EuGH-Generalanwalt
Schlussanträge vom 29.09.2023 C-470/21
La Quadrature du Net u. a.
(Personenbezogene Daten und Bekämpfung von Verletzungen der Rechte des geistigen Eigentums)
Der EuGH-Generalanwalt kommt in seinen Schlussanträgen zu dem Ergebnis, dass der Zugriff von Behörden auf mit IP-Adressen verknüpfte Identitätsdaten zur Verfolgung von Urheberrechtsverletzungen im Internet als ultima ratio zulässig ist.
Die Pressemitteilung des EuGH: Generalanwalt Szpunar: die Vorratsspeicherung und der Zugriff auf Identitätsdaten, die mit der verwendeten IP-Adresse verknüpft sind, sollten erlaubt sein, wenn diese Daten den einzigen Anhaltspunkt darstellen, um die Identität von Personen zu ermitteln, die ausschließlich im Internet Urheberrechtsverletzungen begangen haben
Seiner Ansicht nach ist die von der Verwaltungsbehörde für den Schutz der Urheberrechte in Frankreich angewandte Regelung der abgestuften Reaktion mit den Anforderungen des Unionsrechts im Bereich des Schutzes der personenbezogenen Daten vereinbar.
Die heutigen Schlussanträge werden im Rahmen der Wiedereröffnung des Verfahrens in dieser Rechtssache vorgelegt. Auf Betreiben der Großen Kammer hat der Gerichtshof nämlich beschlossen, die Rechtssache an das Plenum zu verweisen und Fragen zu stellen, die in der Sitzung vom 15 und 16. Mai 2023 beantwortet werden sollten.
Der Erste Generalanwalt Maciej Szpunar hat seine Schlussanträge zum ersten Mal am 27. Oktober 2022 vorgelegt (vgl. PM Nr. 172/22).
Die Haute Autorité pour la diffusion des œuvres et la protection des droits sur Internet (Hohe Behörde für die Verbreitung von Werken und den Schutz von Rechten im Internet, Hadopi) hat in Frankreich die Aufgabe, die Wahrung der Eigentumsrechte sicherzustellen. Wird eine Urheberrechtsverletzung eines Internetnutzers entdeckt, richtet die Hadopi eine Empfehlung an Letzteren und trägt ihm auf, keine weitere Verletzung mehr zu begehen, worauf eine neuerliche Warnung im Fall der wiederholten Verletzung erfolgt. Werden die ersten beiden Warnungen missachtet und wird eine dritte Verletzung begangen, kann sich die Hadopi an die zuständige Justizbehörde wenden, um eine Strafverfolgung einzuleiten.
Dieses System der abgestuften Reaktion setzt voraus, dass die Hadopi den Täter ermitteln kann, um ihm diese Empfehlungen zukommen zu lassen. Hierfür wurde im Jahr 2010 ein Dekret erlassen, das der Hadopi erlaubt, sich an die Betreiber elektronischer Kommunikation zu richten, damit Letztere ihr die Identitätsdaten des Nutzers übermitteln, dem die für die Begehung der Straftat verwendete IP-Adresse zugeordnet ist.
Vier Vereinigungen zum Schutz der Rechte und Freiheiten im Internet fechten den Erlass dieses Dekrets gerichtlich an. Der Conseil d’État befragt den Gerichtshof, ob das Sammeln der Identitätsdaten, die IP-Adressen zugeordnet sind, sowie die automatisierte Verarbeitung dieser Daten zur Verhinderung von Verletzungen der Rechte des geistigen Eigentums ohne vorherige Kontrolle durch ein Gericht oder eine Verwaltungsstelle mit dem Unionsrecht vereinbar sind.
In seinen heute vorgelegten Schlussanträgen vertritt der Erste Generalanwalt Maciej Szpunar die Auffassung, dass das Unionsrecht dem nicht entgegensteht, dass die Betreiber elektronischer Kommunikation die IP-Adressen und die entsprechenden Identitätsdaten auf Vorrat zu speichern haben und dass eine Verwaltungsbehörde für den Schutz der Urheberrechte gegen Urheberrechtsverletzungen im Internet darauf Zugriff hat.
Nach Ansicht des Generalanwalts ermöglichen die IP-Adresse, die bürgerliche Identität des Inhabers eines Internetzugangs und die Informationen über das fragliche Werk keine genauen Schlüsse auf das Privatleben der Person, die der Begehung einer Urheberrechtsverletzung verdächtigt wird. Es handelt sich hierbei lediglich um die Offenlegung eines zu einem bestimmten Zeitpunkt abgerufenen Inhalts, der für sich genommen nicht geeignet ist, ein detailliertes Profil der Person zu erstellen, die diesen Inhalt abgerufen hat.
Diese Maßnahme soll dieser Behörde ermöglichen, die Inhaber dieser Adressen, die im Verdacht stehen, für diese Rechtsverletzungen verantwortlich zu sein, zu ermitteln und gegebenenfalls Maßnahmen gegen sie zu ergreifen.
Außerdem ist es nicht erforderlich, dass dieser Zugang einer vorherigen Kontrolle durch ein Gericht oder eine unabhängige Verwaltungsstelle unterliegt. Diese Daten stellen nämlich den einzigen Anhaltspunkt dar, der es ermöglicht, die Identität der Person zu ermitteln, der diese Adresse zugeordnet war, als die Tat begangen wurde.
Er betont, dass es sich nicht um eine Abkehr von der bisherigen Rechtsprechung handelt, sondern um deren pragmatische Weiterentwicklung, wodurch unter besonderen und sehr eng abgegrenzten Umständen eine differenziertere Lösung gefunden werden kann. Seiner Auffassung nach liegt dieser Würdigung ein Ausgleich der verschiedenen einander gegenüberstehenden Interessen entsprechend dem Grundsatz der Verhältnismäßigkeit zugrunde, der eine Verfeinerung der Rechtsprechung des Gerichtshofs zur Vorratsspeicherung von und zum Zugriff auf Daten wie IP-Adressen, die mit Identitätsdaten verknüpft sind, rechtfertigt, um so eine systematische Straflosigkeit der ausschließlich online begangenen Gesetzesverletzungen zu verhindern.
Der BGH hat entschieden, dass ein Versicherungsnehmer keinen Anspruch aus Art. 15 DSGVO gegen eine private Krankenversicherung auf Abschriften von Beitragsanpassungsschreiben hat. Ein solcher Anspruch kann sich aber möglicherweise aus Treu und Glauben (§ 242 BGB) ergeben.
Die Pressemitteilung des BGH: Zum Auskunftsanspruch über frühere Prämienanpassungen in der privaten Krankenversicherung
Der unter anderem für das Versicherungsvertragsrecht zuständige IV. Zivilsenat des Bundesgerichtshofs hat entschieden, dass dem Versicherungsnehmer aus Treu und Glauben ein Auskunftsanspruch über zurückliegende Prämienanpassungen in der privaten Krankenversicherung zustehen kann, wenn er in entschuldbarer Weise über Bestehen und Umfang seines Rechts im Ungewissen ist. Dagegen folgt aus Art. 15 Abs. 1 und 3 der Verordnung (EU) 2016/679 (Datenschutzgrundverordnung - DSGVO) grundsätzlich kein Anspruch auf Abschriften der Begründungsschreiben zu den Prämienanpassungen samt Anlagen.
Sachverhalt und Prozessverlauf:
Der Kläger wendet sich gegen die Wirksamkeit von Prämienanpassungen in seiner privaten Krankenversicherung. Mit der Klage hat er vom beklagten Versicherer unter anderem Auskunft über alle Beitragserhöhungen aus den Jahren 2013 bis 2016 durch Vorlage von Unterlagen verlangt, die Angaben zur Höhe der Beitragserhöhungen unter Benennung der jeweiligen Tarife, die ihm übermittelten Anschreiben mit Begründungen, die Nachträge zum Versicherungsschein sowie die Beiblätter enthalten. Diesen Antrag hat er im Rahmen einer Stufenklage gestellt, mit der er unter anderem die Feststellung, dass die noch genauer zu bezeichnenden Erhöhungen unwirksam seien, und die Zahlung eines nach Erteilung der Auskunft noch zu beziffernden Betrages verlangt hat.
Das Landgericht hat die Klage abgewiesen. Das Berufungsgericht hat das landgerichtliche Urteil zum Teil abgeändert und die Beklagte unter anderem antragsgemäß zur Auskunftserteilung verurteilt. Soweit die Klage Erfolg hatte, richtet sich dagegen die Revision der Beklagten.
Die Entscheidung des Senats:
Der Bundesgerichtshof hat entschieden, dass die Auskunftsklage zulässig ist. Zwar ist das Rechtsschutzbegehren als Stufenklage im Sinne des § 254 Zivilprozessordnung unzulässig, da es dem Kläger nicht um die Bezifferung eines Anspruchs, sondern um die Prüfung geht, ob überhaupt ein Anspruch besteht. Der Auskunftsantrag kann jedoch in eine von der Stufung unabhängige Klage umgedeutet werden. Der Kläger hat auch ein berechtigtes Interesse an der begehrten Auskunft, da er sie benötigt, um zu prüfen, ob vergangene Beitragserhöhungen unwirksam waren und ihm daraus Rückzahlungsansprüche zustehen.
Einem Versicherungsnehmer kann aus Treu und Glauben ein Auskunftsanspruch über zurückliegende Prämienanpassungen zustehen. Dieser Anspruch setzt zunächst voraus, dass ihm noch Rückzahlungsansprüche aufgrund früherer Prämienerhöhungen, falls diese unwirksam gewesen sein sollten, als Grund für das Auskunftsbegehren zustehen könnten. Darüber hinaus ist erforderlich, dass er nicht mehr über die betreffenden Unterlagen verfügt und sich die notwendigen Informationen nicht selbst auf zumutbare Weise verschaffen kann. Wenn dies der Fall ist, ist unter Berücksichtigung der Gründe für diesen Verlust zu entscheiden, ob er in entschuldbarer Weise über sein Recht im Ungewissen ist. Die hierfür maßgebenden Umstände hat der Versicherungsnehmer darzulegen und zu beweisen.
Dagegen folgt ein solcher Auskunftsanspruch grundsätzlich nicht aus Art. 15 Abs. 1, 3 DSGVO. Ein Anspruch auf eine Abschrift der gesamten Begründungsschreiben samt Anlagen lässt sich aus Art. 15 Abs. 1 DSGVO nicht herleiten, da es sich weder bei den Anschreiben selbst noch bei den beigefügten Anlagen jeweils in ihrer Gesamtheit um personenbezogene Daten des Versicherungsnehmers handelt. Aus Art. 15 Abs. 3 DSGVO ergibt sich nur ein Anspruch auf eine Kopie der Daten, zu denen nach Art. 15 Abs. 1 DSGVO Auskunft zu erteilen wäre, aber grundsätzlich kein Anspruch auf Herausgabe von Kopien bestimmter Dokumente. Dazu hat der Gerichtshof der Europäischen Union mit Urteil vom 4. Mai 2023 (C-487/21, NJW 2023, 2253) entschieden, dass Art. 15 Abs. 1 DSGVO den Gegenstand und den Anwendungsbereich des Auskunftsrechts und Art. 15 Abs. 3 DSGVO die praktischen Modalitäten für die Erfüllung der Verpflichtung festlege; daher könne Art. 15 DSGVO nicht so ausgelegt werden, dass er in seinem Abs. 3 Satz 1 ein anderes Recht als das in seinem Abs. 1 vorgesehene gewähre.
Die Revision hatte auf dieser Grundlage zum Teil Erfolg und führte unter anderem zu einer Aufhebung des Berufungsurteils hinsichtlich der Auskunftsklage. Soweit das Berufungsgericht noch nicht alle Voraussetzungen für einen Auskunftsanspruch aus Treu und Glauben geprüft hat, hat der Bundesgerichtshof die Sache zur neuen Verhandlung und Entscheidung an das Berufungsgericht zurückverwiesen, damit es dies nachholen kann.
Vorinstanzen:
OLG Frankfurt am Main - Urteil vom 7. April 2022 - 3 U 266/21
LG Gießen - Urteil vom 31. August 2021 - 2 O 545/20
Wird mit der Klage auf Rechnungslegung oder auf Vorlegung eines Vermögensverzeichnisses oder auf Abgabe einer eidesstattlichen Versicherung die Klage auf Herausgabe desjenigen verbunden, was der Beklagte aus dem zugrunde liegenden Rechtsverhältnis schuldet, so kann die bestimmte Angabe der Leistungen, die der Kläger beansprucht, vorbehalten werden, bis die Rechnung mitgeteilt, das Vermögensverzeichnis vorgelegt oder die eidesstattliche Versicherung abgegeben ist.
(1) Die betroffene Person hat das Recht, von dem Verantwortlichen eine Bestätigung darüber zu verlangen, ob sie betreffende personenbezogene Daten verarbeitet werden; ist dies der Fall, so hat sie ein Recht auf Auskunft über diese personenbezogenen Daten und auf folgende Informationen:
…
(3) 1Der Verantwortliche stellt eine Kopie der personenbezogenen Daten, die Gegenstand der Verarbeitung sind, zur Verfügung. …
Der BGH hat dem EuGH diverse sehr praxisrelevante Fragen zur Auslegung der DSGVO zur Entscheidung vorgelegt. Zunächst geht es um die Frage, unter welchen Voraussetzungen ein Anspruch auf immateriellen Schadensersatz aus Art. 82 DSGVO besteht und welche Kriterien bei der Bemessung der Höhe des Schadens zu berücksichtigen sind. Ferner soll die Streitfrage geklärt werden, ob der Betroffene bei einem DSGVO-Verstoß einen Unterlassungsanspruch hat und ob dieser aus der DSGVO oder anderen Vorschriften außerhalb der DSGVO hergeleitet werden kann.
Die Pressemitteilung des BGH: Bundesgerichtshof legt dem Gerichtshof der Europäischen Union Fragen zum Bestehen eines
unionsrechtlichen Unterlassungsanspruchs und zum Begriff des immateriellen Schadens nach der
Datenschutz-Grundverordnung vor
Der unter anderem für Ansprüche nach der EU-Datenschutz-Grundverordnung zuständige VI. Zivilsenat des Bundesgerichtshofes hat dem Gerichtshof der Europäischen Union Fragen zur Vorabentscheidung zur Auslegung von Bestimmungen der Datenschutz-Grundverordnung (DSGVO) hinsichtlich des Bestehens eines unionsrechtlichen Unterlassungsanspruchs der betroffenen Person, deren personenbezogene Daten von dem Verantwortlichen unrechtmäßig durch Weiterleitung offengelegt wurden, bzw. zu der insoweit bestehenden Möglichkeit eines Rückgriffs auf das nationale Recht und zum Begriff des immateriellen Schadens im Sinne von Art. 82 Abs. 1 DSGVO vorgelegt.
Sachverhalt:
Der Kläger nimmt die Beklagte wegen der Weitergabe persönlicher Daten auf Unterlassung und Ersatz immateriellen Schadens in Anspruch. Er befand sich bei der beklagten Privatbank in einem Bewerbungsprozess, der über ein Online-Portal stattfand. Im Zuge dessen versandte eine Mitarbeiterin der Beklagten über den Messenger-Dienst des Portals eine nur für den Kläger bestimmte Nachricht auch an eine dritte, nicht am Bewerbungsprozess beteiligte Person, die mit dem Kläger vor einiger Zeit in derselben Holding gearbeitet hatte und ihn deshalb kannte. In der Nachricht wird unter anderem mitgeteilt, dass die Beklagte die Gehaltsvorstellungen des Klägers nicht erfüllen könne.
Der Kläger macht geltend, sein - immaterieller - Schaden liege nicht im abstrakten Kontrollverlust über die offenbarten Daten, sondern darin, dass nunmehr mindestens eine weitere Person, die den Kläger und potentielle wie ehemalige Arbeitgeber kenne, über Umstände Kenntnis habe, die der Diskretion unterlägen. Es sei zu befürchten, dass der in der gleichen Branche tätige Dritte die in der Nachricht enthaltenen Daten weitergegeben habe oder sich durch ihre Kenntnis als Konkurrent auf etwaige Stellen im Bewerbungsprozess einen Vorteil habe verschaffen können. Zudem empfinde er das "Unterliegen" in den Gehaltsverhandlungen als Schmach, die er nicht an Dritte - vor allem nicht an potentielle Konkurrenten - weitergegeben hätte.
Bisheriger Prozessverlauf:
Das Landgericht hat der Klage teilweise stattgegeben, die Beklagte antragsgemäß zur Unterlassung verurteilt und dem Kläger, der immateriellen Schadensersatz von mindestens 2.500 € fordert, einen Betrag in Höhe von 1.000 € zuerkannt. Auf die Berufung der Beklagten hat das Oberlandesgericht das Urteil des Landgerichts hinsichtlich des geltend gemachten Anspruchs auf immateriellen Schadensersatz abgeändert und die Klage insoweit abgewiesen. Dagegen wendet sich der Kläger mit seiner vom Berufungsgericht zugelassenen Revision, mit der er seine Ansprüche in vollem Umfang weiterverfolgt. Die Beklagte begehrt mit ihrer Revision die vollständige Abweisung der Klage.
Entscheidung des Bundesgerichtshofs:
Der Bundesgerichtshof hat das Verfahren ausgesetzt und dem Gerichtshof der Europäischen Union zur Auslegung der Datenschutz-Grundverordnung (DSGVO) folgende Fragen zur Vorabentscheidung vorgelegt:
1. a)Ist Art. 17 DSGVO dahingehend auszulegen, dass der betroffenen Person, deren personenbezogene Daten von dem Verantwortlichen unrechtmäßig durch Weiterleitung offengelegt wurden, ein Anspruch gegen den Verantwortlichen auf Unterlassung einer erneuten unrechtmäßigen Weiterleitung dieser Daten zusteht, wenn sie vom Verantwortlichen keine Löschung der Daten verlangt?
b)Kann sich ein solcher Unterlassungsanspruch (auch) aus Art. 18 DSGVO oder einer sonstigen Bestimmung der DSGVO ergeben?
2. Falls Fragen 1a) und/oder 1b) bejaht werden:
a)Besteht der unionsrechtliche Unterlassungsanspruch nur dann, wenn künftig weitere Beeinträchtigungen der sich aus der DSGVO ergebenden Rechte der betroffenen Person zu besorgen sind (Wiederholungsgefahr)?
b)Wird das Bestehen der Wiederholungsgefahr gegebenenfalls aufgrund des bereits vorliegenden Verstoßes gegen die DSGVO vermutet?
3.Falls Fragen 1a) und 1b) verneint werden:
Sind Art. 84 i.V.m. Art. 79 DSGVO dahingehend auszulegen, dass sie es dem nationalen Richter erlauben, der betroffenen Person, deren personenbezogene Daten von dem Verantwortlichen unrechtmäßig durch Weiterleitung offengelegt wurden, neben dem Ersatz des materiellen oder immateriellen Schadens nach Art. 82 DSGVO und den sich aus Art. 17 und Art. 18 DSGVO ergebenden Ansprüchen einen Anspruch gegen den Verantwortlichen auf Unterlassung einer erneuten unrechtmäßigen Weiterleitung dieser Daten nach den Bestimmungen des nationalen Rechts zuzusprechen?
4.Ist Art. 82 Abs. 1 DSGVO dahingehend auszulegen, dass für die Annahme eines immateriellen Schadens im Sinne dieser Bestimmung bloße negative Gefühle wie z.B. Ärger, Unmut, Unzufriedenheit, Sorge und Angst, die an sich Teil des allgemeinen Lebensrisikos und oft des täglichen Erlebens sind, genügen? Oder ist für die Annahme eines Schadens ein über diese Gefühle hinausgehender Nachteil für die betroffene natürliche Person erforderlich?
5.Ist Art. 82 Abs. 1 DSGVO dahingehend auszulegen, dass bei der Bemessung der Höhe des zu ersetzenden immateriellen Schadens der Grad des Verschuldens des Verantwortlichen oder Auftragsverarbeiters bzw. seiner Mitarbeiter ein relevantes Kriterium darstellt?
6.Falls Fragen 1a), 1b) oder 3 bejaht werden:
Ist Art. 82 Abs. 1 DSGVO dahingehend auszulegen, dass bei der Bemessung der Höhe des zu ersetzenden immateriellen Schadens als anspruchsmindernd berücksichtigt werden kann, dass der betroffenen Person neben dem Anspruch auf Schadensersatz ein Unterlassungsanspruch zusteht?
Vorinstanzen:
LG Darmstadt - Urteil vom 26. Mai 2020 - 13 O 244/19
OLG Frankfurt am Main - Urteil vom 2. März 2022 - 13 U 206/20
(1) Die betroffene Person hat das Recht, von dem Verantwortlichen zu verlangen, dass sie betreffende personenbezogene Daten unverzüglich gelöscht werden, und der Verantwortliche ist verpflichtet, personenbezogene Daten unverzüglich zu löschen, sofern einer der folgenden Gründe zutrifft:
a)
Die personenbezogenen Daten sind für die Zwecke, für die sie erhoben oder auf sonstige Weise verarbeitet wurden, nicht mehr notwendig.
b)
Die betroffene Person widerruft ihre Einwilligung, auf die sich die Verarbeitung gemäß Artikel 6 Absatz 1 Buchstabe a oder Artikel 9 Absatz 2 Buchstabe a stützte, und es fehlt an einer anderweitigen Rechtsgrundlage für die Verarbeitung.
c)
Die betroffene Person legt gemäß Artikel 21 Absatz 1 Widerspruch gegen die Verarbeitung ein und es liegen keine vorrangigen berechtigten Gründe für die Verarbeitung vor, oder die betroffene Person legt gemäß Artikel 21 Absatz 2 Widerspruch gegen die Verarbeitung ein.
d)
Die personenbezogenen Daten wurden unrechtmäßig verarbeitet.
e)
Die Löschung der personenbezogenen Daten ist zur Erfüllung einer rechtlichen Verpflichtung nach dem Unionsrecht oder dem Recht der Mitgliedstaaten erforderlich, dem der Verantwortliche unterliegt.
f)
Die personenbezogenen Daten wurden in Bezug auf angebotene Dienste der Informationsgesellschaft gemäß Artikel 8 Absatz 1 erhoben.
(2) Hat der Verantwortliche die personenbezogenen Daten öffentlich gemacht und ist er gemäß Absatz 1 zu deren Löschung verpflichtet, so trifft er unter Berücksichtigung der verfügbaren Technologie und der Implementierungskosten angemessene Maßnahmen, auch technischer Art, um für die Datenverarbeitung Verantwortliche, die die personenbezogenen Daten verarbeiten, darüber zu informieren, dass eine betroffene Person von ihnen die Löschung aller Links zu diesen personenbezogenen Daten oder von Kopien oder Replikationen dieser personenbezogenen Daten verlangt hat.
(3) Die Absätze 1 und 2 gelten nicht, soweit die Verarbeitung erforderlich ist
a)
zur Ausübung des Rechts auf freie Meinungsäußerung und Information;
b)
zur Erfüllung einer rechtlichen Verpflichtung, die die Verarbeitung nach dem Recht der Union oder der Mitgliedstaaten, dem der Verantwortliche unterliegt, erfordert, oder zur Wahrnehmung einer Aufgabe, die im öffentlichen Interesse liegt oder in Ausübung öffentlicher Gewalt erfolgt, die dem Verantwortlichen übertragen wurde;
c)
aus Gründen des öffentlichen Interesses im Bereich der öffentlichen Gesundheit gemäß Artikel 9 Absatz 2 Buchstaben h und i sowie Artikel 9 Absatz 3;
d)
für im öffentlichen Interesse liegende Archivzwecke, wissenschaftliche oder historische Forschungszwecke oder für statistische Zwecke gemäß Artikel 89 Absatz 1, soweit das in Absatz 1 genannte Recht voraussichtlich die Verwirklichung der Ziele dieser Verarbeitung unmöglich macht oder ernsthaft beeinträchtigt, oder
e)
zur Geltendmachung, Ausübung oder Verteidigung von Rechtsansprüchen.
(1) Die betroffene Person hat das Recht, von dem Verantwortlichen die Einschränkung der Verarbeitung zu verlangen, wenn eine der folgenden Voraussetzungen gegeben ist:
a)
die Richtigkeit der personenbezogenen Daten von der betroffenen Person bestritten wird, und zwar für eine Dauer, die es dem Verantwortlichen ermöglicht, die Richtigkeit der personenbezogenen Daten zu überprüfen,
b)
die Verarbeitung unrechtmäßig ist und die betroffene Person die Löschung der personenbezogenen Daten ablehnt und stattdessen die Einschränkung der Nutzung der personenbezogenen Daten verlangt;
c)
der Verantwortliche die personenbezogenen Daten für die Zwecke der Verarbeitung nicht länger benötigt, die betroffene Person sie jedoch zur Geltendmachung, Ausübung oder Verteidigung von Rechtsansprüchen benötigt, oder
d)
die betroffene Person Widerspruch gegen die Verarbeitung gemäß Artikel 21 Absatz 1 eingelegt hat, solange noch nicht feststeht, ob die berechtigten Gründe des Verantwortlichen gegenüber denen der betroffenen Person überwiegen.
(2) Wurde die Verarbeitung gemäß Absatz 1 eingeschränkt, so dürfen diese personenbezogenen Daten - von ihrer Speicherung abgesehen - nur mit Einwilligung der betroffenen Person oder zur Geltendmachung, Ausübung oder Verteidigung von Rechtsansprüchen oder zum Schutz der Rechte einer anderen natürlichen oder juristischen Person oder aus Gründen eines wichtigen öffentlichen Interesses der Union oder eines Mitgliedstaats verarbeitet werden.
Recht auf wirksamen gerichtlichen Rechtsbehelf gegen Verantwortliche
oder Auftragsverarbeiter
(1) Jede betroffene Person hat unbeschadet eines verfügbaren verwaltungsrechtlichen oder außergerichtlichen Rechtsbehelfs einschließlich des Rechts auf Beschwerde bei einer Aufsichtsbehörde gemäß Artikel 77 das Recht auf einen wirksamen gerichtlichen Rechtsbehelf, wenn sie der Ansicht ist, dass die ihr aufgrund dieser Verordnung zustehenden Rechte infolge einer nicht im Einklang mit dieser Verordnung stehenden Verarbeitung ihrer personenbezogenen Daten verletzt wurden.
(1) Jede Person, der wegen eines Verstoßes gegen diese Verordnung ein materieller oder immaterieller Schaden entstanden ist, hat Anspruch auf Schadenersatz gegen den Verantwortlichen oder gegen den Auftragsverarbeiter.
(1) Die Mitgliedstaaten legen die Vorschriften über andere Sanktionen für Verstöße gegen diese Verordnung - insbesondere für Verstöße, die keiner Geldbuße gemäß Artikel 83 unterliegen - fest und treffen alle zu deren Anwendung erforderlichen Maßnahmen. Diese Sanktionen müssen wirksam, verhältnismäßig und abschreckend sein.
Das LG Bielefeld hat entschieden, dass dem Betroffene kein Anspruch auf immateriellen Schadensersatz aus Art. 82 DSGVO wegen des Kopierens des Personalausweises durch eine Arztpraxis zusteht, da keine spürbare Beeinträchtigung vorliegt.
Aus den Entscheidungsgründen: II. Zudem hat die Klägerin gegen die Beklagte auch keinen Anspruch auf Zahlung eines immateriellen Schadensersatzes aus Art. 82 Abs. 1 DSGVO oder einer anderen denkbaren Anspruchsgrundlage wegen des Kopierens ihres Personalausweises in der Praxis der Beklagten. Denn jedenfalls fehlt es am Eintritt eines immateriellen Schadens.
Nach Art. 82 Abs. 1 DSGVO hat jede Person, der wegen eines Verstoßes gegen diese Verordnung ein materieller oder immaterieller Schaden entstanden ist, Anspruch auf Schadensersatz gegen den Verantwortlichen oder gegen den Auftragsverarbeiter. Dabei ist umstritten, unter welchen Voraussetzungen ein ersatzfähiger immaterieller Schadensersatz entsteht und sodann gewährt werden kann (eine Zusammenfassung in Korch NJW 2021, 978).
Das Merkmal des immateriellen Schadens ist autonom auszulegen (für alle: Kühling/Buchner/Bergt, DS-GVO BDSG, 3. Aufl. 2020, Art. 82 Rn. 17 ff.). Der Erwägungsgrund 146 (und in diesem S. 3) zur DSGVO sieht vor, dass der Begriff des Schadens im Lichte der Rechtsprechung des Gerichtshofs weit auf eine Art und Weise ausgelegt werden soll, die den Zielen dieser Verordnung in vollem Umfang entspricht. Erwägungsgrund 75 zur DSGVO nennt etwa Identitätsdiebstahl, finanzielle Verluste, Rufschädigung oder den Verlust der Kontrolle personenbezogener Daten. Ein deutsches Verständnis zum Begriff des Schadens – etwa eine enge Auslegung – ist mithin nicht angezeigt (vgl. dazu BVerfG 14.1.2021, 1 BvR 2853/19, NJW 2021, 1005, 1007). Eine Erheblichkeitsschwelle für das Vorliegen eines solchen Schadens ergibt sich gerade nicht aus der DSGVO. Bagatellschäden sind nicht auszuschließen. Zu verlangen ist aber jedenfalls, dass ein konkreter immaterieller Schaden auch tatsächlich eingetreten („entstanden“) ist (OLG Frankfurt a.M. 2.3.2022, 13 U 206/20, GRUR-RS 2022, 4491 Rn. 61 ff.; LG Essen 10.11.2022, 6 O 111/22, GRUR-RS 2022, 34818 Rn. 75; LG Gießen 3.11.2022, 5 O 195/22, GRUR-RS 2022, 30480 Rn. 18). Diesen muss die Klägerin darlegen und ggf. beweisen (s. OLG Frankfurt a.M., Urteil vom 2.3.2022, 13 U 206/20, GRUR-RS 2022, 4491 Rn. 57, 65; Kühling/Buchner/Bergt, DS-GVO BDSG, 3. Aufl. 2020, Art. 82 Rn. 20 mwN). Auch und gerade unter Berücksichtigung eines weiten Verständnisses des immateriellen Schadens, das ausdrücklich auch Bagatellschäden einschließt, vermochte die Kammer jedoch nicht zu erkennen, dass die Klägerin einen solchen Schaden tatsächlich erlitten hat.
Die in den Schriftsätzen formelhaft beschriebenen Ängste und Sorgen, das Unwohlsein sowie die Verunsicherung der Klägerin haben sich in der persönlichen Anhörung im Rahmen der mündlichen Verhandlung nicht bestätigt. Die Klägerin hat im Rahmen ihrer persönlichen Anhörung ausgeführt, dass sie im Wesentlichen die Unsicherheit, was mit ihren Eizellen passiert sei und/oder passieren könne, umtreibe. Hinzu komme die Problematik mit dem Datenschutz, man höre und lese immer wieder, dass medizinische Daten nicht sicher verwahrt und Krankenunterlagen beispielsweise – ohne sie zu vernichten – im Müll entsorgt werden würden. Die Klägerin wolle auf keinen Fall, dass ihr Name im Zusammenhang mit der Entnahme von Eizellen bekannt werde. Der Hauptpunkt, der sie umtreiben würde und sie gelegentlich am Einschlafen hindere, sei aber die Unsicherheit, was mit ihren Eizellen sei. Sie habe als Nebenpunkt dann von ihrem Anwalt erfahren, dass in der Praxis der Beklagten keine Kopie ihres Personalausweises hätte gemacht werden dürfen. Aus den Ausführungen der Klägerin ist somit zu entnehmen, dass die Sorgen und Ängste der Klägerin, die die Klägerin in ihrer Klageschrift vorgetragen und behauptet hat, nicht durch das Kopieren ihres Personalausweises ausgelöst worden sind, sondern vielmehr durch die Auslagerung und den Transport ihrer Eizellen, da sie insoweit eine Unsicherheit hinsichtlich des Zustandes und des Verbleibs ihrer Eizellen verspürt. Dies folgt insbesondere auch aus den Angaben der Klägerin im Rahmen ihrer persönlichen Anhörung, wonach sie erstmals von ihrem Anwalt erfahren habe, dass eine Kopie ihres Personalausweises in der Praxis nicht habe gemacht werden dürfen. Somit war Anlass der Klägerin für das Aufsuchen ihres Prozessbevollmächtigten nicht das Kopieren des Personalausweises in der Praxis der Beklagten, sondern vielmehr die Auslagerung der Eizellen. Die Sorgen im Hinblick auf das Kopieren des Personalausweises sind allenfalls erst bei der anwaltlichen Beratung aufgekommen und nicht schon bei oder nach Kenntnis davon, dass eine Kopie ihres Personalausweises angefertigt wurde.
Nach alledem liegt eine auf das Kopieren des Personalausweises zurückzuführende spürbare Beeinträchtigung der Klägerin nicht vor.
Das OLG München hat entschieden, dass eine Datenschutzerklärung als Sprachwerk nach § 2 Abs. 1 Nr. 1, Abs. 2 UrhG urheberrechtlich geschützt sein kann.
Aus den Entscheidungsgründen: b) So verhält es sich hier. Während alle übrigen Voraussetzungen für den Unterlassungsanspruch nach § 97 UrhG nach summarischer Prüfung zu Beginn des Verfahrens vorgelegen haben (dazu aa bis dd), kann die Frage der Aktivlegitimation der Klägerin im Rahmen der Kostenentscheidung nach § 91a ZPO nicht abschließend beurteilt werden, da diese von Fragen des österreichischen Rechts abhängt (dazu ee).
aa) Vom Vorliegen eines urheberrechtlich geschützten Werks nach § 2 Abs. 1 Nr. 1, Abs. 2 UrhG kann nach summarischer Prüfung ausgegangen werden.
Hinsichtlich des rechtlichen Maßstabs hat die Klägerin im erstinstanzlichen Verfahren unter Verweis auf die Entscheidung des KG vom 11.05.2011 – 24 U 28/11 (GRUR-RS 2011, 14067) ausgeführt, bei Schriftwerken der infrage stehenden Art erfordere die Urheberrechtsschutzfähigkeit ein deutliches Überragen des Alltäglichen, des Handwerksmäßigen, der mechanisch-technischen Aneinanderreihung des Materials. Das KG stützt sich hierbei auf die (älteren) Entscheidungen des BGH „Bedingungsanleitung“ (GRUR 1993, 34) und „Anwaltsschriftsatz“ (BGH GRUR 1986, 739). Zwar hat der BGH diese Rechtsprechung – soweit ersichtlich – in der Folge nie ausdrücklich aufgegeben. Gleichwohl hat er in späteren Entscheidungen an diesem strengen Prüfungsmaßstab ersichtlich nicht festgehalten (vgl. etwa BGH, GRUR 2002, 958 – Technische Lieferbedingungen). Auch die Entscheidung „Geburtstagszug“ (BGH, 2014, 175) spricht dafür, dass der BGH für jegliche Arten von Werken einen einheitlichen – niederschwelligen – Prüfungsmaßstab anlegen möchte, wonach auch die „kleine Münze“ stets geschützt ist (vgl. zum Ganzen ausführlich auch: Nordemann, in: Loewenheim, UrhR-HdB, 3. Aufl., § 9 Die Werkarten Rn. 18 ff.).
Gemessen hieran kann das Vorliegen eines urheberrechtlich geschützten Werks vorliegend nicht verneint werden. Der Senat schließt sich insoweit nach summarischer Prüfung den Ausführungen des Landgerichts (LGU S. 2 ff. unter b) an. Soweit die Beschwerde geltend macht, das Landgericht habe keine Subsumtion vorgenommen, sondern bloße Behauptungen aufgestellt, kann dem nicht gefolgt werden. Die Ausführungen des Landgerichts sind im Zusammenhang mit dem Vortrag der Parteien, insbesondere demjenigen im Schriftsatz der Beklagtenseite vom 14.02.2022 (S. 20 ff. und 31 ff.) zu sehen. Dem Leser, der mit dem Verfahrensstoff vertraut ist, erschließt sich daher ohne Weiteres, was mit den Ausführungen des Landgerichts jeweils konkret gemeint ist.
Die Werkqualität kann auch nicht mit dem Argument der Klägerin in der Beschwerdebegründung verneint werden, sofern die Klägerin stets betont habe, sie habe die Texte in leicht verständlicher Art verfasst, komme die Klägerin damit nur dem aus Art. 13 Abs. 1 DSGVO (sic, gemeint wohl Art. 12 Abs. 1 Satz 1 DSGVO) folgenden Gebot nach. Zum einen handelt es sich bei der verständlichen sprachlichen Umsetzung nur um ein zusätzliches Kriterium neben der Art der Sammlung, Auswahl, Einteilung und Anordnung des Stoffs (vgl. BGH, GRUR 2002, 958 – Technische Lieferbedingungen). Zum anderen schließt die Erfüllung dieser gesetzlichen Anforderungen es nicht aus, dass darin zugleich eine persönliche geistige Schöpfung im Sinne von § 2 Abs. 2 UrhG liegt, zumal Art. 12 Abs. 1 Satz 1 DSGVO nur eine Zielvorgabe enthält, dem datenschutzrechtlich Verantwortlichen aber nicht vorgibt, wie er dieses Ziel konkret zu erreichen hat, so dass diesem hierbei ein erheblicher Gestaltungsspielraum verbleibt.
bb) Das Landgericht hat ferner zu Recht eine Verletzungshandlung im Inland und insoweit die Anwendbarkeit des deutschen Rechts bejaht (LGU S. 4 unter c), was von der Beschwerde auch nicht angegriffen wird.
cc) Auch soweit das Landgericht angenommen hat, dass dem Beklagten kein Nutzungsrecht zustand, ist dem nach summarischer Prüfung zu folgen. Auf die ausführlichen und überzeugenden Ausführungen des Landgerichts zu diesem Punkt (S. 4 f. unter d), welchen sich der Senat anschließt, wird Bezug genommen.
Insbesondere kann nicht angenommen werden, dass Ziff. 10 der AGB von einem objektiven Empfänger so verstanden werden konnte, dass die kostenlose Nutzung ohne Quellverweis und Link (ebenfalls) berechtigt erfolgt, die Klägerin in diesem Fall aber (nur) einen einklagbaren vertraglichen Anspruch auf Anbringung eines Quellverweises und Links erwirbt und einen vertraglichen Schadensersatzanspruch bei Nichterfüllung dieser schuldrechtlichen Verpflichtung. Vielmehr konnte ein objektiver Empfänger die entsprechende Klausel nur so verstehen, dass die Nutzung ohne Quellverweis und Link nicht erlaubt ist, eine solche Nutzung also rechtswidrig erfolgt, und deshalb (gesetzliche) Schadensersatzansprüche nach sich ziehen kann. Dass der hier inmitten stehende Unterlassungsanspruch dabei nicht ebenfalls ausdrücklich genannt wurde, ist unschädlich, da sich dieser aus dem Gesetz ergibt und sein Entstehen nicht von einem vorherigen Hinweis durch den Rechtsinhaber abhängig ist.
dd) Zum Zeitpunkt der Einreichung bzw. Erhebung der Klage lag auch die erforderliche Wiederholungsgefahr nach § 97 Abs. 1 Satz 1 UrhG vor, da der Beklagte zu diesem Zeitpunkt noch keine strafbewehrte Unterlassungserklärung abgegeben hatte.
ee) Nicht abschließend beurteilt werden kann im Rahmen der Entscheidung nach § 91a ZPO indessen die Frage der Aktivlegitimation.
(1) Auf die Vermutung nach § 10 Abs. 3 Satz 1 UrhG kann sich die Klägerin hierbei nach summarischer Prüfung nicht stützen. Selbst wenn man hinsichtlich der Üblichkeit der inhaltlichen Gestaltung der Angabe einen großzügigen Maßstab anlegt (vgl. Thum, in: Wandtke/Bullinger, UrhR, 6. Aufl., UrhG § 10 Rn. 26), geht aus der Angabe „Quelle: Erstellt mit dem Datenschutz Generator von A in Kooperation mit …“, auf die sich der Beklagte für die Vermutungswirkung beruft, inhaltlich nicht mit der hinreichenden Klarheit die Aussage hervor, dass die Klägerin Inhaberin eines ausschließlichen Nutzungsrechts an den streitgegenständlichen Texten ist (vgl. zu den betreffenden Anforderungen im Einzelnen: Thum, in: Wandtke/Bullinger, a.a.O., § 10 Rn. 115 ff.).
Nachdem somit die Vermutung nach § 10 Abs. 3 UrhG nicht greift, trägt hinsichtlich der materiellen Anspruchsberechtigung grundsätzlich die Klägerin als Anspruchstellerin die Darlegungs- und Beweislast.
(2) Die Klägerin hat vorgetragen, die Texte seien von ihrem Geschäftsführer Herrn O erstellt worden. Nach dessen eigenen Angaben in der mündlichen Verhandlung vor dem Landgericht am 06.07.2022 ist allerdings nicht ausgeschlossen, dass zum hier maßgeblichen Zeitpunkt auch Herr G bereits inhaltlich an den Texten mitgearbeitet hatte. Herr O hat jedoch weiter ausgeführt, es gebe nur ihn und Herrn G. Nur sie beide würden an den Texten arbeiten.
Hierin ist ein hinreichend substanziierter Sachvortrag der Klägerin für eine Urheberschaft des Herrn O und – nicht ausschließbar – eine Miturheberschaft des Herrn G zu sehen. Insoweit unterscheidet sich der Streitfall auch von der Konstellation in der von der Beklagtenseite zitierten Entscheidung des OLG Düsseldorf vom 02.06.2022 – 20 U 293/20 (GRUR-RS 2022, 17241), da dort – anders als hier – auf Grund des unstreitigen Vortrags beider Parteien weitere Personen, nämlich die ehrenamtlichen Ausschussmitglieder, konkret als Miturheber in Betracht kamen, welche der dortige Kläger nicht näher benannt hatte.
Wird die Urheberschaft bestimmter Personen – wie hier – substanziiert behauptet, genügt es jedoch nicht, sie mit Nichtwissen (oder einfach) zu bestreiten, sondern der Verletzer muss substanziiert darlegen, wer weshalb Urheber sein soll (OLG Köln, NJW-RR 2016, 165 Rn. 23; Thum, in: Wandtke/Bullinger, a.a.O., UrhG § 7 Rn. 45, Loewenheim/Peifer, in: Schricker/Loewenheim, UrhR, 6. Aufl., UrhG § 10 Rn. 1; vgl. auch OLG Hamm, Urt. v. 24.06.2008 – 4 U 25/08, BeckRS 2009, 6891). Ein solches substanziiertes Bestreiten des Beklagten ist vorliegend nicht erkennbar.
Die Irische Datenschutzbehörde hat ein Bußgeld in Höhe von 345 Millionen EURO gegen TikTok wegen diverser Verstöße gegen die DSGVO verhängt.
Die Pressemitteilung der Irish Data Protection Commission: Irish Data Protection Commission announces €345 million fine of TikTok
The Data Protection Commission (DPC) adopted its final decision regarding its inquiry into TikTok Technology Limited (TTL) on 1 September 2023.
This own-volition inquiry sought to examine the extent to which, during the period between 31 July 2020 and 31 December 2020 (the Relevant Period), TTL complied with its obligations under the GDPR in relation to its processing of personal data relating to child users of the TikTok platform in the context of:
Certain TikTok platform settings, including public-by-default settings as well as the settings associated with the ‘Family Pairing’ feature; and
Age verification as part of the registration process.
As part of the inquiry, the DPC also examined certain of TTL’s transparency obligations, including the extent of information provided to child users in relation to default settings.
At the conclusion of its investigation, the DPC submitted a draft decision to all Supervisory Authorities Concerned (CSAs), for the purpose of Article 60(3) GDPR, on 13 September 2022. The DPC’s draft decision proposed findings of infringement of Articles 5(1)(c), 5(1)(f), 24(1), 25(1), 25(2), 12(1) and 13(1)(e) GDPR, in relation to the above processing. While there was broad consensus on the DPC’s proposed findings, objections to the draft decision were raised by the Supervisory Authorities (each an SA, collectively SAs) of Italy and Berlin (acting on behalf of itself and the Baden-Württemberg SA).
The objection raised by the Berlin SA sought the inclusion of an additional finding of infringement of the Article 5(1)(a) GDPR principle of fairness as regards ‘dark patterns’ while the objection raised by the Italian SA sought to reverse the DPC’s proposed finding of compliance with Article 25 GDPR, as regards TTL’s approach to age verification during the Relevant Period. The DPC was unable to reach consensus with the CSAs on the subject-matter of the objections and, in the circumstances, decided to refer the objections to the EDPB for determination pursuant to the Article 65 GDPR dispute resolution mechanism.
The European Data Protection Board adopted its binding decision on the subject matter of the objections on 2 August 2023 with a direction that the DPC must amend its draft decision to include a new finding of infringement of the Article 5(1)(a) GDPR principle of fairness, further to the objection raised by the Berlin SA, and to extend the scope of the existing order to bring processing into compliance, to include reference to the remedial work required to address this new finding of infringement.
The DPC’s decision, which was adopted on 1 September 2023, records findings of infringement of Articles 5(1)(c), 5(1)(f), 24(1), 25(1), 25(2), 12(1), 13(1)(e) and 5(1)(a) GDPR. The decision further exercises the following corrective powers:
A reprimand;
An order requiring TTL to bring its processing into compliance by taking the action specified within a period of three months from the date on which the DPC’s decision is notified to TTL; and
Administrative fines totalling €345 million.
For more information, the EDPB has published the Article 65 decision and the final decision on its website.
LAG Baden-Württemberg
Urteil vom 27.7.2023 3 Sa 33/22
Das LAG Baden-Württemberg hat entschieden, dass ein ehemaliger Arbeitnehmer einen Anspruch auf Schadensersatz gegen seinen ehemaligen Arbeitgeber in Höhe von 10.000 EURO aus Art. 82 DSGVO wegen der unautorisierten Verwendung von Video- und Fotoaufnahmen hat..
Aus den Entscheidungsgründen: Auf die Berufung des Klägers waren diesem wegen der unautorisierten Verwendung ihn betreffenden Bildmaterials in Video- und Fotoaufnahmen nicht nur 3.000,00 EUR, sondern 10.000,00 EUR als Schadensersatz zuzusprechen.
1. Wegen der Verpflichtung der Beklagten dem Grunde nach zur Zahlung von Schadensersatz wegen Verstoßes gegen Art. 17 Abs. 3 Satz 1 i.V.m. Art. 82 Abs. 1 DSGVO bzw. zur Zahlung einer Geldentschädigung wegen Verletzung des Persönlichkeitsrechts des Klägers durch die Nutzung von Film- und Fotoaufnahmen, die den Kläger erkennbar über längeren Zeitraum zeigen, kann zunächst auf die Ausführungen des Arbeitsgerichts unter II. 2. lit. b der Entscheidungsgründe seines Urteils (Bl. 214 bis 217 d. ArbG-Akte) verwiesen werden. Die hiergegen gerichteten Einwände der Beklagten in ihrer Berufungsbegründung liegen neben der Sache.
Wenn die Beklagte ausführt, dass „zwischen den Parteien abgestimmt gewesen“ sei, dass die Beklagte das Schulungsvideo auch nach Ausscheiden des Klägers vollumfänglich mit dem Bild des Klägers weiter nutzen könne, so ist nicht ansatzweise ersichtlich, wer - bei der Beklagten handelt es sich um eine juristische Person - mit wem wann welche konkrete Regelung vereinbart haben soll. Der Kläger hat eine entsprechende Abrede bestritten.
Auch wenn der Kläger im Zeitpunkt des Anfertigens des Bildmaterials hiermit und mit der Verwertung des Bildmaterials zu Werbezwecken für die Beklagte einverstanden war, so bedeutet dies nicht, dass dieses Einverständnis über den Zeitpunkt seines Ausscheidens bei der Beklagten hinaus fortbestand, zumal der Kläger in unmittelbarem zeitlichen Anschluss in vergleichbarer Position bei einem Wettbewerber tätig wurde. Vielmehr hätte die Beklagte sämtliche Bildnisse des Klägers von sich aus spätestens im Zeitpunkt des Ausscheidens des Klägers aus ihren Werbemedien entfernen müssen (vgl. ArbG Neuruppin 14. Dezember 2021 - 2 Ca 554/21 - ZD 2022, 396). Dies hat die Beklagte jedoch nicht getan, sondern in der Folgezeit ein das Persönlichkeitsrecht des Klägers in erheblichem Maße beeinträchtigendes Verhalten an den Tag gelegt.
a) Im Ansatz zu Recht gibt die Beklagte an, dass nicht jedwede Verletzung des allgemeinen Persönlichkeitsrechts, also auch nicht jede Verletzung des Rechts am eigenen Bild, einen Anspruch des Betroffenen auf eine Geldentschädigung gegen den Urheber auslöst (BGH 12. Dezember 1995 - VI ZR 223/94 - NJW 1996, 984). Erforderlich ist vielmehr eine Bewertung aufgrund der gesamten Umstände des Einzelfalles. Hierbei sind insbesondere die Bedeutung und Tragweite des Eingriffs, also das Ausmaß der Verbreitung der Veröffentlichung, die Nachhaltigkeit und Fortdauer der Interessen- oder Rufschädigung des Verletzten, ferner Anlass und Beweggrund des Handelnden sowie der Grad seines Verschuldens zu berücksichtigen. Bei Verletzungen des Rechts am eigenen Bild sind im Regelfall geringere Anforderungen an die Zusprechung einer Geldentschädigung zu stellen, da die Rechtsverletzung, anders als bei das Persönlichkeitsrecht beeinträchtigenden Äußerungen, regelmäßig nicht mehr rückgängig gemacht werden kann (BGH 17. Dezember 2013 - VI ZR 211/12 - BGHZ 199, 237). Bei dieser Entschädigung steht regelmäßig der Gesichtspunkt der Genugtuung des Opfers im Vordergrund. Außerdem soll sie der Prävention dienen.
Im vorliegenden Fall liegt eine erhebliche Beeinträchtigung des Persönlichkeitsrechts des Klägers vor. Auch wenn dieser zunächst mit der Anfertigung von Bildnissen einverstanden war und diese möglicherweise aktiv befördert hat, war für die Beklagte ohne Weiteres ersichtlich, dass dies jedenfalls ab dem Zeitpunkt des Ausscheidens des Klägers und seines Wechsels zu einem Konkurrenzunternehmen nicht mehr der Fall war. Die Beklagte hat dennoch weder von sich aus und zunächst auch nicht auf mehrmaliges Drängen des Klägers die Foto- und Videoaufnahmen mit dem Kläger aus ihren Werbemedien entfernt, sondern dies erst im Februar 2020 und somit über 9 Monate nach seinem Ausscheiden vollständig getan.
b) Nicht ausreichend berücksichtigt hat das Arbeitsgericht bei der Festsetzung der Höhe der Geldentschädigung, dass die Beklagte den Kläger über den Bestand des Arbeitsverhältnisses hinaus zur Verfolgung eigener kommerzieller Interessen eingesetzt hat. Dies bedeutet zwar nicht, dass eine „Gewinnabschöpfung“ vorzunehmen ist, wohl aber, dass die Erzielung von Gewinnen aus der Rechtsverletzung als Bemessungsfaktor in die Entscheidung über die Höhe der Geldentschädigung mit einzubeziehen ist. In solchen Fällen muss von der Höhe der Geldentschädigung ein echter Hemmungseffekt ausgehen; als weiterer Bemessungsfaktor kann die Intensität der Persönlichkeitsrechtsverletzung berücksichtigt werden (BGH 5. Dezember 1995 - VI ZR 332/94 - NJW 1996, 984).
Die Beklagte hat die Angaben des Klägers nicht substanziiert bestritten, wonach sie im Zeitraum vom 1. Mai 2019 bis 21. Februar 2020 viertägige Lehrgänge zum Erlernen von Foliertechniken angeboten habe, die zum Preis von 1.999,00 EUR von ca. 6 Personen je Lehrgang besucht worden seien. Dabei habe die Beklagte etwa 7.000,00 EUR Gewinn je Lehrgang vereinnahmt. Wie die Erörterungen in den mündlichen Verhandlungen vor der Berufungskammer ergeben haben, kann allerdings nicht davon ausgegangen werden, dass die Teilnehmer des Lehrgangs aufgrund des den Kläger zeigenden Werbematerials speziell wegen der Person des Klägers bei der Beklagten gebucht haben. Die Beklagte hat nicht mit dem Namen des Klägers geworben, der auch selbst nicht behauptet hat, in der Branche bekannt gewesen zu sein, weshalb Teilnehmer gezielt Schulungen mit ihm besucht haben könnten. Andererseits hat die Beklagte selbst vorgetragen, dass der Kläger seine jetzige Position bei Mitbewerbern auch deshalb bekleide, weil er durch die entsprechenden Schulungen und Veröffentlichungen bekannt geworden sei. Somit hat die Beklagte einen gewissen Werbeeffekt ausgenutzt, was bei der Bemessung des Entschädigungsbetrags zu berücksichtigen ist ebenso wie der Umstand, dass sie vermeiden wollte, das mit viel Aufwand und Kosten angefertigte Schulungsvideo nicht mehr unverändert verwerten zu können.
c) Unter Abwägung dieser Umstände hält die Kammer einen Entschädigungsbetrag von 10.000,00 EUR für angemessen. Auch unter dem Gesichtspunkt der Prävention nicht anspruchserhöhend wirkt sich die anwaltliche Vertretung der Beklagten spätestens seit Anfang Februar 2020 aus (vgl. BAG 5. Mai 2022 - 2 AZR 263/21 - NZA 2022, 1191).
EuGH-Generalanwältin
Schlussantrage vom 14.09.2023 C-115/22 | NADA u. a.
Die EuGH-Generalanwältin kommt in ihren Schlussanträgen zu dem Ergebnis, dass kein Verstoß gegen die DSGVO vorliegt, wenn eine nationale Anti-Doping-Behörde personenbezogene Daten eines gedopten Profisportlers im Internet veröffentlicht.
Die Pressemitteilung des EuGH: Dopingbekämpfung und Datenschutz: Nach Ansicht von Generalanwältin Ćapeta verstößt eine nationale Anti-Doping-Behörde, die personenbezogene Daten eines gedopten Profisportlers im Internet veröffentlicht, nicht gegen die DSGVO
Der dadurch entstehende Eingriff in das Recht auf Datenschutz kann mit dem Präventionsziel einer solchen Veröffentlichung gerechtfertigt werden.
Eine österreichische Profisportlerin im Mittelstreckenlauf wurde für schuldig befunden, gegen österreichische AntiDoping-Regeln verstoßen zu haben. Die Österreichische Anti-Doping-Rechtskommission (ÖADR) erklärte alle im fraglichen Zeitraum von der Sportlerin erzielten Ergebnisse für ungültig, erkannte alle Start- und/oder Preisgelder ab und verhängte über sie eine vierjährige Sperre für die Teilnahme an jeglicher Art von sportlichen Wettkämpfen. Dieser Beschluss wurde von der ÖADR und der Unabhängigen Schiedskommission (USK) bestätigt.
Die Unabhängige Dopingkontrolleinrichtung (NADA) veröffentlichte in Bezug auf die Sportlerin auch ihren Namen, ihren Verstoß gegen die Anti-Doping-Regeln und den Zeitraum der Sperre in einer Tabelle gesperrter Sportler auf ihrer öffentlich zugänglichen Website.
Die Sportlerin beantragte bei der USK eine Überprüfung des Beschlusses. Diese Einrichtung möchte unter anderem wissen, ob die Veröffentlichung personenbezogener Daten eines gedopten Profisportlers im Internet mit der DSGVO vereinbar ist.
In den heutigen Schlussanträgen geht Generalanwältin Tamara Ćapeta zuerst auf die Zulässigkeit des Ersuchens ein. Nach Ansicht der Generalanwältin ist die USK ein „Gericht“’ im Sinne von Art. 267 Abs. 4 AEUV. Die Generalanwältin vertritt nämlich die Ansicht, dass die USK unter den Umständen des vorliegenden Falles sogar ein „Gericht“ darstelle, gegen dessen Entscheidungen keine Rechtsmittel gemäß Art. 267 Abs. 3 AEUV eingelegt werden könnten. Die USK sei daher sogar zur Vorlage verpflichtet gewesen.
In materiellrechtlicher Hinsicht befindet Generalanwältin Tamara Ćapeta zuerst, dass die DS-GVO auf den Sachverhalt des Falles nicht anwendbar sei. Das Anti-Doping-Recht regele vorrangig den Sport als Sport. Es beziehe sich eher auf die sozialen und erzieherischen Funktionen des Sports als auf seine wirtschaftlichen Aspekte. Es gebe derzeit keine unionsrechtlichen Vorschriften, die die Anti-Doping-Politik der Mitgliedstaaten beträfen. Ohne auch eine nur indirekte Verbindung der Anti-Doping-Politik zum Unionsrecht könne die DS-GVO solche Verarbeitungstätigkeiten nicht regeln. Deshalb vertritt die Generalanwältin die Ansicht, dass der Sachverhalt dieses Falles nicht in den Anwendungsbereich des Unionsrechts und somit nicht in den Anwendungsbereich der DS-GVO falle.
Alternativ vertritt die Generalanwältin Tamara Ćapeta die Ansicht, dass die DS-GVO in einem bestimmten Kontext die Verarbeitung personenbezogener Daten erlaube, ohne dass eine einzelfallbezogene Verhältnismäßigkeitsprüfung erforderlich sei. Die Entscheidung des österreichischen Gesetzgebers, zu verlangen, dass bei Profisportlern, die gegen geltende Anti-Doping-Regeln verstießen, personenbezogene Daten an die Allgemeinheit bekannt gegeben würden, unterliege daher keiner zusätzlichen Verhältnismäßigkeitsprüfung jedes Einzelfalles. Der durch die Veröffentlichung verursachte Eingriff in die Rechte von Profisportlern könne mit dem Präventionsziel gerechtfertigt werden, dass junge Sportler von Verstößen gegen Anti-DopingRegeln abgehalten und interessierte Kreise unterrichtet würden.
Generalanwältin Tamara Ćapeta erläutert weiter, dass es in der modernen Gesellschaft nur einen einzigen Weg gebe, um sicherzustellen, dass eine Pflicht zur allgemeinen Bekanntgabe wie im vorliegenden Fall die Pflicht des österreichischen Gesetzgebers erfüllt werde, nämlich durch eine Veröffentlichung im Internet. Eine bloße Veröffentlichung in gedruckter Form könne nicht mehr als geeignetes Mittel angesehen werden, um die Allgemeinheit mit Informationen zu versorgen. Wenn lediglich eine Offline-Veröffentlichung der fraglichen Informationen gefordert würde, käme dies einer Umgehung der Pflicht zur Information der Allgemeinheit gleich. Die Bekanntgabe des Namens der Sportlerin, des fraglichen Verstoßes gegen Anti-Doping-Regeln und der gegen sie verhängten Sperre auf der öffentlich zugänglichen Website einer nationalen Anti-Doping-Behörde sei während der Dauer ihrer Sperre geeignet und erforderlich, um die präventive Funktion der Abschreckung einerseits und der Information der interessierten Kreise andererseits zu erfüllen.
Das OLG Hamm hat entschieden, dass ein Schadensersatzanspruch in Facebook-Scraping-Fällen nur dann besteht, wenn ein konkreter Schaden nachgewiesen wird. Der Verstoß gegen die DSGVO und das Gefühl des Kontrollverlustes seitens des Betroffenen genügt nicht allein nicht.
Die Pressemitteilung des Gerichts: Leitentscheidung zu Facebook-Scraping
Das Oberlandesgericht Hamm hat ein erstes Urteil zu den sogenannten Facebook-Scraping-Fällen gesprochen und eine Klage auf Zahlung von Schadensersatz nach der Datenschutz-Grundverordnung (DSGVO) abgewiesen. Nach dem Urteil liegen zwar Verstöße gegen datenschutzrechtliche Vorschriften vor, einen immateriellen Schaden konnte die Klägerin jedoch nicht ausreichend darlegen.
Im April 2021 veröffentlichten Unbekannte die Daten von etwa 500 Millionen Facebook-Nutzern im Darknet, darunter Namen und Telefonnummern. Die Daten hatten die Unbekannten zuvor über einen längeren Zeitraum zunächst unter Ausnutzung der seinerzeitigen Suchfunktionen von Facebook gesammelt, weshalb von „Scraping“ gesprochen wird (von engl. to scrape für zusammenkratzen). Auch dann, wenn die Anzeige der eigenen Telefonnummer bei Facebook nicht aktiviert war, war es über die Suchfunktion möglich, einen Nutzer über eine eingegebene Telefonnummer zu identifizieren. Dies nutzen die unbekannten „Scraper“ aus, indem sie millionenfach Telefonnummern mit dem Computer generierten und hierzu Daten abriefen. Facebook deaktivierte die Suchfunktion für Telefonnummern im April 2018. Auf ein daraufhin angepasstes Scraping-Verfahren, das die Kontaktimportfunktion von Facebook ausnutzte, wurden weitere Daten abgegriffen, bis Facebook auch diese Funktion auf der Plattform im Oktober 2018 und im Facebook-Messenger im September 2019 deaktivierte.
Im Hinblick auf dieses „Datenleck“ sind bundesweit zahlreiche Klagen gegen Meta als Betreiberin der Plattform anhängig, so auch im Bezirk des Oberlandesgerichts Hamm, für den nunmehr die erste Entscheidung vorliegt. Der für das Recht der unerlaubten Handlungen zuständige 7. Zivilsenat klärt darin zahlreiche Rechtsfragen im Zusammenhang mit den Scraping-Klagen.
Auch die Klägerin im nun entschiedenen Verfahren war von dem Scraping betroffen. In dem im Darknet veröffentlichten Datensatz fanden sich ihre Mobiltelefonnummer, ihr Vor- und Nachname sowie die Angabe ihres Geschlechts. Die Klägerin hat von Meta als Betreiberin der Plattform unter anderem eine Entschädigung für immaterielle Schäden ähnlich einem Schmerzensgeld in Höhe von mindestens 1.000 Euro verlangt. Sie hat die Auffassung vertreten, die Betreiberin der Plattform habe sowohl im Zusammenhang mit dem Scraping als auch unabhängig davon gegen verschiedene Vorschriften des Datenschutzes aus der DSGVO verstoßen. Dem ist Meta entgegengetreten.
Das Landgericht Bielefeld hatte die Klage zurückgewiesen. Die von der Klägerin eingelegte Berufung ist nun vor dem Oberlandesgericht Hamm ohne Erfolg geblieben. Zwar hat das Oberlandesgericht Verstöße gegen die DSGVO festgestellt. Von einem immateriellen Schaden der Klägerin konnte es sich jedoch nicht überzeugen.
Zu den festgestellten Verstößen gegen die DSGVO geht das Oberlandesgericht im Ausgangspunkt davon aus, dass es auch im Zivilprozess Aufgabe des für die Datenverarbeitung Verantwortlichen – hier Meta – ist, die zulässige Verarbeitung dieser Daten nach der DSGVO nachzuweisen. Auch die Weitergabe von Daten an Dritte auf eine Suchfunktion oder eine Kontaktimportfunktion ist dabei Datenverarbeitung im Sinne der DSGVO. Meta konnte hier nicht nachweisen, dass die Weitergabe der Mobiltelefonnummer der Klägerin im Rahmen der Such- oder Kontaktimportfunktion nach der DSGVO gerechtfertigt war. Auf die Erfüllung des Vertragszwecks als Rechtfertigungsgrund nach der DSGVO kann sich Meta dabei nicht berufen, da die Verarbeitung der Mobiltelefonnummer für die Vernetzung der Nutzerinnen und Nutzer von Facebook untereinander unter Berücksichtigung des Grundsatzes der Datensparsamkeit nicht zwingend erforderlich ist. Für die Verarbeitung der Mobiltelefonnummer bedarf es daher einer Einwilligung der Nutzerin oder des Nutzers. Eine solche wurde hier schon deswegen nicht wirksam erteilt, weil bei der seinerzeit erteilten Einwilligung der Klägerin in unzulässiger Weise mit von der Nutzerin auf Wunsch abwählbaren Voreinstellungen gearbeitet wurde („opt-out“) und die Informationen über die Such- und Kontaktimportfunktion unzureichend und intransparent waren.
Auch eine grundsätzlich zum Schadensersatz führende Pflichtverletzung hat das Oberlandesgericht bejaht, da Meta trotz der konkreten Kenntnis von dem Datenabgriff im vorliegenden Fall naheliegende Maßnahmen zur Verhinderung weiteren unbefugten Datenabgriffs nicht ergriffen hatte.
Das Oberlandesgericht hat der Klägerin im Ergebnis aber dennoch keinen Schadensersatz zuerkannt. Die Klägerin hat hier lediglich immaterielle Schäden geltend gemacht, was nach der DSGVO grundsätzlich möglich ist und zu einer Entschädigung ähnlich einem Schmerzensgeld führen kann. Allerdings ist es der Klägerin nicht gelungen, einen konkreten immateriellen Schaden darzulegen. Dabei geht das Oberlandesgericht davon aus, dass der immaterielle Schaden nicht in dem bloßen Verstoß gegen die DSGVO selbst liegen kann, sondern darüberhinausgehende persönliche bzw. psychologische Beeinträchtigungen eingetreten sein müssen. Solche hat die Klägerin jedoch nicht individuell dargelegt. Der zu einer Vielzahl an ähnlich gelagerten Verfahren identische, pauschale Vortrag, die „Klägerpartei“ habe Gefühle eines Kontrollverlusts, eines Beobachtetwerdens und einer Hilflosigkeit, insgesamt also das Gefühl der Angst entwickelt und Aufwand an Zeit und Mühe gehabt, reicht zur Darlegung einer konkret-individuellen Betroffenheit der Klägerin nicht aus. Auch ist der hier in Rede stehende Datenmissbrauch, der zur ungewollten Veröffentlichung von Name und Mobiltelefonnummer geführt hat, nicht so schwerwiegend, dass der Eintritt eines immateriellen Schadens ohne weiteres naheliegt. Hinzu kommt, dass die Klägerin in ihrer persönlichen Anhörung vor dem Landgericht lediglich ausgeführt hatte, sie habe ein „Gefühl der Erschrockenheit“ erlitten.
Das Oberlandesgericht hat den Streitwert für das gesamte Verfahren – in dem auch erfolglos weitere Anträge auf Feststellung, Unterlassung und Auskunft geltend gemacht worden waren – mit lediglich 3.000 Euro bewertet. Es hat keinen Anlass gesehen, das Verfahren dem Europäischen Gerichtshof zur Vorabentscheidung vorzulegen oder die Revision zuzulassen, da die entscheidenden Rechtsfragen jüngst durch den Europäischen Gerichtshof geklärt wurden.
Oberlandesgericht Hamm, Urteil vom 15. August 2023, Az. 7 U 19/23; Vorinstanz: Landgericht Bielefeld, Urteil vom 19. Dezember 2022, Az. 8 O 157/22.
Die Entscheidung ist veröffentlicht unter www.nrwe.de externer Link, öffnet neues Browserfenster / neuen Browser-Tab.
Bernhard Kuchler
Pressedezernent
Für die Entscheidung relevante Vorschriften der Datenschutz-Grundverordnung (DSGVO)
Art. 4 – Begriffsbestimmungen
Im Sinne dieser Verordnung bezeichnet der Ausdruck: […]
2. "Verarbeitung" jeden mit oder ohne Hilfe automatisierter Verfahren ausgeführten Vorgang oder jede solche Vorgangsreihe im Zusammenhang mit personenbezogenen Daten wie das Erheben, das Erfassen, die Organisation, das Ordnen, die Speicherung, die Anpassung oder Veränderung, das Auslesen, das Abfragen, die Verwendung, die Offenlegung durch Übermittlung, Verbreitung oder eine andere Form der Bereitstellung, den Abgleich oder die Verknüpfung, die Einschränkung, das Löschen oder die Vernichtung; […]
Art. 5 – Grundsätze für die Verarbeitung personenbezogener Daten
(1) Personenbezogene Daten müssen
a) auf rechtmäßige Weise, nach Treu und Glauben und in einer für die betroffene Person nachvollziehbaren Weise verarbeitet werden ("Rechtmäßigkeit, Verarbeitung nach Treu und Glauben, Transparenz");
b) für festgelegte, eindeutige und legitime Zwecke erhoben werden und dürfen nicht in einer mit diesen Zwecken nicht zu vereinbarenden Weise weiterverarbeitet werden; eine Weiterverarbeitung für im öffentlichen Interesse liegende Archivzwecke, für wissenschaftliche oder historische Forschungszwecke oder für statistische Zwecke gilt gemäß Artikel 89 Absatz 1 nicht als unvereinbar mit den ursprünglichen Zwecken ("Zweckbindung");
c) dem Zweck angemessen und erheblich sowie auf das für die Zwecke der Verarbeitung notwendige Maß beschränkt sein ("Datenminimierung"); […]
(2) Der Verantwortliche ist für die Einhaltung des Absatzes 1 verantwortlich und muss dessen Einhaltung nachweisen können ("Rechenschaftspflicht").
Art. 6 – Rechtmäßigkeit der Verarbeitung
(1) Die Verarbeitung ist nur rechtmäßig, wenn mindestens eine der nachstehenden Bedingungen erfüllt ist:
a) Die betroffene Person hat ihre Einwilligung zu der Verarbeitung der sie betreffenden personenbezogenen Daten für einen oder mehrere bestimmte Zwecke gegeben;
b) die Verarbeitung ist für die Erfüllung eines Vertrags, dessen Vertragspartei die betroffene Person ist, oder zur Durchführung vorvertraglicher Maßnahmen erforderlich, die auf Anfrage der betroffenen Person erfolgen; […]
Art. 7 – Bedingungen für die Einwilligung
(1) Beruht die Verarbeitung auf einer Einwilligung, muss der Verantwortliche nachweisen können, dass die betroffene Person in die Verarbeitung ihrer personenbezogenen Daten eingewilligt hat.
(2) Erfolgt die Einwilligung der betroffenen Person durch eine schriftliche Erklärung, die noch andere Sachverhalte betrifft, so muss das Ersuchen um Einwilligung in verständlicher und leicht zugänglicher Form in einer klaren und einfachen Sprache so erfolgen, dass es von den anderen Sachverhalten klar zu unterscheiden ist. Teile der Erklärung sind dann nicht verbindlich, wenn sie einen Verstoß gegen diese Verordnung darstellen. […]
Art. 32 – Sicherheit der Verarbeitung
(1) Unter Berücksichtigung des Stands der Technik, der Implementierungskosten und der Art, des Umfangs, der Umstände und der Zwecke der Verarbeitung sowie der unterschiedlichen Eintrittswahrscheinlichkeit und Schwere des Risikos für die Rechte und Freiheiten natürlicher Personen treffen der Verantwortliche und der Auftragsverarbeiter geeignete technische und organisatorische Maßnahmen, um ein dem Risiko angemessenes Schutzniveau zu gewährleisten; […]
Art. 82 – Haftung und Recht auf Schadenersatz
(1) Jede Person, der wegen eines Verstoßes gegen diese Verordnung ein materieller oder immaterieller Schaden entstanden ist, hat Anspruch auf Schadenersatz gegen den Verantwortlichen oder gegen den Auftragsverarbeiter. […]
EuGH
Urteil vom 07.09.2023 C-162/22
Lietuvos Respublikos generalinė prokuratūra
Der EuGH hat entschieden, dass zur Bekämpfung schwerer Kriminalität auf Vorrat gesammelte Daten nicht für andere sachfremde Untersuchungen zur Korruptionsbekämpfung verwendet werden dürfen.
Tenor der Entscheidung:
Art. 15 Abs. 1 der Richtlinie 2002/58/EG des Europäischen Parlaments und des Rates vom 12. Juli 2002 über die Verarbeitung personenbezogener Daten und den Schutz der Privatsphäre in der elektronischen Kommunikation (Datenschutzrichtlinie für elektronische Kommunikation) in der durch die Richtlinie 2009/136/EG des Europäischen Parlaments und des Rates vom 25. November 2009 geänderten Fassung ist im Licht der Art. 7, 8 und 11 sowie von Art. 52 Abs. 1 der Charta der Grundrechte der Europäischen Union dahin auszulegen, dass er dem entgegensteht, dass personenbezogene Daten elektronischer Kommunikationsvorgänge, die in Anwendung einer aufgrund dieser Bestimmung erlassenen Rechtsvorschrift von Betreibern elektronischer Kommunikationsdienste auf Vorrat gespeichert und in der Folge in Anwendung dieser Rechtsvorschrift den zuständigen Behörden zur Bekämpfung schwerer Kriminalität zur Verfügung gestellt wurden, im Rahmen von Untersuchungen wegen Dienstvergehen im Zusammenhang mit Korruption genutzt werden dürfen.
Die Pressemitteilung des Gerichts: Die Datenschutzrichtlinie für elektronische Kommunikation lässt es nicht zu, dass Daten, die zur Bekämpfung schwerer Kriminalität gesammelt wurden, im Rahmen von Verwaltungsuntersuchungen wegen Korruption im öffentlichen Sektor genutzt werden
Die Datenschutzrichtlinie für elektronische Kommunikation betrifft nämlich nur die strafrechtliche Verfolgung.
Ein litauischer Staatsanwalt wurde von der litauischen Generalstaatsanwaltschaft seines Amtes enthoben. Diese Disziplinarstrafe wurde gegen ihn verhängt, weil er im Rahmen von Ermittlungen einem Verdächtigen und seinem Anwalt rechtswidrig Informationen gegeben haben soll. Er wendet sich vor den litauischen Gerichten gegen diese Entscheidung.
Das ihm zur Last gelegte Dienstvergehen wurde mittels Daten nachgewiesen, die von Betreibern elektronischer Kommunikationsdienste auf Vorrat gespeichert worden waren. Er macht geltend, die Nutzung von Daten, die es ermöglichten, die Quelle und den Adressaten eines Telefongesprächs zu identifizieren, das vom Festnetz- oder Mobiltelefon eines Verdächtigen aus geführt worden sei, in Verfahren wegen Dienstvergehen stelle einen ungerechtfertigten Eingriff in die im Unionsrecht verankerten Grundrechte dar.
Nach der Rechtsprechung des Gerichtshofs zu den in der Datenschutzrichtlinie für elektronische Kommunikation1 vorgesehenen Voraussetzungen für den Zugang zu Daten über elektronische Kommunikationen kann die Bekämpfung schwerer Kriminalität Eingriffe in die in den Art. 7 und 8 der Charta der Grundrechte der Europäischen Union verankerten Grundrechte rechtfertigen. In dieser Rechtssache möchte das als Rechtsmittelgericht tätige Oberste Verwaltungsgericht von Litauen im Wesentlichen wissen, ob die Nutzung personenbezogener Daten elektronischer Kommunikationsvorgänge, die von Betreibern elektronischer Kommunikationsdienste auf Vorrat gespeichert und in der Folge den zuständigen Behörden zur Bekämpfung schwerer Kriminalität zur Verfügung gestellt wurden, im Rahmen einer Untersuchung wegen Dienstvergehen im Zusammenhang mit Korruption mit dieser Richtlinie vereinbar ist.
In seinem heutigen Urteil entscheidet der Gerichtshof, dass die Richtlinie der Nutzung personenbezogener Daten elektronischer Kommunikationsvorgänge, die von Betreibern elektronischer Kommunikationsdienste auf Vorrat gespeichert und in der Folge den zuständigen Behörden zur Bekämpfung schwerer Kriminalität zur Verfügung gestellt wurden, im Rahmen von Untersuchungen wegen Dienstvergehen im Zusammenhang mit Korruption im öffentlichen Sektor entgegensteht.
Der Gerichtshof führt hierzu aus, dass Rechtsvorschriften zur Bekämpfung schwerer Kriminalität
- auf der Grundlage objektiver und nicht diskriminierender Kriterien anhand von Kategorien betroffener Personen oder mittels eines geografischen Kriteriums für einen auf das absolut Notwendige begrenzten Zeitraum eine gezielte Vorratsspeicherung von Verkehrs- und Standortdaten vorsehen dürfen
- für einen auf das absolut Notwendige begrenzten Zeitraum eine allgemeine und unterschiedslose Vorratsspeicherung der IP‑Adressen, die der Quelle einer Verbindung zugewiesen sind, vorsehen dürfen,
- eine allgemeine und unterschiedslose Vorratsspeicherung der die Identität der Nutzer elektronischer Kommunikationsmittel betreffenden Daten vorsehen dürfen und
- vorsehen dürfen, dass den Betreibern elektronischer Kommunikationsdienste mittels einer Entscheidung der zuständigen Behörde, die einer wirksamen gerichtlichen Kontrolle unterliegt, aufgegeben werden kann, während eines festgelegten Zeitraums die ihnen zur Verfügung stehenden Verkehrs- und Standortdaten umgehend zu sichern.
Der Gerichtshof weist ferner darauf hin, dass im Einklang mit dem Grundsatz der Verhältnismäßigkeit nur die Bekämpfung schwerer Kriminalität und die Verhütung schwerer Bedrohungen der öffentlichen Sicherheit geeignet sind, die mit der Speicherung von Verkehrs- und Standortdaten verbundenen schweren Eingriffe in die Grundrechte zu rechtfertigen. Gestützt auf seine Rechtsprechung zu den dem Gemeinwohl dienenden Zielen, die eine Beschränkung der Rechte rechtfertigen können, fügt er hinzu, dass die Bekämpfung schwerer Kriminalität und die Verhütung schwerer Bedrohungen der öffentlichen Sicherheit zwar von geringerer Bedeutung als der Schutz der nationalen Sicherheit sind, dass ihre Bedeutung aber die der Bekämpfung von Straftaten im Allgemeinen übersteigt.
Verkehrs- und Standortdaten, die von Betreibern elektronischer Kommunikationsdienste in Anwendung einer nach Art. 15 Abs. 1 der Datenschutzrichtlinie für elektronische Kommunikation zur Bekämpfung schwerer Kriminalität erlassenen Rechtsvorschrift auf Vorrat gespeichert und den zuständigen Behörden zu diesem Zweck zur Verfügung gestellt wurden, dürfen anschließend nicht an andere Behörden übermittelt und zur Bekämpfung von Dienstvergehen im Zusammenhang mit Korruption, die von geringerer Bedeutung ist als die Bekämpfung schwerer Kriminalität, genutzt werden.
Die Pressemitteilung des Bundesverwaltungsgerichts: Gesetzliche Verpflichtung der Telekommunikationsanbieter zur Vorratsspeicherung von Telekommunikations-Verkehrsdaten unionsrechtswidrig
Die in § 175 Abs. 1 Satz 1 i.V.m. § 176 TKG (§ 113a Abs. 1 Satz 1 i.V.m. § 113b TKG a.F.) geregelte Verpflichtung der Anbieter öffentlich zugänglicher Telekommunikationsdienste zur Speicherung der dort genannten Telekommunikations-Verkehrsdaten ist in vollem Umfang unvereinbar mit Art. 15 Abs. 1 der Datenschutzrichtlinie für elektronische Kommunikation (Richtlinie 2002/58/EG) und daher nicht anwendbar. Dies hat das Bundesverwaltungsgericht in Leipzig in zwei Verfahren entschieden.
Die Klägerinnen, zwei Telekommunikationsunternehmen, wenden sich gegen die ihnen zuerst durch § 113a Abs. 1 i.V.m. § 113b TKG in der Fassung des Gesetzes vom 10. Dezember 2015 auferlegte und nunmehr inhaltlich weitestgehend unverändert in § 175 Abs. 1 Satz 1 i.V.m. § 176 TKG geregelte Verpflichtung, Telekommunikationsverkehrsdaten ihrer Kunden auf Vorrat zu speichern. Die für eine Dauer von zehn Wochen zu speichernden Daten umfassen u.a. die Rufnummern der beteiligten Anschlüsse, Beginn und Ende der Verbindung oder der Internetnutzung bzw. die Zeitpunkte der Versendung und des Empfangs einer Kurznachricht, zugewiesene Internetprotokoll-Adressen und Benutzerkennungen sowie Kennungen der Anschlüsse und Endgeräte. Für eine Dauer von vier Wochen zu speichern sind zudem Standortdaten, d.h. im Wesentlichen die Bezeichnung der bei Beginn der Verbindung genutzten Funkzelle.
Das Verwaltungsgericht Köln hatte auf die Klagen festgestellt, dass die Klägerinnen nicht verpflichtet sind, die im Gesetz genannten Telekommunikations-Verkehrsdaten ihrer Kunden, denen sie den Internetzugang bzw. den Zugang zu öffentlichen Telefondiensten vermitteln, zu speichern. Die Speicherpflicht verstoße gegen Unionsrecht und sei daher in den Fällen der Klägerinnen unanwendbar. Die grundsätzlichen Rechtsfragen des im vorliegenden Zusammenhang maßgeblichen Unionsrechts seien durch die Rechtsprechung des Gerichtshofs der Europäischen Union (EuGH) geklärt. Auf die Sprungrevision der Beklagten, vertreten durch die Bundesnetzagentur, hatte das Bundesverwaltungsgericht die Verfahren ausgesetzt und eine Vorabentscheidung des EuGH gemäß Art. 267 AEUV eingeholt (BVerwG, Beschlüsse vom 25. September 2019 - 6 C 12.18 und 6 C 13.18, vgl. Pressemitteilung 66/2019 vom 25. September 2019).
Nachdem der EuGH die Vorlagefragen mit Urteil vom 20. September 2022 (verbundene Rechtssachen C-793/19 und C-794/19, Space Net u.a.), berichtigt durch Beschluss vom 27. Oktober 2022, beantwortet hatte, hat das Bundesverwaltungsgericht die Revisionen der Beklagten zurückgewiesen. Dabei hat es die auf § 113a Abs. 1 i.V.m. § 113b TKG a.F. bezogenen Feststellungsaussprüche des Verwaltungsgerichts an die nunmehr geltenden Vorschriften in § 175 Abs. 1 Satz 1 i.V.m. § 176 TKG angepasst.
Unter Berücksichtigung der Entscheidung des EuGH ist das Bundesverwaltungsgericht zu dem Ergebnis gelangt, dass die Regelung im Telekommunikationsgesetz eine anlasslose, flächendeckende und personell, zeitlich und geografisch undifferenzierte Vorratsspeicherung eines Großteils der Verkehrs- und Standortdaten vorschreibt. Diese genügt schon deshalb nicht den unionsrechtlichen Anforderungen, weil keine objektiven Kriterien bestimmt werden, die einen Zusammenhang zwischen den zu speichernden Daten und dem verfolgten Ziel herstellen. Da die Vorratsspeicherung der genannten Daten und der Zugang zu ihnen unterschiedliche Eingriffe in die betroffenen Grundrechte darstellen, die eine gesonderte Rechtfertigung erfordern, ist die Begrenzung der Verwendungszwecke in § 177 Abs. 1 TKG (§ 113 c Abs. 1 TKG a.F.) von vornherein nicht geeignet, die unionsrechtliche Anforderung klarer und präziser Regeln für die vorgelagerte Maßnahme der Speicherung der Daten zu erfüllen.
Soweit die gesetzliche Regelung die Erbringung von Telefondiensten und in diesem Zusammenhang insbesondere die Daten betrifft, die erforderlich sind, um die Quelle und den Adressaten einer Nachricht, Datum und Uhrzeit von Beginn und Ende der Verbindung oder - im Fall der Übermittlung von Kurz-, Multimedia- oder ähnlichen Nachrichten - die Zeitpunkte der Versendung und des Empfangs der Nachricht sowie, im Fall der mobilen Nutzung, die Bezeichnung der Funkzellen, die vom Anrufer und vom Angerufenen bei Beginn der Verbindung genutzt wurden, zu identifizieren, fehlt es außerdem an der vom EuGH geforderten strikten Begrenzung der allgemeinen und unterschiedslosen Vorratsspeicherung von Verkehrs- und Standortdaten auf den Zweck des Schutzes der nationalen Sicherheit.
Soweit sich die Pflicht zur allgemeinen und unterschiedslosen Vorratsspeicherung auf die Bereitstellung von Internetzugangsdiensten und in diesem Rahmen u.a. auf die dem Teilnehmer zugewiesene IP-Adresse bezieht, umfassen die unionsrechtlich zulässigen Zwecke nach der Entscheidung des EuGH zwar auch die Bekämpfung schwerer Kriminalität und die Verhütung schwerer Bedrohungen der öffentlichen Sicherheit. Eine entsprechende Beschränkung der Speicherungszwecke sieht die Regelung im Telekommunikationsgesetz jedoch nicht vor. Die für die Ermittlung der Speicherzwecke maßgebliche Regelung der Verwendungszwecke im Rahmen einer Bestandsdatenauskunft geht deutlich über den unionsrechtlichen Rahmen hinaus. Dies gilt nicht nur für die frühere Rechtslage nach § 113 c Abs. 1 Nr. 3 i.V.m. § 113 Abs. 1 Satz 3 TKG a.F., sondern auch für die nunmehr geltende Regelung in § 177 Abs. 1 Nr. 3 i.V.m. § 174 Abs. 1 Satz 3 TKG, die die Vorgaben aus der Rechtsprechung des Bundesverfassungsgerichts berücksichtigen soll.
Da eine unionsrechtskonforme Auslegung wegen des vom EuGH hervorgehobenen Grundsatzes der Bestimmtheit und Normenklarheit nicht in Betracht kommt, darf die Regelung im Telekommunikationsgesetz wegen des Anwendungsvorrangs des Unionsrechts nicht angewendet werden.
BVerwG 6 C 6.22 - Urteil vom 14. August 2023
Vorinstanz:
VG Köln, VG 9 K 3859/16 - Urteil vom 20. April 2018 -
BVerwG 6 C 7.22 - Urteil vom 14. August 2023
Vorinstanz:
VG Köln, VG 9 K 7417/17 - Urteil vom 20. April 2018 -
OVG Rheinland-Pfalz
Beschluss vom 20.06.2023 7 B 10360/23
Das OVG Rheinland-Pfalz hat entschieden, dass die Vorgaben der DSGVO der Übermittlung von personenbezogenen Daten an Polizei und Bußgeldbehörden zur Verfolgung von Ordnungswidrigkeiten nicht entgegen stehen.
Aus den Entscheidungsgründen:
d) Entgegen der Annahme der Antragstellerin war sie an der Preisgabe des verantwortlichen Fahrzeugführers oder der verantwortlichen Fahrzeugführerin nicht gehindert durch die Bestimmungen der Verordnung des Europäischen Parlaments und des Rates vom 27. April 2016 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten, zum freien Datenverkehr und zur Aufhebung der Richtlinie 95/46/EG (Datenschutz-Grundverordnung – DSGVO –). Dabei bedarf es vorliegend keiner Entscheidung, ob die Verarbeitung personenbezogener Daten im Ordnungswidrigkeitenverfahren – in dessen Rahmen die vorliegenden Ermittlungen vorgenommen wurden – in den sachlichen Anwendungsbereich der DSGVO fällt (zweifelnd: VG Regensburg, Urteil vom 17. April 2019 – RN 3 K 19.267 –, juris Rn. 25 ff.) oder sie hiervon gemäß Art. 2 Abs. 2 lit. b) DSGVO ausgenommen ist (ebenfalls offenlassend: BayVGH, Beschlüsse vom 22. Juli 2022 – 11 ZB 22.895 –, juris Rn. 18 und vom 30. November 2022 – 11 CS 22.1813 –, juris Rn. 34). Selbst wenn der Anwendungsbereich der DSGVO eröffnet sein sollte, wäre die Preisgabe der persönlichen Daten der Fahrzeugführer durch die Antragstellerin an die Polizei- oder Bußgeldbehörden gemäß Art. 6 Abs. 1 lit. f) DSGVO zur Wahrung der berechtigten Interessen der Behörden, eines Dritten im Sinne von Art. 4 Nr. 10 DSGVO, zulässig. Behörden haben ein berechtigtes Interesse daran, die ihnen im öffentlichen Interesse obliegenden Aufgaben zu erfüllen, zu denen die Verfolgung von Ordnungswidrigkeiten gehört (vgl. BayVGH, Beschluss vom 22. Juli 2022 – 11 ZB 22.895 –, juris Rn. 18). Gleiches gilt für das Führen eines Fahrzeugbuchs durch und die damit verbundene Datenerhebung durch den Fahrzeughalter (vgl. BayVGH, Beschluss vom 30. November 2022 – 11 CS 22.1813 –, juris Rn. 34; ferner HambOVG, Beschluss vom 1. Dezember 2020 – 4 Bs 84/20 –, juris Rn. 19: Zulässigkeit nach Art. 6 Abs. 1 lit. e) DSGVO). Ferner ist auch die Verarbeitung personenbezogener Daten durch die zuständigen Behörden – die Eröffnung des Anwendungsbereichs der DSGVO vorausgesetzt – gemäß Art. 6 Abs. 1 lit. e) DSGVO gerechtfertigt (vgl. VG Regensburg, Urteil vom 17. April 2019 – RN 3 K 19.267 –, juris Rn. 30).
Das VG Ansbach hat entschieden, dass ein Betroffener nach 3 Monaten Untätigkeit Leistungsklage gegen die zuständige Datenschutzbehörde erheben kann. Die Kosten trägt § 161 Abs. 3 VwGO analog die Datenschutzbehörde.
Aus den Entscheidungsgründen: 1. Die Kosten des Verfahrens trägt vorliegend analog § 161 Abs. 3 VwGO der Beklagte.
Entgegen der Ansicht der Klägerin war für die Kostenentscheidung § 161 Abs. 3 VwGO nicht direkt anwendbar, da es sich vorliegend nicht um eine Untätigkeitsklage i.S.d. § 161 Abs. 3, § 75 VwGO gehandelt hat. Denn das Klagebegehren der Klägerin richtete sich nicht auf eine bestimmte, als Verwaltungsakt zu qualifizierende Maßnahme seitens den Beklagten, sondern auf ein Tätigwerden des Beklagten im Rahmen ihrer Datenschutzbeschwerde nach Art. 77 f. DS-GVO. Daher war nicht die Untätigkeitsklage nach § 75 VwGO die hier statthafte Klageart, sondern die allgemeine Leistungsklage.
§ 161 Abs. 3 VwGO ist auf den hier vorliegenden Fall aber analog anzuwenden, da es sich um eine Interessenlage handelt, welche der einer Untätigkeitsklage vergleichbar ist, für welche aber eine planwidrige Regelungslücke besteht.
Für den Fall einer Klage nach Art. 78 Abs. 2 Alt. 2 VwGO besteht hinsichtlich der Kostenentscheidung eine planwidrige Regelungslücke, da die §§ 154 ff. VwGO, welche über § 20 Abs. 2 BDSG auch im Fall einer Klage nach Art. 78 Abs. 2 Alt. 2 VwGO zur Anwendung kommen, keine spezielle Kostenregelung für diese Klagekonstellation enthalten. Die Interessenlage ist in dieser Konstellation aber insgesamt mit der einer Untätigkeitsklage nach § 75 VwGO vergleichbar, da beiden Fällen zugrunde liegt, dass eine Behörde pflichtwidrig nicht (rechtzeitig) tätig geworden ist.
Daher ist in Fällen wie dem vorliegenden, in denen der Beklagte den Beschwerdeführer entgegen der Vorschrift des Art. 78 Abs. 2 Alt. 2 DS-GVO nicht innerhalb von drei Monaten über den Stand der Beschwerde in Kenntnis gesetzt hatte und der Beschwerdeführer daraufhin deswegen Klage erhoben hat, § 161 Abs. 3 VwGO analog anzuwenden.
Die Voraussetzungen des § 161 Abs. 3 VwGO liegen hier vor. Die Klägerin durfte grundsätzlich aufgrund der Vorschrift des Art. 78 Abs. 2 Alt. 2 VwGO damit rechnen, dass der Beklagte sie innerhalb von drei Monaten über den Stand ihrer Datenschutzbeschwerde vom 5. April 2019 in Kenntnis setzt. Entgegen der Ansicht des Beklagten handelte es sich bei dieser E-Mail der Klägerin auch um eine Beschwerde i.S.d. Art. 77, 78 DS-GVO, denn die Voraussetzungen an die bloße Einleitung eines Beschwerdeverfahrens dürfen im Sinne des hier bezweckten effektiven Rechtsbehelfs nicht überspannt werden. Die Klägerin hat in dieser E-Mail ausdrücklich einen Verstoß gegen das Kopplungsverbot (Art. 7 Abs. 4 DS-GVO) gerügt, sodass die Behandlung ihrer E-Mail als Beschwerde i.S.d. Art. 77, 78 DS-GVO mit der entsprechenden Unterrichtungspflicht aus Art. 78 Abs. 2 Alt. 2 DS-GVO angezeigt gewesen wäre.
Da die inhaltlichen Anforderungen an ein Inkenntnissetzen i.S.d. Art. 78 Abs. 2 Alt. 2 DS-GVO wohl nicht allzu hoch sind, dürfte sich auch der behördliche Zeitaufwand hierfür in Grenzen halten und in der Regel innerhalb von drei Monaten umsetzbar sein. Es sind im vorliegenden Fall auch keine außergewöhnlichen Anhaltspunkte ersichtlich, die möglicherweise eine Verlängerung der starren Frist des Art. 78 Abs. 2 Alt. 2 DS-GVO rechtfertigen könnten. Daher durfte die Klägerin analog § 161 Abs. 3 VwGO mit einem Tätigwerden des Beklagten vor Klageerhebung rechnen.
Deswegen waren die Kosten des Verfahrens vorliegend analog § 161 Abs. 3 VwGO dem Beklagten aufzuerlegen.
2. Die Streitwertfestsetzung beruht auf § 51 Abs. 2 GKG. Da das Begehren der Klägerin allein auf die Durchführung eines Beschwerdeverfahrens gerichtet war und somit hinter einem Begehren auf eine solche Durchführung eines Beschwerdeverfahrens einschließlich einer bestimmten behördlichen Entscheidung zurückbleibt, erscheint nach dem Ermessen des Gerichts die Festsetzung eines Streitwerts in Höhe des hälftigen Auffangstreitwerts aus § 52 Abs. 2 GKG angemessen (§ 52 Abs. 1 GKG) (vgl. VG Ansbach, U.v. 12.10.2022 – AN 14 K 19.01728 – juris Rn. 48-50).
Das AG München hat entschieden, dass der Erhalt einer Benachrichtigung über einen Datenschutzverstoß nach Art. 34 DSGVO nicht genügt, um einen Schadensersatzanspruch nach Art 82 DSGVO schlüssig darzulegen und zu beweisen.
Aus den Entscheidungsgründen: 1. Die Klage ist hinsichtlich des Feststellungsantrags in Ziffer 2. unzulässig, im Übrigen aber zulässig.
Ein Feststellungsinteresse liegt bezüglich des Antrags Ziffer 2. nicht vor. Bei Vermögensschäden bedarf es für die Zulässigkeit der Klage der Wahrscheinlichkeit eines auf die Verletzungshandlung zurückzuführenden Schadenseintritts (BGH, Urteil vom 26.07.2018 – ZR 274/16, NJW-RR 2018, 1301 Rn. 20, beck-online). Der Kläger als Anspruchsteller hat die Darlegungs- und Beweislast für die Tatsachen, aus denen sich die Wahrscheinlichkeit eines auf die Verletzungshandlung zurückzuführenden Schadens ergibt. Vorliegend ist den Ausführungen des Klägers nicht zu entnehmen, welche Nachteile ihm drohen könnten, zumal seit dem Abgreifen der Daten bereits 3 Jahre verstrichen sind, ohne dass es zu einem Missbrauch der Daten gekommen ist. Es ist kein Grund ersichtlich, wieso jetzt mit dem Eintritt eines Schadens zu rechnen wäre.
2. Die Klage ist in Ziffer 1. unbegründet
a) Der Kläger hat keinen Anspruch auf Ersatz immateriellen Schadens in Höhe von mindestens 1 .OOO € gegen die Beklagte gem. Art. 82 DGSVO.
Nach dieser Vorschrift hat jede Person, der wegen eines Verstoßes gegen diese Verordnung ein materieller oder immaterieller Schaden entstanden ist, Anspruch auf Schadensersatz gegen den Verantwortlichen.
Die Darlegungs- und Beweislast für die haftungsbegründenden Voraussetzungen trägt der Anspruchsberechtigte (Rn 51 zu Art.82 DS-GVO, BeckOK Datenschutzrecht, 44. Auflage, 01.05.2023, beck-online).
Trotz Hinweis des Gerichts in der mündlichen Verhandlung vom 13.07.2023 hat der Kläger weder dargelegt, welche Pflichtverletzung nach der DSGVO er der Beklagten vorwirft, noch welcher konkrete, immaterielle Schaden hierdurch eingetreten sein soll.
Aus dem Schreiben vom 19.10.202 folgt nicht ein vorheriger Verstoß der Beklagten gegen die DGSVO. Die Benachrichtigungspflicht gem. Art.34 DSGVO setzt eine „Verletzung des Schutzes personenbezogener Daten“ gem. Art. 4 Nr. 12 DSGVO voraus. Auf ein Verschulden oder eine Mitverursachung durch den Verantwortlichen kommt es hierbei nicht an (Rn 23 zu Art. 34 DGSVO, BeckOK Datenschutzrecht, 01.02.2022, 44 Auflage, beck-online)
Selbst wenn ein Verstoß gegen die DSGVO vorgelegen hätte, führt der Datenschutzverstoß an sich nicht zu einem Ersatzanspruch nach Art. 82 DSGVO, da der „Verstoß gegen diese Verordnung“ und der „Schaden“ zwei unterschiedliche Tatbestandsmerkmale der Vorschrift sind. Auch reicht der bloße Kontrollverlust über Daten nicht für das Vorliegen eines Schadens aus.
b) Mangels konkreten Schadens steht dem Kläger gegen die Beklagte auch kein Anspruch aus vertraglichen oder deliktischen Ansprüchen nach dem BGB zu.
Den Volltext der Entscheidung finden Sie hier:https://www.gesetze-bayern.de/Content/Document/Y-300-Z-GRURRS-B-2023-N-20971?hl=true
Leitsatz des Bundesverwaltungsgerichts:
Betreibt eine Stelle der öffentlichen Verwaltung in sozialen Medien eigene Seiten oder Kanäle, kann wegen der für alle Nutzer bestehenden Möglichkeit, dort eingestellte Beiträge zu kommentieren, eine technische Einrichtung zur Überwachung des Verhaltens und der Leistung von Beschäftigten vorliegen, deren Einrichtung oder Anwendung der Mitbestimmung des Personalrats unterliegt. Diese Frage entzieht sich einer generellen Beantwortung, sondern ist nur nach Maßgabe der Umstände des jeweiligen Einzelfalles zu beurteilen.
