Skip to content

EuGH: Videoüberwachung von Gemeinschaftsbereichen eines Wohngebäudes kann zum Schutz und zur Sicherheit von Personen und Eigentum zulässig sein

EuGH
Urteil vom 11.12.2019
C‑708/18
TK gegen Asociaţia de Proprietari bloc M5A-ScaraA


Der EuGH hat entschieden, dass die Videoüberwachung von Gemeinschaftsbereichen eines Wohngebäudes zum Schutz und zur Sicherheit von Personen und Eigentum zulässig sein kann.

Tenor der Entscheidung:

Art. 6 Abs. 1 Buchst. c und Art. 7 Buchst. f der Richtlinie 95/46/EG des Europäischen Parlaments und des Rates vom 24. Oktober 1995 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten und zum freien Datenverkehr sind im Licht der Art. 7 und 8 der Charta der Grundrechte der Europäischen Union dahin auszulegen, dass sie nationalen Vorschriften nicht entgegenstehen, wonach es zulässig ist, ohne Einwilligung der betroffenen Personen ein Videoüberwachungssystem wie das im Ausgangsverfahren in Rede stehende, in den Gemeinschaftsbereichen eines Wohngebäudes installierte einzurichten, um berechtigte Interessen wahrzunehmen, die darin bestehen, den Schutz und die Sicherheit von Personen und Eigentum zu gewährleisten, wenn die mittels dieses Videoüberwachungssystems erfolgende Verarbeitung personenbezogener Daten den Voraussetzungen des Art. 7 Buchst. f entspricht, was zu prüfen Sache des vorlegenden Gerichts ist.

Den Volltext der Entscheidung finden Sie hier:

BfDI: Bußgeld von fast 10 Mio EURO gegen 1&1 - Verstoß gegen Art. 32 DSGVO bei telefonischer Kundenbetreuung - Kundenauthentifizierung bei der Hotline

Der Bundesbeauftragte für den Datenschutz und die Informationsfreiheit (BfDI) gegen die 1&1 Telecom GmbH ein Bußgeld von fast 10 Mio EURO verhängt. Inhaltlich geht es um einen Verstoß gegen Art. 32 DSGVO (Sicherheit der Verarbeitung) bei der telefonischen Kundenbetreuung und der Kundenauthentifizierung gegenüber der Hotline. 1&1 hat bereit rechtliche Schritte gegen den Bescheid angekündigt.

Die Pressemitteilung des BfDI:

BfDI verhängt Geldbußen gegen Telekommunikationsdienstleister

Der Bundesbeauftragte für den Datenschutz und die Informationsfreiheit (BfDI) hat den Telekommunikationsdienstleister 1&1 Telecom GmbH mit einer Geldbuße in Höhe von 9.550.000 Euro belegt.

Das Unternehmen hatte keine hinreichenden technisch-organisatorischen Maßnahmen ergriffen, um zu verhindern, dass Unberechtigte bei der telefonischen Kundenbetreuung Auskünfte zu Kundendaten erhalten können. In einem weiteren Fall sprach der BfDI ein Bußgeld in Höhe von 10.000 Euro gegen die Rapidata GmbH aus.

Dazu sagte der Bundesbeauftragte Ulrich Kelber: Datenschutz ist Grundrechtsschutz. Die ausgesprochenen Geldbußen sind ein klares Zeichen, dass wir diesen Grundrechtsschutz durchsetzen werden. Die europäische Datenschutzgrundverordnung (DSGVO) gibt uns die Möglichkeit, die unzureichende Sicherung von personenbezogenen Daten entscheidend zu ahnden. Wir wenden diese Befugnisse unter Berücksichtigung der gebotenen Angemessenheit an.

Im Fall von 1&1 Telecom GmbH hatte der BfDI Kenntnis erlangt, dass Anrufer bei der Kundenbetreuung des Unternehmens allein schon durch Angabe des Namens und Geburtsdatums eines Kunden weitreichende Informationen zu weiteren personenbezogenen Kundendaten erhalten konnten. In diesem Authentifizierungsverfahren sieht der BfDI einen Verstoß gegen Artikel 32 DSGVO, nach dem das Unternehmen verpflichtet ist, geeignete technische und organisatorische Maßnahmen zu ergreifen, um die Verarbeitung von personenbezogenen Daten systematisch zu schützen.

Nachdem der BfDI den unzureichenden Datenschutz bemängelt hatte, zeigte sich 1&1 Telecom GmbH einsichtig und äußerst kooperativ. In einem ersten Schritt wurde zunächst der Authentifizierungsprozess durch die Abfrage zusätzlicher Angaben stärker abgesichert. In einem weiteren Schritt wird bei der 1&1 Telecom GmbH derzeit und nach Absprache mit dem BfDI ein neues, technisch und datenschutzrechtlich deutlich verbessertes Authentifizierungsverfahren eingeführt.

Ungeachtet dieser Maßnahmen war die Verhängung einer Geldbuße geboten. So war unter anderem der Verstoß nicht nur auf einen geringen Teil der Kunden begrenzt, sondern stellte ein Risiko für den gesamten Kundenbestand dar. Bei der Festsetzung der Höhe der Geldbuße blieb der BfDI aufgrund des während des gesamten Verfahrens kooperativen Verhaltens von 1&1 Telecom GmbH im unteren Bereich des möglichen Bußgeldrahmens.

Der BfDI untersucht aufgrund von eigenen Erkenntnissen, Hinweisen und auch Kundenbeschwerden zudem derzeit die Authentifizierungsprozesse weiterer Anbieter von Telekommunikationsdienstleistungen.

Ein weiteres Verfahren gegen den Telekommunikationsanbieter Rapidata GmbH wurde erforderlich, da das Unternehmen seiner gesetzlichen Auflage nach Artikel 37 DSGVO zur Benennung des betrieblichen Datenschutzbeauftragten trotz mehrmaliger Aufforderung nicht nachgekommen ist. Bei der Höhe der Geldbuße von 10.000 Euro wurde berücksichtigt, dass es sich hierbei um ein Unternehmen aus der Kategorie der Kleinstunternehmen handelt.



LG Düsseldorf: Schadensersatz aus § 826 BGB bei bewusst unberechtigter DSGVO-Abmahnung durch Scheinmitbewerber

LG Düsseldorf
Urteil vom 02.10.2019
12 O 25/19


Das LG Düsseldorf hat entschieden, dass ein Schadensersatzanspruch aus § 826 BGB bei bewusst unberechtigter DSGVO-Abmahnung durch einen Scheinmitbewerber besteht. Der Abmahner muss dem Abgemahnten die außergerichtlichen Rechtsanwaltskosten ersetzen. Der Abmahner hatte eine fehlerhafte Datenschutzerklärung unmittelbar nach Inkrafttreten der DSGVO abmahnen lassen. Der Abmahner hatte kurz vorher ein Gewerbe angemeldet. Dies genügt jedoch nicht zur Begründung einer Mitbewerbereigenschaft.

Aus den Entscheidungsgründen:

Die Klägerin begehrt Schadensersatz wegen einer unberechtigten Abmahnung.

Die Klägerin betreibt ein weltweit agierendes Umzugsunternehmen. Die Beklagte meldete zum 01.05.2018 ein Gewerbe für „Kurierfahrten, Umzüge und Transporte aller Art bis 3,5 t“ an. Die Beklagte betreibt keine Internetseite für ihr Unternehmen. Sie verfügt nicht über eine Güterkraftverkehrserlaubnis oder eine entsprechende EU-Lizenz. Sie ist nicht im Handelsregister eingetragen. Am angegebenen Firmensitz befindet sich ein Mehrfamilienwohnhaus.

Mit Schreiben vom 31.05.2018 mahnte der Prozessbevollmächtigte der Beklagten die Klägerin wegen der Datenschutzerklärung auf ihrer Internetseite ab und forderte Erstattung von Rechtsanwaltskosten in Höhe von 1.029,35 EUR (Anl. K 1). Die Beklagte war der Ansicht, dass die Datenschutzerklärung nicht den Anforderungen der DSGVO entspreche. Die Prozessbevollmächtigte der Klägerin wies den geltend gemachten Anspruch mit Schreiben vom 27.06.2018 zurück und forderte die Beklagte zur Erstattung von Rechtsanwaltskosten in Höhe von 559,30 EUR auf. Diese Aufforderung wiederholte sie mit Schreiben vom 22.08.2018 unter Fristsetzung bis zum 03.09.2018. Mit Schreiben vom 28.09.2018 forderte sie die Beklagte zur Erstattung von Rechtsanwaltskosten in Höhe von 201,71 EUR innerhalb von zwei Wochen auf, berechnet anhand des von der Beklagten geforderten Betrags in Höhe von 1.029,00 EUR.

Die Klägerin behauptet, sie verfüge über sämtliche notwendigen Genehmigungen für den Betrieb eines europaweit tätigen Umzugsunternehmens, wie eine Güterkraftverkehrserlaubnis und eine EU-Lizenz. Sie behauptet ferner, sie habe einen Betrag in Höhe von 201,71 EUR an ihre Prozessbevollmächtigte gezahlt. Sie ist der Ansicht, es bestehe kein Wettbewerbsverhältnis zwischen den Parteien. Ein solches gehe auch nicht aus der Abmahnung hervor. Es sei nicht ersichtlich, dass die Beklagte tatsächlich ein Transportunternehmen betreibe. Es bestünden Zweifel an der Bevollmächtigung des Unterzeichners des Abmahnschreibens vom 31.05.2018. Die Klägerin ist der Auffassung, ihr stehe ein Schadensersatzanspruch wegen der Rechtsanwaltskosten zu, die sie aufgrund der unberechtigten Abmahnung habe aufwenden müssen. Die unseriöse Geschäftspraktik der Beklagten diene alleine Schädigung der Klägerin.

Die Klägerin hat einen Mahnbescheid erwirkt, der der Beklagten am 13.10.2018 zugestellt worden ist. Am 07.11.2018 ist ein Vollstreckungsbescheid erlassen worden, der der Beklagten am 08.11.2018 zugestellt worden ist. Am 20.11.2018 hat die Beklagte Einspruch eingelegt, woraufhin das Verfahren an das Amtsgericht Langenfeld abgegeben worden ist. Auf Antrag der Klägerin ist der Rechtsstreit mit Beschluss vom 11.02.2019 an das Landgericht Düsseldorf verwiesen worden.

Die Klägerin beantragt,

die Beklagte zu verurteilen, an die Klägerin 201,71 EUR zuzüglich Zinsen in Höhe von 5 Prozentpunkten über dem Basiszins seit 04.09.2018 zu zahlen.

Die Beklagte beantragt,

die Klage abzuweisen.

Die Beklagte bestreitet, dass es sich um eine unberechtigte Abmahnung handle. Ein Wettbewerbsverhältnis liege vor. Die Datenschutzerklärung auf der Internetseite der Klägerin habe nicht den Anforderungen der DSGVO entsprochen. Selbst wenn die Abmahnung ungerechtfertigt gewesen wäre, gehöre dies zum allgemeinen Lebensrisiko. Die durch eine ungerechtfertigte Inanspruchnahme verursachten Kosten seien nur erstattungsfähig, wenn zwischen den Parteien eine rechtliche Sonderverbindung bestehe, innerhalb derer durch die Inanspruchnahme eine Pflicht verletzt worden sei. Zwischen den Parteien sei keine rechtliche Sonderverbindung ersichtlich, da weder ein vertragliches noch ein gesetzliches Schuldverhältnis vorliege.

[...]

Der Klägerin steht ein Schadensersatzanspruch in Höhe von 201,71 EUR gegen die Beklagte aus § 826 BGB zu.

Die Beklagte hat der Klägerin in einer gegen die guten Sitten verstoßenden Weise vorsätzlich Schaden zugefügt, indem sie sie bewusst unberechtigt abgemahnt hat.

Die Abmahnung vom 31.05.2018 war unberechtigt. Der Beklagten steht kein Beseitigungs- und Unterlassungsanspruch gegen die Klägerin aus §§ 8 Abs. 1, Abs. 3 Nr. 1, 2 Abs. 1 Nr. 3, 3 Abs. 1, 3a UWG zu. Denn bei den Parteien handelt es sich nicht um Mitbewerber im Sinne der §§ 8 Abs. 3 Nr. 1, 2 Abs. 1 Nr. 3 UWG. Die Tätigkeit der Klägerin im Bereich des Güterkraftverkehrs geht aus der zur Akte gereichten Abschrift der Lizenz für den grenzüberschreitenden gewerblichen Güterkraftverkehr hervor (Anl. K 5). Die Beklagte betreibt indessen kein Transportunternehmen. Hiervon ist auszugehen, weil sie den substantiierten Behauptungen der Klägerin, dass die Beklagte keine Transportleistungen im Internet anbiete und dass sich an dem angegebenen Firmensitz ein Wohnhaus befinde, weder im Rahmen des schriftlichen Vorverfahrens noch in der mündlichen Verhandlung oder im schriftlichen Verfahren entgegengetreten ist. Es fehlt vielmehr an jeglichem Vortrag der Beklagten zu ihrer in der Abmahnung behaupteten Geschäftstätigkeit. Auch die Behauptung der Klägerin, dass die Beklagte nicht über eine Güterkraftverkehrserlaubnis oder eine entsprechende EU-Lizenz verfüge, ist unstreitig geblieben. Die Beklagte ist auch nicht in das Handelsregister eingetragen. Lediglich die Gewerbeanmeldung spricht für das Betreiben eines Transportunternehmens durch die Beklagte. Diese Gewerbeanmeldung allein genügt angesichts der vorgenannten unstreitigen Anhaltspunkte, auf die die Beklagte weder schriftsätzlich noch in der mündlichen Verhandlung eingegangen ist, nicht, um dem Vortrag der Klägerin zur fehlenden tatsächlichen Ausübung einer Transporttätigkeit am Markt substantiiert entgegenzutreten. Das Datum der Gewerbeanmeldung im selben Monat der erstmaligen Anwendbarkeit der DSGVO spricht in Zusammenhang mit den vorstehenden unstreitig gebliebenen Umständen vielmehr für eine Gewerbeanmeldung zum alleinigen Zweck, Unternehmen auf der Grundlage der DSGVO abzumahnen.

Die bewusst unberechtigte Abmahnung von Unternehmen ist sittenwidrig, denn sie ist mit den grundlegenden Wertungen der Rechts- und Sittenordnung nicht vereinbar. Das Verhalten ist außerdem als besonders verwerflich anzusehen, da die Beklagte zum alleinigen Zweck der Erzeugung von Abmahnkosten ein tatsächlich nicht ausgeübtes Gewerbe angemeldet und eine bewusst unberechtigte Abmahnung ausgesprochen hat. Dies erfolgte ersichtlich in der Hoffnung, der Abgemahnte werde die Berechtigung der Abmahnung angesichts der Androhung der Einschaltung von Behörden und der in Aussicht gestellten Reduzierung der Abmahnkosten im Fall der außergerichtlichen Erledigung nicht prüfen und stattdessen die geforderten Abmahnkosten sofort zahlen.

Der Klägerin ist ein Schaden in Gestalt der erforderlichen Kosten für die Beauftragung eines Rechtsanwalts zum Zweck der Rechtsverteidigung entstanden. Die Einschaltung eines Rechtsanwalts zum Zweck der Rechtsverteidigung ist bei einer unberechtigten anwaltlichen Abmahnung erforderlich, da dies die kostengünstigste Möglichkeit der Überprüfung ist, ob die Abmahnung gerechtfertigt war und daher die geltend gemachten Ansprüche erfüllt werden sollten (LG München I, Urteil vom 27.07.215, Az.: 7 O 20941/14, BeckRS 2015, 20521). Das Bestreiten der Zahlung der Rechtsanwaltskosten ist unerheblich. Der Klägerin steht jedenfalls ein Freistellungsanspruch gemäß §§ 826, 257 S. 1 BGB zu. Dieser Anspruch hat sich durch die in der Klageerwiderung geäußerte endgültige Weigerung der Beklagten, die Kosten zu erstatten, in einen Zahlungsanspruch aus §§ 280 Abs. 1, Abs. 3, 281 Abs. 1 S. 1 BGB gewandelt (vgl. OLG Hamm, GRUR-RR 2014, 133, 134). Mit der Weigerung, die Anwaltskosten zu bezahlen, hat die Beklagte zugleich auch die geschuldete Freistellung dem Grunde nach ernsthaft und endgültig verweigert. Damit hat die Beklagte ihre Pflicht zur Freistellung verletzt (vgl. ebd.).

Die Beklagte hat in dem Bewusstsein der Schadensentstehung und der die Sittenwidrigkeit begründenden Umstände gehandelt. Ein Abmahner handelt nicht schuldhaft, wenn er die Rechtslage selbst für zweifelhaft hält oder abmahnt, obwohl ihm nicht alle erforderlichen Informationen zur Beurteilung der Rechtslage zur Verfügung stehen oder andere vernünftige Überlegungen die Abmahnung rechtfertigen (Omsels, in: Harte-Bavendamm/Henning-Bodewig, 4. Aufl. 2016, § 4 Nr. 4 Rn. 185). Ein Verschulden setzt vielmehr das subjektive Wissen um die mangelnde Rechtfertigung der ausgesprochenen Abmahnung bzw. ein wissensgleiches bewusstes Sich-Verschließen gegenüber einer solchen Erkenntnis voraus (OLG Hamm NJOZ 2010, 2522, 2524). Ausweislich der obigen Ausführungen ist davon auszugehen, dass die Beklagte nicht lediglich Zweifel an der Beurteilung der Rechtslage hatte. Sie hat vielmehr zum Zweck der Geltendmachung eines Kostenerstattungsanspruchs bewusst unberechtigt abgemahnt.

Der Zinsanspruch folgt aus §§ 280 Abs. 1, 2, 286 Abs. 1 S. 1, 288 Abs. 1 BGB. Die Beklagte befand sich seit Ablauf der in der Mahnung vom 22.08.2018 gesetzten Frist in Verzug. In dieser Mahnung hat die Klägerin zwar einen höheren Betrag als Rechtsverteidigungskosten geltend gemacht. Eine Zuvielmahnung stellt eine wirksame Mahnung dar, wenn der Schuldner die Aufforderung nach Treu und Glauben und den allgemeinen Auslegungsgrundsätzen als Aufforderung zur Bewirkung der tatsächlich geschuldeten Leistung verstehen muss, diese also für ihn feststeht oder ermittelbar ist und der Gläubiger zur Annahme der vom Schuldner geschuldeten Minderleistung bereit ist (Ernst, in: Münchener Kommentar zum BGB, 8. Aufl. 2019, § 286 BGB Rn. 53). Diese Voraussetzungen liegen vor. Insbesondere war der tatsächlich geschuldete Betrag von 201,71 EUR für die Beklagte unter Heranziehung des Vergütungsverzeichnisses zum RVG ermittelbar. Soweit mit dem Vollstreckungsbescheid vom 07.11.2018 der Klägerin Zinsen seit dem 14.07.2018 zugesprochen worden sind, ist dieser aufzuheben, da es an einem schlüssigen Vorbringen für einen früheren Zinsbeginn fehlt.

Die prozessualen Nebenentscheidungen folgen aus § 92 Abs. 2 Nr. 1 ZPO und §§ 708 Nr. 11, 713 ZPO. Ausgenommen von der Kostentragung der Beklagten sind die Kosten der Verweisung an das zuständige Landgericht Düsseldorf, die die Klägerin gemäß § 281 Abs. 3 S. 2 ZPO zu tragen hat.


Den Volltext der Entscheidung finden Sie hier:






LfDI Rheinland-Pfalz: DSGVO-Bußgeld in Höhe von 105.000 Euro gegen Krankenhaus wegen Datenschutz-Defiziten beim Patientenmanagement

Der Landesbeauftragte für den Datenschutz und die Informationsfreiheit Rheinland-Pfalz (LfDI) hat ein Bußgeld in Höhe von 105.000 Euro gegen ein Krankenhaus wegen Datenschutz-Defiziten beim Patientenmanagement verhängt.

Die Pressemitteilung des LfDI:

Geldbuße gegen Krankenhaus aufgrund von Datenschutz-Defiziten beim Patientenmanagement

Der Landesbeauftragte für den Datenschutz und die Informationsfreiheit Rheinland-Pfalz (LfDI) hat gegenüber einem Krankenhaus in Rheinland-Pfalz eine Geldbuße in Höhe von 105.000 Euro verhängt. Zugleich begrüßt der LfDI die belastbar vorgetragenen Bemühungen des Krankenhauses, Fortentwicklungen und Verbesserungen des Datenschutzmanagements nachhaltig voranzutreiben.

Die bestandskräftige Geldbuße beruht auf mehreren Verstößen gegen die Datenschutz-Grundverordnung im Zusammenhang mit einer Patientenverwechslung bei der Aufnahme des Patienten. Diese hatte eine falsche Rechnungsstellung zur Folge und offenbarte strukturelle technische und organisatorische Defizite des Krankenhauses beim Patientenmanagement.

Der Landesbeauftragte, Prof. Dr. Kugelmann, hebt hervor: „Vorrangiges Ziel der Abhilfe- und Sanktionsmaßnahmen ist es, bestehende Defizite abzustellen und den Datenschutz zu verbessern. Geldbußen sind hierbei ein Instrument unter mehreren. Neben ihrer Sanktionswirkung enthalten sie immer auch ein präventives Element, indem deutlich wird, dass Missständen konsequent nachgegangen wird. Mir kommt es darauf an, dass mit Blick auf die besondere Sensibilität der Daten beim Gesundheitsdatenschutz substanzielle Fortschritte erzielt werden. Daher hoffe ich, dass die Geldbuße auch als Signal gewertet wird, dass die Datenschutzaufsichtsbehörden auf dem Feld des Umgangs mit Daten im Gesundheitswesen besondere Wachsamkeit an den Tag legen.“



BMJV: DSGVO-Studie zum Datenschutz bei Onlinediensten - Datenschutzgrundverordnung nur unzureichend umgesetzt.

Das BMJV hat eine Studie zur Umsetzung der DSGVO bei großen Online-Diensten und Online-Anbietern veröffentlicht.
Sie finden die Studie hier:
"Untersuchung der Umsetzung der Datenschutz-Grundverordnung (DSGVO) durch Online-Dienste"

Die Pressemitteilung des BMJV:

Ermutigend und ernüchternd: Studie zum Datenschutz bei Onlinediensten

Wissenschaftler der Universität Göttingen haben für das Bundesministerium der Justiz und für Verbraucherschutz untersucht, wie 35 große Onlinedienste die Datenschutz-Grundverordnung (DSGVO) umsetzen. Zu den untersuchten Portalen zählen etwa Amazon, Google, WhatsApp, Zalando und Otto. Ein Schwerpunkt liegt auf den Verbraucherrechten der DSGVO, insbesondere der Einwilligung der Nutzer, Transparenz und Information.

Zu den Ergebnissen äußert sich Verbraucherschutz-Staatssekretär Gerd Billen:

„Die Ergebnisse sind ermutigend und ernüchternd zugleich. Ermutigend ist: Die Datenschutz-Grundverordnung hat praktische Verbesserungen für Verbraucherinnen und Verbraucher gebracht. Bessere Information, mehr Transparenz und Wahlfreiheit lassen sich gut umsetzen. Die Studie zeigt Beispiele, wie Vorgaben der DSGVO praktikabel erfüllt werden können. Der Nebel lichtet sich.

Ernüchternd ist: Nicht ansatzweise alle Dienste haben die DSGVO umgesetzt, und dies schon gar nicht vollständig. Während einige untersuchte Onlineshops bereits viel getan haben, gibt es vor allem bei sozialen Netzwerken und Messengern weiter eklatante Mängel. Die größten Probleme gibt es weiter bei personalisierter Werbung.

Nachlässig ist oft der Umgang mit den Daten, die eigentlich besonders zu schützen sind: sensible Informationen zur Herkunft, zur Gesundheit oder zu politischen Ansichten. Hier muss dringend nachgearbeitet werden.

Auch die Potenziale der DSGVO lassen sich noch viel besser nutzen: Grundeinstellungen, die von vornherein die Privatsphäre schützen, gibt es immer noch viel zu selten. „Privacy by default“ bedeutet, dass das Häkchen immer schon bei der datenschutzfreundlichen Einstellung gesetzt sein soll. Das sollte Standard werden.“




Zweites Datenschutz-Anpassungs- und Umsetzungsgesetz EU – 2. DSAnpUGEU am 26.11.2019 in Kraft getreten - Anpassung Datenschutzrecht DSGVO

Das Zweite Gesetzes zur Anpassung des Datenschutzrechts an die Verordnung (EU) 2016/679 und zur Umsetzung der Richtlinie (EU) 2016/680 (Zweite Datenschutz-Anpassungs- und Umsetzungsgesetz EU – 2. DSAnpUGEU) wurde am 25.11.2019 im Bundesgesetzblatt veröffentlicht und ist am 26.11.2019 in Kraft getreten.



OLG Naumburg: Verstoß gegen DSGVO wettbewerbswidrig wenn verletzte Norm Marktverhaltensregelung ist - Verarbeitung von Gesundheitsdaten beim Verkauf von Medikamenten über Amazon Markteplace

OLG Naumburg
Urteile vom 07.11.2019
9 U 6/19 und 9 U 39/18


Das OLG Naumburg hat entschieden, dass ein Verstoß gegen die Vorgaben der DSGVO wettbewerbswidrig ist und Mitbewerbern ein Unterlassungsanspruch zusteht, wenn die verletzte Norm in der konkreten Fallkonstellation als Marktverhaltensregelung einzuordnen ist. Vorliegend ging es um die Verarbeitung von Gesundheitsdaten beim Verkauf von Medikamenten über Amazon Markteplace. Das Gericht hat einen Wettbewerbsverstoß durch Verletzung von Art. 9 Abs. 1 DSGVO angenommen.

Aus den Entscheidungsgründen:

Dem Kläger steht ein Unterlassungsanspruch gemäß § 8 Abs. 1 S. 1 i.V.m. 3a UWG wegen Verstoßes gegen Art. 9 Abs. 1 DSGVO zu.

I. Der Kläger ist als Mitbewerber aktivlegitimiert (vgl. II.,1.). In der vorliegenden Fallkonstellation sind die Regeln der DSGVO als Marktverhaltensregeln im Sinne des § 3 a UWG anzusehen (vgl. II., 2). Bei den erfassten Daten handelt es sich um Gesundheitsdaten im Sinne von Art. 9 Abs. 1 DSGVO (II., 3.). Der Beklagte verarbeitet die von der Handelsplattform erhobenen Daten ohne ausdrückliche Einwilligung im Sinne des Art. 9 Abs. 2 Buchst. a DSGVO (II., 4.).

Berufsrechtliche Verstöße vermag der Senat im vorliegenden Fall nicht festzustellen (vgl. III.). Ein Schadensersatzanspruch oder ein vorgeschalteter Anspruch auf Auskunft scheidet aus, da dem Beklagten kein Verschulden vorzuwerfen ist (IV.).

II.

1. Der Kläger ist aktivlegitimiert. Die Parteien sind Mitbewerber im Sinne des § 8 Abs. 3 Nr. 1 UWG.

aa) Die Eigenschaft als Mitbewerber gemäß § 8 Abs. 3 Nr. 1 UWG erfordert ein konkretes Wettbewerbsverhältnis im Sinne des § 2 Abs. 1 Nr. 3 UWG. Das ist gegeben, wenn beide Parteien gleichartige Waren oder Dienstleistungen innerhalb desselben Endverbraucherkeises abzusetzen versuchen und daher das Wettbewerbsverhalten des einen den anderen beeinträchtigen, das heißt im Absatz behindern oder stören kann (BGH, Urteil vom 13. Juli 2006 - I ZR 241/03, BGHZ 168, 314 Rn. 14 - Kontaktanzeigen; Urteil vom 28. September 2011 - I ZR 92/09, GRUR 2012, 193 = WRP 2012, 201 Rn. 17 - Sportwetten im Internet II).

Da im Interesse eines wirksamen lauterkeitsrechtlichen Individualschutzes grundsätzlich keine hohen Anforderungen an das Vorliegen eines konkreten Wettbewerbsverhältnisses zu stellen sind, reicht es hierfür aus, dass sich der Verletzer durch seine Verletzungshandlung im konkreten Fall in irgendeiner Weise in Wettbewerb zu dem Betroffenen stellt (BGH, Urteil vom 29. November 1984 - I ZR 158/82, BGHZ 93, 96, 97 f. - DIMPLE, mwN; Urteil vom 10. April 2014 – I ZR 43/13, GRUR 2014, 1114 = WRP 2014, 1307 Rn. 32 - nickelfrei; Urteil vom 19. März 2015 - I ZR 94/13, GRUR 2015, 1129 Rn. 19 = WRP 2015, 1326 - Hotelbewertungsportal). Nach der Rechtsprechung des Bundesgerichtshofes ist daher ein konkretes Wettbewerbsverhältnis anzunehmen, wenn zwischen den Vorteilen, die die eine Partei durch eine Maßnahme für ihr Unternehmen oder das eines Dritten zu erreichen sucht, und den Nachteilen, die die andere Partei dadurch erleidet, eine Wechselwirkung in dem Sinne besteht, dass der eigene Wettbewerb gefördert und der fremde Wettbewerb beeinträchtigt werden kann (BGH, GRUR 2014, 1114 Rn. 32 - nickelfrei; GRUR 2015, 1129 Rn. 19 - Hotelbewertungsportal). Nicht ausreichend ist es allerdings, wenn die Maßnahme den anderen nur irgendwie in seinem Marktstreben betrifft. Eine bloße Beeinträchtigung reicht zur Begründung eines Wettbewerbsverhältnisses nicht aus, wenn es an jeglichem Konkurrenzmoment im Angebots- oder Nachfragewettbewerb fehlt (BGH, Urteil vom 26. Januar 2017 – I ZR 217/15 –, Rn. 16, juris m.w.N.)

bb) Da das Internet auch im Einzugsbereich der Apotheke des Klägers verfügbar ist, konkurrieren die Parteien räumlich. Sachlich führen beide die gleichen Waren. Es ist daher denkbar, dass ein Kunde ein apothekenpflichtiges Medikament statt in der Apotheke des Klägers über den Amazon Marketplace bei dem Beklagten kauft.

Die Argumentation des Beklagten, dass die Kunden einer Präsenz-Apotheke an Beratung interessiert seien, während Kunden, die keine Beratung benötigten, im Internet kauften, vermag den Senat nicht zu überzeugen. Es mag sein, dass ein Kunde, der eine Beratung möchte, in der Regel eine Präsenz-Apotheke aufsuchen wird. Dagegen ist es keinesfalls zwingend, dass ein Kunde ohne Interesse an Beratung nur im Internet kauft.

2. Nach Auffassung des Senats sind die Regelungen der DSGVO in der vorliegenden Fallkonstellation als Marktverhaltensregeln im Sinne des § 3a UWG aufzufassen.

a) Eine Norm regelt das Marktverhalten im Interesse der Mitbewerber, Verbraucher oder sonstigen Marktteilnehmer, wenn sie einen Wettbewerbsbezug in der Form aufweist, dass sie die wettbewerblichen Belange der als Anbieter oder Nachfrager von Waren oder Dienstleistungen in Betracht kommenden Personen schützt (vgl. BGH, Urteil vom 3. Juli 2003 - I ZR 211/01, BGHZ 155, 301, 305 - Telefonischer Auskunftsdienst; Urteil vom 12. Juli 2007 - I ZR 18/04, BGHZ 173, 188 Rn. 35 - Jugendgefährdende Medien bei eBay). Eine Vorschrift, die dem Schutz von Rechten, Rechtsgütern oder sonstigen Interessen von Marktteilnehmern dient, ist eine Marktverhaltensregelung, wenn das geschützte Interesse gerade durch die Marktteilnahme (vgl. BGH, Urteil vom 8. Oktober 2015 - I ZR 225/13, GRUR 2016, 513 Rn. 21 = WRP 2016, 586 - Eizellspende; MünchKomm.UWG/Schaffert, 2. Aufl., § 4 Nr. 11 Rn. 60), also durch den Abschluss von Austauschverträgen und den nachfolgenden Verbrauch oder Gebrauch der erworbenen Ware oder in Anspruch genommenen Dienstleistung berührt wird (vgl. GroßKomm.UWG/Metzger, 2. Aufl., § 4 Nr. 11 Rn. 38; Köhler in Köhler/Bornkamm, UWG, 35. Aufl., § 3a Rn. 1.67). Nicht erforderlich ist eine spezifisch wettbewerbsbezogene Schutzfunktion in dem Sinne, dass die Regelung die Marktteilnehmer speziell vor dem Risiko einer unlauteren Beeinflussung ihres Marktverhaltens schützt (vgl. BGH, Urteil vom 10. Dezember 2009 - I ZR 189/07, GRUR 2010, 754 Rn. 20 ff. = WRP 2010, 869 - Golly Telly; Urteil vom 4. November 2010 - I ZR 139/09, GRUR 2011, 633 Rn. 34 = WRP 2011, 858 – BIO TABAK; aA Ohly in Ohly/Sosnitza, UWG, 7. Aufl., § 3a Rn. 25; Gärtner/Heil, WRP 2005, 20, 22; Scherer, WRP 2006, 401, 404). Die Vorschrift muss jedoch - zumindest auch - den Schutz der wettbewerblichen Interessen der Marktteilnehmer bezwecken; lediglich reflexartige Auswirkungen zu deren Gunsten genügen daher nicht (BGH, Urteil vom 27. April 2017 – I ZR 215/15 –, Rn. 20, juris m.w.N.)

b) Die Frage, ob Datenschutzbestimmungen nach Inkrafttreten der DSGVO Marktverhaltensregeln darstellen, ist bisher in Literatur und Rechtsprechung nicht abschließend geklärt.

aa) In der Literatur wird nunmehr vertreten, dass Datenschutzbestimmungen nach Inkrafttreten der DSGVO keine Marktverhaltensregeln im Sinne des § 3 Buchst. a UWG darstellen (Köhler in: Köhler/Dornkamp/Feddersen, UWG, 36. Aufl., 2018, § 3a Rn. 1.40a und 1.74a).

bb) Das Hanseatische Oberlandesgericht Hamburg nimmt dagegen auch nach Inkrafttreten der DSGVO an, dass insoweit die jeweilige Norm konkret darauf überprüft werden muss, ob gerade jene Norm eine Regelung des Marktverhaltens zum Gegenstand hat (Urteil vom 25. Oktober 2018 – 3 U 66/17 –, Rn. 72, juris).

cc) Der Senat schließt sich der Auffassung des Hanseatischen Oberlandesgerichts Hamburg an. Selbstverständlich schützen Datenschutzregeln in erster Linie das informationelle Selbstbestimmungsrecht des Betroffenen. Gleichwohl verfolgt die DSGVO auch andere Zielsetzungen: In den Erwägungsgründen 6 bis 8 der DS-RL heißt es, dass die Richtlinie auch den grenzüberschreitenden Verkehr personenbezogener Daten auf ein einheitliches Schutzniveau heben soll (Erwägungsgründe 6 und 7), weil ein unterschiedliches Schutzniveau ein Hemmnis für die Ausübung von Wirtschaftstätigkeiten auf Gemeinschaftsebene darstellen und den Wettbewerb verfälschen könne (Erwägungsgrund 7 Satz 2), und die Regelungen der Richtlinie auch der Beseitigung solcher Hemmnisse diene, um einen grenzüberschreitenden Fluss personenbezogener Daten kohärent in allen Mitgliedsstaaten und in Übereinstimmung mit dem Ziel des Binnenmarktes zu regeln (Erwägungsgrund 8).

Vor Inkrafttreten der DSGVO war außerdem in der Rechtsprechung bereits anerkannt, dass die Nutzung von Daten zu Werbezwecken nach § 28 Abs. 3 BDSG a.F. als Marktverhaltensregel anzusehen ist (OLG Stuttgart, MMR 2007, 437, Rn. 27; OLG Köln, MMR 2009, 845; CR 2011, 680; ZD 2012, 421; OLG Karlsruhe, ZD 2012, 432, Rn. 34; OLG Dresden, BeckRS 2014, 15220, insoweit unklar, ob nur die dort ebenfalls allein streitige Regelung des § 28 Abs. 3 BDSG a.F.
oder § 28 BDSG a.F. generell als marktverhaltensregelnd angesehen worden ist).

c) Im vorliegenden Fall hat der Beklagte die Plattform Amazon Marketplace in das Feilbieten der von ihm vertriebenen Medikamente und Medizinprodukte in der Weise einbezogen, dass er die Popularität dieser Plattform nutzt, um Kunden zu gewinnen. Er setzt damit die Plattform als Werbeträger ein. Amazon selbst wertet die Daten – wenn auch anonym – aus, um zu werben: "Kunden, die sich Produkt A angesehen haben, interessieren sich auch für Produkte B". Dies zielt
auf den Markt ab und berührt die wettbewerblichen Interessen der Marktteilnehmer. Denn durch die Auswertung der Absatzdaten können Kunden zielgerichtet angesprochen werden.

3. Bei den Bestelldaten der Kunden handelt es sich um Gesundheitsdaten im Sinne von Art. 9 Abs. 1 DSGVO. Die Daten, die Amazon für den Bestellvorgang erfasst, stellen sicher keine Gesundheitsdaten im engeren Sinne dar, wie z.B. ärztliche Befunde. Gleichwohl können aus den Bestelldaten Rückschlüsse auf die Gesundheit des Bestellers gezogen werden. Soweit der Beklagte einwendet, dass eine Internetbestellung auch für Mitglieder der Familie und andere Personen erfolgen könne, trifft dies zu. Dies senkt aber nur die Wahrscheinlichkeit, mit der der gezogene Rückschluss zutrifft. Dies reicht nach Auffassung des Senates nicht aus, um die Gesundheitsbezogenheit der Daten entfallen zu lassen. Dies würde zu einer Absenkung des Schutzniveaus führen.

Soweit der Beklagte einwendet, dass die Datenschutzbehörden auf EU-Ebene beim Kauf von medizinischen Standardprodukten nicht von Gesundheitsdaten ausgehen, beachtet er nicht, dass hier nicht nur medizinische Standardprodukte verkauft werden, sondern eben auch apothekenpflichtige Medikamente. Insbesondere die Kombination aus mehreren apothekenpflichtigen Medikamenten lässt durchaus einen Rückschluss auf den Gesundheitszustand des Bestellers zu, wenn auch die Wahrscheinlichkeit eines zutreffenden Rückschlusses durch die Möglichkeit der Drittbestellung – wie bereits ausgeführt – an Sicherheit gemindert ist.

4. Im vorliegenden Fall liegen zwei Datenverarbeitungen im Sinne des § 9 Abs. 1 DSGVO vor.

a) Die Datenverarbeitung durch die Plattform Amazon Marketplace ist keine Auftragsdatenverarbeitung für den Beklagten im Sinne der DSGVO. Die allgemeinen Geschäftsbedingungen von Amazon enthalten diesen Passus. Eine Auftragsdatenverarbeitung ist auch von keiner Seite behauptet worden; der Beklagte räumt sie selbst ein, dass es sich nicht um eine Auftragsdatenverarbeitung handelt.

b) Eventuelle Datenschutzverstöße der Plattform Amazon Marketplace sind nicht Teil des Rechtsstreits; der Kläger weist hierauf ausdrücklich hin (vgl. Bd. III Bl. 6 und Bl. 28 d.A. [= Schriftsatz des Klägers vom 24.09.2018]). Insoweit geht es auch nicht um die Frage, ob eventuelle Datenschutzverstöße der Plattform dem Beklagten zugerechnet werden können.

c) Entscheidend ist hier die Datenverarbeitung durch den Beklagten selbst. Hierfür fehlt eine wirksame Einwilligung im Sinne des Art. 9 Abs. 2 lit. a DSGVO.

aa) Nach Art. 9 Abs. 1 DSGVO kommt es nicht auf die Erhebung, sondern auf die Verarbeitung der dort genannten personenbezogenen Daten an.

bb) An einer Einwilligung für die Verarbeitung durch den Beklagten im Sinne des Art. 9 Abs. 2 Buchst. a DSGVO fehlt es hier.

α) Eine ausdrückliche Einwilligung der Kunden beim Bestellvorgang ist von keiner Seite behauptet worden.

β) Angesichts des Wortlauts des Art. 9 Abs. 2 Buchst. a DSGVO ("ausdrücklich eingewilligt") dürfte eine konkludente Einwilligung die Voraussetzung dieser Vorschrift nicht erfüllen. Darüber hinaus ist die Verpflichtung des Apothekers zur Einholung einer schriftlichen Einwilligung berufsrechtlich durch die Berufsordnung der Apothekenkammer Sachsen-Anhalt konkretisiert.

§ 15 Abs. 2 dieser Berufsordnung lautet:
"Die Speicherung und Nutzung patientenbezogener Daten bedarf der vorherigen schriftlichen Einwilligung des Betroffenen, sofern sie nicht nach dem Bundesdatenschutzgesetz und anderen Ermächtigungsgrundlagen zulässig sind oder von gesetzlichen Bestimmungen gefordert werden."

III.

Abgesehen von § 15 Abs. 2 der zitierten Berufsordnung hat der Beklagte nicht gegen Berufsrecht der Apotheker verstoßen.

1. Nicht zu folgen vermag der Senat der Auffassung des Klägers, dass der Beklagte durch das gewählte Vertriebsmodell Arzneimittel unter Verstoß gegen § 43 Abs. 1 AMG in Verkehr bringe und die Einbeziehung von Personen zu verantworten habe, die nicht der Geheimhaltungspflicht des § 203 StGB unterliegen.

a) Bei Anpreisung im Internet handelt es sich nach ständiger Rechtsprechung regelmäßig nur um die Aufforderung zur Abgabe eines Angebots. Der Senat sieht keine Veranlassung, für den Bereich des Apothekenrechts von dieser Grundregel abzuweichen.

b) Damit setzt der Kunde die Verkaufsplattform zur Übermittlung seines Angebots auf Abschluss eines Kaufvertrages zivilrechtlich als Bote ein. Er offenbart damit seine Gesundheitsdaten der Verkaufsplattform selbst.

c) Die Entscheidung diesen Weg zu wählen, um ein Medikament zu erwerben, trifft der Kunde eigenverantwortlich.

Es kommt daher weder ein Verstoß nach § 43 Abs. 1 AMG noch gegen § 203 StGB in Betracht. Denn der Apotheker setzt die Verkaufsplattform nur zur Reichweitenerhöhung, nicht aber für den Vertrieb ein. Nach der Übermittlung der Bestelldaten durch Amazon ist die Situation mit einer direkten Bestellung bei der Online-Apotheke des Beklagten – von der bereits ausgeführten datenschutzrechtlichen Problematik abgesehen – vergleichbar. Den Betrieb von Online-Apotheken hat der Gesetzgeber jedoch ausdrücklich zugelassen. Damit scheidet auch ein Verstoß gegen § 3 Abs. 5 ApBetrO aus. Denn die pharmazeutischen Tätigkeiten beginnen erst nach der Übermittlung der Daten durch Amazon an den Beklagten.

2. Ein Verstoß gegen das Selbstbedienungsverbot gemäß § 17 Abs. 3 ApBetrO scheidet aus den vom Landgericht genannten Gründen aus. Der Senat nimmt auf die entsprechenden Ausführungen im angegriffenen Urteil ausdrücklich Bezug. 3. Die Werbemaßnahmen auf der Handelsplattform gehen erkennbar – wie das Landgericht zutreffend ausführt - auf Amazon bzw. mittelbar auf die Kunden zurück, die Rezensionen schreiben. Die Werbemaßnahmen beziehen sich auf das Produkt und nicht auf eine konkrete Online-Apotheke und kommen daher nicht einem, sondern allen auf der Plattform vertretenen Apothekern zugute. Der Senat sieht daher keinen Verstoß gegen § 11 HWG oder § 14 Berufsordnung der Apothekenkammer Sachsen-Anhalt.

4. Die behauptete Umsatzbeteiligung von Amazon beruht auf Vermutungen. Es liegt außerdem weder ein partiarisches Darlehen oder einen am Umsatz ausgerichteter Mietvertrag vor. Ein Verstoß gegen § 8 Abs. 2 ApoG scheidet daher aus.

IV. Ein möglicher Schadensersatzanspruch gemäß § 9 UWG und ein vorbereitender Auskunftsanspruch setzen ein Verschulden voraus. Angesichts der bisher noch nicht abschließend von der Rechtsprechung geklärten Rechtslage zum marktregelnden Charakter der DSGVO billigt der Senat dem Beklagten einen unvermeidbaren Verbotsirrtum gemäß § 17 S. 1 StGB analog zu.


Den Volltext der Entscheidungen finden Sie hier:

OLG Naumburg, Urteil vom 07.11.2019 - 9 U 6/19

OLG Naumburg, Urteil vom 07.11.20199 U 39/18







OLG Köln: Streitwert 5.000 EURO für Auskunftsanspruch nach Art. 15 DSGVO angemessen sofern mit Anspruch auch wirtschaftliches Ziel verfolgt wird

OLG Köln
Beschluss vom 25.07.2019
20 W 10/18


Das OLG Köln hat entschieden, dass ein Streitwert von 5.000 EURO für einen Auskunftsanspruch nach Art. 15 DSGVO angemessen sein kann, sofern mit dem Anspruch auch ein wirtschaftliches Ziel verfolgt wird (hier: Durchsetzung von Ansprüchen in sechsstelliger Höhe).

Aus den Entscheidungsgründen:

"Der Streitwert für den Antrag zu 6) wird - insoweit die erstinstanzlich vorgenommene Streitwertfestsetzung erhöhend - auf 5.000,00 EUR geschätzt.

In zivilrechtlichen Verfahren wird der Streitwert für nichtvermögensrechtliche Ansprüche gemäß § 48 Abs. 3 GKG unter Berücksichtigung aller Umstände des Einzelfalls - insbesondere des Umfangs und der Bedeutung der Sache sowie der Vermögens- und Einkommensverhältnisse der Parteien - nach Ermessen bestimmt. Unter Berücksichtigung dieser Faktoren, insbesondere der Bedeutung des Anspruchs aus Art. 15 DS-GVO und der hierdurch geschützten grundrechtlichen Positionen sowie des Umstands, dass der Kläger mit der Geltendmachung des Auskunftsanspruchs (anders als in dem dem Beschluss des 9. Zivilsenats des Oberlandesgerichts Köln vom 05.02.2018, Az. 9 U 120/17, zugrundeliegenden Sachverhalt) zumindest auch ein wirtschaftliches Ziel, nämlich die Erleichterung der Durchsetzung der Anträge zu 1) bis 5) verfolgt, erscheint eine Festsetzung des Werts auf 5.000,00 EUR als angemessen."

Den Volltext der Entscheidung finden Sie hier:


Berliner Datenschutzbeauftragter: Bußgeld von 14,5 Millionen EURO gegen Deutsche Wohnen SE wegen DSGVO-Verstößen

Der Berliner Beauftragte für Datenschutz und Informationsfreiheit hat gegen die Deutsche Wohnen SE wegen DSGVO-Verstößen ein Bußgeld von rund 14,5 Millionen EURO verhängt.

Die Pressemitteilung des Berliner Beauftragten für Datenschutz und Informationsfreiheit:

Berliner Datenschutzbeauftragte verhängt Bußgeld gegen Immobiliengesellschaft

Am 30. Oktober 2019 hat die Berliner Beauftragte für Datenschutz und Informationsfreiheit gegen die Deutsche Wohnen SE einen Bußgeldbescheid in Höhe von rund 14,5 Millionen Euro wegen Verstößen gegen die Datenschutz-Grundverordnung (DS-GVO) erlassen.

Bei Vor-Ort-Prüfungen im Juni 2017 und im März 2019 hat die Aufsichtsbehörde festgestellt, dass das Unternehmen für die Speicherung personenbezogener Daten von Mieterinnen und Mietern ein Archivsystem verwendete, das keine Möglichkeit vorsah, nicht mehr erforderliche Daten zu entfernen. Personenbezogene Daten von Mieterinnen und Mietern wurden gespeichert, ohne zu überprüfen, ob eine Speicherung zulässig oder überhaupt erforderlich ist. In begutachteten Einzelfällen konnten daher teilweise Jahre alte private Angaben betroffener Mieterinnen und Mieter eingesehen werden, ohne dass diese noch dem Zweck ihrer ursprünglichen Erhebung dienten. Es handelte sich dabei um Daten zu den persönlichen und finanziellen Verhältnissen der Mieterinnen und Mieter, wie z. B. Gehaltsbescheinigungen, Selbstauskunftsformulare, Auszüge aus Arbeits- und Ausbildungsverträgen, Steuer-, Sozial- und Krankenversicherungsdaten sowie Kontoauszüge.

Nachdem die Berliner Datenschutzbeauftragte im ersten Prüftermin 2017 die dringende Empfehlung ausgesprochen hatte, das Archivsystem umzustellen, konnte das Unternehmen auch im März 2019, mehr als eineinhalb Jahre nach dem ersten Prüftermin und neun Monate nach Anwendungsbeginn der Datenschutz-Grundverordnung weder eine Bereinigung ihres Datenbestandes noch rechtliche Gründe für die fortdauernde Speicherung vorweisen. Zwar hatte das Unternehmen Vorbereitungen zur Beseitigung der aufgefundenen Missstände getroffen.

Diese Maßnahmen hatten jedoch nicht zur Herstellung eines rechtmäßigen Zustands bei der Speicherung personenbezogener Daten geführt. Die Verhängung eines Bußgeldes wegen eines Verstoßes gegen Artikel 25 Abs. 1 DS-GVO sowie Artikel 5 DS-GVO für den Zeitraum zwischen Mai 2018 und März 2019 war daher zwingend.

Die Datenschutz-Grundverordnung verpflichtet die Aufsichtsbehörden sicherzustellen, dass Bußgelder in jedem Einzelfall nicht nur wirksam und verhältnismäßig, sondern auch abschreckend sind. Anknüpfungspunkt für die Bemessung von Geldbußen ist daher u. a. der weltweit erzielte Vorjahresumsatz betroffener Unternehmen. Aufgrund des im Geschäftsbericht der Deutsche Wohnen SE für 2018 ausgewiesenen Jahresumsatzes von über einer Milliarde Euro lag der gesetzlich vorgegebene Rahmen zur Bußgeldbemessung für den festgestellten
Datenschutzverstoß bei ca. 28 Millionen Euro.

Für die konkrete Bestimmung der Bußgeldhöhe hat die Berliner Datenschutzbeauftragte unter Berücksichtigung aller be- und entlastenden Aspekte die gesetzlichen Kriterien herangezogen.

Belastend wirkte sich hierbei vor allem aus, dass die Deutsche Wohnen SE die beanstandete Archivstruktur bewusst angelegt hatte und die betroffenen Daten über einen langen Zeitraum in unzulässiger Weise verarbeitet wurden. Bußgeldmildernd wurde hingegen berücksichtigt, dass das Unternehmen durchaus erste Maßnahmen mit dem Ziel der Bereinigung des rechtswidrigen Zustandes ergriffen und formal gut mit der Aufsichtsbehörde zusammengearbeitet hat. Auch mit Blick darauf, dass dem Unternehmen keine missbräuchlichen Zugriffe auf die unzulässig gespeicherten Daten nachgewiesen werden konnten, war im Ergebnis ein Bußgeld im mittleren Bereich des vorgegebenen Bußgeldrahmens angemessen.

Neben der Sanktionierung dieses strukturellen Verstoßes verhängte die Berliner Datenschutzbeauftragte gegen das Unternehmen noch weitere Bußgelder zwischen 6.000 – 17.000 Euro wegen der unzulässigen Speicherung personenbezogener Daten von Mieterinnen und Mietern in 15 konkreten Einzelfällen.

Die Bußgeldentscheidung ist bisher nicht rechtskräftig. Die Deutsche Wohnen SE kann gegen den Bußgeldbescheid Einspruch einlegen.

Maja Smoltczyk:
„Datenfriedhöfe, wie wir sie bei der Deutsche Wohnen SE vorgefunden haben, begegnen uns in der Aufsichtspraxis leider häufig. Die Brisanz solcher Missstände wird uns leider immer erst dann deutlich vor Augen geführt, wenn es, etwa durch Cyberangriffe, zu missbräuchlichen Zugriffen auf die massenhaft gehorteten Daten gekommen ist. Aber auch ohne solch schwerwiegende Folgen haben wir es hierbei mit einem eklatanten Verstoß gegen die Grundsätze des Datenschutzes zu tun, die die Betroffenen genau vor solchen Risiken schützen sollen. Es ist erfreulich, dass der Gesetzgeber mit der DatenschutzGrundverordnung die Möglichkeit eingeführt hat, solche strukturellen Mängel zu sanktionieren, bevor es zum Daten-GAU kommt. Ich empfehle allen datenverarbeitenden Stellen, ihre Datenarchivierung auf Vereinbarkeit mit der DS-GVO zu überprüfen.“


AG München: Zum Umfang des Auskunftsanspruchs aus Art. 15 DSGVO - Streitwert für Auskunftsklage regelmäßig 5000 EURO

AG München
Teilurteil vom 04.09.2019
155 C 1510/18


Aus den Entscheidungsgründen:

Der Auskunftsanspruch steht der Klagepartei auch entsprechend der erfolgten Auslegung nach Art. 15 der DSGVO gegenüber der Beklagten zu 1 zu.

Der Auskunftsanspruch ist auch nicht aufgrund der von Beklagtenseite bislang erteilten Auskünfte erloschen und vor dem Hintergrund der nunmehr erfolgten Konkretisierung nicht als rechtsmissbräuchlich zu beurteilen.

Mit Schriftsatz vom 22. 7. 2019 (Blatt 163-166) wurde von Beklagtenseite insoweit lediglich ausgeführt, dass die entsprechenden Daten bereits vorliegen würden, insbesondere, da die Inkassokosten bereits im Verfahren 283 C 29963/15 vor dem Amtsgericht München geltend gemacht und die diesbezüglichen Forderungen dargelegt worden seien, ein weitergehender Auskunftsanspruch, insbesondere auch im Hinblick auf die Dateibezeichnung der entsprechenden Buchungssätze nicht bestehe. Betreffend die Frage der Dateibezeichnung wurde die Klage im Termin vom 25. 7. 2019 zurückgenommen.

Auch im Schriftsatz der Beklagtenseite vom 1.7.2019 (Blatt 150-155) wurden Auskünfte zu den konkreten aktuellen vorhandenen personenbezogenen Daten des Klägers im Hinblick auf die Position Inkassokosten des bezogenen Verfahrens nicht erteilt.

Soweit die Beklagtenseite ausführt, dass entsprechend der Entscheidung des LG Köln vom 18.3.2019 das mit Ziffer 1 des Klageantrags begehrte Verlangen unbegründet sei, da dem Kläger die Informationen über die im Verfahren unter dem Az. 283 C 20963/15 geltend gemachten Forderungen bereits aus dem genannten Verfahren bekannt seien und vorliegen würden, teilt das Gericht diese Auffassung nicht.

Damit ist auch nicht mehr davon auszugehen, dass entsprechend dem richterlichen Hinweis vom 24.5.2019 (Blatt 137-143) dort Seite 3 die Ausführungen im Schriftsatz der Beklagtenseite vom 26. 4. 2019 (Blatt 122-134) ab Ziffer 3. b dahingehend zu verstehen sind, dass bei der Beklagtenseite keine weiteren personenbezogenen Daten der Klagepartei existieren. Vielmehr geht die Beklagtenseite offenbar davon aus, dass bezüglich etwaiger gespeicherter personenbezogener Daten im Zusammenhang mit Inkassokosten generell kein Auskunftsanspruch bestehe, soweit diese im Zusammenhang mit einem früheren, gesonderten Gerichtsverfahren stehen und hat daher die von der Klägerseite insoweit geforderten Auskünfte nicht erteilt.

Das Gericht teilt die Auffassung der Beklagtenseite nicht.

Im Hinblick auf die zugrundezulegenden Rechtsnormen ist gem. Art. 99 Datenschutz-Grundverordnung (DS-GVO) ab dem 25.5. 2018 diese verbindlich und unmittelbar in jedem Mitgliedstaat der Europäischen Union anzuwenden, vgl BeckOK, Datenschutzrecht, 1.11.2018, DS-GVO, Art. 15 Rn. 1,2. Grund und Reichweite etwaiger Auskunftsrechte richten sich somit nach Art. 15 DS-GVO.

Der Auskunftsanspruch nach Art. 15 Abs. 1 DSGVO geht auf Auskunft der zum Zeitpunkt des Auskunftsverlangens bei der Beklagtenseite gespeicherten, personenbezogenen Daten. Es handelt sich um ein umfassendes Auskunftsrecht betreffend die gespeicherten bzw. verarbeiteten personenbezogenen Daten. Personenbezogene Daten liegen immer dann vor, wenn auf Seiten des Auskunftsverpflichteten aufgrund der dort vorhandenen Daten ein Bezug der entsprechenden Daten zu der auskunftsberechtigten Person hergestellt werden kann. Dies ergibt sich etwa aus dem Erwägungsgrund 26, wie auch 57 der Datenschutz-Grundverordnung. Nach dem Erwägungsgrund 26 sollen die Grundsätze des Datenschutzes für alle Informationen gelten, die sich auf eine identifizierte oder identifizierbare natürliche Person beziehen, auch wenn personenbezogene Daten einer Pseudonymisierung unterzogen sind, jedoch unter Heranziehung zusätzliche Informationen einer natürlichen Person zugeordnet werden können. Im Erwägungsgrund 39 wird ausgeführt, dass jede Verarbeitung personenbezogener Daten rechtmäßig und nach Treu und Glauben erfolgen sollte und insbesondere für natürliche Personen Transparenz dahingehend bestehen soll, dass sie betreffende personenbezogene Daten erhoben, verwendet, eingesehen oder anderweitig verarbeitet werden und in welchem Umfang die personenbezogenen Daten verarbeitet werden und künftig noch verarbeitet werden, wobei dieser Grundsatz insbesondere die Informationen über die Identität des Verantwortlichen und die Zwecke der Verarbeitung und sonstige Informationen, die eine faire und transparente Verarbeitung im Hinblick auf die betroffenen natürlichen Personen gewährleisten soll. Weiter wird dort ausgeführt, dass, um sicherzustellen, dass die personenbezogenen Daten nicht länger als nötig gespeichert werden, der Verantwortliche Fristen für ihre Löschung oder regelmäßige Überprüfung vorsehen sollte.

Von der Auskunftsverpflichtung erfasst sind daher alle Daten wie Namen oder Geburtsdatum genauso wie jegliche Merkmale, die eine Identifizierbarkeit eine Person ermöglichen können, z.B. Gesundheitsdaten, Kontonummer usw., nicht jedoch interne Vorgänge der Beklagten, wie etwa Vermerke, sämtlicher gewechselter Schriftverkehr, der dem Betroffenen bereits bekannt ist, rechtliche Bewertungen oder Analysen. Der Anspruch aus Art. 15 DSGVO dient nicht der vereinfachten Buchführung des Betroffenen, sondern soll sicherstellen, dass der Betroffene den Umfang und Inhalt der gespeicherten personenbezogenen Daten beurteilen kann, vgl. LG Köln, Teilurteil vom 18. März 2019,26 O 25/18; LG Köln, Urteil vom 19.6.2019, Az. 26 S 13/18.

Aus Sicht des Gerichts können auch bei dem Auskunftsverpflichteten gespeicherte und verarbeitete personenbezogene Daten betreffend eine Position Inkassokosten unter den Auskunftsanspruch fallen.

Soweit diese gegebenenfalls im Rahmen eines gesonderten Gerichtsverfahrens geltend gemacht wurden, führt dies aus Sicht des Gerichts nicht zu einer endgültigen und abschließenden Erfüllung des Auskunftsanspruchs für die Zukunft.

Diese internen Daten können nämlich, sei es etwa aufgrund inzwischen stattgehabter Erfüllung der Forderung oder sonstiger Umstände von den Daten abweichen, die etwa zu einem anderen Zeitpunkt, somit einem vorangegangenen Gerichtsverfahren bei dem Auskunftsverpflichteten gespeichert gewesen sein können und ggf. in einem Gerichtsverfahren gegenüber dem Auskunftberechtigten geltend gemacht wurden. Dies gilt aus Sicht des Gerichts gerade auch für personenbezogene Daten im Hinblick auf bei dem Auskunftsverpflichteten gespeicherte Kostenpositionen. Könnte der Auskunftsberechtigte hier lediglich auf bereits in der Vergangenheit erteilte Auskünfte verwiesen werden, wäre die grundsätzliche Möglichkeit, wiederholt Auskunft über den jeweils aktuellen Stand der vorhandenen personenbezogenen Daten in unzulässiger Weise entkernt.

Ein besonderes Rechtsschutzinteresse ist gerade nicht Voraussetzung des Auskunftsanspruchs. Auch sonstige durchgreifende Einwände sind nicht gegeben.

Für die Auskunft ist keine bestimmte Form vorgeschrieben, vgl. BeckOK Datenschutzrecht, Stand 1.2.2019, Art. 15 Rn. 58. Die Reichweite der Bestimmung in Art. 15 Abs. 3 Satz 1 „Kopie“ ist umstritten, vgl. zum Ganzen BeckOK am angegebenen Ort, Rn. 87 ff. Das Gericht geht davon aus, dass eine Herausgabepflicht von einer Auskunftspflicht zu unterscheiden ist, eine Herausgabe von Kopien von Klägerseite gerade nicht verlangt wird. Grund hierfür ist, dass andernfalls, aufgrund der lediglich für die erstmalige Kopie der Daten kostenfreie Herausgabe, das grundsätzlich wiederholt mögliche Auskunftsverlangen (bis auf einen Fall der Missbräuchlichkeit) quasi durch die Hintertür wieder eingeschränkt werden könnte, ohne, dass hierfür (außer im Fall des mehrfachen Verlangens von Kopien) ein nachvollziehbarer Grund gegeben wäre.

Soweit sich aus § 34 Bundesdatenschutzgesetz (BDSG) neue Fassung eine Einschränkung des Auskunftsanspruchs ergeben kann, wäre ein solcher von Amts wegen zu berücksichtigen, vgl. BeckOK, BDSG § 34, Stand 1.11.2018, Rn. 16 ff. Eine Einschränkung nach § 33 BDSG ist nicht ersichtlich.

Im Hinblick auf eine mögliche Unverhältnismäßigkeit wäre nach BeckOK am angegebenen Ort Rn. 36 Voraussetzung, dass sich diese gerade aufgrund des mit der konkreten Auskunft verbundenen Aufwands ergeben müsste. Zur Ermittlung der Unverhältnismäßigkeit ist eine Gesamtschau vorzunehmen zwischen dem Informationsinteresse der betroffenen Person und dem Aufwand für den Verpflichteten, wobei zusätzlich subjektiv auf den Verantwortlichen abzustellen ist.

Soweit der Anspruchsinhaber nach § 34 Abs. 2 BDSG alte Fassung der Betroffene die Art der personenbezogenen Daten, über die Auskunft erteilt werden soll, näher bezeichneten „sollte“, ist diese Norm zum einen nicht mehr in Kraft, zum anderen handelte es sich bereits nach altem Recht lediglich um eine Sollvorschrift, die keinerlei tatsächliche Einschränkung des Auskunftsanspruchs beinhaltet hat. Auch § 33 Abs. 2 BDSG alte Fassung ist nicht mehr in Kraft. Darüber hinaus wurde der Klageantrag in der zuletzt geltend gemachten Form hinreichend präzisiert.

Soweit die Beklagtenseite sich auf eine Schranke des Auskunftsanspruchs nach § 34 Abs. 1 Nummer 2 Bundesdatenschutzgesetz stützen will, ist nicht erkennbar, weshalb diese eingreifen sollte, vgl. BeckOK am angegebenen Ort Rn. 22 ff., insbesondere Rn. 26 ff. Gerade aus der Bezugnahme im Hinblick auf Aufbewahrungsvorschriften nach § 257 HGB bzw. § 147 Abs. 3 Abgabenordnung geht das Gericht davon aus, dass etwa gerade auch personenbezogene Rechnungsdaten unter den Auskunftsanspruch fallen.

Betreffend die nähere Darlegungspflicht wird auf den richterlichen Hinweis vom einen 30.1.2019 (Blatt 104-107) Bezug genommen. Zum einen wäre Voraussetzung, dass die Auskunftserteilung einen unverhältnismäßigen Aufwand erfordern würde und eine Verarbeitung zu anderen Zwecken durch geeignete technische und organisatorische Maßnahmen ausgeschlossen wäre. Zum anderen, dass diese Daten nur deshalb gespeichert sind, weil sie aufgrund gesetzlicher oder satzungsmäßige Aufbewahrungsvorschriften nicht gelöscht werden dürfen oder ausschließlich Zwecken der Datensicherung oder Datenschutzkontrolle dienen. Derartiges ist vorliegend nicht erkennbar, jedenfalls nicht zur Überzeugung des Gerichts nachgewiesen, § 286 ZPO.

Soweit die Beklagtenseite sich darüber hinaus auf die Entscheidung des Landgerichts Köln, Urteil vom 18.3.2019, Az. 26 O 25/18 bezieht, ist zunächst festzustellen, dass dort die (weitere) Klage deswegen als unbegründet angesehen wurde, da während des dortigen Prozesses wiederholt Auskünfte erteilt wurden und der Rechtsstreit insoweit übereinstimmend für erledigt erklärt wurde. Seitens des Landgerichts wurde in der dortigen Entscheidung festgehalten, dass im dortigen Verfahren die erteilten Auskünfte den Auskunftsanspruch vollständig erfüllt hatten und ein weitergehender Anspruch personenbezogener Daten vor diesem Hintergrund nicht mehr gegeben war. Gleiches gilt für die Entscheidung des Landgerichts Köln, Urteil vom 19.6.2019, Az. 26 S 13/18. Eine generelle Beschränkung des Auskunftsanspruchs in der von Beklagtenseite angenommenen Weise ist den Entscheidungen jedoch gerade nicht zu entnehmen.

Betreffend den von Beklagtenseite erhobenen Einwand der Missbräuchlichkeit sind die Voraussetzungen ebenfalls nicht nachgewiesen. Es mag sein, dass der Kläger den Auskunftsanspruch im Zusammenhang mit Vollstreckungsmaßnahmen der Beklagtenseite erhoben hat. Vor dem Hintergrund, dass jedoch ein besonderes Rechtschutzinteresse gerade keine Voraussetzung des Auskunftsanspruchs ist und sonstige Umstände, die eine Missbräuchlichkeit des klägerischen Auskunftsbegehrens begründen könnten nicht ersichtlich sind, fehlt es jedenfalls am hinreichenden Nachweis der Voraussetzungen der Missbräuchlichkeit, § 242 BGB.

Das von Beklagtenseite zitierte Urteil des LAG Hessen, BeckRS 2013,67364 kann auch nicht pauschal als Beleg für die von der Beklagtenseite geäußerten Rechtsansichten und rechtshindernden bzw. rechtsvernichtende Einwände zugrunde gelegt werden. Vielmehr wurde auch im dortigen Urteil jeweils der entsprechende Einwand differenziert unter Bezugnahme auf die jeweiligen Tatsachengrundlagen behandelt.

2. Betreffend die vorgerichtlichen Kosten ergibt sich zunächst dem Grunde nach ein Anspruch aus dem Gesichtspunkt des Verzugs mit der geschuldeten Auskunft gegenüber der Beklagten zu 1, § 286 BGB.

Die vorgerichtliche Auskunft der Beklagtenseite vom 27.07.2016 (Anlage K 1) enthält lediglich eine Auskunft über einige Stammdaten und die Mitteilung betreffend die Mitteilung von Daten an eine Inkassogesellschaft sowie den Grund der Datenspeicherung, keinesfalls jedoch die geschuldete vollständige Auskunft, was sich bereits darin zeigt, dass entsprechend der Anlage K 2 erst nach Einschaltung der Klägervertreterin weitere tatsächlich geschuldete Auskünfte erteilt wurden. Bis heute ist etwa auch die nach Ziff 1. geschuldete Auskunft offen. Ausweislich der Anlage K 2 wurde die zuvor erteilte Auskunft nur deshalb beschränkt erteilt, da der Ausdruck aller entsprechenden, tatsächlich vorhandenen Daten ca. 1 V£ Mann-Tage in Anspruch nehmen würde und die Beklagtenseite offenbar alleine aufgrund der Auskunftsanforderung des Klägers diesen Aufwand nicht erbringen wollte. Der Ansatz der Beklagtenseite, auf die eigene Auskunftsbereitschaft zu verweisen, jedoch den Kläger aufzufordern, näher auszuführen, welche konkreten Daten begehrt werden, da eine unterschiedslose und flächendeckende Auswertung des gesamten auf Seiten der Beklagten vorhandenen Datenbestands einen erheblichen Aufwand von mehreren Manntagen auslösen würde, geht am Schutzzweck der Norm vorbei und zwar auch in den Fällen, wie dem vorliegenden, in denen die Klagepartei zulässigerweise ein vollständiges Auskunftsersuchen stellt.

Die Klagepartei kann nicht wissen, welche personenbezogenen Daten bei der Beklagtenseite über sie vorhanden sind. Der Auskunftsanspruch ist grundsätzlich nicht anlassbezogen oder in sonstiger Form einschränkend ausgestaltet, soweit nicht gesetzliche Beschränkungen gegeben sind, mag auch im Falle einer noch nicht angepassten Datenorganisation bei dem jeweiligen Auskunftsverpflichteten ein erheblicher Aufwand die Folge sein, vgl. BeckOK, Datenschutzrecht, Stand 1.2.2019, Art. 15 Rn. 87.4 f.

Die Einschaltung der Klägervertreterin war daher erforderlich und angemessen, vgl. Palandt, BGB, § 249, Rn. 57.

Die Klagepartei macht zuletzt eine 1,9 - Gebühr aus einem Streitwert von € 5.000,00 geltend.

Betreffend die Höhe des Streitwertes für den gegenständlichen Anspruch geht das Gericht davon aus, dass bei Auskunftsklagen grundsätzlich der Streitwert zunächst sich an dem von der Klagepartei dargestellten Rahmen orientiert, bei welchem das (wirtschaftliche) Interesse eine Rolle spielen kann, auf der anderen Seite auch der Aufwand betreffend die Auskunftserteilung.

Dieser wurde von Beklagtenseite selbst, etwa in der Anlage K 2 als massiv dargestellt. Etwa im Schriftsatz vom 08.03.2018 (Bl. 53/58) wurde von Beklagtenseite angegeben, dass die Beklagte zu 1) über 5 Systeme verfügt, in denen Kundendaten grundsätzlich gespeichert sind.

Soweit die Beklagtenseite auf den Beschluss des OLG Köln vom 5.2.2018, Az. 9 U 120/17 Bezug nimmt, wird in der entsprechenden Anmerkung zur Entscheidung zutreffend ausgeführt, dass eine einheitliche Maßgabe in Form einer „roten Linie“ gerade nicht existiert. Auch seitens des Landgerichts München I wurde mit Streitwertbeschluss vom 22. 1. 2018 der Streitwert entsprechend § § 3 ZPO, 23 Abs. 3 Satz 2 Halbsatz 2 RVG analog mit 5000 € festgesetzt. Aus Sicht des Gerichts besteht nach Würdigung sämtlicher Umstände kein Anlass, von der Seitens des Landgerichts München I getroffenen Einschätzung betreffend die dort verlangte vollständige Auskunft von dem angesetzten Streitwert von € 5.000,00 abzuweichen.

Betreffend die Höhe der vorgerichtlichen Geschäftsgebühr richtet sich diese nach § 14 RVG, wobei sowohl die Bedeutung der Angelegenheit etwa aus Sicht des Mandanten, die Schwierigkeit der anwaltlichen Tätigkeit sowie deren Umfang im Hinblick auf den tatsächlichen zeitlichen Aufwand des Anwalts bei der Bearbeitung des konkreten Mandates zu berücksichtigen sind, vgl. Mayer/Kroiß, RVG, 7. Aufl. 2018, § 14, Rn. 11 ff. die Erholung eines Sach verständigen Gutachtens war in einer Konstellation wie der vorliegenden nicht erforderlich, vgl. Mayer/Kroiß am angegebenen Ort, Rn. 67.

Unter Berücksichtigung der dem Rechtsanwalt grundsätzlich obliegenden Einschätzungsprärogative, vgl. Mayer/Kroiß am angegebenen Ort, Rn. 56 ff. erscheint der Ansatz einer 1,9 Gebühr vor dem Hintergrund sämtlicher Umstände gerade noch als angemessen. Zu berücksichtigen ist hier zum einen, dass Gegenstand des Mandates zum einen ein Spezialrechtsgebiet, nämlich das Datenschutzrecht war, zum anderen die erhebliche Dauer und der Umfang der vorgerichtlichen Korrespondenz über einen Zeitraum von etwa einem halben Jahr, darüber hinaus insbesondere, dass Gegenstand des klägerischen Auskunftsbegehrens eine vollständige Auskunft sämtlicher bei der Beklagtenseite vorhandener personenbezogener Daten war, somit schon nach dem Vorbringen der Beklagtenseite, etwa im Rahmen der Anlage K2 mit einem erheblichen Umfang von Daten zu rechnen war, deren Auswertung auf Vollständigkeit und Plausibilität Gegenstand der Beauftragung des Klägervertreters gewesen ist, wonach schon entsprechend der Anlage K2 zu erheblichen Datensätzen vorgetragen wurde, die bei vollständiger Auskunft im Raume stehen würden. Vor diesem Hintergrund erscheint auch entsprechend der Entscheidung des Landgerichts Berlin, BeckRS 2012,200524 vorliegend der Ansatz einer 1,9 Gebühr gerade noch als angemessen.

Betreffend die Beklagten zu 2 und 3 ergibt sich ein Zahlungsanspruch insoweit aus dem Gesichtspunkt der Akzessorietät, §§ 128, 129 HGB. Insbesondere handelt es sich bei der Zahlungsverpflichtung nicht um eine unvertretbare Handlung der Beklagten zu 1, anders als etwa betreffend das von Klägerseite in der Hauptsache geltend gemachte Auskunftsverlangen. Bei einer schadenersatzbasierten Zahlungsverbindlichkeit schuldet der Gesellschafter unproblematisch dasselbe wie die Gesellschaft, vgl. Münchner Kommentar zum HGB, 4. Aufl. 2016, § 128, Rn. 25.


Den Volltext der Entscheidung finden Sie hier:




LG Frankfurt: Versand eines Bildnisses per E-Mail ist ein Verbreiten gemäß §§ 22, 23 KUG - Normen des KUG gelten im Rahmen von Art. 85 Abs. 2 DSGVO weiterhin

LG Frankfurt
Urteil vom 26.09.2019
2-03 O 402/18


Das LG Frankfurt hat entschieden, dass der Versand eines Bildnisses per E-Mail ein Verbreiten gemäß §§ 22, 23 KUG ist. Die Normen des KUG gelten im Rahmen von Art. 85 Abs. 2 DSGVO auch nach Inkrafttreten der DSGVO weiterhin.

Aus den Entscheidungsgründen:

"1. Der Kläger hat gegen den Beklagten keinen Anspruch auf Unterlassung der Äußerung gemäß dem Klageantrag zu II. Ein solcher ergibt sich auch nicht aus den §§ 823, 1004 BGB i.V.m. Art. 1 Abs. 1, 2 Abs. 1 GG.

a. Wegen der Eigenart des allgemeinen Persönlichkeitsrechts als Rahmenrecht liegt seine Reichweite nicht absolut fest, sondern muss erst durch eine Abwägung der widerstreitenden grundrechtlich geschützten Belange bestimmt werden, bei der die besonderen Umstände des Einzelfalls sowie die betroffenen Grundrechte und Gewährleistungen der Europäischen Menschenrechtskonvention interpretationsleitend zu berücksichtigen sind. Der Eingriff in das Persönlichkeitsrecht ist nur dann rechtswidrig, wenn das Schutzinteresse des Betroffenen die schutzwürdigen Belange der anderen Seite überwiegt (BGH NJW 2016, 789 Rn. 20; BGH NJW 2016, 56 Rn. 29; BGH NJW 2014, 2029 Rn. 22; jew. m.w.N.).

Hier ist das Schutzinteresse aus Art. 2 Abs. 1, 1 Abs. 1 GG mit dem Recht auf Meinungsfreiheit gemäß Art. 5 Abs. 1 S. 1 GG, Art. 10 Abs. 1 EMRK abzuwägen.

Stehen sich als widerstreitende Interessen – wie vorliegend – die Meinungs- bzw. Pressefreiheit und das Allgemeine Persönlichkeitsrecht gegenüber, kommt es für die Zulässigkeit einer Äußerung maßgeblich darauf an, ob es sich um Tatsachenbehauptungen oder Meinungsäußerungen handelt (LG Köln, Urt. v. 10.06.2015 – 28 O 564/14 Rn. 33).

Bei Tatsachenbehauptungen hängt die Abwägung zwischen den widerstreitenden Interessen maßgeblich vom Wahrheitsgehalt ab. Wahre Tatsachenbehauptungen müssen in der Regel hingenommen werden, auch wenn sie für den Betroffenen nachteilig sind – jedenfalls, wenn sie nicht die Intim-, Privat- oder Vertraulichkeitssphäre, sondern die Sozialsphäre betreffen (BVerfG NJW 1999, 1322, 1324) –, unwahre dagegen nicht (BVerfG NJW 2012, 1643 Rn. 33). Außerhalb des Schutzbereichs des Art. 5 Abs. 1 GG stehen – abgesehen von solchen Tatsachenbehauptungen, die von vornherein Dritten nicht zur Meinungsbildung dienen können (BGH GRUR-RR 2008, 257 Rn. 12 m.w.N.) – aber nur bewusst unwahre Tatsachenbehauptungen und solche, deren Unwahrheit bereits im Zeitpunkt der Äußerung feststeht, denn an der Aufrechterhaltung und Weiterverbreitung herabsetzender Tatsachenbehauptungen, die als unwahr anzusehen sind, besteht unter dem Gesichtspunkt der Meinungsfreiheit regelmäßig kein schützenswertes Interesse (BGH GRUR 2014, 693 Rn. 23 – Sächsische Korruptionsaffäre). Alle übrigen Tatsachenbehauptungen mit Meinungsbezug genießen den Grundrechtsschutz, auch wenn sie sich später als unwahr herausstellen (BGH GRUR 2013, 312 – IM Christoph; BGH GRUR 2014, 693 Rn. 23 – Sächsische Korruptionsaffäre).

b. Bei der angegriffenen Äußerung

„Es ist theoretisch auch denkbar, dass die Abmahnung nicht von Hr. mandatiert, sondern ohne sein Wissen von Dritten mittels Urkundenfälschung fingiert wurde.“

handelt es sich um eine .

Bei der Frage, ob eine Äußerung ihrem Schwerpunkt nach als Tatsachenbehauptung oder als Meinungsäußerung anzusehen ist, kommt es entscheidend auf den Gesamtkontext der fraglichen Äußerung an (vgl. BVerfG AfP 2013, 389, juris-Rn. 18). Von einer Tatsachenbehauptung ist auszugehen, wenn der Gehalt der Äußerung entsprechend dem Verständnis des Durchschnittsempfängers der objektiven Klärung zugänglich ist und als etwas Geschehenes grundsätzlich dem Beweis offen steht. Soweit eine Tatsachenbehauptung mit einem Werturteil verbunden ist bzw. beides ineinander übergeht, ist darauf abzustellen, was im Vordergrund steht und damit überwiegt. Wird eine Äußerung in entscheidender Weise durch die Elemente der Stellungnahme, des Dafürhaltens oder Meinens geprägt oder ist der tatsächliche Gehalt der Äußerung so substanzarm, dass er gegenüber dem Wertungscharakter in den Hintergrund tritt, liegt eine Meinungsäußerung vor. Vom Überwiegen des tatsächlichen Charakters ist auszugehen, wenn die Wertung sich als zusammenfassender Ausdruck von Tatsachenbehauptungen darstellt (vgl. Wenzel/Burkhardt, Recht der Wort- und Bildberichterstattung, 6. Aufl. 2018, Kap. 4 Rn. 50 ff.).

Hierbei sind Äußerungen entsprechend dem Verständnis des unbefangenen Durchschnittsempfängers zu interpretieren (Wenzel/Burkhardt, a.a.O., Kap. 4 Rn. 4; Soehring/Hoene, Presserecht, 6. Aufl. 2019, § 14 Rn. 6; jew. m.w.N.).

c. In Anwendung dieser Grundsätze überwiegt in der angegriffenen Äußerung der wertende und meinende Anteil und gibt dieser sein Gepräge. Im Gesamtkontext der Äußerung stellt der Beklagte dar, dass er – möglicherweise – eine problematische Situation mit dem Kläger als Mitarbeiter des E hat. Hierbei erläutert der Beklagte, dass er über das Verhalten des Klägers überrascht sei und die Behauptungen des Klägers haltlos seien (vgl. Anlage K6, Bl. 25 d.A.). Der Beklagte sei irritiert, dass der Kläger eine parallele Beschäftigung bei einem Mitbewerber behaupte. Sodann erläutert der Beklagte, dass es sich insgesamt um eine Art Missverständnis handeln könnte, dass nämlich der Kläger in die dem Beklagten gegenüber ausgesprochenen Abmahnung nicht involviert sei.

Aus Sicht des Durchschnittslesers stellt sich dies lediglich als eine Möglichkeit dar, die der Beklagte aufwirft, nicht aber als faktischen oder bewiesenen Sachverhalt. Dem Empfänger der E-Mail wird daher entgegen der Auffassung des Klägers nicht als unabweisliche Schlussfolgerung oder rein rhetorische Frage unterbreitet, dass der Kläger ohne sein Wissen für eine Abmahnung „missbraucht“ worden sei (vgl. insoweit BGH NJW 2017, 482 Rn. 14 f.).

Diesem Verständnis steht auch nicht der in der mündlichen Verhandlung erhobene Vortrag des Klägers entgegen, dass sein Prozessbevollmächtigter dem Beklagten vor dem Versand der streitgegenständlichen E-Mail erläutert habe, dass er persönlich vom Kläger mandatiert worden sei, ihm sei eine unterschriebene Vollmachtserklärung zugesandt worden.

Denn dieser Umstand ändert an dem Verständnis der streitgegenständlichen Äußerung aus Sicht des Durchschnittsempfängers, dem diese Umstände unbekannt sind und der selbst bei Kenntnis hiervon die Äußerung des Beklagten als eine Vermutung, eine Theorie und nicht als eine Tatsache auffasst, nichts.

Die Meinungsäußerung des Beklagten überschreitet auch nicht die Grenze zur Schmähkritik, da sie nicht außerhalb jeglichen Sachkontextes steht (vgl. BVerfG NJW 2016, 2870 Rn. 17 m.w.N.; BVerfG NJW 2017, 1460 – „Obergauleiter der SA-Horden“).

2. Der Kläger hat weiter Anspruch auf Ersatz seiner Rechtsverfolgungskosten nach den §§ 683, 677, 670 BGB (Antrag zu III.), jedoch nicht im geltend gemachten Umfang.

Der Kläger hat mit seiner Abmahnung gemäß Anlage K3 gestützt auf KUG und UrhG gerügt, dass der Beklagte das Bildnis per E-Mail versandt und dadurch vervielfältigt hat. Darüber hinaus hat er sich wegen der Verbreitung des Bildnisses auf §§ 823, 1004 BGB, 22, 23 KUG „(ggfl. i.V.m. der DSGVO“) gestützt (Anlage K3, Bl. 15/18 d.A.). Im Termin zur mündlichen Verhandlung hat der Kläger erklärt, dass er den Anspruch auf Ersatz von Abmahnkosten nicht mehr auf das UrhG stützen will, nachdem die Kammer zu erkennen gegeben hat, dass hinsichtlich der urheberrechtlichen Ansprüche ggf. eine Beweisaufnahme erforderlich werden könnte.

a. Die Abmahnung war im Hinblick auf den vom Kläger geltend gemachten Anspruch aus den §§ 823, 1004 BGB i.V.m. §§ 22 f. KUG, Art. 85 DSGVO berechtigt.

aa. Der Beklagte hat das Bildnis des Klägers verbreitet, indem er es in einer E-Mail verwendet hat. Hierbei ist vom Vorgang der Verbreitung auch die unkörperliche Übermittlung erfasst (OLG Frankfurt a.M. MMR 2004, 683; LG Frankfurt a.M., Beschl. v. 28.05.2015 - 2-03 O 452/14, MMR 2016, 482; Dreier/Schulze-Specht, UrhG, 6. Aufl. 2018, § 22 KUG Rn. 9; Wenzel/v.Strobl-Albeg, a.a.O., Kap. 7 Rn. 139; a.A. BeckOK-InfoMedienR/Herrmann, 24. Ed. 1.5.2019, § 22 KUG Rn. 11).

bb. Der Kläger hat in die Verwendung auch nicht im Sinne von § 22 KUG eingewilligt. Eine solche Einwilligung ist insbesondere auch nicht im Einstellen des Bildnisses als Profil bei „Xing“ zu ersehen (vgl. ebenso OLG München MMR 2016, 414).

cc. Der Beklagte kann sich auch nicht auf ein berechtigtes Interesse gemäß § 23 KUG berufen. Eine Ausnahme vom Einwilligungserfordernis nach § 23 Abs. 1 KUG liegt nicht vor. Denn weder handelt es sich um ein Bildnis aus dem Bereich der Zeitgeschichte, noch um ein solches, auf dem der Kläger nur als Beiwerk neben einer Landschaft oder sonstigen Örtlichkeit erscheint, noch um ein Bildnis von Versammlungen, Aufzügen und ähnlichen Vorgängen oder um ein Bildnis, dessen Verbreitung einem höheren Interesse der Kunst dient.

dd. Bei der dargestellten Abwägung hat die Kammer ferner berücksichtigt, dass seit dem 25.05.2018 die DSGVO Geltung erlangt hat. Insoweit wendet die Kammer jedoch unter Berücksichtigung von Art. 85 Abs. 2 DSGVO die §§ 22 f. KUG und die hierzu in der Rechtsprechung ergangenen Grundsätze mit Blick auf Art. 6 Abs. 1 lit. f) DSGVO an (LG Frankfurt a.M., Urt. v. 13.09.2018 – 2-03 O 283/18, ZD 2018, 2018, 587; so wohl auch OLG Köln, Urt. v. 28.03.2019 – 15 U 155/18, BeckRS 2019, 13613 Rn. 26; vgl. auch LG Frankfurt a.M., Urt. v. 27.09.2018 – 2-03 O 320/17; Sydow/Specht, DSGVO, 2. Aufl. 2018, Art. 85 Rn. 13 ff.; Lauber-Rönsberg/Hartlaub, NJW 2017, 1057, 1060).

b. Soweit der Kläger hingegen Kosten für die Abmahnung, gestützt auf die Äußerung gemäß Klageantrag zu II., verlangt hat, war die Abmahnung unberechtigt, so dass der Kläger Kosten hierfür nicht verlangen konnte (siehe oben).

c. Der vom Kläger geltend gemachte Gegenstandswert von insgesamt 20.000,- EUR für die Abmahnungen ist jedoch übersetzt. Der Kläger wendet sich einerseits gegen die Vervielfältigung und Verbreitung eines Bildnisses, wobei das Bildnis lediglich an wenige Empfänger verbreitet wurde und andererseits gegen eine – ebenfalls nur in einer E-Mail getätigte Äußerung. Die Kammer erachtet hierfür einen Gegenstandswert von 10.000,- EUR unter Berücksichtigung des nach der Praxis der Kammer üblichen Streitwerts für Veröffentlichungen im Internet in Höhe von 15.000,- EUR jeweils für übersetzt, da der Versand per E-Mail mit wenigen Empfängern hiermit kaum vergleichbar ist.

Die Kammer geht insoweit davon aus, dass ein Gegenstandswert von jeweils 6.000,- EUR, insgesamt also 12.000,- EUR angemessen ist.

Im Hinblick auf die Ansprüche wegen der Verwendung des Bildnisses hat der Kläger deutlich gemacht, dass sein Hauptinteresse an der Verhinderung der weiteren Verbreitung des Bildnisses in Form des Versandes der E-Mail liegt. Zwar hat er auch die Vervielfältigung und Bearbeitung auf dem Computer des Beklagten angegriffen, dieser Teil des Anspruch ist jedoch in der Intensität und dem erklärten Interesse des Klägers deutlich niedriger zu bewerten, die Kammer geht insoweit davon aus, dass auf den Anspruch nach KUG ein Gegenstandswert von 5.000,- EUR und auf den Anspruch nach UrhG ein Gegenstandswert von 1.000,- EUR entfällt.

d. Ausgehend hiervon konnte der Kläger Ersatz von Abmahnkosten aus einem Gegenstandswert von 5.000,- EUR verlangen, nämlich inklusive Auslagenpauschale und Umsatzsteuer insgesamt 492,54 EUR.

Denn richtet sich die Höhe der Abmahnkosten nach dem Gegenstandswert der Abmahnung, sind die Kosten einer nur teilweise berechtigten Abmahnung nur zu ersetzen, soweit die Abmahnung berechtigt war. Dabei ist die Höhe des Ersatzanspruchs durch Ermittlung des nach dem berechtigten Teil der Abmahnung zu ermittelnden Gegenstandswert zu bestimmen (BGH (VI. Zivilsenat) NJW 2017, 1550 Rn. 28 – Michael Schumacher; anders im Bereich des Wettbewerbsrechts BGH (I. Zivilsenat) GRUR 2010, 744 Rn. 52 – Sondernewsletter: Quotelung).

Hiervon war eine 0,65-Gebühr in Abzug zu bringen, also 196,95 EUR, so dass 295,59 EUR verbleiben.

Der Zinsanspruch des Klägers ergibt sich aus den §§ 288, 286 BGB.

3. Die Kostenentscheidung beruht auf den §§ 91a, 92 Abs. 1 ZPO.

Im Hinblick auf den ursprünglichen Klageantrag zu I. war gemäß § 91a ZPO über die Kosten des Rechtsstreits unter Berücksichtigung des bisherigen Sach- und Streitstandes nach billigem Ermessen zu entscheiden. Denn die Parteien haben den Rechtsstreit insoweit in der Hauptsache übereinstimmend für erledigt erklärt.

a. Soweit der Kläger seine Ansprüche gemäß dem Klageantrag zu I. auf die §§ 823, 1004 BGB i.V.m. §§ 22, 23 KUG gestützt hat, wäre der Klage nach bisherigem Sach- und Streitstand stattzugeben gewesen (siehe oben).

b. Soweit der Kläger seine Ansprüche gemäß dem Klageantrag zu I. hingegen auf die §§ 72, 97 Abs. 1 UrhG in der Handlungsform des Vervielfältigens gestützt hat, waren die Kosten beiden Parteien zu gleichen Teilen aufzuerlegen. Denn über die zwischen den Parteien streitige Frage, ob der Kläger urheberrechtlich aktivlegitimiert war, hätte nach bisherigem Sach- und Streitstand der vom Kläger angebotene Zeuge B2 gehört werden müssen.

c. Dem steht auch nicht entgegen, dass der Kläger seinen Klageantrag zu I. auch auf eine Verletzung von datenschutzrechtlichen Vorschriften gestützt hat. Nachdem, wie oben dargelegt, die Tathandlung des „Verbreitens“ auf das KUG gestützt wurde und die Tathandlung des „Vervielfältigens“ auf urheberrechtliche Ansprüche, kam es auf die datenschutzrechtlichen Ansprüche nicht mehr an, da das „Verbreiten“ bereits nach KUG zu untersagen war. Die Kammer legt den Klageantrag zu I. unter Berücksichtigung der Begründung in der Klageschrift (S. 7, Bl. 9 d.A.) dahingehend aus, dass sich der Kläger mit seinem datenschutzrechtlichen Anspruch ebenfalls allein gegen die angegriffene Tathandlung des „Verbreitens“ durch Versand der E-Mail und nicht auch diejenige des „Vervielfältigens“ richtet, was sich auch mit den Ausführungen des Klägers in der Abmahnung deckt. Der Kläger moniert diesbezüglich allein, dass „in dem Versand eines Personenbildnisses zugleich auch die Verwendung eines personenbezogenen Datums“ liege. Der Unterlassungsanspruch ergebe sich daher aus § 1004 BGB i.V.m. Art. 6 DSGVO. Erst anschließend begründet der Kläger seinen Klageantrag auf Unterlassung der Vervielfältigung (allein) unter Verweis auf § 16 UrhG."

Den Volltext der Entscheidung finden Sie hier:

VG Koblenz: Lehrer hat keinen Anspruch auf Entfernung von Fotos seiner Person aus Schuljahrbuch wenn er freiwillig bei entsprechendem Fototermin fotografiert wurde

VG Koblenz
Urteil vom06.09.2019
5 K 101/19.KO

Das VG Kobenz hat entschieden, dass ein Lehrer keinen Anspruch auf Entfernung von Fotos seiner Person aus einem Schuljahrbuch hat, wenn er freiwillig bei einem entsprechendem Fototermin fotografiert wurde

Die Pressemitteilung des Gerichts:

Lehrer hat keinen Anspruch auf Beseitigung von Bildern aus Schuljahrbuch

Ein Lehrer hat keinen Anspruch auf Entfernung von Bildern seiner Person aus einem Schuljahrbuch, wenn er sich freiwillig bei einem entsprechenden Fototermin hat ablich­ten lassen und das Foto im dienstlichen Bereich in einer unverfänglichen, gestellten Situation aufgenommen worden ist. Die entsprechende Klage eines Lehrers wies das Verwaltungsgericht Koblenz ab.

Der als Studienrat an einem rheinland-pfälzischen Gymnasium unterrichtende Kläger ließ sich bei einem Fototermin mit zwei Schulklassen ablichten. In der Folge gab die Schule, wie bereits im Jahr zuvor, ein Jahrbuch mit Abbildungen sämtlicher Klassen und Kurse nebst den jeweiligen Lehrkräften heraus. Der Kläger beanstandete daraufhin ohne Erfolg die Veröffentlichung der beiden Bilder mit dem Argument, seine vorherige Zustimmung sei nicht eingeholt und damit durch die Publikation sein Persönlichkeits­recht verletzt worden. Dieses Begehren verfolgte er zuletzt im Klageverfahren weiter und führte dort ergänzend aus, bei dem Fototermin habe er sich nur ablichten lassen, weil ihn eine Kollegin zur Teilnahme überredet habe; den wahren Verwendungszweck der Bilder habe er jedoch nicht gekannt. Die Fotografin habe ihm zugesichert, dass die Bilder nicht veröffentlicht würden. In dem ersten in der Schule herausgegebenen Jahr­buch für das Jahr 2014/2015 seien keine Bilder von ihm veröffentlicht worden.

Dem trat das beklagte Land mit dem Argument entgegen, der Kläger habe durch seine Teilnahme am Fototermin konkludent in die Veröffentlichung der Bilder eingewilligt. Denn obwohl ihm die Gepflogenheit der Veröffentlichung von Klassenfotos in Jahr­büchern bekannt gewesen und der Termin zuvor angekündigt worden sei, habe er sich ablichten lassen und der Veröffentlichung nicht ausdrücklich widersprochen. Jedenfalls liege kein unverhältnismäßiger Eingriff in sein Persönlichkeitsrecht vor.

Die Koblenzer Richter wiesen die Klage ab und folgten der Argumentation des Beklag­ten. Der vom Kläger geltend gemachte Anspruch scheitere daran, dass ein rechts­widriger Eingriff in sein Recht am eigenen Bild als spezielle Ausgestaltung des allge­meinen Persönlichkeitsrechtes nicht vorliege. Nach dem Kunsturhebergesetz bedürfe es schon keiner Einwilligung des Klägers in die Veröffentlichung, da die beanstandeten Klassenfotos dem Bereich der Zeitgeschichte zuzuordnen seien. Dies ergebe sich aus einer Abwägung der wechselseitigen Interessen. Ein Informationsinteresse der Öffent­lichkeit bestehe auch bei Veranstaltungen von regionaler oder lokaler Bedeutung; ent­sprechende Bedeutung hätten Jahrbücher mit Klassenfotos für die Angehörigen einer Schule. Der Kläger sei dagegen lediglich in seiner sogenannten Sozialsphäre betroffen, die einem geringeren Schutz unterliege als die Intim- oder Privatsphäre. Da das Foto nur im dienstlichen Bereich aufgenommen worden sei und den Kläger in einer völlig unverfänglichen, gestellten Situation zeige, seien seine Rechte nur geringfügig beein­trächtigt.

Selbst wenn man nach den Vorschriften des Kunsturhebergesetzes eine Einwilligung des Klägers für erforderlich halten würde, habe er diese nach Auffassung des Gerichtes jedenfalls konkludent erklärt, indem er sich beim Fototermin mit den beiden Schüler­gruppen habe ablichten lassen. Denn dies sei geschehen, obwohl er gewusst habe oder jedenfalls hätte wissen müssen, dass die Schule derartige Klassenfotos bereits in der Vergangenheit für Jahrbücher verwendet habe. Unerheblich sei, dass der Kläger – nach seinem Vortrag – gegenüber der Fotografin einer Veröffentlichung ausdrücklich wider­sprochen habe. Ihm sei bekannt gewesen, dass allein die Schulleitung die Entschei­dung über die Veröffentlichung der Fotografien treffe. Von daher hätte er seinen Wider­spruch dem Schulleiter gegenüber erklären müssen.

Gegen diese Entscheidung können die Beteiligten die Zulassung der Berufung durch das Oberverwaltungsgericht Rheinland-Pfalz beantragen.

(Verwaltungsgericht Koblenz, Urteil vom 6. September 2019, 5 K 101/19.KO

Den Volltext der Entscheidung finden Sie hier:


Berliner Datenschutzbeauftragter: Bußgelder wegen Verstößen gegen Vorgaben der DSGVO gegen Delivery Hero ind N26 in Höhe von insgesamt 195.407 Euro

Der Berliner Beauftragte für Datenschutz und Informationsfreiheit hat wegen Verstößen gegen die Vorgaben der DSGVO gegen Delivery Hero und N26 Bußgelder in Höhe von insgesamt 195.407 Euro verhängt.

Die Pressemitteilung des Berliner Datenschutzbeauftragten:

Lieferdienst und Online-Bank – Berliner Datenschutzbeauftragte verhängt empfindliche Bußgelder

Im August 2019 hat die Berliner Beauftragte für Datenschutz und Informationsfreiheit Bußgelder in Höhe von insgesamt 195.407 Euro inkl. Gebühren gegen die Delivery Hero Germany GmbH erlassen. Die Entscheidung ist rechtskräftig.

Mit den Geldbußen ahndete die Berliner Datenschutzbeauftragte diverse datenschutzrechtliche Einzelverstöße des Unternehmens. Die Mehrzahl der Fälle betraf die Nichtachtung der Betroffenenrechte, wie das Recht auf Auskunft über die Verarbeitung der eigenen Daten, das Recht auf Löschung der Daten sowie das Recht auf Widerspruch.

Nach den Feststellungen der Berliner Datenschutzbeauftragten hatte die Delivery Hero Germany GmbH in zehn Fällen Konten ehemaliger Kundinnen und Kunden nicht gelöscht, obwohl die Betroffenen jahrelang – in einem Fall sogar seit dem Jahr 2008 – nicht mehr auf der Lieferdienst-Plattform des Unternehmens aktiv gewesen waren. Acht ehemalige Kunden hatten sich darüber hinaus über unerwünschte Werbe-E-Mails des Unternehmens beschwert.

Ein Geschädigter, der der Nutzung seiner Daten für Werbezwecke ausdrücklich widersprochen hatte, erhielt dennoch weitere 15 Werbe-E-Mails von dem Lieferdienst. In weiteren fünf Fällen erteilte das Unternehmen gegenüber den beschwerdeführenden
Personen die geforderten Selbstauskünfte nicht oder erst, nachdem die Berliner Datenschutzbeauftragte eingeschritten war.

Die Betroffenenrechte der Datenschutz-Grundverordnung (DS-GVO) bilden ein wichtiges Instrumentarium für jeden einzelnen Menschen bei der Durchsetzung des Grundrechts auf informationelle Selbstbestimmung. Dem europäischen Gesetzgeber war es bei der Verabschiedung der Datenschutz-Grundverordnung ein wichtiges Anliegen, die Betroffenenrechte der Bürgerinnen und Bürger zu stärken. Jedes Unternehmen, das personenbezogene Daten verarbeitet, muss daher technisch-organisatorisch in der Lage sein, entsprechende Anträge der Betroffenen unverzüglich zu erfüllen.

Die Delivery Hero Germany GmbH hatte gegenüber der Aufsichtsbehörde einige der Verstöße mit technischen Fehlern bzw. Mitarbeiterversehen erklärt. Aufgrund der hohen Anzahl an wiederholten Verstößen war jedoch von grundsätzlichen, strukturellen
Organisationsproblemen auszugehen. Trotz vielfacher Hinweise der Aufsichtsbehörde waren über einen langen Zeitraum keine ausreichenden Maßnahmen umgesetzt worden, die die pflichtgemäße Erfüllung der Rechte der Betroffenen sicherstellen konnten.

Die Geldbußen ergingen in zwei Bescheiden, da ein Teil der Verstöße noch nach dem vor Wirksamwerden der DS-GVO geltenden Datenschutzrecht zu beurteilen war. Maßgeblich für die Frage, ob ein Verstoß nach alter oder neuer Rechtslage zu bewerten ist, ist der Tatzeitpunkt.

Bei der Entscheidung über die Verhängung einer Geldbuße und über deren Betrag hat die Berliner Datenschutzbeauftragte in jedem Einzelfall Ermessenskriterien wie die in Art. 83 Abs. 2 DS-GVO genannten geprüft. Insbesondere flossen in die Bewertung die konkreten Umstände zu Art, Schwere und Dauer des jeweiligen Verstoßes ein. Ferner wurden auch die Folgen des jeweiligen Verstoßes und die Maßnahmen, die von den Verantwortlichen ergriffen worden sind, um die Folgen des Verstoßes abzuwenden oder abzumildern, berücksichtigt.

Zum 1. April 2019 wurden die Delivery Hero-Marken Lieferheld, Pizza.de und foodora vom niederländischen Konzern Takeway.com übernommen. Die dem Verfahren zugrundeliegenden Verstöße wurden allesamt vor dieser Übernahme begangen.
Der neue Eigner hat die Bußgeldbescheide akzeptiert und keine Rechtsmittel eingelegt. Gegenüber der Aufsichtsbehörde erklärte Takeaway, größten Wert auf die Einhaltung des Datenschutzrechts zu legen. Das Verfahren sei zum Anlass genommen worden, die Prozesse noch einmal gründlich zu überprüfen.

Bereits im März 2019 hatte die Berliner Beauftragte für Datenschutz und Informationsfreiheit ein erstes beträchtliches Bußgeld nach den Maßstäben der DS-GVO in Höhe von 50.000 Euro gegen die Online Bank N26 festgesetzt. Das junge Unternehmen hatte zu Zwecken der Geldwäscheprävention die Namen ehemaliger Kundinnen und Kunden auf eine schwarze Liste gesetzt, unabhängig davon, ob diese tatsächlich der Geldwäsche verdächtig waren.

Auch N26 hat die Geldbuße akzeptiert und gegenüber der Berliner Datenschutzbeauftragten eine Reihe von Maßnahmen angekündigt, um bisherige organisatorische Mängel zu beseitigen und dadurch den Schutz der Daten ihrer Kundinnen und Kunden zu verbessern.

Insbesondere sagte das Unternehmen zu, sein Personal im Bereich Datenschutz umfassend aufzustocken und zu schulen.
Insgesamt hat die Berliner Beauftragte für Datenschutz und Informationsfreiheit seit der neuen Rechtslage 27 Bußgelder nach der DS-GVO sowie zwei Bußgelder nach dem neuen Berliner Datenschutzgesetz erlassen.

Maja Smoltczyk
„Das Thema Datenschutz wurde in vielen Unternehmen lange stiefmütterlich behandelt, obwohl es im digitalen Zeitalter ein besonders wichtiges Grundrecht ist. Die DS-GVO wirkt dem entgegen. Bei den genannten Unternehmen ist die Bereitschaft zur Aufarbeitung von Mängeln mittlerweile erkennbar. Ich hoffe, dass diese Bußgelder auch auf andere Unternehmen eine mahnende Wirkung entfalten. Wer mit personenbezogenen Daten arbeitet, braucht ein funktionierendes Datenschutzmanagement. Das hilft nicht nur, Bußgelder zu vermeiden, sondern stärkt auch das Vertrauen und die Zufriedenheit der Kundschaft. Berliner Unternehmen, die sich noch in der Gründungsphase befinden, empfehle ich, unsere zweimal monatlich stattfindende Start-Up-Sprechstunde aufzusuchen, um datenschutzrechtliche Fragen frühzeitig zu klären.“


Landesdatenschutzbeauftragter Mecklenburg-Vorpommerns verbietet wegen Verstößen gegen DSGVO das Lehrer-Meldeportal "Neutrale Schule" des AfD-Landesverbands Mecklenburg-Vorpommerns

Der Landesbeauftragte für Datenschutz und Informationsfreiheit von Mecklenburg-Vorpommern hat u.a. wegen Verstößen gegen die Vorgaben der DSGVO das Lehrer-Meldeportal "Neutrale Schule" des AfD-Landesverbands Mecklenburg-Vorpommerns verboten.

Aus den Entscheidungsgründen:

Landesdatenschutzbeauftragter verbietet AfD-Portal

Der Landesbeauftragte für Datenschutz und Informationsfreiheit hat heute das Meldeportal „Neutrale Schule“ des AfD-Landesverbands verboten. Die dort veröffentlichten Textpassagen, in denen Schüler zur Meldung angeblicher Verstöße gegen das Neutralitätsgebot aufgefordert werden, sind bis zum 20. September 2019 zu entfernen, ansonsten droht die Verhängung eines Zwangsgeldes.

„Es darf nicht sein, dass Lehrer durch so ein Portal in ihrer Unterrichtstätigkeit eingeschüchtert werden“, erklärt Behördenchef Heinz Müller. „Genau das ist die Aussage der hier zur Anwendung kommenden datenschutzrechtlichen Vorschriften. Selbstverständlich ist es die Aufgabe der Lehrer, für die Demokratie, das Grundgesetz und die darin gewährleistete Menschenwürde einzutreten. Dabei sollen sie keine Angst haben, von selbsternannten AfD-Aufpassern behelligt zu werden.“

Der Landesverband der AfD erhebt in seinem Portal, anders als in seiner Pressemitteilung vom 2. September 2019 angegeben, nicht nur die personenbezogenen Daten der Schüler, die eine Meldung verfassen, sondern sammelt ganz gezielt auch die politischen Meinungen der gemeldeten Lehrer. Als besondere Kategorie personenbezogener Daten steht die politische Meinung jedoch unter besonderem rechtlichen Schutz.

In seiner Stellungnahme stützt der AfD-Landesverband die Datenverarbeitung auf sein berechtigtes Interesse nach Artikel 6 Absatz 1 Buchstabe f DS-GVO. „Hierbei wird verkannt“, so Müller, „dass die Verarbeitung von Daten, aus denen die politische Meinung hervorgeht, nach Artikel 9 Absatz 1 DS-GVO grundsätzlich untersagt ist.“ Eine solche Verarbeitung sei nur ausnahmsweise, unter den Voraussetzungen des Artikels 9 Absatz 2 DS-GVO, erlaubt. Doch die seien hier nicht gegeben.

Zwar hole der Landesverband der AfD die ausdrückliche Einwilligung der Verfasser einer Meldung in die „Nutzung ihrer Daten zu Zwecken der Arbeit der AfD Mecklenburg-Vorpommern“ ein. Doch sei diese Einwilligungserklärung viel zu unbestimmt und daher unwirksam. Mit Blick auf die gemeldeten Lehrer scheide eine Verarbeitung auf der Grundlage einer Einwilligung von vornherein aus. „Dem AfD-Landesverband ist es nicht gelungen, die Rechtmäßigkeit der von ihm zu verantwortenden Datenverarbeitung nachzuweisen“, sagt Müller. „Ein Verbot war daher angebracht.“

Mit Blick auf die Rechte der Betroffenen fügt Müller hinzu: „Übrigens kann jeder vom AfD-Landesverband nach Artikel 15 DS-GVO Auskunft darüber verlangen, ob ihn betreffende Daten verarbeitet werden. Ein formloses Schreiben genügt!“



AG Berlin-Mitte: Macht ein Anwalt für Mandanten Auskunftsanspruch nach Art. 15 DSGVO geltend muss eine Originalvollmacht vorgelegt werden

AG Berlin-Mitte
Urteil vom 29.07.2019
7 C 185/18

Das AG Berlin-Mitte hat entschieden, dass ein Anwalt, der für seinen Mandanten einen Auskunftsanspruch nach Art. 15 DSGVO geltend macht, eine Originalvollmacht vorlegen muss. Erst nach Vorlage der Vollmacht beginnt der Lauf der Frist nach Art. 12 Abs. 3 S. 1 DSGVO.