie einen Fehler im datenschutzrechtlichen Sinne begangen hat, zeigt sich insbesondere auch darin, dass sie der Aufforderung der Klägerin entsprechend eine Unterlassungserklärung abgegeben und sodann 150,00 Euro in der Folgezeit gezahlt hat.

Der Hinweis der Beklagten, dass es sich um eine "alte Version" der Homepage gehandelt habe, stellt keine wirksame Exkulpation von der Haftung i.S.v. Art. 82 III DSGVO dar. Die Beklagte als verantwortliche Stelle hätte gerade nach den anwaltlichen Hinweisen der Klägervertreterin ihr besonderes Augenmerk auf ihre Homepage lenken müssen, da sie diesbezüglich zumindest seit dem anwaltlichen Schreiben vom 28.08.2020 sensibilisiert war.

Die Erwägungsgründe 75 und 85 stehen dem Anspruch ebenfalls nicht entgegen. Die dort genannten Gründe sind weder abschließend, noch dazu geeignet, den Anspruch der Klägerin dem Grunde nach zu negieren.

III. Hinsichtlich der Höhe des begehrten Schadensersatzes hat die Kammer einen Anspruch in Höhe von 1.000,00 Euro für angemessen erachtet, wobei berücksichtigt wurde, dass 150,00 Euro bereits geleistet wurden.

Dies auch unter Beachtung der aktuellen Rechtsprechung (vgl. dazu Böhm/Brams NZA RR, 2021, 521 ff.).

Mit einer Entscheidung des LAG Köln vom 14.09.2020 (LAG Köln 14.09.2020, 2 Sa 358/20, juris) wurden der dortigen Klägerin 300,00 Euro zugesprochen. In diesem Fall war jedoch zu beachten, dass die Beklagte nachgewiesen hatte, dass eine fahrlässige Nichtlöschung des Profils der Klägerin vorlag. Die dortige Klägerin war jedoch im Gegensatz zur Klägerin nicht insgesamt weiterhin auf der Homepage der Beklagten "verfügbar", sondern lediglich auf einer weiteren Datei im Internet, welche aufgrund einer "Verknüpfung" zu finden war. Das Arbeitsgericht Neumünster hat mit der Entscheidung vom 11.08.2020 (ArbG Neumünster vom 11.08.2020, 1 Ca 247 c/20, ZD 2021, 171) einen Schadensersatz in Höhe von 1.500,00 Euro wegen verspäteter Auskurftserteilung zugesagt. Auch wenn es in diesem Rechtsstreit nicht um einen Schadensersatz nach Art. 82 DSGVO, sondern um einen solchen wegen verspäteter Auskunft nach Art. 15 DSGVO ging, wurde dort auch bei der Bezifferung des Schadensersatzanspruches auf die Grundsätze der Art. 83 Abs. 2 Satz 9 DSGVO verwiesen. Ein solcher Rückgriff wurde bejaht, da Schadensersatz nach Art. 82 DSGVO ebenso wie Bußgelder nach Art. 83 DSGVO Datenschutzverstöße effektiv sanktionieren und abschreckend wirken sollten.

Das Landesarbeitsgericht Hamm hat mit Entscheidung vom 11.05.2021 (LAG Hamm vom 11.05.2021, 6 Sa 1260/20, juris) wegen verspäteter und unzureichender Datenauskunft einen Schadensersatz in Höhe von 1.000,00 Euro festgesetzt.

Unter Berücksichtigung vorstehender Rechtsprechung ist die Kammer ausdrücklich entgegen der Entscheidung des LG Köln vom 30.09.2021 (LG Köln vom 03.08.2021, 5 O 84/21, juris) sowie des Landgerichtes Bonn (LG Bonn vom 01.07.2021, 15 O 372/20, juris) davon ausgegangen, dass der Klägerin ein Schadensersatzanspruch in der ausgeurteilten Höhe zuzugestehen ist, da die Beklagte trotz des entsprechenden Begehrens der Klägerin über mehrere Monate hin deren Daten auf ihrer Internetseite nicht gelöscht hat. Dies auch unabhängig von der Tatsache, dass die Klägerin keine immateriellen Beeinträchtigungen vorgetragen hat. Dieses ist nach Auffassung der Kammer auch nicht erforderlich, da - wie unter I. dargestellt - Art. 82 DSGVO ebenfalls eine Warn- und Abschreckungsfunktion beinhaltet. Schließlich vermögen deswegen auch die Argumente des LG Bonn nicht zu überzeugen, dass ein Schadensersatzanspruch deswegen nicht auszuurteilen sei, da einer "uferlosen" Geltendmachung solcher Ansprüche" entsprechend zu begegnen sei. Derartige Überlegungen müssen bei der Ausurteilung von Schadensersatzansprüchen grundsätzlich ausscheiden. Dies dürfte zumindest seit dem Inkrafttreten des AGG für das Arbeitsrecht allgemein anerkannt sein.

Im Ergebnis hält die Kammer unter Beachtung der §§ 286, 287 ZPO im vorliegenden Fall einen Anspruch in Höhe von 1.000,00 Euro für angemessen. Hiervon hat die Beklagte bereits 150,00 Euro geleistet, so dass sie verpflichtet ist, weitere 850,00 Euro zu zahlen.

Ein weitergehender Schadensersatzanspruch steht der Klägerin jedoch nicht zu. Dementsprechend war die Klage im Übrigen abzuweisen.


Den Volltext der Entscheidung finden Sie hier:


BGH: Kein Anspruch auf Geldentschädigung aus Art. 82 Abs. 1 DSGVO wegen identifizierender Verdachtsberichterstattung in Presseartikel

BGH
Urteil vom 22.02.2022
VI ZR 1175/20
BGB § 823 Abs. 1; GG Art. 5


Der BGH hat entschieden, dass kein Anspruch auf Geldentschädigung aus Art. 82 Abs. 1 DSGVO wegen identifizierender Verdachtsberichterstattung in einem Presseartikel besteht. Dem Anspruch steht schon das Medienprivileg entgegen.

Leitsatz des BGH:
Zu den Voraussetzungen einer zulässigen Verdachtsberichterstattung (hier: Pressebericht über bevorstehende Hauptverhandlung im Strafverfahren).

BGH, Urteil vom 22. Februar 2022 - VI ZR 1175/20 - OLG Köln - LG Köln

Aus den Entscheidungsgründen:
Das Berufungsgericht ist zu Recht davon ausgegangen, dass dem Kläger kein Anspruch auf Zahlung einer Geldentschädigung zusteht.

1. Wie das Berufungsgericht zutreffend ausgeführt hat, folgt ein solcher Anspruch nicht aus Art. 82 Abs. 1 DS-GVO. Aufgrund der Öffnungsklausel des Art. 85 Abs. 2 DS-GVO sind Datenverarbeitungen zu journalistischen Zwecken von den die Rechtmäßigkeit der Datenverarbeitung betreffenden Vorschriften in Art. 6 und Art. 7 DS-GVO durch Regelungen der Länder ausgenommen worden (vgl. Senatsurteile vom 7. Juli 2020 - VI ZR 250/19, VersR 2021, 189 Rn. 10; - VI ZR 246/19, NJW 2020, 3715 Rn. 11; jeweils mwN).

Für den Bereich der Telemedien, der die streitgegenständliche Internetberichterstattung umfasst, galt zur Zeit der Berichterstattung § 57 Abs. 1 Satz 4 RStV (jetzt gleichlautend § 23 Abs. 1 Satz 4 MStV). Für die Printberichterstattung existierten und existieren entsprechende Vorschriften der einzelnen Länder (für Berlin, den Sitz der Beklagten zu 2, siehe § 19 Abs. 1 Satz 1 des Berliner Datenschutzgesetzes und jetzt § 22a Abs. 1 Satz 4 des Berliner Pressegesetzes; weitere Nachweise bei Lauber-Rönsberg, AfP 2019, 373 Rn. 29 mit Fn. 50). Es liegt auf der Hand, dass ein Schadensersatzanspruch gemäß § 82 Abs. 1 DS-GVO nicht auf die Verletzung datenschutzrechtlicher Bestimmungen durch eine journalistische Tätigkeit gestützt werden kann, wenn die Bestimmungen für die Tätigkeit gar nicht gelten (vgl. Senatsbeschluss vom 16. Februar 2021 - VI ZA 6/20, juris; Senatsurteile vom 7. Juli 2020 - VI ZR 250/19, VersR 2021, 189 Rn. 10; - VI ZR 246/19, NJW 2020, 3715 Rn. 11). Insoweit spielt es auch keine Rolle, dass die Öffnungsklausel des Art. 85 Abs. 2 DS-GVO die in Kapitel VIII der Verordnung enthaltene Vorschrift des Art. 82 Abs. 1 DS-GVO nicht erfasst. Im Übrigen stellen § 23 Abs. 1 Satz 5 MStV (zuvor § 57 Abs. 1 Satz 5 RStV) und die presserechtlichen Vorschriften der Länder (etwa § 22a Abs. 1 Satz 5 des Berliner Pressegesetzes, § 19 Abs. 1 Satz 2 des Berliner Datenschutzgesetzes) klar, dass Art. 82 Abs. 1 DS-GVO im Geltungsbereich des Medienprivilegs nicht greift (vgl. Lauber-Rönsberg, AfP 2019, 373 Rn. 30). Einer Vorlage an den Gerichtshof der Europäischen Union bedarf es nicht, weil diese Frage klar zu beantworten ist (vgl. zu den Voraussetzungen
der Vorlagepflicht EuGH, EuZW 2018, 1038 Rn. 110 - Kommission/Frankreich mwN).

2. Entgegen der Auffassung der Revision hat das Berufungsgericht dem Kläger zu Recht keine Geldentschädigung wegen Verletzung seines allgemeinen Persönlichkeitsrechts durch die Wort- und Bildberichterstattungen nach § 823 Abs. 1 BGB i.V.m. Art. 1 Abs. 1, Abs. 2 Abs. 1 GG und §§ 22, 23 KUG zuerkannt.


Den Volltext der Entscheidung finden Sie hier:

VG Ansbach: Verstoß gegen DSGVO durch Videoüberwachung der gesamten Trainingsfläche eines Fitnessstudios

VG Ansbach
Urteil vom 23.02.2022
AN 14 K 20.00083


Das VG Ansbach hat entschieden, dass ein Verstoß gegen die Vorgaben der DSGVO durch Videoüberwachung der gesamten Trainingsfläche eines Fitnessstudios vorliegt.

Aus den Entscheidungsgründen:
2. Die Klage ist jedoch nur begründet, soweit sie sich gegen Ziffer II des streitgegenständlichen Bescheides wendet. Im Übrigen war sie als unbegründet abzuweisen.

Das Bayerische Landesamt für Datenschutzaufsicht ist richtiger Beklagter gemäß § 20 Abs. 4, Abs. 5 Satz 1 Nr. 2 BDSG.

a) Die Unterlassungsanordnung in Ziffer I des streitgegenständlichen Bescheids ist formell wie materiell rechtmäßig. Es sind keine Verfahrensfehler ersichtlich, insbesondere wurde die Klägerin ordnungsgemäß angehört i.S.d. Art. 28 BayVwVfG (vgl. auch DS-GVO-Erwägungsgrund 129).

Die Untersagungsanordnung beruht als Abhilfemaßnahme auf Art. 58 Abs. 2 DS-GVO. Da es sich um ein Verbot handelt, ist Buchst. f) einschlägig, nicht wie vom Beklagten vorgebracht Buchst. d). Tatbestandsvoraussetzung für die Abhilfemaßnahmen des Art. 58 Abs. 2 DS-GVO ist das Vorliegen eines Verstoßes gegen die DS-GVO (vgl. Nguyen in: Gola, DS-GVO, Art. 58, Rn. 4). Ein solcher Verstoß liegt insbesondere dann vor, wenn Daten ohne entsprechende Rechtsgrundlage verarbeitet werden. Dies war vorliegend der Fall.

(1) Die Videoüberwachung konnte nicht auf eine Einwilligung der Trainierenden gestützt werden. Gemäß Art. 6 Abs. 1 Buchst. a) DS-GVO dürfen personenbezogene Daten verarbeitet werden, wenn die betroffene Person ihre Einwilligung dazu gegeben hat. Eine solche Einwilligung erfordert gemäß Art. 4 Nr. 11 DS-GVO eine freiwillig für den bestimmten Fall, in informierter Weise und unmissverständlich abgegebene Willensbekundung in Form einer Erklärung oder einer sonstigen eindeutigen bestätigenden Handlung, mit der die betroffene Person zu verstehen gibt, dass sie mit der Verarbeitung der sie betreffenden personenbezogenen Daten einverstanden ist. Eine solche eindeutige bestätigende Handlung der Trainierenden kann allerdings nicht in der bloßen Kenntnisnahme der Hinweise auf die Videoüberwachung in den Datenschutzhinweisen und der Hinweisschilder an der Eingangstür gesehen werden, denn gemäß Satz 3 des DS-GVO-Erwägungsgrundes 32 sollen Stillschweigen oder Untätigkeit gerade keine Einwilligung darstellen. Dass die Klägerin anderweitig ein Einverständnis der Trainierenden mit der Videoüberwachung durch eine eindeutig bestätigende Handlung eingefordert hätte, ist weder vorgetragen noch sonst ersichtlich, sodass die Videoüberwachung nicht gemäß Art. 6 Abs. 1 Buchst. a) DS-GVO erlaubt war.

(2) Die Videoüberwachung konnte auch nicht auf vertragliche (Neben-)Pflichten der Klägerin, ihre Kundschaft im vorgetragenen Umfang vor Diebstählen und Übergriffen zu schützen, gestützt werden. Gemäß Art. 6 Abs. 1 Buchst. b) Alt. 1 DS-GVO ist eine Datenverarbeitung rechtmäßig, wenn sie für die Erfüllung eines Vertrags, dessen Vertragspartei die betroffene Person ist, erforderlich ist. Vertragliche Nebenpflichten wie Rücksichtnahme- und Schutzpflichten sind zwar auch von dieser Vorschrift erfasst (Buchner/Petri in: Kühling/Buchner, DS-GVO BDSG, Art. 6, Rn. 33), jedoch ging die streitgegenständliche lückenlose Videoüberwachung über diese Pflichten hinaus. Nach ständiger Rechtsprechung des BGH ist derjenige, der eine Gefahrenlage - wie hier durch den Betrieb eines Fitnessstudios - schafft, grundsätzlich verpflichtet, die notwendigen und zumutbaren Vorkehrungen zu treffen, um eine Schädigung anderer möglichst zu verhindern; umfasst werden hiervon diejenigen Maßnahmen, die ein umsichtiger und verständiger, in vernünftigen Grenzen vorsichtiger Betreiber für notwendig und ausreichend hält, um andere vor Schäden zu bewahren (vgl. BGH NJW 2018, 2956, Rn. 17 m.w.N.). Es muss dabei aber nicht für alle denkbaren Möglichkeiten eines Schadenseintritts vorgesorgt, sondern nur ein Sicherheitsgrad erreicht werden, den die herrschende Verkehrsauffassung im jeweiligen Bereich für erforderlich hält (vgl. BGH NJW 2018, 2956, Rn. 18 m.w.N.).

Inwiefern die Klägerin eine Schutzpflicht treffen soll, die über das Instandhalten der Fitnessgeräte und die Bereitstellung hilfsbereiten Personals und von Spinden o.Ä. hinausgeht, ist nicht nachvollziehbar. Es ist nicht davon auszugehen, dass es der herrschenden Verkehrsanschauung im Fitnessstudiobetrieb entspricht, die Trainierenden durch lückenlose Videoüberwachung vor Übergriffen und Diebstählen zu schützen oder ihnen eine erleichterte Verfolgung solcher Vorkommnisse durch die Videoüberwachung zu ermöglichen.

(3) Schließlich konnten auch nicht die berechtigten Interessen der Klägerin oder der Trainierenden selbst die Videoüberwachung rechtfertigen. Gemäß Art. 6 Abs. 1 Buchst. f) DS-GVO ist eine Datenverarbeitung rechtmäßig, wenn sie zur Wahrung der berechtigten Interessen des Verantwortlichen oder eines Dritten erforderlich ist, sofern nicht die Interessen oder Grundrechte und Grundfreiheiten der betroffenen Person, die den Schutz personenbezogener Daten erfordern, überwiegen […]. Die Klägerin kann zwar berechtigte Interessen im Sinne der Vorschrift geltend machen (hierzu (a)), zu deren Wahrung die Videoüberwachung erforderlich ist (hierzu (b)), jedoch überwiegen die Interessen der Trainierenden, namentlich deren Grundrecht auf informationelle Selbstbestimmung aus Art. 1 Abs. 1 i.V.m. Art. 2 Abs. 1 GG, diese Interessen (hierzu (c)).

(a) Die Klägerin machte als berechtigte Interessen zum einen eigene Interessen (Prävention und Verfolgung von Diebstahl und Sachbeschädigung) und zum anderen Interessen der Trainierenden (Schutz vor Diebstahl und Übergriffen) geltend. Erforderlich, aber auch ausreichend für den Begriff des berechtigten Interesses ist ein „guter Grund“, sprich ein schutzwürdiges und objektiv begründbares Interesse (BVerwG, U. v. 27. März 2019 - 6 C 2/18 - Rn. 25 bei juris (noch zu § 6b Abs. 1 BDSG a.F.)). Die Geltendmachung, Ausübung und Durchsetzung von Rechtsansprüchen (wie Schadensersatzansprüche nach Diebstahl oder Sachbeschädigung) sind berechtigte Interessen (Buchner/Petri in: Kühling/Buchner, DS-GVO BDSG, Art. 6 DS-GVO, Rn. 147). Ebenso kann das Interesse der Trainierenden, von einem Fitnessstudiobetreiber vor Diebstählen und Übergriffen geschützt zu werden, als „berechtigt“ i.S.d. Art. 6 Abs. 1 f) DS-GVO eingeordnet werden, da der Begriff des berechtigten Interesses weit auszulegen ist; eine normative Einschränkung erfolgt erst später im Rahmen der Interessenabwägung (Albers/Veit in: BeckOK Datenschutzrecht, Art. 6, Rn. 50).

(b) Auch die Erforderlichkeit der Videoüberwachung kann noch bejaht werden, da jedenfalls für die Aufklärung von Diebstählen, Sachbeschädigungen und Übergriffen kein anderes, gleich effektives Mittel (vgl. Buchner/Petri in: Kühling/Buchner, DS-GVO BDSG, Art. 6 DS-GVO, Rn. 147a) ersichtlich ist.

(c) Die Interessen der Trainierenden überwiegen jedoch die von der Klägerin vorgebrachten berechtigten Interessen an der Videoüberwachung. Die Trainierenden sind in ihrem Grundrecht auf informationelle Selbstbestimmung als Teil des allgemeinen Persönlichkeitsrechts aus Art. 1 Abs. 1 i.V.m. Art. 2 Abs. 1 GG berührt und zwar in ganz erheblicher Weise. Bei der durchgehenden Videoüberwachung im Fitnessstudio der Klägerin während der gesamten Öffnungszeiten auf allen Trainingsflächen handelt es sich um einen gravierenden Eingriff in dieses Grundrecht aller Trainierenden, mithin einer erheblichen Anzahl von Personen, ohne räumliche oder zeitliche Ausweichmöglichkeit. Schon aufgrund dieser Alternativlosigkeit der Trainierenden überwiegen deren Interessen die der Klägerin. Ihr stehen nämlich durchaus andere, zwar möglicherweise nicht genauso effektive, aber jedenfalls ausreichend effektive Maßnahmen zur Wahrung ihrer Interessen zur Verfügung wie beispielsweise eine Aufstockung des Personals. Die Klägerin kann sich nicht allein darauf berufen, die Videoüberwachung sei gegenüber der Personalaufstockung die wirtschaftlich sinnvollere Alternative (vgl. Buchner/Petri in: Kühling/Buchner, DS-GVO BDSG, Art. 6 DS-GVO, Rn. 147a).

Erschwerend kommt hinzu, dass die Trainierenden nicht mit einer Videoüberwachung im Fitnessstudio rechnen mussten. Bei der Abwägung der beiderseitigen Interessen ist zu berücksichtigen, dass gemäß Satz 4 des DS-GVO-Erwägungsgrundes 47 insbesondere dann, wenn personenbezogene Daten in Situationen verarbeitet werden, in denen eine betroffene Person vernünftigerweise nicht mit einer weiteren Verarbeitung rechnen muss, die Interessen und Grundrechte der betroffenen Person das Interesse des Verantwortlichen überwiegen könnten. Laut den gemäß Art. 70 Abs. 1 Buchst. e) DS-GVO zur Sicherstellung einer einheitlichen Anwendung der DS-GVO erlassenen Leitlinien des Europäischen Datenschutzausschusses (EDSA) ist entscheidendes Kriterium für die Auslegung des Begriffs der vernünftigen Erwartung, ob ein objektiver Dritter vernünftigerweise in der konkreten Situation erwarten kann, dass er überwacht wird (EDSA, Leitlinien 3/2019 zur Verarbeitung personenbezogener Daten durch Videogeräte, Version 2.0, Rn. 36, abgerufen unter edpb_guidelines_201903_video_devices_de.pdf (europa.eu)). Hinweisschilder, die über die Videoüberwachung informieren, sind zur Bestimmung, was eine betroffene Person objektiv in einer bestimmten Situation erwarten kann, unerheblich (EDSA, a.a.O, Rn. 40). In öffentlich zugänglichen Bereichen können betroffene Personen davon ausgehen, dass sie nicht überwacht werden, vor allem, wenn diese Bereiche typischerweise für Freizeitaktivitäten genutzt werden, wie es bei Fitnesseinrichtungen der Fall ist (EDSA, a.a.O., Rn. 38). Da vorliegend nichts dafür spricht, von diesem Grundsatz abzuweichen, führt auch dies zu einem Überwiegen der Interessen der Trainierenden.

Auch bei Betrachtung des Umfangs der der Klägerin entstandenen Schäden ist keine andere Gewichtung der Interessen geboten. Nach den Angaben der Klägerin in der mündlichen Verhandlung belaufen sich die Diebstähle auf circa zehn Fälle jährlich und die Sachbeschädigungen auf circa 10.000 EUR bis 15.000 EUR jährlich, während die Einnahmen beispielhaft im Jahr 2019 200.000 EUR betrugen. Die finanziellen Einbußen der Klägerin halten sich daher in einem Rahmen, der in keinem Verhältnis zu einer lückenlosen Videoüberwachung der Trainierenden steht. Wenn die Klägerin darüber hinaus in der mündlichen Verhandlung ausführt, dass hinsichtlich der Kleingeräte keinerlei Diebstahlsicherungen sinnvoll umsetzbar sind, muss letztlich aus unternehmerischer Sicht hingenommen werden, dass nicht jegliche finanziellen Risiken abgewendet werden können, ganz besonders nicht auf Kosten der informationellen Selbstbestimmung der gesamten Kundschaft.

Auch die berechtigten Interessen der Trainierenden selbst, die die Klägerin ebenfalls geltend macht, begründen kein anderes Abwägungsergebnis. Zwar mag die Videoüberwachung für manche eher ein willkommenes Gefühl der Sicherheit als einen unangenehmen Anpassungsdruck auslösen. Die Risiken der Aufklärbarkeit eines Diebstahls oder Übergriffs liegen aber primär im Verantwortungsbereich der Trainierenden selbst, nicht dem der Klägerin. Wer das Smartphone nicht in den Spind sperrt, ist sich regelmäßig der so erleichterten Möglichkeit eines Diebstahls im Trainingsraum im Fitnessstudio bewusst. Auch dass die Aufklärung von Straftaten in einem verhältnismäßig engen Raum unter vielen sich fremden Menschen erschwert ist, dürfte den Trainierenden als Teil des allgemeinen Lebensrisikos bewusst sein. Es liegt in der Hand der Trainierenden selbst, dieses Risiko bei Bedarf zu minimieren, indem beispielsweise Trainingsgeräte in der Nähe der Empfangstheke gewählt werden oder zu zweit oder zu einer „risikoärmeren“ Uhrzeit trainiert wird. Das Interesse der Trainierenden, vor diesem allgemeinen Lebensrisiko durch die Klägerin mittels Videoüberwachung geschützt zu werden, wiegt nicht so schwer, wie das Interesse daran, im Fitnessstudio überwachungsfrei trainieren zu können.

Das Gericht sieht hier auch keine Vergleichbarkeit mit dem Einzelhandel, da dort zum einen ein deutlich geringerer Eingriff in das allgemeine Persönlichkeitsrecht vorliegt (regelmäßig kürzerer Aufenthalt und auch weniger private Tätigkeit als im Fitnessstudio), zum anderen aber das Diebstahlrisiko und die Aufklärungsschwierigkeiten noch höher sein dürften durch den schnelleren Kundenwechsel, die höhere Zahl an kleinen Gegenständen und die leichteren Verstauungsmöglichkeiten beispielsweise in Jacken- und Hosentaschen.

Da somit mangels Rechtsgrundlage für die Datenverarbeitung mittels Videoüberwachung ein datenschutzrechtlicher Verstoß gegeben war, durfte die Beklagte eine Abhilfemaßnahme nach Art. 58 Abs. 2 DS-GVO ergreifen. Der Aufsichtsbehörde steht bezüglich der Wahl der konkreten Abhilfemaßnahme ein Ermessen zu (vgl. dazu DS-GVO-EG 129), welches gerichtlich nur eingeschränkt überprüfbar ist, § 20 Abs. 2 BDSG i.V.m. § 114 VwGO. Vorliegend sind Ermessensfehler hinsichtlich der Untersagungsanordnung weder vorgetragen noch sonst ersichtlich.

Die Untersagungsanordnung war auch verhältnismäßig (vgl. DS-GVO-Erwägungsgrund 129), insbesondere ist kein milderes, gleich effektives Mittel zur Herstellung des Einklangs mit der DS-GVO ersichtlich. Da die gesamte Trainingsfläche lückenlos überwacht wurde, könnte eine (nachträgliche) Einwilligung i.S.d. Art. 6 Abs. 1 Buchst. a) DS-GVO mangels Freiwilligkeit und Widerruflichkeit i.S.d. Art. 7 DS-GVO nicht wirksam eingeholt werden. Eine mögliche Anordnung des Beklagten nach Art. 58 Abs. 2 Buchst. d) DS-GVO, die Videoüberwachung wirksam zum Bestandteil des Vertrags mit den Trainierenden zu machen (statt des bloßen Hinweises in den Datenschutzhinweisen), erscheint zum einen schon mit Blick auf die zivilrechtlichen Vorschriften zur AGB-Kontrolle problematisch (vgl. dazu LG Koblenz BeckRS 2014, 1243) und hätte zum anderen einen erheblichen Eingriff in die Privatautonomie der Klägerin und somit auch kein milderes Mittel dargestellt. Das Verbot der Videoüberwachung war daher als ultima ratio erforderlich. Das Verbot war auch angemessen, denn das öffentliche Interesse an der Herstellung eines datenschutzkonformen Zustands im Fitnessstudio der Klägerin überwiegt das Interesse der Klägerin an der Videoüberwachung, da ein schwerwiegender Eingriff in das Persönlichkeitsrecht der Trainierenden vorlag (siehe hierzu auch die Ausführungen oben zu Art. 6 Abs. 1 Buchst. f) DS-GVO).

b) Die Mitteilungsanordnung in Ziffer II des streitgegenständlichen Bescheids ist demgegenüber materiell rechtswidrig und daher aufzuheben, denn der streitgegenständliche Bescheid enthält bezüglich seiner Ziffer II keinerlei Begründung i.S.d. Art. 39 BayVwVfG (vgl. auch DS-GVO-Erwägungsgrund 129) oder Ermessenserwägungen. An diesem Ermessensausfall konnte auch der Schriftsatz des Beklagten vom 31. Januar 2022 nichts ändern.

Die fehlende Begründung der Ziffer II stellte zunächst einen Formfehler dar, der aber durch die Ausführungen des Beklagten im Schriftsatz vom 31. Januar 2022 gemäß Art. 45 Abs. 1 Nr. 2, Abs. 2 BayVwVfG geheilt werden konnte, sodass Ziffer II formell rechtmäßig war.

Als Rechtsgrundlage für Ziffer II wurde in diesem Schreiben vom 31. Januar 2022 Art. 58 Abs. 1 Buchst. a) DS-GVO genannt. Hinsichtlich der Wahl der im Einzelfall anzuwendenden Untersuchungsbefugnis des Abs. 1 des Art. 58 DS-GVO steht der Aufsichtsbehörde ein Auswahlermessen zu (vgl. DS-GVO-Erwägungsgrund 129), welches gerichtlich nur eingeschränkt überprüfbar ist gemäß § 20 Abs. 2 BDSG i.V.m. § 114 Satz 1 VwGO. Der streitgegenständliche Bescheid enthält jedoch keine Ausführungen, aus denen ersichtlich wäre, dass der Beklagte dieses Ermessen bezüglich Ziffer II des Bescheids erkannt und ausgeübt hat. Dies allein stellt schon ein starkes Indiz für einen materiellen Ermessensausfall dar (BayVGH NVwZ-RR 2008, 787 (787 f.); Stelkens in: Stelkens/Bonk/Sachs, VwVfG, § 39, Rn. 28 m.w.N.).

Es können auch nicht die zur Untersagungsanordnung in Ziffer I des Bescheids angestellten Ermessenserwägungen auf Ziffer II übertragen werden, da sich diese in keiner Weise mit der Art und Weise, wie die Umsetzung der Untersagung überprüft werden könnte, auseinandersetzen (vgl. zur Übertragung von Ermessenserwägungen BVerwG NVwZ 2007, 470 (471)). Insgesamt ist schlicht nicht erkennbar, dass bei der Wahl der passenden Untersuchungsbefugnis zur Kontrolle der Umsetzung der Untersagungsanordnung die notwendige Abwägung zwischen den öffentlichen Interessen und den privaten Interessen der Klägerin stattgefunden hat. Auch das nachträgliche Vorbringen des Beklagten im Schriftsatz vom 31. Januar 2022 konnte diesbezüglich nicht berücksichtigt werden, denn § 114 Satz 2 VwGO ermöglicht lediglich die Ergänzung defizitärer Ermessenserwägungen, nicht aber die nachträgliche erstmalige Ausübung (BVerwG NVwZ 2007, 470 (471)). Nach alldem lag ein Ermessensausfall vor.

Ziffer II des streitgegenständlichen Bescheids war daher wegen des Ermessensausfalls rechtswidrig. Insoweit war die Klägerin als Adressatin des belastenden Verwaltungsakts auch in ihrem Recht auf wirtschaftliche Handlungsfreiheit aus Art. 2 Abs. 1 i.V.m. Art. 19 Abs. 3 GG verletzt, sodass Ziffer II gemäß § 113 Abs. 1 Satz 1 VwGO aufzuheben war.

c) Die formell rechtmäßige Zwangsgeldandrohung in Ziffer III des streitgegenständlichen Bescheids ist auch materiell rechtmäßig, insbesondere wurde wirksam eine Frist i.S.d. Art. 36 Abs. 1 Satz 2 VwZVG gesetzt. Zwar setzt Ziffer III nach ihrem Wortlaut selbst keine entsprechende Frist, jedoch enthält die Begründung zur Ziffer III auf Seite 4 des streitgegenständlichen Bescheids eindeutig die vom Beklagten beabsichtigte Frist, nämlich zwei Wochen nach Bestandskraft des Bescheids. Da die Begründung zur Bestimmung des Regelungsinhalts eines Verwaltungsakts zu Hilfe zu nehmen ist (Stelkens in: Stelkens/Bonk/Sachs, Verwaltungsverfahrensgesetz, Art. 35, Rn. 76), ist vorliegend eine Frist i.S.d. Art. 36 Abs. 1 Satz 2 VwZVG ordnungsgemäß gesetzt worden. Auch die Bestimmtheit gemäß Art. 37 BayVwVfG ist dabei gewahrt (vgl. hierzu Stelkens in: Stelkens/Bonk/Sachs, Verwaltungsverfahrensgesetz, Art. 39, Rn. 26).


Den Volltext der Entscheidung finden Sie hier: