Skip to content

BVerwG: Prüfling hat Anspruch aus Art. 15 DSGVO auf Überlassung unentgeltlicher Kopien der von ihm gefertigten Prüfungsarbeiten der zweiten juristischen Staatsprüfung

BVerwG
Urteil vom 30.11.2022
6 C 10.21


Das Bundesverwaltungsgericht hat entschieden, dass ein Prüfling einen Anspruch aus Art. 15 DSGVO auf Überlassung unentgeltlicher Kopien der von ihm gefertigten Prüfungsarbeiten der zweiten juristischen Staatsprüfung hat.

Die Pressemitteilung des Gerichts:
Datenschutzrecht gibt Anspruch auf unentgeltliche Kopien von Prüfungsarbeiten der zweiten juristischen Staatsprüfung
Absolventen der zweiten juristischen Staatsprüfung haben gemäß Art. 15 Abs. 1 und Abs. 3 Satz 1 i.V.m. Art. 12 Abs. 5 Satz 1 der Datenschutzgrundverordnung (DSGVO) einen Anspruch darauf, dass ihnen das Landesjustizprüfungsamt unentgeltlich eine Kopie der von ihnen angefertigten Aufsichtsarbeiten mitsamt den zugehörigen Prüfergutachten zur Verfügung stellt. Dies hat das Bundesverwaltungsgericht in Leipzig entschieden.

Nachdem der Kläger im Jahr 2018 die zweite juristische Staatsprüfung vor dem Landesjustizprüfungsamt des beklagten Landes Nordrhein-Westfalen bestanden hatte, verlangte er von dem Amt unter Berufung auf die datenschutzrechtlichen Vorschriften, ihm unentgeltlich eine Kopie der von ihm angefertigten Aufsichtsarbeiten und der zugehörigen Prüfergutachten zur Verfügung zu stellen. Das Landesjustizprüfungsamt war zu einer Übermittlung der Kopien nur gegen Erstattung der nach dem Landeskostenrecht berechneten Kosten in Höhe von 69,70 € bereit und lehnte den Antrag des Klägers ab. Der von dem Kläger hiergegen erhobenen Klage hat das Verwaltungsgericht Gelsenkirchen stattgegeben. Die von dem Land Nordrhein-Westfalen gegen dieses Urteil eingelegte Berufung hat das Oberverwaltungsgericht Münster zurückgewiesen. Die hiergegen eingelegte Revision des Landes Nordrhein-Westfalen ist vor dem Bundesverwaltungsgericht erfolglos geblieben.

Nach Art. 15 Abs. 1 DSGVO hat die betroffene Person u.a. das Recht auf Auskunft über ihre personenbezogenen Daten. Gemäß Art. 15 Abs. 3 Satz 1 DSGVO kann sie von dem Verantwortlichen die Überlassung einer Kopie der personenbezogenen Daten, die Gegenstand der Verarbeitung sind, verlangen. Aus Art. 12 Abs. 5 Satz 1 i.V.m. Art. 15 Abs. 3 Satz 2 DSGVO ergibt sich, dass die erste derartige Kopie unentgeltlich zur Verfügung gestellt werden muss. Durch die Rechtsprechung des Gerichtshofs der Europäischen Union (EuGH) ist seit dem Jahr 2017 geklärt, dass die schriftlichen Prüfungsleistungen in einer berufsbezogenen Prüfung und die Anmerkungen der Prüfer dazu wegen der in ihnen jeweils enthaltenen Informationen über den Prüfling insgesamt - das heißt letztlich Wort für Wort - personenbezogene Daten des Prüflings darstellen. Macht in diesen Fällen der betroffene Prüfling das Recht auf Erhalt einer unentgeltlichen ersten Datenkopie geltend, muss das Prüfungsamt eine vollständige Kopie der schriftlichen Prüfungsarbeiten und der zugehörigen Prüfergutachten unentgeltlich zur Verfügung stellen. Dies gilt nicht nur nach einem weiten Normverständnis, nach dem das Recht auf eine Datenkopie stets die Überlassung einer Reproduktion der Daten in der bei dem Verantwortlichen vorliegenden Form umfasst. Nichts Anderes folgt aus einem engeren Interpretationsansatz, nach dem grundsätzlich nur ein Anspruch auf die Zurverfügungstellung der aus dem jeweiligen Verarbeitungszusammenhang extrahierten personenbezogenen Daten oder auch nur einer strukturierten Zusammenfassung dieser Daten besteht. Denn ein solches Vorgehen ist bei Prüfungsarbeiten nicht möglich. Deshalb hat das Bundesverwaltungsgericht von einer Vorlage der Frage an den EuGH abgesehen, welcher Auffassung zu folgen ist.

Dem von dem Kläger geltend gemachten Anspruch stehen keine Ausschlussgründe nach der Datenschutzgrundverordnung entgegen. Insbesondere handelt es sich nicht um einen exzessiven Antrag im Sinne des Art. 12 Abs. 5 Satz 2 DSGVO. Der Umfang, den seine Bearbeitung nach den tatsächlichen Feststellungen des Oberverwaltungsgerichts bei dem Landesjustizprüfungsamt verursacht, ist als vergleichsweise gering zu beurteilen. Der Anspruch bezieht sich vorliegend auf acht Klausuren mit insgesamt 348 Seiten. Durchgreifende Anhaltspunkte für eine rechtsmissbräuchliche Anspruchsverfolgung hat das Oberverwaltungsgericht zu Recht verneint. Es hat ferner festgestellt, dass der fristgebundene Einsichtsanspruch nach dem nordrhein-westfälischen Juristenausbildungsgesetz den datenschutzrechtlichen Anspruch unberührt lässt. An diese Auslegung des Landesrechts ist das Bundesverwaltungsgericht gebunden.

BVerwG 6 C 10.21 - Urteil vom 30. November 2022

Vorinstanzen:

OVG Münster, OVG 16 A 1582/20 - Urteil vom 08. Juni 2021 -

VG Gelsenkirchen, VG 20 K 6392/18 - Urteil vom 27. April 2020 -


LG Köln: 4.000 EURO immaterieller Schadensersatz aus Art. 82 Abs. 1 DSGVO wegen Offenlegung einer Geschäftsbeziehung zu einem Konkurrenzunternehmen gegenüber Vorgesetzten

LG Köln
Urteil vom 28.09.2022
28 O 21/22


Das LG Köln hat dem Betroffenen in diesem Fall 4.000 EURO immateriellen Schadensersatz aus Art. 82 Abs. 1 DSGVO wegen der Offenlegung einer Geschäftsbeziehung zu einem Konkurrenzunternehmen gegenüber einem Vorgesetzten zugesprochen. Der Betroffene hatte mit seiner Klage 100.000 EURO Schadensersatz verlangt. Die Klage wurde daher überwiegend abgewiesen.

Aus den Entscheidungsgründen:
Der Kläger hat gegen die Beklagte zu 1) einen Anspruch auf Zahlung eines Schadensersatzes in Höhe von 4.000 € aus Art. 82 Datenschutz-Grundverordnung (im Folgenden: DS-GVO).

1. Die Beklagte zu 1) hat personenbezogene Daten des Klägers im Sinne des Art. 4 Nr. 2 DS-GVO dadurch verarbeitet, dass sie die streitgegenständliche E-Mail an Herrn K. versandt hat. Sie muss sich dabei die Handlung ihres Angestellten, des Beklagten zu 2), zurechnen lassen. Zur Verarbeitung im Sinne der DS-GVO zählt auch die „Verwendung, die Offenlegung durch Übermittlung, Verbreitung oder eine andere Form der Bereitstellung“.

Die Offenlegung der Vertragsverhältnisse zwischen der Beklagten zu 1) und dem Kläger an den Vorgesetzten des Klägers war auch rechtswidrig. Sie unterfällt keinem Rechtfertigungstatbestand nach Art. 6 Abs. 1 DS-GVO. Insbesondere ist sie nicht zur Erfüllung des Vertrags mit dem Kläger „erforderlich“, Art. 6 Abs. 1 lit. b) DS-GVO. Erforderlichkeit setzt voraus, dass ein unmittelbarer Zusammenhang zwischen der Verarbeitung und dem konkreten Zweck des Vertragsverhältnisses besteht. Ein solcher Zusammenhang ist hier nicht ersichtlich. Der Vorgesetzte des Klägers ist in keiner Weise in den Vertrag involviert und für die private Lebensführung des Klägers auch offensichtlich in keiner Weise verantwortlich. Es ist nicht im Ansatz zu erkennen, warum der Gläubiger eines Schuldverhältnisses sich veranlasst sehen dürfte, sich an den Vorgesetzten seines Schuldners zu wenden um diesen dazu zu bringen, auf den Schuldner einzuwirken. Etwas anderes ergibt sich auch nicht aus dem Umstand, dass der Kläger ebenfalls als Autoverkäufer in einem Konkurrenzunternehmen tätig ist. Gerade in diesem Fall drängt sich der Gedanke förmlich auf, dass dem Kläger aus einer Offenlegung seiner Geschäftsbeziehungen zu einem Konkurrenzunternehmen Probleme erwachsen können, was für die Erfüllung des Vertrags nicht förderlich sein dürfte.

Die Beklagte zu 1) ist für den Verstoß gegen Art. 6 Abs. 1 DS-GVO auch verantwortlich und muss sich das Verhalten ihres Mitarbeiters zurechnen lassen. Eine Exkulpation nach Art. 82 Abs. 3 DS-GVO kommt nicht in Betracht. Soweit die Beklagte zu 1) schlicht darauf abstellt, dass der Beklagte zu 2) dem Kläger keinen Schaden habe zufügen wollen, verfängt dies nicht. Die Versendung der E-Mail erfolgte vorsätzlich. Eine Schädigungsabsicht setzt Art. 82 DS-GVO nicht voraus.

2. Der Verstoß ist auch derart gravierend, dass er eine Schadensersatzpflicht der Beklagten zu 1) auslöst, allerdings nur in tenorierter Höhe.

Allein der Verstoß gegen datenschutzrechtliche Vorschriften führt nicht zu einer Verpflichtung des Verantwortlichen zur Zahlung von Schadensersatz (so auch LG Karlsruhe ZD 2019, 511). Voraussetzung eines Anspruchs auf Schadensersatz aus Art. 82 Abs. 1 DS-GVO, der im nationalen Recht unmittelbar Anwendung findet und andere Anspruchsgrundlagen nicht ausschließt (Nemitz, in: Ehmann/Selmayr, DS-GVO, 2. Aufl., Art. 82 Rn. 7), ist ein Verstoß gegen die DS-GVO und ein hierdurch verursachter Schaden, was ein Kläger darzulegen und zu beweisen hat (LG Karlsruhe, a.a.O.). Nach dem Erwägungsgrund 146 ist der Begriff des Schadens weit auszulegen, sodass Betroffene einen wirksamen Ersatz erhalten. Erwägungsgrund 85 besagt, dass eine Verletzung des Schutzes personenbezogener Daten einen physischen, materiellen oder immateriellen Schaden für natürliche Personen – wie etwa Verlust der Kontrolle über ihre personenbezogenen Daten oder Einschränkung ihrer Rechte, Diskriminierung, Identitätsdiebstahl oder -betrug, finanzielle Verluste, unbefugte Aufhebung der Pseudonymisierung oder Rufschädigung – nach sich ziehen kann, wenn nicht rechtzeitig und angemessen reagiert wird. Es bedarf danach zwar keiner schweren Verletzung des Persönlichkeitsrechts, um einen immateriellen Schaden geltend zu machen (Gola/Piltz, DS-GVO, 2. Aufl., Art. 82 Rn. 13).Dennoch führt nicht bereits jeder Verstoß gegen die DS-GVO zu einer Ausgleichspflicht, denn der Verpflichtung zum Ausgleich eines immateriellen Schadens muss eine benennbar und insoweit tatsächliche Persönlichkeitsverletzung gegenüberstehen, die z.B. in der mit einer unrechtmäßigen Zugänglichmachung von Daten liegenden „Bloßstellung“ liegen kann (LG Karlsruhe, a.a.O.). Die Ermittlung des Schadens obliegt nach § 287 ZPO dem Gericht.

Der Verstoß der Beklagten zu 1) gegen die Regeln der DS-GVO ist bereits für sich derart gravierend, dass er eine entschädigungspflichtige Persönlichkeitsrechtsverletzung des Klägers begründet. Dass sich der Beklagte zu 2) hier an den Vorgesetzten des Klägers gewandt haben, ist nicht nur unangebracht und ein Verstoß gegen die DS-GVO, sondern für den Kläger auch peinlich und mit erheblichen Unannehmlichkeiten verbunden, weil er sich – unabhängig von der tatsächlichen Reaktion seines Vorgesetzten – genötigt fühlen könnte, sich gegenüber seinem Arbeitgeber dafür rechtfertigen zu müssen, bei der Konkurrenz ein Auto gekauft zu haben. Dies ist mit einem erheblichen Gefühl der Scham verbunden. Es handelt sich bei den Vertragsinformationen zwar nicht um hochsensible und höchstpersönliche Daten, der Kläger hatte jedoch ein offensichtliches Geheimhaltungsinteresse. Der Verstoß führt insoweit auch zu einem völligen Verlust der Kontrolle über die Daten, auch wenn die Information nur an eine Person geleitet wurde. Zudem erfolgte der Verstoß vorsätzlich, auch wenn der Beklagte zu 2), wie die Beklagte zu 1) unbestritten vorgetragen hat, keine Schädigungsabsicht gehabt hat.

Für die Frage der Schadensbemessung ist von Bedeutung, dass die Kammer die von dem Kläger behaupteten Folgen des Datenschutzverstoßes ihrer Entscheidung nicht zu Grunde legen kann.

Der Vortrag des Klägers zur Zerrüttung seines Arbeitsverhältnisses ist unsubstantiiert und prozessual unbeachtlich. Die Beklagte zu 1) hat sich offenbar im Betrieb des Klägers informiert und in ihrem Schriftsatz vom 23.08.2022 detailliert vorgetragen, dass es zu keiner Zerrüttung des Arbeitsverhältnisses gekommen ist. Dabei hat sie auch auf Ungereimtheiten im Vortrag des Klägers hingewiesen, die dieser selbst nicht entkräften konnte. So erfolgte die erste Krankschreibung des Klägers nicht unmittelbar nach dem streitgegenständlichen Vorfall, sondern erst einige Wochen später. Soweit der Kläger im April 2022 vorgetragen hat, seine Stelle sei neu besetzt worden und sein Vertrag ende „bald“, fehlt es an Vortrag dazu, wann dieser Zeitpunkt konkret sein soll. Da der Kläger noch mit Schriftsatz vom 02.08.2022 eine aktuelle Arbeitsunfähigkeitsbescheinigung bis zum 15.08.2022 vorgelegt hat, scheinen deutliche Zweifel angebracht, ob das Arbeitsverhältnis überhaupt in absehbarer Zeit enden wird. Auch fehlt es an substantiiertem Vortrag zu einer dauerhaften Arbeitsunfähigkeit des Klägers, da dieser nach den vorliegenden Unterlagen lediglich im Zeitraum Ende August bis Anfang Oktober 2021 und im Zeitraum um die Replik im August 2022 krankgeschrieben gewesen ist, somit lediglich für wenige Wochen. Da der Kläger auf den Vortrag der Beklagten zu 1) in ihrem Schriftsatz vom 23.08.2022 nicht mehr reagiert hat, gilt der Vortrag der Beklagten zu 1) als zugestanden.

Auch soweit der Kläger vorgetragen hat, an einer Depression zu leiden, ist sein Vortrag unbeachtlich. Ein ärztliches Attest, das diese Diagnose belegen könnte, hat er nicht vorgelegt. Sein Hausarzt hat ihm am 24.09.2021 lediglich eine „depressive Episode“ diagnostiziert. Substantiierter Sachvortrag zu seinen konkreten Symptomen, die es erlauben würden, die Diagnose einer Depression, egal in welcher Form, zu stellen, ist nicht erfolgt. Etwas anderes ergibt sich auch nicht aus dem Schreiben des Prof. X (Anlage K020). Hierbei handelt es sich nicht etwa um ein Privatgutachten, das geeignet wäre, den klägerischen Vortrag zu substantiieren, sondern um ein in einem reißerischen Tonfall geschriebenes Gefälligkeitsschreiben, das für die Kammer insgesamt unbeachtlich war. Nicht nur lässt es Prof. X an jeglicher Neutralität in Bezug auf den hier anhängigen Rechtsstreit vermissen. Es ergibt sich aus dem Schreiben noch nicht einmal, ob der Kläger bei Prof. X überhaupt in Behandlung war, so dass für die Kammer nicht ersichtlich ist, auf welcher therapeutischen Grundlage sich der Prof. X überhaupt ein Urteil zum Gesundheitszustand des Klägers anmaßt.

Die Kammer will nicht in Abrede stellen, dass der Kläger tatsächlich unter hohem psychischen Druck steht. Er war in der mündlichen Verhandlung sichtlich angefasst und schien deutlich zu leiden. Dieses Leiden ist jedoch nicht derart substantiiert im Prozess vorgetragen worden, dass es für die Kammer prozessual verwertbar wäre und für die Einholung eines psychologischen Sachverständigengutachtens gereicht hätte. Dies gilt nicht nur für den Vortrag des Klägers hinsichtlich des Vorliegens einer Depression, sondern auch für die Frage, ob gerade der Datenschutzverstoß der Beklagten für die Krankheit des Klägers kausal geworden ist. Die Einholung eines Sachverständigengutachtens würde vor diesem Hintergrund einem Ausforschungsbeweis gleichkommen.

Bei der Bemessung des Schmerzensgelds war weiterhin zu berücksichtigen, dass die Beklagte zu 1) eine strafbewehrte Unterlassungserklärung abgegeben und sich bereits mit E-Mail vom 20.07.2021 beim Kläger entschuldigt hat. Weiterhin war zu berücksichtigen, dass nach Sinn und Zweck von Art. 82 DS-GVO das Schmerzensgeld so zu bemessen ist, dass es eine abschreckende Wirkung auf die Beklagte ausübt. Dabei war jedoch auch darauf zu achten, dass auch nach der Konzeption des Art. 82 DS-GVO der Schadensersatz nicht in einen Strafschadensersatz ausartet, sondern in erster Linie der Kompensation tatsächlich entstandener Schäden beim Kläger dient (vgl. Erwägungsgrund (146) S. 5 DS-GVO: „erlittener Schaden“). In diesem Zusammenhang war für die Kammer entscheidend auf die finanzielle Situation der Beklagten zu 1) abzustellen, nicht hingegen auf die Finanzkraft des „V-Konzern s“ insgesamt. Die Beklagte zu 1) mag zum V-Konzern gehören, sie ist aber rechtlich unabhängig. Der Kläger hat nicht die Volkswagen AG verklagt, so dass der Vortrag zu deren Umsätzen unbeachtlich ist. Vortrag zur finanziellen Situation der Beklagten zu 1) fehlt indes. Daher verbietet sich auch eine Orientierung an einem möglicherweise von der Aufsichtsbehörde noch zu verhängendem Bußgeld gegen die Beklagte zu 1). Der Vortrag des Klägers zur Höhe dieses Bußgelds, insbesondere dass dieses die Höchstgrenze des Art. 83 Abs. 4 DS-GVO von 10 Milliarden EUR erreichen könnte, stellt sich vor diesem Hintergrund nicht als eine ernsthafte Prognose dar.

Unter Berücksichtigung sämtlicher dieser zuvor genannten Umstände hält die Kammer gemäß § 287 ZPO insgesamt einen Schadensersatz von 4.000 EUR für notwendig, aber auch ausreichend zur Kompensation des dem Kläger entstandenen Schadens.


Den Volltext der Entscheidung finden Sie hier:

VG Neustadt: Datenerhebung und Datenspeicherung durch das Statistische Landesamt Rheinland-Pfalz im Rahmen des Zensus 2022 rechtmäßig und datenschutzkonform

VG Neustadt
Beschluss vom 27.10.2022
3 L 763/22.NW


Das VG Neustadt hat entschieden, dass die Datenerhebung und Datenspeicherung durch das Statistische Landesamt Rheinland-Pfalz im Rahmen des Zensus 2022 rechtmäßig und datenschutzkonform war bzw. ist.

Die Pressemitteilung des Gerichts:
Datenerhebung im Rahmen des Zensus 2022 rechtmäßig

Das Statistische Landesamt Rheinland-Pfalz ist berechtigt, im Zuge der Gebäude- und Wohnungszählung (GWZ) im Rahmen des Zensus 2022 die im Gesetz zur Durchführung des Zensus im Jahr 2022 (ZensG 2022) näher bezeichneten, strukturellen Angaben einschließlich sog. statistischer Hilfsmerkmale zu erheben. Dies geht aus einem Beschluss des Verwaltungsgerichts Neustadt/Wstr. vom 27. Oktober 2022 hervor.

Die Antragsteller bewohnen ein Anwesen im Landkreis Kaiserslautern. Der Antragsgegner erinnerte die Antragsteller mit Schreiben vom 27. Juni 2022 an die Beantwortung und Rückleitung der Datenanforderung zur GWZ bis zum 10. Juli 2022, nachdem diese ihrer Erklärungspflicht bis zu diesem Zeitpunkt nicht nachgekommen waren. Mit der Erinnerung wurde den Antragstellern mitgeteilt, dass sie die Fragen Online beantworten oder in Papierform an einen näher bezeichneten privaten Dienstleister senden könnten, der den Papierbogen digitalisiere und zur Geheimhaltung verpflichtet sei.

Am 4. Juli 2022 legten die Antragsteller dagegen Widerspruch ein. Der Widerspruch wurde mit Widerspruchsbescheid vom 4. August 2022 zurückgewiesen. Nach Zustellung des Widerspruchsbescheids erhoben die Antragsteller am 12.9.2022 Klage und suchten um vorläufigen gerichtlichen Rechtsschutz nach, mit der Begründung, dass die einschlägigen Rechtsvorschriften des Zensusgesetzes 2022 und die dort geregelte Behandlung von Hilfsmerkmalen verfassungswidrig seien. Der wirksame Schutz digital gespeicherter Daten könne grundsätzlich nicht gewährleistet werden, eine Deanonymisierung sei nicht ausgeschlossen. Der US-amerikanische IT-Dienstleister, der in den Betrieb der Internetpräsenz „www.zensus2022.de“ eingebunden sei, könne auf technische Daten zugreifen und biete im öffentlichen Teil der Website ein Kontaktformular an, über das Nutzer Statistikämter anschreiben könnten. Hierzu seien persönliche Daten einzugeben, deren Weitergabe an unbefugte Dritte nicht ausgeschlossen werden könne. Das vertraglich zugesicherte Versprechen des Dienstleisters, Daten ausschließlich auf europäischen Servern zu verarbeiten, sei mit Blick auf den „CLOUD Act“ unzureichend. Die Einbindung des Dienstleisters sei damit zugleich unionsrechtswidrig.

Der Antrag wurde mit Beschluss der 3. Kammer vom 27. Oktober 2022 abgelehnt.

Durch die Heranziehung der Antragsteller zu den im Rahmen der GWZ im Zensus 2022 angeforderten Auskünften sei das Recht auf informationelle Selbstbestimmung nicht verletzt. Die Ausgestaltung des Zensus 2022 entspreche den Vorgaben, die das Bundesverfassungsgericht in seinem Urteil vom 19. September 2018 (Az.: 2 BvF 1/15 und 2/15) zum Zensus 2011 sowie in dem zur Volkszählung ergangenen Urteil vom 15. Dezember 1983 (Az.: 1 BvR 209/83 u.a.) gemacht habe. Die rechtlichen Schutzmechanismen des ZensG 2022 blieben dabei nicht hinter denjenigen des Zensusgesetzes 2011 zurück. Der Grundsatz der Verhältnismäßigkeit sei gewahrt. Auch unter Berücksichtigung der Fortentwicklung der statistischen Wissenschaft seien Möglichkeiten einer grundrechtsschonenderen Datenerhebung nicht ersichtlich. Verbleibende Restrisiken der Deanonymisierung und Reidentifizierung seien zwar nicht auszuschließen, als notwendige Folge einer im überwiegenden Allgemeininteresse angeordneten Statistik jedoch hinzunehmen. Die Heranziehung zur Auskunftserteilung verstoße auch nicht gegen datenschutzrechtliche Bestimmungen und sei insbesondere mit den Regelungen der Datenschutzgrundverordnung vereinbar. Das Hosting des öffentlichen Bereichs der Zensus 2022-Homepage durch einen US-amerikanischen Dienstleister stehe der Rechtmäßigkeit der Durchführung des Zensus 2022 nicht entgegen. Die Verarbeitung von Hosting-Daten durch den Dienstleister erfolge nur in europäischen Rechenzentren und unter ausschließlicher Nutzung europäisch registrierter IP-Adressen. Befragungsdaten der Auskunftspflichtigen zum Zensus seien von der Verarbeitung nicht umfasst, sondern lediglich allgemein zugängliche Metadaten, wie IP-Adresse des Abrufs, Internetbrowser, Betriebssystem oder Uhrzeit des Seitenaufrufs. Der Antragsgegner dürfe auf die vertraglichen Zusagen des Dienstleisters vertrauen. Die Einlassungen der Antragsteller zu einem denkbaren Zugriff US-amerikanischer Sicherheitsbehörden im Rahmen des sog. "CLOUD-Act" blieben spekulativ und stünden einer Datenerhebung durch den Antragsgegner auch deshalb nicht entgegen, weil das Bundesverfassungsgericht verbleibende Restrisiken trotz Anspannung aller zumutbaren Vorkehrungen als grundsätzlich notwendige Folge einer im überwiegenden Allgemeininteresse angeordneten Statistik akzeptiert habe. Überdies sei der US-amerikanische IT-Dienstleister nach Auskunft des Bundesbeauftragten für den Datenschutz aufgrund zwischenzeitlich vorgenommener Änderungen beim Aufruf des Online-Fragebogens nicht mehr eingebunden, sodass auch eine Übermittlung von Metadaten nicht mehr erfolge. Damit griffen auch die von dem EuGH (Rechtssache C-311/18 "Schrems II") geäußerten Bedenken gegen eine Übertragung personenbezogener Daten von EU-Bürgern in die Vereinigten Staaten nicht durch. Die Übermittlung der eigentlichen Befragungsdaten erfolge unter Einhaltung der Vorgaben des Zensusvorbereitungsgesetzes 2022 verschlüsselt, womit der Gefahr des Zugriffs unbefugter Dritter wirksam begegnet werde. Dabei stehe es den Antragstellern frei, den Fragebogen in Papierform einzureichen. Die hierfür zur technischen Umsetzung in Gestalt der Digitalisierung eingebundene Firma sei zur Geheimhaltung verpflichtet. Sie habe kein Datenzugriffsrecht und erbringe damit unter datenschutzrechtlichen Aspekten keine Dienstleistung, die einen intensiveren Zugriff auf Daten der Antragsteller erlaube, als beispielsweise die Beauftragung eines privaten Postunternehmens, das mit Übergabe eines Briefs jedenfalls potenziell gleichfalls Zugriff auf die darin enthaltenen Daten habe.

Gegen den Beschluss ist das Rechtsmittel der Beschwerde zum Oberverwaltungsgericht Rheinland-Pfalz zulässig.

Verwaltungsgericht Neustadt, Beschluss vom 27. Oktober 2022 – 3 L 763/22.NW



BGH legt EuGH weitere Fragen zur Abmahnbefugnis bzw. Klagebefugnis von Verbraucherschutzverbänden bei DSGVO-Verstößen zur Entscheidung vor

BGH
Beschluss vom 10.11.2022
I ZR 186/17


Der BGH hat dem EuGH weitere Fragen zur Abmahnbefugnis bzw. Klagebefugnis von Verbraucherschutzverbänden bei DSGVO-Verstößen zur Entscheidung vorgelegt.

Die Pressemitteilung des BGH:
BGH legt EuGH erneut eine Frage zur Klagebefugnis von Verbraucherschutzverbänden bei Datenschutzverstößen durch Facebook vor

Der unter anderem für Wettbewerbsrecht zuständige I. Zivilsenat des Bundesgerichtshofs hat darüber zu entscheiden, ob ein Verstoß des Betreibers eines sozialen Netzwerks gegen die datenschutzrechtliche Verpflichtung, die Nutzer dieses Netzwerks über Umfang und Zweck der Erhebung und Verwendung ihrer Daten zu unterrichten, wettbewerbsrechtliche Unterlassungsansprüche begründet und von Verbraucherschutzbänden verfolgt werden kann.

Sachverhalt:

Die in Irland ansässige Beklagte, die Meta Platform Ireland Limited (ehemals Facebook Ireland Limited), betreibt das soziale Netzwerk "Facebook". Auf der Internetplattform dieses Netzwerks befindet sich ein "App-Zentrum", in dem die Beklagte den Nutzern ihrer Plattform kostenlos Online-Spiele anderer Anbieter zugänglich macht. Im November 2012 wurden in diesem App-Zentrum mehrere Spiele angeboten, bei denen unter dem Button "Sofort spielen" folgende Hinweise zu lesen waren: "Durch das Anklicken von ‚Spiel spielen‚ oben erhält diese Anwendung: Deine allgemeinen Informationen, Deine-Mail-Adresse, Über Dich, Deine Statusmeldungen. Diese Anwendung darf in deinem Namen posten, einschließlich dein Punktestand und mehr." Bei einem Spiel endeten die Hinweise mit dem Satz: "Diese Anwendung darf Statusmeldungen, Fotos und mehr in deinem Namen posten."

Der Kläger ist der in der Liste qualifizierter Einrichtungen nach § 4 UKlaG eingetragene Dachverband der Verbraucherzentralen der Bundesländer. Er beanstandet die Präsentation der unter dem Button "Sofort spielen" gegebenen Hinweise im App-Zentrum als unlauter unter anderem unter dem Gesichtspunkt des Rechtsbruchs wegen Verstoßes gegen gesetzliche Anforderungen an die Einholung einer wirksamen datenschutzrechtlichen Einwilligung des Nutzers. Ferner sieht er in dem abschließenden Hinweis bei einem Spiel eine den Nutzer unangemessen benachteiligende Allgemeine Geschäftsbedingung. Er hält sich zur Geltendmachung von Unterlassungsansprüchen im Wege der Klage vor den Zivilgerichten gemäß § 8 Abs. 3 Nr. 3 UWG und § 3 Abs. 1 Satz 1 Nr. 1 UKlaG für befugt.

Bisheriger Prozessverlauf:

Der Bundesgerichtshof hat das Verfahren mit Beschluss vom 28. Mai 2020 (I ZR 86/17, GRUR 2020, 896 = WRP 2020, 1182 - App-Zentrum I) ausgesetzt und dem Gerichtshof der Europäischen Union die Frage zur Vorabentscheidung vorgelegt, ob die in Kapitel VIII, insbesondere in Art. 80 Abs. 1 und 2 sowie Art. 84 Abs. 1 der Verordnung (EU) 2016/679 (Datenschutz-Grundverordnung) getroffenen Bestimmungen nationalen Regelungen entgegenstehen, die - neben den Eingriffsbefugnissen der zur Überwachung und Durchsetzung der Verordnung zuständigen Aufsichtsbehörden und den Rechtsschutzmöglichkeiten der betroffenen Personen - einerseits Mitbewerbern und andererseits nach dem nationalen Recht berechtigten Verbänden, Einrichtungen und Kammern die Befugnis einräumen, wegen Verstößen gegen die Datenschutz-Grundverordnung unabhängig von der Verletzung konkreter Rechte einzelner betroffener Personen und ohne Auftrag einer betroffenen Person gegen den Verletzer im Wege einer Klage vor den Zivilgerichten vorzugehen.

Der Gerichtshof der Europäischen Union hat dazu mit Urteil vom 28. April 2022
C-319/20, GRUR 2022, 920 = WRP 2022, 684 - Meta Platforms Ireland) entschieden, dass Art. 80 Abs. 2 der VO (EU) 2016/679 einer nationalen Regelung, nach der ein Verband zur Wahrung von Verbraucherinteressen gegen den mutmaßlichen Verletzer des Schutzes personenbezogener Daten ohne entsprechenden Auftrag und unabhängig von der Verletzung konkreter Rechte betroffener Personen Klage mit der Begründung erheben kann, dass gegen das Verbot der Vornahme unlauterer Geschäftspraktiken, ein Verbraucherschutzgesetz oder das Verbot der Verwendung unwirksamer Allgemeiner Geschäftsbedingungen verstoßen worden sei, nicht entgegensteht, sofern die betreffende Datenverarbeitung die Rechte identifizierter oder identifizierbarer natürlicher Personen aus dieser Verordnung beeinträchtigen kann.

Die Entscheidung des Bundesgerichtshofs:

Der Bundesgerichtshof hat nach mündlicher Verhandlung vom 29. September 2022 das Verfahren erneut ausgesetzt und dem Gerichtshof der Europäischen Union die Frage zur Vorabentscheidung vorgelegt, ob eine Rechtsverletzung "infolge einer Verarbeitung" im Sinne von Art. 80 Abs. 2 DSGVO geltend gemacht wird, wenn ein Verband zur Wahrung von Verbraucherinteressen seine Klage darauf stützt, die Rechte einer betroffenen Person seien verletzt, weil die Informationspflichten gemäß Art. 12 Abs. 1 Satz 1 DSGVO in Verbindung mit Art. 13 Abs. 1 Buchst. c und e DSGVO über den Zweck der Datenverarbeitung und den Empfänger der personenbezogenen Daten nicht erfüllt worden seien.

Die Notwendigkeit einer erneuten Vorlage ergibt sich aus folgenden Umständen: Der Senat ist in seinem ersten Vorlagebeschluss vom 28. Mai 2020 davon ausgegangen, dass sich eine nach deutschem Recht gemäß § 8 Abs. 3 Nr. 3 UWG und § 3 Abs. 1 Satz 1 Nr. 1 UKlaG bestehende Klagebefugnis des Klägers wegen seines im Streitfall allein auf die objektiv-rechtliche Durchsetzung des Datenschutzrechts gerichteten Klagebegehrens nicht den die Rechtsbehelfe, die Haftung und Sanktionen regelnden Bestimmungen des Kapitels VIII der Datenschutz-Grundverordnung und insbesondere nicht den Art. 80 Abs. 1 und 2 DSGVO oder Art. 84 Abs. 1 DSGVO entnehmen lässt. Er hat daher dem Gerichtshof der Europäischen Union mit seinem ersten Vorabentscheidungsersuchen die Frage vorgelegt, ob die Datenschutz-Grundverordnung in Bezug auf die Klagebefugnis eine abschließende Regelung trifft, die der Anwendbarkeit der § 8 Abs. 3 Nr. 3 UWG und § 3 Abs. 1 Satz 1 Nr. 1 UKlaG entgegensteht.

Der Gerichtshof der Europäischen Union hat - abweichend von der vom Senat im Vorlagebeschluss vertretenen Ansicht - entschieden, dass sich die Klagebefugnis des Klägers aus Art. 80 Abs. 2 DSGVO ergeben kann. Die in Art. 80 Abs. 2 DSGVO den Mitgliedstaaten eröffnete Möglichkeit, ein Verfahren einer Verbandsklage gegen den mutmaßlichen Verletzer des Schutzes personenbezogener Daten vorzusehen, besteht allerdings nur für den Fall, dass der klagende Verband geltend macht, die Rechte einer betroffenen Person gemäß der Datenschutz-Grundverordnung seien "infolge einer Verarbeitung" verletzt worden. Es ist fraglich, ob diese Voraussetzung erfüllt ist, wenn - wie im Streitfall - die sich aus Art. 12 Abs. 1 Satz 1, Art. 13 Abs. 1 Buchst. c und e DSGVO ergebenden Informationspflichten verletzt worden sind. Die erneute Vorlage an den Gerichtshof der Europäischen Union dient der Klärung dieser Frage.

Vorinstanzen:

LG Berlin - Urteil vom 28. Oktober 2014 - 16 O 60/13 - CR 2015, 121

Kammergericht Berlin - Urteil vom 22. September 2017 - 5 U 155/14 - GRUR-RR 2018, 115

Verordnung (EU) 2016/679 (Datenschutz-Grundverordnung)

Artikel 4 Begriffsbestimmungen

Im Sinne dieser Verordnung bezeichnet der Ausdruck: …

2. "Verarbeitung" jeden mit oder ohne Hilfe automatisierter Verfahren ausgeführten Vorgang oder jede solche Vorgangsreihe im Zusammenhang mit personenbezogenen Daten wie das Erheben, das Erfassen, die Organisation, das Ordnen, die Speicherung, die Anpassung oder Veränderung, das Auslesen, das Abfragen, die Verwendung, die Offenlegung durch Übermittlung, Verbreitung oder eine andere Form der Bereitstellung, den Abgleich oder die Verknüpfung, die Einschränkung, das Löschen oder die Vernichtung; …

Artikel 12 Transparente Information, Kommunikation und Modalitäten für die Ausübung der Rechte der betroffenen Person

(1) Der Verantwortliche trifft geeignete Maßnahmen, um der betroffenen Person alle Informationen gemäß den Artikeln 13 und 14 …, die sich auf die Verarbeitung beziehen, in präziser, transparenter, verständlicher und leicht zugänglicher Form in einer klaren und einfachen Sprache zu übermitteln; ...

Artikel 13 Informationspflicht bei Erhebung von personenbezogenen Daten bei der betroffenen Person

(1) Werden personenbezogene Daten bei der betroffenen Person erhoben, so teilt der Verantwortliche der betroffenen Person zum Zeitpunkt der Erhebung dieser Daten Folgendes mit: …

c) die Zwecke, für die die personenbezogenen Daten verarbeitet werden sollen, sowie die Rechtsgrundlage für die Verarbeitung; ...

e) gegebenenfalls die Empfänger oder Kategorien von Empfängern der personenbezogenen Daten ...

Artikel 80 Vertretung von betroffenen Personen

(1) Die betroffene Person hat das Recht, eine Einrichtung, Organisationen oder Vereinigung ohne Gewinnerzielungsabsicht, die ordnungsgemäß nach dem Recht eines Mitgliedstaats gegründet ist, deren satzungsmäßige Ziele im öffentlichem Interesse liegen und die im Bereich des Schutzes der Rechte und Freiheiten von betroffenen Personen in Bezug auf den Schutz ihrer personenbezogenen Daten tätig ist, zu beauftragen, in ihrem Namen eine Beschwerde einzureichen, in ihrem Namen die in den Artikeln 77, 78 und 79 genannten Rechte wahrzunehmen und das Recht auf Schadensersatz gemäß Artikel 82 in Anspruch zu nehmen, sofern dieses im Recht der Mitgliedstaaten vorgesehen ist.

(2) Die Mitgliedstaaten können vorsehen, dass jede der in Absatz 1 des vorliegenden Artikels genannten Einrichtungen, Organisationen oder Vereinigungen unabhängig von einem Auftrag der betroffenen Person in diesem Mitgliedstaat das Recht hat, bei der gemäß Artikel 77 zuständigen Aufsichtsbehörde eine Beschwerde einzulegen und die in den Artikeln 78 und 79 aufgeführten Rechte in Anspruch zu nehmen, wenn ihres Erachtens die Rechte einer betroffenen Person gemäß dieser Verordnung infolge einer Verarbeitung verletzt worden sind.



BVerfG: Übermittlung mit nachrichtendienstlichen Mitteln erhobener personenbezogener Daten auf Grundlage von § 20 Abs. 1 BVerfSchG grundrechtswidrig

BVerfG
Beschluss vom 28.09.2022
1 BvR 2354/13


Das Bundesverfassungsgericht hat entschieden, dass die Übermittlung mit nachrichtendienstlichen Mitteln erhobener personenbezogener Daten auf Grundlage von § 20 Abs. 1 BVerfSchG grundrechtswidrig ist.

Die Pressemitteilung des Bundesverfassungsgerichts:
Erfolgreiche Verfassungsbeschwerde gegen die Übermittlung mit nachrichtendienstlichen Mitteln erhobener personenbezogener Daten

Mit heute veröffentlichtem Beschluss hat der Erste Senat des Bundesverfassungsgerichts entschieden, dass die Übermittlungsbefugnisse der Verfassungsschutzbehörden in Angelegenheiten des Staats- und Verfassungsschutzes nach dem Bundesverfassungsschutzgesetz (BVerfSchG) mit dem Grundrecht auf informationelle Selbstbestimmung aus Art. 2 Abs. 1 in Verbindung mit Art. 1 Abs. 1 des Grundgesetzes (GG) nicht vereinbar sind. Dies gilt, soweit sie zur Übermittlung personenbezogener Daten verpflichten, die mit nachrichtendienstlichen Mitteln erhoben wurden. Die betreffenden Vorschriften verstoßen gegen die Normenklarheit und den Grundsatz der Verhältnismäßigkeit. Zudem fehlt es an einer spezifisch normierten Protokollierungspflicht. Die angegriffenen Normen gelten - mit Blick auf die betroffenen Grundrechte jedoch nach einschränkenden Maßgaben - bis zum 31. Dezember 2023 vorübergehend fort.

Sachverhalt:

Nach § 20 Abs. 1 Satz 1 BVerfSchG übermittelt das Bundesamt für Verfassungsschutz personenbezogene Daten und Informationen an Polizeien und Staatsanwaltschaften, wenn tatsächliche Anhaltspunkte dafür bestehen, dass die Übermittlung zur Verhinderung oder Verfolgung von Staatsschutzdelikten erforderlich ist. § 20 Abs. 1 Satz 2 BVerfSchG definiert die Staatsschutzdelikte unter anderem als die in §§ 74a und 120 des Gerichtsverfassungsgesetzes (GVG) genannten Straftaten sowie sonstige Straftaten, die gegen die in Art. 73 Abs. 1 Nr. 10 Buchstabe b oder c GG genannten Schutzgüter gerichtet sind. § 21 Abs. 1 Satz 1 BVerfSchG erstreckt die Übermittlungspflichten des § 20 Abs. 1 Satz 1 und 2 BVerfSchG entsprechend auf die Verfassungsschutzbehörden der Länder. Auf diese Übermittlungsregelungen verweist das Rechtsextremismus-Datei-Gesetz (RED-G). Die Rechtsextremismus-Datei ist eine der Bekämpfung des gewaltbezogenen Rechtsextremismus dienende Verbunddatei von Polizeibehörden und Nachrichtendiensten des Bundes und der Länder, die in ihrem Kern der Informationsanbahnung dient. Dazu werden in ihr spezifische personenbezogene Daten gespeichert, wenn ihre Kenntnis für die Aufklärung oder Bekämpfung des gewaltbezogenen Rechtsextremismus erforderlich ist. Der Beschwerdeführer, der im Prozess um den Nationalsozialistischen Untergrund rechtskräftig verurteilt wurde, wendet sich gegen die Übermittlungsbefugnisse der Verfassungsschutzbehörden und rügt eine Verletzung des Grundrechts auf informationelle Selbstbestimmung.

Wesentliche Erwägungen des Senats:

A. Die Verfassungsbeschwerde ist zulässig, soweit sie sich gegen die Übermittlungsvorschriften in § 20 Abs. 1 Satz 1 und 2 und § 21 Abs. 1 Satz 1 in Verbindung mit § 20 Abs. 1 Satz 1 und 2 BVerfSchG richtet. Der Beschwerdeführer beanstandet die Übermittlungstatbestände allerdings nur hinsichtlich der Übermittlung mit nachrichtendienstlichen Mitteln heimlich erhobener personenbezogener Daten.

Soweit der Beschwerdeführer zusätzlich die allgemeine Übermittlungsbefugnis des Bundesamtes für Verfassungsschutz nach § 19 Abs. 1 Satz 1 BVerfSchG in der Fassung vom 5. Januar 2007 angegriffen hat, ist die Verfassungsbeschwerde unzulässig. Nachdem in Folge einer Gesetzesänderung im Jahr 2015 die Altfassung außer Kraft getreten ist, fehlt es insoweit an einem fortdauernden Rechtsschutzbedürfnis. Der Beschwerdeführer hat seine Verfassungsbeschwerde auch nicht fristgerecht auf die Neufassung der Vorschrift umgestellt.

B. Soweit die Verfassungsbeschwerde zulässig ist, ist sie auch begründet.

I. Durch Übermittlungen personenbezogener Daten und Informationen nach den angegriffenen Regelungen ist das Grundrecht auf informationelle Selbstbestimmung als Ausprägung des allgemeinen Persönlichkeitsrechts aus Art. 2 Abs. 1 in Verbindung mit Art. 1 Abs. 1 GG betroffen. Die Übermittlung personenbezogener Daten, mit der eine Behörde die von ihr erhobenen Daten einer anderen Stelle zugänglich macht, begründet einen erneuten Grundrechtseingriff im Verhältnis zur ursprünglichen Datenerhebung.

II. Die angegriffenen Vorschriften sind zwar in formeller Hinsicht mit der Verfassung vereinbar. Insbesondere steht dem Bund hier die Gesetzgebungskompetenz zu. Denn die Gesetzgebungskompetenz des Bundes aus Art. 73 Abs. 1 Nr. 10 GG erstreckt sich nicht nur auf die Zusammenarbeit des Bundes und der Länder, sondern auch auf die der Länder untereinander. Sie umfasst hingegen nicht die Regelung der Zusammenarbeit zwischen Behörden desselben Landes.

III. Die angegriffenen Übermittlungsbefugnisse genügen jedoch nicht den verfassungsrechtlichen Anforderungen an die Normenklarheit und die Verhältnismäßigkeit und enthalten keine ausreichenden Vorgaben für eine Protokollierung der Datenübermittlung.

1. a) Ein Verstoß gegen das Gebot der Normenklarheit folgt hier allerdings nicht ohne weiteres bereits daraus, dass sich der Gesetzgeber mitunter mehrgliedriger Verweisungsketten bedient hat. Die Normenklarheit setzt der Verwendung gesetzlicher Verweisungsketten Grenzen, steht dieser aber nicht grundsätzlich entgegen. Maßgeblich bleibt die inhaltliche Verständlichkeit der Regelung für den Normbetroffenen. Bei der Normierung sicherheitsrechtlicher Datenverarbeitungen kann es zweckdienlich sein, auf Fachgesetze zu verweisen, in deren Kontext Auslegungsfragen – anders als bei heimlichen Maßnahmen – im Wechselspiel von Anwendungspraxis und gerichtlicher Kontrolle verbindlich geklärt werden können. Ob eine Verweisung mit dem Gebot der Normenklarheit vereinbar ist, hängt von einer wertenden Gesamtbetrachtung unter Berücksichtigung möglicher Regelungsalternativen ab. Das Erfassen des Normgehaltes wird insbesondere durch Verweisungsketten erleichtert, die die in Bezug genommenen Vorschriften vollständig aufführen.

Danach sind jedenfalls einige der selbst vielgliedrigen Verweisungsketten des § 20 Abs. 1 Satz 2 BVerfSchG unter dem Aspekt der Normenklarheit nicht zu beanstanden.

b) Jedoch regelt § 20 Abs. 1 Satz 2 BVerfSchG die Voraussetzungen der Übermittlungspflicht nicht durchgehend normenklar. Verweisungen dürfen nicht durch die Inbezugnahme von Normen, die andersartige Spannungslagen bewältigen, ihre Klarheit verlieren und in der Praxis nicht zu übermäßigen Schwierigkeiten bei der Anwendung führen. Dies droht vorliegend dadurch, dass zur Bestimmung der Straftaten, die eine Übermittlungspflicht auslösen, ohne weitere Einschränkung auf § 120 Abs. 2 GVG verwiesen wird. Nach dieser Vorschrift wird die Zuständigkeit der Oberlandesgerichte für bestimmte Straftaten nur begründet, wenn der Generalbundesanwalt wegen der besonderen Bedeutung des Falles die Verfolgung übernimmt. Ob und inwieweit dieses Tatbestandmerkmal auch im Rahmen der – insbesondere gefahrenabwehrrechtlichen – Übermittlungspflicht zu berücksichtigen ist, lässt § 20 Abs. 1 Satz 2 BVerfSchG in Verbindung mit § 120 Abs. 2 GVG nicht mit hinreichender Klarheit erkennen.

2. Die in § 20 Abs. 1 Satz 1 und 2 BVerfSchG geregelten Übermittlungsbefugnisse verstoßen zudem gegen den Grundsatz der Verhältnismäßigkeit.

a) Zwar dienen sie dem legitimen Zweck, Staatsschutzdelikte effektiv zu bekämpfen und damit einhergehend den Bestand und die Sicherheit des Staates sowie Leib, Leben und Freiheit der Bevölkerung zu schützen. Dass die angegriffenen Übermittlungsbefugnisse zur Erreichung dieser Zwecke grundsätzlich im verfassungsrechtlichen Sinne geeignet und erforderlich sind, steht nicht in Zweifel.

b) Sie sind jedoch nicht durchweg mit den Anforderungen des Grundsatzes der Verhältnismäßigkeit im engeren Sinne vereinbar.

aa) Nach diesem gilt für die Übermittlung personenbezogener Daten und Informationen von Verfassungsschutzbehörden an Sicherheitsbehörden mit operativen Anschlussbefugnissen grundsätzlich ein informationelles Trennungsprinzip. Aufgrund der weitreichenden Überwachungsbefugnisse der Verfassungsschutzbehörden unterliegen derartige Übermittlungen gesteigerten Rechtfertigungsvoraussetzungen. Jedenfalls wenn personenbezogene Daten und Informationen mit nachrichtendienstlichen Mitteln erhoben wurden, beurteilen sich diese nach dem Kriterium der hypothetischen Neuerhebung. Danach kommt es darauf an, ob der empfangenden Behörde zu dem jeweiligen Übermittlungszweck eine eigene Datenerhebung und Informationsgewinnung mit vergleichbar schwerwiegenden Mitteln wie der vorangegangenen Überwachung durch die Verfassungsschutzbehörde erlaubt werden dürfte.

(1) Die Übermittlung an eine Gefahrenabwehrbehörde setzt daher voraus, dass sie dem Schutz eines besonders gewichtigen Rechtsguts dient, für das wenigstens eine hinreichend konkretisierte Gefahr besteht. Im Grundsatz steht es dem Gesetzgeber bei der Normierung der Übermittlungsvoraussetzungen frei, das erforderliche Rechtsgut nicht unmittelbar zu benennen, sondern an entsprechende Straftaten anzuknüpfen. Die Übermittlung kann dabei als Übermittlungsschwelle grundsätzlich auch an die Gefahr der Begehung solcher Straftaten anknüpfen, bei denen die Strafbarkeitsschwelle durch die Pönalisierung von Vorbereitungshandlungen oder bloßen Rechtsgutgefährdungen in das Vorfeld von Gefahren verlagert wird. Der Gesetzgeber muss dann aber sicherstellen, dass in jedem Einzelfall eine konkrete oder konkretisierte Gefahr für das durch den Straftatbestand geschützte Rechtsgut vorliegt. Diese ergibt sich nicht notwendiger Weise bereits aus der Gefahr der Tatbestandsverwirklichung selbst.

(2) Die Übermittlung an eine Strafverfolgungsbehörde kommt nur zur Verfolgung besonders schwerer Straftaten in Betracht und setzt voraus, dass ein durch bestimmte Tatsachen begründeter Verdacht vorliegt, für den konkrete und verdichtete Umstände als Tatsachenbasis vorhanden sind.

bb) Diesen Anforderungen genügen die angegriffenen Vorschriften nicht. § 20 Abs. 1 Satz 1 BVerfSchG benennt bei der Regelung der Übermittlung nachrichtendienstlich erhobener Daten zur Gefahrenabwehr nicht unmittelbar das zu schützende Rechtsgut, sondern knüpft – grundsätzlich zulässig – ebenso wie bei der Übermittlung zur Strafverfolgung an die in § 20 Abs. 1 Satz 2 BVerfSchG aufgeführten Straftaten an. Allerdings können nicht alle in den §§ 74a, 120 GVG genannten und durch die Vorschrift pauschal in Bezug genommenen Straftaten als besonders schwere Straftaten qualifiziert werden. Gleiches gilt für den offenen Übermittlungstatbestand, der beliebige sonstige Straftaten alleine aufgrund ihrer Zielsetzung oder des Motivs des Täters mit einbezieht.

Insoweit hilft es auch nicht, dass § 23 Nr. 1 BVerfSchG ein allgemeines Verbot unverhältnismäßiger Übermittlungen enthält. Dieser Pauschalvorbehalt strukturiert den Abwägungsprozess trotz der inzwischen erfolgten verfassungsgerichtlichen Konkretisierung der Anforderungen jedenfalls wegen der in § 20 Abs. 1 Satz 1 BVerfSchG normierten Pflicht zur Übermittlung nicht in einer Weise, dass eine Beschränkung der Übermittlung auf Fälle gesichert wäre, in denen die notwendigen Voraussetzungen vorliegen.

Darüber hinaus fehlt es an der verfassungsrechtlich gebotenen Übermittlungsschwelle. Die angegriffenen Vorschriften erlauben eine Übermittlung bereits dann, wenn tatsächliche Anhaltspunkte dafür bestehen, dass diese zur Verhinderung oder Verfolgung von Staatsschutzdelikten erforderlich ist. Sie ermöglichen damit die Übermittlung von Informationen, die unabhängig von einer konkretisierten Gefahrenlage oder von bestimmten, den Verdacht begründenden Tatsachen als erforderlich angesehen werden können.

3. Schließlich genügen die Übermittlungsvorschriften den verfassungsrechtlichen Anforderungen an eine spezifisch normierte Pflicht zur Protokollierung der Übermittlung sowie zur Nennung der für die Übermittlung in Anspruch genommenen Rechtsgrundlage nicht.


VG Ansbach: Fotografieren von Falschparkern und Übermittlung an Ordnungsbehörden durch Privatpersonen nicht datenschutzwidrig - berechtigtes Interesse gemäß Art. 6 Abs 1 lit. f DSGVO

VG Ansbach
Urteile vom 02.11.2022
AN 14 K 22.00468 und AN 14 K 21.01431


Das VG Ansbach hat entschieden, dass das Fotografieren von Falschparkern und die Übermittlung an die Polizei bzw. Ordnungsbehörden durch Privatpersonen nicht datenschutzwidrig ist. Nach Ansicht des Gerichts liegt ein überwiegendes berechtigtes Interesse gemäß Art. 6 Abs 1 lit. f DSGVO vor.

Die Pressemitteilung des Gericht:

Verwaltungsgericht Ansbach gibt Klagen gegen Verwarnungen wegen Ablichtung von Falschparkern statt

Das Verwaltungsgericht Ansbach hat mit heute bekanntgegebenen Urteilen zwei Klagen gegen Verwarnungen des Landesamtes für Datenschutzaufsicht (LDA) stattgegeben, mit denen das LDA die Ablichtung von Falschparkern rügte.

Gegenstand der Verwarnungen waren von den Klägern angefertigte Fotoaufnahmen von ordnungswidrig geparkten Fahrzeugen, die die Kläger mitsamt Anzeigen an die zuständige Polizei übersandten. Bei den angezeigten Verstößen handelte es sich beispielsweise um Parken im absoluten Halteverbot oder ordnungswidrig auf Gehwegen.

Das Gericht hatte darüber zu entscheiden, ob die Übermittlung der Bildaufnahmen eine rechtmäßige Datenverarbeitung im Sinne des Art. 6 Abs. 1 Satz 1 Buchst. f der Datenschutz-Grundverordnung (DS-GVO) darstellte. Die Regelung setzt voraus, dass die Datenverarbeitung zur Wahrung der berechtigten Interessen des Verantwortlichen oder eines Dritten erforderlich ist. Die Beteiligten stritten insbesondere um die rechtliche Frage, ob für die Rechtmäßigkeit der Datenverarbeitung eine persönliche Betroffenheit des Anzeigenerstatters durch die Parkverstöße erforderlich sei und ob nicht für eine Anzeige die bloße schriftliche oder telefonische Schilderung des Sachverhalts unter Angabe des Fahrzeugkennzeichens genüge, sodass eine Übermittlung von Bildaufnahmen nicht erforderlich sei. Problematisch sei nach Ansicht des LDA zudem, dass mit den Fotos oft Daten erhoben würden, die über den reinen Parkvorgang hinausgingen, z.B. bei Ablichtung anderer Fahrzeuge und Personen. Die Kläger verwiesen auf ihnen gegenüber ergangene Hinweise der Polizei, wonach die Parksituation zum Beweis durch Fotoaufnahmen möglichst genau dokumentiert werden sollte. Zudem würde die Verfolgung der Ordnungswidrigkeiten durch die Anfertigung von Fotos
vereinfacht.

Die 14. Kammer des Verwaltungsgerichts Ansbach gab den Klagen mit Entscheidung vom 2. November 2022 statt. Die schriftlichen Urteilsbegründungen liegen noch nicht vor.

Die Entscheidungen sind nicht rechtskräftig. Gegen die Urteile kann Antrag auf Zulassung der Berufung zum Bayerischen Verwaltungsgerichtshof gestellt werden.

(VG Ansbach, Urteile vom 2. November 2022 – AN 14 K 22.00468 und AN 14 K 21.01431)



EuGH-Generalanwalt: Zugriff von Behörden auf mit IP-Adressen verknüpfte Identitätsdaten zur Verfolgung von Urheberrechtsverletzungen unionsrechtskonform wenn sie der einzige Anhaltspunkt sind

EuGH-Generalanwalt
Schlussanträge vom 27.10.2022
C-470/21
La Quadrature du Net u.a. (Personenbezogene Daten und Bekämpfung von Verletzungen der Rechte des geistigen Eigentums)


Der EuGH-Generalanwalt kommt in seinen Schlussanträgen zu dem Ergebnis, dass der Zugriff von Behörden auf mit IP-Adressen verknüpfte Identitätsdaten zur Verfolgung von Urheberrechtsverletzungen unionsrechtskonform ist, wenn diese der einzige Anhaltspunkt sind.

Die Pressemitteilung des EuGH:

Erster Generalanwalt Szpunar: Eine nationale Behörde müsste auf Identitätsdaten zugreifen dürfen, die mit IP-Adressen verknüpft sind, wenn diese Daten den einzigen Anhaltspunkt darstellen, um die Identität der Inhaber dieser Adressen, die der Urheberrechtsverletzungen verdächtigt werden, zu ermitteln

Seiner Ansicht nach erfüllt ein solcher Vorschlag voll und ganz die Anforderung der Verhältnismäßigkeit und stellt die Wahrung der von der Charta verbürgten Grundrechte sicher

Die Frage der Vorratsspeicherung bestimmter Daten von Internetnutzern ist eine Frage von ständiger Aktualität und Gegenstand einer noch jungen, aber bereits umfangreichen Rechtsprechung des Gerichtshofs.

Vier Vereinigungen zum Schutz der Rechte und Freiheiten im Internet (La Quadrature du Net, die Fédération des fournisseurs d'accès à Internet associatifs, Franciliens.net und das French Data Network) haben beim Conseil d'État (Staatsrat, Frankreich) einen Antrag auf Nichtigerklärung der stillschweigenden Entscheidung gestellt, mit der der Premierminister ihren Antrag auf Aufhebung eines Dekrets abgelehnt hat. Zum Schutz bestimmter geistiger Werke im Internet wurde eine automatisierte Verarbeitung personenbezogener Daten eingeführt.

Der Zweck dieser Verarbeitung liegt darin, an Einzelne die im Code de la propriété intellectuelle (Gesetzbuch über geistiges Eigentum) vorgesehene Warnung zu richten, deren Ziel es ist, die Straftat einer „négligence caractérisée“ (qualifizierte Fahrlässigkeit) zu bekämpfen, die eine Person begeht, wenn sie nicht verhindert, dass ihr Internetzugang der Begehung von Verletzungen der Rechte des geistigen Eigentums dient. Die Empfehlungen an die betreffenden Inhaber von Abonnements werden nach dem sogenannten Verfahren der „réponse graduée“ (abgestufte Reaktion) ausgesprochen. Die Vereinigungen machen geltend, dieses Dekret erlaube in unverhältnismäßiger Weise ohne vorherige Kontrolle durch einen Richter oder eine Behörde, die Garantien für Unabhängigkeit und Unparteilichkeit biete, wie es die Rechtsprechung des Gerichtshofs verlange
, den Zugang zu Verbindungsdaten im Hinblick auf Urheberrechtsverletzungen, die im Internet begangen würden und nicht
schwerwiegend seien.

Der Conseil d’État stellt fest, dass die Bediensteten der Haute Autorité pour la diffusion des œuvres et la protection des droits sur Internet (Hohe Behörde für die Verbreitung von Werken und den Schutz von Rechten im Internet, Hadopi) für diese Empfehlungen jedes Jahr eine beträchtliche Anzahl von Daten über die Identität der betroffenen Nutzer erheben. Diese Erhebung einer vorherigen Kontrolle zu unterwerfen, würde angesichts der Fülle dieser Empfehlungen die Gefahr bergen, dass die Umsetzung der Empfehlungen unmöglich würde. Er befragt daher den Gerichtshof nach der Tragweite einer solchen vorherigen Kontrolle und insbesondere zu der Frage, ob dieser Kontrolle die Identitätsdaten unterliegen, die einer IP-Adresse zugeordnet sind.

In seinen Schlussanträgen vom heutigen Tag vertritt der Erste Generalanwalt Maciej Szpunar die Ansicht, dass das Unionsrecht dahin ausgelegt werden sollte, dass es Maßnahmen nicht entgegensteht, die eine allgemeine und unterschiedslose Speicherung von IP-Adressen, die der Quelle einer Verbindung zugeordnet sind, für einen Zeitraum, der zeitlich auf das absolut Notwendige beschränkt ist, zum Zweck der Verhütung, Ermittlung, Feststellung und Verfolgung von Straftaten im Internet vorsehen, bei denen die IP-Adresse der einzige Anhaltspunkt ist, um die Identität der Person zu ermitteln, der diese Adresse zugewiesen war, als die Tat begangen wurde. Damit schlägt er dem Gerichtshof eine gewisse Anpassung der Rechtsprechung über im Licht des
Unionsrechts ausgelegte nationale Maßnahmen zur Vorratsspeicherung von IP-Adressen vor, ohne jedoch das Erfordernis der Verhältnismäßigkeit in Frage zu stellen, dem die Vorratsspeicherung von Daten angesichts der Schwere des mit ihr verbundenen Eingriffs in die in der Charta der Grundrechte der Europäischen Union verankerten Grundrechte unterliegt.

Der Erste Generalanwalt fügt hinzu, dass der Zugang der Hadopi zu den mit einer IP-Adresse verknüpften Identitätsdaten auch offenbar durch das dem Gemeinwohl dienende Ziel gerechtfertigt ist, zu dem die Vorratsspeicherung den Anbietern elektronischer Kommunikationsdienste auferlegt worden ist, sodass zur Verfolgung des gleichen Zwecks der Zugang zu diesen Daten ermöglicht werden sollte, weil andernfalls eine allgemeine Straflosigkeit für ausschließlich im Internet begangene Straftaten hingenommen werden müsste.

Seiner Ansicht nach verlangt das Unionsrecht nicht, den Zugang der Hadopi zu den mit den IP-Adressen der Nutzer verknüpften Identitätsdaten der vorherigen Kontrolle durch ein Gericht oder eine unabhängige Verwaltungsstelle zu unterwerfen, und zwar aus zweierlei Gründen: Zum einen bleibt der Zugang der Hadopi darauf beschränkt, die Identitätsdaten mit der verwendeten IP-Adresse und der zu einem bestimmten Zeitpunkt aufgerufenen Datei in Verbindung zu bringen, ohne dass dies dazu führt, dass die zuständigen Behörden die vom betroffenen Nutzer besuchten Internetseiten nachverfolgen können, so dass sie daher auch keine genauen Schlüsse auf sein Privatleben ziehen können, die über die Kenntnis der bestimmten Datei, die zum Zeitpunkt des Verstoßes aufgerufen wurde, hinausgehen. Zum anderen ist der Zugriff der Hadopi zu den mit den IP-Adressen verknüpften
Identitätsdaten streng auf das beschränkt, was zur Erreichung des verfolgten Ziels notwendig ist, nämlich die Verhütung, Ermittlung, Feststellung und Verfolgung von Straftaten im Internet zu ermöglichen, bei denen die IP-Adresse der einzige Anhaltspunkt ist, um die Identität der Person zu ermitteln, der diese Adresse zugewiesen war, als die Tat begangen wurde, ein Ziel, in das sich der Mechanismus der abgestuften Reaktion einfügt. Der Erste Generalanwalt weist schließlich darauf hin, dass das Verfahren der abgestuften Reaktion weiterhin den Bestimmungen der Richtlinie 2016/680 unterliegt und somit die von der Hadopi erfassten natürlichen Personen eine Reihe von materiellen und prozeduralen Garantien genießen.


Die vollständigen Schlussanträge finden Sie hier:

EuGH: Anbieter öffentlicher Verzeichnisse müssen bei Löschungsantrag durch gelistete Person Betreiber von Suchmaschinen über Löschungsbegehren informieren

EuGH
Urteil vom 27.10.2022
C-129/21
Proximus (Öffentliche elektronische Teilnehmerverzeichnisse)


Der EuGH hat entschieden, dass Anbieter öffentlicher Verzeichnisse bei Löschungsanträgen durch gelistete Person auch Betreiber von Suchmaschinen über das Löschungsbegehren informieren müssen.

Die Pressemitteilung des EuGH:

Der für die Verarbeitung personenbezogener Daten Verantwortliche ist verpflichtet, angemessene Maßnahmen zu ergreifen, umSuchmaschinenanbieter über einen Löschungsantrag der betroffenen Person zu informieren

Der für die Verarbeitung personenbezogener Daten Verantwortliche muss geeignete technische und organisatorische Maßnahmen treffen, um die anderen Verantwortlichen, die ihm diese Daten übermittelt haben bzw. denen er die Daten weitergeleitet hat, über den Widerruf der Einwilligung der betroffenen Person zu informieren. Stützen sich verschiedene Verantwortliche auf ein und dieselbe Einwilligung der betroffenen Person, genügt es, wenn sich diese Person an irgendeinen der Verantwortlichen wendet, um ihre Einwilligung zu widerrufen.

Proximus, ein Anbieter von Telekommunikationsdiensten in Belgien, bietet auch Teilnehmerverzeichnisse und Telefonauskunftsdienste an. Die Verzeichnisse enthalten den Namen, die Adresse und die Telefonnummer der Teilnehmer der verschiedenen Anbieter öffentlich zugänglicher Telefondienste. Diese Kontaktdaten werden von den Telefondienstanbietern an Proximus übermittelt, es sei denn, der Teilnehmer hat den Wunsch geäußert, nicht in die Verzeichnisse aufgenommen zu werden. Proximus leitet außerdem die Kontaktdaten, die sie erhält, an einen anderen Anbieter von Teilnehmerverzeichnissen weiter.

Telenet, ein belgischer Telefondienstanbieter, leitet die Kontaktdaten seiner Teilnehmer an Anbieter von Teilnehmerverzeichnissen, darunter Proximus, weiter. Einer dieser Teilnehmer forderte Proximus auf, seine Kontaktdaten in den von ihr und von Dritten herausgegebenen Teilnehmerverzeichnissen nicht aufzuführen. Daraufhin änderte Proximus den Status dieses Teilnehmers dahin gehend, dass seine Kontaktdaten nicht mehr zu veröffentlichen waren.

In der Folge erhielt Proximus jedoch von Telenet eine Aktualisierung der Daten des fraglichen Teilnehmers. Diese Daten waren nicht als vertraulich ausgewiesen. Sie wurden von Proximus nach einem automatisierten Verfahren verarbeitet und dergestalt registriert, dass sie erneut in ihren Teilnehmerverzeichnissen erschienen. Auf die erneute Aufforderung des Teilnehmers hin, seine Daten nicht zu veröffentlichen, antwortete Proximus, dass sie die betreffenden Daten aus den Teilnehmerverzeichnissen gelöscht und Google kontaktiert habe, damit die maßgeblichen Links zur Website von Proximus entfernt würden. Proximus teilte dem fraglichen Teilnehmer außerdem mit, dass sie seine Kontaktdaten an andere Anbieter von Teilnehmerverzeichnissen weitergeleitet habe, die dank der monatlichen Aktualisierungen über sein Begehren informiert worden seien.

Gleichzeitig legte der fragliche Teilnehmer bei der belgischen Datenschutzbehörde eine Beschwerde ein. Die Streitsachenkammer dieser Behörde verpflichtete Proximus zum Ergreifen von Abhilfemaßnahmen und verhängte wegen Verstoßes gegen mehrere Vorschriften der Datenschutz-Grundverordnung (DSGVO) eine Geldbuße in Höhe von 20 000 Euro gegen sie.

Gegen diese Entscheidung legte Proximus beim Appellationshof Brüssel ein Rechtsmittel ein. Sie machte geltend, die Einwilligung des Teilnehmers sei für die Veröffentlichung seiner personenbezogenen Daten in Telefonverzeichnissen nicht erforderlich. Vielmehr müssten die Teilnehmer nach einem sogenannten „Opt-out“- System selbst beantragen, in den Teilnehmerverzeichnissen nicht aufgeführt zu werden. Solange kein solcher Antrag vorliege, dürfe der betreffende Teilnehmer in den Verzeichnissen aufgeführt werden. Die Datenschutzbehörde vertrat eine gegenteilige Auffassung und machte geltend, dass nach der Datenschutzrichtlinie für elektronische Kommunikation die „Einwilligung der Teilnehmer“ im Sinne der DSGVO vorliegen müsse, damit die Anbieter von Teilnehmerverzeichnissen ihre personenbezogenen Daten verarbeiten und übermitteln dürften.

Vor dem Hintergrund, dass der Widerruf dieser Willensäußerung bzw. „Einwilligung“ durch einen Teilnehmer nicht spezifisch geregelt ist, hat der Appellationshof Brüssel dem Gerichtshof mehrere Fragen zur Vorabentscheidung vorgelegt.

In seinem heute verkündeten Urteil bestätigt der Gerichtshof, dass die Einwilligung eines ordnungsgemäß unterrichteten Teilnehmers für die Veröffentlichung seiner personenbezogenen Daten in einem öffentlichen Teilnehmerverzeichnis erforderlich ist. Diese Einwilligung erstreckt sich auf jede weitere Verarbeitung der Daten durch dritte Unternehmen, die auf dem Markt für öffentlich zugängliche Telefonauskunftsdienste und Teilnehmerverzeichnisse tätig sind, sofern diese Verarbeitung denselben Zweck verfolgt.

Die Einwilligung erfordert eine „in informierter Weise und unmissverständlich abgegebene“ Willensbekundung in Form einer Erklärung oder einer sonstigen „eindeutigen bestätigenden Handlung“, mit der die betroffene Person zu verstehen gibt, dass sie mit der Verarbeitung der sie betreffenden personenbezogenen Daten einverstanden ist. Jedoch setzt eine solche Einwilligung nicht unbedingt voraus, dass die betroffene Person zum Zeitpunkt ihrer Erteilung die Identität aller Anbieter von Verzeichnissen kennt, die ihre personenbezogenen Daten verarbeiten werden.

Der Gerichtshof weist außerdem darauf hin, dass die Teilnehmer die Möglichkeit haben müssen, die Löschung ihrer personenbezogenen Daten aus Teilnehmerverzeichnissen zu erwirken. Er befindet, dass der Antrag eines Teilnehmers auf Entfernung seiner Daten als Ausübung des „Rechts auf Löschung“ im Sinne der DSGVO angesehen werden kann.

Sodann bestätigt der Gerichtshof, dass sich aus den in der DSGVO geregelten allgemeinen Verpflichtungen ergibt, dass ein für die Verarbeitung personenbezogener Daten Verantwortlicher wie Proximus geeignete technische und organisatorische Maßnahmen ergreifen muss, um die anderen Anbieter von Teilnehmerverzeichnissen, denen er solche Daten geliefert hat, über den Widerruf der Einwilligung der betroffenen Person zu informieren. Ein solcher Verantwortlicher muss außerdem den Telefondienstanbieter, der ihm die personenbezogenen Daten übermittelt hat, informieren, damit dieser die Liste der personenbezogenen Daten, die er dem Anbieter von Teilnehmerverzeichnissen nach einem automatisierten Verfahren übermittelt, anpasst. Wenn sich nämlich, wie im vorliegenden Fall, verschiedene Verantwortliche auf eine einheitliche Einwilligung der betroffenen Person stützen, genügt es, dass sich die betroffene Person, um ihre Einwilligung zu widerrufen, an irgendeinen der Verantwortlichen wendet.

Abschließend befindet der Gerichtshof, dass ein Verantwortlicher wie Proximus nach der DSGVO angemessene Maßnahmen zu treffen hat, um Suchmaschinenanbieter über den bei ihm eingegangenen Antrag des Teilnehmers eines Telefondienstanbieters auf Löschung seiner personenbezogenen Daten zu informieren.

Den Volltext der Entscheidung finden Sie hier:



Neuer Versuch des BMJ zur Vorratsdatenspeicherung: Entwurf eines Gesetzes zur Einführung einer Sicherungsanordnung für Verkehrsdaten in der Strafprozessordnung

Das Bundesministeriums der Justiz (BMJ) versucht sich abermals an einer unionsrechtskonformen Regelung zur Vorratsdatenspeicherung und hat den Referentenentwurf eines Gesetzes zur Einführung einer Sicherungsanordnung für Verkehrsdaten in der Strafprozessordnung vorgelegt.

Aus dem Entwurf:
A. Problem und Ziel
Mit Urteil vom 20. September 2022 – C-793/19 und C-794/19 – hat der Gerichtshof der Europäischen Union (EuGH) entschieden, dass die Vorschriften des deutschen Rechts zur sogenannten Vorratsdatenspeicherung nicht mit dem Unionsrecht vereinbar sind. Diese Entscheidung fügt sich in die bisherige Rechtsprechung des Gerichtshofs seit dem Jahr 2014 ein, wonach eine generelle und unterschiedslose Vorratsspeicherung sämtlicher Verkehrs- und Standortdaten aller Nutzer auch zur Bekämpfung schwerer Kriminalität nicht mit dem Unionsrecht vereinbar ist.

Schon zuvor liefen die im Jahr 2015 eingeführten Regelungen zur „Vorratsdatenspeicherung“ in den §§ 175 bis 181 des Telekommunikationsgesetzes (TKG) und in § 100g Absatz 2 der Strafprozessordnung (StPO) weitgehend leer. Nachdem das Oberverwaltungsgericht Nordrhein-Westfalen im Juni 2017 im Eilverfahren die Speicherpflicht gegenüber den klagenden Telekommunikationsdienste-Anbietern einstweilig ausgesetzt hatte, verzichtete die Bundesnetzagentur nämlich bis zur endgültigen Klärung, ob diese Vorschriften europarechtskonform sind, auf jegliche Maßnahmen zur Durchsetzung der gesetzlich nach wie vor bestehenden Speicherpflicht.

Diese Klärung hat der EuGH nunmehr vorgenommen. Aus seinem Urteil folgt, dass der Versuch einer unionsrechtskonformen Ausgestaltung einer anlasslosen „Vorratsdatenspeicherung“ zu Strafverfolgungszwecken im nationalen Recht gescheitert ist; eine Neuauflage der allgemeinen und unterschiedslosen „Vorratsdatenspeicherung“ aller Verkehrsdaten ist aufgrund der höchstrichterlichen Vorgaben nicht möglich.

Zur effektiven Erlangung von digitalen Beweismitteln steht aber eine Alternative zur Verfügung. Der EuGH hat in seinem Urteil vom 20. September 2022 ausdrücklich ausgeführt, dass mit einer anlassbezogenen Sicherung von Verkehrsdaten für einen festgelegten Zeitraum, die einer wirksamen richterlichen Kontrolle unterliegt, ein grundrechtsschonenderes und effektives Ermittlungsinstrument vorhanden ist, welches einer unionsrechtskonformen Regelung im Strafverfahrensrecht zugänglich ist. Diese Vorgaben des Gerichtshofs zu einer unionsrechtskonformen, anlassbezogenen Verkehrsdatenspeicherung sollen mit diesem Gesetz umgesetzt werden.

B. Lösung
Mit diesem Gesetz werden zum einen als zwingende Folge des Urteils des EuGH vom 20. September 2022 – C-793/19 und C-794/19 – die gegen das Unionsrecht verstoßenden Regelungen der „Vorratsdatenspeicherung“ in § 100g Absatz 2 StPO und in den §§ 175 bis 181 TKG aufgehoben.

Zugleich wird in einem neu gefassten § 100g Absatz 5 StPO das Ermittlungsinstrument einer Sicherungsanordnung bereits vorhandener und künftig anfallender Verkehrsdaten eingeführt. Deren Sicherung soll anlassbezogen zur Verfolgung von erheblichen Straftaten zulässig sein, soweit die Verkehrsdaten für die Erforschung des Sachverhalts oder zur Ermittlung des Aufenthaltsorts eines Beschuldigten von Bedeutung sein können. Die Maßnahme soll im Grundsatz nur auf Anordnung eines Richters zulässig sein. Damit wird die Menge der zu speichernden Daten auf das notwendige Maß begrenzt, da nur die bei den Anbietern von Telekommunikationsdiensten aus geschäftlichen Gründen ohnehin bereits vorhandenen und künftig anfallenden Verkehrsdaten gesichert werden dürfen („Einfrieren“). Diese Daten stehen den Strafverfolgungsbehörden für eine begrenzte Zeit für eine spätere Erhebung und Auswertung zur Verfügung, die freilich einer erneuten richterlichen Anordnung bedarf („Auftauen“).

Die vorgeschlagene Regelung – auch „Quick-Freeze-Regelung“ genannt – steht im Einklang mit den Anforderungen, die der EuGH in seiner Rechtsprechung zur „Vorratsdatenspeicherung“ seit 2014 formuliert hat. Auch das von der Bundesrepublik Deutschland unterzeichnete und ratifizierte Übereinkommen des Europarats über Computerkriminalität, die sogenannte Budapest-Konvention, enthält in Artikel 16 eine Verpflichtung der Vertragsstaaten, die zuständigen Behörden zu ermächtigen, die umgehende Sicherung von Verkehrsdaten anzuordnen.

Es handelt sich also um eine neue Ausgestaltung der verpflichtenden Verkehrsdatenspeicherung, die einerseits den Grundrechtsschutz der Nutzer von Telekommunikationsdiensten gewährleistet. Andererseits wird den Strafverfolgungsbehörden ein rechtssicheres und effektives Ermittlungsinstrument zur Bekämpfung schwerer Kriminalität im digitalen Raum an die Hand gegeben. Damit trägt der Entwurf zur Erreichung von Ziel 16 „Frieden, Gerechtigkeit und starke Institutionen“ der Agenda 2030 für nachhaltige Entwicklung bei. Die Folgeänderungen im TKG und in der Telekommunikations-Überwachungsverordnung (TKÜV) dienen dazu, auch die dortigen Vorschriften zur „Vorratsdatenspeicherung“ aufzuheben und die aus der neuen Sicherungsanordnung folgenden Speicherungs-, Abfragungs- , Übermittlungs- und Löschungspflichten für die Telekommunikationsdienste-Anbieter zu regeln. Neben weiteren Folgeänderungen im Bundespolizeigesetz (BPolG), BSI-Gesetz, Bundeskriminalamtgesetz (BKAG), Zollfahndungsdienstgesetz (ZFdG) und im Einführungsgesetz zur Strafprozessordnung (EGStPO) soll durch Änderungen im Justizvergütungsund -entschädigungsgesetz (JVEG) sichergestellt werden, dass die verpflichteten Unternehmen auch für ihren im Einzelfall im Rahmen der Sicherungsanordnung nach § 100g Absatz 5 StPO-E anfallenden Aufwand angemessen entschädigt werden.


Sie finden den Entwurf hier:

Internet World Business-Beitrag von Rechtsanwalt Marcus Beckmann - "DSGVO-Konform: So vermeiden Sie die größten Datenfallen"

In Ausgabe 9/22, S. 54-55 der Zeitschrift Internet World Business erschien ein Beitrag von Rechtsanwalt Marcus Beckmann mit dem Titel "DSGVO-Konform: So vermeiden Sie die größten Datenfallen" zum datenschutzkonformen Umgang mit Kundendaten.

BAG: Sonderkündigungsschutz des betrieblichen Datenschutzbeauftragten gemäß § 6 Abs. 4 Satz 2 BDSG verstößt nicht gegen Vorgaben der DSGVO

BAG
Urteil vom 25.08.2022
2 AZR 225/20

Das BAG hat entschieden, dass der Sonderkündigungsschutz des betrieblichen Datenschutzbeauftragten gemäß § 6 Abs. 4 Satz 2 BDSG nicht gegen die Vorgaben der DSGVO verstößt. Damit setzt das BAG die Entscheidung des EuGH um (siehe dazu EuGH: Vorgaben der DSGVO stehen deutscher Regelung zum Kündigungsschutz des Datenschutzbeauftragten im BDSG nicht entgegen).

Aus den Entscheidungsgründen:

I. Die von der Beklagten ausgesprochene ordentliche Kündigung ist gemäß § 38 Abs. 1 Satz 1 und Abs. 2 iVm. § 6 Abs. 4 Satz 2 BDSG, § 134 BGB nichtig. Der Klägerin konnte als zum Zeitpunkt des Kündigungszugangs verpflichtend bestellte Datenschutzbeauftragte der Beklagten nur außerordentlich aus wichtigem Grund gekündigt werden. Der durch das BDSG normierte Sonderkündigungsschutz des betrieblichen Datenschutzbeauftragten ist mit Unionsrecht und nationalem Verfassungsrecht vereinbar.

1. Die Voraussetzungen des Sonderkündigungsschutzes nach § 6 Abs. 4 Satz 2 BDSG liegen vor. Die Klägerin war im Zeitpunkt des Kündigungszugangs verpflichtend bestellte Datenschutzbeauftragte der Beklagten iSv. § 38 Abs. 1 Satz 1 und Abs. 2 BDSG. Für das Eingreifen des Sonderkündigungsschutzes ist es ohne Bedeutung, dass die Kündigung während der im Arbeitsvertrag vereinbarten Probezeit von sechs Monaten sowie der Wartezeit (§ 1 Abs. 1 KSchG) zugegangen ist (vgl. zur Probezeit: ErfK/Franzen 22. Aufl. BDSG § 38 Rn. 10; zur Wartezeit: Schaub ArbR-HdB/Rinck 19. Aufl. § 145 Rn. 7). Anderes wäre weder mit dem Wortlaut der Regelung vereinbar, der insoweit keine Einschränkungen vorsieht, noch mit dem Zweck des Sonderkündigungsschutzes, durch den die „Position“ des Datenschutzbeauftragten gestärkt werden soll (vgl. BT-Drs. 16/12011 S. 30 zu § 4f Abs. 3 Satz 5 BDSG aF).

2. Aufgrund der teilweisen Rücknahme der Revision durch die Beklagte im Termin vom 30. Juli 2020 steht inzwischen rechtskräftig fest, dass die Stellung der Klägerin als Datenschutzbeauftragte nicht aufgrund der Abberufung durch die Beklagte am 13. Juli 2018 beendet wurde, was von der Klägerin ebenfalls mit ihrer Klage angegriffen worden war. Unabhängig davon könnte sich die Klägerin anderenfalls auf den nachwirkenden Kündigungsschutz gemäß § 6 Abs. 4 Satz 3 BDSG berufen.

3. Dem durch § 38 Abs. 1 Satz 1 und Abs. 2 iVm. § 6 Abs. 4 Satz 2 BDSG bewirkten Sonderkündigungsschutz des betrieblichen Datenschutzbeauftragten steht Art. 38 Abs. 3 Satz 2 DSGVO, der nur ein Abberufungs- und Benachteiligungsverbot des Datenschutzbeauftragten „wegen der Erfüllung seiner Aufgaben“ vorsieht, nicht entgegen.

a) Der Gerichtshof der Europäischen Union hat mit Urteil vom 22. Juni 2022 (- C-534/20 – [Leistritz]) aufgrund des Vorlagebeschlusses des Senats vom 30. Juli 2020 (- 2 AZR 225/20 (A) -) entschieden, dass Art. 38 Abs. 3 Satz 2 DSGVO dahin auszulegen ist, dass er einer nationalen Regelung nicht entgegensteht, nach der einem bei einem Verantwortlichen oder einem Auftragsverarbeiter beschäftigten Datenschutzbeauftragten nur aus wichtigem Grund gekündigt werden kann, auch wenn die Kündigung nicht mit der Erfüllung seiner Aufgaben zusammenhängt, sofern diese Regelung die Verwirklichung der Ziele der DSGVO nicht beeinträchtigt.

b) Durch die Kündigungsschutzbestimmungen in § 38 Abs. 1 Satz 1 und Abs. 2 iVm. § 6 Abs. 4 Satz 2 BDSG wird die Verwirklichung der Ziele der DSGVO nicht beeinträchtigt.

aa) Ziel des Art. 38 Abs. 3 Satz 2 DSGVO ist nach dem Erwägungsgrund 97 zur DSGVO, dass die Datenschutzbeauftragten unabhängig davon, ob es sich bei ihnen um Beschäftigte des Verantwortlichen handelt oder nicht, ihre Pflichten und Aufgaben in vollständiger Unabhängigkeit „ausüben können sollten“ (EuGH 22. Juni 2022 – C-534/20 – [Leistritz] Rn. 26 f.). Es soll im Wesentlichen die funktionelle Unabhängigkeit des Datenschutzbeauftragten gewahrt und damit die Wirksamkeit der Bestimmungen der DSGVO gewährleistet werden (vgl. EuGH 22. Juni 2022 – C-534/20 – [Leistritz] Rn. 28). Dabei steht es jedem Mitgliedstaat frei, in Ausübung seiner vorbehaltenen Zuständigkeit besondere, strengere Vorschriften für die arbeitgeberseitige Kündigung eines Datenschutzbeauftragten vorzusehen, sofern diese mit dem Unionsrecht und insbesondere mit den Bestimmungen der DSGVO, vor allem Art. 38 Abs. 3 Satz 2 DSGVO, vereinbar sind (vgl. EuGH 22. Juni 2022 – C-534/20 – [Leistritz] Rn. 34). Diese führen dann zu einer unzulässigen Beeinträchtigung der mit der DSGVO verfolgten Ziele, wenn ein strengerer nationaler Schutz jede durch einen Verantwortlichen oder einen Auftragsverarbeiter ausgesprochene Kündigung eines Datenschutzbeauftragten verböte, der nicht mehr die für die Erfüllung seiner Aufgaben erforderlichen beruflichen Eigenschaften besitzt oder seine Aufgaben nicht im Einklang mit der DSGVO erfüllt (vgl. EuGH 22. Juni 2022 – C-534/20 – [Leistritz] Rn. 35).

bb) Durch § 38 Abs. 1 Satz 1 und Abs. 2 iVm. § 6 Abs. 4 Satz 2 BDSG werden die Ziele der DSGVO nicht beeinträchtigt. Die Kündigung – wie auch die Abberufung – des Datenschutzbeauftragten ist nach nationalem Recht zwar an besondere Anforderungen geknüpft, da jeweils die Schwelle des „wichtigen Grundes“ erreicht werden muss. Damit werden die Voraussetzungen, unter denen der Verantwortliche das Arbeitsverhältnis mit einem verpflichtend benannten Datenschutzbeauftragten beenden kann, erhöht, jedoch ist ihm dies weder unmöglich noch unzumutbar erschwert. Insbesondere ist auch nach nationalem Recht nicht „jede“ Kündigung des Arbeitsverhältnisses eines Datenschutzbeauftragten, der nicht mehr die für die Erfüllung seiner Aufgaben erforderlichen beruflichen Eigenschaften besitzt oder seine Aufgaben nicht im Einklang mit der DSGVO erfüllt (so ausdrücklich EuGH 22. Juni 2022 – C-534/20 – [Leistritz] Rn. 35), verboten. Die personen- oder verhaltensbedingten Gründe müssen nur die Erheblichkeitsschwelle des „wichtigen Grundes“ erreichen. Die Möglichkeit eines Abberufungsverlangens durch die Aufsichtsbehörden der Länder nach § 40 Abs. 6 Satz 2 BDSG unterstreicht, dass Datenschutzbeauftragte, die ihre Aufgaben nicht im Einklang mit der DSGVO erfüllen, nach nationalem Recht nicht vor jedem Verlust ihrer Rechtsstellung geschützt werden. Zur Sicherung der Ziele der DSGVO wird es im Übrigen in der Regel – neben der Abberufung des Datenschutzbeauftragten – nicht erforderlich sein, dessen Arbeitsverhältnis zu kündigen (vgl. APS/Greiner 6. Aufl. DSGVO Art. 38 Rn. 30).

cc) Eine Beeinträchtigung der Ziele der DSGVO durch die Sonderkündigungsschutznorm des § 38 Abs. 1 Satz 1 und Abs. 2 iVm. § 6 Abs. 4 Satz 2 BDSG ist auch vorliegend nicht gegeben. Der dazu gehaltene pauschale Vortrag der Beklagten, wonach es sich nach kurzer Zeit herausgestellt habe, dass die anfallenden Aufgaben von einer internen Datenschutzbeauftragten nicht hätten erledigt werden können, viele Aufgaben unbearbeitet geblieben seien und diese auch nicht zeitnah und termingerecht „von einer einzigen Datenschutzbeauftragten“ hätten erbracht werden können, ist nicht geeignet, eine unzulässige Beeinträchtigung der Ziele der DSGVO allein durch den Fortbestand des Arbeitsverhältnisses aufgrund der nationalen Kündigungsschutzregelung aufzuzeigen.

4. Entgegen der von der Beklagten zuletzt vertieften Auffassung verstößt die normative Ausgestaltung des Sonderkündigungsschutzes von betrieblichen Datenschutzbeauftragten nicht gegen ihre Grundrechte aus Art. 12 Abs. 1, Art. 14 Abs. 1 sowie Art. 3 Abs. 1 GG.

a) Eine grundrechtliche Prüfung der Sonderkündigungsschutznorm für den betrieblichen Datenschutzbeauftragten gemäß § 38 Abs. 1 Satz 1 und Abs. 2 iVm. § 6 Abs. 4 Satz 2 BDSG und ihrer Anwendung ist primär am Maßstab der Grundrechte des Grundgesetzes vorzunehmen (vgl. BVerfG 6. November 2019 – 1 BvR 16/13 – [Recht auf Vergessen I] Rn. 42, BVerfGE 152, 152). Es handelt sich hierbei um unionsrechtlich nicht vollständig determiniertes innerstaatliches Recht. Nach der Rechtsprechung des Gerichtshofs der Europäischen Union bestehen hinsichtlich datenschutzrechtlicher Regelungen und den diese ergänzenden arbeitsrechtlichen Regelungen „geteilte Zuständigkeiten“ der Union und der Mitgliedstaaten (vgl. EuGH 22. Juni 2022 – C-534/20 – [Leistritz] Rn. 30 ff.). Die DSGVO enthält zahlreiche Öffnungsklauseln, mit denen sie die Normsetzungskompetenz ausdrücklich auf die Mitgliedstaaten überträgt, wodurch sie sich von einer klassischen Verordnung unterscheiden und in die Nähe einer Richtlinie rücken lässt (so ausdrücklich die Schlussanträge des Generalanwalts de la Tour vom 27. Januar 2022 – C-534/20 – [Leistritz] Fn. 28).

b) In Bezug auf das Grundrecht aus Art. 14 Abs. 1 GG ist schon der Schutzbereich nicht berührt. Die Eigentumsgarantie schützt das Erworbene, also die Ergebnisse geleisteter Arbeit, Art. 12 Abs. 1 GG dagegen den Erwerb, mithin die Betätigung selbst. Da sich die Beklagte gegen Regelungen wendet, die ihre Erwerbs- und Leistungstätigkeit als Unternehmerin beeinträchtigen (können), ist allein der Schutzbereich der Berufsfreiheit berührt (vgl. BVerfG 30. Juli 2008 – 1 BvR 3262/07 ua. – zu B I 1 a der Gründe, BVerfGE 121, 317). Die Begrenzung der Innehabung und Verwendung vorhandener Vermögensgüter, für die der Schutz des Art. 14 GG grundsätzlich in Betracht kommt, sind dabei nur mittelbare Folgen der angegriffenen Handlungsbeschränkung; Art. 14 Abs. 1 GG wird daher von Art. 12 Abs. 1 GG als dem sachnäheren Grundrecht verdrängt (vgl. BVerfG 8. Juni 2010 – 1 BvR 2011/07 ua. – zu B II 1 der Gründe, BVerfGE 126, 112).

c) Hinsichtlich des Eingriffs in den Schutzbereich von Art. 12 Abs. 1 GG (vgl. BVerfG 30. Juli 2003 – 1 BvR 792/03 – zu B II 1 a der Gründe) ist die gesetzliche Regelung gemessen an der Regelungsabsicht eine geeignete, erforderliche wie auch angemessene Einschränkung der Berufsfreiheit, die im Wesentlichen dem Sonderkündigungsschutz für Betriebsräte (§ 15 Abs. 1 KSchG) oder Immissionsschutzbeauftragte (§ 58 Abs. 2 BImSchG) entspricht.

aa) Der Sonderkündigungsschutz ist dazu geeignet, dass betriebliche Datenschutzbeauftragte ihre sich aus § 7 BDSG ergebenden Aufgaben und Befugnisse selbstbewusst gegenüber dem Arbeitgeber durchführen und einfordern sowie ihre Unabhängigkeit im Interesse eines effektiven Datenschutzes zu stärken (vgl. BAG 5. Dezember 2019 – 2 AZR 223/19 – Rn. 45 f., BAGE 169, 59; zu den Zielen des Sonderkündigungsschutzes nach dem BDSG aF, die der Gesetzgeber in der Neufassung der Sache nach fortgeschrieben hat, vgl. BT-Drs. 18/11325 S. 82). Soweit die Beklagte diese Zielsetzung unter Bezugnahme auf die Entscheidung des Gerichtshofs der Europäischen Union vom 22. Juni 2022 (- C-534/20 – [Leistritz] Rn. 31) nicht mehr für maßgeblich hält, verkennt sie, dass der Gerichtshof nicht zur Auslegung des nationalen Rechts berufen ist (vgl. EuGH 6. März 2018 – C-52/16 und C-113/16 – [SEGRO und Horváth] Rn. 98).

(1) Das verfassungsrechtliche Geeignetheitsgebot verlangt keine vollständige Zielerreichung, sondern lediglich eine Eignung zur Förderung des legislativen Ziels. Der Gesetzgeber verfügt in der Beurteilung der Eignung einer Regelung über eine Einschätzungsprärogative. Verfassungsrechtlich genügt es grundsätzlich, wenn die Möglichkeit der Zweckerreichung besteht. Eine Regelung ist erst dann nicht mehr geeignet, wenn sie die Erreichung des Gesetzeszwecks in keiner Weise fördern kann oder sich sogar gegenläufig auswirkt (vgl. BVerfG 7. April 2022 – 1 BvL 3/18 ua. – Rn. 300; 8. Juli 2021 – 1 BvR 2237/14 ua. – Rn. 131 mwN, BVerfGE 158, 282).

(2) Durch den Sonderkündigungsschutz wird der Datenschutzbeauftragte vor einem Arbeitsplatzverlust bewahrt, der ihm – und sei es in verschleierter Form – wegen der Ausübung seiner Tätigkeit drohen kann. Durch den besonderen Kündigungsschutz wird seine Unabhängigkeit bei der Erledigung der gesetzlichen Aufgaben geschützt, was der Durchsetzung der Ziele des BDSG und der DSGVO zugutekommt. Eine solche Sicherstellung der Amtsausübung hält sich jedenfalls im Rahmen der gesetzgeberischen Einschätzungsprärogative.

bb) Der besondere Kündigungsschutz des betrieblichen Datenschutzbeauftragten ist für die vom Gesetzgeber erstrebten Ziele erforderlich.

(1) Grundrechtseingriffe dürfen nicht weitergehen, als es der Schutz des Gemeinwohls erfordert. Daran fehlt es, wenn ein gleich wirksames Mittel zur Erreichung des Gemeinwohlziels zur Verfügung steht, das den Grundrechtsträger weniger und Dritte und die Allgemeinheit nicht stärker belastet. Dem Gesetzgeber steht grundsätzlich auch für die Beurteilung der Erforderlichkeit ein Einschätzungsspielraum zu (vgl. BVerfG 23. März 2022 – 1 BvR 1187/17 – Rn. 125; 19. November 2021 – 1 BvR 781/21 ua. – Rn. 204).

(2) Der Gesetzgeber hat sich mit der Frage der Erforderlichkeit des Sonderkündigungsschutzes für Datenschutzbeauftragte ausdrücklich beschäftigt und angenommen, dass sich das bis zum Jahr 2009 bestehende gesetzliche Benachteiligungsverbot sowie die erschwerte Möglichkeit der Abberufung des Datenschutzbeauftragten als in der Praxis nicht ausreichend erwiesen habe, vor allem dann, wenn die Aufgabe des Datenschutzbeauftragten – was der Regelfall sei – nur als Teilaufgabe wahrgenommen werde (vgl. BT-Drs. 16/12011 S. 30). Dass eine das Grundrecht der Beklagten aus Art. 12 Abs. 1 GG weniger belastende, aber sachlich in jeder Hinsicht gleichwertige Regelung zur Zweckerreichung des gesetzgeberischen Ziels möglich wäre, ist – auch angesichts des Einschätzungsspielraums des Gesetzgebers – nicht zu erkennen. Insbesondere ist nicht offensichtlich, dass ein Sonderkündigungsschutz, der – ähnlich wie das Benachteiligungsverbot – allein an die „Erfüllung der Aufgaben des Datenschutzbeauftragten“ anknüpfte, dieselbe Wirksamkeit hätte.

cc) Der Sonderkündigungsschutz für Datenschutzbeauftragte ist auch verhältnismäßig im engeren Sinne.

(1) Die Angemessenheit und damit die Verhältnismäßigkeit im engeren Sinne erfordert, dass der mit der Maßnahme verfolgte Zweck und die zu erwartende Zweckerreichung nicht außer Verhältnis zu der Schwere des Eingriffs stehen. Es ist Aufgabe des Gesetzgebers, die entgegenstehenden verfassungsrechtlich geschützten Rechtsgüter unter Ausnutzung seines Einschätzungs-, Wertungs- und Gestaltungsspielraums gegeneinander abzuwägen und in einen Ausgleich zu bringen (vgl. BVerfG 27. April 2022 – 1 BvR 2649/21 – Rn. 203; 23. März 2022 – 1 BvR 1187/17 – Rn. 134 mwN).

(2) Der Eingriff in das durch Art. 12 Abs. 1 GG geschützte Interesse der Beklagten, in ihrem Unternehmen nur Mitarbeiter zu beschäftigen, die ihren Vorstellungen entsprechen, und deren Zahl auf das von ihr bestimmte Maß zu beschränken, ist durchaus erheblich. Die Möglichkeit einer ordentlichen Kündigung des Arbeitsverhältnisses wird dem Arbeitgeber genommen, selbst wenn der Kündigungssachverhalt nichts mit der Tätigkeit als Datenschutzbeauftragter zu tun hat. Hinzu kommt, dass der Arbeitgeber der Sache nach an das einmal gewählte Konzept eines betriebsinternen Datenschutzbeauftragten gebunden bleibt, da auch die Abberufung nach § 6 Abs. 4 Satz 1 BDSG nur in entsprechender Anwendung des § 626 BGB zulässig ist. Eine organisatorische Änderung, nach der der betriebliche Datenschutz zukünftig durch einen externen statt durch einen internen Datenschutzbeauftragten gewährleistet werden soll, rechtfertigt den Widerruf der Bestellung aus wichtigem Grund nicht (BAG 23. März 2011 – 10 AZR 562/09 – Rn. 18 ff.). Dadurch wird die Kündigung des Arbeitsverhältnisses in besonderer Weise erschwert und zwar bereits in der Wartezeit (§ 1 Abs. 1 KSchG), während der das Arbeitsverhältnis regelmäßig unter erleichterten Bedingungen beendet werden kann.

(3) Dem stehen aber die vom Gesetzgeber als besonders wichtig angesehenen Ziele des Datenschutzes gegenüber, dessen Effizienz von einem unabhängigen Datenschutzbeauftragten besonders gefördert werden kann. Das BDSG dient der Umsetzung der DSGVO und soll ein reibungsloses Zusammenspiel mit ihr ermöglichen (vgl. BT-Drs. 18/11325 S. 1). Die DSGVO hebt in Erwägungsgrund 1 hervor, dass der Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten ein Grundrecht ist (vgl. Art. 8 Abs. 1 der Charta der Grundrechte der Europäischen Union und Art. 16 Abs. 1 AEUV). Angesichts dieser Bedeutung des Datenschutzes, die sich der deutsche Gesetzgeber zu eigen gemacht hat, können auch erhebliche Eingriffe in die Berufsausübungsfreiheit von Grundrechtsträgern als verhältnismäßig angesehen werden. Dabei ist es von besonderer Bedeutung, dass von dem Verantwortlichen nichts Unzumutbares verlangt wird. Die Kündigung (und auch die Abberufung) des Datenschutzbeauftragten ist zwar erschwert, aber an den Maßstab des § 626 Abs. 1 BGB („wichtiger Grund“) gebunden, der gerade auf die Unzumutbarkeit der Beschäftigung bis zum Ablauf der (ordentlichen) Kündigungsfrist abstellt.

(a) Insoweit geht die Beklagte zu Unrecht davon aus, sie könne einem internen Datenschutzbeauftragten „auf Lebenszeit“ nicht mehr betriebsbedingt kündigen. Vielmehr kommt nach der Senatsrechtsprechung eine auf betriebliche Gründe gestützte außerordentliche Kündigung in Betracht, wenn die Möglichkeit einer ordentlichen Kündigung ausgeschlossen ist und dies dazu führt, dass der Arbeitgeber den Arbeitnehmer anderenfalls trotz Wegfalls der Beschäftigungsmöglichkeit noch für Jahre vergüten müsste, ohne dass dem eine entsprechende Arbeitsleistung gegenüberstünde (vgl. BAG 27. Juni 2019 – 2 AZR 50/19 – Rn. 13; 18. Juni 2015 – 2 AZR 480/14 – Rn. 30, BAGE 152, 47).

(b) Darüber hinaus hat sich die Beklagte freiwillig dafür entschieden, ihre gesetzlichen Aufgaben auf einen betrieblichen Datenschutzbeauftragten zu übertragen, dessen Arbeitsverhältnis während dieser Zeit einem besonderen Kündigungsschutz unterliegt. Bei der erstmaligen Benennung eines Datenschutzbeauftragten kann eine nichtöffentliche Stelle frei entscheiden, ob sie einen internen oder externen Datenschutzbeauftragten benennen will (vgl. BAG 23. März 2011 – 10 AZR 562/09 – Rn. 19). Davon unterscheidet sich der ähnlich starke Sonderkündigungsschutz eines Betriebsratsmitglieds in § 15 Abs. 1 KSchG (der durch das Erfordernis der Zustimmung des Betriebsrats nach § 103 BetrVG sogar noch verstärkt wird). Wenn der Arbeitgeber hingegen von seinem Wahlrecht Gebrauch macht und sich für einen internen Datenschutzbeauftragten entscheidet, ist der in diesem Zusammenhang bereits feststehende Sonderkündigungsschutz nach § 38 Abs. 1 und Abs. 2 iVm. § 6 Abs. 4 Satz 2 BDSG nicht unverhältnismäßig, sondern beruht ebenso auf einer freien Entscheidung des Verantwortlichen wie die Benennung eines Arbeitnehmers zum internen Datenschutzbeauftragten, der sich noch in der gesetzlichen Wartezeit nach § 1 Abs. 1 KSchG befindet.

d) Die Beklagte beruft sich ohne Erfolg auf einen Verstoß gegen Art. 3 Abs. 1 GG. Der Gesetzgeber hat mit dem Kündigungsschutz aus § 38 Abs. 1 und Abs. 2 iVm. § 6 Abs. 4 Satz 2 BDSG nicht gegen den allgemeinen Gleichheitssatz verstoßen (vgl. zu Letzterem BVerfG 8. Juni 2016 – 1 BvR 3634/13 – Rn. 16 mwN; 26. Januar 1993 – 1 BvL 38/92 ua. – zu B I 1 der Gründe, BVerfGE 88, 87). Selbst wenn wegen des Rechts der Beklagten aus Art. 12 Abs. 1 GG vorliegend nicht nur eine bloße Willkürkontrolle, sondern eine Verhältnismäßigkeitsprüfung durchzuführen wäre (vgl. dazu BVerfG 21. März 2015 – 1 BvR 2031/12 – Rn. 6 ff.), läge keine Verletzung des allgemeinen Gleichheitssatzes des Art. 3 Abs. 1 GG vor.

aa) Soweit die Beklagte auf eine ungleiche Behandlung von Arbeitgebern, die (interne) Datenschutzbeauftragte beschäftigen und solchen, die (interne) Immissionsschutzbeauftragte (vgl. § 58 Abs. 2 BImSchG; sh. zB auch Gewässerschutzbeauftragte (§ 66 WHG iVm. § 58 Abs. 2 BImSchG), Störfallbeauftragte (§ 58d iVm. § 58 Abs. 2 BImSchG) oder Abfallbeauftragte (§ 60 Abs. 3 KrWG iVm. § 58 Abs. 2 BImSchG)) beschäftigen, abstellt, liegt eine „wesentlich ungleiche“ Behandlung der betroffenen Arbeitgebergruppen hinsichtlich der Beachtung eines Sonderkündigungsschutzes der jeweiligen „Beauftragten“ nicht vor. Vielmehr ist der Sonderkündigungsschutz sogar „gleich“ ausgestaltet. Es kommt nach § 38 Abs. 1 und Abs. 2 iVm. § 6 Abs. 4 Satz 2 BDSG ebenso wie nach § 58 Abs. 2 Satz 1 BImSchG nur eine außerordentliche Kündigung des Arbeitsverhältnisses aus wichtigem Grund iSv. § 626 Abs. 1 BGB in Betracht.

bb) Der von der Beklagten in diesem Zusammenhang in den Vordergrund gerückte, unterschiedlich ausgestaltete Abberufungsschutz von Datenschutzbeauftragten und – beispielsweise – Immissionsschutzbeauftragten, ist für die grundrechtliche Beurteilung des Sonderkündigungsschutzes ohne Bedeutung. Selbst wenn die Abberufung der Klägerin wegen einer „Unwirksamkeit“ der Regelung in § 6 Abs. 4 Satz 1 BDSG ohne jeden Grund und mit sofortiger Wirkung gleichzeitig mit der Kündigung vom 13. Juli 2018 oder sogar unmittelbar nach ihrer Bestellung möglich gewesen wäre, stünde der Klägerin der nachwirkende Sonderkündigungsschutz aus § 38 Abs. 1 und Abs. 2 iVm. § 6 Abs. 4 Satz 3 BDSG zu, der ebenfalls nur eine außerordentliche Kündigung aus wichtigem Grund zulässt. Auch dieser ist wie für die anderen „Beauftragten“ (vgl. § 58 Abs. 2 Satz 2 BImSchG) beziehungsweise für Betriebsratsmitglieder (vgl. § 15 Abs. 1 Satz 2 KSchG) ausgestaltet, so dass insoweit keine „wesentlich ungleiche“, sondern sogar eine „wesentlich gleiche“ Behandlung vorliegt.

cc) Soweit die Beklagte eine Gruppenbildung der Datenschutzbeauftragten vornimmt (interner Datenschutzbeauftragter gegenüber externem Datenschutzbeauftragten) und ein Defizit beim Kündigungsschutz des Dienstvertrags des externen Datenschutzbeauftragten sieht, wodurch dessen Abberufungsschutz in § 6 Abs. 4 Satz 1 BDSG „unterlaufen“ werde, ist schon nicht erkennbar, welche für sie günstigen Rechtsfolgen daraus abgeleitet werden sollen. Unabhängig davon verkennt die Beklagte, dass sich das Arbeitsverhältnis eines internen Datenschutzbeauftragten gemäß § 611a BGB vom freien Dienstverhältnis eines externen Datenschutzbeauftragten nach § 611 BGB „wesentlich“ unterscheidet, wie schon die prinzipiell freie Kündbarkeit des letzteren (§ 620 Abs. 2 BGB) zeigt (vgl. zur wesentlichen Ungleichheit sogar von Arbeitnehmern und arbeitnehmerähnlichen Personen BAG 8. Mai 2007 – 9 AZR 777/06 – Rn. 25 ff.). Die Beklagte wendet sich darüber hinaus auch hier der Sache nach gegen die Abberufungsvorschriften, die sie als belastend empfindet. Deren Wirksamkeit spielt aber – wie in Rn. 37 ausgeführt – vorliegend keine Rolle.

5. § 6 Abs. 4 Satz 2 BDSG erlaubt allein eine außerordentliche Kündigung aus wichtigem Grund. Dem genügt die von der Beklagten ausgesprochene ordentliche Kündigung vom 13. Juli 2018 nicht.

a) Nach § 6 Abs. 4 Satz 2 BDSG ist die Kündigung des Arbeitsverhältnisses unzulässig, es sei denn, dass Tatsachen vorliegen, die zur Kündigung aus wichtigem Grund ohne Einhaltung einer Kündigungsfrist berechtigen. Damit greift der Gesetzgeber die Formulierung aus § 15 Abs. 1 Satz 1 KSchG auf, die sich wiederum an § 626 Abs. 1 BGB anlehnt, wo der Fall einer außerordentlichen Kündigung geregelt ist.

b) Für die Wirksamkeit einer solchen außerordentlichen Kündigung reicht es nicht aus, dass ein wichtiger Grund für sie „objektiv“ vorgelegen hat, wenn nur eine ordentliche Kündigung ausgesprochen wurde (vgl. BAG 19. Juni 1980 – 2 AZR 660/78 – zu 3 a der Gründe, BAGE 33, 220). Auch zu § 15 Abs. 1 KSchG ist anerkannt, dass allein das Bestehen eines wichtigen Grundes für eine außerordentliche Kündigung nicht ausreicht, sondern eine solche auch ausgesprochen sein muss (vgl. BAG 23. April 1981 – 2 AZR 1112/78 – zu II 2 a der Gründe; 5. Juli 1979 – 2 AZR 521/77 – zu III 2 der Gründe).

c) Mit dem Schreiben vom 13. Juli 2018 hat die Beklagte nur eine ordentliche und keine außerordentliche Kündigung ausgesprochen. Das folgt nicht nur aus der gewählten Frist für eine ordentliche Kündigung, sondern aus der ausdrücklichen Bezeichnung als „ordentliche“ Kündigung in Absatz 1 des Schreibens.

d) Ob die Umdeutung der von der Beklagten erklärten ordentlichen Kündigung in eine außerordentliche Kündigung mit notwendiger oder sozialer Auslauffrist nach § 140 BGB überhaupt möglich ist, kann dahinstehen. Vorliegend kommt dies jedenfalls deshalb nicht in Betracht, weil nach den Ausführungen des Landesarbeitsgerichts kein wichtiger Grund für die Kündigung vorliegt. Dies lässt weder revisionsrechtlich erhebliche Fehler erkennen noch hat die Beklagte diesbezügliche Rügen erhoben.


Den Volltext der Entscheidung finden Sie hier:

LAG Niedersachsen: Beweisverwertungsverbot im Kündigungsschutzprozess für datenschutzwidrige Aufzeichnungen einer Videoüberwachungsanlage

LAG Niedersachsen
Urteil vom 06.07.2022
8 Sa 1150/20


Das LAG Niedersachsen hat entschieden, dass ein Beweisverwertungsverbot in einem Kündigungsschutzprozess für datenschutzwidrige Aufzeichnungen einer Videoüberwachungsanlage besteht.

Aus den Entscheidungsgründen:
Zu Gunsten des Klägers greift zudem ein Beweisverwertungsverbot ein. Hierauf stützt die Kammer ihre Erwägungen im Verhältnis zu den Ausführungen unter aaa) selbstständig und tragend.

Auf die hier streitgegenständliche behauptete Pflichtwidrigkeit vom 02.06.2018 – bezüglich der anderen beiden Pflichtwidrigkeiten stützt sich die Beklagte nicht auf Videoaufzeichnungen - ist das Bundesdatenschutzgesetz in der ab dem 25.05.2018 geltenden Fassung (im Folgenden nur: BDSG) sowie die Datenschutzgrundverordnung der Europäischen Union (EU-Verordnung 2016/679) anzuwenden.

Die Datenschutz-Grundverordnung (im Folgenden nur: DSGVO) ist am 24. Mai 2016 in Kraft getreten. Sie beansprucht seit dem 25.05.2018 in der gesamten Europäischen Union (EU) Geltung und hat die bisherige allgemeine Datenschutz-Richtlinie 95/46/EG ersetzt.

Die hier streitgegenständlichen Vorgänge bezieht sich auf einen Tattag, der zeitlich nach dem 25.05.2018 gelegen ist. Die Beklagte hatte bei dem Einsatz der Videoüberwachungsanlage an den betreffenden Tagen die Bestimmungen der DSGVO und des BDSG in der ab dem 25.05.2018 geltenden Fassung zu beachten.

ccc) Für ein Beweisverwertungsverbot kommt es auf die Frage an, ob ein Eingriff in das Recht des Klägers auf informationelle Selbstbestimmung vorliegt und ob dieser Eingriff zulässig ist. Sofern die Datenerhebung und -verwertung nach den Bestimmungen des BDSG erfolgen durfte, kommt ein Beweisverwertungsverbot nicht in Betracht. Ist dies nicht der Fall, muss im Einzelfall geprüft werden, ob die Verwertung der so gewonnenen Beweismittel durch das Gericht im Einzelfall einen Grundrechtsverstoß darstellt. Dies entspricht der Rechtsprechung des Zweiten Senats des Bundesarbeitsgerichts (vgl. BAG 23. August 2018 - 2 AZR 133/18 - BAGE 163, 239), der das erkennende Gericht sich anschließt.

(1) Weder die Zivilprozessordnung noch das Arbeitsgerichtsgesetz enthalten Bestimmungen, die die Verwertbarkeit von Erkenntnissen oder Beweismitteln einschränken, die eine Arbeitsvertragspartei rechtswidrig erlangt hat. Ein Verwertungsverbot kann sich allerdings aus einer verfassungskonformen Auslegung des Verfahrensrechts ergeben. Da der Anspruch auf rechtliches Gehör aus Art. 103 Abs. 1 GG aber grundsätzlich gebietet, den Sachvortrag der Parteien und die von ihnen angebotenen Beweise zu berücksichtigen, kommt ein „verfassungsrechtliches Verwertungsverbot“ dann in Betracht, wenn dies wegen einer grundrechtlich geschützten Position einer Prozesspartei zwingend geboten ist (BAG 23. August 2018 - 2 AZR 133/18 - Rn. 14 mwN, BAGE 163, 239). Dies setzt in aller Regel voraus, dass die betroffenen Schutzzwecke des verletzten Grundrechts der Verwertung der Erkenntnis oder des Beweismittels im Rechtsstreit entgegenstehen. Die prozessuale Verwertung muss selbst einen Grundrechtsverstoß darstellen. Das ist der Fall, wenn das nach Art. 1 Abs. 3 GG unmittelbar an die Grundrechte gebundene Gericht ohne Rechtfertigung in eine verfassungsrechtlich geschützte Position einer Prozesspartei eingriffe, indem es eine Persönlichkeitsrechtsverletzung durch einen Privaten perpetuierte oder vertiefte. Insofern kommt die Funktion der Grundrechte als Abwehrrechte gegen den Staat zum Tragen. Auf eine nicht gerechtfertigte Beeinträchtigung des Persönlichkeitsrechts durch einen Privaten darf kein verfassungswidriger Grundrechtseingriff durch ein Staatsorgan „aufgesattelt“ werden.

(2) Obgleich die Vorschriften des BDSG nicht die Zulässigkeit von Parteivorbringen und seine Verwertung im Verfahren vor den Gerichten für Arbeitssachen begrenzen, und obwohl es für das Eingreifen eines Verwertungsverbots darauf ankommt, ob bei der Erkenntnis- oder Beweisgewinnung das allgemeine Persönlichkeitsrecht verletzt worden ist, sind die einfachrechtlichen Vorgaben insofern nicht ohne Bedeutung. Die Bestimmungen des BDSG über die Anforderungen an eine zulässige Datenerhebung, -verarbeitung und -nutzung konkretisieren und aktualisieren für den Einzelnen den Schutz seines Rechts auf informationelle Selbstbestimmung und am eigenen Bild (vgl. vor allem die in §§ 32 ff. BDSG n.F. geregelten Rechte der betroffenen Person). Sie regeln, in welchem Umfang im Anwendungsbereich des Gesetzes Eingriffe durch öffentliche oder nicht-öffentliche Stellen in diese Rechtspositionen erlaubt sind (BAG 23. August 2018 - 2 AZR 133/18 - Rn. 15 mwN, BAGE 163, 239 zum BDSG a.F.).

(3) § 26 Abs. 1 Satz 1 BDSG stellt für die Verarbeitung und Nutzung von personenbezogenen Daten eines Beschäftigten, die der Arbeitgeber durch eine Videoüberwachung öffentlich zugänglicher Räume erlangt hat, eine eigenständige, von den Voraussetzungen des § 4 BDSG unabhängige Erlaubnisnorm dar. Ist danach eine bestimmte Datenverarbeitung oder -nutzung rechtmäßig, kommt es im Verhältnis zu den betroffenen Arbeitnehmern nicht darauf an, ob die Anforderungen gemäß § 4 BDSG erfüllt sind. Die für die Überwachung im öffentlichen Raum geltende Bestimmung schließt eine eigenständige Rechtfertigung der Datenverarbeitung nach § 26 BDSG nicht aus. Diese Vorschrift dient speziell dem Ausgleich der Interessen von Arbeitgebern und Arbeitnehmern in Bezug auf den Beschäftigtendatenschutz (BT-Drs. 16/13657 S. 20 f.). Dagegen soll § 4 BDSG - unabhängig von den aufgrund der engeren schuldrechtlichen Bindungen im Rahmen eines Dauerschuldverhältnisses bestehenden Interessen - den Schutz der Allgemeinheit vor einem Ausufern der Videoüberwachung im öffentlichen Raum gewährleisten. Für die Eigenständigkeit der Erlaubnistatbestände des § 26 BDSG spricht auch, dass die Videoüberwachung nicht öffentlich zugänglicher (Arbeits-)Räume im BDSG nicht gesondert geregelt ist. Ihre Zulässigkeit richtet sich daher, soweit Arbeitnehmer betroffen sind, allein nach § 26 BDSG. Es erschiene aber wenig plausibel, wenn bezogen auf den Beschäftigtendatenschutz von Arbeitnehmern, die in öffentlich zugänglichen Räumen arbeiten, andere Maßstäbe gelten sollten als für Arbeitnehmer, die dies nicht tun (vgl. zu alledem - noch zum BDSG a.F. - BAG 23. August 2018 – 2 AZR 133/18 –, BAGE 163, 239; BAG 22. September 2016 - 2 AZR 848/15 - Rn. 43, BAGE 156, 370).

(4) Die Verarbeitung und Nutzung von rechtmäßig erhobenen personenbezogenen Daten nach § 26 Abs. 1 Satz 1 BDSG muss „erforderlich“ sein. Es hat eine „volle“ Verhältnismäßigkeitsprüfung zu erfolgen (vgl. BAG 17. November 2016 - 2 AZR 730/15 - Rn. 30). Die Verarbeitung und die Nutzung der personenbezogenen Daten müssen geeignet, erforderlich und unter Berücksichtigung der gewährleisteten Freiheitsrechte angemessen sein, um den erstrebten Zweck zu erreichen. Es dürfen keine anderen, zur Zielerreichung gleich wirksamen und das Persönlichkeitsrecht der Betroffenen weniger einschränkenden Mittel zur Verfügung stehen. Die Verhältnismäßigkeit im engeren Sinne (Angemessenheit) ist gewahrt, wenn die Schwere des Eingriffs bei einer Gesamtabwägung nicht außer Verhältnis zu dem Gewicht der ihn rechtfertigenden Gründe steht. Die Datenverarbeitung und -nutzung darf keine übermäßige Belastung für die Betroffenen darstellen und muss der Bedeutung des Informationsinteresses des Arbeitgebers entsprechen (BAG 27. Juli 2017 - 2 AZR 681/16 - Rn. 30, BAGE 159, 380). Dies beurteilt sich ggf. für jedes personenbezogene Datum gesondert.

(5) War die betreffende Maßnahme nach den Vorschriften des BDSG zulässig, liegt insoweit keine Verletzung des allgemeinen Persönlichkeitsrechts in Gestalt des Rechts auf informationelle Selbstbestimmung und am eigenen Bild vor. Ein Verwertungsverbot scheidet von vornherein aus. So liegt es namentlich, wenn die umfassende Abwägung der widerstreitenden Interessen und Grundrechtspositionen im Rahmen der Generalklauseln des § 32 Abs. 1 BDSG aF (jetzt: § 26 Abs. 1 BDSG) zugunsten des Arbeitgebers ausfällt (BAG 23. August 2018 - 2 AZR 133/18 - Rn. 15, BAGE 163, 239).

(6) War die fragliche Maßnahme nach den Bestimmungen des BDSG nicht erlaubt, muss gesondert geprüft werden, ob die Verwertung von im Zuge dieser Maßnahme gewonnenen Erkenntnissen oder Beweismitteln durch das Gericht einen Grundrechtsverstoß darstellen würde. Daran kann es zum einen fehlen, wenn die Unzulässigkeit der vom Arbeitgeber durchgeführten Maßnahme allein aus der (Grund-)Rechtswidrigkeit der Datenerhebung(en) gegenüber anderen Beschäftigten resultiert oder die verletzte einfachrechtliche Norm keinen eigenen „Grundrechtsgehalt“ hat. Zum anderen kann es sein, dass die gerichtliche Verwertung weder einen ungerechtfertigten Grundrechtseingriff darstellt noch aufgrund einer verfassungsrechtlichen Schutzpflicht zu unterlassen ist, weil durch sie die ungerechtfertigte „vorprozessuale“ Verletzung des allgemeinen Persönlichkeitsrechts einer Prozesspartei nicht perpetuiert oder vertieft würde und der Verwertung auch Gründe der Generalprävention nicht entgegenstehen (BAG 23. August 2018 - 2 AZR 133/18 - Rn. 15 mwN, BAGE 163, 239).

(7) Sofern danach ein Beweisverwertungsverbot wegen eines Verstoßes gegen das allgemeine Persönlichkeitsrecht besteht, erfasst dieses nicht allein das unrechtmäßig erlangte Beweismittel selbst, sondern steht auch einer mittelbaren Verwertung, wie der Vernehmung von Zeugen über den Inhalt des Beweismittels, entgegen (vgl. BVerfG 31. Juli 2001 - 1 BvR 304/01 - zu II 1 b bb der Gründe; BAG 20. Oktober 2016 - 2 AZR 395/15 - Rn. 19, BAGE 157, 69). In solchen Fällen darf folgerichtig weder eine Inaugenscheinnahme der Videoaufnahmen erfolgen, noch darf das Gericht dem weiteren Beweisangebot der Beklagten auf Vernehmung der mit der Auswertung der Aufnahmen betrauten Personen als Zeugen nachgehen.

ddd) Die Heranziehung, Betrachtung und Auswertung der Videoaufzeichnungen der an den Toreingängen zum Betriebsgelände der Beklagten installierten Kameras zum Zwecke der Prüfung, ob der Kläger am 02.06.2018 das Betriebsgelände betreten und verlassen hat, stellt eine Verarbeitung personenbezogener Daten von Beschäftigten iSd. § 26 Abs. 1 BDSG dar. Sie ist vorliegend weder für die Durchführung noch für die Beendigung des Beschäftigungsverhältnisses (Satz 1) noch für die Aufdeckung einer Straftat (Satz 2) erforderlich.

(1) Es fehlt bereits an der grundsätzlichen – abstrakten - Geeignetheit des eingesetzten Mittels der Videoüberwachung, um den hier von der Beklagten erstrebten Zweck der Überprüfung eines vertragsgemäßen Verhaltens sowie des Nachweises eines Arbeitszeitbetruges zu führen. Die Aufzeichnungen der Videokameras dokumentieren lediglich den Zutritt der Arbeitnehmer auf das Werksgelände sowie das Verlassen desselben. Die Arbeitszeit beginnt nach der bei der Beklagten geltenden Arbeitsordnung nicht mit dem Betreten des Werksgeländes und endet nicht mit dessen Verlassen. Sie beginnt erst und endet schon mit dem Erreichen bzw. Verlassen des auf dem weitläufigen Betriebsgelände befindlichen Arbeitsplatzes. Aus der Videoaufzeichnung kann nur auf eine Anwesenheit des Arbeitnehmers auf dem Betriebsgelände, nicht aber auf seine Anwesenheit am Arbeitsplatz geschlossen werden. Zudem ist fraglich, ob Arbeitnehmer, die das Werksgelände mit Schutzkleidung oder – beispielsweise im Winter – mit Kopfbedeckung betreten, stets hinreichend klar identifiziert werden können. Angesichts des Umstandes, dass der Zugang zum Werksgelände durch zahlreiche Eingänge möglich ist, wären Schlüsse auf die An- oder Abwesenheit von Arbeitnehmern auf dem Werksgelände zudem grundsätzlich nur dann mit hinreichender Sicherheit zu ziehen, wenn die Aufzeichnungen sämtlicher Videokameras für den betreffenden Zeitraum lückenlos, also ohne zeitliche Unterbrechungen, gefertigt und auch ausgewertet würden, da ansonsten nicht sicher davon ausgegangen werden kann, dass sämtliche Zutritte, auch z.B. solche, die im Anschluss an das Verlassen des Werksgeländes (z.B. nach einer Pause) erneut erfolgen, auch erkannt werden.

(2) Das Mittel der Videoüberwachung und -aufzeichnung ist darüber hinaus zur Kontrolle geleisteter Arbeitszeiten und zur Aufdeckung einer damit im Zusammenhang stehenden Straftat auch nicht erforderlich, da hierzu andere Mittel zur Verfügung stehen, die die Ableistung von Arbeitszeiten verlässlicher dokumentieren. So kann an dem Ort, an dem die Arbeitsleistung nach der Arbeitsordnung der Beklagten beginnt und endet – d.h., der Betriebsabteilung auf dem Gelände, in der sich der Arbeitsplatz befindet – eine Anwesenheitserfassung der Beschäftigten durch Vorgesetzte oder auch durch technische Einrichtungen wie eine Stempelkarte erfolgen. Soll die Dokumentation der An- und Abwesenheit bereits beim Zu- und Abgang auf bzw. vom Werksgelände erfolgen, kann auch im Zusammenhang damit eine elektronische Anwesenheitserfassung in Form von Karten und Kartenlesegeräten an den Werkstoren Verwendung finden, wobei dann die Befugnisse der Beklagten zur Auswertung dieser Daten nicht – wie vorliegend geschehen – durch Betriebsvereinbarung dahingehend eingeschränkt werden dürften, dass eine personenbezogene Auswertung nicht stattfinde. Weiß der Arbeitnehmer, dass er sich mit der Verwendung einer Karte nicht nur den Zugang freischaltet, sondern seine Anwesenheitszeiten zum Zwecke des Nachweises der Erbringung von Arbeitsleistung erfasst, und ist die Befugnis der Auswertung der gewonnenen Daten zu diesem Zweck auch klar geregelt, stünde deren Verwertung – auch im Rahmen einer gerichtlichen Auseinandersetzung über die Beendigung eines Arbeitsverhältnisses – nichts entgegen.

(3) Das Mittel der Videoüberwachung ist schließlich vorliegend zur Kontrolle geleisteter Arbeitszeiten und zur Aufdeckung einer damit im Zusammenhang stehenden Straftat auch nicht angemessen. Sowohl die sachliche als auch die zeitliche Intensität des Eingriffs sind erheblich und stehen vorliegend außer Verhältnis zu dem Gewicht der ihn rechtfertigenden Gründe. Die Videokameras erfassen sämtliche Zu- und Abgänge von Arbeitnehmern an sämtlichen Eingängen zum Betriebsgelände durch Bildaufzeichnungen. Aus ihnen lassen sich auch Schlüsse darauf ziehen, mit welchem zeitlichen Vorlauf zum Beginn der Arbeitszeit der Arbeitnehmer das Gelände betritt, wie er gekleidet ist, ob und von wem er ggf. begleitet wird u.a.m. Vor allem aber hat die Beklagte bei ihren Untersuchungen von Unregelmäßigkeiten auf Videoaufzeichnungen zurückgegriffen, die erhebliche Zeit zurücklagen. Der Untersuchungsbericht der Konzern Sicherheit Forensik führt als Datum den „07.06.2019“ auf. Da der Bericht zeitlich nachgelagerte Ereignisse enthält, so etwa die sämtlich am 26.08.2019 durchgeführten Befragungen des Klägers und seiner Kollegen, kann der Bericht nicht am 07.06.2019 abgeschlossen worden sein. Ob es sich um den Beginn der Ermittlungen handelt, ist nicht vollständig klar. Jedenfalls liegen keine Anhaltspunkte dafür vor, dass der Beginn der Ermittlungen eine maßgebliche Zeit vor dem 07.06.2019 lag. Dementsprechend ist davon auszugehen, dass die Beklagte sich zur Aufklärung der anonym erhobenen Vorwürfe der Sichtung von Videoaufzeichnungen bedient hat, die seinerzeit bereits (teilweise) ein Jahr lang zurücklagen. Diese Vorgehensweise widerspricht eklatant den Grundsätzen der Datenminimierung und Speicherbegrenzung, die in Art. 5 DSGVO als dem maßgeblichen und nicht durch Art. 88 DSGVO verdrängten europäischen Recht ihren Niederschlag gefunden haben, wobei angesichts des zeitlichen Ausmaßes des Rückgriffs unentschieden bleiben kann, ob die – auch aus Sicht der Kammer recht weitgehende - Ansicht der Datenschutzaufsichtsbehörden (DSK, Kurzpapier Nr. 15) zutrifft, dass Videoaufzeichnungen regelmäßig binnen 48 Stunden zu löschen sind.

(4) Die Sachlage ändert sich auch nicht dadurch, dass die Beklagte mit der Einrichtung der Videoüberwachung primär die Verhinderung des Zutritts Unbefugter auf das Betriebsgelände sowie die Unterbindung bzw. den Nachweis von Eigentumsdelikten verfolgt bzw. verfolgen mag. Auch wenn man davon ausgeht, dass diese Zwecke eine präventive, offene Videoaufzeichnung und ggf. auch die Speicherung der Aufzeichnungen für längere Zeiträume rechtfertigen könnten, ist es der Beklagten verwehrt, diese Aufzeichnungen zum Zweck der Aufklärung des Verdachts eines Arbeitszeitbetruges heranzuziehen. Das gilt jedenfalls im vorliegenden Fall, in dem die Beklagte die bei ihr vorgehaltenen Aufzeichnungen gezielt im Hinblick auf den Verdacht eines Arbeitszeitbetruges gesichtet hat. Es handelt sich damit nicht um einen ggf. verwertbaren „Zufallsfund“, der aus Anlass einer zulässigen, anders gearteten Verwertung der Videoaufzeichnungen entstanden ist.

eee) Die Verwertung der im Zuge der Videoüberwachung gewonnenen Erkenntnisse und Beweismittel der Beklagten durch das Gericht würde vorliegend auch einen Grundrechtsverstoß darstellen. Die seitens der Beklagten durchgeführte Maßnahme ist nicht allein deshalb unzulässig, weil ihre Datenerhebung gegenüber anderen Beschäftigten rechtswidrig wäre, sie ist vielmehr gerade deshalb unzulässig, weil sie sachlich und zeitlich in erheblicher Weise in das Persönlichkeitsrecht (Art. 1 GG) des Klägers eingreift. Würde eine gerichtliche Verwertung erfolgen, stellte dies einen erneuten ungerechtfertigten Grundrechtseingriff dar und wäre aufgrund der verfassungsrechtlichen Schutzpflicht des Gerichts zu unterlassen, weil hierdurch die ungerechtfertigte „vorprozessuale“ Verletzung des allgemeinen Persönlichkeitsrechts des Klägers in erheblichem Maße perpetuiert und vertieft würde. Schließlich gebieten auch Gründe der Generalprävention, die Videoaufzeichnungen der Beklagten nicht zum Zweck des Nachweises eines behaupteten, lange Zeit zurückliegenden Arbeitszeitbetruges zu verwerten.

cc) Das Gericht hatte auch keinen Zeugenbeweis zu erheben.

Aus dem oben Ausgeführten folgt, dass das Beweisverwertungsverbot hinsichtlich der Videoaufzeichnungen sich auf die Vernehmung der Zeugen erstreckt, die nach dem Beweisangebot der Beklagten über die bei Sichtung des Videos gemachten Beobachtungen berichten sollen.


Den Volltext der Entscheidung finden Sie hier:


EuGH-Generalanwalt: Anspruch auf Schadensersatz aus Art. 82 DSGVO setzt tatsächlichen materiellen oder immateriellen Schaden voraus - Kein Strafschadensersatz

EuGH-Generalanwalt
Schlussanträge vom 06.10.2022
C‑300/21
UI gegen Österreichische Post AG


Der EuGH-Generalanwalt kommt in seinen Schlussanträgen zu dem Ergebnis, dass ein Anspruch auf Schadensersatz aus Art. 82 DSGVO einen tatsächlichen materiellen oder immateriellen Schaden voraussetzt.

Das Ergebnis des EuGH-Generalanwalts:
Art. 82 der Verordnung (EU) 2016/679 des Europäischen Parlaments und des Rates vom 27. April 2016 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten, zum freien Datenverkehr und zur Aufhebung der Richtlinie 95/46/EG (Datenschutz-Grundverordnung) ist wie folgt auszulegen:

Für die Anerkennung eines Anspruchs auf Ersatz des Schadens, den eine Person infolge eines Verstoßes gegen die genannte Verordnung erlitten hat, reicht die bloße Verletzung der Norm als solche nicht aus, wenn mit ihr keine entsprechenden materiellen oder immateriellen Schäden einhergehen.

Der in der Verordnung 2016/679 geregelte Ersatz immaterieller Schäden erstreckt sich nicht auf bloßen Ärger, zu dem die Verletzung ihrer Vorschriften bei der betroffenen Person geführt haben mag. Es ist Sache der nationalen Gerichte, herauszuarbeiten, wann das subjektive Unmutsgefühl aufgrund seiner Merkmale im Einzelfall als immaterieller Schaden angesehen werden kann.

Die vollständigen Schlussanträge finden Sie hier:


BMDV: Referentenentwurf der Einwilligungsverwaltungs-Verordnung (EinwVO) nach § 26 Abs. 2 TTDSG - Einwilligung für Speichern von Informationen nach § 25 Abs.1 TTDSG

Das BMDV hat den Referentenentwurf der Einwilligungsverwaltungs-Verordnung (EinwVO) nach § 26 Abs. 2 TTDSG vorgelegt.

Aus dem Entwurf:
A. Problem und Ziel
In § 26 Telekommunikation-Telemedien-Datenschutzgesetz (TTDSG) wurde ein Rechtsrahmen für die Anerkennung von Diensten geschaffen, die nutzerfreundliche und wettbewerbskonforme Verfahren zur Einholung und Verwaltung der nach § 25 Absatz 1 TTDSG erforderlichen Einwilligung in das Speichern von Informationen auf Endeinrichtungen der Endnutzer oder in den Abruf von Informationen, die bereits auf Endeinrichtungen gespeichert sind, ermöglichen. Unabhängige Dienste zur Einwilligungsverwaltung sollen es den Endnutzern unter Mitwirkung von Software zum Abrufen und Darstellen von Informationen aus dem Internet (in der Regel Browser) und der verantwortlichen Telemedienanbieter ermöglichen, über die erforderliche Einwilligung in den Zugriff auf ihre Endeinrichtungen durch Dritte in informierter Weise zu entscheiden. Vor allem geht es dabei um die Einwilligung in Cookies oder ähnliche Technologien, die von Telemedienanbietern zum Zwecke der Ausspielung von Werbung eingesetzt werden. Ziel ist die Überwindung der derzeitigen Praxis der Telemedienanbieter, die einzelnen Einwilligungen bei jedem Besuch der Webseite mittels sog. Einwilligungs-Cookie-Banner einzuholen. Diese Praxis überfordert die meisten Endnutzer. Durch die Einbindung anerkannter Dienste zur Einwilligungsverwaltung soll für die Endnutzer eine anwenderfreundliche Alternative zur bisherigen Praxis geschaffen und die Endnutzer von vielen Einzelentscheidungen entlastet werden. § 26 Absatz 2 TTDSG ermächtigt die Bundesregierung, durch Rechtsverordnung Anforderungen an das nutzerfreundliche und wettbewerbskonforme Verfahren der Einwilligungsverwaltung und technische Anwendungen, an das Verfahren der Anerkennung von Diensten der Einwilligungsverwaltung und die technischen und organisatorischen Anforderungen an Browser-Software und Telemedienanbieter zur Befolgung von Endnutzer-Einstellungen und Berücksichtigung von anerkannten Diensten zu regeln. Mit dieser Verordnung soll diese Ermächtigung umgesetzt werden.

B. Lösung
Die Einw-VO enthält die Anforderungen, bei deren Einhaltung die Erteilung einer wirksamen Einwilligung in das Speichern von Informationen auf Endeinrichtungen sowie in den Abruf von Informationen, die auf Endeinrichtungen gespeichert sind, in nutzerfreundlicher und wettbewerbskonformer Weise möglich ist. Damit können wiederholende Aufforderungen zur Erteilung von Einwilligungen insbesondere beim Besuch von Webseiten und die damit verbundene Belastung der Endnutzer vermieden werden. Zugleich wird sichergestellt, dass Telemedienanbieter, die im Rahmen ihrer Geschäftsmodelle Einwilligungen benötigen,diese durch Dienste zur Einwilligungsverwaltung auch wirksam und nachweisbar erhalten können und nicht diskriminiert werden.


Sie finden den vollständigen Entwurf hier:
Referentenentwurf - Verordnung zur Regelung eines nutzerfreundlichen und wettbewerbskonformen Verfahrens zur Einwilligungsverwaltung, zur Anerkennung von Diensten und zu technischen und organisatorischen Maßnahmen nach § 26 Absatz 2 Telekommunikation-Telemedien-Datenschutzgesetz (Einwilligungsverwaltungs-Verordnung – EinwVO)


LG Berlin: Mieter hat Anspruch auf immateriellen Schadensersatz aus Art. 82 DSGVO gegen Vermieter wegen datenschutzwidriger Videoüberwachung des Innenhofs

LG Berlin
Urteil vom 15.07.2022
63 O 213/20

Das LG Berlin hat entschieden, dass ein Mieter einen Anspruch auf immateriellen Schadensersatz aus Art. 82 DSGVO gegen den Vermieter bei datenschutzwidriger Videoüberwachung des Innenhofs zusteht. Die Höhe richtet sich nach den Umständen des Einzelfalls.