Skip to content

LG Hamburg: Kein Anspruch auf Ersatz immaterieller Schäden bzw. Schmerzensgeld aus Art. 82 DSGVO durch Datenschutzverstoß allein - Schaden z.B. durch Persönlichkeitsrechtsverletzung erforderlich

LG Hamburg
Urteil vom 04.09.2020
324 S 9/19


Das LG Hamburg hat entschieden, dass kein Anspruch auf Ersatz immaterieller Schäden bzw. Schmerzensgeld aus Art. 82 DSGVO allein aufgrund eines Verstoßes gegen die Normen der DSGVO besteht. Vielmehr muss auch tatsächlich ein Schaden z.B. durch eine Persönlichkeitsrechtsverletzung entstanden sein.

Aus den Entscheidungsgründen:

1) Der Klägerin steht gegen den Beklagten ein Anspruch auf Erstattung der Abmahnkosten zu, allerdings nur nach einem Gegenstandswert von € 3.000,--.

Dabei kann dahinstehen, ob der Anspruch auf § 1004 Abs. 1 BGB analog, § 823 Abs. 1 BGB oder auf § 1004 Abs. 1 BGB analog, § 823 Abs. 2 BGB, Art. 6 Abs. 1, 17 Abs. 1 lit. d DSGVO gestützt wird, da in jedem Fall eine Abwägung der Interessen zugunsten der Klägerin ausfällt.

Der Beklagte ist Verantwortlicher i.S.d. Art. 4 Nr. 7 DSGVO für die ordnungsgemäße Verarbeitung der personenbezogenen Daten (Art. 4 Nr. 1 DSGVO) der Klägerin. Er hat die Daten der Klägerin durch die Erfassung in dem Terminsformular seiner Webseite verarbeitet und durch die öffentliche Freischaltung auch verbreitet (Art. 4 Nr. 2 DSGVO). In die Verbreitung ihrer Daten hat die Klägerin auch nicht eingewilligt.

Der Beklagte kann sich nicht durch einen Verweis auf seinen Dienstleister exkulpieren, da dies nichts an der Verantwortlichkeit des Beklagten ändert.

Die Höhe des Erstattungsanspruchs richtet sich nach dem zugrunde liegenden Gegenstandswert, welcher mit € 3.000,-- anzusetzen ist, § 2 Abs. 1 RVG. Der Gegenstandswert ist nach § 23 Abs. 3 S. 2 RVG nach billigem Ermessen festzusetzen. Es liegen auch die notwendigen tatsächlichen Anhaltspunkte für eine Schätzung vor, so dass nicht von einem Regelstreitwert i.H.v. € 5.000,-- nach § 23 Abs. 3 S. 2 HS 2 RVG auszugehen ist. Insbesondere sind der Umfang und die Bedeutung der Sache zu berücksichtigen. Vorliegend handelt es sich um einen Vorfall von geringem Umfang und nicht erheblicher Bedeutung. Die Daten der Klägerin wurden vom Beklagten zwar im Internet frei verfügbar abrufbar vorgehalten, allerdings nur über einen Zeitraum von nicht mehr als ca. 6 Wochen.

Allerdings verbreitete der Beklagte die Daten nicht aktiv, indem er auf diese z.B. auf seiner Webseite oder in anderer Weise hingewiesen hätte. Die regelmäßig von der Kammer angenommenen Streitwerte für eine pressemäßige Verbreitung sind damit nicht zugrunde zu legen. Der Verstoß war auch leicht feststellbar. Die Bedeutung der Sache erscheint zuletzt auch deshalb nicht besonders erheblich, weil die Daten zwar private, wohl aber nicht intime Aspekte der Klägerin betrafen.

Zusammenfassend ist der Gegenstandswert daher mit € 3.000,-- richtig bemessen.

Auch die von der Klägerin angeführten und von anderen Gerichten getroffenen Festsetzungen von Gegenstandswerten führen bereits deshalb zu keiner anderen Einschätzung, da dort Datenschutzverstöße gegenständlich waren, die – soweit erkennbar – jeweils erheblich größeren Ausmaßes waren.

Der Zahlungsanspruch nebst Zinsen bemisst sich i.Ü. wie vom Amtsgericht dargelegt, so dass auf die dortigen zutreffenden Ausführungen verwiesen wird.

2) Der Klägerin steht gegen den Beklagten auch kein Anspruch auf Ersatz immaterieller Schäden („Schmerzensgeld“) aus Art. 82 DSGVO oder sonst einem rechtlichen Aspekt zu. Für die Zubilligung eines Schadensersatzanspruchs bedarf es des Eintritts eines Schadens. Diesen hat die Klägerin weder dargelegt noch ist er sonst ersichtlich. Allein der Verstoß gegen datenschutzrechtliche Vorschriften führt nicht zu einer Verpflichtung des Verantwortlichen zur Zahlung von Schadensersatz (so auch LG Karlsruhe, Urteil vom 2.8.2019 – 8 O 26/19 = ZD 2019, 511). Voraussetzung eines Anspruchs auf Schadensersatz aus Art. 82 Abs. 1 DSGVO, der im nationalen Recht unmittelbar Anwendung findet und andere Anspruchsgrundlagen nicht ausschließt (Nemitz, in: Ehmann/Selmayr, DS-GVO, 2. Aufl., Art. 82 Rn. 7), ist ein Verstoß gegen die DSGVO und ein hierdurch verursachter Schaden, was ein Kläger darzulegen und zu beweisen hat (LG Karlsruhe a.a.O.).

Nach dem Erwägungsgrund 146 ist der Begriff des Schadens weit auszulegen, so dass Betroffene einen wirksamen Ersatz erhalten. Erwägungsgrund 85 besagt, dass eine Verletzung des Schutzes personenbezogener Daten einen physischen, materiellen oder immateriellen Schaden für natürliche Personen – wie etwa Verlust der Kontrolle über ihre personenbezogenen Daten oder Einschränkung ihrer Rechte, Diskriminierung, Identitätsdiebstahl oder -betrug, finanzielle Verluste, unbefugte Aufhebung der Pseudonymisierung oder Rufschädigung – nach sich ziehen kann, wenn nicht rechtzeitig und angemessen reagiert wird.

Es bedarf danach zwar keiner schweren Verletzung des Persönlichkeitsrechts, um einen immateriellen Schaden geltend zu machen (Gola/Piltz, DS-GVO, 2. Aufl., Art. 82 Rn. 13). Dennoch führt nicht bereits jeder Verstoß gegen die DSGVO zu einer Ausgleichspflicht, denn der Verpflichtung zum Ausgleich eines immateriellen Schadens muss eine benennbar und insoweit tatsächliche Persönlichkeitsverletzung gegenüberstehen, die z.B. in der mit einer unrechtmäßigen Zugänglichmachung von Daten liegenden „Bloßstellung“ liegen kann (LG Karlsruhe a.a.O.).

Eine solche „Bloßstellung“ ist vorliegend allerdings nicht erfolgt. Ferner hat die Klägerin den Eintritt von Nachteilen nicht behauptet, sondern lediglich vorgetragen, dass sie Nachteile befürchtet.

Auch der Vortrag der Klägerin zu dem von ihr abgemahnten ehemaligen Mitarbeiter bleibt unsubstantiiert. So ergibt sich aus dem Vortrag nicht, wann genau die Abmahnung erfolgt ist, so dass nachvollziehbar sein könnte, ob der betreffende Mitarbeiter überhaupt die Daten hätte abrufen können, als er ein Interesse daran hätte haben können.

Hinsichtlich der mitgeteilten Urlaubsabwesenheit erschließt sich der Kammer – im Einklang mit dem Amtsgericht – nicht, warum sich einem potentiellen Einbrecher, der nach den Daten der Klägerin gesucht hätte, hätte erschließen sollen, dass die eingetragenen Urlaubsabwesenheiten sich tatsächlich auf das Jahr 2019 beziehen sollten. Denn aus dem Anmeldeformular (Anlage K2) ergibt sich insbesondere nicht, dass dieses abgesendet wurde, als die in dem Formular mitgeteilten Zeiten bereits verstrichen waren.

Die Klägerin hat zuletzt auch nicht behauptet, das der unberechtigten Veröffentlichung der Wohnungsanzeige auf Immonet die auf der Webseite des Beklagten verfügbaren Daten zugrunde gelegen hätten.

Auch der Hinweis der Klägerin auf das Urteil des Arbeitsgerichts Düsseldorf (BeckRS 2020, 11910) führt zu keiner anderen Einschätzung. Dort hat das Gericht einen auf Art. 82 Abs. 1 DSGVO gestützten Schadensersatzanspruch angenommen, nachdem der Auskunftsanspruch des dortigen Klägers aus Art. 15 Abs. 1 DSGVO verletzt worden war. Dieser Verstoß hielt nach den Ausführungen des Gerichts offenbar mindestens fünf Monate an, in denen der Kläger über die Datenverarbeitung durch die Beklagte im Ungewissen war. Damit dürfte anzunehmen sein, dass der dortige Verantwortliche im Einklang mit Erwägungsgrund 85 „nicht rechtzeitig und angemessen reagiert“ hatte, was sodann den Eintritt des konkreten Nachteils, nämlich der Ungewissheit des dortigen Klägers, hätte nach sich ziehen können.

Insoweit handelt es sich allerdings um einen anderen und nicht mit dem hiesigen vergleichbaren Fall, da hier von einer deutlich kürzeren Zeitspanne der freien Abrufbarkeit der Daten auszugehen ist, und die Klägerin nicht erfolglos einen Auskunftsanspruch gegen den Beklagten geltend machte.

Die Kammer kann abschließend auch nicht erkennen, warum und inwieweit die Rechtsprechung zur Verletzung des Rechts am eigenen Bild im Internet analog heranzuziehen wäre. Weder begründet eine derartige Verletzung ohne weiteres einen Schadensersatzanspruch noch liegt eine vergleichbare Interessenlage notwendiger Weise vor.


Den Volltext der Entscheidung finden Sie hier:



BVerwG: Insolvenzverwalter hat keinen Auskunftsanspruch nach Art. 15 Abs. 1 DSGVO hinsichtlich der personenbezogenen Daten des Insolvenzschuldners

BVerwG
Urteil vom 16.09.2020
6 C 10.19


Das BVerwG hat entschieden, dass ein Insolvenzverwalter keinen Auskunftsanspruch nach Art. 15 Abs. 1 DSGVO hinsichtlich der personenbezogenen Daten des Insolvenzschuldners hat. Ein solcher Anspruch steht nur dem Insolvenzschuldner selbst zu.

Die Pressemitteilung des Gerichts:

Kein datenschutzrechtlicher Anspruch des Insolvenzverwalters auf Auskunft über das Steuerkonto des Insolvenzschuldners

Der Insolvenzverwalter kann nach Art. 15 Abs. 1 Datenschutzgrundverordnung (DSGVO) keine Auskunft vom Finanzamt über das Steuerkonto des Insolvenzschuldners verlangen. Das hat das Bundesverwaltungsgericht in Leipzig entschieden.

Der Kläger ist Insolvenzverwalter und begehrt in dieser Funktion vom beklagten Finanzamt einen Auszug aus dem Steuerkonto des Schuldners. Hierdurch erhielte er die Möglichkeit, potentiell anfechtungsrelevante Sachverhalte zur Mehrung der Insolvenzmasse zu ermitteln. Sein zunächst auf das Niedersächsische Landesdatenschutzrecht gestütztes Begehren verfolgt er unter Berufung auf Art. 15 Abs. 1 DSGVO seit dessen Inkrafttreten im Mai 2018 weiter. Art. 15 Abs. 1 DSGVO räumt einer betroffenen Person das Recht ein, von einem für die Datenverarbeitung Verantwortlichen Auskunft über die Verarbeitung der sie betreffenden personenbezogenen Daten zu verlangen. Dieser Anspruch besteht grundsätzlich auch gegenüber den Finanzbehörden. Allerdings ist der Insolvenzverwalter hinsichtlich der personenbezogenen Daten des Insolvenzschuldners weder nach dem Wortlaut, der Systematik noch nach dem Sinn und Zweck der einschlägigen Regelungen der DSGVO "betroffene Person". Betroffene Person ist nach Art. 4 Nr. 1 DSGVO nur diejenige natürliche Person, die durch die jeweiligen personenbezogenen Daten identifizierbar oder identifiziert ist. Eine Erweiterung dieses Begriffs auf den mit der Verwaltung der Insolvenzmasse betrauten Insolvenzverwalter widerspräche dem Charakter des Auskunftsanspruchs aus Art. 15 Abs. 1 DSGVO. Denn die in der DSGVO verankerten Betroffenenrechte dienen dem Schutz des Grundrechts auf Achtung der Privatsphäre aus Art. 8 der Charta der Grundrechte der Europäischen Union. Dieser Schutz lässt sich nur verwirklichen, wenn sich die von einer Datenverarbeitung betroffene Person vergewissern kann, dass ihre personenbezogenen Daten richtig sind und in zulässiger Weise verarbeitet werden, um andernfalls von dem für die Verarbeitung Verantwortlichen unter anderem die Berichtigung oder Löschung ihrer Daten zu verlangen. Der Auskunftsanspruch ist daher seiner Natur nach ein Instrument zur Schaffung des notwendigen Wissensfundaments für die Geltendmachung weitergehender Betroffenenrechte und zielt nicht auf die vom Kläger beabsichtigte Gewinnung von Informationen mit vermögensrechtlichem Bezug.

Auch ein Übergang dieses Auskunftsanspruchs in die Verfügungsbefugnis des Insolvenzverwalters gemäß § 80 Abs. 1 Insolvenzordnung findet nicht statt. Denn er ist seinem Charakter nach untrennbar mit der Person des Berechtigten verbunden und kann nicht losgelöst von den weiteren Betroffenenrechten betrachtet werden. Eine Ausübung durch den Insolvenzverwalter würde seine Zielrichtung und seinen Zweck verändern. Auch eine Differenzierung nach dem Vermögensbezug der betroffenen Daten kommt daher nicht in Betracht.

BVerwG 6 C 10.19 - Urteil vom 16. September 2020

Vorinstanzen:

OVG Lüneburg, 11 LC 121/17 - Urteil vom 20. Juni 2019 -

VG Lüneburg, 1 A 343/15 - Urteil vom 01. März 2017 -



VG Mainz: Datenschutzrechtliche Beschwerde muss alle Informationen enthalten so dass datenschutzrechtliche Aufsichtsbehörde die Sache prüfen kann

VG Mainz
Urteil vom 22.07.2020
1 K 473/19.MZ


Das VG Mainz hat entschieden, dass eine datenschutzrechtliche Beschwerde alle Informationen enthalten muss, so dass die datenschutzrechtliche Aufsichtsbehörde die Sache prüfen kann.

Aus den Entscheidungsgründen:

II. Die Klage hat ungeachtet dessen auch in der Sache keinen Erfolg. Der Bescheid des Beklagten vom 26. April 2019 ist rechtmäßig und verletzt den Kläger nicht in seinen Rechten. Die Beendigung des vom Kläger erhobenen Beschwerdeverfahrens durch den Beklagten ist nicht zu beanstanden, weil der Kläger keine prüffähige Beschwerde beim LFDI erhoben hat. Dabei hat der Beklagte das Beschwerdeverfahren nicht etwa deshalb eingestellt – wie der Kläger wohl meint –, weil der Kläger nur die aus seiner Sicht bestehenden Missstände und seine Rechtsauffassung mitteilt, sondern weil die Beschwerde des Klägers mangels konkreter Informationen zu einem Datenschutzrechtsverstoß vom LFDI nicht geprüft werden konnte.

1. Eine Beschwerde kann gemäß Art. 77 Abs. 1 DSGVO bei der Aufsichtsbehörde – hier: LFDI – eingelegt werden, wenn die betroffene Person der Ansicht ist, dass die Verarbeitung der sie betreffenden personenbezogenen Daten gegen diese Verordnung verstößt. Der Beschwerdeführer hat nicht nur – wie es bei einer Petition der Fall wäre – ein Recht auf Beantwortung und Bescheidung seiner Beschwerde, sondern einen darüberhinausgehenden Anspruch auf fehlerfreie Ermessensausübung und im Falle einer Ermessensreduzierung auf Null einen Anspruch auf ein konkretes Einschreiten der Aufsichtsbehörde (vgl. VG Mainz, Urteil vom 16. Januar 2020 – 1 K 129/19.MZ –, juris, Rn. 35; VG Ansbach, Urteil vom 8. August 2019 – AN 14 K 19.272 –, BeckRS 2019, 30069, Rn. 25; Albrecht/Jotzo, Das neue Datenschutzrecht der EU, 1. Aufl. 2017, Teil 8, Rn. 6 f., beck-online; Mundil, in Wolff/Brink, BeckOK Datenschutzrecht, 30. Ed. Stand: 1. Februar 2017, Art. 78 DSGVO, Rn. 7). Eine Beschwerde kann formlos eingereicht werden, da Art. 77 Abs. 1 DSGVO keine ausdrücklichen Formerfordernisse regelt. Inhaltlich dürfen an die Beschwerde zwar keine zu strengen Anforderungen gestellt werden, damit das Beschwerderecht grundsätzlich einfach und unbürokratisch ausgeübt werden kann (vgl. Bergt, in: Kühling/Buchner, DS-GVO/BDSG, 2. Aufl. 2018, Art. 77, Rn. 10; Körffer, in: Paal/Pauly, DS-GVO/BDSG, 2. Aufl. 2018, Art. 77, Rn. 3). Gleichwohl muss die Beschwerde zumindest alle Informationen enthalten, die erforderlich sind, dass die Aufsichtsbehörde den Sachverhalt erfassen und gegebenenfalls weiter aufklären und etwaige Datenschutzrechtsverstöße prüfen kann. Die Beschwerde muss daher Angaben über die betroffene Person und den Verantwortlichen aufweisen und zumindest ansatzweise zum Ausdruck bringen, welcher Verstoß gegen datenschutzrechtliche Vorschriften gerügt wird (vgl. Mundil, in: Wolff/Brink, BeckOK Datenschutzrecht, 31. Edition, Stand: 1. Februar 2020, Art. 77, Rn. 7). Schließlich kann der Beschwerdeführer keine Ermittlungen ins Blaue hinein durch den LFDI beantragen. Dabei kann von der betroffenen Person zwar keine rechtliche Analyse erwartet werden, allerdings muss die Behauptung eines Rechtsverstoßes substantiiert durch Tatsachen dargelegt werden. Sofern die Beschwerde noch nicht hinreichend substantiiert ist, ist es Aufgabe der Aufsichtsbehörde den Beschwerdeführer hierauf hinzuweisen und auf eine Konkretisierung der Beschwerde hinzuwirken (vgl. Nemitz, in: Ehmann/Selmayr, DSGVO, 2. Aufl. 2018, Art. 77, Rn. 8).

2. Unter Anwendung des dargestellten Rechtsmaßstabs fehlt es hier an einer hinreichend substantiierten, überprüfbaren Beschwerde des Klägers. Der Kläger hat mit seiner Beschwerde vom 5. Februar 2019 zwar mitgeteilt, dass er Unterstützung bei seinem Auskunftsbegehren nach Art. 15 DSGVO benötige. Er habe verschiedene Behörden um Auskunft gebeten und verweise insofern auf seine beigefügten Anfrageschreiben an die jeweiligen Behörden sowie die Rückantworten des Sozialgerichts Mainz, des Landessozialgerichts Rheinland-Pfalz, der Staatskanzlei und der Generalstaatsanwaltschaft Koblenz. Aus seinem Beschwerdeschreiben und auch der weiteren Korrespondenz mit dem LFDI sowie aus seinem Vortrag im Klageverfahren ergibt sich jedoch nicht, ob und warum er überhaupt von einer Datenverarbeitung durch die angefragten Stellen ausgeht (a)), ob ihm alle angefragten Behörden geantwortet haben bzw. welche Behörden sich nicht zurückgemeldet haben (b)) und warum die Rückantworten, die er erhalten und seiner Beschwerde beigefügt hat, nicht ausreichen (c)).

a) Sofern der Kläger nicht erklärt, dass (und warum) er von einer Datenverarbeitung durch die verantwortliche Behörde ausgeht und sich dies auch nicht aus den Umständen ergibt, kann der LFDI teilweise bereits seine Zuständigkeit nicht prüfen.

Art. 55 Abs. 3 DSGVO regelt, dass die Aufsichtsbehörden – hier: der LFDI – nicht zuständig sind für die Aufsicht über die von den Gerichten im Rahmen ihrer justiziellen Tätigkeit vorgenommenen Verarbeitungen von personenbezogenen Daten (vgl. insofern auch Erwägungsgrund 20 der DSGVO). Das bedeutet, dass der LFDI keine Aufsichtsbefugnisse über Gerichte hat, sofern diese Tätigkeiten ausüben, die mit der gerichtlichen Entscheidungsfindung in Zusammenhang stehen (vgl. Selmayr, in: Ehmann/Selmayr, 2. Aufl. 2018, DS-GVO Art. 55 Rn. 12). Damit soll der verfassungsrechtlich gebotenen Unabhängigkeit der Justiz Rechnung getragen werden (vgl. Schaar, „Datenschutz und Rechtspflege“, DRiZ 2018, 166, beck-online). Die Gerichtsverwaltung ist von der Zuständigkeit der Aufsichtsbehörden hingegen nicht ausgenommen. Damit unterliegen die Verarbeitung personenbezogener Daten der Mitarbeiter der Justizverwaltung, die Datenverarbeitung bei der Mittelbeschaffung für die Gerichte sowie bei Justizverwaltungsakten und Rechtspflegetätigkeiten der Kontrolle des LFDI (vgl. Selmayr, in: Ehmann/Selmayr, DS-GVO, 2. Aufl. 2018, Art. 55, Rn. 14). In Bezug auf die Gerichte (Sozialgericht Mainz, Landessozialgericht Rheinland-Pfalz), an die der Kläger ein Auskunftsersuchen adressiert hat, konnte der LFDI mangels substantiierten Vortrags durch den Kläger nicht prüfen, ob sich die betroffene Datenverarbeitung – über die der Kläger eine Auskunft begehrt – auf die justizielle Tätigkeit der Gerichte oder die Gerichtsverwaltung bezieht. In seinem Schreiben vom 7. März 2019 führt der Kläger zwar aus, dass die jeweiligen Gerichtsverwaltungen Stellung zu seinen Anfragen genommen hätten. Es kommt für eine Überprüfung durch den LFDI jedoch nicht darauf an, wer das Auskunftsersuchen beantwortet, sondern wer die personenbezogenen Daten verarbeitet hat.

Ebenso war es dem LFDI nicht möglich, seine Zuständigkeit hinsichtlich der Beschwerde des Klägers in Bezug auf sein Auskunftsbegehren gegenüber dem Petitionsausschuss des Rheinland-Pfälzischen Landtags zu prüfen und positiv festzustellen. Gemäß § 2 Abs. 3 LDSG unterliegen der Landtag, seine Gremien, seine Mitglieder, die Fraktionen sowie deren Verwaltungen und deren Beschäftigte nicht den Bestimmungen dieses Gesetzes, soweit sie in Wahrnehmung parlamentarischer Aufgaben personenbezogene Daten verarbeiten. Der Landtag erlässt insoweit unter Berücksichtigung seiner verfassungsrechtlichen Stellung, der DSGVO und der Grundsätze des Landesdatenschutzgesetzes eine Datenschutzordnung. Soweit das Auskunftsersuchen des Klägers also eine Verarbeitung personenbezogener Daten betrifft, die im Rahmen parlamentarischer Aufgaben erfolgt ist, ist der LFDI als Aufsichtsbehörde nicht zuständig. Ob und inwieweit vorliegend eine Datenverarbeitung des Klägers im Bereich parlamentarischer Aufgaben von seinem Auskunftsersuchen betroffen ist, konnte der LFDI jedoch gar nicht erst prüfen, weil ihm insofern nicht hinreichende Informationen übermittelt wurden.

In diesem Zusammenhang ist zu berücksichtigen, dass der LFDI in seinen Schreiben vom 15. Februar 2019 und vom 1. April 2019 auf seine eingeschränkte Zuständigkeit hingewiesen und mitgeteilt hat, dass aus den Schreiben des Klägers ein Datenschutzverstoß nicht substantiiert erkennbar sei und deshalb um Konkretisierung der Beschwerde gebeten werde. Der Kläger wurde auf seine nicht prüffähige Beschwerde hingewiesen und hat zwei Mal die Möglichkeit erhalten, seine Beschwerde zu konkretisieren.

b) Aus der Beschwerde wird weiterhin nicht erkennbar, ob der Kläger von allen Behörden, an die er ein Auskunftsersuchen adressiert hat, eine Rückantwort erhalten hat. Er hat jedenfalls nur von manchen der angeschriebenen Behörden eine Antwort seiner Beschwerde beigelegt (Sozialgericht Mainz, Staatskanzlei Rheinland-Pfalz, Landessozialgericht Rheinland-Pfalz, Generalstaatsanwaltschaft Koblenz). In dem Schreiben des Sozialgerichts Mainz wird der Kläger nur darüber informiert, dass die Beschwerde zur Bearbeitung an die Gerichtsverwaltung weitergeleitet wurde, sodass nicht erkennbar ist, ob und in welcher Weise eine inhaltliche Beantwortung des Auskunftsersuchens später noch erfolgt ist und den rechtlichen Anforderung entspricht. In dem Schreiben des Landessozialgerichts Rheinland-Pfalz vom 18. Januar 2019 wird nur Bezug genommen auf eine mit Schreiben vom 8. Januar 2019 wohl vom Landessozialgericht erteilte Antwort. Dieses Antwortschreiben hat der Kläger nicht seiner Beschwerde beigelegt, sodass ein etwaiger Verstoß gegen das Auskunftsrecht nach Art. 15 DSGVO nicht überprüfbar ist. Ob es Rückantworten des Petitionsausschusses des Landtags, des Justizministeriums und der Staatsanwaltschaft Mainz gab, wird aus der Beschwerde nicht erkennbar. Etwaige fehlende Antworten werden vom Kläger auch nicht ausdrücklich gerügt.

c) Zur Begründung seiner Beschwerde führt der Kläger zwar an, dass aus den ihm zugegangenen Antworten (mit Ausnahme der Angaben der Generalstaatsanwaltschaft Koblenz) nicht erkennbar sei, welche Dokumente er löschen lassen könne. Allerdings ist vom Auskunftsrecht nach Art. 15 Abs. 1 lit. e) DSGVO allein umfasst, dass die betroffene Person über das Bestehen ihres Rechts auf Löschung der sie betreffenden personenbezogenen Daten gemäß Art. 17 DSGVO informiert werden muss – wie es die Staatskanzlei Rheinland-Pfalz in ihrem Auskunftsschreiben (dem einzigen Schreiben, das der Kläger neben der Antwort der Generalstaatsanwaltschaft Koblenz vorgelegt hat) im Übrigen auch in rechtlich hinreichender Weise getan hat. Ein Anspruch auf Mitteilung, welche konkreten Dokumente mit personenbezogenen Daten vorhanden sind und gegebenenfalls gemäß Art. 17 DSGVO gelöscht werden müssen, lässt sich aus Art. 15 Abs. 1 DSGVO nicht ableiten. Aus seinem Auskunftsbegehren („ich nehme hiermit mein Auskunftsrecht nach Art. 15 DSGVO wahr und bitte um Rückantwort innerhalb der im Gesetz vorgesehenen Fristsetzung.“) ergibt sich auch weder, dass der Kläger etwa gemäß Art. 15 Abs. 3 DSGVO Kopien der personenbezogenen Daten, die Gegenstand der Verarbeitung bei dem jeweiligen Verantwortlichen sind, bekommen wollte, noch, dass er die Löschung seiner personenbezogenen Daten verlangt. Jedenfalls wäre es dem Kläger im Rahmen seiner Mitwirkungspflichten zuzumuten gewesen, im Falle einer aus seiner Sicht unzureichenden Beantwortung gegenüber der Behörde sein Auskunftsersuchen zu präzisieren und beispielsweise ausdrücklich eine Kopie zu verlangen. Im Übrigen ist auch nicht ersichtlich, dass eine betroffene Person für die Ausübung ihres Löschungsrechts nach Art. 17 DSGVO die Kenntnis bestimmter Dokumente benötigt; vielmehr dürfte es ausreichen die Löschung bestimmter personenbezogener Daten, die bei dem Verantwortlichen vorhanden sind, zu verlangen.

Darüber hinaus verlangt der Kläger aufgrund seiner Beschwerde offenbar, dass der LFDI Schulungen bei den verschiedenen Behörden durchführt. Hierauf hat der Kläger jedoch keinen durchsetzbaren Anspruch. Ebenso wenig kann er im Beschwerde- oder Klageverfahren eine einheitliche Rechtsanwendung durchsetzen, wobei insofern auch unklar ist, worin er anhand der verschiedenen, ihm zugegangenen Rückantworten der Behörden eine uneinheitliche Rechtsanwendung sieht.

Hinsichtlich der vom Kläger gerügten vermeintlich unvollständig und fehlerhaft geführte Verwaltungsakte ist nicht ersichtlich, in welcher Weise die Akte manipuliert sein soll und sich dieser Vorwurf auf das streitgegenständliche Verfahren auswirken könnte. In der Anpassung des Datums auf dem Bescheid vom 26. April 2019 (S. 77 der Verwaltungsakte) ist keine rechtswidrige Manipulation zu erkennen. Es ist offensichtlich, dass es sich bei dem Schreiben auf S. 77 der Verwaltungsakte um den finalen Entwurf des Bescheids handelte. Dies wird dadurch deutlich, dass der Landesdatenschutzbeauftragte Herr L. nur mit seinem Kürzel unterzeichnet hat und auf der Rückseite (S. 76 der Verwaltungsakte) eine interne Verfügung vermerkt ist. Dabei wurde in dem Schreiben das Datum der finalen Erstellung des Schreibens (Freitag, der 26. April 2019) über dem ursprünglich vermerkten Datum (24. April 2019) handschriftlich korrigiert. Diese Vorgehensweise wurde von dem Beklagtenvertreter in der mündlichen Verhandlung am 18. Juni 2020 auch bestätigt (vgl. Protokoll über die öffentliche Sitzung der 1. Kammer am 18. Juni 2020). Aus einer Datumskorrektur kann nicht ohne weitere Anhaltspunkte auf eine Aktenmanipulation geschlossen werden, zumal es auf das genaue Datum, an dem der Bescheid verfasst wurde, hier nicht ankommt. Die Verwaltungsakte ist allein dahingehend unvollständig, als sie eine Kopie des originalen, an den Kläger abgesendeten Bescheids über die finale Entwurfsfassung hinaus nicht zusätzlich in Kopie enthält. Wenngleich es wünschenswert wäre, dass der Beklagte auch den Originalbescheid in Kopie in die Verwaltungsakte aufnimmt, lässt sich aus der bisherigen Verwaltungspraxis des Beklagten für den Kläger keine Rechtsverletzung ableiten, zumal das Schreiben auf S. 77 – bis auf das handschriftlich korrigierte Datum – inhaltlich identisch ist mit dem Bescheid, den der Kläger nachweislich (Bl. 1 (Rückseite) der Gerichtsakte) erhalten hat. Entgegen der Auffassung des Klägers muss die Verwaltungsakte auch nicht die innere Entscheidungsbildung der Behördenmitarbeiter im Einzelnen abbilden.

Dem Kläger wurde auch Akteneinsicht im Sinne von § 100 VwGO gewährt. Er ist zwei Mal im Verwaltungsgericht erschienen, um Einsicht in die Akte zu nehmen; ihm wurden weitere Möglichkeiten zur Akteneinsicht angeboten, die er nicht wahrgenommen hat. Darüber hinaus wurde dem Kläger zwar verwehrt Fotografien oder Kopien von der Verwaltungsakte selbst zu erstellen, ihm wurde aber angeboten, dass auf seine Kosten Kopien durch die Geschäftsstelle angefertigt werden. Von dieser Möglichkeit hat er keinen Gebrauch gemacht.

Im Übrigen geht der Verweis des Klägers auf eine Entscheidung des Verwaltungsgerichts Mainz vom 5. April 2017 (– 3 K 569/16.MZ –) fehl, da es darin nicht um eine Akteneinsicht in Gerichts- und Verwaltungsakten nach § 100 VwGO ging, sondern um die Gebührenfreiheit bei der Einsichtnahme in amtliche Informationen vor Ort nach § 13 Abs. 1 Satz 2 Landesinformationsfreiheitsgesetz – LIFG –.


Den Volltext der Entscheidung finden Sie hier:

VG Schleswig-Holstein: Für Posten des Landesdatenschutzbeauftragten ist auch nach der DSGVO keine öffentliche Ausschreibung erforderlich

VG Schleswig-Holstein
Beschluss vom 19.08.2020
12 B 36/20


Das VG Schleswig-Holstein hat entschieden, dass für den Posten des Landesdatenschutzbeauftragten auch nach der DSGVO keine öffentliche Ausschreibung erforderlich ist.

Aus den Entscheidungsgründen:

Die Beigeladene wurde entsprechend dem in § 5 Abs. 1 Satz 1 ULDErrG SH geregelten Wahlverfahren gewählt. Danach wählt der Landtag auf Vorschlag der Fraktionen ohne Aussprache die Landesbeauftragte oder den Landesbeauftragten mit mehr als der Hälfte seiner Mitglieder für die Dauer von sechs Jahren. § 5 Abs. 1 Satz 1 ULDErrG SH verstößt nicht gegen die in Art. 53 Abs. 1 der Verordnung (EU) 2016/679 (Datenschutzgrundverordnung - DS-GVO) niedergelegten europarechtlichen Vorgaben. Danach sehen die Mitgliedstaaten vor, dass jedes Mitglied ihrer Aufsichtsbehörden im Wege eines transparenten Verfahrens ernannt wird, und zwar vom Parlament, von der Regierung, vom Staatsoberhaupt oder von einer unabhängigen Stelle, die nach dem Recht des Mitgliedstaats mit der Ernennung betraut wird. Das in § 5 Abs. 1 Satz 1 ULDErrG SH geregelte Wahlverfahren verstößt nicht gegen das Transparenzgebot. Einer öffentlichen Ausschreibung des Postens des Landesdatenschutzbeauftragten bedarf es - anders als bei der Ernennung des Europäischen Datenschutzbeauftragten (Art. 42 Abs. 1 der Verordnung (EG) Nr. 45/20019 - nicht (Boehm, in: Kühling/Buchner, DS-GVO, BDSG, 2. Aufl., Art. 53 DS-GVO Rn. 6; Ziebarth, in: Sydow, Europäische Datenschutzgrundverordnung, 2. Aufl., Art. 53 Rn. 8). Wen die Fraktionen des schleswig-holsteinischen Landtags für das Amt vorschlugen, war öffentlich bekannt. Einer öffentlichen Debatte über mögliche Kandidaten bedurfte es nicht (Nguyen/Stroh, in: Gola, Datenschutz-Grundverordnung, 2. Aufl., Art. 53 Rn. 3). Im Übrigen ist der Antragsteller durch die fehlende Ausschreibung nicht in seinen Rechten verletzt, da er sich bei den Fraktionen des schleswig-holsteinischen Landtags noch vor der Wahl der Beigeladenen für das Amt des Landesbeauftragten für Datenschutz beworben hatte. Der Wahlvorgang selbst erfolgte in einer öffentlichen Sitzung des Landtages, war also hinlänglich transparent. Indem die bzw. der Landesbeauftragte von den Fraktionen des Landtags vorgeschlagen und anschließend vom Landtag mit mehr als der Hälfte seiner Mitglieder gewählt wird, verfügt die Leiterin bzw. der Leiter des Unabhängigen Landeszentrums für Datenschutz über die erforderliche demokratische Legitimation (Nguyen/Stroh, a.a.O., Art. 53 Rn. 3). Indem die Wahl des bzw. der Landesdatenschutzbeauftragten in Schleswig-Holstein ausschließlich in der Hand des Landtags liegt, ist dem unionsrechtlichen Gebot der „völligen Unabhängigkeit“ der bzw. des Landesdatenschutzbeauftragten (Art. 52 Abs. 1 DS-GVO), die eine Nähe zur Regierung ausschließen soll (Zierbarth, a.a.O., Art. 53 Rn. 11), Rechnung getragen.

Den Volltext der Entscheidung finden Sie hier:




VG Regensburg: DSGVO regelt Betroffenenrechte bei Verarbeitung personenbezogener Daten abschließend - keine Ansprüche aufgrund anderer Anspruchsgrundlagen

VG Regensburg
Gerichtsbescheid vom 06.08.2020
RN 9 K 19.1061


Das VG Regensburg hat entschieden, dass die DSGVO die Betroffenenrechte bei der Verarbeitung personenbezogener Daten abschließend regelt und Betroffene keine Ansprüche aufgrund anderer Anspruchsgrundlagen außerhalb der DSGVO geltend machen können.

Leitsätze des Gerichts:

1. Art. 79 DSGVO schließt weitere gerichtliche Rechtsbehelfe gegen Verantwortliche und Auftragsverarbeiter aus, sodass eine allgemeine Leistungsklage in der Form der Unterlassungsklage nach §§ 1004 Abs. 1, 823 Abs. 2 BGB im Anwendungsbereich der Datenschutz-Grundverordnung nicht statthaft ist.

2. Es ist zwischen einer (bloß) verordnungswidrigen Datenverarbeitung und einer möglichen Rechtsverletzung einer Person hinsichtlich der ausschließlich sie betreffenden personenbezogenen Daten zu unterscheiden.

3. Im Falle einer bloßen rechtswidrigen Datenverarbeitung ohne Rechtsverletzung steht der betroffenen Person das Beschwerderecht nach Art. 77 Abs. 1 DSGVO und in der Folge das Recht auf gerichtlichen Rechtsbehelf gegen die Aufsichtsbehörde nach Art. 78 Abs. 1 DSGVO zu. Art. 79 Abs. 1 DSGVO vermittelt einen individualrechtlichen Unterlassungsanspruch bezüglich der Verletzung von Betroffenenrechten (Art. 13 bis 20 DSGVO).

Aus den Entscheidungsgründen:

"Zunächst ist festzustellen, dass der sachliche Anwendungsbereich der Datenschutz-Grundverordnung eröffnet ist. Insbesondere sind die in Art. 2 Abs. 2 DSGVO genannten Ausnahmen für die Verarbeitung personenbezogener Daten vom Anwendungsbereich der Datenschutz-Grundverordnung nicht einschlägig. Entgegen der Auffassung des Klägers findet Art. 2 Abs. 2 Buchst. d DSGVO im vorliegenden Fall keine Anwendung. Die Verarbeitung personenbezogener Daten durch die zuständigen Behörden zum Zwecke der Verhütung, Ermittlung, Aufdeckung oder Verfolgung von Straftaten oder der Strafvollstreckung, einschließlich des Schutzes vor und der Abwehr von Gefahren für die öffentliche Sicherheit fällt in den Anwendungsbereich des zweiten Rechtsakts im Datenschutzreformpaket, der sogenannten „Polizei-RL“ (Art. 1 Abs. 1 RL 2016/680/EU des Europäischen Parlaments und des Rates vom 27. April 2016 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten durch die zuständigen Behörden zum Zwecke der Verhütung, Ermittlung, Aufdeckung oder Verfolgung von Straftaten oder der Strafvollstreckung sowie zum freien Datenverkehr und zur Aufhebung des Rahmenbeschlusses 2008/977/JI des Rates, ABl. 2016 L 119, 89). Beide Rechtsakte (Datenschutz-Grundverordnung und „Polizei-RL“) sind eng aufeinander abgestimmt und ergänzen sich daher. Die Ausnahme des Art. 2 Abs. 2 Buchst. d DSGVO umfasst sowohl die Datenverarbeitung zu präventiven als auch zu repressiven Zwecken. Eine Straftat im Sinne der Ausnahme in Art. 2 Abs. 2 Buchst. d DSGVO und hinsichtlich der Anwendung der „Polizei-RL“ ist als ein eigenständiger Begriff des Unionsrechts zu verstehen, der nicht einseitig durch die Mitgliedstaaten festgelegt werden kann. Die Verhütung, Ermittlung, Aufdeckung oder Verfolgung von reinen Ordnungswidrigkeiten fällt nicht darunter. Erfasst werden sollen die polizeilichen Tätigkeiten in Fällen, in denen nicht von vornherein bekannt ist, ob es sich um Straftaten handelt oder nicht, sowie die Ausübung hoheitlicher Gewalt durch Ergreifung von Zwangsmitteln, wie polizeiliche Tätigkeiten bei Demonstrationen, großen Sportveranstaltungen und Ausschreitungen. Sie umfassen auch die Aufrechterhaltung der öffentlichen Ordnung als Aufgabe, die der Polizei oder anderen Strafverfolgungsbehörden - nicht jedoch reinen Ordnungsbehörden - übertragen wurde, soweit dies zum Zweck des Schutzes vor und der Abwehr von Bedrohungen der öffentlichen Sicherheit und Bedrohungen für durch Rechtsvorschriften geschützte grundlegende Interessen der Gesellschaft, die zu einer Straftat führen können, erforderlich ist (vgl. Erwägungsgrund 12 der RL 2016/680/EU und Erwägungsgrund 19 der Datenschutz-Grundverordnung; Ehmann/Selmayr, Datenschutz-Grundverordnung, 2018, 2. Aufl., Art. 2 Rn. 12; Schwartmann/Jaspers/Thüsing/Kugelmann, DS-GVO/BDSG, 2018, Art. 2 DSGVO Rn. 44 ff.). Personenbezogene Daten, die von Behörden nach der Datenschutz-Grundverordnung verarbeitet werden, sollten jedoch, wenn sie zu den vorstehenden Zwecken verwendet werden, der Richtlinie (EU) 2016/680 unterliegen (Erwägungsgrund 19 a.a.O.). Im vorliegenden Fall handelt die Beklagte vorrangig als Ordnungsbehörde bzw. Sicherheitsbehörde nach Art. 6 LStVG mit der Aufgabe, die öffentliche Sicherheit und Ordnung durch Abwehr von Gefahren und durch Unterbindung und Beseitigung von Störungen aufrechtzuerhalten, und damit auf der Grundlage der Datenschutz-Grundverordnung. Hinzu kommt die Ausübung des Hausrechts für die öffentliche Einrichtung K.-garten durch die Beklagte als Wahrnehmung einer Aufgabe im öffentlichen Interesse bzw. zur Erfüllung einer rechtlichen Verpflichtung (Art. 6 Abs. 1 Buchst. c und e DSGVO).

Das Rechtsschutzsystem bezüglich der Verarbeitung personenbezogener Daten hat deshalb ebenfalls seinen Ausgangspunkt in der Datenschutz-Grundverordnung.

Art. 79 DSGVO schließt weitere gerichtliche Rechtsbehelfe gegen Verantwortliche und Auftragsverarbeiter aus, so dass Unterlassungsklagen nach §§ 1004 Abs. 1, 823 Abs. 2 BGB im Bereich des Datenschutzes grundsätzlich nicht mehr möglich sind. Nach dem Wortlaut des Art. 79 Abs. 1 DSGVO bleiben nur andere verwaltungsrechtliche oder außergerichtliche Rechtsbehelfe „unbeschadet“, nicht aber gerichtliche Rechtsbehelfe (vgl. Bernhard/Kreße/Sydow, Europäische Datenschutzgrundverordnung, 2. Aufl. 2018, Art. 79 Rn. 30; BeckOK, Datenschutzrecht, Wolff/Brink, 29. Edition, Art. 79 Rn. 11). Die Rechte betroffener Personen sind in Kapitel III der Datenschutz-Grundverordnung niedergelegt (Art. 12 bis 22 DSGVO). Es handelt sich zum einen um Auskunfts-, Berichtigungs- und Löschungsrechte sowie um das Recht auf Einschränkung der Verarbeitung personenbezogener Daten. Erfasst ist auch das Recht, nicht einer ausschließlich auf einer automatisierten Verarbeitung beruhenden Entscheidung unterworfen zu werden. Den in Art. 13 ff., 19 DSGVO genannten Pflichten korrespondieren individuelle subjektive Rechte der betroffenen Personen, die gemäß Art. 79 DSGVO unter dessen weiteren Voraussetzungen gerichtlich durchgesetzt werden können. Entsprechendes gilt für die in Art. 12 DSGVO formulierten Pflichten des für die Verarbeitung personenbezogener Daten Verantwortlichen.

Jenseits der oben genannten Normen gewährt die Datenschutz-Grundverordnung keine Rechte, zu deren Durchsetzung ein wirksamer Rechtsbehelf nach Art. 79 DSGVO zur Verfügung gestellt werden muss. In Betracht käme insbesondere ein Anspruch auf Unterlassung einer verordnungswidrigen Verarbeitung personenbezogener Daten, da gemäß Art. 8 Abs. 1 EU-GRCh, Art. 16 Abs. 1 AEUV jede natürliche Person Recht auf Schutz der sie betreffenden personenbezogenen Daten hat, wobei Inhalt des Schutzes auch das Erfordernis der Rechtmäßigkeit der Verarbeitung ist. Es müsste in einem solchen Fall daher die Möglichkeit bestehen, eine solche Verarbeitung für die Zukunft zu unterbinden, andernfalls der Grundrechtsschutz und der europarechtliche Effektivitätsgrundsatz nach Art. 4 Abs. 3 EUV beeinträchtigt wären. Allerdings ist das Recht auf Unterlassung rechtswidriger Datenverarbeitung nicht als solches in der Datenschutz-Grundverordnung verankert. Diese konkretisiert zwar das primärrechtlich verbürgte Recht auf Schutz persönlicher Daten, aber eben nur, soweit sie die Ausprägungen dieses Rechts normiert. Dies spricht gegen die Annahme eines auf der Datenschutz-Grundverordnung basierenden Unterlassungsanspruchs bezüglich einer verordnungswidrigen Verarbeitung personenbezogener Daten. Das Löschungsrecht nach Art. 17 Abs. 1 Buchst. d DSGVO hilft nur eingeschränkt weiter, weil sich Art. 6 DSGVO, auf den verwiesen wird, nur mit dem Erfordernis eines zulässigen Grundes für die Datenverarbeitung befasst.

Gegen die Annahme eines generellen Anspruchs auf Unterlassung der verordnungswidrigen Verarbeitung personenbezogener Daten auf Grundlage der Datenschutz-Grundverordnung sprechen ferner deren Entstehungsgeschichte und die Systematik. Art. 76 Abs. 5 des Kommissionsvorschlag zur Datenschutz-Grundverordnung lautete: „Die Mitgliedstaaten stellen sicher, dass mit den nach innerstaatlichem Recht verfügbaren Klagemöglichkeiten rasch Maßnahmen einschließlich einstweilige Maßnahmen erwirkt werden können, um mutmaßliche Rechtsverletzungen abzustellen und zu verhindern, dass dem Betroffenen weiterer Schaden entsteht.“ Diese präventiv formulierte Bestimmung wurde in der allgemeinen Ausrichtung des Rates der Europäischen Union vom 15. Juni 2015 ersatzlos gestrichen. Nicht in bedeutungserheblicher Hinsicht geändert hat sich hingegen die Formulierung, die jetzt in Art. 77 Abs. 1 DSGVO enthalten ist, die das Beschwerderecht daran knüpft, dass die Verarbeitung der personenbezogenen Daten gegen die Datenschutz-Grundverordnung verstößt. Auch der Unterschied in den Formulierungen der Art. 77 Abs. 1 und Art. 79 Abs. 1 DSGVO zeigt, dass die bloße verordnungswidrige Datenverarbeitung gerade noch keine Rechtsverletzung darstellt, sondern zwischen rechtswidriger Datenverarbeitung und Rechtsverletzung unterschieden werden muss. Im Falle einer bloßen rechtswidrigen Datenverarbeitung ohne Rechtsverletzung steht der betroffenen Person das Beschwerderecht nach Art. 77 Abs. 1 DSGVO zu und in der Folge das Recht auf gerichtlichen Rechtsbehelf gegen die Aufsichtsbehörde nach Art. 78 Abs. 1 DSGVO, womit die primärrechtlichen Bedenken ausgeräumt sind. Es ist zu beachten, dass diese Verordnungswidrigkeit der Datenverarbeitung neben der Rechtsverletzung in Art. 79 Abs. 1 DSGVO als eigenständiges Merkmal gesehen wird: Die Rechtsverletzung soll nach Ansicht der betroffenen Person erst infolge der verordnungswidrigen Verarbeitung eingetreten, also mit ihr gerade nicht identisch sein. Die Rechte der betroffenen Person sind verletzt, wenn die Person oder Einrichtung, gegenüber denen sie bestehen, den ihnen korrespondierenden Pflichten nicht nachkommt. Um dies festzustellen, sind die konkretisierenden Vorschriften des Art. 12 Abs. 2, 3 und 5 bis 7 DSGVO zusätzlich zu beachten. So liegt beispielsweise in den in Art. 12 Abs. 3 DSGVO genannten Fällen eine Rechtsverletzung vor Ablauf der in dieser Vorschrift bezeichneten Fristen nicht vor. Auch in den Fällen des Art. 12 Abs. 5 Satz 1 Buchst. b und Abs. 6 DSGVO liegt keine Rechtsverletzung vor.

Diese vorstehend beschriebene Rechtslage erfährt auch keine Modifikation durch das Bayerische Datenschutzgesetz. Nach Art. 1 BayDSG gilt das Bayerische Datenschutzgesetz zunächst für Datenverarbeitungen durch alle bayerischen Behörden, also auch durch Justiz- und Polizeibehörden, soweit nicht im jeweiligen Fachrecht (etwa dem Melderecht oder dem Polizeiaufgabengesetz) Spezialvorschriften existieren (Art. 1 Abs. 5 BayDSG). Wegen dieses sehr umfassenden Anwendungsbereichs gilt folglich auch Art. 2 BayDSG für alle bayerischen Behörden. Damit hat der bayerische Gesetzgeber entschieden, dass die Datenschutz-Grundverordnung auch in den Bereichen gelten soll, die eigentlich - mangels Kompetenz der EU - von der Datenschutz-Grundverordnung nicht erfasst werden (dürfen) und wo (eigentlich) Raum für ein eigenständiges nationales Datenschutzrecht wäre. Allerdings hatte der bayerische Gesetzgeber erkannt, dass es nicht möglich ist, alle Umsetzungsaufgaben, welche die Richtlinie 2016/680/EU formuliert, durch einen pauschalen Verweis auf die Datenschutz-Grundverordnung sachgerecht zu lösen. Deshalb wurde Art. 28 Abs. 2 und 3 BayDSG geschaffen, die für die in Art. 28 Abs. 1 BayDSG genannten „Richtlinien-Behörden“ vereinzelt Spezialvorschriften schaffen. Durch eine abschließende Aufzählung ordnet Art. 28 Abs. 2 BayDSG an, dass nur bestimmte Vorschriften der Datenschutz-Grundverordnung auf Datenverarbeitungen, die der Richtlinie 2016/680/EU unterfallen, Anwendung finden. Andere Vorschriften der Datenschutz-Grundverordnung finden zwar grundsätzlich Anwendung, sie werden aber durch die Art. 29 ff. BayDSG modifiziert. Darüber hinaus sollen nicht sämtliche Vorschriften des Bayerischen Datenschutzgesetzes für Datenverarbeitung nach der Richtlinie 2016/680/EU Anwendung finden. Deshalb legt Art. 28 Abs. 3 BayDSG fest, dass bestimmte Vorschriften des Bayerischen Datenschutzgesetzes keine Anwendung für solche Datenverarbeitungen finden, die der Richtlinie unterfallen. Neben der spezifischen Zweckbestimmung (Verarbeitung personenbezogener Daten durch die zuständigen Behörden zu Zwecken der Verhütung, Ermittlung, Aufdeckung, Verfolgung oder Ahndung von Straftaten oder Ordnungswidrigkeiten, einschließlich des Schutzes vor und der Abwehr von Gefahren für die öffentliche Sicherheit) ist zusätzlich (stets) eine grundsätzliche Aufgaben- und Befugniszuweisung der verarbeitenden Behörde für die Verhütung, Ermittlung, Aufdeckung oder Verfolgung von Straftaten oder der Strafverfolgung sowie der polizeilichen Gefahrenabwehr erforderlich. Art. 28 Abs. 1 Satz 1 BayDSG enthält eine nicht abschließende Aufzählung („soweit nichts anderes bestimmt ist“) derjenigen Behörden, denen eine solche Aufgaben- und Befugniszuweisung im Sinne der Richtlinie zukommen kann. Diese zuständigen Behörden unterliegen den Regelungen des achten Kapitels nur insoweit, als die konkrete Datenverarbeitung den in Art. 28 Abs. 1 Satz 1 BayDSG genannten Zwecken dient. Danach wird der Bereich der Gefahrenabwehr in Ansehung der praxisrelevanten Konstellationen dem Anwendungsbereich der Richtlinie 2016/680/EU und somit des achten Kapitels des Bayerischen Datenschutzgesetzes zuzurechnen sein. Selbst wenn bei polizeilichem Handeln zur Gefahrenabwehr nicht bereits von vornherein klar die Verhütung von Straftaten als Zweck oder Ergebnis feststeht, besteht nahezu immer zumindest die Möglichkeit, dass die Gefahrenlage zu einer Straftat führen kann bzw. dass dies nicht ausgeschlossen ist. In Abgrenzung hierzu sind allerdings nach dem Selbstverständnis der Richtlinie 2016/680/EU Datenverarbeitungen zur Gefahrenabwehr durch nichtpolizeiliche Sicherheitsbehörden (z.B. Landratsämter als Sicherheitsbehörden nach Art. 6 LStVG) grundsätzlich nach den Bestimmungen der Datenschutz-Grundverordnung zu beurteilen. Für sie ist das achte Kapitel des Bayerischen Datenschutzgesetzes nur dann anwendbar, soweit diese nichtpolizeilichen Sicherheitsbehörden „Straftaten oder Ordnungswidrigkeiten verfolgen oder ahnden“. Die Bestimmungen des achten Kapitels finden daher Anwendung, sobald Daten im Rahmen eines konkreten, dokumentiert eingeleiteten Ordnungswidrigkeitenverfahrens verarbeitet werden (vgl. Wilde/Ehmann/Niese/Knoblauch, Datenschutz im Bayern, 29. AL Juni 2018, Art. 28 BayDSG Rn. 20).

Zum Rechtsschutz sieht Art. 20 BayDSG ausschließlich die Anrufung der Aufsichtsbehörden durch Betroffene vor. Hierin ist eine Konkretisierung des unmittelbar in der Datenschutz-Grundverordnung gewährleisteten Beschwerderechts gemäß Art. 77 DSGVO zu sehen. Die Vorschrift enthält damit eine mitgliedstaatliche Verfahrensregelung auf Grundlage von Art. 58 Abs. 4 DSGVO. Aufsichtsbehörden im Sinn des Art. 20 BayDSG sind u.a. der Bayerische Landesbeauftragte für den Datenschutz (Art. 15 BayDSG) und das Bayerische Landesamt für Datenschutzaufsicht (Art. 18 BayDSG). Art. 77 Abs. 1 DSGVO i.V.m. Art. 20 Abs. 1 Satz 1 BayDSG bestimmt das Recht der betroffenen Person, sich an die Datenschutzaufsichtsbehörden mit dem Vorbringen zu wenden, bei der Verarbeitung ihrer personenbezogenen Daten in ihren Rechten verletzt worden zu sein. Diese Anrufung der Aufsichtsbehörde stellt einen formlosen Rechtsbehelf dar, der dem allgemeinen Petitionsrecht (Art. 115 BV, Art. 17 GG) verwandt ist. Es gibt dem Betroffenen - unabhängig von sonstigen Rechtsbehelfen - das eigenständige Recht, sich an eine Aufsichtsbehörde mit dem Vorbringen zu wenden, bei der Verarbeitung seiner personenbezogenen Daten in seinen Rechten verletzt worden zu sein. Das durch die Grundrechte-Charta der EU verbürgte Beschwerderecht (Art. 8 Abs. 1 i.V.m. Abs. 3 GRCh) wird durch Art. 77 Abs. 1 DSGVO i.V.m. Art. 20 Abs. 1 Satz 1 BayDSG konkretisiert, wobei Art. 20 Abs. 1 Satz 1 BayDSG - anders als das Beschwerderecht in Art. 77 Abs. 1 DSGVO - nicht bloß die Geltendmachung eines Verstoßes gegen die Datenschutz-Grundverordnung voraussetzt, sondern ein Vorbringen, das eine eigene Rechtsverletzung des Beschwerdeführers zum Gegenstand hat (Datenschutz in Bayern, 29. AL Juni 2018, Art. 20 BayDSG Rn. 4 und 5). Dadurch ergibt sich ein Rechtsanspruch der betroffenen Person, dass die Aufsichtsbehörde die Eingabe entgegennimmt, sachlich in tatsächlicher und rechtlicher Hinsicht prüft und den Eingabeführer schriftlich darüber unterrichtet, wie die Eingabe erledigt wurde. Hierzu bestimmt Art. 57 Abs. 1 Buchst. f DSGVO, dass der „Gegenstand der Beschwerde in angemessenem Umfang zu untersuchen“ ist. Hat sich eine Aufsichtsbehörde nicht mit einer Beschwerde befasst oder hat sie die betroffene Person nicht innerhalb von drei Monaten über den Stand oder das Ergebnis der erhobenen Beschwerde in Kenntnis gesetzt, kann die betroffene Person nach Art. 78 Abs. 2 und 3 DSGVO allgemeine Leistungsklage vor den Verwaltungsgerichten auf Unterrichtung über den Stand oder das Ergebnis der Beschwerde erheben. Die Frist von drei Monaten ergibt sich aus Art. 78 Abs. 2 DSGVO. Die einzelnen Befugnisse der Aufsichtsbehörden ergeben sich aus Art. 58 DSGVO, so auch Abhilfebefugnisse, die es ihr u.a. gestatten, auch eine vorübergehende oder endgültige Beschränkung der Verarbeitung, einschließlich eines Verbots, zu verhängen (Abs. 2 Buchst. f) oder die Berichtigung oder Löschung von personenbezogenen Daten oder die Beschränkung der Verarbeitung gemäß den Art. 16, 17 und 18 DGSVO und die Unterrichtung der Empfänger, an die diese personenbezogenen Daten gemäß Art. 17 Abs. 2 DSGVO und Art. 19 DSGVO offen gelegt wurden, anzuordnen. Dieses Anrufungs- bzw. Beschwerderecht nach Art. 20 BayDSG setzt keinen vorherigen Antrag bei der verantwortlichen Behörde voraus. Will ein Betroffener jedoch direkt gegen zunächst einen Verantwortlichen vorgehen bzw. gegenüber diesem die Betroffenenrechte der Datenschutz-Grundverordnung geltend machen (Art. 16 ff. DSGVO), so setzen diese Rechte auf Berichtigung, Löschung und Mitteilung im Zusammenhang mit der Berichtigung oder Löschung personenbezogener Daten oder der Einschränkung der Verarbeitung wie auch das vorgängige Auskunftsrecht nach Art. 15 DSGVO ein „Verlangen“ der betroffenen Person gegenüber dem Verantwortlichen voraus. Im Falle der Ablehnung stehen der betroffenen Person sämtliche durch die Datenschutz-Grundverordnung vorgesehenen Rechtsbehelfe zu (Art. 77, 78 DSGVO). Daneben hat die betroffene Person das Recht auf einen wirksamen gerichtlichen Rechtsbehelf unmittelbar gegen den Verantwortlichen (Art. 79 DSGVO). Ist Verantwortlicher eine Behörde und lehnt diese einen Einschränkungsantrag ab, ist die Ablehnung ein Verwaltungsakt, der mit den einschlägigen verwaltungsrechtlichen Rechtsbehelfen Widerspruch und regelmäßig Verpflichtungsklage gemäß §§ 42, 68 ff. VwGO angegriffen werden kann (Ehmann/Selmayr, Datenschutz-Grundverordnung, 2018, 2. Aufl., Art. 18 Rn. 30). Damit bleibt es auch im Anwendungsbereich des Bayerischen Datenschutzgesetzes bei der ausschließlichen Klagemöglichkeit eines Betroffenen gegen den Verantwortlichen nach § 79 DSGVO.

Die genannten Betroffenenrechte der Datenschutz-Grundverordnung (mit Art. 20 BayDSG) ersetzen seit dem 25. Mai 2018 - wie bereits oben ausgeführt - etwaige Betroffenenrechte nach nationalem Recht (a.a.O., Art. 18 Rn. 38; OVG Lüneburg, U.v. 20.6.2019 - 11 LC 121/17 - juris Rn. 43; VG Stade, B.v. 9.10.2018 - 1 B 1918/18 - juris Rn. 30). Diesen Betroffenenrechten ist gemein, dass sich ein Betroffener damit nur gegen die ihn betreffenden personenbezogenen Daten wenden kann (Becker in Plath, DSGVO/BDSG, 3. Aufl. 2018, Art. 79 Rn. 2). Art. 79 DSGVO vermittelt nur einen individualrechtlichen Unterlassungsanspruch. Zudem können über den in Art. 79 Abs. 1 DSGVO vorgesehenen Weg auch die Auskunfts-, Berichtigungs- und Löschungsrechte (Art. 15 bis 17 DSGVO) gegenüber dem Verantwortlichen und dem Auftragsverarbeiter verfolgt werden. Materiellrechtlich richten sich der Anspruch und seine Durchsetzung nach den allgemeinen Bestimmungen, wobei unterschiedliche Rechtswege gegenüber öffentlichen und nicht-öffentlichen Stellen zum Tragen kommen. Gegenüber einer fehlerhaften Datenverarbeitung durch öffentliche Stellen im Rahmen ihres hoheitlichen Handelns wird der Betroffene im Regelfall vor den Verwaltungsgerichten Rechtsschutz suchen müssen (§ 44 Abs. 2 BDSG). Da die entsprechenden prozessualen Rechtsinstrumente im deutschen Recht vorhanden waren, hätte es nicht unbedingt bestimmter Umsetzungsmaßnahmen durch den deutschen Gesetzgeber bedurft. Dennoch hat der Gesetzgeber in § 44 BDSG Regelungen zur Zuständigkeit aufgenommen, allerdings ergibt sich daraus keine Änderung zur bestehenden Rechtslage im Bundesgebiet (Becker in Plath, a.a.O.). Daneben kommt ergänzend bei der Verarbeitung personenbezogener Daten, die aufgrund von Art. 6 Abs. 1 Buchst. e oder f DSGVO erfolgt, ein Widerspruchsrecht nach Art. 21 Abs. 1 DSGVO in Betracht. Systematisch ist dieses Widerspruchsrecht in Abschnitt 4 des Kapitels III („Rechte der betroffenen Personen“) geregelt. Dies zeigt, dass es selbstständig neben den übrigen Betroffenenrechten (Art. 13 bis 20 DSGVO) steht, wobei sich diese Rechte nicht ausschließen, sondern ergänzen. Die Systematik des Art. 21 DSGVO zeigt, dass das Widerspruchsrecht gleichzeitig verfahrensrechtlichen als auch materiell-rechtlichen Charakter hat. Neben dem Verfahrensrecht auf Erhebung eines Widerspruchs gewährt Art. 21 Abs. 1 Satz 2 DSGVO einen materiellen Unterlassungsanspruch, d.h. einen Anspruch, dass der Verantwortliche die Daten in Zukunft nicht mehr verarbeitet. Die Vorschrift ermöglicht der betroffenen Person damit, die Datenverarbeitung mit Ex-nunc-Wirkung zu unterbinden. Dieser Unterlassungsanspruch wird gemäß Art. 17 Abs. 1 Buchst. c Alt. 1 DSGVO ergänzt durch einen Folgenbeseitigungsanspruch in Form eines Rechts auf Löschung sowie gemäß Art. 18 Abs. 1 Buchst. d DSGVO durch einen vorläufigen Sicherungsanspruch in Form des Rechts auf Einschränkung, solange noch nicht feststeht, ob die berechtigten Gründe des Verantwortlichen gegenüber den besonderen Gründen der betroffenen Person überwiegen, sowie gemäß Art. 19 DSGVO durch eine mit der Löschung verbundene Folgemitteilungs- und -unterrichtungspflicht. Diese Rechte werden teilweise unmittelbar durch Unionsrecht eingeschränkt (z.B. Art. 13 Abs. 4, Art. 14 Abs. 5, Art. 21 Abs. 1 DSGVO). Außerdem können die Rechte und Pflichten gemäß den Art. 12 bis 22, Art. 34 und gegebenenfalls Art. 5 DSGVO durch Rechtsvorschriften der Union oder der Mitgliedstaaten unter den in Art. 23 DSGVO geregelten Voraussetzungen beschränkt werden. Eine generelle Einschränkung der Betroffenenrechte für Gerichtsverfahren wurde jedoch weder in das Unionsrecht noch in das Gerichtsverfassungsgesetz, in die Prozessordnungen und auch nicht in das Bundesdatenschutzgesetz und das Zehnte Buch Sozialgesetzbuch (SGB X) aufgenommen, da die zahlreichen bereits aus der Datenschutz-Grundverordnung resultierenden Ausnahmen dies nicht erforderlich machten. Im Übrigen kommen für Gerichte die jeweils einschlägigen Verfahrensordnungen als Beschränkung der Betroffenenrechte im Sinne von Art. 23 DSGVO und dem Bundesdatenschutzgesetz vorhergehendes spezielles Bundesrecht (§ 1 Abs. 2 Satz 1 BDSG) in Betracht (Bieresborn, Die Auswirkungen der DSGVO auf das gerichtliche Verfahren, DRiZ 2019, 18 ff). Die Datenschutz-Grundverordnung begründet einige neue Klagerechte, die nach nationaler Ausgestaltung vor den Gerichten der Verwaltungsgerichtsbarkeit (§ 20 BDSG), den Sozialgerichten (§§ 81a, 81b SGB X) bzw. den Finanzgerichten (§ 32i AO) anhängig zu machen sind. § 78 Abs. 1 DSGVO begründet unbeschadet anderer Rechtsbehelfe das Recht jeder natürlichen oder juristischen Person auf einen wirksamen gerichtlichen Rechtsbehelf gegen rechtsverbindliche Beschlüsse der datenschutzrechtlichen Aufsichtsbehörde. Davon werden alle der Bestandskraft fähigen Entscheidungen und damit auch Verwaltungsakte erfasst, die auf Grundlage von Art. 58 DSGVO ergehen. Klageberechtigt ist jede natürliche oder juristische Person, sofern diese in eigenen geschützten Rechten betroffen ist. Es ist nicht zwingend erforderlich, dass die Entscheidung auch ihr gegenüber rechtsverbindlich ist, es genügt, dass ihr Interessenkreis faktisch unmittelbar berührt ist. Art. 78 Abs. 2 DSGVO gewährt betroffenen Personen und unbeschadet sonstiger Rechtsbehelfe eine Untätigkeitsklage gegen die datenschutzrechtlichen Aufsichtsbehörden. Voraussetzung für diesen Rechtsbehelf ist, dass zuvor eine Beschwerde gemäß Art. 77 DSGVO erhoben wurde. Art. 79 Abs. 1 DSGVO gewährt betroffenen Personen einen zusätzlichen gerichtlichen Rechtsbehelf gegen einen nach ihrer Ansicht gegen die Datenschutz-Grundverordnung verstoßenden Umgang mit ihren personenbezogenen Daten. Prüfungsmaßstab ist die Datenschutz-Grundverordnung. Die verletzten Normen dürfen nicht nur objektiv-rechtlichen Charakter haben - wie zum Beispiel die Verpflichtung zur Bestellung eines Datenschutzbeauftragten (Art. 37 DSGVO) oder Durchführung einer Datenschutz-Folgenabschätzung (Art. 35 DSGVO) -, sondern müssen konkrete Auswirkungen auf subjektive Rechte des Klägers haben. Klagegegner sind Verantwortliche und Auftragsverarbeiter. Parallel geführte Verfahren auf Unterlassungs- oder Schadensersatzansprüche gegen den Verantwortlichen stehen der Zulässigkeit nicht entgegen, ebenso wenig die parallele Beschwerde bei der Aufsichtsbehörde (Art. 77 und 78 DSGVO).

Vorliegend wird bei der Videoüberwachung von einer Datenverarbeitung nach Art. 6 Abs. 1 Buchst. e DSGVO auszugehen sein, so dass für den Kläger neben den Betroffenenrechten nach Art. 16 ff. DSGVO auch die Widerspruchsmöglichkeit nach Art. 21 Abs. 1 DSGVO in Betracht gekommen wäre. Die Unterlassungs- und Folgenbeseitigungspflichten erfassen - wie bereits oben ausgeführt - ausschließlich die die betroffene Person betreffenden Daten. Erfasst eine (automatisierte) Verarbeitung daneben auch Daten Dritter, muss diese nicht insgesamt unterbleiben (Ehmann/Selmayr, Datenschutz-Grundverordnung, 2018, 2. Aufl., Art. 18 Rn. 40, 41). Im Falle der Ablehnung eines Widerspruchs stehen dem Betroffenen zusätzlich sämtliche durch die Verordnung vorgesehenen Rechtsbehelfe zu. Gemeint ist damit der Primärrechtsschutz aufgrund des bereits oben genannten Rechts auf Beschwerde bei der zuständigen Aufsichtsbehörde (Art. 77 DSGVO) und eines Rechtsbehelfs gegen einen (nicht Abhilfe leistenden) Beschluss der Aufsichtsbehörde, auch in der Form der Untätigkeitsklage (Art. 78 DSGVO). Daneben hat der Betroffene das Recht auf einen wirksamen gerichtlichen Rechtsbehelf unmittelbar gegen den Verantwortlichen (Art. 79 DSGVO). Ist Verantwortlicher eine Behörde und lehnt diese ein Verlangen oder einen Widerspruch des Betroffenen ab, ist die Ablehnung - wie bereits oben festgestellt - ein Verwaltungsakt, der mit den einschlägigen verwaltungsrechtlichen Rechtsbehelfen angegriffen werden kann (a.a.O. Rn. 69). Das Recht nach Art. 79 Abs. 1 DSGVO auf einen wirksamen Rechtsbehelf gegen Rechtsverletzungen durch eine verordnungswidrige Datenverarbeitung besteht nach dem Wortlaut der Vorschrift „unbeschadet eines anderweitigen verwaltungsrechtlichen oder außergerichtlichen Rechtsbehelfs“. Selbst wenn entgegen naheliegender rechtssystematischer Erwägungen der gerichtliche Rechtsbehelf nach Art. 79 Abs. 1 DSGVO nicht zu den oben genannten Rechtsbehelfen in einem Stufenverhältnis, sondern neben diesen Rechtsbehelfen steht, so ist der gerichtliche Rechtsbehelf aber mit der gleichen Einschränkung behaftet wie die anderen oben genannten Rechte des Betroffenen, dass nämlich Verfahrensgegenstand ausschließlich die die betroffene Person betreffenden persönlichen Daten sein können. Auch diese rechtliche Einschränkung spricht gegen den vom Kläger mit der vorliegenden Klage verfolgten allgemeinen Unterlassungsanspruch. Ergänzend wird nach allgemeinen Grundsätzen des Prozessrechts unter dem Gesichtspunkt des Rechtsschutzbedürfnisses ein vorheriger Antrag bzw. Widerspruch im vorstehenden Sinne bei dem Verantwortlichen zu verlangen sein (a.a.O. Art. 79 Rn. 2, 5; Schwartmann/Jaspers/Thüsing/Kugelmann, DS-GVO/BDSG, 2018, Art. 79 Rn. 18).

Danach ist für eine allgemeine Unterlassungsklage in der vorliegenden Form - wie bereits eingangs festgestellt - von einer fehlenden Statthaftigkeit in Anbetracht der spezifischen Betroffenenrechte nach der Datenschutz-Grundverordnung seit deren Inkrafttreten am 25. Mai 2018 auszugehen. Es ist zwischen den Verfahrensbeteiligten unstreitig, dass der Kläger im Vorfeld der Klageerhebung mit keinem „Verlangen“ nach Art. 13 ff. DSGVO oder einem Widerspruch nach Art. 21 Abs. 1 DSGVO direkt an die Beklagte oder nach Art. 77 DSGVO i.V.m. Art. 20 BayDSG an eine Aufsichtsbehörde herangetreten ist. Selbst wenn man eine unmittelbare gerichtliche Geltendmachung von Betroffenenrechten unter Umgehung vorstehend genannter Verfahrensrechte bzw. ohne jegliche Befassung der verantwortlichen Behörde für zulässig erachten würde, kann diese gerichtliche Geltendmachung nach Art und Umfang materiell-rechtlich nicht weiter gehen als vorstehend genannte Verfahrensrechte, sodass für das Klagebegehren in der vorliegenden Form auch kein Rechtsschutzbedürfnis besteht.
24
Im Übrigen stützt der Kläger seine behauptete Rechtsverletzung im Ergebnis nur darauf, dass er als Nutzungsberechtigter der öffentlichen Einrichtung K.-garten von der Videoüberwachungsanlage betroffen ist, zum einen dadurch, dass seine Person bei Betreten des überwachten Platzes möglicherweise tatsächlich bildlich erfasst wird, zum anderen, dass die Videoüberwachungsanlage auch ohne Überwachungstätigkeit nur vorhanden ist und diese Überwachungsanlage entgegen den Vorschriften der Datenschutz-Grundverordnung eingerichtet und betrieben wird. Ein solcher Vortrag kann nicht genügen, eine eigene selbstständige Rechtsverletzung zu belegen. Die „Ansicht“ einer Rechtsverletzung im Sinne des Art. 79 Abs. 1 DSGVO im vorstehenden Sinne würde im Ergebnis bedeuten, dass diese mit dem Vortrag einer nicht verordnungskonformen Datenverarbeitung durch die Videoüberwachung zusammenfällt. Die Datenschutz-Grundverordnung trifft aber gerade - wie oben bereits ausgeführt - eine Unterscheidung zwischen der bloßen Rechtswidrigkeit der Datenverarbeitung, worauf sich ein Widerspruchsrecht nach Art. 21 DSGVO und ein Beschwerderecht nach Art. 77 DSGVO stützen lässt, und der zusätzlichen, nach Ansicht der betroffenen Person gegebenen Rechtsverletzung. Vor diesem Hintergrund kann vorliegend auch nicht von der Geltendmachung einer Rechtsverletzung durch den Kläger ausgegangen werden, sodass eine Beschreitung des Klagewegs nach Art. 79 DSGVO vorliegend ebenfalls ausscheiden würde."


Den Volltext der Entscheidung finden Sie hier:

LAG Berlin-Brandenburg: Biometrisches Zeiterfassungsystem im Regelfall nicht erforderlich im Sinne von Art. 9 Abs. 2 lit. b DSGVO und § 26 Abs. 3 BDSG

LAG Berlin-Brandenburg
Urteil vom 04.06.2020
10 Sa 2130/19


Das LAG Berlin-Brandenburg hat entschieden, dass ein biometrisches Zeiterfassungsystem im Regelfall nicht erforderlich im Sinne von Art. 9 Abs. 2 lit. b DSGVO und § 26 Abs. 3 BDSG ist.

Aus den Entscheidungsgründen:

Die Berufung ist zwar zulässig, aber nicht begründet. Denn der Beklagten ist es nicht gelungen darzulegen, dass der Kläger mit dem in den drei Abmahnungen gerügten Verhalten seine arbeitsvertraglichen Pflichten verletzt hat. Im Ergebnis und auch in der Begründung ist keine andere Beurteilung als in erster Instanz gerechtfertigt. Das Landesarbeitsgericht folgt dem Arbeitsgericht Berlin hinsichtlich der Begründung und sieht insoweit gemäß § 69 Abs. 2 ArbGG von einer nur wiederholenden Begründung ab. Die Angriffe der Berufung sind nicht geeignet, die Rechtslage anders zu beurteilen.

1. Minutien sind entgegen der von der Beklagten in der Berufungsverhandlung geäußerten Ansicht biometrische Daten. Minutien sind zwar „nur“ Fingerlinienverzweigungen, so dass der dazu gehörige Fingerabdruck nicht „als Ganzes“ verarbeitet wird. Nach Art. 4 Nr. 14 der europäischen Datenschutzgrundverordnung (DSGVO) sind biometrische Daten aber alle mit speziellen technischen Verfahren gewonnene personenbezogene Daten u.a. zu den physischen und physiologischen Merkmalen einer natürlichen Person, die die eindeutige Identifizierung dieser natürlichen Person ermöglicht oder bestätigt. Das ist bei Minutien der Fall.

2. Die Beklagte verkennt mit ihrer Argumentation in der Berufung den Regelungsgehalt der DSGVO. Wie das Arbeitsgericht bereits hervorgehoben hat, regelt Art. 9 Abs. 1 DSGVO ausdrücklich, dass die Verarbeitung von biometrischen Daten zur eindeutigen Identifizierung einer natürlichen Person untersagt ist. Von diesem Grundsatz lässt Art. 9 Abs. 2 DSGVO zwar, wie das Arbeitsgericht auch ausgeführt hat, einzelne Ausnahmen zu. Im hiesigen Fall kommt allein die Ausnahme nach Art. 9 Abs. 2 lit. b DSGVO in Betracht. Danach muss die Verarbeitung erforderlich sein, damit die Beklagte oder der Kläger die ihnen aus dem Arbeitsrecht erwachsenden Rechte ausüben und ihren diesbezüglichen Pflichten nachkommen können, soweit dies nach Unionsrecht, nach nationalem Recht oder nach einer Kollektivvereinbarung zulässig ist.

2.1 Nach der jüngsten Rechtsprechung des Europäischen Gerichtshofs (EuGH) vom 14. Mai 2019 in der Rechtssache C-55/18, die zum Zeitpunkt der hier streitigen Abmahnungen noch nicht bekannt war, gebieten die Art. 3, 5 und 6 der Richtlinie 2003/88/EG des Europäischen Parlaments und des Rates vom 4. November 2003 über bestimmte Aspekte der Arbeitszeitgestaltung im Licht von Art. 31 Abs. 2 der Charta der Grundrechte der Europäischen Union sowie von Art. 4 Abs. 1, Art. 11 Abs. 3 und Art. 16 Abs. 3 der Richtlinie 89/391/EWG des Rates vom 12. Juni 1989 über die Durchführung von Maßnahmen zur Verbesserung der Sicherheit und des Gesundheitsschutzes der Arbeitnehmer bei der Arbeit, dass Arbeitgeber ein System einrichten, mit dem die von einem jeden Arbeitnehmer geleistete tägliche Arbeitszeit gemessen werden kann.

Die Beklagte hat zwar als das wesentliche Ziel der Einführung des Zeiterfassungssystems Model „ZEUS“ der Firma I. GmbH nebst einem Terminal „IT 8200 FP“ die Verhinderung von Arbeitszeitmanipulationen angegeben und nicht die Sicherstellung von gerechten und angemessenen Arbeitsbedingungen, wie Art. 31 GRCh das insbesondere durch eine Begrenzung der Höchstarbeitszeit und die Einhaltung der täglichen und wöchentlichen Ruhezeiten vorsieht. Aber dennoch ist ein Arbeitgeber nach den im vorhergehenden Absatz genannten Normen verpflichtet, ein objektives, verlässliches und zugängliches System, mit dem die von einem jeden Arbeitnehmer geleistete tägliche Arbeitszeit gemessen werden kann, einzurichten.

Es ist aber nicht ersichtlich, dass ein objektives, verlässliches und zugängliches System der Verarbeitung biometrischer Daten des Klägers (oder anderer Mitarbeitender) bedarf. In der Rd.-Nr. 63 der EuGH-Entscheidung vom 14. Mai 2019 hat der Gerichtshof ausdrücklich auf die Rd.-Nrn. 85-88 der Schlussanträge des Generalanwalts Bezug genommen. Dieser hat dort in Rd.-Nr. 87 ausdrücklich ausgeführt:

Insoweit ist darauf hinzuweisen, dass die derzeitige Technologie die verschiedensten Systeme zur Erfassung der Arbeitszeit ermöglicht (Aufzeichnungen in Papierform, Computerprogramme, elektronische Zeitausweise).

Zwar erlaubt Art. 88 DSGVO zusätzliche nationale Regelungen zur Datenverarbeitung im Beschäftigungskontext. Davon hat der deutsche Gesetzgeber mit § 26 BDSG Gebrauch gemacht. Aber auch für die Verarbeitung von Daten im Beschäftigungskontext gelten zunächst die allgemeinen Regelungen der DSGVO. Die Öffnungsklausel in Art. 88 DSGVO ist keine Bereichsausnahme in dem Sinn, dass der Anwendungsbereich der Verordnung per se eingeschränkt wäre (vgl. etwa Nolte in Kommentar zur Datenschutzgrundverordnung, hrsg. von Gierschmann u.a., Art. 88 RN 9). Der Maßstab bei der Verarbeitung biometrischer Daten ist im Beschäftigungskontext kein anderer als außerhalb des Beschäftigungskontexts (Nolte, ebenda RN 13). Art. 88 DSGVO erlaubt nur eine Konkretisierung oder Präzisierung, nicht jedoch ein Abweichen oder Verändern (Nolte, ebenda RN 19 m.w.N.).

2.2 In einem zweiten Schritt ist deshalb zu prüfen, ob die Verarbeitung biometrischer Daten des Klägers bei der Zeiterfassung „erforderlich“ ist, damit die Beklagte bzw. der Kläger ihre Rechte ausüben oder ihren Pflichten nachkommen können. In der Gesetzesbegründung zu § 26 BDSG hat der deutsche Gesetzgeber festgehalten, dass im Rahmen der Erforderlichkeitsprüfung die widerstreitenden Grundrechtspositionen zur Herstellung praktischer Konkordanz abzuwägen seien. Dabei seien die Interessen des Arbeitgebers an der Datenverarbeitung und das Persönlichkeitsrecht des Beschäftigten zu einem schonenden Ausgleich zu bringen, der beide Interessen möglichst weitgehend berücksichtige (BT-Drs. 18/11325, S. 97).

Zusätzlich zur Verhältnismäßigkeitsprüfung im Rahmen der Erforderlichkeit darf kein Grund zu der Annahme bestehen, dass die schutzwürdigen Interessen der betroffenen Beschäftigten die Interessen des verantwortlichen Arbeitgebers an der Verarbeitung überwiegen (BT-Drs. 18/11325, S. 98). Erst wenn also diese Erforderlichkeit und die Feststellung, dass schutzwürdige Interessen der Betroffenen nicht entgegenstehen grundsätzlich bejaht werden sollten, kommt es auf die von der Beklagten auch angegebenen „geeigneten Garantien für die Grundrechte und die Interessen der betroffenen Person“ an, also technische und organisatorische Vorkehrungen wie z.B. Anonymisierung, Pseudonymisierung und Zugriffsbeschränkungen auf die biometrischen Daten des Klägers.

„Erforderlich“ ist ein technisches System, das das Persönlichkeitsrecht eines Menschen berührt, nur dann, wenn ein legitimer Zweck verfolgt wird und zur Erreichung dieses Zwecks kein gleich wirksames und das Persönlichkeitsrecht weniger einschränkende Mittel zur Verfügung steht (BAG vom 25. April 2017 – 1 ABR 46/15). Auch das hat das Arbeitsgericht zutreffend seiner Entscheidung zugrunde gelegt.

Die Beklagte hat in der Berufungsbegründung auf Seite 10, wenn auch vielleicht versehentlich, ausdrücklich angegeben, dass es neben dem Terminal „IT 8200 FP“ für das Zeiterfassungssystem Model „ZEUS“ der Firma I. GmbH auch ein Terminal mit der Bezeichnung „IT 8200“ gibt. Dabei handelt es sich um ein Ausweisleser-System, also ein System ohne Nutzung biometrischer Daten des Klägers, was eine Internetrecherche bestätigt hat. Dieses ist mit Chipkarten und Transpondern und anderen lesbaren Ausweisen zu betreiben.

2.2.1 Die Beklagte hat angeführt, dass das Zeiterfassungssystem im Betrieb (mit biometrischen Daten u.a. des Klägers) zu betreiben sei, weil in diesem System bereits die Soll-Arbeitszeiten hinterlegt seien, die zuvor in dem Papiersystem regelmäßig und nicht nachvollziehbar verlängert oder reduziert worden seien. Diese Funktionalität wäre mit dem Terminal IT 8200 ebenso vollständig nutzbar, ohne biometrische Daten des Klägers zu verarbeiten.

2.2.2 Die Beklagte hat weiter ausgeführt, dass der bundesweit tätige Konzern, dem die Beklagte angehöre, eine einheitliche Erfassung der Anwesenheitszeiten mittels Fingerabdruckscanner wünsche. Das Personal werde über die Konzernpersonalabteilung einheitlich gesteuert. Das sei ein legitimes Interesse und auch im Interesse der Mitarbeitenden, denen Aufstiegschancen im Konzern ermöglicht würden. Auch wenn nicht ganz verständlich ist, weshalb für die Aufstiegschancen von Beschäftigten die Anwesenheitszeiten relevant sind, könnte dieser Effekt jedenfalls auch mit dem Terminal IT 8200 ebenso erreicht werden.

2.2.3 Die Beklagte hat auch als legitimes Interesse angeführt, dass die Zeiterfassung mittels Fingerscanner auf Dauer preiswerter sei als die Pflege eines Chipkartensystems, welches bei Kartenverlust ausgetauscht bzw. neu programmiert werden müsse. Nähere Angaben zur Kalkulation der beiden Varianten hat die Beklagte nicht vorgetragen, obwohl der Kläger in der Berufungserwiderung vom 23. März 2020 ausdrücklich bestritten hat, dass ein Fingerabdrucksystem preiswerter und längerfristig günstiger zu betreiben sei als ein chipkartengesteuertes System. Deshalb kann mangels entsprechendem Tatsachenvortrag der Beklagten in diesem Verfahren dahinstehen, ob und gegebenenfalls welche Kostenersparnis die Verarbeitung biometrischer Daten eines Beschäftigten rechtfertigen könnte.

2.2.4 Ein weiteres Interesse am Einsatz des Systems hat die Beklagte damit angegeben, dass auch beim Vergessen und Verlieren der Chipkarte die Arbeitszeit nicht fehlerfrei erfassbar sei. Dazu hat die Beklagte aber selbst bereits in einer Informationsmail vom 27. Juli 2018 an die Beschäftigten angenommen, dass es auch bei dem Terminal IT 8200 FP Situationen des Nichtfunktionierens geben könne. Dort hatte die Beklagte ausdrücklich ausgeführt:

„Sollte die Zeiterfassung mal nicht funktionieren, schreibt Euch bitte die Arbeitszeiten auf. Diese werden dann nachträglich im System eingepflegt. Doreen wird sich zukünftig um diese Aufgaben kümmern …“

Selbst wenn die Beklagte davon ausgehen sollte, dass Beschäftigte der Beklagten in relevantem Umfang Chipkarten vergessen oder verlieren würden, hätte es die Beklagte in der Hand, durch den Einsatz kleinerer Transponder, die man mit dem Schlüsselbund verbinden könnte, das Risiko des Vergessen und Verlierens erheblich zu minimieren. Im Übrigen erschließt sich für das Berufungsgericht nicht, weshalb bei einem technischen Versagen des Systems die händische Aufzeichnung ausreichen soll, bei einem menschlichen Versagen (des Systems) aber nicht. Im Übrigen wäre es der Beklagten natürlich auch nicht verwehrt, ein tatsächliches Fehlverhalten des Klägers zu sanktionieren. Da der Kläger seine Arbeit zusammen mit anderen Beschäftigten (und Patienten) erledigt, ist nicht ersichtlich, dass etwaige Arbeitszeitmanipulationen im Betrieb auch ohne dauernd anwesende Praxismanager unentdeckt bleiben würden.

2.2.5 Weitere Aspekte für das System der Verarbeitung biometrischer Daten des Klägers hat die Beklagte mit dem Umstand benannt, dass sensible Gesundheitsdaten bei der Beklagten verwahrt würden. Deshalb müsse sie fälschungssicher feststellen können, welche Mitarbeitende sich zu welcher Zeit tatsächlich in den Praxisräumen aufgehalten hätten.

Abgesehen davon, dass die Beklagte keinerlei Tatsachen vorgetragen hat, nach denen der Kläger oder andere Mitarbeitende ein Risiko für sensible Gesundheitsdaten der Patienten darstellen würden, ist davon auszugehen, dass die Beklagte die Gesundheitsdaten der Patienten, die ebenso wie die biometrischen Daten des Klägers als besondere Kategorien von Art. 9 DSGVO erfasst sind, nicht offen in den Praxisräumen verwahrt, sondern diese auch noch gegen unberechtigte Zugriffe innerhalb der Praxisräume gesichert hat. Aber auch unabhängig davon erschließt sich nicht, inwiefern ein fälschungssicheres Zeiterfassungssystem die Patientendaten in den Praxisräumen besonders schützen würde. Weder hat die Beklagte die Art und Weise der Aufbewahrung der Patientendaten näher dargelegt noch inwieweit diese gefährdet sind. Selbst wenn das aber der Fall wäre, wäre allenfalls ein Zugangskontrollsystem geeignet, ein Betreten der Praxisräume zu dokumentieren. Ein Zeiterfassungssystem, das (nur) die berechtigte Anwesenheit dokumentiert, ist dafür ungeeignet. Insofern ist der Vortrag der Beklagten zum Schutz der Patientendaten nicht geeignet, berechtigte Interessen an der Verarbeitung biometrischer Daten des Klägers zu begründen.

2.2.6 Schließlich hat die Beklagte angegeben, das angesichts der Infektionsrisiken eine genaue Zeiterfassung erforderlich sei, um Infektionsketten aufklären zu können. Das diene dem Schutz der übrigen Mitarbeitenden und der Patienten. Das Bundesarbeitsgericht hat aber entschieden, dass Gefährdungen bei der Arbeit entweder feststehen oder im Rahmen einer Gefährdungsbeurteilung nach § 5 ArbSchG (bzw. § 4 BioStoffVO oder § 6 GefStoffVO) ermittelt sein müssen, um erforderliche Maßnahmen daraus abzuleiten (BAG vom 28. März 2017 – 1 ABR 25/15). Zwar handelte es sich insoweit um eine Entscheidung über die Reichweite der Befugnisse einer Einigungsstelle nach § 76 BetrVG. Da aber die Mitbestimmung im Bereich des § 87 Abs. 1 Nr. 7 BetrVG nur einsetzt, wenn für einen Arbeitgeber eine Handlungspflicht besteht, gelten diese Grundsätze in einem Betrieb ohne Betriebsrat ebenso. Die Beklagte hat aber weder Tatsachen vorgetragen, aus denen sich feststehende Gefährdungen ergeben, die als erforderliche Maßnahme im Sinne des § 3 ArbSchG die Aufklärung einer Infektionskette erfordern würden, noch hat die Beklagte das Ergebnis einer Gefährdungsbeurteilung vorgetragen, das als erforderliche Maßnahme die Aufklärung einer Infektionskette erfordern würde.

2.2.7 Danach verbleibt allein das Verlangen der Beklagten, jegliche Manipulation bei der Zeiterfassung auszuschließen. Zutreffend weist die Beklagte darauf hin, dass ein Arbeitgeber nicht erst in gewissem Umfang missbräuchliche Eingaben der Arbeitszeit dulden müsse, bevor er ein fälschungssicheres Zeiterfassungssystem zur Anwendung bringen dürfe. Allerdings hat die Beklagte aufgrund des grundsätzlichen Verbots der Verarbeitung biometrischer Daten sowohl nach Art. 9 Abs. 2 lit. b DSGVO wie auch nach § 26 Abs. 3 BDSG die Erforderlichkeit der Verarbeitung biometrischer Daten anhand von Tatsachen darzulegen.

2.2.7.1 Die Beklagte hat vorgetragen, dass aufgrund der Erfahrungen mit dem analogen Papier-Dienstplan in Berlin zu erwarten sei, dass die Manipulation der Dienstzeiterfassung per Chipkarte fortgesetzt werde, da dieses technisch ebenso einfach sei. Dem vermag das Berufungsgericht nicht zu folgen. Denn eine Papierdokumentation lässt sich jederzeit durch Überschreibung, Ergänzung und/oder Löschung mittels Korrekturflüssigkeit verändern. Das elektronische System „ZEUS“ der Firma I. GmbH speichert auch ohne biometrische Daten des Klägers soweit ersichtlich die jeweiligen Buchungen, so dass jederzeit nachvollziehbar ist, wann welche Erfassung vorgenommen worden ist.

2.2.7.2 Richtig ist der Vortrag der Beklagten, dass es bei einem Zeiterfassungssystem mittels Chipkarten- oder Transpondersystem nicht ausgeschlossen ist, dass Beschäftigte ihre Anwesenheit vortäuschen ohne tatsächlich anwesend zu sein. Allerdings dürfte dieses abgesehen von den unter 2.2.4 beschriebenen Sachverhalten einen Arbeitszeitbetrug und somit eine Straftat darstellen.

Wenn aber für die Aufdeckung von Straftaten entsprechend § 26 Abs. 1 Satz 2 BDSG personenbezogene Daten von Beschäftigten nur verarbeitet werden dürfen, wenn „zu dokumentierende tatsächliche Anhaltspunkte“ den Verdacht begründen, muss das erst recht für den Fall gelten, dass zur Vermeidung von Straftaten eine ständige Verarbeitung besonders geschützter biometrischer Beschäftigtendaten erfolgen soll. Dieser Grundrechtseingriff ist aufgrund der Festlegung in § 9 DSGVO von hoher Intensität und kann bereits als solcher unverhältnismäßig sein, wenn der Eingriffsanlass kein hinreichendes Gewicht aufweist. Soweit der Eingriff der Abwehr bestimmter Gefahren dient, kommt es für das Gewicht des Eingriffsanlasses maßgeblich auf den Rang und die Art der Gefährdung der Schutzgüter an (vgl. auch BVerfG vom 27. Februar 2008 – 1 BvR 370/07, 1 BvR 595/07).

Die Behauptung der Beklagten, dass es in einem verbundenen anderen Unternehmen zu Missbräuchen mit anderen technischen Zeiterfassungssystemen gekommen sei, hat die Beklagte trotz Bestreitens des Klägers nicht näher dargelegt. Dass Kartensysteme und andere Systeme beispielsweise durch die Übergabe der Karten an Kollegen (und die strafrechtlich relevante Benutzung durch diese) fälschlich Anwesenheiten vorspiegeln würden, ist richtig. Weshalb es aber im Betrieb der Beklagten in Berlin unentdeckt bleiben soll, wenn der Kläger (bzw. andere Mitarbeiter) entgegen dem Dienstplan bzw. der im System hinterlegten Sollarbeitszeit zu spät erscheinen oder vorzeitig gehen, ist dem Vortrag der Beklagten nicht zu entnehmen. Selbst wenn entsprechend dem Vortrag der Beklagten nicht immer ein Praxismanager vor Ort sein sollte, sind die übrigen Beschäftigten vor Ort. Dass diesen eine etwaige Unterbesetzung nicht auffallen würde, ist dem Vortrag der Beklagten nicht zu entnehmen.

2.3 Nach alledem hat die Beklagte keine Tatsachen dargelegt, nach denen die Verarbeitung biometrischer Daten des Klägers bei der Zeiterfassung „erforderlich“ ist, damit die Beklagte bzw. der Kläger ihre Rechte ausüben oder ihren Pflichten nachkommen können.

Da der Kläger somit keine arbeitsvertragliche Nebenpflicht verletzt hat, indem er sich geweigert hat, dass die Beklagte seine biometrischen Daten bei der Arbeitszeiterfassung verarbeiten kann, sind die Abmahnungen vom 5. Oktober 2018 und 26. März 2019 zu Unrecht erfolgt und diese deshalb, wie bereits vom Arbeitsgericht in dem angefochtenen Urteil festgestellt, in entsprechender Anwendung der §§ 242, 1004 BGB ersatzlos aus der Personalakte des Klägers zu entfernen.


Den Volltext der Entscheidung finden Sie hier:


EuGH: EU-US Privacy Shield genügt nicht den Vorgaben der DSGVO und ist ungültig - Beschluss 2010/87 der EU-Kommission über Standardvertragsklauseln hingegen gültig

EuGH
Urteil vom 16.07.2020
C-311/18
Data Protection Commissioner / Maximillian Schrems und Facebook Ireland


Der EuGH hat entschieden, dass der EU-US Privacy Shield (Datenschutzshild) nicht den Vorhaben der DSGVO genügt und damit ungültig ist. Der Beschluss 2010/87 der EU-Kommission über Standardvertragsklauseln ist hingegen gültig

Die Pressemitteilung des EuGH

Der Gerichtshof erklärt den Beschluss 2016/1250 über die Angemessenheit des vom EU-US-Datenschutzschild gebotenen Schutzes für ungültig

Der Beschluss 2010/87 der Kommission über Standardvertragsklauseln für die Übermittlung personenbezogener Daten an Auftragsverarbeiter in Drittländern ist hingegen gültig

Die Datenschutz-Grundverordnung (DSGVO) bestimmt, dass personenbezogene Datengrundsätzlich nur dann in ein Drittland übermittelt werden dürfen, wenn das betreffende Land für die Daten ein angemessenes Schutzniveau gewährleistet. Nach dieser Verordnung kann die Kommission feststellen, dass ein Drittland aufgrund seiner innerstaatlichen Rechtsvorschriften
oder seiner internationalen Verpflichtungen ein angemessenes Schutzniveau gewährleistet . Liegt kein derartiger Angemessenheitsbeschluss vor, darf eine solche Übermittlung nur erfolgen, wenn der in der Union ansässige Exporteur der personenbezogenen Daten geeignete Garantien vorsieht, die sich u. a. aus von der Kommission erarbeiteten Standarddatenschutzklauseln ergeben können, und wenn die betroffenen Personen über durchsetzbare Rechte und wirksame
Rechtsbehelfe verfügen . Ferner ist in der DSGVO genau geregelt, unter welchen Voraussetzungen eine solche Übermittlung vorgenommen werden darf, falls weder ein Angemessenheitsbeschluss vorliegt noch geeignete Garantien bestehen.

Herr Schrems, ein in Österreich wohnhafter österreichischer Staatsangehöriger, ist seit 2008 Nutzer von Facebook. Wie bei allen anderen im Unionsgebiet wohnhaften Nutzern werden seine personenbezogenen Daten ganz oder teilweise von Facebook Ireland an Server der Facebook Inc., die sich in den Vereinigten Staaten befinden, übermittelt und dort verarbeitet. Herr Schrems legte bei der irischen Aufsichtsbehörde eine Beschwerde ein, die im Wesentlichen darauf abzielte, diese Übermittlungen verbieten zu lassen. Er machte geltend, das Recht und die Praxis der Vereinigten Staaten böten keinen ausreichenden Schutz vor dem Zugriff der Behörden auf die dorthin übermittelten Daten. Seine Beschwerde wurde u. a. mit der Begründung zurückgewiesen, die Kommission habe in ihrer Entscheidung 2000/5205 (sogenannte „Safe-Harbour Entscheidung“) festgestellt, dass die Vereinigten Staaten ein angemessenes Schutzniveau gewährleisteten. Mit Urteil vom 6. Oktober 2015 erklärte der Gerichtshof auf ein Vorabentscheidungsersuchen des irischen High Court hin diese Entscheidung für ungültig (im Folgenden: Urteil Schrems I).

Nachdem das Urteil Schrems I ergangen war und der irische High Court daraufhin die Entscheidung, mit der die Beschwerde von Herrn Schrems zurückgewiesen worden war, aufgehoben hatte, forderte die irische Aufsichtsbehörde Herrn Schrems auf, seine Beschwerde unter Berücksichtigung der Ungültigerklärung der Safe-Harbour-Entscheidung durch den Gerichtshof umzuformulieren. Mit seiner umformulierten Beschwerde macht Herr Schrems geltend, dass die Vereinigten Staaten keinen ausreichenden Schutz der dorthin übermittelten Daten gewährleisteten. Er beantragt, die von Facebook Ireland nunmehr auf der Grundlage der Standardschutzklauseln im Anhang des Beschlusses 2010/877 vorgenommene Übermittlung seiner personenbezogenen Daten aus der Union in die Vereinigten Staaten für die Zukunft auszusetzen oder zu verbieten. Die irische Aufsichtsbehörde war der Auffassung, dass die Bearbeitung der Beschwerde von Herrn Schrems insbesondere von der Gültigkeit des Beschlusses 2010/87 über Standardvertragsklauseln abhänge, und strengte daher ein Verfahren vor dem High Court an, damit er den Gerichtshof mit einem Vorabentscheidungsersuchen befassen möge. Nachdem dieses Verfahren eingeleitet worden war, erließ die Kommission den Beschluss (EU) 2016/1250 über die Angemessenheit des vom EU-US-Datenschutzschild („Privacy Shield“) gebotenen Schutzes.

Mit seinem Vorabentscheidungsersuchen fragt der irische High Court den Gerichtshof nach der Anwendbarkeit der DSGVO auf Übermittlungen personenbezogener Daten, die auf die Standardschutzklauseln im Beschluss 2010/87 gestützt werden, sowie nach dem Schutzniveau, das diese Verordnung im Rahmen einer solchen Übermittlung verlangt, und den Pflichten, die den
Aufsichtsbehörden in diesem Zusammenhang obliegen. Des Weiteren wirft der High Court die Frage der Gültigkeit sowohl des Beschlusses 2010/87 über Standardvertragsklauseln als auch des Privacy Shield-Beschlusses 2016/1250 auf.

Mit seinem heute verkündeten Urteil stellt der Gerichtshof fest, dass die Prüfung des Beschlusses 2010/87 über Standardvertragsklauseln anhand der Charta der Grundrechte der Europäischen Union nichts ergeben hat, was seine Gültigkeit berühren könnte. Den Privacy Shield-Beschluss 2016/1250 erklärt er hingegen für ungültig. Der Gerichtshof führt zunächst aus, dass das Unionsrecht, insbesondere die DSGVO, auf eine zu gewerblichen Zwecken erfolgende Übermittlung personenbezogener Daten durch einen in einem Mitgliedstaat ansässigen Wirtschaftsteilnehmer an einen anderen, in einem Drittland ansässigen Wirtschaftsteilnehmer Anwendung findet, auch wenn die Daten bei ihrer Übermittlung oder im Anschluss daran von den Behörden des betreffenden Drittlands für Zwecke der öffentlichen Sicherheit, der Landesverteidigung und der Sicherheit des Staates verarbeitet werden können.

Eine derartige Datenverarbeitung durch die Behörden eines Drittlands kann nicht dazu führen, dass eine solche Übermittlung vom Anwendungsbereich der DSGVO ausgenommen wäre. In Bezug auf das im Rahmen einer solchen Übermittlung erforderliche Schutzniveau entscheidet der Gerichtshof, dass die insoweit in der DSGVO vorgesehenen Anforderungen, die sich auf geeignete Garantien, durchsetzbare Rechte und wirksame Rechtsbehelfe beziehen, dahin auszulegen sind, dass die Personen, deren personenbezogene Daten auf der Grundlage von Standarddatenschutzklauseln in ein Drittland übermittelt werden, ein Schutzniveau genießen müssen, das dem in der Union durch die DSGVO im Licht der Charta garantierten Niveau der Sache nach gleichwertig ist. Bei der Beurteilung dieses Schutzniveaus sind sowohl die vertraglichen Regelungen zu berücksichtigen, die zwischen dem in der Union ansässigen Datenexporteur und dem im betreffenden Drittland ansässigen Empfänger der Übermittlung vereinbart wurden, als auch, was einen etwaigen Zugriff der Behörden dieses Drittlands auf
die übermittelten Daten betrifft, die maßgeblichen Aspekte der Rechtsordnung dieses Landes.

Hinsichtlich der Pflichten, die den Aufsichtsbehörden im Zusammenhang mit einer solchen Übermittlung obliegen, befindet der Gerichtshof, dass diese Behörden, sofern kein gültiger Angemessenheitsbeschluss der Kommission vorliegt, insbesondere verpflichtet sind, eine Übermittlung personenbezogener Daten in ein Drittland auszusetzen oder zu verbieten, wenn sie im Licht der Umstände dieser Übermittlung der Auffassung sind, dass die Standarddatenschutzklauseln in diesem Land nicht eingehalten werden oder nicht eingehalten werden können und dass der nach dem Unionsrecht erforderliche Schutz der übermittelten
Daten nicht mit anderen Mitteln gewährleistet werden kann, es sei denn, der in der Union ansässige Datenexporteur hat die Übermittlung selbst ausgesetzt oder beendet. Sodann prüft der Gerichtshof die Gültigkeit des Beschlusses 2010/87 über
Standardvertragsklauseln. Er sieht sie nicht schon dadurch in Frage gestellt, dass die in diesem Beschluss enthaltenen Standarddatenschutzklauseln aufgrund ihres Vertragscharakters die Behörden des Drittlands, in das möglicherweise Daten übermittelt werden, nicht binden. Vielmehr hängt sie davon ab, ob der Beschluss wirksame Mechanismen enthält, die in der Praxis gewährleisten können, dass das vom Unionsrecht verlangte Schutzniveau eingehalten wird und dass auf solche Klauseln gestützte Übermittlungen personenbezogener Daten ausgesetzt oder verboten werden, wenn gegen diese Klauseln verstoßen wird oder ihre Einhaltung unmöglich ist. Der Gerichtshof stellt fest, dass der Beschluss 2010/87 derartige Mechanismen vorsieht. Insoweit hebt er insbesondere hervor, dass gemäß diesem Beschluss der Datenexporteur und der Empfänger der Übermittlung vorab prüfen müssen, ob das erforderliche Schutzniveau im betreffenden Drittland eingehalten wird, und dass der Empfänger dem Datenexporteur gegebenenfalls mitteilen muss, dass er die Standardschutzklauseln nicht einhalten kann, woraufhin der Exporteur die Datenübermittlung aussetzen und/oder vom Vertrag mit dem Empfänger zurücktreten muss.

Schließlich prüft der Gerichtshof die Gültigkeit des Privacy-Shield-Beschlusses 2016/1250 anhand der Anforderungen der DSGVO im Licht der Bestimmungen der Charta, die die Achtung des Privat- und Familienlebens, den Schutz personenbezogener Daten und das Recht auf effektiven gerichtlichen Rechtsschutz verbürgen. Insoweit stellt er fest, dass in diesem Beschluss, ebenso wie in der Safe-Harbour-Entscheidung 2000/520, den Erfordernissen der nationalen Sicherheit,
des öffentlichen Interesses und der Einhaltung des amerikanischen Rechts Vorrang eingeräumt wird, was Eingriffe in die Grundrechte der Personen ermöglicht, deren Daten in die Vereinigten Staaten übermittelt werden. Er kommt zu dem Ergebnis, dass die von der Kommission im PrivacyShield-Beschluss 2016/1250 bewerteten Einschränkungen des Schutzes personenbezogener Daten, die sich daraus ergeben, dass die amerikanischen Behörden nach dem Recht der Vereinigten Staaten auf solche Daten, die aus der Union in dieses Drittland übermittelt werden, zugreifen und sie verwenden dürfen, nicht dergestalt geregelt sind, dass damit Anforderungen erfüllt würden, die den im Unionsrecht nach dem Grundsatz der
Verhältnismäßigkeit bestehenden Anforderungen der Sache nach gleichwertig wären, da die auf die amerikanischen Rechtsvorschriften gestützten Überwachungsprogramme nicht auf das zwingend erforderliche Maß beschränkt sind. Gestützt auf die Feststellungen in diesem Beschluss weist der Gerichtshof darauf hin, dass die betreffenden Vorschriften hinsichtlich
bestimmter Überwachungsprogramme in keiner Weise erkennen lassen, dass für die darin enthaltene Ermächtigung zur Durchführung dieser Programme Einschränkungen bestehen; genauso wenig ist ersichtlich, dass für die potenziell von diesen Programmen erfassten Personen, die keine amerikanischen Staatsbürger sind, Garantien existieren. Der Gerichtshof fügt hinzu, dass diese Vorschriften zwar Anforderungen vorsehen, die von den amerikanischen Behörden bei der Durchführung der betreffenden Überwachungsprogramme einzuhalten sind, aber den betroffenen Personen keine Rechte verleihen, die gegenüber den amerikanischen Behörden gerichtlich durchgesetzt werden können.

In Bezug auf das Erfordernis des gerichtlichen Rechtsschutzes befindet der Gerichtshof, dass der im Privacy-Shield-Beschluss 2016/1250 angeführte Ombudsmechanismus entgegen den darin von der Kommission getroffenen Feststellungen den betroffenen Personen keinen Rechtsweg zu einem Organ eröffnet, das Garantien böte, die den nach dem Unionsrecht erforderlichen Garantien der Sache nach gleichwertig wären, d. h. Garantien, die sowohl die Unabhängigkeit der durch diesen Mechanismus vorgesehenen Ombudsperson als auch das Bestehen von Normen gewährleisten, die die Ombudsperson dazu ermächtigen, gegenüber den amerikanischen Nachrichtendiensten verbindliche Entscheidungen zu erlassen. Aus all
diesen Gründen erklärt der Gerichtshof den Beschluss 2016/1250 für ungültig.


Den Volltext der Entscheidung finden Sie hier:


EuGH: Auch für einen Petitionsausschuss gelten die Vorgaben der DSGVO - Petionsausschuss als Verantwortlicher

EuGH
Urteil vom 09.07.2020
C‑272/19
VQ gegen Land Hessen


Der EuGH hat entschieden, dass auch für einen Petitionsausschuss die Vorgaben der DSGVO gelten und dieser Verantwortlicher im Sinne der DSGVO sein kann.

Tenor der Entscheidung:

Art. 4 Nr. 7 der Verordnung (EU) 2016/679 des Europäischen Parlaments und des Rates vom 27. April 2016 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten, zum freien Datenverkehr und zur Aufhebung der Richtlinie 95/46/EG (Datenschutz-Grundverordnung) ist dahin auszulegen, dass der Petitionsausschuss eines Gliedstaats eines Mitgliedstaats insoweit, als dieser Ausschuss allein oder gemeinsam mit anderen über die Zwecke und Mittel der Verarbeitung entscheidet, als „Verantwortlicher“ im Sinne dieser Bestimmung einzustufen ist, so dass die von einem solchen Ausschuss vorgenommene Verarbeitung personenbezogener Daten in den Anwendungsbereich dieser Verordnung, u. a. unter deren Art. 15, fällt.

Den Volltext der Entscheidung finden Sie hier:

Volltext BGH liegt vor: Vorlagebeschluss an EuGH - Sind Verbraucherschutzverbände befugt Datenschutzverstöße zu verfolgen und Unterlassungsansprüche geltend zu machen

BGH
Beschluss vom 28.05.2020
I ZR 186/17
App-Zentrum
Verordnung (EU) 2016/679 Art. 80 Abs. 1 und 2, Art. 84 Abs. 1; UWG § 8 Abs. 3 Nr. 3; UKlaG §§ 1, 2 Abs. 2 Satz 1 Nr. 11, § 3 Abs. 1 Satz 1 Nr. 1


Wir hatten bereits in dem Beitrag BGH legt EuGH vor: Sind Verbraucherschutzverbände befugt Datenschutzverstöße zu verfolgen und Unterlassungsansprüche geltend zu machen ? über die Entscheidung berichtet.

Leitsatz des BGH:

Dem Gerichtshof der Europäischen Union wird zur Auslegung von Kapitel VIII, insbesondere von Art. 80 Abs. 1 und 2 sowie Art. 84 Abs. 1 der Verordnung (EU) 2016/679 des Europäischen Parlaments und des Rates vom 27. April 2016 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten, zum freien Datenverkehr und zur Aufhebung der Richtlinie 95/46/EG (Datenschutz-Grundverordnung, ABl. L 119/1 vom 4. Mai 2016, S. 1) folgende Frage zur Vorabentscheidung vorgelegt:

Stehen die Regelungen in Kapitel VIII, insbesondere in Art. 80 Abs. 1 und 2 sowie Art. 84 Abs. 1 der Verordnung (EU) 2016/679 nationalen Regelungen entgegen, die - neben den Eingriffsbefugnissen der zur Überwachung und Durchsetzung der Verordnung zuständigen Aufsichtsbehörden und den Rechtsschutzmöglichkeiten der betroffenen Personen - einerseits Mitbewerbern und andererseits nach dem nationalen Recht berechtigten Verbänden, Einrichtungen und Kammern die Befugnis einräumen, wegen Verstößen gegen die Verordnung (EU) 2016/679 unabhängig von der Verletzung konkreter Rechte einzelner betroffener Personen und ohne Auftrag einer betroffenen Person gegen den Verletzer im Wege einer Klage vor den Zivilgerichten unter den Gesichtspunkten des Verbots der Vornahme unlauterer Geschäftspraktiken oder des Verstoßes gegen ein Verbraucherschutzgesetz oder des Verbots der Verwendung unwirksamer Allgemeiner Geschäftsbedingungen vorzugehen?

BGH, Beschluss vom 28. Mai 2020 - I ZR 186/17 - Kammergericht - LG Berlin

Den Volltext der Entscheidung finden Sie hier:



Bundeskartellamt: Sektoruntersuchung zu Smart-TV - Bessere Verbraucher-Informationen über die Datenverarbeitung erforderlich

Das Bundeskartellamt hat den Abschlussbericht seiner Sektoruntersuchung zu Smart-TV vorgelegt.

Die Pressemitteilung des Bundeskartellamtes:

Bundeskartellamt fordert im Rahmen seiner Verbraucherschutzbefugnisse bessere Verbraucher-Informationen über die Datenverarbeitung von Smart-TVs

Das Bundeskartellamt hat heute den Abschlussbericht seiner Sektoruntersuchung zu Smart-TVs vorgelegt. Smart-TVs sind internetfähige Fernsehgeräte, mit denen die Verbraucher über das klassische Fernsehprogramm hinaus Internetangebote wie Video-Streaming und viele weitere Informationen und Funktionen nutzen können. Sie stehen stellvertretend für viele Geräte des sog. Internet der Dinge (Internet of Things, kurz IoT).

Andreas Mundt, Präsident des Bundeskartellamtes: „Ziel muss es sein, den Nutzern von Smart-TVs – und von IoT-Geräten generell – zu deutlich mehr Souveränität über ihre eigenen Daten zu verhelfen. Fast jedes neu verkaufte Fernsehgerät ist heute ein Smart-TV. Anders als herkömmliche Fernseher bieten Smart-TVs unterschiedlichste Nutzungsmöglichkeiten im digitalen Verbraucheralltag. Bei vielen Smartfunktionen hinterlassen Verbraucher jedoch digitale Spuren. Die Empfänger der Daten nutzen diese geschäftlich und zwar meistens, ohne die Verbraucher vorab ordnungsgemäß über die Datenverarbeitung zu informieren. Das sollte sich ändern.“

Die Sektoruntersuchung hat offen gelegt, dass Smart-TVs über vielfältige Möglichkeiten verfügen, personenbezogene Daten zu erheben. Hiervon machen Unternehmen bislang in unterschiedlichem Ausmaß Gebrauch. So können etwa das generelle Fernsehverhalten einer Person, ihre App-Nutzung, ihr Surf- und Klickverhalten oder auch biometrische Daten wie Stimme oder Cursorbewegungen sowie die im Einzelnen über den Fernseher abgespielten Inhalte erfasst und ausgewertet werden. Die Erhebung solch intimer Nutzungsdaten und ggf. deren Verwendung für personalisierte Werbung kann der Verbraucher zumeist durch Vornahme entsprechender Einstellungen an seinem Fernsehgerät verhindern.

Sich über die einschlägigen Datenschutzbestimmungen bereits vor dem Kauf zu informieren, ist für den Verbraucher nicht oder nur mit großem Aufwand möglich. Ist der Kauf aber erfolgt, fügen sich die Verbraucher regelmäßig in die ihnen bei der Ersteinrichtung des Geräts angezeigten Datenschutzbestimmungen und Nutzungsbedingungen, da sie hierzu keine Alternative sehen.

Das Bundeskartellamt hat festgestellt, dass die Datenschutzbestimmungen der in Deutschland aktiven Smart-TV-Hersteller fast durchgehend schwerwiegende Transparenzmängel aufweisen und damit gegen Vorgaben der Datenschutzgrundverordnung (DSGVO) verstoßen. Sie sind vor allem deshalb für die Verbraucher nicht nachvollziehbar, weil sie für eine Vielzahl von Diensten und Nutzungsprozessen gelten sollen. Diese „one fits all“-Architektur führt dazu, dass die Verbraucher nicht zuverlässig erfahren, welche personenbezogenen Daten verarbeitet werden, welche Datenverarbeitungen durch welchen Nutzungsprozess ausgelöst werden, welche Daten an Dritte übermittelt werden und wie lange einzelne Daten gespeichert werden. Die Verbraucher können daher ihr Anwendungsverhalten nicht so steuern, dass sie möglichst wenige private personenbezogene Daten preisgeben.

Daneben hat das Bundeskartellamt auch Datensicherheitsrisiken der Software von Smart-TVs untersucht. Nachdem in der Vergangenheit immer wieder über Mängel berichtet wurde, hat die Sektoruntersuchung deutlich gemacht, dass sich Hersteller mit unterschiedlichem Aufwand um ein hohes Datensicherheitsniveau bemühen. Bei etlichen Herstellern ist nicht gesichert, dass der Sicherheitsstandard der Geräte auch in den Jahren nach dem Kauf durch Software-Aktualisierungen (Updates) aufrechterhalten wird. Kein Unternehmen macht verbindliche Angaben dazu, wie lange seine Produkte mit Sicherheits-Updates versehen werden. Für die Verbraucher ist diese Information jedoch unerlässlich, um einschätzen zu können, wie lange sie das Gerät uneingeschränkt gefahrlos verwenden können. Der Gesetzgeber sollte in Bezug auf die Versorgung mit Software-Updates die Rechtsstellung des Verbrauchers insbesondere gegenüber Herstellern verbessern.

Das Bundeskartellamt hat zudem eine Reihe weiterer Problemfelder rechtlich analysiert, die die Verbraucher bei der Verwendung von IoT-Produkten betreffen, z. B. die Rechtmäßigkeit von Werbeeinblendungen im TV-Portal.

Andreas Mundt weiter: „Datenschutz muss bei Smart-TVs – und auch generell bei kommunikationsfähigen Geräten des Internet of things – zu einem echten Wettbewerbsparameter werden. Wenn Verbraucher effektiv in die Lage versetzt werden, die Datenschutz- und Datensicherheitsqualität eines Produkts zu beurteilen, kann eine bewusste Nachfrage nach datenschutzfreundlichen Geräten entstehen. Das Bundeskartellamt empfiehlt Entscheidern, Unternehmen und Wissenschaft daher, auf Datenschutzinformationen hinzuwirken, die aussagekräftig sind, einfach aufgefasst werden können und bereits vor dem Kauf der Geräte verfügbar sind.“

In Anknüpfung an den Bericht empfiehlt das Bundeskartellamt:

Verbraucher sollten noch besser und zielgerichteter über die Möglichkeit zur extensiven Datensammlung und -verarbeitung von Smart-TVs und Internet of Things-Geräten insgesamt informiert und aufgeklärt werden.
Haftungsfragen beim Zusammenspiel der verschiedenen Akteure im IoT-Bereich sollten durch entsprechende gesetzliche Regelungen geklärt werden.
Es bedarf eines klaren gesetzlich geregelten Anspruchs des Verbrauchers auch gegenüber dem Hersteller auf Software-Updates.
Die verantwortlichen Unternehmen sollten verpflichtet werden, notwendige Informationen (Produktinformationen, Datenschutz, Voreinstellungsmöglichkeiten, etc.) klarer und einfacher zu vermitteln.
Verbrauchern sollte es leichter gemacht werden, Datenschutzstandards bei einer Kaufentscheidung zu berücksichtigen, insbesondere durch eingängige Bildsymbole.
Das Bundeskartellamt kann im Bereich des Verbraucherschutzes Untersuchungen durchführen und so Defizite identifizieren. Über die Befugnis, etwaige Rechtsverstöße per behördlicher Verfügung abzustellen, verfügt das Amt hingegen nicht (vgl. PM vom 12. Juni 2017).

Das Bundeskartellamt hatte die Sektoruntersuchung Smart-TVs im Dezember 2017 auf Basis seiner seit Mitte 2017 bestehenden verbraucherrechtlichen Kompetenzen eingeleitet (vgl. PM vom 13. Dezember 2017). Die Ermittlungen betrafen rund 20 Anbieter, die in Deutschland Smart-TVs unter eigenen Marken absetzen. Außerdem wurden Fachleute aus Praxis und Wissenschaft konsultiert.

Den Bericht finden Sie hier:



OVG Münster: Kundenkontaktdaten dürfen weiterhin zum Zweck der Kontaktpersonennachverfolgung auf Grundlage der Coronaschutzverordnung erhoben werden

OVG Münster
Beschluss vom 23.06.2020
13 B 695/20.NE


Das OVG Münster hat entschieden, dass Kundenkontaktdaten weiterhin zum Zweck der Kontaktpersonennachverfolgung auf Grundlage der Coronaschutzverordnung erhoben werden dürfen.

Die Pressemitteilung des Gerichts:

Kundenkontaktdaten dürfen weiterhin auf Grundlage der Coronaschutzverordnung erhoben werden

Das Oberverwaltungsgericht hat in einem Eilverfahren mit Beschluss vom heutigen Tag entschieden, dass die in der nordrhein-westfälischen Coronaschutzverordnung vorgesehene Datenerhebung zum Zweck der Kontaktpersonennachverfolgung im Bereich der Gastronomie, des Friseurhandwerks und der Fitnessstudios voraussichtlich rechtmäßig ist.

Zur Rückverfolgbarkeit möglicher Infektionsketten sieht die Coronaschutzverordnung für bestimmte Wirtschaftsbereiche die papiergebundene Erfassung der Kundenkontaktdaten (Name, Adresse, Telefonnummer, Zeitraum des Aufenthalts bzw. Zeitpunkt von An- und Abreise) vor. Die Kontaktdaten sind vier Wochen aufzubewahren und danach zu vernichten. Eine Weitergabe an die für die Nachverfolgung zuständige Behörde erfolgt nur auf deren Verlangen.

Gegen die Regelungen zur Kontaktdatenangabe in Restaurants, Fitnessstudios und Friseursalons hatte sich ein Bochumer Rechtsanwalt gewandt und geltend gemacht, die Datenerhebung verletze ihn in seinem Grundrecht auf informationelle Selbstbestimmung. Die Maßnahme sei insbesondere unverhältnismäßig und verstoße zudem gegen datenschutzrechtliche Vorgaben.

Das Oberverwaltungsgericht hat den Antrag auf Erlass einer einstweiligen Anordnung abgelehnt. Zur Begründung hat es im Wesentlichen ausgeführt, dass die angegriffenen Regelungen voraussichtlich rechtmäßig seien. Mit der vorsorglichen Erhebung der Kundendaten solle sichergestellt werden, dass bei Nachweis einer Neuinfektion die Kontaktpersonen des Betroffenen leichter durch die Gesundheitsämter identifiziert werden könnten. Angesichts der inzwischen weitgehenden Öffnung des sozialen und wirtschaftlichen Lebens sei es voraussichtlich nicht zu beanstanden, wenn der Verordnungsgeber die Kontaktdatenerhebung in bestimmten kontaktintensiven Bereiche als - milderes Mittel - nutze, um Infektionsketten aufzudecken und zu unterbrechen. Das durch die Regelungen in erster Linie betroffene Recht auf informationelle Selbstbestimmung trete gegenüber dem Schutz von Leben und Gesundheit vorübergehend zurück. Dabei sei unter anderem zu berücksichtigen, dass weder der Besuch einer gastronomischen Einrichtung noch das Aufsuchen eines Fitnessstudios oder der Besuch eines Friseursalons der Deckung elementarer Grundbedürfnisse diene und zudem Alternativen zur Verfügung stünden. Der sichere Umgang mit den erhobenen personenbezogenen Daten werde durch die zu beachtenden Vorgaben der Datenschutz-Grundverordnung voraussichtlich gewährleistet.

Der Beschluss ist unanfechtbar.

Aktenzeichen: 13 B 695/20.NE



EU-Kommission: Bericht zur DSGVO - Die Kommission meint, dass die EU-Datenschutzvorschriften die Rechte der Bürgerinnen und Bürger stärken und zeitgemäß sind

EU-Kommission hat seinen Bericht zur DSGVO vorgelegt. Die Kommission meint, dass die EU-Datenschutzvorschriften die Rechte der Bürgerinnen und Bürger stärken und zeitgemäß sind. Dieses posititive Bild können wir leider nicht bestätigen. Die DSGVO weist erhebliche konzeptionelle Mängel auf. Auch die zahlreichen juristischen Streitfragen zur Auslegung der DSGVO zeigen, dass der Verordnungsgeber schlecht gearbeitet hat.

Die Pressemitteilung der EU-Kommission:

"Kommissionsbericht: Die EU-Datenschutzvorschriften stärken die Rechte der Bürgerinnen und Bürger und sind zeitgemäß

Nach etwas mehr als zwei Jahren seit dem Inkrafttreten der Datenschutz-Grundverordnung (DSGVO) hat die Europäische Kommission heute einen Bewertungsbericht veröffentlicht. Dem Bericht zufolge hat die DSGVO die meisten ihrer Ziele erreicht, insbesondere aufgrund der leistungsstarken, durchsetzbaren Vorschriften für die Bürgerinnen und Bürger und eines durch die DSGVO neu geschaffenen europäischen Governance- und Durchsetzungssystems. Auch bei der Unterstützung digitaler Lösungen in unvorhersehbaren Situationen wie der COVID-19-Krise hat sich die DSGVO als flexibel erwiesen. Der Bericht kommt auch zu dem Schluss, dass die Harmonisierung in den Mitgliedstaaten zunimmt, auch wenn ein gewisses Maß an Fragmentierung besteht, das ständig überwacht werden muss. Ferner wird festgestellt, dass Unternehmen eine Compliance-Kultur entwickeln und einen starken Datenschutz immer häufiger als Wettbewerbsvorteil nutzen. Im Bericht sind Maßnahmen aufgelistet, die allen Interessenträgern, insbesondere kleinen und mittleren Unternehmen, die Anwendung der DSGVO weiter erleichtern und somit eine wirklich europäische Datenschutzkultur mit konsequenter Durchsetzung fördern und weiterentwickeln sollen.

Věra Jourová, Vizepräsidentin für Werte und Transparenz: „Inzwischen ist das europäische Datenschutzrecht für uns ein Kompass geworden, der uns im digitalen Wandel, bei dem der Mensch im Mittelpunkt steht, den Weg weist. Es ist eine wichtige Grundlage, auf der wir weitere Strategien, wie z. B. die Datenstrategie oder unser KI-Konzept, aufbauen.Die Datenschutz-Grundverordnung ist das perfekte Beispiel dafür, wie die Europäische Union das Leitmotiv Grundrechte nutzt, um die Rechte der Bürgerinnen und Bürger der EU zu stärken und die Unternehmen dabei zu unterstützen, die digitale Revolution zu meistern. Dennoch ist weiterhin unser aller Engagement gefragt, damit das Potenzial der DSGVO voll ausgeschöpft werden kann.“

„Die DSGVO hat bei allen ihren Zielen Erfolge verzeichnet und ist inzwischen weltweit eine Referenz für Länder, die ihren Bürgerinnen und Bürgern ein hohes Datenschutzniveau bieten wollen“, so Didier Reynders, Kommissar für Justiz. „Der heutige Bericht zeigt aber auch, dass wir noch mehr tun können. So brauchen wir beispielsweise EU-weit mehr Einheitlichkeit bei der Anwendung der Vorschriften: Dies ist für Bürgerinnen und Bürger ebenso wichtig wie für Unternehmen und insbesondere KMU. Wir müssen ferner sicherstellen, dass die Bürgerinnen und Bürger ihre Rechte uneingeschränkt wahrnehmen können. Um dies zu erreichen, wird die Kommission in enger Zusammenarbeit mit dem Europäischen Datenschutzausschuss sowie im regelmäßigen Austausch mit den Mitgliedstaaten Fortschritte genau überwachen, damit sich das volle Potenzial der DSGVO entfalten kann.“

Die wichtigsten Ergebnisse der Überprüfung der Datenschutz-Grundverordnung:

Die Bürgerinnen und Bürger sind in ihren Rechten gestärkt und besser sensibilisiert: Die Datenschutz-Grundverordnung stärkt die Transparenz und verleiht den Einzelnen durchsetzbare Rechte, wie das Recht auf Auskunft, Berichtigung, Löschung, Widerspruch und Datenübertragbarkeit. Aktuell haben 69 % der über 16-Jährigen in der EU von der Datenschutz-Grundverordnung und 71 % der Gesamtbevölkerung von ihrer jeweiligen nationalen Datenschutzbehörde gehört. Dies geht aus einer Umfrage der Agentur der Europäischen Union für Grundrechte hervor, die letzte Woche veröffentlicht wurde. Allerdings könnten die Bürgerinnen und Bürger bei der Wahrnehmung ihrer Rechte, insbesondere ihres Rechts auf Datenübertragbarkeit, noch besser unterstützt werden.

Die Datenschutzvorschriften sind zeitgemäß: In der heutigen Zeit des digitalen Wandels können die Menschen dank der DSGVO inzwischen aktiver mitbestimmen, was mit ihren Daten geschieht. Die Verordnung trägt ferner zur Entwicklung vertrauenswürdiger Innovationen bei, und zwar durch einen Ansatz, der risikobasiert ist und sich an Grundsätzen wie ‚Datenschutz durch Technik‘ und ‚datenschutzfreundliche Voreinstellungen‘ orientiert.
Datenschutzbehörden nutzen ihre erweiterten Abhilfebefugnisse: Von Verwarnungen und Verweisen bis hin zu Bußgeldern gibt die DSGVO den nationalen Datenschutzbehörden die richtigen Instrumente zur Durchsetzung des Datenschutzrechts an die Hand. Hierzu müssen sie jedoch mit angemessenen personellen, technischen und finanziellen Mitteln ausgestattet werden. Viele Mitgliedstaaten tun dies bereits, indem sie deutlich höhere Budget- und Personalzuweisungen vornehmen. Zwischen 2016 und 2019 war für alle nationalen Datenschutzbehörden in der EU zusammengenommen ein Anstieg von 42 % beim Personalbestand und von 49 % bei der Mittelausstattung zu verzeichnen. Allerdings gibt es hier bei den Mitgliedstaaten noch große Unterschiede.
Die Zusammenarbeit der Datenschutzbehörden im Europäischen Datenschutzausschuss (EDSA) kann noch besser werden: Mit der Datenschutz-Grundverordnung wurde ein innovatives Governance-System geschaffen, das eine kohärente und wirksame Anwendung der Datenschutz-Grundverordnung durch die sogenannte einzige Anlaufstelle gewährleisten soll, damit ein Unternehmen, das Daten grenzüberschreitend verarbeitet, nur eine Datenschutzbehörde als Ansprechpartnerin hat, nämlich die Behörde des Mitgliedstaats, in dem sich seine Hauptniederlassung befindet. Zwischen dem 25. Mai 2018 und dem 31. Dezember 2019 gingen bei der zentralen Anlaufstelle 141 Entscheidungsentwürfe ein, von denen 79 in endgültige Entscheidungen mündeten. Dennoch kann noch mehr für eine echte gemeinsame Datenschutzkultur getan werden. Insbesondere die Bearbeitung grenzüberschreitender Fälle erfordert einen effizienteren, einheitlicheren Ansatz und einen wirksamen Einsatz aller in der Datenschutz-Grundverordnung vorgesehenen Mechanismen für die Zusammenarbeit der Datenschutzbehörden.
Datenschutzbehörden – Beratung und Leitlinien: Der EDSA gibt derzeit Leitlinien zu zentralen Aspekten der Verordnung und zu neuen Themen heraus. Mehrere Datenschutzbehörden haben neue Instrumente, wie Beratungsstellen für Einzelpersonen und Unternehmen oder Toolkits für Klein- und Kleinstunternehmen, geschaffen. Die auf nationaler Ebene bereitgestellten Hilfsangebote müssen unbedingt vollständig mit den Leitlinien des Europäischen Datenschutzausschusses in Einklang stehen.
Möglichkeiten der freien und sicheren Datenübermittlung an Drittstaaten und internationale Organisationen optimal nutzen: Das internationale Engagement der Kommission für eine freie und sichere Datenübermittlung in den letzten zwei Jahren hat sich bereits ausgezahlt. So bilden Japan und die EU inzwischen den weltweit größten Raum für einen freien und sicheren Datenverkehr. Die Kommission wird ihre Arbeit zum Thema Angemessenheit mit ihren Partnern in der ganzen Welt fortsetzen. Darüber hinaus prüft die Kommission in Zusammenarbeit mit dem Europäischen Datenschutzausschuss, wie auch andere Mechanismen für die Datenübermittlung, z. B. Standardvertragsklauseln (das am häufigsten verwendete Datenübertragungsinstrument), modernisiert werden können. Der Europäische Datenschutzausschuss arbeitet derzeit an speziellen Leitlinien für die Zertifizierung und an Verhaltenskodizes für die Datenübermittlung an Drittländer und internationale Organisationen, die so bald als möglich fertiggestellt werden müssen. Da der Europäische Gerichtshof in einem für den 16. Juli erwarteten Urteil Aspekte klarstellen könnte, die möglicherweise für den Angemessenheitsstandard relevant sind‚ wird die Kommission nach der Urteilsverkündung gesondert über die derzeitigen Angemessenheitsbeschlüsse Bericht erstatten.
Internationale Zusammenarbeit fördern: In den letzten zwei Jahren hat die Kommission den bilateralen, regionalen und multilateralen Dialog bereits intensiviert und sich für eine globale Kultur der Achtung der Privatsphäre und der Konvergenz zwischen den verschiedenen Datenschutzsystemen zum Nutzen der Bürgerinnen und Bürger und der Unternehmen eingesetzt. Die Kommission ist entschlossen, diese Arbeit in all ihrem auswärtigen Handeln fortzusetzen, beispielsweise im Rahmen der Partnerschaft Afrika-EU und bei ihrer Unterstützung für internationale Initiativen wie „Data Free Flow with Trust“. In einer Zeit, in der Verstöße gegen den Datenschutz viele Menschen gleichzeitig in mehreren Teilen der Welt betreffen können, ist es an der Zeit, die internationale Zusammenarbeit der zuständigen Durchsetzungsinstanzen zu intensivieren. Aus diesem Grund wird die Kommission den Rat ersuchen, sie zu ermächtigen, mit bestimmten Drittländern Verhandlungen aufzunehmen, die den Abschluss von Abkommen über gegenseitige Amtshilfe und Zusammenarbeit bei der Durchsetzung ermöglichen werden.
Angleichung des EU-Rechts an die Richtlinie zum Datenschutz bei der Strafverfolgung:

Darüber hinaus hat die Kommission heute eine Mitteilung veröffentlicht, in der zehn Rechtsakte zur behördlichen Verarbeitung personenbezogener Daten zwecks Prävention, Ermittlung, Aufdeckung und Verfolgung von Straftaten genannt werden, die an die Richtlinie zum Datenschutz bei der Strafverfolgung angeglichen werden sollten. Die Angleichung wird Rechtssicherheit schaffen und Fragen in Bezug auf den Zweck der Verarbeitung personenbezogener Daten durch die zuständigen Behörden sowie die Datenarten, die einer solchen Verarbeitung unterliegen können, klären.

Hintergrund

Die Datenschutz-Grundverordnung sieht vor, dass die Kommission erstmals nach zwei Jahren und anschließend alle vier Jahre einen Bericht über die Bewertung und Überprüfung der Verordnung vorlegt.

Die Datenschutz-Grundverordnung ist ein für alle Mitgliedstaaten geltendes Regelwerk des EU-Rechts zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten und zum freien Datenverkehr. Sie stärkt den Datenschutz insgesamt, gewährt dem Einzelnen zusätzliche und stärkere Rechte, erhöht die Transparenz und fordert mehr Rechenschaftspflicht und Verantwortung von denen, die personenbezogene Daten verarbeiten. Sie hat die nationalen Datenschutzbehörden mit umfassenderen und harmonisierten Durchsetzungsbefugnissen ausgestattet und ein neues Governance-System für die Datenschutzbehörden eingerichtet. Außerdem schafft sie gleiche Wettbewerbsbedingungen für alle Unternehmen, die auf dem EU-Markt tätig sind, unabhängig davon, wo sie niedergelassen sind, gewährleistet den freien Datenverkehr innerhalb der EU, erleichtert eine sichere Datenübermittlung zwischen der EU und Drittstaaten bzw. internationalen Organisationen und dient weltweit als Referenz.

Wie in Artikel 97 Absatz 2 der DSGVO festgelegt, bezieht sich der heute veröffentlichte Bericht insbesondere auf die Datenübermittlung an Drittstaaten bzw. internationale Organisationen und die Kooperations- und Kohärenzverfahren. Um darüber hinaus die in den letzten zwei Jahren von verschiedenen Akteuren aufgeworfenen Fragen zu behandeln, hat die Kommission ihre Überprüfung jedoch auf eine breitere Grundlage gestellt. Der Bericht greift deshalb Beiträge von Rat, Europäischem Parlament, Europäischem Datenschutzausschuss, nationalen Datenschutzbehörden und Interessenträgern auf."

Den Bericht und weitere Informationen der EU-Kommission finden Sie hier:





ArbG Düsseldorf: 5.000 EURO Schadensersatz aus Art 82 Abs.1 DSGVO wegen nicht ausreichender Auskunftserteilung nach Art 15 DSGVO gegen ehemaligen Arbeitgeber

ArbG Düsseldorf
05.03.2020
9 Ca 6557/18

Das ArbG Düsseldorf hat entschieden, dass einem ehemaligen Arbeitnehmer 5.000 EURO Schadensersatz aus Art 82 Abs. 1 DSGVO wegen nicht ausreichender Auskunftserteilung nach Art. 15 DSGVO gegen den ehemaligen Arbeitgeber zusteht.


Aus den Entscheidungsgründen:

d) Der Klageantrag zu 4) ist zu einem kleinen Teil begründet. Der Kläger hat gegen die Beklagte Anspruch auf Schadensersatz iHv. 5.000 € aus Art. 82 Abs. 1 E. nebst Zinsen.

aa) Auch Art. 82 Abs. 1 E. findet im nationalen Recht unmittelbar Anwendung (LG Karlsruhe 2. August 2019 – 8 O 26/19 –).

bb) Die Beklagte als für die Verarbeitung der personenbezogenen Daten des Klägers iSd. Art. 4 Ziff. 7 E. Verantwortliche hat gegen die E. verstoßen. Nach Art. 82 Abs. 1 E. kann jeder „Verstoß gegen die Verordnung“ eine Schadensersatzpflicht begründen (Wybitul/Haß/Albrecht, NJW 2018, 113).

(1) Die Beklagte hat zum einen gegen die Vorgabe aus Art. 12 Abs. 3 S. 1-3 E. verstoßen, wonach ua. ein Auskunftsantrag nach Art. 15 E. binnen einen Monats nach Eingang, nach einer Unterrichtung über eine Fristverlängerung binnen zwei weiteren Monaten zu beantworten ist. Die Kammer ist davon überzeugt, dass das Auskunftsgesuch des Klägers der Beklagten am 07.06.2018 zugegangen ist (s. oben I. 2. b) aa) (2) (b) der Entscheidungsgründe). Die Auskunft war am 07.07.2018, spätestens am 07.09.2018 zur Erteilung fällig, wurde aber erstmals am 10.12.2018 mit Übergabe des für die Einsicht in die elektronisch hinterlegten Unterlagen notwendigen Passwortes erbracht.

(2) Zum anderen hat die Beklagte gegen Art. 15 Abs. 1 lit. a und lit b iVm. Art. 12 Abs. 1 S. 1 E. verstoßen, indem sie nicht hinreichend über die Verarbeitungszwecke und die Kategorien personenbezogener Daten, die verarbeitet werden, unterrichtet hat (s. oben I. 2. b) aa) (3) und cc) der Entscheidungsgründe).

(3) Im Schriftsatz vom 23.12.2019 führt der Kläger aus, dass ein weiterer Verstoß gegen die E. darin bestehe, dass die Datenübermittlungsvereinbarung nicht vollständig vorgelegt worden sei. Indes ist die E. dadurch nicht verletzt. In Anbetracht der hier erfolgten Datenübermittlung vorbehaltlich geeigneter Garantien iSd. Art. 46 E. ist im Rahmen des Auskunftsrechts nach Art. 15 Abs. 2 E. nur über die geeigneten Garantien zu unterrichten. Dies ist geschehen (s. oben I. 2. b) ee) der Entscheidungsgründe).

(4) Soweit der Kläger verschiedentlich andere Datenverarbeitungen der Beklagten vorträgt und zum Ausdruck bringt, diese seien datenschutzwidrig, sind keine weiteren Verstöße gegen die E. dargetan, für die die Beklagte nach Art. 82 Abs. 1 E. haftbar wäre. Offensichtlich benennt der Kläger Ereignisse während des noch laufenden Arbeitsverhältnisses, das ab Geltung der E. ab dem 25.05.2018 bereits beendet war.

cc) Die Beklagte hat nicht dargetan, für die Verstöße nicht verantwortlich zu sein, sodass gemäß Art. 82 Abs. 3 E. eine Haftung entfiele. Insbesondere muss sie sicherstellen, dass sie Betroffenengesuche nach Art. 12 ff. E. auch dann erreichen, wenn rechtsgeschäftlich oder kraft Verkehrsanschauung ein Empfangsbote zur Entgegennahme von Willenserklärungen berechtigt ist.

dd) Verursacht durch die genannten Verstöße hat der Kläger, der keinen materiellen Schaden vorgetragen hat, einen immateriellen Schaden iSd. Art. 82 Abs. 1 E. erlitten. Der Begriff des Schadens ist weit auf eine Art und Weise auszulegen, die den Zielen der E. in vollem Umfang entspricht (EG 146; Bergt, in Kühling/Buchner, E./BDSG, 2. Aufl., Art. 82 Rn. 17; Frenzel, in Paal/Pauly, E./BDSG, 2. Aufl., Art. 82 Rn. 10 mwN.). Ein immaterieller Schaden entsteht nicht nur in den „auf der Hand liegenden Fällen“, wenn die datenschutzwidrige Verarbeitung zu einer Diskriminierung, einem Verlust der Vertraulichkeit, einer Rufschädigung oder anderen gesellschaftlichen Nachteilen führt, sondern auch, wenn die betroffene Person um ihre Rechte und Freiheiten gebracht oder daran gehindert wird, die sie betreffenden personenbezogenen Daten zu kontrollieren (EG 75). Indem die Beklagte die Vorgaben aus Art. 15 Abs. 1 Hs. 1, Hs. 2 lit. a, b iVm. Art. 12 Abs. 1, 3 E. verletzt hat, hat sie das Auskunftsrecht des Klägers – das zentrale Betroffenenrecht – beeinträchtigt (vgl. Ehmann, in Ehmann/Selmayr, E., 2. Aufl., Art. 15 Rn. 1 mwN.; Bäcker, in Kühling/Buchner, E./BDSG, 2. Aufl., Art. 5 Rn. 1). Verletzt ist zugleich ein europäisches Grundrecht des Klägers; Art. 8 Abs. 2 S. 2 GRCh gewährleistet das Auskunftsrecht ausdrücklich. Durch die monatelang verspätete, dann unzureichende Auskunft war der Kläger im Ungewissen und ihm die Prüfung verwehrt, dann nur eingeschränkt möglich, ob und wie die Beklagte seine personenbezogenen Daten verarbeitet. Die Schwere des immateriellen Schadens ist für die Begründung der Haftung nach Art. 82 Abs. 1 E. irrelevant und wirkt sich nur noch bei der Höhe des Anspruchs aus (LG Karlsruhe 2. August 2019 – 8 O 26/19 –; Gola/Pitz, in Gola, E., 2. Aufl., Art. 82 Rn. 13 mwN. der restriktiveren Rspr. zu § 823 Abs. 1 BGB iVm. Art. 1 Abs. 1, Art. 2 Abs. 1 GG).

ee) Zum Ersatz dieses immateriellen Schadens hält die Kammer einen Betrag iHv. 5.000 € für geboten, aber auch ausreichend.

(1) Die betroffene Person soll einen vollständigen und wirksamen Schadensersatz für den erlittenen Schaden erhalten (EG 146). Verstöße müssen effektiv sanktioniert werden, damit die E. wirken kann, was vor allem durch Schadensersatz in abschreckender Höhe erreicht wird (Wybitul/Haß/Albrecht, NJW 2018, 113, 115; Bergt, in Kühling/Buchner, E./BDSG, 2. Aufl., Art. 82 Rn. 18; Frenzel, in Paal/Pauly, E./BDSG, 2. Aufl., Art. 82 Rn. 10 mwN.). Gerichte können sich bei der Bemessung des immateriellen Schadensersatzes auch an Art. 83 Abs. 2 E. orientieren, sodass als Zumessungskriterien unter anderem Art, Schwere, Dauer des Verstoßes, Grad des Verschuldens, Maßnahmen zur Minderung des den betroffenen Personen entstandenen Schadens, frühere einschlägige Verstöße sowie die Kategorien der betroffenen personenbezogenen Daten betrachtet werden können (Quaas, in BeckOK Datenschutzrecht, 31. Edition, Art. 31; Wybitul/Haß/Albrecht, NJW 2018, 113, 115). Die Mitgliedsstaaten – auch die erkennende Kammer – sind nach dem Gedanken des Art. 4 Abs. 3 EUV verpflichtet, der E. zur Wirkung zu verhelfen.

(2) Den Grundsätzen entsprechend muss die Beklagte einen Schadensersatz iHv. insgesamt 5.000 € zahlen. Dabei hat die Kammer berücksichtigt, dass der europäische Verordnungsgeber das verletzte Recht als bedeutsam einordnet, wie sich neben Art. 8 Abs. 2 S. 2 GRCh auch an der Zuordnung der Art. 12 ff. E. zu dem Katalog des § 83 Abs. 5 E. zeigt. Es handelt sich eben nicht nur um ein einfaches Arbeitspapier. Weiter hielt der Verstoß einige Monate an, in denen der Kläger über die Datenverarbeitung durch die Beklagte im Ungewissen war. Der Zeitraum vom 08.07. bis 07.09.2018 fiel dabei weniger stark ins Gewicht als die etwa drei Monate bis zum 10.12.2018, da Art. 12 Abs. 3 S. 2 E. dem Antragssteller – wenn auch nach Unterrichtung über eine Fristverlängerung – zumutet, bis zu drei Monate auf die Auskunft zu warten. Außerdem sind die Anforderungen an die zu erteilende Auskunft nicht nur zeitlich, sondern auch inhaltlich verletzt. Überdies war der nach Vortrag des Klägers beträchtliche Umsatz der Beklagten zu berücksichtigen. (Der Vortrag ist unstreitig, doch ist fraglich, ob es sich um den Umsatz der Beklagten oder der I. insgesamt handelt.) Da der Schadensersatz eine angemessene Wirkung erzielen soll, hängt dessen Höhe nicht nur vom eingetretenen immateriellen Schaden, sondern auch von dem nach Art. 4 Ziff. 7 E. Verantwortlichen und dessen Finanzkraft ab. Mit anderen Worten: Die Verletzung der Auskunftspflicht aus Art. 15 E. durch einen finanzschwächeren Verantwortlichen würde zu geringerem Schadensersatz führen.

Zu Gunsten der Beklagten wird berücksichtigt, dass von fahrlässigen Verstößen auszugehen ist. Anhaltspunkte für Vorsatz, mithin die bewusste und gewollte verspätete, dann intransparente Reaktion auf das Auskunftsgesuch, sind nicht ersichtlich. Auch sind keine anderen Verstöße der Beklagten gegen die E. dargetan. Des Weiteren erschließt sich der Kammer nicht, warum die Höhe der Vergütung des Klägers in die Bemessung des Schadensersatzes einfließen sollte. Die Schwere des entstandenen immateriellen Schadens, der vor allem in der Ungewissheit über die Verarbeitung seiner Daten besteht, hängt nicht davon ab, wieviel er verdient. Auch sind besondere Kategorien personenbezogener Daten iSd. Art. 9 E. nicht substantiell betroffen. Endlich ist trotz der Bedeutung des Auskunftsrechts des Art. 15 E. nicht zu verkennen, dass mit dem vom Kläger herangezogenen Bußgeldrahmen des § 83 Abs. 5 E. auch noch weit gravierende Persönlichkeitsrechtsverletzungen sanktioniert werden sollen und die Verhältnismäßigkeit zu wahren ist. Der dem Kläger entstandene immaterielle Schaden ist nicht erheblich.

Unter Berücksichtigung all dessen hat die Kammer für die ersten zwei Monate der Verspätung jeweils 500 €, für die weiteren etwa drei Monate jeweils 1.000 € und für die beiden inhaltlichen Mängel der Auskunft jeweils 500 € angesetzt.

ff) Die zugesprochenen Zinsen folgen aus §§ 291, 288 Abs. 1 BGB.

e) Die Klageanträge zu 5) bis 7) sind unbegründet. Eine Rechtsgrundlage, auf die der Kläger die damit verfolgten Begehren stützen könnte, ist nicht ersichtlich, worauf die Beklagte zutreffend hingewiesen hat.

Im Zusammenhang mit der hier vorliegenden Datenübermittlung vorbehaltlich geeigneter Garantien gemäß § 46 E. ergibt sich die besondere Auskunftspflicht aus Art. 15 Abs. 2 E.. Diese hat die Beklagte erfüllt (s. oben I. 2. b) aa) (3) und ee) der Entscheidungsgründe).


Den Volltext der Entscheidung finden Sie hier:



BGH legt EuGH vor: Sind Verbraucherschutzverbände befugt Datenschutzverstöße zu verfolgen und Unterlassungsansprüche geltend zu machen ?

BGH
Beschluss vom 28.05.2020
I ZR 186/17

Der BGH hat dem EuGH die Frage zur Entscheidung vorgelegt, ob Verbraucherschutzverbände befugt sind Datenschutzverstöße zu verfolgen und diesbezüglich Unterlassungsansprüche geltend zu machen.

Die Pressemitteilung des BGH:

BGH legt EuGH die Frage vor, ob Verbraucherschutzverbände befugt sind, Verstöße gegen das Datenschutzrecht zu verfolgen

Der unter anderem für Wettbewerbsrecht zuständige I. Zivilsenat des Bundes-gerichtshofs hat darüber zu entscheiden, ob ein Verstoß des Betreibers eines sozialen Netzwerks gegen die datenschutzrechtliche Verpflichtung, die Nutzer dieses Netzwerks über Umfang und Zweck der Erhebung und Verwendung ihrer Daten zu unterrichten, wettbewerbsrechtliche Unterlassungsansprüche begründet und von Verbraucherschutzbänden durch eine Klage vor den Zivilgerichten verfolgt werden kann.

Sachverhalt:

Die in Irland ansässige Beklagte, die Facebook Ireland Limited, betreibt das soziale Netzwerk "Facebook". Auf der Internetplattform dieses Netzwerks befindet sich ein "App-Zentrum", in dem die Beklagte den Nutzern ihrer Plattform kostenlos Online-Spiele anderer Anbieter zugänglich macht. Im November 2012 wurden in diesem App-Zentrum mehrere Spiele angeboten, bei denen unter dem Button "Sofort spielen" folgende Hinweise zu lesen waren: "Durch das Anklicken von ‚Spiel spielen" oben erhält diese Anwendung: Deine allgemeinen Informationen, Deine-Mail-Adresse, Über Dich, Deine Statusmeldungen. Diese Anwendung darf in deinem Namen posten, einschließlich dein Punktestand und mehr." Bei einem Spiel endeten die Hinweise mit dem Satz: "Diese Anwendung darf Statusmeldungen, Fotos und mehr in deinem Namen posten."

Der Kläger ist der Dachverband der Verbraucherzentralen der Bundesländer. Er beanstandet die Präsentation der unter dem Button "Sofort spielen" gegebenen Hinweise im App-Zentrum als unlauter unter anderem unter dem Gesichtspunkt des Rechtsbruchs wegen Verstoßes gegen gesetzliche Anforderungen an die Einholung einer wirksamen datenschutzrechtlichen Einwilligung des Nutzers. Ferner sieht er in dem abschließenden Hinweis bei einem Spiel eine den Nutzer unangemessen benachteiligende Allgemeine Geschäftsbedingung. Er hält sich zur Geltendmachung von Unterlassungsansprüchen im Wege der Klage vor den Zivilgerichten gemäß § 8 Abs. 3 Nr. 3 UWG und § 3 Abs. 1 Satz 1 Nr. 1 UKlaG für befugt.

Bisheriger Prozessverlauf:

Das Landgericht hat die Beklagte antragsgemäß verurteilt, es zu unterlassen, auf ihrer Internetseite in einem App-Zentrum Spiele so zu präsentieren, dass Nutzer der Internetplattform mit dem Betätigen eines Buttons wie "Spiel spielen" die Erklärung abgeben, dass der Betreiber des Spiels über das von der Beklagten betriebene soziale Netzwerk Informationen über die dort hinterlegten personenbezogenen Daten erhält und ermächtigt ist, Informationen im Namen der Nutzer zu übermitteln (posten). Die Berufung der Beklagten hatte keinen Erfolg. Mit ihrer vom Berufungsgericht zugelassenen Revision verfolgt die Beklagte ihren Antrag auf Klageabweisung weiter.

Die Entscheidung des Bundesgerichtshofs:

Der Bundesgerichtshof hat das Verfahren ausgesetzt und dem Gerichtshof der Europäischen Union die Frage zur Vorabentscheidung vorgelegt, ob die in Kapitel VIII, insbesondere in Art. 80 Abs. 1 und 2 sowie Art. 84 Abs. 1 der Verordnung (EU) 2016/679 (Datenschutzgrundverordnung) getroffenen Bestimmungen nationalen Regelungen entgegenstehen, die - neben den Eingriffsbefugnissen der zur Überwachung und Durchsetzung der Verordnung zuständigen Aufsichtsbehörden und den Rechtsschutzmöglichkeiten der betroffenen Personen - einerseits Mitbewerbern und andererseits nach dem nationalen Recht berechtigten Verbänden, Einrichtungen und Kammern die Befugnis einräumen, wegen Verstößen gegen die Datenschutzgrundverordnung unabhängig von der Verletzung konkreter Rechte einzelner betroffener Personen und ohne Auftrag einer betroffenen Person gegen den Verletzer im Wege einer Klage vor den Zivilgerichten vorzugehen. Diese Frage ist in der Rechtsprechung der Instanzgerichte und der rechtswissenschaftlichen Literatur umstritten. Es wird die Auffassung vertreten, dass die Datenschutzgrundverordnung eine abschließende Regelung zur Durchsetzung der in dieser Verordnung getroffenen datenschutzrechtlichen Bestimmungen enthält und eine Klagebefugnis von Verbänden deshalb nur unter den - im Streitfall nicht erfüllten - Voraussetzungen des Art. 80 der Datenschutzgrundverordnung besteht. Andere halten die in der Datenschutzgrundverordnung zur Rechtsdurchsetzung getroffenen Regelungen nicht für abschließend und Verbände daher weiterhin für befugt, Unterlassungsansprüche wegen des Verstoßes gegen datenschutzrechtliche Bestimmungen unabhängig von der Verletzung konkreter Rechte einzelner betroffener Personen und ohne Auftrag einer betroffenen Person im Wege der Klage vor den Zivilgerichten durchzusetzen. Der Gerichtshof der Europäischen Union hat zwar bereits entschieden, dass die Regelungen der - bis zum Inkarafttreten der Datenschutzgrundverordnung am 25. Mai 2018 geltenden - Richtlinie 95/46/EG (Datenschutzrichtlinie) einer Klagebefugnis von Verbänden nicht entgegenstehen (Urteil vom 29. Juli 2019 - C-40/17). Dieser Entscheidung ist aber nicht zu entnehmen, ob diese Klagebefugnis unter Geltung der an die Stelle der Datenschutzrichtlinie getretenen Datenschutzgrundverordnung fortbesteht.

Vorinstanzen:

LG Berlin - Urteil vom 28. Oktober 2014 - 16 O 60/13

Kammergericht Berlin - Urteil vom 22. September 2017 - 5 U 155/14

Die maßgebliche Vorschrift lautet:

Verordnung (EU) 2016/679 (Datenschutzgrundverordnung)

Artikel 80 Vertretung von betroffenen Personen

(1) Die betroffene Person hat das Recht, eine Einrichtung, Organisationen oder Vereinigung ohne Gewinnerzielungsabsicht, die ordnungsgemäß nach dem Recht eines Mitgliedstaats gegründet ist, deren satzungsmäßige Ziele im öffentlichem Interesse liegen und die im Bereich des Schutzes der Rechte und Freiheiten von betroffenen Personen in Bezug auf den Schutz ihrer personenbezogenen Daten tätig ist, zu beauftragen, in ihrem Namen eine Beschwerde einzureichen, in ihrem Namen die in den Artikeln 77, 78 und 79 genannten Rechte wahrzunehmen und das Recht auf Schadensersatz gemäß Artikel 82 in Anspruch zu nehmen, sofern dieses im Recht der Mitgliedstaaten vorgesehen ist.

(2) Die Mitgliedstaaten können vorsehen, dass jede der in Absatz 1 des vorliegenden Artikels genannten Einrichtungen, Organisationen oder Vereinigungen unabhängig von einem Auftrag der betroffenen Person in diesem Mitgliedstaat das Recht hat, bei der gemäß Artikel 77 zuständigen Aufsichtsbehörde eine Beschwerde einzulegen und die in den Artikeln 78 und 79 aufgeführten Rechte in Anspruch zu nehmen, wenn ihres Erachtens die Rechte einer betroffenen Person gemäß dieser Verordnung infolge einer Verarbeitung verletzt worden sind.

Artikel 84 Sanktionen

(1) Die Mitgliedstaaten legen die Vorschriften über andere Sanktionen für Verstöße gegen diese Verordnung - insbesondere für Verstöße, die keiner Geldbuße gemäß Artikel 83 unterliegen - fest und treffen alle zu deren Anwendung erforderlichen Maßnahmen. Diese Sanktionen müssen wirksam, verhältnismäßig und abschreckend sein.





VG Gelsenkirchen: Prüfling hat nach DSGVO Anspruch auf Überlassung von Kopien seiner im Rahmen des juristischen Staatsexamens angefertigten Aufsichtsarbeiten mitsamt Prüfergutachten

VG Gelsenkirchen
Urteil vom 27.04.2020
20 K 6392/18


Das VG Gelsenkirchen hat entschieden, dass ein Prüfling nach der DSGVO einen Anspruch auf Überlassung von Kopien seiner im Rahmen des juristischen Staatsexamens angefertigten Aufsichtsarbeiten mitsamt Prüfergutachten hat.

Aus den Entscheidungsgründen:

"b) Der Anspruch des Klägers ergibt sich jedenfalls aus § 5 Abs. 8 Satz 1 des Datenschutzgesetzes Nordrhein-Westfalen (DSG NRW) i.V.m. Art. 15 Abs. 3 und Art. 12 Abs. 5 Satz 1 DS-GVO. Denn nach § 5 Abs. 8 Satz 1 DSG NRW sind auf Verarbeitungen, die „nicht in den Anwendungsbereich des Unionsrechts“ fallen, die Vorschriften der Verordnung (EU) 2016/679 und die Vorschriften des Teils 2 des Datenschutzgesetzes Nordrhein-Westfalen entsprechend anzuwenden, soweit nicht dieser Teil oder andere spezielle Rechtsvorschriften abweichende Regelungen enthalten. Die Voraussetzungen der insoweit jedenfalls entsprechend anzuwendenden Art. 2 Abs. 1, 12 und 15 DS-GVO sind erfüllt (vgl. hierzu unten (1)). Andere spezielle Rechtsvorschriften mit abweichenden Regelungen i.S.d. § 5 Abs. 8 Satz 1 DSG NRW sind nicht vorhanden (vgl. hierzu unten (2)).

(1) Die vom Kläger unter der Kennziffer XXXX/XX im Rahmen des zweiten juristischen Staatsexamens in Nordrhein-Westfalen angefertigten Aufsichtsarbeiten mitsamt Prüfergutachten werden von Art. 2 Abs. 1 DS-GVO erfasst (vgl. hierzu unten (a)). Der daraus resultierende Anspruch gegen das Landesjustizprüfungsamt auf eine unentgeltliche Kopie (vgl. hierzu unten (b)) ist weder durch Art. 15 Abs. 4 DS-GVO (vgl. hierzu unten (c)) noch durch Art. 12 Abs. 5 Satz 2 DS-GVO ausgeschlossen (vgl. hierzu unten (d)). Der Anspruch ist auch nicht durch Rechtsvorschriften der Union oder der Mitgliedstaaten, insbesondere nicht durch Vorschriften des Juristenausbildungsgesetzes, beschränkt i.S.v. Art. 23 DS-GVO (vgl. hierzu unten (e)).

(a) Die Betroffenenrechte aus der Datenschutz-Grundverordnung sind gemäß Art. 2 Abs. 1 DS-GVO vorliegend anwendbar. Danach gilt die Verordnung für die ganz oder teilweise automatisierte Verarbeitung personenbezogener Daten sowie für die nichtautomatisierte Verarbeitung personenbezogener Daten, die in einem Dateisystem gespeichert sind oder gespeichert werden sollen.

Diese tatbestandlichen Anforderungen sind vorliegend gegeben. Bei den Klausuren einschließlich der Korrekturen handelt es sich um „personenbezogene Daten“ des Klägers (vgl. hierzu unten (aa)). Die korrigierten Examensklausuren werden vom Landesjustizprüfungsamt nichtautomatisiert „verarbeitet“ (vgl. unten (bb)) und in einem „Dateisystem“ gespeichert (vgl. unten (cc)).

(aa) Nach der grundlegenden Begriffsbestimmung in Art. 4 Nr. 1 DS-GVO sind „personenbezogene Daten“ alle Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person beziehen; als identifizierbar wird eine natürliche Person angesehen, die direkt oder indirekt, insbesondere mittels Zuordnung zu einer Kennung wie einem Namen, zu einer Kennnummer, zu Standortdaten, zu einer Online-Kennung oder zu einem oder mehreren besonderen Merkmalen identifiziert werden kann, die Ausdruck der physischen, physiologischen, genetischen, psychischen, wirtschaftlichen, kulturellen oder sozialen Identität dieser natürlichen Person sind.

Bereits in seinem Urteil im Fall C-434/16 (Nowak) hat der EuGH – noch mit Blick auf die Begriffsbestimmung in Art. 2 lit. a) der Richtlinie 95/46/EG – ausgeführt, dass die Antworten eines Kandidaten in einer schriftlichen Prüfung und die Kommentare des Prüfers zu diesen Antworten personenbezogene Daten des Prüflings darstellen können und damit u.a. der Auskunftspflicht unterliegen.

Vgl. EuGH, Urteil vom 20. Dezember 2017, Rs. C-434/16 – Nowak, mit Anm. Schütze, EuGH: Definition personenbezogener Daten, ZD-Aktuell 2018, 05926; siehe auch Pauly, Rechtsentwicklungen im Datenschutzrecht 2019, DB Beilage 2019, Nr. 3, 53 (57), der davon ausgeht, dass der EuGH mit seiner Entscheidung dem Betroffenen folglich auch „einen Anspruch auf eine elektronische Kopie seiner Examensklausuren gewährt“ habe.

Die in Art. 2 lit. a) der Richtlinie 95/46/EG enthaltene Begriffsdefinition entspricht im Wesentlichen jener des sie unmittelbar ersetzenden Art. 4 Nr. 1 DS-GVO. Die vom EuGH vorgenommene rechtliche Einordnung ist deshalb und mit Blick auf die maßgeblichen zugrundeliegenden Erwägungen auf die Examensarbeiten des Klägers übertragbar. Demnach sind personenbezogene Daten nicht lediglich sensible oder private Informationen, sondern alle Arten von Informationen, die aufgrund ihres Inhalts, ihres Zwecks oder ihrer Auswirkungen mit einer bestimmten Person verknüpft sind.

Vgl. EuGH, Urteil vom 20. Dezember 2017, Rs. C-434/16 – Nowak, Rn. 34 f.; siehe zur Dreidimensionalität der Personenbezogenheit auch Klabunde, in: Ehmann/Selmayr (Hrsg.), Datenschutz-Grundverordnung, 2. Aufl. 2018, Art. 4 Rn. 11.

Prüfungsarbeiten einschließlich der Korrekturen des Prüfers erfüllen diese Voraussetzung nach Auffassung des EuGH u.a. insoweit, als sie einerseits den Kenntnisstand und das Kompetenzniveau des Prüflings in einem bestimmten Bereich sowie gegebenenfalls seine Gedankengänge, sein Urteilsvermögen und sein kritisches Denken widerspiegeln,

vgl. EuGH, Urteil vom 20. Dezember 2017, Rs. C-434/16 – Nowak, Rn. 37,

und sich andererseits die Verwendung dieser Informationen, die insbesondere im Erfolg oder Scheitern des Prüflings der in Rede stehenden Prüfung zum Ausdruck kommt, auf dessen Rechte und Interessen auswirken, insbesondere seine Chancen, den gewünschten Beruf zu ergreifen oder die gewünschte Anstellung zu erhalten, bestimmen oder beeinflussen kann,

vgl. EuGH, Urteil vom 20. Dezember 2017, Rs. C-434/16 – Nowak, Rn. 39.

All dies trifft auch auf die Examensarbeiten des Klägers zu.

Vgl. ebenso in Bezug auf Bachelor- und Masterarbeiten bereits VG Hamburg, Beweisbeschluss vom 20. März 2020 – 17 K 1312/19 –, juris Rn. 45 f.

Dass dem jeweiligen Korrektor eine Identifizierung während der Korrektur nicht möglich war, ist bei alledem unerheblich.

Vgl. Frank, in: Gola (Hrsg.), Datenschutz-Grundverordnung, 2. Aufl. 2018, Art. 15 Rn. 23.

(bb) Unter „Verarbeitung“ ist nach Art. 4 Nr. 2 DS-GVO jeder mit oder ohne Hilfe automatisierter Verfahren ausgeführte Vorgang oder jede solche Vorgangsreihe im Zusammenhang mit personenbezogenen Daten zu verstehen wie u.a. das Erheben, das Erfassen, die Organisation, das Ordnen oder die Speicherung.

Die Organisation und das Ordnen erfasst dabei den Aufbau einer wie auch immer gearteten Struktur innerhalb der Daten, wobei es keine Rolle spielt, ob diese simpel oder komplex ist.

Vgl. Schild, in: Wolff/Brink (Hrsg.), BeckOK Datenschutzrecht, 31. Edition (Stand: 1. Februar 2020), Art. 4 DS-GVO Rn. 43.

Der Begriff der Speicherung bezeichnet die Überführung des Informationsgehalts personenbezogener Daten in eine verkörperte Form in einer Weise, die es dem Verantwortlichen ermöglicht, die Daten aus dem Datenträger wiederzugewinnen.

Vgl. Herbst, in: Kühling/Buchner (Hrsg.), Datenschutzgrundverordnung / BDSG, 2. Aufl. 2018, Art. 4 Rn. 24.

Das Speichern erfasst somit quasi als Kehrseite der Löschung und Vernichtung deren Unterlassung – auch ohne aktives Tun – schlicht durch weitere Aufbewahrung.

Vgl. Reimer, in: Sydow (Hrsg.), Europäische Datenschutzgrundverordnung, 2. Aufl. 2018, Art. 4 Rn. 61.

Nach § 64 Satz 1 JAG NRW sind die schriftlichen Prüfungsarbeiten des juristischen Staatsexamens einschließlich der Gutachten der Prüfer fünf Jahre, die übrigen Prüfungsunterlagen fünfzig Jahre aufzubewahren. Zu diesem Zweck werden die Klausuren – nach Jahrgängen und Kennziffern geordnet – im Landesjustizprüfungsamt archiviert. Auch nach Abschluss der Prüfung und Bekanntgabe des Prüfungsergebnisses an den Prüfling werden die Daten mithin dort noch vorgehalten. Dieses Aufbewahren personenbezogener Daten in Papierakten unterfällt als Unterfall der Organisation, des Ordnens und auch des Speicherns in einer nicht digitalen Form dem Begriff der Verarbeitung. Diese endet erst mit der endgültigen Löschung der Daten durch Aussonderung und Vernichtung der Akten."


Den Volltext der Entscheidung finden Sie hier: