Skip to content

VGH Baden-Württemberg: Art. 16 Satz 1 DSGVO ist Rechtsgrundlage für Anspruch auf Berichtigung des Melderegisters

VGH Baden-Württemberg
Urteil vom 10.03.2020
1 S 397/19

Der VGH Baden-Württemberg hat entschieden, dass seit Inkrafttreten der Datenschutzgrundverordnung Art. 16 Satz 1 DSGVO Rechtsgrundlage für einen Anspruch auf Berichtigung des Melderegisters ist.

Aus den Entscheidungsgründen:

"Ausgehend von der im maßgeblichen Zeitpunkt (1.) allein in Betracht kommenden Rechtsgrundlage aus Art. 16 Satz 1 DSGVO (2.) steht dem Kläger der geltend gemachte, auf die Eintragung des Geburtsjahrgangs „1953“ zielende Berichtigungsanspruch nicht zu. Es steht nicht mit der für die richterliche Überzeugungsbildung erforderlichen Gewissheit fest, dass der Kläger die Anspruchsvoraussetzungen des Art. 16 Satz 1 DSGVO für die begehrte Berichtigung erfüllt (3.). Weitere Maßnahmen zur Aufklärung des Sachverhalts betreffend den richtigen Geburtsjahrgang des Klägers sind nicht vorhanden bzw. nicht zu ergreifen (4.). Die deshalb zu treffende Beweislastentscheidung fällt zu Ungunsten des Klägers aus (5.).

1. Maßgeblich für die Prüfung der Begründetheit der Klage ist die Sach- und Rechtslage im Zeitpunkt der mündlichen Verhandlung des Senats.

Welcher Zeitpunkt für die Begründetheit einer Klage maßgeblich ist, richtet sich nicht nach dem Prozessrecht, sondern ist nach dem im jeweiligen Fall zugrundeliegenden materiellen Recht zu beurteilen. Maßgeblich für die Entscheidung eines Gerichts sind die Rechtsvorschriften, die sich im Zeitpunkt der Entscheidung für die Beurteilung des Klagebegehrens Geltung beimessen, und zwar gleichgültig, ob es sich um eine Feststellungs-, Leistungs-, Anfechtungs- oder Verpflichtungsklage handelt (BVerwG, Urt. v. 03.11.1994 - 3 C 17.92 - BVerwGE 97, 79; Stuhlfauth, in: Bader u.a., VwGO, 7. Aufl., § 113 Rn. 34). Macht der Kläger - wie hier - einen materiellen Anspruch gegen den Rechtsträger der Behörde auf Vornahme einer Handlung geltend, ist für die Frage des Bestehens des Anspruchs grundsätzlich die Sach- und Rechtslage zum Zeitpunkt der gerichtlichen Entscheidung maßgeblich, wenn das in diesem Zeitpunkt maßgebliche Recht nicht ausdrücklich oder konkludent anordnet, dass es für den betreffenden Sachverhalt generell noch nicht maßgeblich ist oder dass zumindest für Ansprüche, die in der Vergangenheit beantragt wurden, der Zeitpunkt der Antragstellung maßgeblich bleiben soll (vgl. BVerwG, Urt. v. 01.12.1989 - 8 C 17.87 - BVerwGE 84, 157; Wolff, in: Sodan/Ziekow, VwGO, 5. Aufl., § 113 Rn. 102 ff. m.w.N.).

2. Hiervon ausgehend ist für den vom Kläger geltend gemachten Berichtigungsanspruch § 12 des Bundesmeldegesetzes in der alten Fassung (a.F.) vom 20.11.2014, der im Zeitpunkt der Antragstellung des Klägers bei der Beklagten und noch bei dem Erlass des die Berufung zulassenden Senatsbeschlusses vom 08.02.2019 galt, nicht mehr maßgeblich. Sein Begehren richtet sich vielmehr nach Art. 16 der Verordnung (EU) 2016/679 des Europäischen Parlaments und des Rates vom 27. April 2016 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten, zum freien Datenverkehr und zur Aufhebung der Richtlinie 95/46/EG (Datenschutz-Grundverordnung, ABl. L 119 vom 04.05.2016, S. 1, im Folgenden: DSGVO).

§ 12 Satz 1 BMG a.F. bestimmte, dass, wenn gespeicherte Daten unrichtig oder unvollständig sind, die Meldebehörde die Daten auf Antrag der betroffenen Person zu berichtigen oder zu ergänzen hat. Diese Vorschrift wurde jedoch durch das Zweite Gesetz zur Anpassung des Datenschutzrechts an die Verordnung (EU) 2016/679 und zur Umsetzung der Richtlinie (EU) 2016/680 (Zweites Datenschutz-Anpassungs- und Umsetzungsgesetz EU - 2. DSAnpUG-EU) vom 20.11.2019 (BGBl. I 1626, 1638) mit Wirkung vom 26.11.2019 geändert. § 12 BMG lautet seither: „Hat die Meldebehörde die Daten auf Antrag der betroffenen Person nach Artikel 16 der Verordnung (EU) 2016/679 berichtigt oder vervollständigt, so gilt § 6 Absatz 1 Satz 2 (BMG n.F.) entsprechend. Für die Dauer der Prüfung der Richtigkeit ist die Verarbeitung der Daten nicht nach Artikel 18 Absatz 1 Buchstabe a der Verordnung (EU) 2016/679 eingeschränkt.“ Mit dieser Neufassung wollte der Gesetzgeber klarstellen, dass sich im Bereich des Melderechts der Berichtigungsanspruch unmittelbar aus Art. 16 DSGVO ergibt (vgl. die Begründung des Gesetzentwurfs der Bundesregierung, BT-Drs. 19/4674, S. 224).

Nach Art. 16 Satz 1 DGSVO hat jede betroffene Person das Recht, von dem Verantwortlichen (vgl. Art. 4 Nr. 7 DSGVO) unverzüglich die Berichtigung sie betreffender unrichtiger personenbezogener Daten zu verlangen. Gemäß Art. 16 Satz 2 DGSVO hat sie unter Berücksichtigung der Zwecke der Verarbeitung ferner das Recht, die Vervollständigung unvollständiger personenbezogener Daten zu verlangen. Diese Vorschriften der am 25.05.2016 in Kraft getretenen und seit dem 25.05.2018 geltenden Datenschutz-Grundverordnung (vgl. Art. 99 DSGVO) sind auch auf den vorliegenden Fall anwendbar. Dem steht nicht entgegen, dass der Antragsteller seinen Berichtigungsantrag bereits 2015 und damit vor dem Inkrafttreten der Verordnung gestellt hat. Denn das derzeit geltende materielle Recht bietet keinen Grund zur Annahme, dass das Unionsrecht für einen Sachverhalt wie den vorliegenden keine Geltung beansprucht. Das Gegenteil ist der Fall. Der Unionsgesetzgeber hat in der Datenschutz-Grundverordnung hervorgehoben, dass Datenverarbeitungen, die zum Zeitpunkt der Anwendung dieser Verordnung bereits begonnen haben, innerhalb von zwei Jahren nach dem Inkrafttreten dieser Verordnung - also bis zu ihrem ersten Geltungstag am 25.05.2018 - „mit ihr in Einklang gebracht werden“ sollen (vgl. Erwägungsgrund 171 der DSGVO). Dementsprechend enthält auch das Zweite Datenschutz-Anpassungs- und Umsetzungsgesetz EU insoweit keine abweichenden Übergangsvorschriften (vgl. Art. 155 2. DSAnpUG-EU und BT-Drs. 19/4674, S. 446 f.).

3. An den Vorgaben von Art. 16 DSGVO gemessen ist die Klage mit dem Hauptantrag unbegründet. Es steht nicht mit der für die richterliche Überzeugungsbildung erforderlichen Gewissheit fest, dass der Kläger die Anspruchsvoraussetzungen des Art. 16 Satz 1 DSGVO für die begehrte Berichtigung erfüllt.

Nach Art. 16 Satz 1 DGSVO hat jede betroffene Person, wie gezeigt, das Recht, von dem Verantwortlichen unverzüglich die „Berichtigung“ sie betreffender „unrichtiger personenbezogener Daten“ zu verlangen. Bei dem Geburtsdatum des Klägers handelt es sich zwar um ein „personenbezogenes Datum“ (a)). Der Senat vermag sich jedoch nicht die erforderliche Überzeugungsgewissheit davon zu bilden, dass das Begehren des Klägers, im Melderegister als Geburtsjahrgang „1953“ eintragen zu lassen, im Sinne von Art. 16 Satz 1 DSGVO auf die „Berichtigung“ eines „unrichtigen“ Datums gerichtet ist (b)).

a) Der Kläger begehrt die Berichtigung eines „personenbezogenen Datums“ im Sinne von Art. 16 Satz 1 DSGVO.

Von dem Tatbestandsmerkmal der „personenbezogenen Daten“ werden alle Informationen erfasst, die sich auf eine identifizierte oder identifizierbare natürliche Person - der im Sinne der DSGVO „betroffenen Person“ - beziehen (Art. 4 Nr. 1 Halbs. 1 DSGVO). Der Begriff der „Information mit Personenbezug“ ist weit zu verstehen. Unter die Vorschrift fallen sowohl persönliche Informationen wie Identifikationsmerkmale (z.B. Name und Anschrift), äußere Merkmale (wie Geschlecht, Augenfarbe, Größe und Gewicht) oder innere Zustände (z.B. Meinungen, Motive, Wünsche, Überzeugungen und Werturteile), als auch sachliche Informationen mit Personenbezug wie etwa Vermögens- und Eigentumsverhältnisse, Kommunikations- und Vertragsbeziehungen und alle sonstigen Beziehungen der betroffenen Person zu Dritten und ihrer Umwelt. Zu den „Identifikationsmerkmalen“ zählt insbesondere das - auch hier streitbefangene - Geburtsdatum der betroffenen Person (vgl. OLG Köln, Urt. v. 26.07.2019 - 20 U 75/18 - juris; Klar/Kühling: in: Kühling/Buchner, DS-GVO/BDSG, 2. Aufl., Art. 4 DS-GVO Rn. 8; Ernst, in: Paal/Pauly, DS-GVO/BDSG, 2. Aufl., Art. 4 Rn. 14).

b) Es ist jedoch nicht erweislich, dass das Begehren des Klägers, im Melderegister als Geburtsjahrgang „1953“ eintragen zu lassen, im Sinne von Art. 16 Satz 1 DSGVO auf die „Berichtigung“ eines „unrichtigen“ Datums gerichtet ist.

Bei dem - unionsrechtlichen und daher autonom auszulegenden - Tatbestandsmerkmal der „Unrichtigkeit“ handelt es sich um ein objektives Kriterium, das nur auf Tatsachenangaben anwendbar ist. Es ist erfüllt, wenn die fragliche über die betroffene Person gespeicherte Information nicht mit der Realität übereinstimmt (vgl. Herbst, in: Kühling/Buchner, a.a.O., Art. 16 DS-GVO Rn. 8; Kamann/Braun, in: Ehmann/Selmayr, Datenschutz-Grundverordnung, 2. Aufl., Art. 16 Rn. 14; Paal, in: dems/Pauly, DS-GVO, BDSG, 2. Aufl., Art. 16 DS-GVO Rn. 15; Worms, a.a.O., Art. 16 DS-GVO Rn. 49; im Ergebnis ebenso HambOVG, Beschl. v. 27.05.2019 - 5 Bf 225/18.Z - ZBR 2020, 49; s. auch Art. 5 Abs. 1 Buchst. d DSGVO [„sachlich richtig“]; ebenso zu § 12 BMG a.F. Süßmuth, Bundesmeldegesetz, 31. Lfg., § 12 Rn. 4 [„Unrichtig“ sind Daten, wenn ihr Inhalt mit dem Lebenssachverhalt, den sie als Information widerspiegeln, nicht übereinstimmt.]; zu § 10 HMG HessVGH, Urt. v. 30.10.1990 - 11 UE 3005/89 - ESVGH 41, 105; VG Frankfurt a.M., Urt. v. 29.07.2011 - 5 K 156/11.F - juris; zu § 9 MRRG Medert/Süßmuth, Melderecht, Stand 3. Lfg., § 9 MRRG Rn. 4 m.w.N.). Auch die gespeicherte oder auf andere Weise verarbeitete Angabe zu einem Geburtsdatum ist daher im Sinne von Art. 16 Satz 1 DSGVO „unrichtig“, wenn die Angabe objektiv nicht zutrifft (Reif, a.a.O., Art. 16 Rn. 11).

Nach Art. 16 Satz 1 DSGVO kann die „Berichtigung“ eines unrichtigen Datums verlangt werden. Das kann entsprechend dem zuvor Gesagten nur dadurch erfolgen, dass das unrichtige Datum mit der Wirklichkeit in Übereinstimmung gebracht wird (vgl. Worms, a.a.O., Art. 16 Rn. 61; Herbst, in: Kühling/Buchner, a.a.O., Art. 16 DS-GVO Rn. 18; im Ergebnis ebenso bereits zu § 12 BMG a.F. BVerwG, Urt. v. 30.09.2015 - 6 C 38.14 -, NJW 2016, 99; Senat, Beschl. v. 07.03.2016 - 1 S 309/16 -).

Ein Berichtigungsanspruch kann sich deshalb nur dann aus Art. 16 Satz 1 DSGVO ergeben, wenn - erstens - feststeht, dass das von dem Verantwortlichen gespeicherte oder sonst verarbeitete Datum objektiv nicht mit der Realität übereinstimmt, und wenn - zweitens - zugleich feststeht, dass das von dem Betroffenen als richtig benannte Datum tatsächlich mit der Wirklichkeit übereinstimmt."


Den Volltext der Entscheidung finden Sie hier:

OVG Koblenz: Lehrer hat keinen Anspruch auf Entfernung von Fotos seiner Person aus Schuljahrbuch wenn er freiwillig bei entsprechendem Fototermin fotografiert wurde

OVG Koblenz
Beschluss vom 02.04.2020
2 A 11539/19.OVG


Das OVG Kobenz hat entschieden, dass ein Lehrer keinen Anspruch auf Entfernung von Fotos seiner Person aus einem Schuljahrbuch hat, wenn er freiwillig bei einem entsprechendem Fototermin fotografiert wurde

Die Pressemitteilung des Gerichts:

Kein Anspruch eines Lehrers auf Beseitigung von Fotos aus Schuljahrbuch

Ein Lehrer, der sich bei einem Fototermin in der Schule freiwillig mit Schulklassen hat ablichten lassen, hat keinen Anspruch auf Entfernung der im Jahrbuch der Schule veröffentlichten Bilder. Dies entschied das Oberverwaltungsgericht Rheinland-Pfalz in Koblenz.

Der Kläger ist Studienrat im rheinland-pfälzischen Schuldienst. Bei einem Fototermin in der Schule ließ er sich mit einer Schulklasse und einem Oberstufenkurs fotografieren. Die Schule gab, wie bereits im Jahr zuvor, ein Jahrbuch mit den Abbildungen sämtlicher Klassen und Kurse nebst den jeweiligen Lehrkräften heraus. Nachdem der Kläger sich zunächst erfolglos innerhalb der Schulverwaltung gegen die Veröffentlichung der Fotos gewandt hatte, erhob er Klage vor dem Verwaltungsgericht. Er machte geltend, dass die Publikation sein Persönlichkeitsrecht verletze. Er habe kein Einverständnis zur Veröffentlichung der Bilder erteilt, sondern stehe einer solchen vielmehr ablehnend gegenüber. Er habe sich nur ablichten lassen, weil eine Kollegin ihn überredet habe. Den wahren Verwendungszweck der Fotos habe er nicht gekannt.

Das Verwaltungsgericht Koblenz wies die Klage ab (vgl. Pressemitteilung des Verwaltungsgerichts Koblenz Nr. 33/2019 vom 23. September 2019). Nach dem Kunsturhebergesetz bedürfe es keiner Einwilligung in die Veröffentlichung der Fotos im Jahrbuch der Schule, weil diese Bildnisse aus dem Bereich der Zeitgeschichte seien. Dies ergebe sich aus der dafür erforderlichen Abwägung der wechselseitigen Interessen. Ein Informationsinteresse der Öffentlichkeit bestehe auch bei Veranstaltungen von regionaler oder lokaler Bedeutung. Eine solche Bedeutung hätten die Jahrbücher mit den Klassenfotos für die Angehörigen der Schule. Demgegenüber seien die Rechte des Klägers nur geringfügig beeinträchtigt worden. Er sei im dienstlichen Bereich in einer völlig unverfänglichen, gestellten Situation aufgenommen worden und die Bilder seien in keiner Weise unvorteilhaft oder ehrverletzend. Selbst wenn eine Einwilligung erforderlich gewesen sein sollte, wäre diese aber auch zumindest konkludent erteilt worden, weil der Kläger sich mit den beiden Schülergruppen habe ablichten lassen. Er habe gewusst oder jedenfalls wissen müssen, dass die Schule derartige Klassenfotos bereits in der Vergangenheit für Jahrbücher verwendet habe. Es stelle ein widersprüchliches Verhalten dar, die Veröffentlichung von Fotos einerseits strikt abzulehnen und sich andererseits auf Fotos ablichten zu lassen, die offensichtlich dem Zweck der Veröffentlichung dienten.

Das Oberverwaltungsgericht bestätigte diese Entscheidung und lehnte den Antrag des Klägers auf Zulassung der Berufung ab. Der Kläger habe keine Gründe dargelegt, warum entgegen der nachvollziehbaren Wertung des Verwaltungsgerichts in der Abwägung zwischen dem Informationsinteresse und der Persönlichkeitsrechte die klägerischen Belange hätten höher zu bewerten sein müssen. Auch den vom Verwaltungsgericht aufgezeigten Widerspruch in seinem Verhalten habe er nicht überzeugend auflösen können.

Beschluss vom 2. April 2020, Aktenzeichen: 2 A 11539/19.OVG

OLG Stuttgart: Verstöße gegen DSGVO sind regelmäßig auch von Abmahnvereinen abmahnbare Wettbewerbsverstöße - § 13 Absatz 1 Satz 1 TMG wird durch DSGVO verdrängt

OLG Stuttgart
Urteil vom 27.2.2020
2 U 257/19

Das OLG Stuttgart hat entschieden, dass Verstöße gegen die Vorgaben der DSGVO regelmäßig auch von Abmahnvereinen abmahnbare Wettbewerbsverstöße sind. Zudem hat das OLG Stuttgart entschieden, dass § 13 Absatz 1 Satz 1 TMG durch DSGVO verdrängt wird.

Aus den Entscheidungsgründen:

"Die Klage ist auch hinsichtlich des Hilfsantrages aus den oben dargestellten Gründen zulässig. Insbesondere steht es dem Kläger zu, gemäß § 8 Absatz 3 Nr. 2 UWG Unterlassungsansprüche zu verfolgen, die sich aus Verstößen gegen die Datenschutz-Grundverordnung ergeben.

Durch die Datenschutz-Grundverordnung werden die Rechtsbehelfe nicht abschließend geregelt, so dass die nationalen Bestimmungen der § 8 Absatz 1 und Absatz 3 Nr. 2 i.V.m. § 3a UWG anwendbar bleiben, wenn es sich um einen Verstoß gegen eine Marktverhaltensregelung handelt (so auch OLG Hamburg, Urteil vom 25. Oktober 2018 – 3 U 66/17, juris Rn. 56 m. zust. Anm. Janßen, jurisPR-ITR 25/2018 Anm. 2; Wolff, ZD 2018, 248; Laoutoumai/Hoppe, K&R 2018, 533; Schreiber, GRUR-Prax 2018, 371).

1. Bestimmungen einer EU-Verordnung sind nicht von sich aus abschließend. Der Rechtsakt einer Verordnung hat eine allgemeine Geltung, ist in allen Teilen verbindlich und gilt unmittelbar in jedem Mitgliedstaat (Artikel 288 Absatz 2 AEUV). Sieht die Verordnung den Erlass von weitergehenden nationalen Regelungen nicht ausdrücklich vor, können Mitgliedstaaten nationale Normen auch dann anwenden, wenn diese die unmittelbare Anwendbarkeit der Verordnung nicht vereiteln, deren gemeinschaftliche Natur nicht verbergen und die Ausübung des durch die betreffende Verordnung verliehenen Ermessens innerhalb der Grenzen dieser Vorschriften konkretisieren (EuGH, Urteil vom 14. Oktober 2004 – C-113/02, Rn. 16). Dabei ist unter Bezugnahme auf die einschlägigen Bestimmungen der Verordnung zu prüfen, ob diese Bestimmungen, ausgelegt im Licht ihrer Ziele, es den Mitgliedstaaten verbieten, gebieten oder gestatten, bestimmte nationale Normen anzuwenden, und insbesondere im letztgenannten Fall, ob sie sich in den Rahmen des den einzelnen Mitgliedstaaten eingeräumten Wertungsspielraums einfügen (EuGH, Urteil vom 21. Dezember 2011 – C-316/10, Rn. 43).

2. Bei der Auslegung der Verordnung zur Frage, ob sie den Mitgliedsstaaten die Anwendung bestimmter nationaler Normen zur Rechtsdurchsetzung gestattet, ist von dem maßgeblichen Interesse eines jeden Normgebers auszugehen, dass die von ihm erlassenen Bestimmungen von allen Adressaten befolgt werden. Auf diesem Grundinteresse basiert auch die in Artikel 4 Absatz 3 EUV und Artikel 197 Absatz 1 AEUV verankerte Verpflichtung der Mitgliedstaaten zur effektiven Durchführung des Unionsrechts. Allgemein setzt dies ein wirksames System der Kontrolle und Rechtsverfolgung voraus. Je engmaschiger dieses Netz, desto mehr wird der Willen des Normgebers durchgesetzt.

Die Interessenlage kann sich in diesem Bereich anders darstellen als bei der Harmonisierung des materiellen Rechts. Dort kann der Zweck darauf gerichtet sein, nicht nur Mindest-, sondern auch Höchstanforderungen aufzustellen. Es erleichtert den grenzüberschreitenden Verkehr von Waren und Dienstleistungen, wenn sich der Unternehmer nicht darauf einstellen muss, dass im Ausland noch höhere Anforderungen an ihn gestellt werden als im Mitgliedstaat seines Sitzes. Dass Teile der Datenschutz-Grundverordnung das materielle Recht vollständig harmonisieren, wird in der Literatur angenommen (statt aller: Franzen in Franzen/Gallner/Oetker, Kommentar zum europäischen Arbeitsrecht, 3. Aufl. 2020, Art. 88 DSGVO Rn. 7 ff). Diese Erwägung lässt allerdings noch keine Rückschlüsse darauf zu, dass dies auch für die Rechtsdurchsetzung gelten soll.

3. Bereits nach dem allgemeinen Kompetenzgefüge der Europäischen Union sind die Mitgliedstaaten verpflichtet, die in einer Verordnung begründeten Rechte zu schützen, namentlich durch die nationalen Gerichte (EuGH, Urteil vom 10. Oktober 1973 – 34/73, Rn. 8). Dieser allgemeinen Aufteilung folgt auch die Datenschutz-Grundverordnung, indem sie die Zuständigkeit der nationalen Gerichte für Klagen begründet (Artikel 78 Absatz 3, Artikel 79 Absatz 2, Artikel 82 Absatz 6 DSGVO) und darüber hinaus die Mitgliedstaaten verpflichtet, Aufsichtsbehörden einzurichten (Artikel 51 Absatz 1 DSGVO). Dabei gibt die Verordnung lediglich vor, dass dem einzelnen ein Zugang zum Rechtsschutz gewährt werden muss durch ein Klagerecht bzw. ein Recht auf Beschwerde bei der Aufsichtsbehörde. Daraus folgt, dass die nähere Ausgestaltung der Rechtsdurchsetzung in die Verantwortung der Mitgliedstaaten fällt.

4. Ist mithin davon auszugehen, dass der Normgeber die effektive Durchsetzung der durch ihn verliehenen Rechte beansprucht und gibt er – wie hier – die Zuständigkeit zur Ausgestaltung des Prozessrechts an die Mitgliedstaaten, muss vom Grundsatz her jede nationale Maßnahme, die geeignet ist, die Rechtsdurchsetzung zu erleichtern, als zulässig angesehen werden. Etwas anderes kann nur angenommen werden, wenn sich aus der Verordnung selbst mit hinreichender Klarheit ergibt, dass weitergehende nationale Maßnahmen, die die Rechtsdurchsetzung erleichtern, unzulässig sein sollen.

Aus der Datenschutz-Grundverordnung ergibt sich jedoch nicht – schon gar nicht mit der hierfür gebotenen Klarheit –, dass es den Mitgliedstaaten verwehrt sein soll, Wettbewerbsverbänden eine Klagebefugnis einzuräumen.

a) Die Rechtsdurchsetzung auf dem zivilen Rechtsweg wird durch die Verordnung in keiner Weise eingeschränkt. Zwar kommt den Aufsichtsbehörden eine wichtige Rolle bei der Durchsetzung der Datenschutz-Grundverordnung zu. Die Verordnung beschneidet aber auch nicht die Rechtsdurchsetzung privater Rechte auf dem Zivilrechtsweg. Vielmehr stehen Maßnahmen der Aufsichtsbehörde, die u.a. Sanktionen verhängen kann, und die privatrechtliche Durchsetzung von Schadensersatzansprüchen unabhängig nebeneinander und sind gleichrangig.

aa) Durch die Einrichtung der Aufsichtsbehörden wollte der Verordnungsgeber die Rechtsstellung der Unionsbürger verbessern. Jede betroffene Person hat das Recht auf Beschwerde bei einer Aufsichtsbehörde, wenn sie der Ansicht ist, dass die Verarbeitung der sie betreffenden personenbezogenen Daten gegen diese Verordnung verstößt (Artikel 77 Absatz 1 DSGVO). Die Aufsichtsbehörden sind u.a. dazu befugt, Verantwortliche zu warnen, zu verwarnen, ihnen bestimmte Maßnahmen aufzuerlegen und gegen sie Sanktionen zu verhängen (Artikel 58 Absatz 2 lit. a, b, g, i und Artikel 83 DSGVO).

bb) Eine Einschränkung bestehender Befugnisse zur Rechtsdurchsetzung war nicht bezweckt. Vielmehr sollte durch die Datenschutz-Grundverordnung ersichtlich nur ein Mindeststandard für den Rechtsschutz der betroffenen Person und desjenigen, dem durch Verstöße gegen die Verordnung ein Schaden entstanden ist, geregelt werden.

Das Beschwerderecht der betroffenen Person (Artikel 4 Nr. 1 DSGVO) besteht „unbeschadet eines anderweitigen verwaltungsrechtlichen oder gerichtlichen Rechtsbehelfs“ (Artikel 77 Absatz 1 DSGVO). Die Verordnung stellt die individuelle gerichtliche Geltendmachung von Ansprüchen – etwa vor einem Zivilgericht – der behördlichen Rechtsdurchsetzung gleich. Unabhängig von dem Recht, sich an eine zuständige Aufsichtsbehörde zu wenden, gewährt Artikel 79 Absatz 1 DSGVO jeder betroffenen Person einen Rechtsbehelf gegen Verantwortliche oder Auftragsverarbeiter, wenn sie der Ansicht ist, dass die ihr aufgrund dieser Verordnung zustehenden Rechte infolge einer nicht im Einklang mit dieser Verordnung stehenden Verarbeitung ihrer personenbezogenen Daten verletzt wurden (vgl. Mundil in Beck’scher Onlinekommentar Datenschutzrecht, 30. Ed. 1.2.2017, Art. 79 DSGVO Rn. 14). Daneben gewährt Artikel 82 Absatz 1 und 6 DSGVO jeder Person, der wegen eines Verstoßes gegen die Verordnung ein materieller oder immaterieller Schaden entstanden ist, einen gerichtlich durchsetzbaren Anspruch auf Schadensersatz gegen den Verantwortlichen oder gegen den Auftragsverarbeiter.

cc) Insbesondere enthält Artikel 80 DSGVO keine abschließende Regelung für die privatrechtliche Rechtsdurchsetzung. Nicht gefolgt werden kann der Auffassung, aus einem Gegenschluss zu Artikel 80 Absatz 2 DSGVO ergebe sich, dass Mitbewerber und Wettbewerbsverbände nicht klagebefugt seien. Artikel 80 Absatz 2 DSGVO sei als Öffnungsklausel anzusehen, die die Mitgliedstaaten lediglich dazu ermächtige, sog. Datenschutzverbänden eine Klagebefugnis zu verleihen, nicht jedoch auch Mitbewerbern und Wettbewerbsverbänden im Sinne von § 8 Absatz 3 Nr. 2 UWG (so Köhler, WRP 2018, 1269 Rn. 35; ders., WRP 2019, 1279 Rn. 5; ders. in Köhler/Bornkamm/Feddersen, Kommentar zum UWG, 38. Aufl. 2020, § 3a UWG Rn. 1.40f; Barth, WRP 2018, 790 Rn. 16; Baumgartner/Sitte, ZD 2018, 555 [558]; Schmitt, WRP 2019, 27 Rn. 20; Spittka, GRUR-Prax 2019, 4; differenzierend Uebele, GRUR 2019, 694 [697], der zwar Mitbewerbern eine Klagebefugnis einräumt, nicht aber deren Verbänden).

(1) Artikel 80 Absatz 1 DSGVO räumt der betroffenen Person das Recht ein, auch Dritte damit zu beauftragen, ihre Rechte gegenüber der Aufsichtsbehörde, dem Verantwortlichen oder dem Auftragsverarbeiter wahrzunehmen. Dabei soll es sich allerdings um eine Einrichtung, Organisation oder Vereinigung ohne Gewinnerzielungsabsicht handeln, die ordnungsgemäß nach dem Recht eines Mitgliedstaats gegründet ist, deren satzungsmäßige Ziele im öffentlichem Interesse liegen und die im Bereich des Schutzes der Rechte und Freiheiten von betroffenen Personen in Bezug auf den Schutz ihrer personenbezogenen Daten tätig ist. Weiter können die Mitgliedstaaten vorsehen, dass ebengenannte Einrichtungen, Organisationen oder Vereinigungen unabhängig von einem Auftrag der betroffenen Person in diesem Mitgliedstaat das Recht haben, die genannten Rechte einzelner unabhängig von einem Auftrag der betroffenen Person wahrzunehmen (Artikel 80 Absatz 2 DSGVO). Die Voraussetzungen des Artikel 80 Absatz 1 DSGVO erfüllt der Kläger als Verband zur Förderung gewerblicher oder selbständiger beruflicher Interessen nicht.

(2) Dem Verlauf der Beratungen in der Ratsarbeitsgruppe lässt sich ein abschließender Charakter von Artikel 80 Absatz 2 DSGVO jedoch nicht entnehmen.

Die Regelung geht auf einen Vorschlag der französischen Delegation zurück, die den Gedanken eingebracht hat, dass die Wahrung der Einhaltung der Datenschutzrechte durch Verbände eine effektive Möglichkeit zu deren Rechtsdurchsetzung darstellt. Dabei schwebte der Initiative vor, die Mitgliedstaaten zum Erlass effektiver Verfahrensregelungen zu verpflichten (Ratsdokument 7586/1/15 REV 1, S. 22/23). Der Vorsitz griff diesen Vorschlag als neuen Artikel 76 Absatz 2 des Entwurfs auf, jedoch ohne eine Umsetzungsverpflichtung vorzusehen (Ratsdokument 7722/15, S. 16). In den Beratungen wurde die Frage erörtert, ob die Mitgliedstaaten zur Einräumung der Klagebefugnis verpflichtet werden sollten, wofür sich neben der französischen Delegation auch die Europäische Kommission einsetzte (Ratsdokument 8371/15, S. 15 Fn. 36). Mit der beschlossenen Fassung fanden die Delegationen einen Kompromiss (Ratsdokument 8383/15, S. 18 Fn. 34).

Aus den Materialien ergibt sich jedoch keine Stellungnahme von Delegationen, die die Bezugnahme auf den Absatz 1 für erforderlich hielten, um auszuschließen, dass anderen Verbänden, die nicht die Anforderungen eines Datenschutzverbandes erfüllten, eine Klagebefugnis eingeräumt wird. Die Europäische Kommission sprach sich für die Bezugnahme auf die Verbandsdefinition in Absatz 1 aus. Den Materialien lässt sich jedoch nicht entnehmen, dass es ihr Ziel war, weitergehende Klagebefugnisse auszuschließen. Vielmehr wollte sie erreichen, dass ein anerkannter Datenschutzverband die Rechte auch in einem anderen Mitgliedstaat verfolgen könnte. Hierin sah die Europäische Kommission den eigentlichen Mehrwert der Regelung (Ratsdokument 8371/15, Seite 15 Fn. 38).

Wie diese Äußerung und auch die weiteren Stellungnahmen zeigen, sind die Delegationen davon ausgegangen, dass eine Regelung der Klagebefugnis in den Kompetenzbereich der Mitgliedstaaten fällt. Die portugiesische Delegation hat darauf hingewiesen, dass die Befugnisse übriger Verbände nicht ausgeschlossen werden sollen (Ratsdokument 8371/15 Fn. 37). Die französische Delegation hat, nachdem sie ihr Ziel einer verpflichtenden Regelung nicht durchsetzen konnte, angemerkt, dass es einer Regelung nicht bedürfe, wenn sie keine Verpflichtung enthalte (Ratsdokument 8383/15 S. 18, Fn. 36).

Aus dem Umstand, dass die Delegationen in dem Willensbildungsprozess als kleinsten gemeinsamen Nenner eine Regelung gefunden haben, die nur das ausdrückt, was allgemein anerkannt ist – nämlich, dass die Mitgliedstaaten Datenschutzverbänden eine Klagebefugnis einräumen können – kann jedoch nicht geschlossen werden, dass andere allgemein anerkannte Befugnisse der Mitgliedstaaten – die Einräumung noch weitergehender Klagebefugnisse – eingeschränkt werden sollten. Die Ratsdokumente enthalten keinen Hinweis darauf, dass eine derartige Regelung getroffen werden sollte.

dd) Auch den Erwägungsgründen 11 und 13 kann nicht entnommen werden, dass die Sanktionen und die Rechtsdurchsetzung in der Datenschutz-Grundverordnung abschließend geregelt seien (so aber Köhler, WRP 2018, 1269 Rn. 24; Ohly, GRUR 2019, 686 [688]).

Zwar ist dort die Rede davon, dass in den Mitgliedstaaten die gleichen Befugnisse bei der Überwachung und Gewährleistung der Einhaltung der Vorschriften zum Schutz personenbezogener Daten sowie die gleichen bzw. gleichwertigen Sanktionen im Falle ihrer Verletzung erforderlich sind. Als Sanktionen in diesem Sinne sind indes die von den Aufsichtsbehörden zu ergreifenden Maßnahmen (Artikel 58 Absatz 2 DSGVO), insbesondere die zu verhängenden Geldbußen (Artikel 58 Absatz 2 lit. i DSGVO), zu verstehen, für die es in Artikel 83 DSGVO eine ausgestaltende Regelung zur Höhe und zu den Bemessungskriterien gibt. Die zivilrechtliche Verfolgung von Ansprüchen durch Private stellt jedoch keine Sanktion in diesem Sinne dar. Wie die Überschrift zu Kapitel VIII belegt, unterscheidet die Verordnung zwischen Rechtsbehelfen, Haftung und Sanktionen (zutreffend Uebele, GRUR 2019, 694 [698]).

5. Die Klagebefugnis der Verbände gemäß § 8 Absatz 3 Nr. 2 UWG fügt sich in den Wertungsrahmen der Datenschutz-Grundverordnung ein.

Die Verfolgung von Wettbewerbsverstößen durch Mitbewerber und Wettbewerbsverbände hat sich als schlagkräftiges Instrument bewährt (Entwurf der Bundesregierung für ein Gesetz gegen den unlauteren Wettbewerb, Bundestag Drucksache 15/1487, S. 22). Zwar sind die Mitgliedstaaten nach Artikel 52 Absatz 4 DSGVO verpflichtet, die Aufsichtsbehörden mit den erforderlichen Ressourcen auszustatten, damit sie ihre Aufgaben effektiv wahrnehmen können. Da allerdings alle Ressourcen begrenzt sind und jede Behörde Schwerpunkte und Prioritäten setzen muss, können die Mitbewerber und Wettbewerbsverbände auch bei der Überwachung der Datenschutzregeln einen wesentlichen Beitrag leisten. Damit dient die ihnen zustehende Klagebefugnis der effektiven Durchsetzung der Verordnung, die im Interesse des Verordnungsgebers liegt und die sich damit in den in den Rahmen des den einzelnen Mitgliedstaaten eingeräumten Wertungsspielraums einfügt. Da sich aus Artikel 77 ff. DSGVO der Grundsatz entnehmen lässt, dass weitergehende Rechtsbehelfe unberührt bleiben, gilt für die Befugnis von Verbänden nichts anderes (Laoutoumai/Hoppe, K&R 2018, 533 [535]).

II. Die Klage ist auch begründet. Der Unterlassungsanspruch folgt aus § 8 Absatz 1 UWG i.V.m. §§ 3, 3a UWG und Artikel 13 DSGVO.

1. Wer eine nach § 3 UWG unzulässige geschäftliche Handlung vornimmt, kann gemäß § 8 Absatz 1 Satz 1 UWG bei Wiederholungsgefahr auf Unterlassung in Anspruch genommen werden. Nach § 3a UWG begeht eine im Sinne von § 3 Absatz 1 UWG unzulässige geschäftliche Handlung, wer einer gesetzlichen Vorschrift zuwiderhandelt, die auch dazu bestimmt ist, im Interesse der Marktteilnehmer das Marktverhalten zu regeln, wenn der Verstoß geeignet ist, die Interessen von Verbrauchern, sonstigen Marktteilnehmern oder Mitbewerbern spürbar zu beeinträchtigen.

Die Anwendung von § 3a UWG wird durch die vollharmonisierende UGP-Richtlinie nicht gesperrt, da diese selbst vorsieht, dass Rechtsvorschriften der Gemeinschaft, die besondere Aspekte unlauterer Geschäftspraktiken regeln, vorgehen und maßgebend sind (Artikel 3 Absatz 4 UGP-Richtlinie). Die in Erwägungsgrund Nr. 10 zur UGP-Richtlinie genannten Richtlinien sind nicht abschließend (Micklitz/Namysłowska in Münchener Kommentar zum UWG, 3. Aufl. 2020, Art. 3 UGP-Richtlinie Rn. 35). Auch datenschutzrechtliche Bestimmungen können besondere Aspekte unlauterer Geschäftspraktiken regeln, wie der letzte Satz des Erwägungsgrundes 14 zur UGP-Richtlinie zeigt. Es hängt von den Regelungen im Einzelfall ab, welche Verordnung einen bestimmten Aspekt unlauterer Geschäftspraktiken speziell regelt. Für die datenschutzrechtlichen Informationspflichten ist Artikel 13 DSGVO maßgebend. Nicht erforderlich ist damit ein Rückgriff auf § 5a Absatz 2 und 4 UWG. Diese Bestimmung regelt in Umsetzung von Artikel 7 UGP-Richtlinie den Unlauterkeitstatbestand des Vorenthaltens einer für eine informierte geschäftliche Entscheidung des Verbrauchers erforderlichen wesentlichen Information.

2. Mit dem Inserat auf der Internethandelsplattform hat der Beklagte gegen Artikel 13 DSGVO verstoßen.

a) Es liegt eine geschäftliche Handlung im Sinne von § 3 Absatz 1 UWG vor. Als solche gilt jedes Verhalten einer Person zugunsten des eigenen oder eines fremden Unternehmens vor, bei oder nach einem Geschäftsabschluss, das mit der Förderung des Absatzes oder des Bezugs von Waren oder Dienstleistungen oder mit dem Abschluss oder der Durchführung eines Vertrags über Waren oder Dienstleistungen objektiv zusammenhängt. Dies ist bei einem Inserat mit der Möglichkeit der Kontaktaufnahme und Bestellmöglichkeit der Fall.

Der Beklagte hat auch für sein Unternehmen gehandelt. Unternehmer ist nach der Legaldefinition des § 14 Absatz 1 BGB eine Person, die bei Abschluss eines Rechtsgeschäfts in Ausübung ihrer gewerblichen oder selbständigen beruflichen Tätigkeit handelt. Eine gewerbliche Tätigkeit setzt ein selbständiges und planmäßiges, auf eine gewisse Dauer angelegtes Anbieten entgeltlicher Leistungen am Markt voraus (BGH, Urteil vom 04. Dezember 2008 – I ZR 3/06, juris Rn. 33 – Ohrclips). Diese Voraussetzungen liegen unstreitig vor, nachdem sich der Beklagte selbst auf der Handelsplattform als gewerblicher Verkäufer präsentiert.

b) Werden personenbezogene Daten bei der betroffenen Person erhoben, so hat der Verantwortliche zur Erhebung der Daten Informationen zu erteilen. Teilweise hängen die Informationspflichten davon ab, ob bestimmte Umstände vorliegen (Artikel 13 Absatz 1 lit. a (2. Alt.), lit. b, d, e, f, Artikel 13 Absatz 2 lit. c, f und Artikel 13 Absatz 3). Da zu dem Vorliegen solcher Umstände nichts vorgetragen ist, kann lediglich festgestellt werden, dass der Beklagte vor der Entgegennahme personenbezogener Daten der Käufer und Interessenten über folgende Umstände zu informieren hatte:

(1) den Namen und die Kontaktdaten des Verantwortlichen (Artikel 13 Absatz 1 lit. a DSGVO);

(2) die Zwecke, für die die personenbezogenen Daten verarbeitet werden sollen, sowie die Rechtsgrundlage für die Verarbeitung (Artikel 13 Absatz 1 lit. c DSGVO);

(3) die Dauer, für die die personenbezogenen Daten gespeichert werden oder, falls dies nicht möglich ist, die Kriterien für die Festlegung dieser Dauer (Artikel 13 Absatz 2 lit. a DSGVO);

(4) das Bestehen eines Rechts auf Auskunft seitens des Verantwortlichen über die betreffenden personenbezogenen Daten sowie auf Berichtigung oder Löschung oder auf Einschränkung der Verarbeitung oder eines Widerspruchsrechts gegen die Verarbeitung sowie des Rechts auf Datenübertragbarkeit (Artikel 13 Absatz 2 lit. b DSGVO);

(5) das Bestehen eines Beschwerderechts bei einer Aufsichtsbehörde (Artikel 13 Absatz 2 lit. d DSGVO) und

(6) ob die Bereitstellung der personenbezogenen Daten gesetzlich oder vertraglich vorgeschrieben oder für einen Vertragsabschluss erforderlich ist, ob die betroffene Person verpflichtet ist, die personenbezogenen Daten bereitzustellen, und welche möglichen Folgen die Nichtbereitstellung hätte (Artikel 13 Absatz 2 lit. e DSGVO).

Unstreitig hat der Beklagte diese Informationen nicht vorgehalten. Er ist als Verantwortlicher im Sinne von Artikel 4 Nr. 7 DSGVO anzusehen, da er Daten der Käufer und Kaufinteressenten, die sich mit ihm in Verbindung setzen, erhebt und über die Zwecke und Mittel der so erhobenen personenbezogenen Daten entscheidet. Die zu erteilenden Informationen waren den Käufern bzw. Interessenten auch nicht auf andere Weise bekannt (Artikel 13 Absatz 3 DSGVO).

c) Bei den genannten Bestimmungen der Datenschutz-Grundverordnung handelt es sich um Marktverhaltensregelungen im Sinne von § 3a UWG.

aa) Teilweise wird den Bestimmungen der Datenschutz-Grundverordnung der Marktbezug allerdings insgesamt abgesprochen (Köhler, WRP 2018, 1269 Rn. 22; zum abgelaufenen Recht: OLG München, Urteil vom 12. Januar 2012 – 29 U 3926/11, juris Rn. 29). Dem wird entgegengehalten, dass die Verordnung nach Erwägungsgrund 9 Satz 3 auch eine wettbewerbsrechtliche Zielsetzung habe (Wolff, ZD 2018, 248).

Vermittelnd wird vertreten, dass datenschutzrechtliche Bestimmungen im Allgemeinen dem Schutz der Persönlichkeitsrechte dienen und sie einen wettbewerbsrechtlichen Bezug nur aufweisen, soweit es um die Zulässigkeit der Erhebung, Verarbeitung oder Nutzung von Daten geht, etwa zu Zwecken der Werbung, der Meinungsforschung, der Erstellung von Nutzerprofilen, des Adresshandels oder sonstiger kommerzieller Zwecke (Schaffert in: Münchener Kommentar zum Lauterkeitsrecht, 3. Aufl. 2020, § 3a UWG Rn. 81; Schreiber, GRUR-Prax 2019, 4; diesen Ansatz verfolgend: OLG Frankfurt, Urteil vom 13. Dezember 2000 – 13 U 204/98, juris Rn. 37; zur DSGVO: OLG Sachsen-Anhalt, Urteil vom 07. November 2019 – 9 U 39/18, Rn. 57; Barth, WRP 2018, 790 Rn. 26; Baumgartner/Sitte, ZD 2018, 555 [557]; zur Nutzung personenbezogener Daten ohne Einwilligung: OLG Köln, Urteil vom 19. November 2010 – I-6 U 73/10, juris Rn. 13). In diesem Sinne hat der Senat bereits ausgesprochen, dass die konkrete Norm auf ihren Marktbezug zu untersuchen ist (OLG Stuttgart, Urteil vom 22. Februar 2007 – 2 U 132/06, juris Rn. 27). Das Datenschutzrecht mit seinen facettenreichen Verzweigungen verfolgt nicht allein einen einzelnen Schutzzweck. Daher verbietet sich eine generalisierende Betrachtung (Schmitt, WRP 2019, 27 Rn. 12).

bb) Als Marktverhalten im Sinne von § 3a UWG ist jede Tätigkeit auf einem Markt anzusehen, die objektiv der Förderung des Absatzes oder des Bezugs von Waren oder Dienstleistungen dient und durch die ein Unternehmer auf Mitbewerber, Verbraucher oder sonstige Marktteilnehmer einwirkt (OLG Stuttgart, Urteil vom 08. Juni 2017 - 2 U 127/16, juris Rn. 28 – Extraportion Vitamin C). Eine Norm regelt das Marktverhalten im Interesse der Mitbewerber, Verbraucher oder sonstigen Marktteilnehmer, wenn sie einen Wettbewerbsbezug in der Form aufweist, dass sie die wettbewerblichen Belange der als Anbieter oder Nachfrager von Waren oder Dienstleistungen in Betracht kommenden Personen schützt (BGH, Urteil vom 08. Oktober 2015 – I ZR 225/13, juris Rn. 21 – Eizellspende). Eine Vorschrift, die dem Schutz von Rechten, Rechtsgütern oder sonstigen Interessen von Marktteilnehmern dient, ist eine Marktverhaltensregelung, wenn das geschützte Interesse gerade durch die Marktteilnahme, also durch den Abschluss von Austauschverträgen und den nachfolgenden Verbrauch oder Gebrauch der erworbenen Ware oder in Anspruch genommenen Dienstleistung berührt wird (BGH, Urteil vom 27. April 2017 – I ZR 215/15, juris Rn. 20 – Aufzeichnungspflicht). Nicht erforderlich ist dabei eine spezifisch wettbewerbsbezogene Schutzfunktion in dem Sinne, dass die Regelung die Marktteilnehmer speziell vor dem Risiko einer unlauteren Beeinflussung ihres Marktverhaltens schützt (BGH, Urteil vom 04. November 2010 – I ZR 139/09, juris Rn. 34). Die Vorschrift muss aber zumindest auch den Schutz der wettbewerblichen Interessen der Marktteilnehmer bezwecken (BGH, Urteil vom 28. November 2019 – I ZR 23/19, juris Rn. 24 – Pflichten des Batterieherstellers).

cc) Nach diesen Maßstäben, denen zufolge nicht nur die Interessen der Mitbewerber, sondern aller Marktteilnehmer einzubeziehen sind, liegt hinsichtlich aller Informationspflichten ein Marktbezug vor.

(1) Die Kenntnis des Namens und der Kontaktdaten des Verantwortlichen (Artikel 13 Absatz 1 lit. a DSGVO) hat eine verbraucherschützende Funktion und weist den erforderlichen wettbewerblichen Bezug auf. Sie erleichtert die Kommunikation mit dem Unternehmen (zur Anbieterkennzeichnung bei Telemediendiensten: BGH, Urteil vom 20. Juli 2006 – I ZR 228/03, juris Rn. 15). In diesem Sinne auch als verbraucherschützend mit Marktbezug zu werten sind die Information über die in Artikel 13 Absatz 2 lit. b DSGVO angesprochenen Rechte gegen den Verantwortlichen sowie der Hinweis auf das Beschwerderecht gegenüber der Aufsichtsbehörde (Artikel 13 Absatz 2 lit. d DSGVO).

(2) Einen nicht nur persönlichkeitsschützenden Charakter, sondern auch wettbewerblichen Bezug hat ferner die Information über die Zwecke, für die die personenbezogenen Daten verarbeitet werden sollen, sowie die Rechtsgrundlage für die Verarbeitung (Artikel 13 Absatz 1 lit. c DSGVO) und darüber, ob die Bereitstellung der Daten gesetzlich oder vertraglich vorgeschrieben oder für einen Vertragsabschluss erforderlich ist, ob die betroffene Person verpflichtet ist, die personenbezogenen Daten bereitzustellen, und welche möglichen Folgen die Nichtbereitstellung hätte (Artikel 13 Absatz 2 lit. e DSGVO). Einen Marktbezug hat schließlich auch die Pflicht zur Erteilung der Information über die Dauer, für die die personenbezogenen Daten gespeichert werden oder, falls dies nicht möglich ist, die Kriterien für die Festlegung dieser Dauer (Artikel 13 Absatz 2 lit. a DSGVO).

Dem Interesse der Verbraucher und sonstigen Marktteilnehmer dient eine Norm, wenn sie deren Informationsinteresse und Entscheidungs- und Verhaltensfreiheit in Bezug auf die Marktteilnahme schützt (Köhler in: Köhler/Bornkamm/Feddersen/Köhler, a.a.O., § 3a UWG Rn. 1.67). Dies ist hier der Fall. Bereits durch den Geschäftskontakt als solchen werden datenschutzrechtliche Belange des Interessenten berührt und entsprechende Pflichten des Unternehmers begründet.

Die Entscheidung des Interessenten für eine Anbahnung des Vertrages stellt eine geschäftliche Entscheidung dar. Der Begriff der „geschäftlichen Entscheidung“ umfasst nicht nur die Entscheidung über den Erwerb oder Nichterwerb eines Produkts, sondern auch damit unmittelbar zusammenhängende Entscheidungen wie die Kontaktaufnahme mit dem Anbieter (BGH, Urteil vom 28. April 2016 – I ZR 23/15, juris Rn. 34 – Geo-Targeting). Die Entscheidung, mit dem Anbieter über Fernkommunikationsmittel in Kontakt zu treten, ist mithin untrennbar mit der Übermittlung personenbezogener Daten verknüpft ist (in diesem Sinne auch OLG Hamburg, Urteil vom 27. Juni 2013 – 3 U 26/12, juris Rn. 58 zu § 13 TMG). Die zu erteilenden Informationen dienen damit auch der Entscheidung des Verbrauchers, mit dem Unternehmen überhaupt in Kontakt zu treten und in diesem Zuge Daten zu übermitteln.

Für den Verbraucher kann für die Anbahnung des Geschäftes auch von Bedeutung sein, für welchen Zweck die Daten verarbeitet und wie lange sie gespeichert werden sollen. Je weiter die Zweckerklärung reicht und je länger die Daten gespeichert werden, desto eher besteht die Gefahr für eine vom Verbraucher unerwünschte Datenverarbeitung durch den Unternehmer oder gar für einen Datenmissbrauch durch Dritte. Insbesondere in den Fällen einer kostenlosen oder günstigen Gegenleistung erkennen Verbraucher durchaus, dass die Verarbeitung ihrer Daten Teil des Geschäftsmodells ist. Die zu erteilenden Informationen zur Datenerhebung stellen somit Informationen dar, die dem Verbraucher eine informierte Entscheidung über die Geschäftsanbahnung ermöglichen.

Dass die mit dem Geschäftskontakt betroffenen datenschutzrechtlichen Belange nicht getrennt hiervon betrachtet werden können, zeigt auch der Umstand, dass Artikel 13 DSGVO nicht (nur) im Sinne einer persönlichkeitsschützenden Norm dazu dient, dem Verbraucher die notwendigen Informationen zu erteilen, um eine wirksame Einwilligung „in informierter Weise“ (Artikel 4 Nr. 11 DSGVO) zu erteilen (Artikel 7 Absatz 1 DSGVO). Vielmehr ist der Verbraucher auch dann über die Zwecke der Datenverarbeitung und deren Rechtsgrundlagen aufzuklären, wenn seine Einwilligung nicht erforderlich ist, weil bereits die Erforderlichkeit der Datenverarbeitung für die Erfüllung des Vertrags oder zur Durchführung vorvertraglicher Maßnahmen deren Rechtmäßigkeit begründet (vgl. Artikel 6 Absatz 1 Satz 1 lit. b DSGVO).

3. Der Verstoß ist auch geeignet, die Interessen von Verbrauchern, sonstigen Marktteilnehmern oder Mitbewerbern spürbar zu beeinträchtigen. Spürbarkeit ist dann zu bejahen, wenn eine Beeinträchtigung der geschützten Interessen nicht nur theoretisch, sondern auch tatsächlich mit einer gewissen Wahrscheinlichkeit eintreten kann (OLG Stuttgart, Urteil vom 05. Juli 2018 – 2 U 167/17, juris Rn. 31).

a) Besteht der Verstoß gegen eine Marktverhaltensregelung darin, dass dem Verbraucher eine wesentliche Information vorenthalten wird, ist dieser Verstoß nur dann spürbar im Sinne von § 3a UWG, wenn er die ihm vorenthaltene wesentliche Information je nach den Umständen benötigt, um eine informierte Entscheidung zu treffen, und deren Vorenthalten geeignet ist, den Verbraucher zu einer geschäftlichen Entscheidung zu veranlassen, die er andernfalls nicht getroffen hätte (BGH, Urteil vom 31. Oktober 2018 – I ZR 73/17, juris Rn. 31 – Jogginghosen).

Den Unternehmer, der geltend macht, dass der Verbraucher – abweichend vom Regelfall – eine ihm vorenthaltene wesentliche Information für eine Kaufentscheidung nicht benötigt und dass das Vorenthalten dieser Information den Verbraucher nicht zu einer anderen Kaufentscheidung veranlassen kann, trifft insoweit allerdings eine sekundäre Darlegungslast (BGH, Urteil vom 02. März 2017 – I ZR 41/16, juris Rn. 32 – Komplettküchen). Der Verbraucher wird eine wesentliche Information im Allgemeinen für eine informierte geschäftliche Entscheidung benötigen. Ebenso wird, sofern im konkreten Fall keine besonderen Umstände vorliegen, grundsätzlich davon auszugehen sein, dass das Vorenthalten einer wesentlichen Information, die der Verbraucher nach den Umständen benötigt, um eine informierte Entscheidung zu treffen, geeignet ist, den Verbraucher zu einer geschäftlichen Entscheidung zu veranlassen, die er bei der geboten gewesenen Information nicht getroffen hätte (BGH, Urteil vom 07. März 2019 – I ZR 184/17, juris Rn. 27 – Energieeffizienzklasse III).

b) Aus den Gründen, aus denen die Informationspflichten gemäß Artikel 13 DSGVO als Marktverhaltensregelungen einzuordnen sind, ist ein hiergegen gerichteter Verstoß regelmäßig als spürbar zu bewerten. Der Beklagte hat auch keinen Vortrag dazu gehalten, der in Zweifel ziehen würde, dass der Verbraucher die zu erteilenden Informationen abweichend vom Regelfall nicht für eine informierte Entscheidung, mit ihm über das Internetportal zur Geschäftsanbahnung in Kontakt zu treten, benötigen würde.

5. Der Anspruch ist auch nicht verjährt.

Die vor Ablauf der Verjährungsfrist am 19.10.2018 zugestellte Klage war zunächst darauf gerichtet, die konkrete Verletzungsform unter dem Aspekt untersagen zu lassen, dass eine Webseite betrieben werde, ohne eine Datenschutzerklärung vorzuhalten. Da dieser rechtliche Gesichtspunkt sowohl nach Maßgabe des § 13 TMG als auch nach Maßgabe von Artikel 13 DSGVO zu prüfen war, schadet die spätere Aufteilung in zwei Streitgegenstände nicht. Unerheblich ist, dass die Vorgaben an den Inhalt die zu erteilenden Informationen über die Datenerhebung teilweise voneinander abweichen. Der Kläger hat insoweit die vollständig unterbliebene Erklärung beanstandet; dies deckt die Beurteilung nach beiden Bestimmungen ab. Die nach § 204 Absatz 1 Nr. 1 BGB eintretende Hemmung der Verjährung erfasst damit auch beide rechtliche Gesichtspunkte."

Den Volltext der Entscheidung finden Sie hier:




LG Heidelberg: Kein Auskunftsanspruch nach Art. 15 DSGVO gegen verarbeitende Stelle wenn der Aufwand unverhältnismäßig ist - Sichtung und Anonymisierung von über 10.000 E-Mails

LG Heidelberg
Urteil vom 06.02.2020
4 O 6/19


Das LG Heidelberg hat entschieden, dass kein Auskunftsanspruch nach Art. 15 DSGVO gegen die verarbeitende Stelle besteht, wenn der Aufwand unverhältnismäßig ist. Vorliegend hat das Gericht eine Unverhältnismäßigkeit bejaht, da die Sichtung und Anonymisierung von über 10.000 E-Mails erforderlich gewesen wäre.

EuGH-Generalanwalt: Keine wirksame Einwilligung nach Art. 6 Abs. 1 lit. a DSGVO wenn Kunde in standardisiertem Vertrag handschriftlich Anfertigung / Speicherung von Ausweiskopien verweigern muss

EuGH-Generalanwalt
Schlussanträge vom 04.03.2020
C‑61/19
Orange România SA gegen Autoritatea Naţională de Supraveghere a Prelucrării Datelor cu Caracter Personal (ANSPDCP)


Der EuGH-Generalanwalt hat sich mit den Anforderungen an die Wirksamkeit einer Einwilligung nach Art. 6 Abs. 1 lit. a DSGVO befasst. Nach Ansicht des EuGH-Generalanwalts liegt keine wirksame Einwilligung nach Art. 6 Abs. 1 lit. a DSGVO vor, wenn ein Mobilfunkkunde in einem standardisierten Vertrag handschriftlich die Anfertigung und Speicherung von Ausweiskopien verweigern muss.

Vorschlag des EuGH-Generalanwalts:

Eine betroffene Person, die ein Vertragsverhältnis über die Erbringung von Mobiltelekommunikationsdiensten mit einem Unternehmen einzugehen beabsichtigt, erteilt dem Unternehmen keine „Einwilligung“, d. h. bekundet nicht „ohne Zwang, für den konkreten Fall und in Kenntnis der Sachlage“ ihren Willen, im Sinne von Art. 2 Buchst. h der Richtlinie 95/46/EG des Europäischen Parlaments und des Rates vom 24. Oktober 1995 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten und zum freien Datenverkehr und von Art. 4 Nr. 11 der Verordnung (EU) 2016/679 des Europäischen Parlaments und des Rates vom 27. April 2016 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten, zum freien Datenverkehr und zur Aufhebung der Richtlinie 95/46/EG (Datenschutz-Grundverordnung), wenn sie auf einem ansonsten standardisierten Vertrag handschriftlich erklären muss, dass sie die Einwilligung in die Anfertigung und Aufbewahrung von Fotokopien ihrer Ausweispapiere verweigert.

Den Volltext finden Sie hier:


VG Mainz: Keine einstweilige Anordnung mit Ziel der Wiederaufnahme und Fortsetzung eines Beschwerdeverfahrens nach Art. 77 DSGVO zur Durchsetzung zivilrechtlicher Ansprüche

VG Mainz
Beschluss vom 29.08.2019
1 L 605/19.MZ


Das VG Mainz hat in diesem Fall den Erlass einer einstweiligen Anordnung mit dem Ziel der Wiederaufnahme und Fortsetzung eines Beschwerdeverfahrens nach Art. 77 DSGVO zur Vorbereitung der Durchsetzung zivilrechtlicher Ansprüche abgelehnt.

Aus den Entscheidungsgründen:

I. Es bestehen bereits Zweifel an der Zulässigkeit des Antrags.

Der Verwaltungsrechtsweg ist gemäß § 20 Abs. 1 Satz 1 Bundesdatenschutzgesetz – BDSG – eröffnet. Das Verwaltungsgericht Mainz ist zuständig. Die örtliche Zuständigkeit ergibt sich hier entweder aus § 52 Nr. 5, Nr. 3 Sätze 3 und 5 Verwaltungsgerichtsordnung – VwGO – oder aus der spezielleren Regelung des § 20 Abs. 3 BDSG (so z.B. Neun/Lubitzsch, BB 2017, 2563 (2564); Pötters/Werkmeister, DS-GVO, 2. Aufl. (2018), Art. 78 Rn. 19). Nach § 52 Nr. 5, Nr. 3 Sätze 3 und 5 VwGO ist das Verwaltungsgericht zuständig, in dessen Bezirk der Antragsgegner seinen Sitz hat. Entsprechend der Regelung in § 52 Nr. 3 Satz 3 VwGO, der auch bei Verpflichtungsklagen Anwendung findet (vgl. W.-R. Schenke, VwGO, 24. Aufl. (2018), § 52 Rn. 12, VG Würzburg, Urteil vom 18. März 2010 – W 1 K 09.1244 –, juris, Rn. 14 f.; ebenso VG Düsseldorf, Urteil vom 19. Mai 2011 – 6 K 4205/10 –, juris, Rn. 19), fehlt es der Antragstellerin an einem Sitz oder Wohnsitz im Zuständigkeitsbereich des Antragsgegners, denn sie gibt an in Spanien zu wohnen. Auch nach § 20 Abs. 3 BDSG ist hier das Verwaltungsgericht Mainz als das Gericht, in dessen Bezirk der Landesbeauftragte für den Datenschutz und die Informationsfreiheit – LfDI – als Aufsichtsbehörde seinen Sitz hat, örtlich zuständig.

Der Antrag der Antragstellerin, der auf eine Fortsetzung des Verfahrens gerichtet ist, ist statthaft gemäß § 123 Abs. 1 VwGO. Da hier die Fortsetzung des Verfahrens Antragsziel ist, könnte die besondere Form der Untätigkeitsklage nach Art. 78 Abs. 2 DSGVO statthaft sein. Danach kann ein gerichtlicher Rechtsbehelf eingelegt werden, wenn sich die Aufsichtsbehörde nicht mit einer Beschwerde befasst oder die betroffene Person nicht innerhalb von drei Monaten über den Stand oder das Ergebnis der nach Art. 77 DSGVO erhobenen Beschwerde in Kenntnis gesetzt hat. Allerdings hat der LfDI als Aufsichtsbehörde hier das Verfahren bereits durch einen rechtsverbindlichen Beschluss, der auch mit einer Rechtsbehelfsbelehrung versehen war, abgeschlossen. Spezieller und damit vorrangig ist vorliegend der gerichtliche Rechtsbehelf gegen die Abschlussverfügung des LfDI nach Art. 78 Abs. 1 DSGVO. Der Antrag ist hier allerdings nicht nur auf die Aufhebung eines Verwaltungsakts bzw. die Anfechtung eines rechtsverbindlichen Beschlusses der Aufsichtsbehörde gerichtet, sondern zumindest auch auf ein Tätigwerden des Antragsgegners. Art. 78 Abs. 1 DSGVO ist aber nicht nur auf Anfechtungsklagen gegen die rechtsverbindlichen Beschlüsse (in der Regel Verwaltungsakte) der Aufsichtsbehörde beschränkt, sondern umfasst darüber hinaus auch Verpflichtungs- und Leistungsklagen zur Gewährung eines effektiven Rechtsschutzes für die betroffene Person (Art. 19 Abs. 4 Grundgesetz – GG –), was sich auch aus dem unionsrechtlichen Grundsatz des effet utile (Art. 4 Abs. 3 des Vertrags über die Europäische Union – EUV –) folgern lässt (vgl. auch Mundil, in: BeckOK DatenschutzR, 28. Ed. (2017), DS-GVO, Art. 78 Rn. 7).

Es ist vorliegend bereits fraglich, ob die Antragstellerin ein Rechtsschutzbedürfnis auf Erlass der begehrten einstweiligen Anordnung hat. Dies kann aber im Ergebnis offenbleiben, da ihr Antrag jedenfalls unbegründet ist (dazu II.). Das Rechtsschutzbedürfnis kann fehlen, wenn der Erlass der einstweiligen Anordnung für den Antragsteller offensichtlich keinerlei rechtliche oder tatsächliche Vorteile bringen kann (vgl. nur W.-R. Schenke, in Kopp/Schenke, VwGO, 22. Aufl. (2016), Vorb. § 40 Rn. 38). Dies könnte hier der Fall sein, da die Antragstellerin mit dem von ihr gestellten Antrag (nur) eine Fortsetzung des Beschwerdeverfahrens erzielen könnte, dessen Ausgang aber offen wäre. Die von der Antragstellerin eigentlich begehrte Auskunft würde sie bei einem Erfolg des Antrags auf Erlass der beantragten einstweiligen Anordnung nicht – jedenfalls nicht unmittelbar und nicht mit Gewissheit – erhalten. Der Antragsgegner selbst kann die begehrte Auskunft nicht erteilen, da er über sie nicht verfügt. Der Umfang der – gerichtlich gegebenenfalls durchsetzbaren – Pflichten der Auskunftsbehörde ist umstritten: So wird die Auffassung vertreten, dass von der Aufsichtsbehörde gemäß Art. 77 Abs. 1 DSGVO und Art. 57 Abs. 1 lit. f) DSGVO nur eine Bearbeitung der Beschwerde bzw. eine zeitnahe Unterrichtung über den Stand und das Ergebnis der Untersuchungen verlangt werden kann, andererseits gibt es aber auch die Rechtsmeinung, dass die Aufsichtsbehörde zu konkreten Maßnahmen verpflichtet werden kann (vgl. zum Meinungsstand Neun/Lubitzsch, BB 2017, 2563 (2564)). Es spricht nach der im Eilverfahren gebotenen summarischen Prüfung der Sach- und Rechtslage nach Auffassung der Kammer einiges dafür, dass der Aufsichtsbehörde ein (weiter) Ermessensspielraum zusteht, ob und welche Maßnahmen sie ergreift, um einen etwaigen Verstoß gegen die DSGVO festzustellen oder einen Auskunftsanspruch des Beschwerdeführers durchzusetzen (so auch SG Frankfurt (Oder), Gerichtsbescheid vom 8. Mai 2019 – S 49 SF 8/19 – openjur; Nemitz, in: Ehmann/Selmayr, DSGVO, 2. Aufl. (2018), Art. 77, Rn. 17; Pötters/Werkmeister, in: Gola, DS-GVO, Art. 77 Rn. 7). Danach kann eine betroffene Person nur Ermessensfehler rügen. Hier begehrt die Antragstellerin aber nicht den Erlass einer ermessensfehlerfreien Entscheidung und etwa einen Anspruch auf behördliches Einschreiten des Antragsgegners gegen die B. GmbH, sondern sie hat nur eine Fortsetzung des Verfahrens beantragt, die ihr keinen unmittelbaren Vorteil bringen kann.

II. Nach § 123 Abs. 1 Verwaltungsgerichtsordnung – VwGO – kann das Verwaltungsgericht einstweilige Anordnungen in Bezug auf den Streitgegenstand oder zur Regelung eines vorläufigen Zustandes hinsichtlich eines streitigen Rechtsverhältnisses treffen, wenn entweder die Gefahr besteht, dass durch eine Veränderung des bestehenden Zustands die Verwirklichung eines Rechts des Antragstellers vereitelt oder wesentlich erschwert werden könnte (§ 123 Abs. 1 Satz 1 VwGO), oder wenn die Regelung notwendig ist, um vom Antragsteller wesentliche Nachteile abzuwenden (§ 123 Abs. 1 Satz 2 VwGO). Der durch die begehrte einstweilige Anordnung vorläufig zu sichernde Anspruch (Anordnungsanspruch) und die Notwendigkeit einer vorläufigen Regelung (Anordnungsgrund) müssen jeweils glaubhaft gemacht worden sein (§ 123 Abs. 3 VwGO i.V.m. § 920 Abs. 2 Zivilprozessordnung – ZPO –). Eine Vorwegnahme der Hauptsache ist dabei grundsätzlich unzulässig. Sie kommt mit Blick auf das Gebot des effektiven Rechtsschutzes nach Art. 19 Abs. 4 Grundgesetz – GG – nur dann in Betracht, wenn ansonsten kein effektiver Rechtsschutz gewährt werden kann.

Unter Beachtung dieser Grundsätze ist die begehrte einstweilige Anordnung nach summarischer Prüfung der Sach- und Rechtslage nicht zu erlassen. Die Antragstellerin hat einen Anordnungsgrund (1.) nicht glaubhaft gemacht. Es kann damit offenbleiben, ob ein Anordnungsanspruch besteht (2.).

1. Es liegt bereits kein Anordnungsgrund vor, da die Antragstellerin schon nicht hinreichend glaubhaft gemacht hat, dass ihr ein Abwarten einer Entscheidung in der Hauptsache nicht zumutbar ist.

Die Antragstellerin hat vorgetragen, sie führe einen Rechtsstreit mit ihrem früheren Anwalt, der sie gegen die B. GmbH vertreten habe. Der Anwalt sei später als Zeuge von der B. GmbH angeboten worden, was dafür spreche, dass er einen Geheimnisverrat begangen habe. Um dies feststellen zu können, benötige sie nunmehr die Auskunft von der B. GmbH. Ansonsten würden „erste“ Ansprüche zum 31. Dezember 2019 verjähren.

Dieser Vortrag der Antragstellerin genügt nicht den Anforderungen an die Glaubhaftmachung eines Anordnungsgrundes im einstweiligen Rechtsschutzverfahren. Die von der Antragstellerin überreichte Anlage SWM 15, die einen Auszug aus einem Schriftsatz der B. GmbH aus einem anderen, nicht näher bezeichneten Gerichtsverfahren enthält, gibt allein die Behauptung der B. GmbH wieder, dass diese vom früheren Anwalt der Antragstellerin bestimmte Informationen erhalten habe, die eine „Briefkastenfirma“ der Antragstellerin in Spanien belegten. Es bleibt gleichwohl unklar und ist von der Antragstellerin nicht ansatzweise substantiiert worden, welche konkreten Ansprüche die Antragstellerin gegen ihren früheren Prozessbevollmächtigten geltend macht oder geltend machen möchte, welche Pflichtverletzungen sie ihm vorwirft, ob und welcher Schaden ersetzt werden soll und aufgrund welcher Vorschriften diese etwaigen zivilrechtlichen Ansprüche ihrer Auffassung nach bis Ende des Jahres 2019 verjähren.

Insofern ist darüber hinaus zu berücksichtigen, dass der Verjährungseintritt gemäß § 204 Abs. 1 Nr. 1 Bürgerliches Gesetzbuch – BGB – durch Klageerhebung gehemmt werden kann. Dies hat gemäß § 209 BGB zur Folge, dass der Zeitraum, während dessen die Verjährung gehemmt wird, nicht in die Verjährung einberechnet wird. Für die Klageerhebung reicht es aus, dass sie den gemäß § 253 Abs. 2 der Zivilprozessordnung – ZPO – notwendigen Inhalt aufweist, also insbesondere die Parteien und das Gericht bezeichnet sowie den Klagegegenstand, den Klagegrund und einen bestimmten Klageantrag enthält. Weiterhin muss die Klage schlüssig sein. Mit einem schlüssigen Tatsachenvortrag wird der Darlegungslast grundsätzlich bereits genügt. Nicht erforderlich ist es hingegen, dass bereits mit der Klageerhebung Beweismittel vorgelegt werden. Diese werden schließlich in der Regel nur dann erforderlich, wenn die Gegenpartei den Vortrag des Klägers bestreitet und der Kläger auch die Beweislast trägt (vgl. etwa Saenger, ZPO, 8. Aufl. (2019), § 253 Rn. 12, beck-online). Die von der Antragstellerin angeführte, vorgeblich drohende Verjährung etwaiger zivilrechtlicher Ansprüche ließe sich somit durch eine Klageerhebung hemmen, ohne dass im Zeitpunkt der Klageerhebung die von der Antragstellerin gegenüber der B. GmbH beanspruchten Auskünfte zur Substantiierung ihrer zivilrechtlichen Klage bereits vorliegen.

Aus der von der Antragstellerin vorgebrachten Anlage SWM 15 ergibt sich ferner, dass – nach dem genannten Aktenzeichen zu schließen – im Jahr 2016 gegen den vormaligen Prozessbevollmächtigten der Antragstellerin bereits ein Gerichtsverfahren beim Landgericht D. anhängig gemacht wurde. Ob und wie dieses Verfahren bereits abgeschlossen ist, ob eine etwaige Verjährung etwaiger Ansprüche nun überhaupt noch eintreten kann oder derzeit noch weitere Gerichtsprozesse anhängig sind, hätte die Antragstellerin ebenfalls näher darlegen müssen, um den Anordnungsgrund ihres Antrags auf Erlass einer einstweiligen Anordnung glaubhaft zu machen.

Es sind damit keinerlei Gründe ersichtlich, aufgrund derer es der Antragstellerin nicht zugemutet werden könnte, den Ausgang des Hauptsachverfahrens abzuwarten.

2. Wegen des Fehlens eines Anordnungsgrundes kann im vorliegenden Verfahren dahinstehen, ob die Antragstellerin einen Anordnungsanspruch geltend gemacht hat. Es kann daher insbesondere offenbleiben und dem Hauptsacheverfahren vorbehalten werden, welche Pflichten die nach Art. 77 Abs. 1 DSGVO angerufene und mit einer Beschwerde befasste Aufsichtsbehörde hat, ob ein (weiter) Ermessensspielraum besteht oder ob sie zum Erlass bestimmter Maßnahmen verpflichtet ist bzw. verpflichtet werden kann. Nicht zu entscheiden ist somit auch, wie weitgehend das Auskunftsrecht betroffener Personen nach Art. 15 DSGVO ist, insbesondere ob und wie das Auskunftsrecht beschränkt werden kann und inwieweit sich die B. GmbH auf etwaige solcher Ausnahmen vom Auskunftsrecht der Antragstellerin berufen kann (vgl. zu Reichweite und Ausnahmen etwa Franck, in: Gola, DS-GVO, 2. Aufl. (2018), Art. 15, Rn. 5 ff., 33 ff.).


Den Volltext der Entscheidung finden Sie hier:




LAG Baden-Württemberg: Streitwert 500 EURO für Auskunftsanspruch nach Art. 15 DSGVO wenn Anspruch nur allgemeine Ausführungen zu Grunde liegen

LAG Baden-Württemberg
Beschluss vom 23.01.2020
5 Ta 123/19


Das LAG Baden-Württemberg hat entschieden, dass ein Streitwert von 500 EURO für einen Auskunftsanspruch nach Art. 15 DSGVO angemessen ist, wenn dem Anspruch nur allgemeine Ausführungen zu Grunde liegen.

Aus den Entscheidungsgründen:

"2. Auch die Bemessung des Streitwerts für den Auskunftsantrag gemäß Art. 15 DS-GVO mit 500,00 EUR ist nicht zu beanstanden.

a) Der Auskunftsantrag der Klägerin ist nichtvermögensrechtlicher Natur.

aa) Vermögensrechtliche Streitigkeiten sind solche, bei denen die Ansprüche auf Geld oder eine geldwerte Leistung gerichtet sind, gleichgültig, ob sie einem vermögensrechtlichen oder nichtvermögensrechtlichen Grundverhältnis entspringen (allgemeine Auffassung, vgl. Schneider/Herget Streitwertkommentar 14. Aufl. Rn 4284; GK-ArbGG/Schleusener, Stand Dezember 2016, Rn 322, jeweils m.w.N.).

Dem gegenüber sind nichtvermögensrechtliche Streitigkeiten solche, die nicht auf Geld oder geldwerte Leistungen gehen, nicht in Ansprüche auf Geld umwandelbar sind und ihren Ursprung in Verhältnissen haben, denen kein Vermögenswert zukommt (allgemeine Auffassung, vgl. Schneider/Herget a.a.O. Rn 4284; GK-ArbGG/Schleusener a.a.O. Rn 298, jeweils m.w.N.).

bb) Daran gemessen handelt es sich bei dem im Ausgangsverfahren geltend gemachten Auskunftsanspruch gemäß Art. 15 DS-GVO um eine nichtvermögensrechtliche Angelegenheit. Dieser wurzelt im Persönlichkeitsrecht des Gläubigers. Er dient primär dazu, dem Anspruchsteller die Wahrnehmung der weiteren Rechte aus der DS-GVO zu ermöglichen, also insbesondere das Recht auf Berichtigung nach Art. 16, auf Löschung nach Art. 17 und auf Einschränkung der Verarbeitung nach Art. 18. Zwar mag eine Auskunft über personenbezogene Daten auch Erkenntnisse und Indizien hervorzubringen, die einen Schadensersatzanspruch nach gänzlich anderen Vorschriften begründen oder zumindest nahelegen können. Dabei handelt es sich aber nicht um den eigentlichen Zweck der DS-GVO, sondern um einen bloß zufälligen Nebeneffekt (OLG Köln 3. September 2019 – 20 W 10/18 – juris Rn 5). Dass ein solcher im gegebenen Fall existieren und mit dem Auskunftsbegehren durchgesetzt werden soll, also ausnahmsweise das wirtschaftliche Interesse des Gläubigers für die Bewertung des Streitgegenstands ausschlaggebend sein könnte, ist weder vorgetragen noch ersichtlich.

b) Die Bewertung hat deshalb gemäß § 48 Abs. 2 GKG zu erfolgen. Nach dessen Satz 1 ist der Streitwert unter Berücksichtigung aller Umstände des Einzelfalls, insbesondere des Umfangs und der Bedeutung der Sache und der Vermögens- und Einkommensverhältnisse der Parteien nach Ermessen zu bestimmen.

aa) Dabei gibt es für die arbeitsrechtlichen wie allgemein für die zivilrechtlichen Streitigkeiten weder einen Ausgangs-, Anknüpfungs-, Regel- noch einen Mindestwert, sondern nur einen Höchstwert von einer Million Euro (§ 48 Abs. 2 Satz 2 GKG).

(1) Ein Rückgriff auf § 52 Abs. 2 GKG ist hier ebenso unangemessen wie bei der unbezifferten Leistungsklage (vgl. OLG Köln 5. Februar 2018 – I-9 U 120/17 – juris Rn 3; Schneider/Herget a.a.O. Rn 4297). Auch eine analoge Anwendung des § 23 Abs. 3 Satz 2 Hs 2 RVG scheidet aus. Denn wenn der Gesetzgeber gewollt hätte, dass solche Normen über den konkret definierten Bereich hinaus Anwendung finden, hätte er sie mit allgemeiner Geltungskraft ausgestattet. Insbesondere § 23 Abs. 3 RVG gilt ausdrücklich nur für Verfahren, in denen sich im Unterschied zu denen nach § 23 Abs. 1 RVG die Gebühren nicht nach dem Streitwert richten. Dann kann diese Bestimmung auch nicht in solchen Verfahren angewendet werden, in denen sich die Gebühr nach dem Streitwert richtet, ohne gegen den eindeutig erklärten gesetzlichen Willen zu verstoßen. Für diese Sichtweise spricht auch, dass § 48 Abs. 2 GKG einerseits und § 52 Abs. 2 GKG sowie § 23 Abs. 3 Satz 2 Hs 2 RVG andererseits unterschiedliche Regelungsinhalte aufweisen: Außer dem Fehlen eines Regel-, Anknüpfungs- oder Hilfswerts in § 48 Abs. 2 GKG und der Festlegung eines solchen in § 52 Abs. 2 GKG sowie § 23 Abs. 3 Satz 2 Hs RVG werden auch unterschiedliche Mindest- bzw. Höchstwerte statuiert (vgl. § 48 Abs. 2 Satz 2 GKG: 1 Mio. EUR; § 52 Abs. 4 Nrn. 1-3 GKG: 1.500,00 EUR, 2.500,00 EUR bzw. 500.000,00 EUR; § 23 Abs. 3 Satz 2 Hs 2 RVG: 500.000,00 EUR). Dass der Gesetzgeber dabei unbewusste Regelungslücken geschaffen hätte, ist nicht ersichtlich.

(2) Was den Umfang der Sache anbetrifft, so ist - anders als nach § 23 Abs. 3 RVG - ausschließlich auf den erforderlichen Aufwand des Gerichts abzustellen (vgl. Laube in: Hartmann/Toussaint Kostengesetze 49. Aufl. § 48 GKG Rn 23 m.w.N.). Denn es handelt sich ja um eine Gebühr für die gerichtliche Tätigkeit, die nur als Reflex nach § 32 Abs. 1 RVG auch für die Anwaltsgebühren von Bedeutung ist.

(3) Da alle genannten Umstände zu berücksichtigen sind, ist die tatsächliche und rechtliche Bedeutung der Sache – anders als bei vermögensrechtlichen Streitigkeiten - nicht nur für die Klägerin, sondern auch für die Beklagte maßgeblich. Hier kann etwa ausnahmsweise darauf abgestellt werden, dass es sich um ein Pilot- oder Musterverfahren handelt.

(4) Soweit es auf die Vermögens- und Einkommensverhältnisse ankommen soll, werden diese in der Praxis nur vorsichtig herangezogen, wenn es sich nicht um familienrechtliche Streitigkeiten handelt (vgl. Schneider/Herget a.a.O. Rn 4308).

bb) Daran gemessen ist die arbeitsgerichtliche Festsetzung nicht zu beanstanden.

(1) Der Umfang der Sache liegt im untersten Bereich. Neben dem Klageantrag brauchte das Arbeitsgericht nur noch die aus dem Satz: „Gemäß der Entscheidung der LAG BW vom 20.12.2018 – 17 Sa 11/18 – ist Klagantrag ... zulässig und begründet“ bestehende Klagebegründung zur Kenntnis zu nehmen. Eine Klagerwiderung existiert nicht. Der Anspruch war auch im Übrigen weder in tatsächlicher noch in rechtlicher Hinsicht streitig. Eine mündliche Verhandlung fand nicht statt. Der Rechtsstreit endete durch Beschluss nach § 278 Abs. 6 Satz 1 Hs 2 ZPO auf der Grundlage eines vom Prozessbevollmächtigten der Klägerin vorformulierten Textes.

(2) Die tatsächliche und rechtliche Bedeutung der Sache ist ebenfalls als gering einzustufen. Es ist weder vorgetragen noch sonst erkennbar, dass das Persönlichkeitsrecht der Klägerin in einer Weise berührt gewesen wäre, die über den schlichten, massenhaft gewährten Auskunftsanspruch hinausginge, der ein allgemeines Informationsinteresse befriedigen soll. Dass der Auskunftsanspruch auch höher zu bewertenden Vermögensinteressen dienen sollte, hat die Klägerin nicht dargetan. Ebenso wenig hat die Beklagte sich auf ein ins Gewicht fallendes Abwehrinteresse berufen.

(3) Die Vermögens- und Einkommensverhältnisse der Parteien sind für den Streitfall völlig ohne Belang.

(4) Damit erweist sich die arbeitsgerichtliche Festsetzung des Streitwerts von 500,00 EUR für den Auskunftsanspruch gemäß Art. 15 DS-VGO aufgrund des durchgängig geringen Gewichts der zu berücksichtigenden Umstände als angemessen und ausreichend (im Ergebnis ebenso LAG Düsseldorf 16. Dezember 2019 – 4 Ta 413/19 – zur Veröffentlichung vorgesehen; OLG Köln 5. Februar 2018 – I-9 U 120/17 – juris)."


Den Volltext der Entscheidung finden Sie hier:


ArbG Lübeck: 1000 EURO Schadensersatz aus Art. 82 Abs. 1 DSGVO - Veröffentlichung eines Mitarbeiterfotos durch Arbeitgeber auf Facebook-Seite des Unternehmens ohne Einwilligung des Arbeitnehmers

ArbG Lübeck
Beschluss vom 20.06.2019
1 Ca 538/19


Das ArbG Lübeck hat im Rahmen eines Prozesskostenhilfebeschlusses entschieden, dass bei Veröffentlichung eines Mitarbeiterfotos durch den Arbeitgeber auf der Facebook-Seite des Unternehmens ohne Einwilligung des Arbeitnehmers aus Art. 82 Abs. 1 DSGVO ein Anspruch auf Schadensersatz von bis zu 1.000,00 EURO bestehen kann.


AG Wertheim: Auskunftsanspruch nach Art. 15 DSGVO - Zwangsgeld in Höhe von 15.000 EURO gegen Unternehmen bei unvollständiger Auskunftserteilung nach Urteil

AG Wertheim
Beschluss vom 12.12.2019
1 C 66/19


Das AG Wertheim hat gegen ein Unternehmen nach Verurteilung zur Auskunftserteilung nach Art. 15 DSGVO ein Zwangsgeld in Höhe von 15.000 EURO verhängt, nachdem das Unternehmen seiner Auskunftspflicht nicht vollständig nachgekommen ist. Dabei ging es insbesondere um Informationen über die Herkunft der Daten hinsichtlich personenbezogener Daten, die nicht beim Betroffenen erhoben wurden (Art. 15 Abs. 1 lit. g DSGVO).

VG Hannover: Veröffentlichung von Fotos einer Person auf Facebook-Fanpage des Ortsvereins einer Partei ohne Einwilligung nach KUG und DSGVO unzulässig

VG Hannover
Urteil vom 27.11.2019
10 A 820/19


Das VG Hannover hat entschieden, dass die Veröffentlichung von Fotos einer Person auf der Facebook-Fanpage des Ortsvereins einer Partei ohne Einwilligung nach den Vorhaben des KUG und der DSGVO unzulässig ist.

Aus den Entscheidungsgründen:

"Die Verwarnung ist formell rechtmäßig.

Zuständige Aufsichtsbehörde ist hier die Beklagte. Dies ergibt sich aus § 40 Abs. 1 BDSG und § 22 Satz 1 Nr. 1 NDSG. Nach § 40 Abs. 1 BDSG bestimmt das Landesrecht die Aufsichtsbehörden nach Artikel 51 DS-GVO, die im Anwendungsbereich der DS-GVO dafür zuständig sind, die Anwendung der Vorschriften über den Datenschutz bei den nichtöffentlichen Stellen zu überwachen. Nach § 22 Satz 1 Nr. 1 NDSG ist die Beklagte in diesem Sinne die in Niedersachsen zuständige Aufsichtsbehörde für die Datenverarbeitung durch nichtöffentliche Stellen. Der Kläger ist als privatrechtlich organisierter Ortsverein einer politischen Partei eine solche nichtöffentliche Stelle (§ 2 Abs. 4 BDSG).

Im Übrigen richten sich die Anforderungen an das Verfahren gemäß Artikel 58 Abs. 4 DS-GVO nach dem Recht des betreffenden Mitgliedstaats – hier: § 1 Abs. 1 des Niedersächsischen Verwaltungsverfahrensgesetzes (NVwVfG) i. V. m. den Vorschriften des Verwaltungsverfahrensgesetzes (VwVfG) –, das im Einklang mit der Charta der Grundrechte der Europäischen Union und unter Berücksichtigung des Erwägungsgrundes 129 der DS-GVO anzuwenden und auszulegen ist.

Die Verwarnung leidet danach nicht an Form- oder Verfahrensfehlern.

Insbesondere ist der Bescheid der Beklagten vom 9. Januar 2019 hinsichtlich der Verwarnung hinreichend bestimmt (§ 1 Abs. 1 NVwVfG i. V. m. § 37 Abs. 1 VwVfG; Erwägungsgrund 129 der DS-GVO: „klar und eindeutig“). Denn in dem Bescheid werden das beanstandete Verhalten des Klägers, die Vorschrift, gegen die dieses Verhalten nach Auffassung der Aufsichtsbehörde verstoßen hat (Artikel 6 Abs. 1 UAbs. 1 Buchst. f DS-GVO), und die wegen dieses Verstoßes gegen ihn erlassene Maßnahme (Verwarnung nach Artikel 58 Abs. 2 Buchst. b DS-GVO) unzweifelhaft angegeben. Weitergehende Anforderungen sind insoweit nicht zu stellen, zumal durch eine Verwarnung nur ein Verstoß gegen eine Vorschrift über den Datenschutz festgestellt wird, ohne dass dem Adressaten ein ggf. näher zu bestimmendes Tun, Dulden oder Unterlassen aufgegeben wird.

Der Bescheid ist insoweit auch in formeller Hinsicht hinreichend begründet (§ 1 Abs. 1 NVwVfG i. V. m. § 39 Abs. 1 VwVfG; Erwägungsgrund 129 der DS-GVO: „Begründung“). Denn die wesentlichen tatsächlichen und rechtlichen Gründe, die die Beklagte zu ihrer Entscheidung bewogen haben, einschließlich Erwägungen zur Verhältnismäßigkeit der Maßnahme, werden angegeben. Ob die angegebenen Gründe die Entscheidung in rechtlicher Hinsicht tragen, ist eine Frage der materiellen Rechtsmäßigkeit des Verwaltungsakts.

Ferner ist der Kläger ausreichend angehört worden (§ 1 Abs. 1 NVwVfG i. V. m. § 28 Abs. 1 VwVfG; Erwägungsgrund 129 der DS-GVO: „das Recht einer jeden Person, gehört zu werden …“). Sein Vorbringen in dem Schreiben seiner Rechtsanwältin vom 16. Dezember 2018 ist von der Beklagten in ihrem Bescheid vom 9. Januar 2019 offensichtlich auch berücksichtigt worden, indem sie sich mit der Argumentation des Klägers zu § 23 KUG und zu seinem berechtigten Interesse im Hinblick auf seinen verfassungsrechtlichen Auftrag nach Artikel 21 Abs. 1 Satz 1 GG auseinandergesetzt hat.

Die Verwarnung ist auch materiell rechtmäßig.

Tatbestandsvoraussetzung für eine Verwarnung nach Artikel 58 Abs. 2 Buchst. b DS-GVO ist, dass der Adressat der Verwarnung – hier: der Kläger – als Verantwortlicher personenbezogene Daten verarbeitet hat, und er damit gegen die DS-GVO – oder eine Rechtsvorschrift eines Mitgliedstaats über den Datenschutz – verstoßen hat.

Der Kläger hat vorliegend als Verantwortlicher personenbezogene Daten verarbeitet. Die Veröffentlichung des streitgegenständlichen Fotos durch den Kläger auf seiner Fanpage bei Facebook stellt eine automatisierte Verarbeitung personenbezogener Daten der abgebildeten Personen dar (Artikel 2 Abs. 1, Artikel 4 Nrn. 1 und 2 DS-GVO). Ausnahmen vom sachlichen Anwendungsbereich nach Artikel 2 Abs. 2 und 3 DS-GVO liegen nicht vor. Als Betreiber einer Fanpage bei Facebook ist der Kläger für die streitgegenständliche Datenverarbeitung auch Verantwortlicher im Sinne des Artikels 4 Nr. 7 DS-GVO (EuGH, Urteil vom 5. Juni 2018 – C210/16 –, juris Rn. 25 ff.).

Zudem hat der Kläger durch die Veröffentlichung des Fotos auf seiner Fanpage bei Facebook gegen die DS-GVO bzw. Vorschriften des KUG verstoßen. Hierbei kann offen bleiben, ob sich die Rechtmäßigkeit – wie der Kläger meint – nach §§ 22, 23 KUG i. V. m. Artikel 85 Abs. 2 DS-GVO oder – wie die Beklagte meint – nach Artikel 6 Abs. 1 DS-GVO richtet. Denn sowohl nach den §§ 22, 23 KUG (hierzu unter a) als auch unter Berücksichtigung von Artikel 6 Abs. 1 UAbs. 1 Buchst. e und f DS-GVO (hierzu unter b) war die Veröffentlichung rechtswidrig.

a. Der Kläger beruft sich auf eine Erlaubnis zur Veröffentlichung des Fotos nach § 23 KUG i. V. m. Artikel 85 Abs. 2 DS-GVO. Dies setzt voraus, dass die §§ 22 und 23 KUG auf Grundlage des Artikels 85 DS-GVO als gegenüber Artikel 6 Abs. 1 UAbs. 1 Buchst. f DS-GVO vorrangige Rechtsvorschriften des nationalen Rechts anzusehen sind und damit auch nach Inkrafttreten der DS-GVO noch anwendbar sind.

Die Anwendbarkeit der Vorschriften des KUG seit Inkrafttreten der DS-GVO ist umstritten. Grundsätzlich genießt die DS-GVO Anwendungsvorrang vor nationalen Regelungen, da europäisches Sekundärrecht gegenüber nationalen Regelungen Anwendungsvorrang genießt (vgl. BVerfG, Beschluss vom 15.12.2015 – 2 BvR 2735/14 –, juris Rn. 37 ff. m. w. N.; EuGH, Urteil vom 15.7.1964 – Rs. 6.64 – Costa/E.N.E.L, juris). Die §§ 22, 23 KUG können deshalb nur dann angewendet werden, wenn und soweit sie sich auf Artikel 85 DS-GVO als Öffnungsklausel stützen lassen.

Nach Artikel 85 Abs. 2 DS-GVO dürfen die Mitgliedstaaten der EU Abweichungen und Ausnahmen von Kapitel 2 der DS-GVO (und damit auch von Artikel 6) vorsehen, wenn dies erforderlich ist, um das Recht auf Schutz personenbezogener Daten mit der Freiheit der Meinungsäußerung und der Informationsfreiheit in Einklang zu bringen (vgl. Grages in Plath, DSGVO/BDSG, Kommentar, 3. Aufl. 2018, Artikel 85 DSGVO Rn. 3). Dies gilt jedoch nur insoweit, als es um eine Verarbeitung zu journalistischen, wissenschaftlichen, künstlerischen oder literarischen Zwecken geht. In diesen Fällen kann sich § 23 KUG als eine Spezifizierung von Artikel 6 Abs. 1 Abs. 1 Buchst. f DS-GVO qualifizieren lassen und neben der DS-GVO anwendbar sein. Ein solcher Fall ist hier aber nicht gegeben.

Der Kläger kann sich insbesondere nicht darauf berufen, dass die Verarbeitung des Fotos journalistischen Zwecken diente. Zwar ist der Begriff des Journalismus weit auszulegen (vgl. Erwägungsgrund 153 der DS-GVO). Journalismus bezeichnet die publizistische Arbeit von Journalisten bei der Presse, in Online-Medien oder im Rundfunk mit dem Ziel, Öffentlichkeit herzustellen. Der Kläger hat mit seiner Fanpage in erster Linie zum Ziel, für seine Interessen und seine Arbeit zu werben, den Erfolg der eigenen Arbeit zu veranschaulichen und sich dadurch selbst darzustellen. Bildveröffentlichungen, die der Selbstdarstellung dienen, lassen sich aber nicht mehr als eine Verarbeitung zu journalistischen Zwecken qualifizieren (vgl. Benedikt/Kranig, „DS-GVO und KUG – ein gespanntes Verhältnis“ in ZD 2019, S. 4; Lauber-Rönsberg/Hartlaub, „Personenbildnisse im Spannungsfeld zwischen Äußerungs- und Datenschutzrecht“ in NJW 2017, S. 1057, 1061).

Ob die §§ 22, 23 KUG als Normen im Sinne von Artikel 85 Abs. 1 DS-GVO für Fälle wie den vorliegenden, der nicht unter journalistische, wissenschaftliche, künstlerische oder literarische Zwecke im Sinne von Artikel 85 Abs. 2 DSGVO fällt, weiter gelten oder nicht (zum Streit darüber, ob Artikel 85 Abs. 1 DSGVO einen zwingend durch die Mitgliedstaaten zu erfüllenden Regelungsauftrag enthält – so die überwiegende Auffassung – oder die §§ 22, 23 KUG insoweit fortgelten können, s. Benedikt/Kranig, „DS-GVO und KUG – ein gespanntes Verhältnis“ in ZD 2019, S. 4 m. w. N.), kann offen bleiben. Denn die Voraussetzungen der §§ 22, 23 KUG liegen nicht vor.

Nach § 22 KUG dürfen Bildnisse einer Person grundsätzlich nur mit Einwilligung der abgebildeten Person verbreitet werden. Eine ausdrückliche Einwilligung liegt nicht vor. Da das KUG für das Recht am eigenen Bild keine Formerfordernisse normiert, ist zwar auch eine konkludente Einwilligung möglich (vgl. BGH, Urteil vom 11.11.2014 – VI ZR 9/14 –, juris Rn. 6). Auch eine solche liegt jedoch nicht vor. Hier hat der Kläger über die örtliche Presse zu der Veranstaltung im Sommer 2014 eingeladen. Aufgrund der Art der Veranstaltung als öffentliche Veranstaltung des Klägers, über die in der örtlichen Presse eingeladen worden ist, muss zwar damit gerechnet werden, dass Fotos erstellt werden, die in der Presse veröffentlicht werden, und man mit der Teilnahme an einer solchen Veranstaltung konkludent darin einwilligt. Keinesfalls willigt man aber mit der Teilnahme an der Veranstaltung zugleich in die Veröffentlichung von Fotos auf einer Fanpage bei Facebook ein. Eine Veröffentlichung von Bildern auf einer Fanpage einer Partei bei Facebook hat eine ganz andere Qualität als die Veröffentlichung in der Presse, zumal wenn, wie hier anzunehmen ist, keine Vereinbarung nach Artikel 26 DS-GVO zwischen Facebook und dem Betreiber der Fanpage - hier: dem Kläger - abgeschlossen wurde. Denn die Beklagte hat zutreffend darauf hingewiesen, dass eine Veröffentlichung von Daten auf einer Fanpage bei Facebook mit unkalkulierbaren Risiken für die betroffenen Personen verbunden ist, insbesondere keine effektive Kontrolle mehr über die Weiterverwendung der Daten ausgeübt und auch ein etwaiger Löschungsanspruch nicht mehr wirksam durchgesetzt werden kann. Gemäß den Nutzungsbedingungen mit Facebook werden mit dem Teilen von Inhalten, wie es der Kläger mit der Veröffentlichung des Fotos unternommen hat, weitreichende, weltweite Lizenzen an Facebook erteilt, die geteilten Inhalte zu verwenden, zu verbreiten, zu modifizieren, auszuführen, zu kopieren und öffentlich vorzuführen. In den USA, in denen die Facebook Inc. ihren Firmensitz hat, sind die Datenschutzstandards außerdem gegenüber dem europäischen Datenschutzstandard erheblich geringer.

Ohne die nach § 22 KUG erforderliche Einwilligung dürfen nach § 23 Abs. 1 KUG verbreitet werden Bildnisse aus dem Bereiche der Zeitgeschichte (Nr. 1), Bilder, auf denen die Personen nur als Beiwerk neben einer Landschaft oder sonstigen Örtlichkeit erscheinen (Nr. 2), Bilder von Versammlungen, Aufzügen und ähnlichen Vorgängen, an denen die dargestellten Personen teilgenommen haben (Nr. 3), und Bildnisse, die nicht auf Bestellung angefertigt sind, sofern die Verbreitung oder Schaustellung einem höheren Interesse der Kunst dient (Nr. 4).

Hier liegen zwar die Voraussetzungen der Nr. 3 vor. Unter den Erlaubnistatbestand der Nr. 3 fallen Bildberichterstattungen über Menschenansammlungen verschiedenster Art wie Demonstrationen, Sportveranstaltungen, Konzerte, Karnevalsumzüge, Tagungen, Parteitage, Hochzeiten und Trauerfeiern. Voraussetzung ist, dass nicht einzelne Personen gezeigt werden, sondern ein Vorgang. Es muss sich um eine größere Anzahl von Personen handeln, so dass sich der Einzelne nicht mehr aus ihr hervorhebt (vgl. von Strobl-Albeg in Wenzel, Das Recht der Wort- und Bildberichterstattung, 6. Aufl. 2018, Kap. 8 Rn. 77). Bei der öffentlichen Veranstaltung im Sommer 2014, bei der über den Bau einer Ampelanlage gesprochen wurde, handelt es sich um eine Versammlung bzw. einen ähnlichen Vorgang in diesem Sinne. Die auf dem bei Facebook veröffentlichten Foto abgebildeten Personen waren bewusst auf der Veranstaltung des Klägers und haben somit an ihr teilgenommen. Gegenüber der abgebildeten Menge treten die einzelnen der insgesamt etwa 30 Personen auch in den Hintergrund.

Die Befugnis nach § 23 Abs. 1 KUG erstreckt sich nach § 23 Abs. 2 KUG jedoch nicht auf eine Verbreitung, durch die ein berechtigtes Interesse der abgebildeten Person verletzt wird. Der Grundsatz des § 23 KUG ist ein wichtiges Korrektiv zur Wahrung des Persönlichkeitsrechts des Abgebildeten, der auch in den gesetzlichen Ausnahmefällen des § 23 Abs. 1 Nr. 1 bis 4 KUG eine Interessenabwägung vorschreibt (vgl. hierzu Götting in Urheberrecht, Kommentar, 5. Aufl. 2017, § 23 KUG Rn. 106 ff.). Die abgebildeten Personen haben – wie oben dargelegt – ein erhebliches Interesse daran, dass kein Foto, auf dem sie individuell erkennbar sind, auf einer Fanpage bei Facebook veröffentlicht wird. Nicht nur, dass eine Veröffentlichung von Daten auf einer Fanpage bei Facebook mit unkalkulierbaren Risiken für die betroffenen Personen verbunden ist, insbesondere keine effektive Kontrolle mehr über die Weiterverwendung der Daten ausgeübt und auch ein etwaiger Löschungsanspruch nicht mehr wirksam durchgesetzt werden kann, vielmehr wird durch das Foto auf einer Fanpage auch eine – möglicherweise nicht bestehende – Zustimmung der abgebildeten Personen zu der politischen Tätigkeit des Klägers suggeriert.

Die Veröffentlichung des Fotos auf der Fanpage bei Facebook war somit gemäß § 23 Abs. 2 KUG unzulässig.

b. Die Veröffentlichung des Fotos war auch nicht nach Artikel 6 Abs. 1 DS-GVO gerechtfertigt. Danach ist die Verarbeitung personenbezogener Daten nur rechtmäßig, wenn eine der dort im Folgenden geregelten Bedingungen erfüllt ist. Da die abgebildeten Personen – wie oben dargelegt – nicht in die Veröffentlichung des Fotos eingewilligt haben (Artikel 6 Abs. 1 Abs. 1 Buchst. a i. V. m. Artikel 4 Nr. 11 und Artikel 7 DS-GVO), kommt hier nur der Tatbestand nach Artikel 6 Abs. 1 Abs. 1 Buchst. f DS-GVO in Betracht. Danach ist eine Verarbeitung rechtmäßig, wenn sie zur Wahrung der berechtigten Interessen des Verantwortlichen oder eines Dritten erforderlich ist, sofern nicht die Interessen oder Grundrechte und Grundfreiheiten der betroffenen Person, die den Schutz personenbezogener Daten erfordern, überwiegen.

Ein „berechtigtes Interesse“ an der Veröffentlichung des Fotos durch den Kläger auf seiner Fanpage liegt vor. Der Begriff der „berechtigten Interessen“ ist in der DS-GVO nicht definiert. Der sehr weite Begriff der „berechtigten Interessen“ erfasst jedes von der Rechtsordnung anerkannte Interesse (vgl. Plath in Plath, DSGVO/BDSG, Kommentar, 3. Aufl. 2018, Art. 6 DSGVO Rn. 53, 54). Der Kläger hat als politische Partei ein berechtigtes Interesse daran, auch durch die öffentliche Verwendung von Fotos für seine politische Tätigkeit zu werben und damit gemäß Artikel 21 Abs. 1 Satz 1 GG an der politischen Willensbildung des Volkes mitzuwirken.

Die Verwendung eines Fotos, auf dem bestimmte Personen erkennbar abgebildet sind, ist aber nicht „erforderlich“. Auch der Begriff der „Erforderlichkeit“ ist in der DS-GVO nicht weiter definiert (vgl. aber Artikel 5 Abs. 1 Buchst. c DS-GVO – Grundsatz der Datenminimierung –). Unter Berücksichtigung von Erwägungsgrund 39 ist die Verarbeitung „erforderlich“, wenn kein milderes, wirtschaftlich gleich effektives Mittel zur Verfügung steht, den entsprechenden Zweck mit gleicher Sicherheit zu verwirklichen (vgl. Plath in Plath, DSGVO/BDSG, Kommentar, 3. Aufl. 2018, Art. 6 DSGVO Rn. 17, 56). Gemessen hieran war die Veröffentlichung des Fotos ohne Unkenntlichmachung der abgebildeten Personen nicht „erforderlich“, da es hier nicht darauf ankommt, dass gerade die abgebildeten Personen als solche in einen spezifischen Kontext zur politischen Tätigkeit des Klägers gesetzt werden, sondern es dem Kläger nur darum geht, zu dokumentieren, dass das Thema, für das er sich politisch eingesetzt hat, eine größere Anzahl von Personen interessiert. In diesem Fall reicht es aus, das Foto unter Unkenntlichmachung der abgebildeten Personen, z. B. durch Verpixelung der Gesichter, zu verwenden. Die Verwendung des Fotos mit einer Abbildung individuell erkennbarer Personen hingegen ist zur Erreichung des vom Kläger angestrebten Zwecks nicht erforderlich. Mit seinem Einwand, eine Unkenntlichmachung sei ihm aufgrund fehlender finanzieller oder organisatorischer Mittel nicht möglich, hat der Kläger schon deshalb keinen Erfolg, weil eine Verpixelung mit Hilfe gängiger Bildbearbeitungssoftware ohne erheblichen Zeit- und Kostenaufwand umgesetzt werden kann.

Ungeachtet dessen überwiegt aber auch das Interesse der abgebildeten Personen das Interesse des Klägers an der Verwendung der Fotos zur Werbung für seine politischen Tätigkeiten.

Bei einer Abwägung der widerstreitenden Interessen sind die „vernünftigen Erwartungen der betroffenen Person“ und die „Absehbarkeit“ einer möglichen Datenverarbeitung der betroffenen Person zu berücksichtigen (vgl. Erwägungsgrund 47). Die abgebildeten Personen haben ein Interesse daran, dass kein Foto, auf dem sie individuell erkennbar sind, auf einer Fanpage bei Facebook veröffentlicht wird. Zwar mussten die Teilnehmer der Veranstaltung erwarten, dass unmittelbar nach der Veranstaltung im Sommer 2014, auf der erkennbar fotografiert worden ist, eine Veröffentlichung zu journalistischen Zwecken etwa in den örtlichen Tageszeitungen erfolgt. Wie oben dargelegt, fällt aber eine Veröffentlichung auf einer Fanpage, die in erster Linie der Darstellung der Partei dient, nicht darunter. Im Übrigen führt der Umstand, dass ein Presseunternehmen oder Privatpersonen Fotos anfertigen, nicht zugleich zu der Erwartung, dass andere, insbesondere der Kläger, die Fotos für eigene Zwecke veröffentlichen. Schließlich war mit einer Veröffentlichung nach vier Jahren nicht mehr zu rechnen.

Die Veröffentlichung des Fotos war entgegen der Ansicht des Klägers auch nicht nach Artikel 6 Abs. 1 UAbs. 1 Buchst. e DS-GVO gerechtfertigt.

Der Kläger kann sich nicht unmittelbar auf Artikel 6 Abs. 1 Abs. 1 Buchst. e DS-GVO berufen. Dies folgt schon daraus, dass diese Regelung selbst keine Rechtsgrundlage für eine Datenverarbeitung bildet, sondern, wie sich aus Artikel 6 Abs. 3 Satz 1 DS-GVO ergibt, auf die Umsetzung durch eine gesonderte Rechtsgrundlage im Unionsrecht oder im Recht eines Mitgliedstaates angewiesen ist. Als eine solche Rechtsgrundlage könnte hier nur § 3 BDSG oder § 3 Satz 1 NDSG in Betracht kommen. Im ersten Fall müsste der Kläger eine öffentliche Stelle des Bundes im Sinne des § 2 Abs. 1, ggf. i. V. m. Abs. 4 Satz 2 BDSG, im zweiten Fall eine öffentliche Stelle des Landes im Sinne von § 2 Abs. 2, ggf. i. V. m. Abs. 4 Satz 2 BDSG (zur Zuordnung vgl. Eßer in Auernhammer, DSGVO/BDSG, Kommentar, 6. Aufl. 2018, § 2 BDSG Rn. 24) bzw. eine öffentliche Stelle im Sinne des § 1 Abs. 1 NDSG sein. Auch dies ist nicht der Fall. Eine öffentliche Stelle im Sinne des § 2 Abs. 1 und 2 BDSG, § 1 Abs. 1 Satz 1 Nr. 1 NDSG ist der Kläger schon deshalb nicht, weil er als Ortsverein einer politischen Partei keine „öffentlich-rechtlich organisierte Einrichtung“ im Sinne dieser Vorschriften ist. Politische Parteien nehmen zwar eine öffentliche Aufgabe wahr (§ 1 Abs. 1 Satz 2 des Parteiengesetzes), sind jedoch weder funktional noch organisatorisch Teil des Staates (BVerfG, Beschluss vom 6.12.2013 – 2 BvQ 55/13 –, juris Rn. 6 m. w. N.), sondern dem gesellschaftlichen Bereich angehörende Vereinigungen von Bürgern (§ 2 des Parteiengesetzes). Der Kläger ist auch nicht als Beliehener eine öffentliche Stelle nach § 2 Abs. 4 Satz 2 BDSG oder § 1 Abs. 1 Satz 1 Nr. 2 und Satz 2 NDSG. Denn dafür müsste ihm eine „Aufgabe der öffentlichen Verwaltung“ übertragen worden sein. Um eine solche Aufgabe handelt es sich bei der öffentlichen Aufgabe einer politischen Partei nach § 1 Abs. 1 Satz 2 des Parteiengesetzes aber nicht (dazu, dass politische Parteien keine öffentliche Gewalt ausüben, vgl. auch BVerfG, a. a. O., Rn. 5 m. w. N.). Schließlich liegen auch die Voraussetzungen des § 1 Abs. 1 Satz 3 NDSG nicht vor, weil der Kläger eben keine Aufgaben der öffentlichen Verwaltung wahrnimmt und an ihm auch keine juristischen Personen des öffentlichen Rechts beteiligt sind, wie es die Vorschrift voraussetzt. Politische Parteien sind mithin nicht-öffentliche Stellen im Sinne des § 2 Abs. 4 Satz 1 BDSG (so auch der Beschluss der Konferenz der unabhängigen Datenschutzaufsichtsbehörden des Bundes und der Länder - Datenschutzkonferenz - vom 5.9.2018, dort unter 5.) und können sich daher für ihre Datenverarbeitung nicht auf die für öffentliche Stellen geltenden Rechtsgrundlagen nach Artikel 6 Abs. 3 Satz 1 DS-GVO berufen.

Die Veröffentlichung des Fotos auf der Fanpage bei Facebook war somit weder gemäß § 23 Abs. 2 KUG noch nach Art. 6 Abs. 1 Unterabs. 1 Buchst. e und f DS-GVO gerechtfertigt, so dass die Tatbestandsvoraussetzungen des Art. 58 Abs. 2 DS-GVO vorliegen.

Das ihr nach Art. 58 Abs. 2 DS-GVO zustehende Ermessen (vgl. hierzu Martini/Wenzel: „Gelbe Karte von der Aufsichtsbehörde: die Verwarnung als datenschutzrechtliches Sanktionenhybrid“ in PinG 2017, S. 92, 96) hat die Beklagte rechtsfehlerfrei ausgeübt. Insbesondere ist die Verwarnung geeignet und erforderlich, um gegenüber dem Kläger das datenschutzrechtswidrige Verhalten verbindlich festzustellen. In dem nach Eingriffsintensität abgestuften Instrumentarium des Artikels 58 DS-GVO sind Warnungen und Verwarnungen die mildesten Mittel, da sie sich auf die Feststellung des Datenschutzverstoßes beschränken."


Den Volltext der Entscheidung finden Sie hier:

EuGH: Beschluss 2010/87/EU der Kommission über Standardvertragsklauseln für die Übermittlung personenbezogener Daten an Auftragsverarbeiter in Drittländern gültig - Facebook Ireland - Maximilian

EuGH-Generalanwalt
Schlussanträge vom 19.12.2019
C-311/18
Data Protection Commissioner / Facebook Ireland und Maximilian Schrems


Nach Ansicht des EuGH-Generalanwalts ist der Beschluss 2010/87/EU der Kommission über Standardvertragsklauseln für die Übermittlung personenbezogener Daten an Auftragsverarbeiter in Drittländern gültig

Die Pressemitteilung des EuGH:

Nach Ansicht von Generalanwalt Saugmandsgaard Øe ist der Beschluss 2010/87/EU der Kommission über Standardvertragsklauseln für die Übermittlung personenbezogener Daten an Auftragsverarbeiter in Drittländern gültig

Die Datenschutz-Grundverordnung sieht wie die Richtlinie über die Verarbeitung personenbezogener Daten, an deren Stelle sie getreten ist, vor, dass personenbezogene Daten an ein Drittland übermittelt werden können, wenn dieses für die Daten ein angemessenes Schutzniveau sicherstellt. Liegt kein Beschluss der Kommission vor, mit dem die Angemessenheit des Schutzniveaus im betreffenden Drittland festgestellt wird, darf der für die Verarbeitung Verantwortliche die Übermittlung dennoch vornehmen, wenn er sie mit geeigneten Garantien versieht. Diese Garantien können u. a. die Form eines Vertrags zwischen dem Exporteur und dem Importeur der Daten annehmen, der die in einem Beschluss der Kommission vorgesehenen Standarddatenschutzklauseln enthält. Mit dem Beschluss 2010/87/EU3 hat die Kommission Standardvertragsklauseln für die Übermittlung personenbezogener Daten an Auftragsverarbeiter in Drittländern festgelegt. Die vorliegende Rechtssache betrifft die Gültigkeit dieses Beschlusses.

Sachverhalt und Vorgeschichte des Ausgangsrechtsstreits

Zur Vorgeschichte des Ausgangsrechtsstreits gehört ein Verfahren, das von Herrn Maximilian Schrems, einem österreichischen Nutzer von Facebook, eingeleitet wurde und bereits zum Urteil des Gerichtshofs vom 6. Oktober 2015 (Urteil Schrems) geführt hat.

Die Daten der in der Union wohnhaften Nutzer von Facebook wie Herr Schrems werden von Facebook Ireland, der irischen Tochtergesellschaft der Facebook Inc., ganz oder teilweise an Server in den Vereinigten Staaten übermittelt und dort verarbeitet. 2013 hatte Herr Schrems bei der für die Überwachung der Anwendung der Vorschriften über den Schutz personenbezogener
Daten zuständigen irischen Behörde (im Folgenden: Kontrollstelle) eine Beschwerde eingelegt, mit der er geltend machte, dass angesichts der von Herrn Edward Snowden enthüllten Tätigkeiten der Nachrichtendienste der Vereinigten Staaten (insbesondere der National Security Agency, NSA) das Recht und die Praxis der Vereinigten Staaten keinen ausreichenden Schutz der in dieses Land übermittelten Daten vor den Überwachungstätigkeiten der Behörden gewährleisteten. Die
Kontrollstelle wies die Beschwerde u. a. mit der Begründung zurück, dass die Kommission in ihrer Entscheidung vom 26. Juli 20005 angenommen habe, dass die Vereinigten Staaten im Rahmen der sogenannten „Safe-Harbor-Regelung“ ein angemessenes Schutzniveau für personenbezogene Daten gewährleisteten.

Mit dem Urteil Schrems hat der Gerichtshof in Beantwortung einer Frage des High Court (Hoher Gerichtshof, Irland) die Safe-Harbor-Entscheidung für ungültig erklärt.

Im Anschluss an das Urteil Schrems erklärte das vorlegende Gericht die Entscheidung, mit der die Kontrollstelle die Beschwerde von Herrn Schrems zurückgewiesen hatte, für nichtig und verwies sie zur Prüfung zurück an die Kontrollstelle. Diese leitete eine Untersuchung ein und forderte Herrn Schrems auf, seine Beschwerde in Anbetracht der Ungültigerklärung der Safe-Harbor-Entscheidung neu zu formulieren.

Zu diesem Zweck bat Herr Schrems Facebook Ireland um Angabe der Rechtsgrundlagen, auf denen die Übermittlungen der personenbezogenen Daten der Nutzer von Facebook aus der Union in die Vereinigten Staaten beruhten. Facebook Ireland verwies auf ein Datenübertragungs- und -verarbeitungsabkommen (data transfer processing agreement) mit der Facebook Inc., das seit dem 20. November 2015 in Kraft sei, und berief sich auf den Beschluss 2010/87.

In seiner neu formulierten Beschwerde machte Herr Schrems zum einen geltend, dass die in dem Abkommen enthaltenen Klauseln nicht den Standardvertragsklauseln des Beschlusses 2010/87 entsprächen, und zum anderen, dass diese Standardvertragsklauseln jedenfalls keine Grundlage für die Übermittlung seiner personenbezogenen Daten in die Vereinigten Staaten sein könnten. Es gebe nämlich keinen Rechtsbehelf, mit dem die Betroffenen in den Vereinigten Staaten ihre Rechte auf Achtung des Privatlebens und auf Schutz der personenbezogenen Daten geltend machen könnten. Herr Schrems beantragte daher bei der Kontrollstelle, diese Übermittlung in Anwendung des Beschlusses 2010/87 auszusetzen.

Mit ihrer Untersuchung wollte die Kontrollstelle feststellen, ob die Vereinigten Staaten einen angemessenen Schutz für personenbezogene Daten der Unionsbürger sicherstellen und – sollte dies nicht der Fall sein – ob der Rückgriff auf Standardvertragsklauseln ausreichende Garantien für den Schutz ihrer Grundfreiheiten und Grundrechte bietet. Da die Kontrollstelle zu dem Ergebnis kam, dass die Bearbeitung der Beschwerde von Herrn Schrems von der Frage abhänge, ob der
Beschluss 2010/87 gültig sei, leitete sie beim High Court ein Verfahren ein, damit dieser den Gerichtshof hierzu befrage. Der High Court ist dem Antrag dieser Behörde auf Vorlage eines Ersuchens um Vorabentscheidung nachgekommen.

In seinen heutigen Schlussanträgen schlägt Generalanwalt Henrik Saugmandsgaard Øe dem Gerichtshof vor, zu antworten, dass die Prüfung der Fragen nichts ergeben habe, was die Gültigkeit des Beschlusses 2010/87 beeinträchtigen könnte.

Der Generalanwalt stellt zunächst fest, dass es im Ausgangsrechtsstreit nur um die Feststellung gehe, ob der Beschluss 2010/87 gültig sei, mit dem die Kommission die Standardvertragsklauseln festgelegt habe, die für die in der Beschwerde von Herrn Schrems genannten Übermittlungen geltend gemacht worden seien.

Der Generalanwalt ist erstens der Ansicht, dass das Unionsrecht auf Übermittlungen personenbezogener Daten in ein Drittland anwendbar sei, wenn diese Übermittlungen zu gewerblichen Zwecken erfolgten, auch wenn die übermittelten Daten durch Behörden dieses Drittlands für Zwecke der nationalen Sicherheit verarbeitet werden könnten.

Zweitens stellt der Generalanwalt fest, dass die Bestimmungen der Datenschutz-Grundverordnung ber Übermittlungen in Drittländer bezweckten, ein kontinuierlich hohes Schutzniveau für personenbezogene Daten unabhängig davon sicherzustellen, ob die Daten auf der Grundlage einer Angemessenheitsentscheidung oder aufgrund geeigneter Garantien übermittelt würden, vom Exporteur gegeben würden. Dieses Ziel werde jedoch je nach der Rechtsgrundlage, die für die Übermittlung gelte, auf unterschiedliche Weise erreicht. Einerseits solle mit einer Angemessenheitsentscheidung festgestellt werden, ob ein bestimmtes Drittland aufgrund des dort geltenden Rechts und der dort geltenden Praxis für die Grundrechte der Personen, deren Daten
übermittelt würden, ein Schutzniveau sicherstelle, das dem Niveau, das sich aus der im Licht der Charta der Grundrechte der Europäischen Union ausgelegten Datenschutz-Grundverordnung ergebe, im Wesentlichen gleichwertig sei. Andererseits müssten die vom Exporteur – insbesondere vertraglich – gegebenen geeigneten Garantien selbst ein solches
Schutzniveau sicherstellen. Die Standardvertragsklauseln der Kommission für Übermittlungen sähen insoweit eine allgemeine Regelung vor, die unabhängig vom Bestimmungsland und dem dort sichergestellten Schutzniveau gelte.

Drittens prüft der Generalanwalt die Gültigkeit des Beschlusses 2010/87 anhand der Charta.

Seiner Ansicht nach führt der Umstand, dass der Beschluss und die darin enthaltenen Standardvertragsklauseln die Behörden des Drittbestimmungslandes nicht binden würden und diese durch ihn somit nicht daran gehindert seien, dem Importeur Pflichten aufzuerlegen, die mit der Beachtung dieser Klauseln unvereinbar seien, für sich allein nicht zur Ungültigkeit des Beschlusses. Die Vereinbarkeit des Beschlusses 2010/87 mit der Charta hänge davon ab, ob ausreichend wirksame Regelungen bestünden, mit denen sich sicherstellen lasse, dass die auf die Standardvertragsklauseln gestützten Übermittlungen ausgesetzt oder verboten würden, wenn diese Klauseln verletzt würden oder es unmöglich sei, sie einzuhalten.

Dies sei dann der Fall, wenn eine Pflicht – der für die Datenverarbeitung Verantwortlichen und, bei deren Untätigkeit, der Kontrollstellen – bestehe, eine Übermittlung auszusetzen oder zu verbieten, wenn aufgrund eines Konflikts zwischen den sich aus den Standardvertragsklauseln ergebenden Pflichten und den durch das Recht des Drittbestimmungslandes auferlegten Pflichten diese Klauseln nicht eingehalten werden könnten.

Der Generalanwalt stellt außerdem fest, dass das vorlegende Gericht bestimmte Beurteilungen der Kommission im Beschluss vom 12. Juli 2016, dem sog. Datenschutzschild-Beschluss, indirekt in Frage stelle. In diesem Beschluss hat die Kommission festgestellt, dass die Vereinigten Staaten ein angemessenes Schutzniveau für die Daten gewährleisteten, die im Rahmen der mit diesem Beschluss aufgestellten Regelung aus der Union übermittelt würden, insbesondere in Anbetracht der Garantien, die bezüglich des Zugangs amerikanischer Nachrichtendienste zu diesen Daten bestünden, sowie des Rechtsschutzes, der Personen, deren Daten übermittelt würden, gewährt werde . Für die Entscheidung über den Ausgangsrechtsstreit hält der Generalanwalt es nicht für erforderlich, dass der Gerichtshof über die Gültigkeit des Datenschutzschild-Beschlusses entscheide, da der Rechtsstreit nur die Gültigkeit des Beschlusses 2010/87 betreffe. Gleichwohl führt der Generalanwalt hilfsweise aus, aus welchen Gründen sich für ihn im Hinblick auf die Rechte auf Achtung des Privatlebens, auf Schutz personenbezogener Daten und auf einen wirksamen Rechtsbehelf Fragen bezüglich der Gültigkeit des Datenschutzschild-Beschlusses stellen.


Den Volltext der Schlussanträge finden Sie hier:

EuGH: Videoüberwachung von Gemeinschaftsbereichen eines Wohngebäudes kann zum Schutz und zur Sicherheit von Personen und Eigentum zulässig sein

EuGH
Urteil vom 11.12.2019
C‑708/18
TK gegen Asociaţia de Proprietari bloc M5A-ScaraA


Der EuGH hat entschieden, dass die Videoüberwachung von Gemeinschaftsbereichen eines Wohngebäudes zum Schutz und zur Sicherheit von Personen und Eigentum zulässig sein kann.

Tenor der Entscheidung:

Art. 6 Abs. 1 Buchst. c und Art. 7 Buchst. f der Richtlinie 95/46/EG des Europäischen Parlaments und des Rates vom 24. Oktober 1995 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten und zum freien Datenverkehr sind im Licht der Art. 7 und 8 der Charta der Grundrechte der Europäischen Union dahin auszulegen, dass sie nationalen Vorschriften nicht entgegenstehen, wonach es zulässig ist, ohne Einwilligung der betroffenen Personen ein Videoüberwachungssystem wie das im Ausgangsverfahren in Rede stehende, in den Gemeinschaftsbereichen eines Wohngebäudes installierte einzurichten, um berechtigte Interessen wahrzunehmen, die darin bestehen, den Schutz und die Sicherheit von Personen und Eigentum zu gewährleisten, wenn die mittels dieses Videoüberwachungssystems erfolgende Verarbeitung personenbezogener Daten den Voraussetzungen des Art. 7 Buchst. f entspricht, was zu prüfen Sache des vorlegenden Gerichts ist.

Den Volltext der Entscheidung finden Sie hier:

BfDI: Bußgeld von fast 10 Mio EURO gegen 1&1 - Verstoß gegen Art. 32 DSGVO bei telefonischer Kundenbetreuung - Kundenauthentifizierung bei der Hotline

Der Bundesbeauftragte für den Datenschutz und die Informationsfreiheit (BfDI) gegen die 1&1 Telecom GmbH ein Bußgeld von fast 10 Mio EURO verhängt. Inhaltlich geht es um einen Verstoß gegen Art. 32 DSGVO (Sicherheit der Verarbeitung) bei der telefonischen Kundenbetreuung und der Kundenauthentifizierung gegenüber der Hotline. 1&1 hat bereit rechtliche Schritte gegen den Bescheid angekündigt.

Die Pressemitteilung des BfDI:

BfDI verhängt Geldbußen gegen Telekommunikationsdienstleister

Der Bundesbeauftragte für den Datenschutz und die Informationsfreiheit (BfDI) hat den Telekommunikationsdienstleister 1&1 Telecom GmbH mit einer Geldbuße in Höhe von 9.550.000 Euro belegt.

Das Unternehmen hatte keine hinreichenden technisch-organisatorischen Maßnahmen ergriffen, um zu verhindern, dass Unberechtigte bei der telefonischen Kundenbetreuung Auskünfte zu Kundendaten erhalten können. In einem weiteren Fall sprach der BfDI ein Bußgeld in Höhe von 10.000 Euro gegen die Rapidata GmbH aus.

Dazu sagte der Bundesbeauftragte Ulrich Kelber: Datenschutz ist Grundrechtsschutz. Die ausgesprochenen Geldbußen sind ein klares Zeichen, dass wir diesen Grundrechtsschutz durchsetzen werden. Die europäische Datenschutzgrundverordnung (DSGVO) gibt uns die Möglichkeit, die unzureichende Sicherung von personenbezogenen Daten entscheidend zu ahnden. Wir wenden diese Befugnisse unter Berücksichtigung der gebotenen Angemessenheit an.

Im Fall von 1&1 Telecom GmbH hatte der BfDI Kenntnis erlangt, dass Anrufer bei der Kundenbetreuung des Unternehmens allein schon durch Angabe des Namens und Geburtsdatums eines Kunden weitreichende Informationen zu weiteren personenbezogenen Kundendaten erhalten konnten. In diesem Authentifizierungsverfahren sieht der BfDI einen Verstoß gegen Artikel 32 DSGVO, nach dem das Unternehmen verpflichtet ist, geeignete technische und organisatorische Maßnahmen zu ergreifen, um die Verarbeitung von personenbezogenen Daten systematisch zu schützen.

Nachdem der BfDI den unzureichenden Datenschutz bemängelt hatte, zeigte sich 1&1 Telecom GmbH einsichtig und äußerst kooperativ. In einem ersten Schritt wurde zunächst der Authentifizierungsprozess durch die Abfrage zusätzlicher Angaben stärker abgesichert. In einem weiteren Schritt wird bei der 1&1 Telecom GmbH derzeit und nach Absprache mit dem BfDI ein neues, technisch und datenschutzrechtlich deutlich verbessertes Authentifizierungsverfahren eingeführt.

Ungeachtet dieser Maßnahmen war die Verhängung einer Geldbuße geboten. So war unter anderem der Verstoß nicht nur auf einen geringen Teil der Kunden begrenzt, sondern stellte ein Risiko für den gesamten Kundenbestand dar. Bei der Festsetzung der Höhe der Geldbuße blieb der BfDI aufgrund des während des gesamten Verfahrens kooperativen Verhaltens von 1&1 Telecom GmbH im unteren Bereich des möglichen Bußgeldrahmens.

Der BfDI untersucht aufgrund von eigenen Erkenntnissen, Hinweisen und auch Kundenbeschwerden zudem derzeit die Authentifizierungsprozesse weiterer Anbieter von Telekommunikationsdienstleistungen.

Ein weiteres Verfahren gegen den Telekommunikationsanbieter Rapidata GmbH wurde erforderlich, da das Unternehmen seiner gesetzlichen Auflage nach Artikel 37 DSGVO zur Benennung des betrieblichen Datenschutzbeauftragten trotz mehrmaliger Aufforderung nicht nachgekommen ist. Bei der Höhe der Geldbuße von 10.000 Euro wurde berücksichtigt, dass es sich hierbei um ein Unternehmen aus der Kategorie der Kleinstunternehmen handelt.



LG Düsseldorf: Schadensersatz aus § 826 BGB bei bewusst unberechtigter DSGVO-Abmahnung durch Scheinmitbewerber

LG Düsseldorf
Urteil vom 02.10.2019
12 O 25/19


Das LG Düsseldorf hat entschieden, dass ein Schadensersatzanspruch aus § 826 BGB bei bewusst unberechtigter DSGVO-Abmahnung durch einen Scheinmitbewerber besteht. Der Abmahner muss dem Abgemahnten die außergerichtlichen Rechtsanwaltskosten ersetzen. Der Abmahner hatte eine fehlerhafte Datenschutzerklärung unmittelbar nach Inkrafttreten der DSGVO abmahnen lassen. Der Abmahner hatte kurz vorher ein Gewerbe angemeldet. Dies genügt jedoch nicht zur Begründung einer Mitbewerbereigenschaft.

Aus den Entscheidungsgründen:

Die Klägerin begehrt Schadensersatz wegen einer unberechtigten Abmahnung.

Die Klägerin betreibt ein weltweit agierendes Umzugsunternehmen. Die Beklagte meldete zum 01.05.2018 ein Gewerbe für „Kurierfahrten, Umzüge und Transporte aller Art bis 3,5 t“ an. Die Beklagte betreibt keine Internetseite für ihr Unternehmen. Sie verfügt nicht über eine Güterkraftverkehrserlaubnis oder eine entsprechende EU-Lizenz. Sie ist nicht im Handelsregister eingetragen. Am angegebenen Firmensitz befindet sich ein Mehrfamilienwohnhaus.

Mit Schreiben vom 31.05.2018 mahnte der Prozessbevollmächtigte der Beklagten die Klägerin wegen der Datenschutzerklärung auf ihrer Internetseite ab und forderte Erstattung von Rechtsanwaltskosten in Höhe von 1.029,35 EUR (Anl. K 1). Die Beklagte war der Ansicht, dass die Datenschutzerklärung nicht den Anforderungen der DSGVO entspreche. Die Prozessbevollmächtigte der Klägerin wies den geltend gemachten Anspruch mit Schreiben vom 27.06.2018 zurück und forderte die Beklagte zur Erstattung von Rechtsanwaltskosten in Höhe von 559,30 EUR auf. Diese Aufforderung wiederholte sie mit Schreiben vom 22.08.2018 unter Fristsetzung bis zum 03.09.2018. Mit Schreiben vom 28.09.2018 forderte sie die Beklagte zur Erstattung von Rechtsanwaltskosten in Höhe von 201,71 EUR innerhalb von zwei Wochen auf, berechnet anhand des von der Beklagten geforderten Betrags in Höhe von 1.029,00 EUR.

Die Klägerin behauptet, sie verfüge über sämtliche notwendigen Genehmigungen für den Betrieb eines europaweit tätigen Umzugsunternehmens, wie eine Güterkraftverkehrserlaubnis und eine EU-Lizenz. Sie behauptet ferner, sie habe einen Betrag in Höhe von 201,71 EUR an ihre Prozessbevollmächtigte gezahlt. Sie ist der Ansicht, es bestehe kein Wettbewerbsverhältnis zwischen den Parteien. Ein solches gehe auch nicht aus der Abmahnung hervor. Es sei nicht ersichtlich, dass die Beklagte tatsächlich ein Transportunternehmen betreibe. Es bestünden Zweifel an der Bevollmächtigung des Unterzeichners des Abmahnschreibens vom 31.05.2018. Die Klägerin ist der Auffassung, ihr stehe ein Schadensersatzanspruch wegen der Rechtsanwaltskosten zu, die sie aufgrund der unberechtigten Abmahnung habe aufwenden müssen. Die unseriöse Geschäftspraktik der Beklagten diene alleine Schädigung der Klägerin.

Die Klägerin hat einen Mahnbescheid erwirkt, der der Beklagten am 13.10.2018 zugestellt worden ist. Am 07.11.2018 ist ein Vollstreckungsbescheid erlassen worden, der der Beklagten am 08.11.2018 zugestellt worden ist. Am 20.11.2018 hat die Beklagte Einspruch eingelegt, woraufhin das Verfahren an das Amtsgericht Langenfeld abgegeben worden ist. Auf Antrag der Klägerin ist der Rechtsstreit mit Beschluss vom 11.02.2019 an das Landgericht Düsseldorf verwiesen worden.

Die Klägerin beantragt,

die Beklagte zu verurteilen, an die Klägerin 201,71 EUR zuzüglich Zinsen in Höhe von 5 Prozentpunkten über dem Basiszins seit 04.09.2018 zu zahlen.

Die Beklagte beantragt,

die Klage abzuweisen.

Die Beklagte bestreitet, dass es sich um eine unberechtigte Abmahnung handle. Ein Wettbewerbsverhältnis liege vor. Die Datenschutzerklärung auf der Internetseite der Klägerin habe nicht den Anforderungen der DSGVO entsprochen. Selbst wenn die Abmahnung ungerechtfertigt gewesen wäre, gehöre dies zum allgemeinen Lebensrisiko. Die durch eine ungerechtfertigte Inanspruchnahme verursachten Kosten seien nur erstattungsfähig, wenn zwischen den Parteien eine rechtliche Sonderverbindung bestehe, innerhalb derer durch die Inanspruchnahme eine Pflicht verletzt worden sei. Zwischen den Parteien sei keine rechtliche Sonderverbindung ersichtlich, da weder ein vertragliches noch ein gesetzliches Schuldverhältnis vorliege.

[...]

Der Klägerin steht ein Schadensersatzanspruch in Höhe von 201,71 EUR gegen die Beklagte aus § 826 BGB zu.

Die Beklagte hat der Klägerin in einer gegen die guten Sitten verstoßenden Weise vorsätzlich Schaden zugefügt, indem sie sie bewusst unberechtigt abgemahnt hat.

Die Abmahnung vom 31.05.2018 war unberechtigt. Der Beklagten steht kein Beseitigungs- und Unterlassungsanspruch gegen die Klägerin aus §§ 8 Abs. 1, Abs. 3 Nr. 1, 2 Abs. 1 Nr. 3, 3 Abs. 1, 3a UWG zu. Denn bei den Parteien handelt es sich nicht um Mitbewerber im Sinne der §§ 8 Abs. 3 Nr. 1, 2 Abs. 1 Nr. 3 UWG. Die Tätigkeit der Klägerin im Bereich des Güterkraftverkehrs geht aus der zur Akte gereichten Abschrift der Lizenz für den grenzüberschreitenden gewerblichen Güterkraftverkehr hervor (Anl. K 5). Die Beklagte betreibt indessen kein Transportunternehmen. Hiervon ist auszugehen, weil sie den substantiierten Behauptungen der Klägerin, dass die Beklagte keine Transportleistungen im Internet anbiete und dass sich an dem angegebenen Firmensitz ein Wohnhaus befinde, weder im Rahmen des schriftlichen Vorverfahrens noch in der mündlichen Verhandlung oder im schriftlichen Verfahren entgegengetreten ist. Es fehlt vielmehr an jeglichem Vortrag der Beklagten zu ihrer in der Abmahnung behaupteten Geschäftstätigkeit. Auch die Behauptung der Klägerin, dass die Beklagte nicht über eine Güterkraftverkehrserlaubnis oder eine entsprechende EU-Lizenz verfüge, ist unstreitig geblieben. Die Beklagte ist auch nicht in das Handelsregister eingetragen. Lediglich die Gewerbeanmeldung spricht für das Betreiben eines Transportunternehmens durch die Beklagte. Diese Gewerbeanmeldung allein genügt angesichts der vorgenannten unstreitigen Anhaltspunkte, auf die die Beklagte weder schriftsätzlich noch in der mündlichen Verhandlung eingegangen ist, nicht, um dem Vortrag der Klägerin zur fehlenden tatsächlichen Ausübung einer Transporttätigkeit am Markt substantiiert entgegenzutreten. Das Datum der Gewerbeanmeldung im selben Monat der erstmaligen Anwendbarkeit der DSGVO spricht in Zusammenhang mit den vorstehenden unstreitig gebliebenen Umständen vielmehr für eine Gewerbeanmeldung zum alleinigen Zweck, Unternehmen auf der Grundlage der DSGVO abzumahnen.

Die bewusst unberechtigte Abmahnung von Unternehmen ist sittenwidrig, denn sie ist mit den grundlegenden Wertungen der Rechts- und Sittenordnung nicht vereinbar. Das Verhalten ist außerdem als besonders verwerflich anzusehen, da die Beklagte zum alleinigen Zweck der Erzeugung von Abmahnkosten ein tatsächlich nicht ausgeübtes Gewerbe angemeldet und eine bewusst unberechtigte Abmahnung ausgesprochen hat. Dies erfolgte ersichtlich in der Hoffnung, der Abgemahnte werde die Berechtigung der Abmahnung angesichts der Androhung der Einschaltung von Behörden und der in Aussicht gestellten Reduzierung der Abmahnkosten im Fall der außergerichtlichen Erledigung nicht prüfen und stattdessen die geforderten Abmahnkosten sofort zahlen.

Der Klägerin ist ein Schaden in Gestalt der erforderlichen Kosten für die Beauftragung eines Rechtsanwalts zum Zweck der Rechtsverteidigung entstanden. Die Einschaltung eines Rechtsanwalts zum Zweck der Rechtsverteidigung ist bei einer unberechtigten anwaltlichen Abmahnung erforderlich, da dies die kostengünstigste Möglichkeit der Überprüfung ist, ob die Abmahnung gerechtfertigt war und daher die geltend gemachten Ansprüche erfüllt werden sollten (LG München I, Urteil vom 27.07.215, Az.: 7 O 20941/14, BeckRS 2015, 20521). Das Bestreiten der Zahlung der Rechtsanwaltskosten ist unerheblich. Der Klägerin steht jedenfalls ein Freistellungsanspruch gemäß §§ 826, 257 S. 1 BGB zu. Dieser Anspruch hat sich durch die in der Klageerwiderung geäußerte endgültige Weigerung der Beklagten, die Kosten zu erstatten, in einen Zahlungsanspruch aus §§ 280 Abs. 1, Abs. 3, 281 Abs. 1 S. 1 BGB gewandelt (vgl. OLG Hamm, GRUR-RR 2014, 133, 134). Mit der Weigerung, die Anwaltskosten zu bezahlen, hat die Beklagte zugleich auch die geschuldete Freistellung dem Grunde nach ernsthaft und endgültig verweigert. Damit hat die Beklagte ihre Pflicht zur Freistellung verletzt (vgl. ebd.).

Die Beklagte hat in dem Bewusstsein der Schadensentstehung und der die Sittenwidrigkeit begründenden Umstände gehandelt. Ein Abmahner handelt nicht schuldhaft, wenn er die Rechtslage selbst für zweifelhaft hält oder abmahnt, obwohl ihm nicht alle erforderlichen Informationen zur Beurteilung der Rechtslage zur Verfügung stehen oder andere vernünftige Überlegungen die Abmahnung rechtfertigen (Omsels, in: Harte-Bavendamm/Henning-Bodewig, 4. Aufl. 2016, § 4 Nr. 4 Rn. 185). Ein Verschulden setzt vielmehr das subjektive Wissen um die mangelnde Rechtfertigung der ausgesprochenen Abmahnung bzw. ein wissensgleiches bewusstes Sich-Verschließen gegenüber einer solchen Erkenntnis voraus (OLG Hamm NJOZ 2010, 2522, 2524). Ausweislich der obigen Ausführungen ist davon auszugehen, dass die Beklagte nicht lediglich Zweifel an der Beurteilung der Rechtslage hatte. Sie hat vielmehr zum Zweck der Geltendmachung eines Kostenerstattungsanspruchs bewusst unberechtigt abgemahnt.

Der Zinsanspruch folgt aus §§ 280 Abs. 1, 2, 286 Abs. 1 S. 1, 288 Abs. 1 BGB. Die Beklagte befand sich seit Ablauf der in der Mahnung vom 22.08.2018 gesetzten Frist in Verzug. In dieser Mahnung hat die Klägerin zwar einen höheren Betrag als Rechtsverteidigungskosten geltend gemacht. Eine Zuvielmahnung stellt eine wirksame Mahnung dar, wenn der Schuldner die Aufforderung nach Treu und Glauben und den allgemeinen Auslegungsgrundsätzen als Aufforderung zur Bewirkung der tatsächlich geschuldeten Leistung verstehen muss, diese also für ihn feststeht oder ermittelbar ist und der Gläubiger zur Annahme der vom Schuldner geschuldeten Minderleistung bereit ist (Ernst, in: Münchener Kommentar zum BGB, 8. Aufl. 2019, § 286 BGB Rn. 53). Diese Voraussetzungen liegen vor. Insbesondere war der tatsächlich geschuldete Betrag von 201,71 EUR für die Beklagte unter Heranziehung des Vergütungsverzeichnisses zum RVG ermittelbar. Soweit mit dem Vollstreckungsbescheid vom 07.11.2018 der Klägerin Zinsen seit dem 14.07.2018 zugesprochen worden sind, ist dieser aufzuheben, da es an einem schlüssigen Vorbringen für einen früheren Zinsbeginn fehlt.

Die prozessualen Nebenentscheidungen folgen aus § 92 Abs. 2 Nr. 1 ZPO und §§ 708 Nr. 11, 713 ZPO. Ausgenommen von der Kostentragung der Beklagten sind die Kosten der Verweisung an das zuständige Landgericht Düsseldorf, die die Klägerin gemäß § 281 Abs. 3 S. 2 ZPO zu tragen hat.


Den Volltext der Entscheidung finden Sie hier:






LfDI Rheinland-Pfalz: DSGVO-Bußgeld in Höhe von 105.000 Euro gegen Krankenhaus wegen Datenschutz-Defiziten beim Patientenmanagement

Der Landesbeauftragte für den Datenschutz und die Informationsfreiheit Rheinland-Pfalz (LfDI) hat ein Bußgeld in Höhe von 105.000 Euro gegen ein Krankenhaus wegen Datenschutz-Defiziten beim Patientenmanagement verhängt.

Die Pressemitteilung des LfDI:

Geldbuße gegen Krankenhaus aufgrund von Datenschutz-Defiziten beim Patientenmanagement

Der Landesbeauftragte für den Datenschutz und die Informationsfreiheit Rheinland-Pfalz (LfDI) hat gegenüber einem Krankenhaus in Rheinland-Pfalz eine Geldbuße in Höhe von 105.000 Euro verhängt. Zugleich begrüßt der LfDI die belastbar vorgetragenen Bemühungen des Krankenhauses, Fortentwicklungen und Verbesserungen des Datenschutzmanagements nachhaltig voranzutreiben.

Die bestandskräftige Geldbuße beruht auf mehreren Verstößen gegen die Datenschutz-Grundverordnung im Zusammenhang mit einer Patientenverwechslung bei der Aufnahme des Patienten. Diese hatte eine falsche Rechnungsstellung zur Folge und offenbarte strukturelle technische und organisatorische Defizite des Krankenhauses beim Patientenmanagement.

Der Landesbeauftragte, Prof. Dr. Kugelmann, hebt hervor: „Vorrangiges Ziel der Abhilfe- und Sanktionsmaßnahmen ist es, bestehende Defizite abzustellen und den Datenschutz zu verbessern. Geldbußen sind hierbei ein Instrument unter mehreren. Neben ihrer Sanktionswirkung enthalten sie immer auch ein präventives Element, indem deutlich wird, dass Missständen konsequent nachgegangen wird. Mir kommt es darauf an, dass mit Blick auf die besondere Sensibilität der Daten beim Gesundheitsdatenschutz substanzielle Fortschritte erzielt werden. Daher hoffe ich, dass die Geldbuße auch als Signal gewertet wird, dass die Datenschutzaufsichtsbehörden auf dem Feld des Umgangs mit Daten im Gesundheitswesen besondere Wachsamkeit an den Tag legen.“