Skip to content

BGH: Auch Zwangsverwalter muss Schuldner Auskunft nach Art. 15 DSGVO gemäß Art. 12 Abs. 5 Satz 1 DSGVO kostenlos erteilen

BGH
Beschluss vom 15.07.2021
V ZB 53/20
ZwVwV §§ 17, 21, DSGVO Art. 12 Abs. 5 Satz 1, Art. 23 Abs. 1 Buchstabe j


Der BGH hat entschieden, dass auch ein Zwangsverwalter einem Schuldner Auskunft nach Art. 15 DSGVO gemäß Art. 12 Abs. 5 Satz 1 DSGVO kostenlos erteilen muss.

Leitsätze des BGH:

a) Die Bearbeitung eines Antrags des Schuldners an den Zwangsverwalter auf Auskunft nach Art. 15 Abs. 1 DS-GVO zählt nicht zu den allgemeinen Geschäftskosten im Sinne von § 21 Abs. 1 ZwVwV, sondern ist Teil der Geschäftsführung des Verwalters.

b) Die Vergütung hierfür bestimmt sich, wenn nicht nach § 18 ZwVwV abgerechnet wird, gemäß § 19 Abs. 1 Satz 1 ZwVwV nach dem Zeitaufwand, der mit dem einheitlichen Stundensatz nach § 19 Abs. 1 Sätze 2 u. 3 ZwVwV zu vergüten ist.

c) Die Festsetzung einer Vergütung nach § 17 Abs. 1, § 19 ZwVwV scheidet wegen der mit Art. 12 Abs. 5 Satz 1 DS-GVO vorgeschriebenen Kostenfreiheit allerdings aus, wenn es um die Bearbeitung einer Anfrage des Schuldners geht.
BGH, Beschluss vom 15. Juli 2021 - V ZB 53/20 - LG Limburg - AG Wetzlar

Den Volltext der Entscheidung finden Sie hier:


AG Pfaffenhofen: 300 EURO Geldentschädigung aus Art. 82 DGSVO bei unbefugter Zusendung einer Werbe-E-Mail und unzureichender Auskunft über Herkunft der Daten

AG Pfaffenhofen
Urteil vom 09.09.2021
2 C 133/21


Das AG Pfaffenhofen hat entschieden, dass eine Geldentschädigung in Höhe von 300 EURO aus Art. 82 DGSVO bei unbefugter Zusendung einer Werbe-E-Mail und unzureichender Auskunft über Herkunft der Daten angemessen ist.

Aus den Entscheidungsgründen:

"Dem Kläger steht gem. Art. 82 DSGVO ein Anspruch auf Ersatz immateriellen Schadens zu, den das Gericht wie tenoriert bemisst.

Die Beklagte hat gegen Bestimmungen der DS-GVO verstoßen, die Verstöße haben nach dem - insoweit auch unwidersprochen gebliebenen und damit zugestandenen (§ 138 Abs. 3 ZPO) Vorbringen des Klägers kausal zu einem immateriellen Schaden geführt.

Die Beklagte hat zum einen die Email-Adresse des Klägers ohne Rechtfertigung iSd Art. 6 DSGVO verarbeitet, zum anderen dem Kläger verspätet bzw. zunächst nicht vollständig Auskunft erteilt.

a. Die Beklagte hat unstreitig iSd Art. 4 DS-GVO die Email-Adresse des Klägers verarbeitet (erhoben, erfasst und gespeichert, und durch ihr Anschreiben weiter verwendet).

Hierfür - jedenfalls für die Speicherung und Verwendung wie erfolgt - konnte die Beklagte keinen rechtfertigenden Tatbestand iSd Art. 6 Abs. 1 DS-GVO darlegen. Die Beklagte behauptet insbesondere schon selbst nicht (geschweige denn belegt dies), dass der Kläger hierin eingewilligt hätte. Sie behauptet im Prozess schon selbst nicht, dass der Kläger ihr etwa seine Email-Adresse (und dies mit entsprechender Einwilligung) mitgeteilt hätte oder (auch wenn dies in der streitgegenständlichen Email so angegeben gewesen war) der Kläger eine Anfrage an die Beklagte gesandt hätte (Fall der Nachfragewerbung, vgl.
Eckhardt in Auer-Reinsdorff/Conrad, Handbuch IT- und Datenschutzrecht, 3. Aufl., § 25 b) Rdnr. 82 m.Nw., zit. nach beck-online) oder etwa ein Fall des § 7 Abs. 3 UWG vorgelegen hätte (dies würde u.a. voraussetzen, dass ein Unternehmer - hier die Beklagte - im Zusammenhang mit dem Verkauf einer Ware oder Dienstleistung von einem Kunden dessen elektronische Postadresse erhalten hat; dies war unstreitig ebenfalls nicht der Fall). Die Beklagte trug vielmehr vor, die Email-Adresse des Klägers aus frei zugänglicher Quelle im Internet gefunden zu haben, bei der Suche nach einer Rechtsberatung. Sie hat die Email-Adresse jedoch - selbst wenn die ursprüngliche Erfassung zu einem berechtigten Zweck erfolgt sein sollte, wie die Beklagte wohl behauptet - unstreitig nicht hierfür gespeichert und verwendet, sondern (als auch nach ihrem eigenen Vorbringen der ursprüngliche Zweck längst entfallen gewesen wäre) zum Zwecke der Werbung, die jedoch mangels vorheriger Einwilligung des Klägers gegen § 7 Abs. 2 Nr. 3 UWG und Art. 6 Abs. 1 S. 1 verstieß.

Die Werbung mittels E-Mail-Marketing setzt für ihre Zulässigkeit außerhalb der Fälle des § 7 Abs. 3 UWG eine - vorherige und ausdrückliche - Einwilligung voraus, mithin eine Willensbekundung, die ohne Zwang, für den konkreten Fall und in Kenntnis der Sachlage erfolgt (vgl. Eckhardt a.a.O. Rdnr. 86 m.Nw.). Eine solche wird schon durch die Beklagte - welche insoweit darlegungs- und beweisbelastet wäre - nicht im Ansatz behauptet oder vorgetragen.

Ebensowenig ist aus dem Vorbringen einer - auch nur z.B. konkludent - erteilte Einwilligung iSd Art. 6 Abs. 1 S. 1 lit a. DSGVO zu entnehmen. Auch keiner der weiteren Fälle der Vorschrift ist zu erkennen, insbesondere auch nicht ein Fall des Art. 6 Abs. 1 S. 1 lit. f. DSGVO m(überwiegende berechtigte Interessen des Verwantwortlichen oder eines Dritten). Gem. Erwägungsgrund 47 ist im Rahmen der Interessenabwägung nach lit. f zu prüfen, „ob eine betroffene Person zum Zeitpunkt der Datenerhebung und angesichts der Umstände, unter denen sie erfolgt, vernünftigerweise absehen kann, dass möglicherweise eine Verarbeitung
für diesen Zweck erfolgen wird“(vgl. Gola DS-GVO/Schulz, 2. Aufl. 2018, DS-GVO Art. 6 Rn. 61). Im Rahmen der Interessenabwägung ist zunächst der vom Datenverarbeiter verfolgte Zweck mit der Art, dem Inhalt sowie der Aussagekraft der Daten gegenüberzustellen; zu berücksichtigen sind sodann insbesondere die vernünftige Erwartungshaltung der betroffenen
Person bzw. die Absehbarkeit (Branchenüblichkeit) der Verarbeitung sowie ihre Beziehung zu dem Verantwortlichen (BeckOK DatenschutzR/Albers/Veit, 36. Ed. 1.5.2020, DS-GVO Art. 6 Rn. 53). Vorliegend führt bereits vor diesem Hintergrund die Abwägung hier zu dem Ergebnis, dass die schutzwürdigen Interessen des Klägers - welcher unstreitig in keinerlei vorheriger Beziehung zur Beklagten gestanden und auch sonst nicht nachweisbar seine Email-Adresse selbst in einer Weise, die
solche Verwendung absehbar gemacht hätte, mitgeteilt oder veröffentlich hatte - die Interessen der Beklagten an einer Werbemaßnahme für von ihr vertriebene Masken überwogen. Zudem spricht viel dafür, auch insoweit die Maßstäbe des § 7 Abs. 2 UWG zu berücksichtigen. Das OVG Saarlouis (B.v. 16.02.2021, 2 A 355/19, NJW 2021, 2225) führte in einem Fall der unerlaubten Telefonwerbung hierzu aus „dass die Bewertungsmaßstäbe des § 7 II Nr. 2 UWG, welcher der Umsetzung RL 2002/58/EG dient, auch im Rahmen des Art. 6 I Buchst. f DSGVO zu berücksichtigen wären. Es ist zwar zutreffend, dass auch die Verarbeitung personenbezogener Daten für Direktwerbung ein berechtigtes Interesse nach dem Erwägungsgrund 47 DS-GVO darstellen kann. Aber auch in diesem Zusammenhang ist zu berücksichtigen, dass die Ziele, die mit der Verarbeitung verfolgt werden, unionrechtskonform sein müssen. Daher gilt auch in diesem Zusammenhang die Wertung des § 7 II Nr. 2 UWG Geltung beanspruchen, mit der Folge, dass sich die Kl. nicht auf ein „berechtigtes“ Interesse berufen kann. Für dieses Ergebnis spricht im Übrigen auch die Forderung, für die Auslegung des Art. 6 I Buchst. f DSGVO als Ausgangspunkt konkret gefasste Erlaubnistatbestände aus dem nationalen Recht heranzuziehen, um dem allgemeinen Erlaubnistatbestand Konturen zu verleihen und Rechtssicherheit herzustellen“. Diese Ausführungen überzeugen und gelten ebenso für den hier vorliegenden Fall der Direktwerbung per Email, der ebenfalls von Art. 13 der Richtlinie 2002/58/EG erfasst und in § 7 Abs. 2 Nr. 3 UWG konkret geregelt ist.

Zudem hat die Beklagte auch gegen Art. 14 sowie 15 DS-GVO verstoßen. Gemäß Art. 14 DSGVO hat der Verantwortliche in dem Fall, dass die Erhebung der Daten nicht bei der betroffenen Person selbst erfolgt ist - was hier unstrittig der Fall war - eine Informationspflicht gegenüber dem Betroffenen über die in Art. 14 Abs. 1, 2 genannten Einzelheiten, welche gem. Art. 14 Abs. 3 lit, a, b DSGVO unter Berücksichtigung der spezifischen Umstände der Verarbeitung der personenbezogenen Daten innerhalb einer angemessenen Frist nach Erlangung der personenbezogenen Daten, längstens jedoch innerhalb eines Monats, bzw. falls die personenbezogenen Daten zur Kommunikation mit der betroffenen Person verwendet werden sollen, spätestens zum Zeitpunkt der ersten Mitteilung an sie (auch in diesem Fall jedoch spätestens innerhalb eines Monats, vgl. Kühling/Buchner/Bäcker, 3. Aufl. 2020, DSGVO Art. 14 Rn. 33; Paal/Pauly/Paal/Hennemann, 3. Aufl. 2021, DS-GVO Art. 14 Rn. 34) zu erfüllen ist. Eine Erfüllung dieser Pflicht - insbesondere innerhalb der Frist (die Beklagte speicherte die Daten ihrer eigenen Einlassung nach bereits ab 25.12.2020) - wurde nicht ersichtlich.

[...]

Die Höhe des Anspruchs ist dabei nicht willkürlich, sondern auf der Grundlage der inhaltlichen Schwere und Dauer der Rechtsverletzung zu beurteilen, unter Berücksichtigung des Kontexts, der Umstände eines Verstoßes. Genugtuungs- und Vorbeugungsfunktion können bei der Bezifferung eine Rolle spielen. Einerseits darf die Höhe des Schadensersatzes keine Strafwirkung entfalten. Andererseits reicht ein künstlich niedrig bezifferter Betrag mit symbolischer Wirkung nicht aus, um die praktische Wirksamkeit des Unionsrechts sicherzustellen (vgl. Paal/Pauly/Frenzel, 3. Aufl. 2021, DS-GVO Art. 82 Rn. 12a).

So sprach etwa das AG Hildesheim (U.v. 05.10.2020, 43 C 145/19, ZD 2021, 384) 800,00 € zu in einem Fall, in dem auf einem wiederaufbereiteten und weiterveräußerten PC private Daten des ursprünglichen Besitzers noch vorhanden und somit an den Dritten gelangt waren.

Das LG Lüneburg ( Urteil vom 14.7.2020 – 9 O 145/19, ZD 2021, 275) etwa sprach 1.000,00 € zu in einem Fall eines rechtswidrigen Schufa-Eintrags.

Vorliegend berücksichtigt das Gericht, dass der Kläger (der selbst zunächst von der Beklagten 300,00 € gefordert hatte, im Rahmen der prozessualen Geltendmachung dann einen Bereich von nicht unter 100,00 € für angemessen hielt) nicht nur von einem, sondern von mehreren Verstößen der Beklagten gegen Vorschriften der DSGVO betroffen war (s.o.). Andererseits blieben die Auswirkungen für den Kläger - anders als etwa in den beiden o.g. Fällen des AG Hildesheim und des LG Lüneburg im „eigenen Bereich“ des Klägers, es wurde von den Verstößen kein Bereich tangiert (jedenfalls wurde derartiges nicht erkennbar), der Beziehungen des Klägers zu anderen Dritten betraf, etwa (auch nur potentiell) die Gefahr einer Schädigung seines Ansehens, seiner Kreditwürdigkeit o.ä. bot. Die erkennbaren Auswirkungen lagen vielmehr darin, dass der Kläger sich - wie er unwidersprochen vortrug - sich mit der Abwehr der von ihm unerwünschten Werbung und der Herkunft der Daten auseinandersetzen musste. Gerade letzteres - zumal unter Berücksichtigung der Dauer des Verstoßes und der zunächst nicht ansatzweise zielführend erfolgten Auskunftserteilung - ist geeignet, zu einem durchaus belastenden Eindruck des Kontrollverlusts zu führen, zumal dies auch die Auseinandersetzung mit dem Verstoß und auch die Abwehr ggf. drohender anderweitiger Verstöße erschwert (die Quelle der Daten kann ja - und wird erfahrungsgemäß - auch die Quelle für andere sein, die ggf. unter Verstoß gegen die DSGVO diese Daten verarbeiten). Vor diesem Hintergrund ist insbesondere die bestenfalls als zögerlich zu bezeichnende Information durch die Beklagte (die insoweit auch im Prozess recht vage blieb, wenn auch der Kläger dies nicht mehr weiter verfolgte) im Interesse einer effektiven Abschreckung als schmerzensgelderhöhend zu berücksichtigen. Soweit die Beklagte mit ihrem letzten Vorbringen möglicherweise behaupten will, nur zur Versorgung ihrer Mitmenschen agiert zu haben (quasi altruistisch) erscheint dies im Übrigen wenig lebensnah. Nicht zu berücksichtigen war dagegen, dass der Kläger zwischenzeitlich weitere unerwünschte Emails erhalten haben mag; eine Verantwortung der Beklagten hierfür wird schon nicht behauptet oder ersichtlich.

Das Gericht erachtet - auch im Vergleich mit den o.g. Entscheidungen, denen noch deutlich gravierendere (zumindest potentielle) Auswirkungen zugrundelagen - vorliegend im Ergebnis eine Entschädigung von 300,00 € für angemessen."


Den Volltext der Entscheidung finden Sie hier:


Internet World Business-Beitrag von Rechtsanwalt Marcus Beckmann - "Kundenbindung - wo sind die Grenzen" mit einem Überblick über die rechtlichen Rahmenbedingungen.

In Ausgabe 9/21 S. 54-55 der Zeitschrift Internet World Business erschien ein Beitrag von Rechtsanwalt Marcus Beckmann mit dem Titel "Kundenbindung - wo sind die Grenzen" mit einem Überblick über die rechtlichen Rahmenbedingungen.

LAG Hannover: DSGVO gewährt keinen Anspruch auf Entfernung einer Abmahnung jedenfalls aus in Papierform geführter Personalakte

LAG Hannover
Urteil vom 04.05.2021
11 Sa 1180/20


Das LAG Hannover hat entschieden, dass die DSGVO keinen Anspruch auf Entfernung einer Abmahnung jedenfalls aus einer in Papierform geführten Personalakte gewährt.

Aus den Entscheidungsgründen:

3. Die Kammer teilt im Ergebnis die Rechtsauffassung des Arbeitsgerichts, wonach auch unter datenschutzrechtlichen Gesichtspunkten ein Löschungsanspruch nicht besteht.

a) Hinsichtlich der DSGVO (Verordnung (EU) 2016/679) hat das Arbeitsgericht auf Artikel 17 der Verordnung abgestellt, der einen ausdrücklichen Löschungsanspruch regelt. Einschlägig wäre insoweit Abs. 1 Buchst. a)

„wenn die personenbezogenen Daten für die Zwecke, für die sie erhoben oder auf sonstige Weise verarbeitet wurden, nicht mehr notwendig sind.“

Ein solcher Anspruch könnte aber nicht abgelehnt werden mit der vom Arbeitsgericht gegebenen Begründung, wonach im Hinblick auf den noch anhängigen Kündigungsrechtstreit noch nicht feststellbar sei, dass die Daten nicht mehr benötigt werden. Da alle hier streitigen Rechtsfragen in einem gemeinsamen Rechtstreit anhängig gemacht werden, wird die Entscheidung über die Wirksamkeit der Kündigung und der Entfernung der Abmahnungen zeitlich koordiniert erfolgen. Im Übrigen steht zum Zeitpunkt der Berufungsentscheidung bereits seit über einem Jahr fest, dass das Arbeitsverhältnis spätestens mit Ablauf des 31.03.2020 beendet ist.

b) Art. 88 DSGVO stellt eine lex specialis hinsichtlich der Verarbeitung personenbezogener Beschäftigtendaten im Beschäftigungskontext dar. Der Artikel stellt jedoch nur eine Öffnungsklausel für besondere Regelungen der Mitgliedstaaten vor, er enthält selbst keine unmittelbar anwendbaren Rechtssätze.

Der Art. 88 DSGVO ausgestaltende § 26 BDSG regelt die Zulässigkeit der Datenverarbeitung für Zwecke des Beschäftigungsverhältnisses. Spezifische Löschungsvorschriften für das Beschäftigungsverhältnis enthält die Vorschrift ihrerseits nicht. Für das Recht auf Löschung verweist § 35 BDSG im Grundsatz auf Art. 17 der DSGVO. Als Ausnahme sieht § 35 Abs.1 BDSG vor, dass bei unverhältnismäßig hohem Aufwand der Löschung an die Stelle einer Löschung die Einschränkung der Verarbeitung tritt.

Art. 17 Abs. 3 DSGVO macht einen generellen Vorbehalt zu Gunsten gesetzlicher Aufbewahrungsfristen. Diese können im Arbeitsverhältnis insbesondere sozialversicherungs- und steuerrechtlicher Art sein. In der Literatur wird dazu vertreten, dass personenbezogene Daten nach Beendigung des Arbeitsverhältnisses generell zu löschen seien, soweit keine Aufbewahrungspflichten gelten (etwa Simitis/Hornung/Spieker, Datenschutzrecht 1. Aufl. 2019, Art. 88 DSGVO Rn. 205 ff.). In der Konsequenz würde dies allerdings bedeuten, dass der Arbeitgeber nach Beendigung eines jedem Arbeitsverhältnisses den vorhandenen Datenbestand des ausscheidenden Arbeitnehmers danach sortieren müsste, ob Aufbewahrungsfristen bestehen oder nicht.

c) Allerdings bestehen für den Anwendungsbereich der noch traditionell in Papierform geführten Personalakten erhebliche Zweifel, ob oder wieweit diese vom Regelungsbereich der DSGVO und des BDSG erfasst werden. In Art. 2 Abs.1 und Art. 4 Nr. 6 DSGVO wird der Begriff der Dateisysteme zugrunde gelegt. Unabhängig von der Frage, ob dieser Begriff zwischen automatisierten und nicht automatisierten Vorgängen unterscheidet (dazu etwa Gierschmann/Schlender Datenschutzgrundverordnung Kommentar 2018, Art. 4 Nr. 6 Rn. 8), ist in Erwägungsgrund 15 der Richtlinie ausdrücklich formuliert, dass Akten, die nicht nach bestimmten Kriterien geordnet sind, nicht in den Anwendungsbereich der Verordnung fallen sollen. Zutreffend weisen Gierschmann/Schlender aaO. Rn. 9 darauf hin, dass für Akten, - insbesondere Personalakten – rechtlich der Grundsatz der Vollständigkeit bestimmend ist und nicht der Grundsatz der Datensparsamkeit. Der Berufungsbegründung lassen sich weiterführende Überlegungen hinsichtlich dieser sehr grundsätzlichen Fragen nicht entnehmen.

Soweit ersichtlich, ist bisher in der Instanzrechtsprechung lediglich vereinzelt ein datenschutzrechtlicher Anspruch auf Entfernung einer Abmahnung nach Ende des Arbeitsverhältnisses angenommen worden (LAG Sachsen-Anhalt 23.11.18, 5 Sa 7/17, NZA-RR 109, 335). Eine klärende Entscheidung des Bundesarbeitsgerichts dazu steht noch aus. Die Kammer ist der Auffassung, dass auch die datenschutzrechtlichen Neuregelungen auf Basis der DSGVO eine derartig grundlegende Veränderung des Rechtsschutzes zumindest im Bereich der in Papierform geführten Personalakten nicht erfordern.

Den Volltext der Entscheidung finden Sie hier:



LArbG Hamm: Schadensersatzanspruch aus Art. 82 Abs. 1 DSGVO bei verspäteter oder unvollständiger Auskunftserteilung nach Art. 15 Abs. 1 DSGVO

LArbG Hamm
Urteil vom 11.05.2021
6 Sa 1260/20


Das LArbG Hamm hat entschieden, dass ein Schadensersatzanspruch aus Art. 82 Abs. 1 DSGVO bei verspäteter oder unvollständiger Auskunftserteilung nach Art. 15 Abs. 1 DSGVO besteht. Im vorliegenden Fall hat das Gericht einem Arbeitnehmer 1.000 EURO zugesprochen.

Aus den Entscheidungsgründen:

II. Soweit die Klägerin den in erster Instanz unbezifferten gestellten Klageantrag nunmehr im Rahmen der Berufungsbegründung beziffert, liegt eine Klageänderung - die im Rahmen der Berufung an den Voraussetzungen des § 533 ZPO zu messen wäre - nicht vor. Gemäß § 264 Nr. 2 ZPO ist es nicht als Klageänderung anzusehen, wenn ohne Änderung des Klagegrundes der Klageantrag in der Hauptsache erweitert wird. Darunter fällt auch der Übergang von einem nicht bezifferten Feststellungsantrag zu einem bezifferten Zahlungsantrag (vgl. BGH vom 12.05.1992 – VI ZR 118/91 -; BGH vom 13.11.2014 – IX ZR 267/13-).Wird zunächst eine Stufenlage erhoben und der Auskunftsantrag gestellt, stellt der Kläger dann aber, ohne die Bescheidung des Auskunftsanspruchs abzuwarten, sogleich den Zahlungsantrag, ist dieser Antrag ebenfalls nach § § 264 Nr. 2 ZPO zulässig. Um eine Klageänderung handelt es sich nicht (BGH vom 13.11.2014 – IX ZR 267/13 - ). Für den Zahlungsantrag, der in erster Instanz noch nicht beziffert war, gilt hier nicht anderes.

B) Die Berufung ist indes nur im Hinblick auf die Verurteilung der Beklagten zur Zahlung eines in das Ermessen des Gerichts gestellten immateriellen Schadensersatzanspruchs begründet. Insoweit hat das Arbeitsgericht die Klage zu Unrecht abgewiesen. Im Übrigen ist die Berufung unbegründet.

I. Die Berufung ist teilweise begründet, soweit die Klägerin die Zahlung eines immateriellen Schadensersatzes begehrt. Sie hat aus Art. 82 Abs. 1 DSGVO einen Anspruch auf Zahlung eines solchen Schadensersatzes in Höhe von 1.000,00 Euro.

1. Der Klageantrag ist zunächst bestimmt genug, § 253 Abs. 2 Nr. 2 ZPO. Bei einem Schadensersatzanspruch auf Geldentschädigung, bei dem die Bestimmung des Betrages von der Ermittlung der Schadenshöhe durch Beweisaufnahme oder durch gerichtliche Schätzung oder vom billigen Ermessen des Gerichts abhängt, ist es ausreichend, wenn die zahlenmäßige Feststellung der Klageforderung dem Gericht überlassen wird, sofern dem Gericht zugleich die tatsächlichen Grundlagen gegeben werden, die ihm die Feststellung der Höhe des gerechtfertigten Klageanspruchs ermöglichen (vgl. BGH vom 13.03.1967 – III ZR 8/66 m.z.N.). Selbes gilt, wenn – wie hier - die ziffernmäßige Festlegung der Schadenshöhe entscheidend von der Ausübung des richterlichen Ermessens oder einer richterlichen Schätzung nach § 287 Abs. 1 ZPO abhängt (BGH vom 13.03.1967 – III ZR 8/66 m.z.N.). Vorliegend hat die Klägerin zudem angegeben, dass sie einen Mindestschaden von 6.000,00 Euro (vgl. Berufungsbegründung vom 21.12.2020) für angemessen erachtet.

2. Nach Art. 82 Abs. 1 DSGVO hat jede Person, der wegen eines Verstoßes gegen diese Verordnung ein materieller oder immaterieller Schaden entstanden ist, Anspruch auf Schadensersatz gegen den Verantwortlichen.

Die DSGVO, die seit dem 25.05.2018 in Kraft getreten ist (Art. 99 Abs. 2 DSGVO) gilt gemäß Art. 288 AEUV unmittelbar in jedem Mitgliedsstaat der Europäischen Union, ohne dass es einer weiteren Umsetzung durch nationales Recht bedarf.

a) Verantwortlicher im Sinne des Art. 82 Abs. 1 DSGVO ist die natürliche oder juristische Person, Behörde, Einrichtung oder andere Stelle, die allein oder gemeinsam mit anderen über die Zwecke und Mittel der Verarbeitung von personenbezogenen Daten entscheidet (Art. 4 Ziff. 7 DSGVO), mithin die Beklagte.

b) Die Beklagte hat vorliegend gegen ihre Auskunftspflicht gegenüber der Klägerin aus Art. 15 Abs. 1 DSGVO verstoßen. Der Auskunftsanspruch besteht auch in einem Arbeitsverhältnis. Die allgemeinen Bestimmungen der EU-DSVO enthalten eine Vollregelung, auch zum Beschäftigtendatenschutz (vgl. LAG Baden-Württemberg vom 20.12.2018 – 17 Sa 11/18 -). Der Auskunftsanspruch ist ein Grundrecht (Art. 8 Abs. 2 GRCh, Art. 6 Abs. 1 EUV) und gehört zur „Magna Charta“ der Betroffenenrechte (Lemke, der Datenschutzrechtliche Auskunftsanspruch im Arbeitsverhältnis, NJW 2020, 1841ff).

Nach Art. 15 Abs. 1 DSGVO hat die betroffene Person (Art. 4 Ziff. 7 DSGVO) das Recht, von dem Verantwortlichen eine Bestätigung darüber zu verlangen, ob sie betreffende personenbezogene Daten verarbeitet werden und – soweit dies der Fall ist – das weitere Recht auf die unter lit. a) bis h) der Vorschrift benannten Informationen. Nach der Vorgabe des Art. 12 Abs. 3 S. 1-3 DSGVO ist ein solches Auskunftsbegehren binnen eines Monats nach Eingang, nach einer Unterrichtung über eine Fristverlängerung binnen zwei weiterer Monate zu beantworten.

(1) Ein solches Verlangen hat die Klägerin vorliegend mit außergerichtlichem Schreiben ihres heutigen Prozessbevollmächtigten vom 30.01.2020 gestellt. Darin hat sie unter Bezugnahme auf die Datenschutzgrundverordnung Auskunft über „sämtliche bei Ihnen gespeicherten Daten, insbesondere die Daten der Arbeitszeiterfassung“ begehrt. Das Auskunftsbegehren unterliegt nach den Bestimmungen der DSGVO keinen besonders geregelten Anforderungen an Form und Inhalt. Es kann dahinstehen, ob sich der Anspruch der Klägerin inhaltlich auf den gesamten Umfang der mit dem Schreiben geltend gemachten Daten bezieht. Aus diesem verlangen konnte die Beklagte hinreichend konkret erkennen, auf welche Rechtsgrundlage die Klägerin ihr begehren stützt. Aus Art. 4 Ziff. 2 DSGVO ergibt sich zudem, dass sich die Verarbeitung, die Gegenstand des Auskunftsanspruchs nach Art. 15 DSGVO ist, auf jeden mit oder ohne Hilfe automatisierter Verfahren ausgeführten Vorgang oder jede solche Vorgangsreihe im Zusammenhang mit personenbezogenen Daten bezieht. Eine Einschränkung auf einen bestimmten Auskunftsteil hat die Klägerin nicht vorgenommen. Sie hat nur formuliert, dass sich ihr Begehren „insbesondere“ aber nicht erkennbar nicht ausschließlich auf die Daten der Zeiterfassung beziehe.

(2) Der Auskunftsanspruch bezieht sich inhaltlich auf personenbezogene Daten. Dabei handelt es sich nach Art. 4 Ziff. 1 DSGVO um alle Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person („betroffene Person“) beziehen. Zur Verarbeitung gehört nach Art. 4 Ziff. 2 DSGVO insbesondere das Erheben, das Erfassen, die Organisation, das Ordnen, die Speicherung und die Verwendung solcher Daten. In einem Arbeitsverhältnis verarbeitet der Arbeitgeber zwangsläufig personenbezogene Daten der bei ihm beschäftigten Arbeitnehmer. Bei diesen Daten kann es sich neben den Kontaktdaten der Person etwa um Informationen über das Bestehen und die Dauer einer Arbeitsunfähigkeit, über die Gewährung von Urlaubsansprüchen oder auch über Leistungs- und Verhaltensdaten handeln. Die Beklagte hat bis heute keine Auskunft darüber erteilt, ob und zu welchem Verarbeitungszweck (Art. 15 Abs. 1 lit. a)) und nach welchen Kategorien (Art. 15 Abs. 1 lit. b)) sie entsprechende Daten der Klägerin verarbeitet. Die Beklagte hat auf das gestellte Auskunftsverlangen erstmals unter dem 13.08.2020 reagiert und der Klägerin - offenbar auch im Hinblick auf das zu diesem Zeitpunkt klageweise rechtshängig gemachte und auf den Umfang der geleisteten Arbeitszeit im Arbeitsverhältnis beschränkten Auskunftsantrag – Arbeitszeitnachweise zugesendet. Eine weitere Auskunft ist – bis heute – nicht erfolgt.

(3) Eine Haftung für die Verstöße könnte nur entfallen, wenn die Beklagte für diese nicht verantwortlich wäre, Art. 83 Abs. 3 DSGVO. Dies hat die Beklagte nicht dargetan.

c) Entgegen der Auffassung der Beklagten ist der Klägerin durch die fehlende Erteilung der Auskunft ein immaterieller Schaden entstanden.

Das zutreffende Verständnis des Schadensbegriffs ist in der Rechtsprechung des Gerichtshofs der Europäischen Union bislang nicht geklärt. Der Begriff kann auch nicht in seinen einzelnen, für die Beurteilung des vorliegenden Sachverhalts notwendigen Voraussetzungen unmittelbar aus der DSGVO bestimmt werden. Auch in der bislang vorliegenden Literatur, die sich unter Bezugnahme auf den Erwägungsgrund 146 überwiegend für ein weites Verständnis des Schadensbegriffs ausspricht, sind die Details und der genaue Umfang des Anspruchs noch unklar (vgl. dazu: BVerfG vom 14.01.2021 – 1 BvR 2853/19 – mit zahlreichen Nachweisen).

Weder der DSGVO noch ihren Erwägungsgründen lässt sich indes entnehmen, dass der Schadensersatzanspruch einen qualifizierten Verstoß gegen die DSGVO voraussetzt. Für die Annahme einer Erheblichkeitsschwelle oder anders - herum formuliert – die Ausnahme von Bagatellfällen, gibt es keinen Anhaltspunkt (so auch BVerfG vom 14.01.2021 – 1 BvR 2853/19 -).

Unter Berücksichtigung des Erwägungsgrundes 146 S. 3 zur DSGVO soll der Begriff des Schadens im Lichte der Rechtsprechung des Europäischen Gerichtshofes weit und auf eine Weise ausgelegt werden, die den Zielen der Verordnung in vollem Umfang entspricht. Die Ziele der DSGVO bestehen dabei u.a. darin, den Risiken für die Rechte und Freiheit natürlicher Personen zu begegnen, die - mit unterschiedlicher Eintrittswahrscheinlichkeit und Schwere - aus einer Verarbeitung personenbezogener Daten hervorgehen und zu einem immateriellen Schaden führen können. Dabei kann ein immaterieller Schaden nicht nur in einer Diskriminierung, einem Identitätsdiebstahl oder -betrug, einem finanziellen Verlust, einer Rufschädigung, einem Verlust der Vertraulichkeit von dem Berufsgeheimnis unterliegenden Daten, der unbefugten Aufhebung der Pseudonomisierung oder anderen erheblichen wirtschaftlichen oder gesellschaftlichen Nachteilen liegen. Er kann (bereits) entstehen, wenn die von der Verarbeitung personenbezogener Daten betroffenen Personen daran gehindert werden, die sie betreffenden personenbezogenen Daten zu kontrollieren (vgl. Erwägungsgrund 75).

In jedem Arbeitsverhältnis verarbeitet der Arbeitgeber zwangsläufig personenbezogene Daten seiner Mitarbeiter. Jeder Arbeitgeber wird mindestens die Kontaktdaten, die Bankdaten zwecks Überweisung des Entgelts sowie Anwesenheits- und Fehlzeitendaten seiner Mitarbeiter erheben, speichern und verwenden. In welchem Umfang und in welchen Kategorien eine solche Verwendung erfolgt, ist Arbeitnehmern nicht ohne weiteres ersichtlich. Ebenso können Arbeitnehmer nicht von sich aus erkennen, ob Daten auch Dritten zur Verfügung gestellt und für welche Dauer – ggf. auch nach Beendigung des Arbeitsverhältnisses – diese Daten gespeichert bleiben. Die Beklagte wendet vorliegend nicht ein, dass sie über die der Klägerin im August 2020 übersendeten Arbeitszeitnachweise keine Weiteren personenbezogenen Daten der Klägerin verarbeitet. Eine Kontrolle über diese Daten hat die Klägerin indes nicht, solange die Beklagte ihrer Auskunftspflicht – in erster Stufe zumindest hinsichtlich der Bestätigung des „Ob“ der Verarbeitung personenbezogener Daten - nicht nachkommt. Der Klägerin fehlt dabei nicht nur die Kenntnis, welche Kategorien von Daten die Beklagte formalisiert oder nicht formalisiert verarbeitet. Sie kann ebenso nicht beurteilen, wie lange solche Daten nach Beendigung des Arbeitsverhältnisses weiter gespeichert bleiben und an welche Dritte die Beklagte solche Daten ggf. weiterreicht. Die Schwere des immateriellen Schadens, mithin das Gewicht der Beeinträchtigung, das die Klägerin – subjektiv – wegen der bestehenden Unsicherheit und des Kontrollverlustes empfinden mag, ist für die Begründung der Haftung nach Art. 82 Abs. 1 DSGVO und mithin für die Frage des „ob“ eines entstandenen Schadens nicht erheblich (so auch ArbG Düsseldorf vom 05.03.2020 – 9 Ca 6557/18).

d) Die Klägerin hat die Bemessung der Höhe des immateriellen Schadensersatzes in das Ermessen des Gerichts gestellt, § 287 Abs. 1 S. 1 ZPO. Unter Würdigung aller Umstände des Einzelfalles geht die Berufungskammer davon aus, dass der Klägerin zur Abgeltung des immateriellen Schadens ein Geldanspruch in Höhe von 1.000,00 Euro zusteht.

(1) Unter Berücksichtigung des Erwägungsgrundes 146 (Satz 6) zur DSGVO soll die betroffene Person einen vollständigen und wirksamen Schadensersatz für den erlittenen Schaden erhalten. Insoweit erscheint eine Orientierung an dem Kriterienkatalog für die Bemessung von Bußgeldern in Art. 83 Abs. 2 S. 2 DSGVO naheliegend (so auch ArbG Düsseldorf vom 05.03.2020 – 9 Ca 6557/18 -). Danach sind für die Ermittlung der Höhe einer Geldbuße u. a. die Art, Schwere und Dauer des Verstoßes unter Berücksichtigung der Art, des Umfangs oder des Zwecks der betreffenden Verarbeitung, der Grad des Verschuldens, Maßnahmen zur Minderung des den betroffenen Personen entstandenen Schadens, frühere einschlägige Verstöße sowie die Kategorien der betroffenen personenbezogenen Daten zu betrachten. Bei der Bemessung der Entschädigung für immaterielle Schäden kommt den Gerichten grundsätzlich ein weites Ermessen zu, § 287 Abs. 1 S. 1 ZPO. Es müssen mithin sowohl sämtliche Auswirkungen des konkreten Datenschutzverstoßes für die geschädigte Person als auch sämtliche in der Person des Schädigers liegenden, insbesondere die Tatsituation und den Verschuldensgrad betreffenden, Umstände berücksichtigt werden (vgl. Oetker in MüKoBGB, 8. Auflage 2019, § 253 ZPO Rz. 36 ff).

2) In Anwendung des zuvor dargestellten Maßstabs ist unter Berücksichtigung und Abwägung aller Umstände des Einzelfalls ein Schadensersatz in Höhe von 1.000,00 Euro angemessen.

Dabei hat die Kammer zu Lasten der Beklagten berücksichtigt, dass diese die Auskunft nach Art. 5 Abs. 1 DSGVO bis zum heutigen Tag nicht erteilt hat. Die Beklagte hat der Klägerin lediglich im August 2020 Arbeitszeitnachweise übermittelt. Damit hat die Beklagte den Auskunftsanspruch allenfalls rudimentär erfüllt. Schriftsätzlich hat sich die Beklagte auf den Standpunkt gestellt, dass die Klägerin in dem Schreiben vom 30.01.2020 zu Unrecht Auskunft über „sämtliche Daten“ gefordert habe, obgleich ein Anspruch sich allenfalls auf solche Daten beziehe könne, die die Klägerin persönlich betreffen. Soweit die Beklagte darin eine Rechtfertigung erblickt, einem aus ihrer Sicht unklaren oder überzogenen Begehren nicht nachkommen zu müssen, kann dies nur zu ihren Lasten berücksichtigt werden. Zum einen erscheint eine derart weite Auslegung des Begehrens der Klägerin im Kontext des Schreibens bereits fernliegend. So erläutert der Prozessvertreter in dem Schreiben vom 30.01.2020, dass die Beklagte nach Auskunft seiner Mandantin, die Arbeitszeit elektronisch erfasse, dass es sich bei der Erfassung dieser Daten um personenbezogene Daten handele und die Mandantin daher „ihren“ Auskunftsanspruch nach der Datenschutz-Grundverordnung geltend mache. Auch für einen unbefangenen Leser ist erkennbar, dass die Klägerin keine Auskunft über Daten begehrt, die mit ihrer Person nicht in Zusammenhang stehen. Von dieser Auslegung ist die Beklagte indes auch im Kammertermin nicht abgerückt. Ein Problembewusstsein der Beklagten im Hinblick auf die Verletzung eines Rechts, dass der Europäischen Verordnungsgeber, wie sich bereits aus Art. 8 Abs. 2 der Grundrechtscharta zeigt, als sehr bedeutsam einordnet, vermochte die Berufungskammer nicht zu erkennen. Es ist auch nicht ersichtlich, dass die Klägerin die tatsächliche Erteilung der Auskunft in der Zukunft noch außergerichtlich erreichen wird. Zugunsten der Beklagten kann insoweit nur unterstellt werden, dass einschlägige frühere Verstöße nicht vorliegen.

Obwohl das vorgehend dargestellte Verhalten die Annahme nahelegt, dass die Beklagte den Umfang und die Bedeutung ihrer Verpflichtung aus der Datenschutzgrundverordnung jedenfalls fahrlässig grob verkennt, ist zu Lasten der Klägerin zu berücksichtigen, dass sie die tatsächliche Erlangung der ihr nach Art. 15 Abs. 1 DSGVO zustehenden Informationen in Erkennung des Umstandes, dass die Beklagte diesem Auskunftsbegehren nicht ohne Weiteres nachkommen wird, bislang nicht konsequent verfolgt hat. Nachdem die Beklagte im August 2020 Arbeitsnachweise erteilt hat, hat die Klägerin den Auskunftsanspruch insoweit für erledigt erklärt. Sie hat aber in der Folgezeit davon abgesehen, ihr Auskunftsverlangen im Weiteren gerichtlich geltend zu machen, um eine tatsächliche Durchsetzung zu erreichen. Vielmehr hat die Klägerin sich darauf beschränkt, unter Berufung auf die fehlende Auskunft einen immateriellen Schadensersatzanspruch gerichtlich einzuklagen. Ihr Prozessverhalten deutet für die Berufungskammer darauf hin, dass die tatsächliche Erlangung einer Kontrolle über die von ihr verarbeiteten personenbezogenen Daten nicht ihr primäres Ziel ist. Es drängt sich vielmehr für die Berufungskammer der Eindruck auf, dass es ihr in dem außergerichtlichen Schreiben vom 30.01.2020 maßgeblich um die Herausgabe der Arbeitsaufzeichnungen zum Zwecke der Bezifferung einer beabsichtigten Überstundenklage ging. Obwohl sie durch die nach wie vor ausstehende Auskunft nach wie vor keine Kontrolle über ihre personenbezogenen Daten hat, die bei der Beklagten – auch nach Beendigung des Arbeitsverhältnisses – gegebenenfalls weiter verwendet werden, lässt das Verhalten der Klägerin nicht erkennen, dass dieser Umstand als solcher eine besondere Belastung für sie darstellt, die nicht jedenfalls mit der Zahlung eines Schadensersatzbetrages kompensiert werden könnte. Insbesondere ist nicht erkennbar, dass die Klägerin beabsichtigt, die tatsächliche Erteilung der Auskunft auch im Falle der Zahlung eines Schadensersatzes durch die Beklagte weiterzuverfolgen. Dies deutet darauf hin, dass ihre persönliche Betroffenheit im Hinblick auf die fehlende Möglichkeit der Kontrolle ihrer personenbezogenen Daten überschaubar ist und Zweifel an der Nachhaltigkeit des Auskunftsverlangens berechtigt erscheinen. Dieser Umstand ist bei der Bemessung der Höhe des immateriellen Schadensersatzes - anders als bei der Frage des Entstehens eines solchen - zu berücksichtigen.

Inwieweit die Höhe des Schadensersatzes auch von dem nach Art. 4 Ziffer 7 DSGVO Verantwortlichen und dessen Finanzkraft abhängen mag (so ArbG Düsseldorf 5. März 2020 – 9 Ca 6557/18), kann dahinstehen. Keine der Parteien hat vorliegend Angaben diesbezüglich getätigt. Der Umstand, dass es sich bei der Beklagten um einen Kleinbetrieb handelt, hat für sich genommen keine Aussagekraft hinsichtlich der Finanzkraft des Unternehmens.

Unter Berücksichtigung all dessen hat die Kammer für den Verstoß der Beklagten gegen Art. 15 Abs. 1 DSGVO insgesamt einen Schadensersatzanspruch in Höhe von 1.000,00 Euro angesetzt.


Den Volltext der Entscheidung finden Sie hier:

OLG Bremen: Schadensersatz nach Art. 82 DSGVO nur wenn materieller oder immaterieller Schaden entstanden ist und substantiiert vorgetragen wird

OLG Bremen
Beschluss vom 16.07.2021
1 W 18/21


Das OLG Bremen hat entschieden, dass Schadensersatz nach Art. 82 DSGVO nur verlangt werden kann, wenn ein materieller oder immaterieller Schaden tatsächlich entstanden ist substantiiert vorgetragen wird.

Aus den Entscheidungsgründen:
"Die sofortige Beschwerde der Antragstellerin vom 29.03.2021 gegen den Beschluss des Landgerichts vom 22.02.2021 war aus den zutreffenden Gründen der angegriffenen Entscheidung sowie des Nichtabhilfebeschlusses vom 23.04.2021 zurückzuweisen. Der Antragstellerin war die begehrte Prozesskostenhilfe zu versagen, da sie weiterhin keinen Sachverhalt vorgetragen hat, aufgrund dessen sich das Vorliegen hinreichender Erfolgsaussichten für die Rechtsverfolgung der Antragstellerin als Voraussetzung für die Bewilligung von Prozesskostenhilfe nach § 114 ZPO ergeben würde. Die Antragstellerin verkennt, dass nach Art. 82 der Datenschutz-Grundverordnung (Verordnung (EU) 2016/679 vom 27.04.2016 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten, zum freien Datenverkehr und zur Aufhebung der Richtlinie 95/46/EG, nachfolgend: DSGVO) ein Anspruch auf Schadensersatz voraussetzt, dass einer natürlichen Person wegen eines Verstoßes gegen diese Verordnung ein materieller oder immaterieller Schaden entstanden ist.
Dem Vorbringen der Antragstellerin ist lediglich ein Vortrag zu einem geltend gemachten Verstoß gegen die Bestimmungen der DSGVO zu entnehmen, dagegen fehlt es an jeglichem Vorbringen zu einem der Antragstellerin hierdurch entstandenen immateriellen Schaden. Einer Vorlage an den Europäischen Gerichtshof bedurfte es bereits im Hinblick auf den eindeutigen Wortlaut des Art. 82 DSGVO nicht: Anders als in der Entscheidung des Bundesverfassungsgerichts vom 14.01.2021 (siehe BVerfG, Beschluss vom 14.1.2021 – 1 BvR 2853/19, juris Rn. 21, NJW 2021, 1005) liegt den vorstehenden Erwägungen nicht die Annahme einer Erheblichkeitsschwelle für den Schadensbegriff des Art. 82 DSGVO zugrunde, sondern es fehlt bereits an jeglichem Vorbringen zu einem der Antragstellerin durch die geltend gemachte Rechtsverletzung entstandenen Schaden. Im Übrigen ist Art. 267 Abs. 3 AEUV eine Vorlagepflicht der einzelstaatlichen Gerichte nur in solchen Verfahren zu entnehmen, in denen die Entscheidungen dieser Gerichte selbst nicht mehr mit Rechtsmitteln des innerstaatlichen Rechts angefochten werden können. Im vorliegenden Verfahren über die Bewilligung von Prozesskostenhilfe gilt aber ebenso wie im Verhältnis zwischen Verfahren des einstweiligen Rechtsschutzes und den Hauptsacheverfahren, dass keine Vorlagepflicht besteht, wenn die zu erlassende Entscheidung das Gericht, dem der Rechtsstreit danach in einem Hauptsacheverfahren vorgelegt wird, nicht bindet und den Parteien eine erneute Überprüfung der zunächst nur vorläufig entschiedenen Frage offensteht (siehe BVerfG, Beschluss vom 19.10.2006 – 2 BvR 2023/06, juris Rn. 13, EuR 2006, 814)."


Den Volltext der Entscheidung finden Sie hier:

OVG Rheinland-Pfalz: DSGVO ist nicht auf abgeschaltete Überwachungskameras anzuwenden - Art. 58 Abs. 2 lit. f DSGVO keine Befugnisnorm für Abbauanordnung

OVG Rheinland-Pfalz
Urteil vom 25.06.2021
10 A 10302/21


Das OVG Rheinland-Pfalz hat entschieden, dass die DSGVO nicht auf abgeschaltete Überwachungskameras anzuwenden ist. Art. 58 Abs. 2 lit. f DSGVO ist daher keine Befugnisnorm für eine Abbauanordnung.

Aus den Entscheidungsgründen:

1. Der Anwendungsbereich der Datenschutz-Grundverordnung ist nicht eröffnet.

Nach Art. 2 Abs.1 DS-GVO gilt die Verordnung für die ganz oder teilweise automatisierte Verarbeitung personenbezogener Daten sowie für die nichtautomatisierte Verarbeitung personenbezogener Daten, die in einem Dateisystem gespeichert sind oder gespeichert werden sollen. Dabei bezeichnet „Verarbeitung“ gemäß Art. 4 Nr. 2 DS-GVO jeden mit oder ohne Hilfe automatisierter Verfahren ausgeführten Vorgang oder jede solche Vorgangsreihe im Zusammenhang mit personenbezogenen Daten wie das Erheben, das Erfassen, die Organisation, das Ordnen, die Speicherung, die Anpassung oder Veränderung, das Auslesen, das Abfragen, die Verwendung, die Offenlegung durch Übermittlung, Verbreitung oder eine andere Form der Bereitstellung, den Abgleich oder die Verknüpfung, die Einschränkung, das Löschen oder die Vernichtung. Daran fehlt es vorliegend.

Zwar handelt es sich bei Videoaufnahmen und deren vorläufiger Speicherung durch eine Überwachungskamera um Datenverarbeitungsvorgänge im Sinne von Art. 4 DS-GVO. Jedoch werden von der streitgegenständlichen Kamera 01 keine Daten (mehr) verarbeitet. Denn die in Ziffer 2 des Bescheids vom 23. November 2018 angeordnete Einstellung des Betriebes dieser Kamera ist, nachdem das Verwaltungsgericht die Klage insoweit abgewiesen, der Kläger diesbezüglich die Zulassung der Berufung nicht beantragt und sich auch der Berufung des Beklagten nicht gemäß § 127 Verwaltungsgerichtsordnung – VwGO – angeschlossen hat, bestandskräftig geworden. Ist die Kamera ausgeschaltet, findet – da Anhaltspunkte für einen fortdauernden und der Verfügung widersprechenden Betrieb nicht vorliegen und auch vom Beklagte nicht vorgetragen werden – eine Verarbeitung personenbezogener Daten nicht (mehr) statt. Der sachliche Anwendungsbereich der Datenschutzgrundverordnung gemäß Art. 2 Abs. 1 DS-GVO ist im Hinblick auf die bloß vorhandene, aber deaktivierte Kamera nicht eröffnet (vgl. Polenz in: Simitis/Hornung/Spiecker gen. Döhmann, Datenschutzrecht, 1. Auflage 2019, Anhang 1 zu Art. 6 Rn. 43; ebenso: Datenschutzkonferenz, Orientierungshilfe Videoüberwachung durch nicht-öffentliche Stellen, 17. Juli 2020, Nr. 1.1, S. 5).

2. Ungeachtet dessen ermächtigt Art. 58 Abs. 2 lit. f DS-GVO nicht zur Anordnung des Abbaus der stillgelegten Kamera; eine erweiternde Auslegung der Vorschrift, wie sie der Beklagte vornimmt, scheidet aus.

a) Nach Art. 58 Abs. 2 lit. f DS-GVO verfügt die Aufsichtsbehörde im Fall eines Datenschutzverstoßes über sämtliche Abhilfebefugnisse, die es ihr – lediglich – gestatten, eine vorübergehende oder endgültige Beschränkung der Verarbeitung, einschließlich eines Verbots, zu verhängen. Von dieser Befugnis hat der Beklagte durch die Anordnung zur Einstellung der Datenverarbeitung durch Kamera 01 Gebrauch gemacht; diese Verfügung ist bestandskräftig. Eine weitergehende Befugnis zur Anordnung auch des Abbaus der Kamera begründet Art. 58 Abs. 2 lit. f DS-GVO nicht. Vielmehr ermächtigt die Norm die Aufsichtsbehörde ihrem eindeutigen Wortlaut nach allein dazu, die Verarbeitung vorübergehend oder ganz zu beschränken bzw. zu verbieten. Ebenso wie die Untersagung in der Vorgängerregelung des § 38 Abs. 5 Satz 2 Bundesdatenschutzgesetz – BDSG – a.F. bezieht sich die Beschränkung bzw. das Verbot auf ein Verhalten – die Datenverarbei-tung –, erstreckt sich jedoch nicht auf die Beseitigung der zugehörigen Hardware (in diesem Sinne bereits zu § 38 Abs. 5 BDSG a.F.: VG Oldenburg, Urteil vom 12. März 2013 – 1 A 3850/12 –, juris, Rn. 22; Nguyen in: Gola, DS-GVO, a.a.O., Art. 58, Rn. 20).

b) Entgegen der Ansicht des Beklagten lässt sich die Anweisung zum Abbau einer deaktivierten Kamera nicht unter den Begriff des Verbots im Sinne der Vorschrift subsumieren. Gemäß Erwägungsgrund 129 Satz 4 DS-GVO darf ein Verbot nach Art. 58 Abs. 2 lit. f DS-GVO in Anwendung des Verhältnismäßigkeitsgrundsatzes nur verhängt werden, wenn weniger einschneidende Maßnahmen wie die Beschränkung der Verarbeitung keinen Erfolg versprechen. Stellt sich das Verbot damit als ultima ratio der Abhilfemaßnahmen nach Art. 58 Abs. 2 lit. f DS-GVO dar (vgl. Simitis/Horn/Spiecker, a.a.O., Art. 58. Rn. 40; VGH Baden-Württemberg, Beschluss vom 22. Januar 2020 – 1 S 3001/19 – juris, Rn. 61), scheidet eine erweiternde Auslegung des Verbotsbegriffes im Sinne eines deutlich eingriffsintensiveren Gebots zum Abbau einer deaktivierten Kamera aus. Dies gilt umso mehr, als es sich bei dem Verbot nach Art. 58 Abs. 2 lit. f DS-GVO im Vergleich zu den anderen Maßnahmen aus dem Katalog des Art. 58 Abs. 2 wie etwa Verwarnungen (vgl. lit. b) und Anweisungen zu künftigem Verhalten (lit. d) ohnehin bereits um eine der belastendsten Maßnahmen für den Datenverarbeiter handelt.

c) Anders als der Beklagte meint, ermächtigt Art. 58 Abs. 2 lit. f DS-GVO auch nicht zur Anordnung des Abbaus als „technisch-organisatorische Maßnahme im Verarbeitungsumfeld“. Zwar ist der für die Verarbeitung Verantwortliche verpflichtet, durch geeignete technische und organisatorische Maßnahmen u.a. sicherzustellen, dass die Verarbeitung gemäß der Datenschutz-Grundverordnung erfolgt (Art. 24 Abs. 1 DS-GVO), dass die Datenschutzgrundsätze wie etwa Datenminimierung wirksam umgesetzt werden (Art. 25 Abs. 1 DS-GVO) und ein dem Risiko angemessenes Schutzniveau gewährleistet ist (Art. 32 Abs. 1 DS-GVO). Die Verpflichtung zur Durchführung solcher Maßnahmen, deren Erforderlichkeit sich nach den jeweiligen Risiken der betreffenden Verarbeitung personenbezogener Daten richtet (sog. risikobasierter Ansatz, vgl. Erwägungsgrund 75 und 76 DS-GVO), besteht jedoch nicht isoliert. Vielmehr beziehen sich die vorgegebenen technischen und organisatorischen Maßnahmen ebenso wie die Beschränkungen und Verbote stets auf Datenverarbeitungsvorgänge, deren Vereinbarkeit mit der Datenschutz-Grundverordnung sie gewährleisten sollen. Derartige Verarbeitungsvorgänge finden jedoch bei einer deaktivierten Kamera wie dargelegt nicht statt. In Ermangelung von Datenverarbeitungsvorgängen lässt sich auch ein die Anordnung rechtfertigender mittelbarer Verarbeitungszusammenhang, wie er von der Beklagten behauptet wird, nicht feststellen.

d) Ebenso wenig lässt sich eine Abhilfebefugnis im Sinne einer Beseitigungsanordnung auf den unionsrechtlichen Effektivitätsgrundsatz stützen, wonach es den Mitgliedstaaten ebenso wie den nationalen Gerichten bei der Anwendung von Unionsrecht obliegt, die volle Wirkung seiner Bestimmungen zu gewährleisten („effet utile“, vgl. EuGH, Urteil vom 17. September 2002 – C-253/00 –, juris, Rn. 28 m.w.N.). Dafür, dass die datenschutzrechtlichen Regelungen zur Entfaltung ihrer vollen Wirksamkeit über das Verarbeitungsverbot des Art. 58 Abs. 2 lit. f DS-GVO hinaus einer weiteren Absicherung durch eine zusätzliche – nicht normierte – Befugnis zur Anordnung der Deinstallation von Datenverarbeitungsanlagen bedürfen, lässt sich aus der Entstehungsgeschichte der Norm nichts herleiten. Art. 58 DS-GVO hat Art. 28 Abs. 3 der Richtlinie 95/46/EG zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten und zum freien Datenverkehr (Datenschutz-Richtlinie – DS-RL –) abgelöst, der im Vergleich relativ grobe Untersuchungs- und Einwirkungsbefugnisse sowie das Klagerecht und die Anzeigebefugnis der Aufsichtsbehörden normiert hat. Im Gegensatz zu den Befugnissen nach Art. 28 Abs. 3 DS-RL, die in ihrer Reichweite und Wirksamkeit wesentlich von den Vorgaben des nationalen Gesetzgebers in den einzelnen nationalen Umsetzungsgesetzen abhingen und deshalb erheblich zwischen den Mitgliedstaaten divergieren konnten (vgl. Ehmann/Selmayr, Datenschutz-Grundverordnung, 2. Auflage 2018, Art. 58, Rn. 1), hat der Verordnungsgeber in Art. 58 DS-GVO die Befugnisse der Aufsichtsbehörde erstmals europaweit einheitlich und mit unmittelbarer Geltung geregelt, um ein einheitliches Datenschutzniveau innerhalb der EU herzustellen (vgl. Gesetzesbegründung der Kommission, KOM (2012) 11, S. 2). Angesichts der gegenüber der Vorgängernorm des § 28 Abs. 3 DS-RL deutlich erweiterten und präzisierten Abhilfebefugnisse – Art. 58 DS-GVO sieht 26 konkrete Untersuchungs-, Abhilfe- und Genehmigungsbefugnisse vor – kann nicht davon ausgegangen werden, dass der Verordnungsgeber ein – die vorgesehenen Abhilfebefugnisse in seiner Intensität zudem deutlich übersteigendes – Gebot zur Deinstallation von Hardware versehentlich nicht normiert hat, diese Lücke systemwidrig wäre und nunmehr über den Grundsatz des „effet utile“ geschlossen werden müsste. Dies gilt insbesondere deshalb, weil die Frage, ob die Aufsichtsbehörde auch zur Anordnung des Abbaus einer Kamera ermächtigt ist, bereits unter der Geltung von Art. 28 Abs. 3 DS-RL bzw. § 38 Abs. 5 Bundesdatenschutzgesetz (BDSG) a.F. umstritten war (vgl. Nguyen in Gola, a.a.O., Art. 58, Rn. 20 m.w.N., VG Oldenburg, Urteil vom 12. März 2013 – 1 A 3850/12 –, a.a.O.). Eine ausdrückliche Ermächtigungsgrundlage für eine Abbauanordnung hat jedoch trotz der bereits bekannten Problematik keinen Eingang in die Datenschutz-Grundverordnung gefunden. Im Gegenteil findet sich in der Gesetzesbegründung zu den Befugnissen der Aufsichtsbehörde (zum Entwurfszeitpunkt noch geregelt in Art. 53 der Verordnung) lediglich, dass Art. 53 – zum Teil gestützt auf die Vorgängerregelung des Art. 28 Abs. 3 DS-RL – die Befugnisse der Aufsichtsbehörde mit „einigen neuen Aspekten, darunter die Befugnis zur Verhängung verwaltungsrechtlicher Sanktionen“, regelt (vgl. Gesetzesbegründung der Kommission, a.a.O., S. 14). Anhaltspunkte dafür, dass zusätzlich zu den bislang ausschließlich als Verbot bzw. Beschränkung vorgesehenen Abhilfebefugnissen eine Abhilfebefugnis in Gestalt eines Handlungsgebotes (zum Abbau einer Datenverarbeitungsanlage) geschaffen werden sollte, fehlen.

e) Schließlich rechtfertigt der Umstand, dass von der abgeschalteten Kamera 01 ebenso wie von einer Attrappe ein sog. Überwachungsdruck ausgeht, nicht die Annahme einer Befugnis des Beklagten zur Anordnung des Abbaus. Soweit eine Videoüberwachung in das allgemeine Persönlichkeitsrecht des Einzelnen in seiner Ausprägung als Recht der informationellen Selbstbestimmung eingreift, sind evtl. Abwehr-, Unterlassungs- und Schadenersatzansprüche vom Betroffenen im Zivilrechtsweg geltend zu machen (vgl. Datenschutzkonferenz, Orientierungshilfe Videoüberwachung durch nicht-öffentliche Stellen vom 17. Juli 2020, a.a.O., Ziffer 1.3 m.w.N. zur zivilgerichtlichen Rechtsprechung; VG Oldenburg, Urteil vom 12. März 2013 – 1 A 3850/12 – juris, Rn. 24; Simitis/Hornung/Spiecker, Datenschutzrecht, a.a.O., Anhang 1 zur Art. 6, Rn. 43).

f) Soweit der Beklagte geltend macht, ein isoliertes Verarbeitungsverbot vermöge Verstößen gegen die Datenschutz-Grundverordnung nicht wirksam zu begegnen, da der Kläger die Kamera jederzeit wieder in Betrieb nehmen könne, ohne dass die Aufsichtsbehörde dies kontrollieren und der Kläger seiner Rechenschaftspflicht nach Art. 5 Abs. 2 DS-GVO nachkommen könne, ist er angesichts des klaren Wortlauts der Vorschrift auf Art. 58 Abs. 6 Satz 1 DS-GVO zu verweisen, wonach es jedem Mitgliedstaat freisteht, durch Rechtsvorschriften vorzusehen, dass seine Aufsichtsbehörde neben den in den Absätzen 1 bis 3 aufgeführten Befugnissen über zusätzliche Befugnisse verfügt, die allerdings nicht die effektive Durchführung des Kapitels VII der Datenschutz-Grundverordnung beeinträchtigen dürfen (ebenso: Nguyen in: Gola, DS-GVO, a.a.O., Art. 58, Rn. 20 a.E.). Von dieser Öffnungsklausel hat der nationale Gesetzgeber bislang nur in Gestalt von § 40 Abs. 3 Satz 3 und Abs. 6 Satz 2 BDSG (vgl. Simitis/Hornung/Spiecker gen. Döhmann, a.a.O., Art. 58, Rn. 74), nicht aber im Hinblick auf die Ermächtigung zum Erlass einer Beseitigungsanordnung Gebrauch gemacht.

Scheidet die Anordnung des Abbaus der Kamera auf der Grundlage von Art. 58 Abs. 2 lit. f DS-GVO aus, kommt es auf die Ausführungen der Beteiligten zur Verhältnismäßigkeit der Abbauanordnung nicht mehr an.


Den Volltext der Entscheidung finden Sie hier:


LG Bonn: Kein Schadensersatz aus Art. 82 DSGVO für unvollständige oder verspätete Auskunftserteilung gemäß Art. 15 DSGVO

LG Bonn
Urteil vom 01.07.21
15 O 372/20


Das LG Bonn hat entschieden, dass ein Betroffener keinen Anspruch auf Schadensersatz bzw. Geldentschädigung aus Art. 82 DSGVO für eine unvollständige oder verspätete Auskunftserteilung gemäß Art. 15 DSGVO zusteht.



BGH: Auskunftsanspruch aus Art. 15 DSGVO ist eher weit auszulegen und kann auch interne Vermerke und Kommunikation umfassen

BGH
Urteil vom 15.06.2021
VI ZR 576/19
Verordnung (EU) 2016/679 Art. 15; BGB § 362 Abs. 1


Der BGH hat entschieden, dass der Auskunftsanspruch aus Art. 15 DSGVO eher weit auszulegen ist und auch interne Vermerke und Kommunikation umfassen kann.

Leitsatz des BGH:

Zur Reichweite des Auskunftsanspruchs nach Art. 15 Abs. 1 DS-GVO.

BGH, Urteil vom 15. Juni 2021 - VI ZR 576/19 - LG Köln - AG Brühl

Aus den Entscheidungsgründen:

aa) Das Berufungsgericht geht allerdings zu Recht davon aus, dass sich der datenschutzrechtliche Auskunftsanspruch des Klägers nach dem seit dem 25. Mai 2018 unmittelbar anwendbaren Art. 15 DS-GVO beurteilt (Art. 99 Abs. 2 DS-GVO; vgl. Senatsurteil vom 27. Juli 2020 - VI ZR 405/18, BGHZ 226, 285 Rn. 12). Nach Art. 15 Abs. 1 DS-GVO hat die betroffene Person das Recht, von dem Verantwortlichen eine Bestätigung darüber zu verlangen, ob sie betreffende personenbezogene Daten verarbeitet werden; ist dies der Fall, so hat sie ein Recht auf Auskunft über diese personenbezogenen Daten und bestimmte weitere Informationen. Gemäß Art. 15 Abs. 3 Satz 1 DS-GVO stellt der Verantwortliche eine Kopie der personenbezogenen Daten, die Gegenstand der Verarbeitung sind, zur Verfügung.

bb) Im Ausgangspunkt zutreffend nimmt das Berufungsgericht weiter an, dass dem Kläger nach dieser Vorschrift grundsätzlich ein Auskunftsanspruch über die bei der Beklagten als Verantwortlicher im Sinne des Art. 4 Nr. 7 Halbsatz 1 DS-GVO verarbeiteten ihn betreffenden personenbezogenen Daten zusteht. Seine Annahme, dieser Anspruch sei seitens der Beklagten bereits vollständig erfüllt, ist jedoch rechtsfehlerhaft.

(1) Erfüllt im Sinne des § 362 Abs. 1 BGB ist ein Auskunftsanspruch grundsätzlich dann, wenn die Angaben nach dem erklärten Willen des Schuldners die Auskunft im geschuldeten Gesamtumfang darstellen. Wird die Auskunft in dieser Form erteilt, steht ihre etwaige inhaltliche Unrichtigkeit einer Erfüllung nicht entgegen. Der Verdacht, dass die erteilte Auskunft unvollständig oder unrichtig ist, kann einen Anspruch auf Auskunft in weitergehendem Umfang nicht begründen.

Wesentlich für die Erfüllung des Auskunftsanspruchs ist daher die - gegebenenfalls konkludente - Erklärung des Auskunftsschuldners, dass die Auskunft vollständig ist (vgl. BGH, Urteil vom 3. September 2020 - III ZR 136/18, GRUR 2021, 110 Rn. 43 mwN).

Die Annahme eines derartigen Erklärungsinhalts setzt demnach voraus, dass die erteilte Auskunft erkennbar den Gegenstand des berechtigten Auskunftsbegehrens vollständig abdecken soll. Daran fehlt es beispielsweise dann, wenn sich der Auskunftspflichtige hinsichtlich einer bestimmten Kategorie von Auskunftsgegenständen nicht erklärt hat, etwa weil er irrigerweise davon ausgeht, er sei hinsichtlich dieser Gegenstände nicht zur Auskunft verpflichtet. Dann kann der Auskunftsberechtigte eine Ergänzung der Auskunft verlangen (vgl. BGH, Urteil vom 6. März 1952 - IV ZR 45/50 und - IV ZR 16/51, BeckRS 1952,103508 Rn. 28 f.; Bittner/Kolbe in Staudinger, BGB, Neubearb. 2019, § 260 Rn. 36 und § 259 Rn. 32).

(2) Nach diesen Maßstäben tragen die Erwägungen des Berufungsgerichts die Annahme einer vollständigen Erfüllung des klägerischen datenschutzrechtlichen Auskunftsanspruchs nicht. Das Berufungsgericht hat zwar unangefochten festgestellt, dass die Beklagte dem Kläger bereits gewisse Auskünfte erteilt und angegeben hat, weitere personenbezogene Daten über den Kläger seien nicht gespeichert bzw. verarbeitet worden. Der Kläger hat jedoch, wie sich aus seinem Zwischenfeststellungsantrag und dem Sitzungsprotokoll der Berufungsverhandlung ergibt und worauf die Revision zu Recht hinweist, sein Auskunftsbegehren angesichts der bereits erteilten Auskünfte unter anderem dahingehend präzisiert, dass er weitergehende Auskünfte hinsichtlich der gesamten noch nicht mitgeteilten Korrespondenz der Parteien, einschließlich der Daten des vollständigen Prämienkontos und etwaig erteilter Zweitschriften und Nachträge zum Versicherungsschein, sowie Datenauskünfte bezüglich sämtlicher Telefon-, Gesprächs- und Bewertungsvermerke der Beklagten zum Versicherungsverhältnis
fordere. Dass die Beklagte auch hinsichtlich dieser Gegenstände des Auskunftsbegehrens erklärt hätte, bereits vollständig Auskunft erteilt zu haben, hat das Berufungsgericht nicht festgestellt. Soweit das Berufungsgericht die Auffassung vertritt, diese Auskunftsgegenstände unterfielen bereits ihrer Art nach nicht dem Auskunftsanspruch nach Art. 15 Abs. 1 DS-GVO, beruht dies - jedenfalls teilweise - auf einem fehlerhaften Verständnis des Begriffs der personenbezogenen Daten im Sinne der DS-GVO und des Zwecks des datenschutzrechtlichen Auskunftsanspruchs.

(a) Gemäß Art. 4 Nr. 1 Halbsatz 1 DS-GVO sind "personenbezogene Daten" alle Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person beziehen. Nach dieser Definition und der Rechtsprechung des Gerichtshofs der Europäischen Union ist der Begriff weit zu verstehen. Er ist nicht auf sensible oder private Informationen beschränkt, sondern umfasst potenziell alle Arten von Informationen sowohl objektiver als auch subjektiver Natur in Form von Stellungnahmen oder Beurteilungen, unter der Voraussetzung, dass es sich um Informationen über die in Rede stehende Person handelt. Die letztgenannte Voraussetzung ist erfüllt, wenn die Information aufgrund ihres Inhalts, ihres Zwecks oder ihrer Auswirkungen mit einer bestimmten Person verknüpft ist (vgl. - noch zu Art. 2 lit. a der Richtlinie 95/46/EG - EuGH, Urteil vom 20. Dezember
2017 - Rs. C-434/16, NJW 2018, 767 Rn. 33-35 mwN; Art.-29-Datenschutzgruppe, Stellungn. 4/2007, WP 136, 10 ff.; zu Art. 4 Nr. 1 DS-GVO vgl. Arning/ Rothkegel in Taeger/Gabel, DS-GVO/BDSG, 3. Aufl. 2019, Art. 4 DS-GVO Rn. 8 ff. mwN; Klar/Kühling in Kühling/Buchner, DS-GVO/BDSG, 3. Aufl. 2020, Art. 4 Nr. 1 DS-GVO Rn. 11 ff.; Klabunde in Ehmann/Selmayr, DS-GVO, 2. Aufl. 2018, Art. 4 Rn. 10 f.). Soweit die Revisionserwiderung meint, Art. 15 DS-GVO sei im Hinblick auf den Begriff der "personenbezogenen Daten" teleologisch dahingehend zu reduzieren, dass der Personenbezug im Rahmen von Art. 15 DSGVO voraussetze, dass es um "signifikante biografische Informationen" gehe, die "im Vordergrund" des fraglichen Dokuments stünden (so auch Härting, CR 2019, 219, 224; für eine teleologische Reduktion auch Britz/Beyer, VersR 2020, 65, 73
mwN), ist diese Auffassung mit der zitierten Rechtsprechung des Gerichtshofs der Europäischen Union, die sich zweifelsfrei auf den Begriff der personenbezogenen Daten im Sinne des Art. 15 i.V.m. Art. 4 Nr. 1 Halbsatz 1 DS-GVO übertragen lässt, ersichtlich nicht zu vereinbaren (ablehnend auch König, CR 2019, 295 Rn. 47; gegen eine Einschränkung auf Tatbestandsebene auch Lembke, NJW 2020, 1841, 1843; Schulte/Welge, NZA 2019, 1110, 1111; Brink/Joos, ZD 2019, 483, 488).

Nach Erwägungsgrund 63 Satz 1 der DS-GVO dient das Auskunftsrecht der betroffenen Person hinsichtlich der sie betreffenden personenbezogenen Daten dem Zweck, sich der Verarbeitung (zum Begriff vgl. Art. 4 Nr. 2 DS-GVO; zu dem vom sachlichen Anwendungsbereich der Verordnung erfassten Bereich der Verarbeitung vgl. Art. 2 Abs. 1, Art. 4 Nr. 6 DS-GVO) bewusst zu sein und deren Rechtmäßigkeit überprüfen zu können.

(b) Nach diesen Grundsätzen können entgegen der Ansicht des Berufungsgerichts die zurückliegende Korrespondenz der Parteien, das "Prämienkonto" des Klägers und Daten des Versicherungsscheins sowie interne Vermerke
und Kommunikation der Beklagten nicht kategorisch vom Anwendungsbereich des Art. 15 Abs. 1 DS-GVO ausgeschlossen werden.

(aa) Schreiben des Klägers an die Beklagte sind grundsätzlich ihrem gesamten Inhalt nach als personenbezogene Daten gemäß Art. 4 Nr. 1 DS-GVO anzusehen. Die personenbezogene Information besteht bereits darin, dass sich der Kläger dem Schreiben gemäß geäußert hat (vgl. noch zu § 4 Abs. 1 BDSG 1990 - Senatsurteil vom 23. Juni 2009 - VI ZR 196/08, BGHZ 181, 328 Rn. 17; zu Art. 15 DS-GVO vgl. LArbG Baden-Württemberg, BB 2020, 2169, 2174). Auch die Schreiben der Beklagten an den Kläger unterfallen dem Auskunftsanspruch insoweit, als sie Informationen über den Kläger nach den oben genannten Kriterien enthalten. Dass die Schreiben dem Kläger bereits bekannt sind, schließt für sich genommen entgegen der Auffassung des Berufungsgerichts den datenschutzrechtlichen Auskunftsanspruch nicht aus (vgl. Brink/Joos ZD 2019, 483, 485; Schmidt-Wudy in BeckOK DatenschutzR, 35. Ed. 1.2.2021, Art. 15 DS-GVO Rn. 52.2; aA wohl LArbG Niedersachsen, Urteil vom 9. Juni 2020 - 9 Sa 608/19, juris Rn. 66; zum gegensätzlichen Regelungsansatz hinsichtlich der Informationspflichten nach Art. 13, 14 DS-GVO vgl. Art. 13 Abs. 4, Art. 14 Abs. 5 lit. a DS-GVO und Erwägungsgrund 62). Die Beklagte soll Auskunft darüber geben,
ob sie die im Schriftverkehr enthaltenen personenbezogenen Daten aktuell verarbeitet, insbesondere speichert. Die Auskunft soll den Kläger, wie bereits dargelegt, in die Lage versetzen, sich der Datenverarbeitung bewusst zu werden und deren Rechtmäßigkeit zu überprüfen. Er soll sich insbesondere vergewissern können, dass die ihn betreffenden Daten richtig sind und in zulässiger Weise verarbeitet werden (vgl. EuGH, Urteil vom 20. Dezember 2017 - Rs. C-434/16, NJW 2018, 767 Rn. 57). Das etwaige Bewusstsein des Klägers, dass die fragliche Korrespondenz einst gewechselt wurde, genügt insoweit nicht. Zu beachten ist ferner, dass der Auskunftsberechtigte grundsätzlich wiederholt Auskunft verlangen kann (vgl. Erwägungsgrund 63 Satz 1, Art. 12 Abs. 5 Satz 2 DS-GVO). Dies spricht ebenfalls gegen die Auffassung des Berufungsgerichts, das Auskunftsrecht nach Art. 15 DS-GVO beschränke sich auf Daten, die dem Betroffenen noch nicht bekannt sind. Daher sind auch etwaige Zweitschriften und Nachträge zu dem Versicherungsschein, auf die sich das Auskunftsbegehren des Klägers ausweislich des Sitzungsprotokolls mit erstreckt, nicht grundsätzlich vom datenschutzrechtlichen Auskunftsanspruch ausgeschlossen, soweit die darin enthaltenen personenbezogenen Daten bei der Beklagten verarbeitet werden. Dementsprechend ist auch nicht ersichtlich, warum bei der Beklagten verarbeitete Daten über Prämienzahlungen des Klägers nicht grundsätzlich Gegenstand des Auskunftsanspruchs sein sollten.

Die Korrespondenz der Beklagten mit Dritten kann, wovon auch das Berufungsgericht ausgeht, ebenfalls auf die Person des Klägers bezogene Daten enthalten. Insoweit hat das Berufungsgericht aber unangefochten festgestellt, die Beklagte habe erklärt, dass solche Korrespondenz nicht über die bereits erteilten Auskünfte hinaus geführt worden sei. Mit dieser abschließenden Negativauskunft ist der Auskunftsanspruch des Klägers hinsichtlich dieses Auskunftsgegenstandes erfüllt.

(bb) Interne Vermerke oder interne Kommunikation bei der Beklagten, die Informationen über den Kläger enthalten, kommen als Gegenstand des Auskunftsanspruchs nach Art. 15 Abs. 1 DS-GVO ebenfalls grundsätzlich in Betracht. Dies ist beispielsweise entsprechend der Beurteilung der Schreiben des Klägers bei Vermerken der Fall, die festhalten, wie sich der Kläger telefonisch oder in persönlichen Gesprächen geäußert hat (vgl. OLG Köln, VersR 2020, 81, 85; Schaffland/Holthaus in Schaffland/Wiltfang, DS-GVO/BDSG, Lfg. 3/21, Art. 15 DS-GVO Rn. 1d). Auch Vermerke über den Gesundheitszustand des Klägers enthalten personenbezogene Daten. Die Erwägung des Berufungsgerichts, es handele sich bei Vermerken um "interne Vorgänge der Beklagten", ist im Hinblick auf den Begriff der personenbezogenen Daten ohne Relevanz. Der Auskunftsanspruch gemäß Art. 15 Abs. 1 DS-GVO setzt offensichtlich weder nach seinem Wortlaut noch nach Sinn und Zweck voraus, dass die fraglichen Daten extern zugänglich sind.

Soweit der Kläger Auskunft über die internen Bewertungen der Beklagten zu den Ansprüchen des Klägers aus der streitgegenständlichen Versicherungspolice verlangt, ist allerdings zu beachten, dass nach der Rechtsprechung des Gerichtshofs der Europäischen Union rechtliche Analysen zwar personenbezogene Daten enthalten können, die auf der Grundlage dieser personenbezogenen Daten vorgenommene Beurteilung der Rechtslage selbst aber keine Information über den Betroffenen und damit kein personenbezogenes Datum darstellt (vgl. EuGH, Urteil vom 17. Juli 2014 - Rs. C-141/12 und C-372/12, CR 2015, 103 Rn. 39 ff.). Daten über Provisionszahlungen der Beklagten an Dritte haben nach den vom Europäischen Gerichtshof entwickelten Kriterien ebenfalls keinen Bezug zur Person des Klägers. Sein nach dem Vorbringen der Revision auch hierauf gerichtetes Auskunftsbegehren kann der Kläger daher nicht auf die DS-GVO stützen.

cc) Die Durchführung eines Vorabentscheidungsverfahrens nach Art. 267 AEUV zur Klärung des Begriffs der personenbezogenen Daten i.S.d. Art. 15 i.V.m. Art. 4 Nr. 1 DS-GVO ist nicht geboten. Soweit im derzeitigen Stadium des streitgegenständlichen Verfahrens entscheidungserheblich, ist die Auslegung dieses unionsrechtlichen Begriffs durch die Rechtsprechung des Gerichtshofs der Europäischen Union (Urteile vom 20. Dezember 2017 - Rs. C-434/16, NJW 2018, 767 Rn. 33-35 und vom 17. Juli 2014 - Rs. C-141/12 und C-372/12, CR 2015, 103 Rn. 39 ff.) eindeutig geklärt ("acte clair", vgl. EuGH, Urteil vom 6. Oktober 1982 - Rs. C-283/81, NJW 1983, 1257, 1258; BVerfG, NVwZ 2015, 52 Rn. 35).


Den Volltext der Entscheidung finden Sie hier:






LAG Baden-Württemberg: Zur hinreichenden Bestimmtheit eines Auskunftsanspruchs aus Art. 15 DSGVO gemäß § 253 Abs. 2 Nr. 2 ZPO

LAG Baden-Württemberg
Urteil vom 17.3.2021
21 Sa 43/20


Das LAG Baden-Württemberg hat sich in dieser Entscheidung mit der hinreichenden Bestimmtheit eines Auskunftsanspruchs aus Art. 15 DSGVO gemäß § 253 Abs. 2 Nr. 2 ZPO befasst.

Leitsätze des Gerichts:

1. Der Informationsanspruch des Art. 15 Abs. 1 2. Halbs. DSGVO ist hinreichend bestimmt iSd. § 253 Abs. 2 Nr. 2 ZPO, wenn der Antragsteller konkret mitteilt, welche Informationen er im Rahmen von lit. a bis h der Norm für welche Kategorie von personenbezogenen Daten begehrt.

2. Dasselbe gilt für den Anspruch auf Zurverfügungstellung von Kopien personenbezogener Daten gem. § 15 Abs. 3 Satz 1 DSGVO.

Aus den Entscheidungsgründen:

I. Zulässigkeit der Klaganträge

Die Klaganträge Ziffer 5 und 6 vom 01.02.2019 sind zulässig.

1. Grundsätze

Nach § 253 Abs. 2 Nr. 2 ZPO muss die Klagschrift neben der bestimmten Angabe des Gegenstandes und des Grundes des erhobenen Anspruchs auch einen bestimmten Antrag enthalten. Damit wird der Streitgegenstand abgegrenzt und sogleich eine Voraussetzung für die etwa erforderlich werdende Zwangsvollstreckung geschaffen. Daran gemessen ist ein Klagantrag grundsätzlich hinreichend bestimmt, wenn er den erhobenen Anspruch konkret bezeichnet, da er den Rahmen der gerichtlichen Entscheidungsbefugnis (§ 308 ZPO) absteckt, Inhalt und Umfang der materiellen Rechtskraft der begehrten Entscheidung (§ 322 ZPO) erkennen lässt, das Risiko eines Unterliegens des Klägers nicht durch vermeidbare Ungenauigkeiten auf den Beklagten abwälzt und schließlich eine Zwangsvollstreckung aus dem Urteil ohne eine Fortsetzung des Streits im Vollstreckungsverfahren erwarten lässt (BGH 14. Dezember 1998 – II ZR 330/97 in NJW 1999, 954 mwN.). Vermeidbare Ungenauigkeiten dürfen danach grundsätzlich nicht in das Zwangsvollstreckungsverfahren verlagert werden (BAG 14. Februar 2017 – 9 AZB 49/19 Rn. 10-12 und vom 15. April 2009 - 3 AZB 93/08 Rn. 16 – juris). Dessen Aufgabe ist es zu klären, ob der Schuldner einer festgelegten Verpflichtung nachgekommen ist, nicht aber worin diese besteht. Soweit ist auch das Rechtsstaatsprinzip zu beachten, da der Schuldner wissen muss, in welchen Fällen er mit einem Zwangsmittel zu rechnen hat. Andererseits erfordert es aber gerade auch das Rechtsstaatsprinzip und das daraus folgende Gebot effektiven Rechtsschutzes, dass materiell-rechtliche Ansprüche effektiv, auch in der Zwangsvollstreckung, durchgesetzt werden können. Das kann es rechtfertigen, auch das Vollstreckungsgericht nicht der Notwendigkeit zu entheben, eine möglicherweise schwierige Klärung der Frage herbeizuführen, ob gegen die aus einem Titel folgende Verpflichtung verstoßen wurde (BAG 15. April 2009 aaO. Rn. 18 mwN.).

2. Bei Anwendung dieser Grundsätze auf die vorliegend streitgegenständlichen Anträge ergibt sich deren Zulässigkeit. Zunächst ist davon auszugehen, dass der Kläger mit seinen geltend gemachten Informationsansprüchen gemäß Art. 15 Abs. 1 2. Halbs. DSGVO Auskunft über alle Daten geltend machen kann, die seine Person betreffen und die von der Beklagten im Sinne des Art. 4 Nr. 2 DSGVO verarbeitet werden oder worden sind. Was unter Verarbeiten zu verstehen ist, ergibt sich aus Art. 4 Nr. 2 DSGVO hinreichend deutlich, ohne dass der Kläger dies näher bestimmen müsste. Ebenfalls ist die vom Kläger in der Formulierung des geltend gemachten Informationsanspruchs gemachte Einschränkung dahingehend, dass er von der Beklagten - nur – Information über die seine Person betreffenden Daten geltend macht, die sein Verhalten und seine (Arbeits)Leistung betreffen haben will, hinreichend bestimmt im Sinne des § 253 Abs. 2 Nr. 2 ZPO. Die von ihm insoweit gewählten Begriffe stellen eine Datenkategorie im Sinne des Art. 15 Abs. 1 2. Halbs. lit. b DSGVO dar. Die von ihm insoweit gewählten Begriffe des „Verhaltens“ und der „Leistung“ sind ihrerseits hinreichend bestimmt. Diese sind nach der Rechtsprechung zu § 87 Abs. 1 Ziffer 6 BetrVG hinreichend konkretisiert (vgl. hierzu etwa BAG 11. März 1986 – 1 ABR 12/84 und BAG 27. Mai 1986 – 1 ABR 48/84 Rn. 63 für die Frage, was unter Verhalten zu verstehen ist; BAG 23. April 1985 – 1 ABR 2/82 – juris zur Frage, was unter der Leistung eines Arbeitnehmers zu verstehen ist). Dies gilt auch, soweit der Kläger leistungs- und verhaltensbezogene Daten von seiner Person nicht zur Auskunft verlangt, die in seiner Personalakte enthalten sind. Dass bei der Beklagten eine (elektronische) Personalakte des Klägers geführt wird, ist zwischen den Parteien unstreitig. Insoweit ist für die Beklagte ohne Weiteres erkenntlich, dass er nicht die Daten zu Auskunft und zur Fertigung einer Kopie verlangt, die sich in dieser den Parteien bekannten, elektronischen Personalakte des Klägers befinden, in die der Kläger im Sinne des § 83 BetrVG Einsicht nehmen kann.

Eine weitergehende konkretere Benennung der von ihm verlangten Daten ist dem Kläger nicht möglich und deshalb auch eine weitergehende Konkretisierung von dem, was er von der Beklagten will, nicht zumutbar. Dies deshalb, weil der Kläger gerade nicht weiß oder nicht mehr ohne Weiteres wissen kann, welche verhaltens- und leistungsbezogene Daten seiner Person die Beklagte verarbeitet hat. Würde man dem Kläger insoweit eine weitere Konkretisierung zur Herbeiführung einer hinreichenden Vollstreckbarkeit seiner Forderungen abverlangen, würde sich sein in Art. 15 Abs. 1 DSGVO weit gefasster Auskunfts- und Informationsanspruch derart gegen ihn wenden, dass ihm die Unkenntnis der von der Beklagten für seine Person verarbeiteten Daten diese Ansprüche rauben würde. Damit könnte effektiver Rechtsschutz betreffend seine Ansprüche gemäß Art. 15 Abs. 1 2. Halbs. DSGVO gerade nicht erreicht werden. Es ist auch nicht ersichtlich, dass der Arbeitnehmer eine Verpflichtung hat, die personenbezogenen Daten, die für ihn erkennbar von der Beklagten verarbeitet werden, selbst zu dokumentieren, um sie später als Grundlage für seinen Auskunftsanspruch gegen den Arbeitgeber einsetzen zu können. Würde man diese Verpflichtung des Arbeitnehmers bejahen, würde er Auskunft über etwas begehren können, was ihm ohnehin schon bekannt ist. Das wäre widersinnig. Soweit der betreffenden Person vom Arbeitgeber bereits Auskünfte im Rahmen seiner Informationspflicht gem. den Art. 13 und 14 DSGVO erteilt worden sind, sind die Auskunftsverpflichteten berechtigt, bei einem Auskunftsersuchen hierauf Bezug zu nehmen (siehe hierzu noch unten). Im Hinblick darauf ist es dem Arbeitnehmer weder möglich noch zumutbar, konkrete Angaben über die Daten zu machen, die ihn konkret interessieren. Es genügt, wenn er gegenüber dem Arbeitgeber geltend macht, dass er über Daten, die seine Person betreffen und die der Arbeitgeber im Sinne des Art. 15 Abs. 1 1. HS DSGVO verarbeitet hat, Auskunft verlangt. Ansonsten würde sein Recht aus Art. 15 Abs. 1 2. Halbs. DSGVO leerlaufen. Im Hinblick darauf ist es unvermeidbar, dass ein eventueller Streit über die Vollständigkeit der Auskunftserteilung des Arbeitgebers, jedenfalls teilweise, in das Zwangsvollstreckungsverfahren verlagert wird.

Dasselbe gilt für den vom Kläger geltend gemachten Anspruch gemäß Art. 15 Abs. 3 Satz 1 DSGVO. Auch hier ist es dem Arbeitnehmer nicht möglich, genauere Angaben dazu zu machen, von welchen personenbezogenen Daten er eine Kopie zur Verfügung gestellt haben will. Dies ist nämlich seinerseits abhängig davon, welche personenbezogene Daten des Klägers/Arbeitnehmers der Arbeitgeber verarbeitet hat. Wenn der Kläger danach – wie vorliegend – aufführt, dass es ihm insbesondere, aber nicht ausschließlich, auf Kopien von verarbeiteten Leistungs- und Verhaltensdaten seiner Person in bestimmten IT-Systemen, in bestimmten Kommunikationssystemen und in bestimmten Akten ankomme, stellt dies keine prozessual notwendige – wenn auch mögliche – Präzisierung seines Klagantrags, sondern eine Kundgabe seines besonderen Interesses an der Kenntnis bestimmter verarbeiteter personenbezogener Daten dar.

3. Der Kläger hat aus Sicht der erkennenden Kammer kein besonderes Rechtsschutzinteresse an den von ihm gestellten Anträgen darzulegen. Alleinige Voraussetzung des Auskunfts-, Informations- und des Zurverfügungstellungsanspruchs gemäß Art. 15 Abs. 1 2. HS und Abs. 3 DSGVO ist die Verarbeitung personenbezogener Daten der die Ansprüche geltend machenden Person durch den Verantwortlichen im Sinne des Art. 4 Nrn. 1, 2 und 7 DSGVO. Insoweit genügt für das Vorliegen eines Rechtsschutzbedürfnisses die Behauptung des Klägers, dass dies der Fall sei. Vorliegend ist im Übrigen zwischen den Parteien sogar unstreitig, dass die Beklagte Leistungs- und Verhaltensdaten des Klägers verarbeitet hat.

4. Anderweitige Bedenken an der Zulässigkeit der zur Entscheidung gestellten Klaganträge bestehen nicht.



Den Volltext der Entscheidung finden Sie hier:

EU-Kommission: Angemessenheitsbeschlüsse zur Übermittlung personenbezogener Daten nach der DSGVO in das Vereinigte Königreich und zum Datenschutz bei der Strafverfolgung

Die EU-Kommission hat die Angemessenheitsbeschlüsse zur Übermittlung personenbezogener Daten nach der DSGVO in das Vereinigte Königreich und zum Datenschutz bei der Strafverfolgung angenommen:

Durchführungsbeschluss zur Angemessenheit des Schutzes personenbezogener Daten durch das Vereinigte Königreich – Datenschutz-Grundverordnung

Durchführungsbeschluss zur Angemessenheit des Schutzes personenbezogener Daten durch das Vereinigte Königreich – Polizeirichtlinie

Die Pressemitteilung der EU-Kommission:

Datenschutz: Kommission nimmt Angemessenheitsbeschlüsse zum Vereinigten Königreich an

Die Kommission hat heute zwei Angemessenheitsbeschlüsse zum Vereinigten Königreich angenommen - einen im Rahmen der Datenschutzgrundverordnung (DSGVO) und einen im Rahmen der Richtlinie zum Datenschutz bei der Strafverfolgung. Beide Beschlüsse treten heute in Kraft. Personenbezogene Daten können nun ungehindert aus der Europäischen Union in das Vereinigte Königreich fließen, wo für sie dort ein Schutzniveau gilt, das dem nach dem EU-Recht garantierten Schutzniveau der Sache nach gleichwertig ist Die beiden Angemessenheitsbeschlüsse erleichtern zudem die ordnungsgemäße Umsetzung des Handels- und Kooperationsabkommens zwischen der EU und dem Vereinigten Königreich, welches den Austausch personenbezogener Daten (beispielsweise im Rahmen der justiziellen Zusammenarbeit) vorsieht. Datenübermittlungen für die vom Vereinigten Königreich praktizierte Einwanderungskontrolle sind vom sachlichen Geltungsbereich des im Rahmen der DSGVO angenommenen Angemessenheitsbeschlusses ausgenommen. Beide Angemessenheitsbeschlüsse enthalten starke Garantien für den Fall etwaiger künftiger Abweichungen, darunter eine Verfallsklausel, durch die ihre jeweilige Geltungsdauer auf vier Jahre begrenzt wird.

Věra Jourová (Vizepräsidentin für Werte und Transparenz) erklärte dazu: „Das Vereinigte Königreich ist zwar aus der EU ausgetreten, aber seine rechtlichen Bestimmungen zum Schutz personenbezogener Daten sind noch die alten. Aus diesem Grund haben wir heute diese beiden Angemessenheitsbeschlüsse angenommen. Zugleich haben wir die Bedenken, die vom Parlament, von den Mitgliedstaaten und vom Europäischen Datenschutzausschuss unter anderem hinsichtlich möglicher künftiger Abweichungen von unseren Standards im Datenschutzrahmen des Vereinigten Königreichs geäußert worden sind, sehr aufmerksam zur Kenntnis genommen. Es geht hier um ein Grundrecht der EU-Bürgerinnen und -Bürger, das wir schützen müssen. Aus diesem Grund haben wir umfangreiche Garantien vorgesehen, und falls sich auf Seiten des Vereinigten Königreichs die Gegebenheiten ändern, werden wir sofort eingreifen.“

Didier Reynders (Kommissar für Justiz) fügte hinzu: „Nach monatelanger sorgfältiger Prüfung können wir den EU-Bürgerinnen und -Bürgern heute die Gewissheit geben, dass ihre personenbezogenen Daten bei Übermittlungen in das Vereinigte Königreich geschützt sind. Dies ist ein wesentlicher Bestandteil unserer neuen Beziehungen zum Vereinigten Königreich. Er ist wichtig für einen reibungslosen Handel und eine wirksame Kriminalitätsbekämpfung. Die Kommission wird eng verfolgen, wie sich das System des Vereinigten Königreichs künftig entwickelt. Um dies zu ermöglichen und gegebenenfalls eingreifen zu können, haben wir unsere Beschlüsse verstärkt. Die EU hat die höchsten Standards auf dem Gebiet des Schutzes personenbezogener Daten, und diese dürfen nicht beeinträchtigt werden, wenn personenbezogene Daten ins Ausland übermittelt werden.“

Wichtigste Elemente der Angemessenheitsbeschlüsse

Das Datenschutzsystem des Vereinigten Königreichs basiert weiterhin auf denselben Regeln, die galten, als das Vereinigte Königreich noch Mitgliedstaat der EU war. Das Vereinigte Königreich hat die Grundsätze, Rechte und Pflichten der DSGVO und der Richtlinie zum Datenschutz bei der Strafverfolgung vollumfänglich in sein heutiges, seit dem Brexit geltendes Rechtssystem übernommen.
In Bezug auf den Zugriff auf personenbezogene Daten durch Behörden im Vereinigten Königreich (insbesondere aus Gründen der nationalen Sicherheit) sieht das System des Vereinigten Königreichs starke Garantien vor. Insbesondere die Datenerhebungen durch Nachrichtendienste unterliegen der vorherigen Genehmigung durch ein unabhängiges Rechtsorgan. Alle Maßnahmen müssen notwendig und im Hinblick auf das verfolgte Ziel verhältnismäßig sein. Wer sich unrechtmäßiger Überwachungsmaßnahmen ausgesetzt sieht, kann Klage beim Investigatory Powers Tribunal (Gericht für Ermittlungsbefugnisse) einreichen. Das Vereinigte Königreich unterliegt zudem der Rechtsprechung des Europäischen Gerichtshofs für Menschenrechte, der Europäischen Menschenrechtskonvention und dem Übereinkommen des Europarats zum Schutz des Menschen bei der automatischen Verarbeitung personenbezogener Daten, dem einzigen verbindlichen internationalen Übereinkommen auf dem Gebiet des Datenschutzes. Diese völkerrechtlichen Verpflichtungen sind ein wesentlicher Bestandteil des in den beiden Angemessenheitsbeschlüssen bewerteten Rechtsrahmens.
Die Angemessenheitsbeschlüsse enthalten erstmals eine Verfallsklausel, durch die ihre Geltungsdauer strikt begrenzt wird: Beide Beschlüsse laufen vier Jahre nach ihrem Inkrafttreten aus. Danach könnten sie erneuert werden, falls das Vereinigte Königreich weiterhin ein angemessenes Datenschutzniveau sicherstellt. Während dieser vier Jahre wird die Kommission die Rechtslage im Vereinigten Königreich weiterhin im Blick behalten und jederzeit eingreifen können, falls das Vereinigte Königreich von dem derzeit bestehenden Datenschutzniveau abweicht. Sollte die Kommission beschließen, die Angemessenheitsbeschlüsse zu erneuern, würde der Annahmeprozess erneut eingeleitet.
Datenübermittlungen für die vom Vereinigten Königreich praktizierte Einwanderungskontrolle sind vom sachlichen Geltungsbereich des im Rahmen der DSGVO angenommenen Angemessenheitsbeschlusses ausgenommen, um einer unlängst ergangenen Entscheidung des Berufungsgerichts von England und Wales über die Gültigkeit und die Auslegung bestimmter Einschränkungen der Datenschutzrechte in diesem Bereich Rechnung zu tragen. Sobald diese Situation nach dem Recht des Vereinigten Königreichs geklärt ist, wird die Kommission die Notwendigkeit dieses Ausschlusses neu prüfen.
Hintergrund

Die Kommission hat am 19. Februar zwei Entwürfe von Angemessenheitsbeschlüssen veröffentlicht und das Verfahren zu ihrer Annahme eingeleitet. In den vergangenen Monaten hat die Kommission die Rechtsvorschriften und die Praktiken des Vereinigten Königreichs auf dem Gebiet des Schutzes personenbezogener Daten einschließlich der Bestimmungen über den Datenzugriff von Behörden im Vereinigten Königreich gründlich bewertet. Die Kommission stand in engem Kontakt mit dem Europäischen Datenschutzausschuss, der seine einschlägige Stellungnahme am 13. April abgegeben hat, mit dem Europäischen Parlament und mit den Mitgliedstaaten. Nach dieser gründlichen Prüfung holte die Europäische Kommission im Rahmen des sogenannten Ausschussverfahrens die Zustimmung der Vertreter der Mitgliedstaaten zu den beiden Angemessenheitsbeschlüssen ein. Die heute erfolgte, an die Zustimmung der Vertreter der Mitgliedstaaten anschließende Annahme der Beschlüsse war der letzte Schritt dieses Verfahrens. Die beiden Angemessenheitsbeschlüsse treten heute in Kraft.

Das Handels- und Kooperationsabkommen zwischen der EU und dem Vereinigten Königreich enthält eine Selbstverpflichtung der EU und des Vereinigten Königreichs zur Aufrechterhaltung hoher Datenschutzstandards. Das Abkommen sieht zudem vor, dass jede im Zuge seiner Umsetzung durchzuführende Datenübermittlung im Einklang mit den maßgeblichen Datenschutzvorschriften der übermittelnden Vertragspartei (im Falle der EU sind dies die DSGVO und die Richtlinie zum Datenschutz bei der Strafverfolgung) stehen müssen. Die Annahme der beiden einseitigen und eigenständigen Angemessenheitsbeschlüsse ist eine wichtige Maßnahme zur Sicherstellung der ordnungsgemäßen Anwendung und des reibungslosen Funktionierens des Abkommens. Das Handels- und Kooperationsabkommen zwischen der EU und dem Vereinigten Königreich sieht ferner eine bedingte Übergangsregelung vor, in deren Rahmen Daten ungehindert aus der EU in das Vereinigte Königreich übermittelt werden können. Der Übergangszeitraum endet am 30. Juni 2021.



VG Schwerin: Art. 15 Abs. 3 DSGVO umfasst auch Anspruch auf Herausgabe eines Beweissicherungsgutachtens über ein Objekt an den datenschutzrechtlich betroffenen Eigentümer

VG Schwerin
Urteil vom 29.04.2021
1 A 1343/19 SN


Das VG Schwerin hat entschieden, dass Art. 15 Abs. 3 DSGVO auch einen Anspruch auf Herausgabe eines Beweissicherungsgutachtens über ein Objekt an den datenschutzrechtlich betroffenen Eigentümer umfasst.

Aus den Entscheidungsgründen:

"dd. Unter Anwendung der genannten Kriterien ist es gerechtfertigt, das hier streitgegenständlichen Gutachten als personenbezogenes Datum anzusehen. Es handelt sich nicht um ein bloßes Sachdatum, wie der Kläger meint.

Bei dem Beigeladenen zu 1. handelt es sich um eine identifizierte oder jedenfalls identifizierbare natürliche Person im Sinne von Art. 4 Nr. 1 DS-GVO. Vorliegend ist unstreitig, dass jedenfalls dem Kläger, dem Beklagten und dem Beigeladenen zu 2. die Person des Beigeladenen zu 1. bekannt ist und es sich für sie um eine identifizierte Person handelt. Jedenfalls ist es angesichts der Adressangaben im Gutachten sowohl ihnen als auch Dritten unschwer und zweifelsfrei möglich, den Beigeladenen zu 1. zu identifizieren.

Indem detailliert der individuelle und einzigartige Zustand des Eigentums des Beigeladenen zu 1. erfasst und mit seiner Adresse verknüpft wird, liegt eine indirekte personenbezogene Information vor. Durch diese werden Rückschlüsse auf die konkreten vermögens- und eigentumsrechtlichen Verhältnisse des Beigeladenen zu 1. ermöglicht. Aus dem Auszug der Seite 57 des Gutachtens ist ersichtlich, dass Fotos auch innerhalb des Objektes angefertigt wurden. Somit werden auch nicht öffentliche Bereiche des Eigentums des Beigeladenen zu 1. ausschnittsweise erfasst und wiedergegeben. Bereits die entsprechenden Fotos und Beschreibungen stellen für sich genommen jeweils ein personenbezogenes Datum dar. Denn durch die Abbildung von Gegenständen, können konkrete Rückschlüsse etwa auf Kaufvorlieben und den Wert der Gegenstände und folglich auch auf die Vermögensverhältnisse des Beigeladenen zu 1. gezogen werden.

Das Gutachten wurde gerade zum Zweck der Vermögens- und Eigentumserfassung des Beigeladenen zu 1. erstellt. Durch das Gutachten wurde der objektbezogene Zustand zu einem bestimmten Zeitpunkt zur Beweissicherung erfasst. Diese Momentaufnahme soll als Referenz in einer möglichen späteren rechtlichen Auseinandersetzung, insbesondere zwischen dem Kläger und dem Beigeladenen zu 1., als Beweismittel dienen. Dies wird auch aus der Bezeichnung des Gutachtens auf dem Deckblatt („Gutachten über den bau- und funktionstechnischen Gebäudezustand im Hinblick auf Schäden [...]“) deutlich und entspricht dem Wesen derartiger Gutachten. Durch diese sollen spätere Rückschlüsse auf Veränderungen eines konkreten Objektzustandes respektive den Vermögens- und Eigentumsverhältnissen zu konkreten Beurteilungszeitpunkten ermöglicht werden, indem Anknüpfungstatsachen für eine Vorher-Nachher-Betrachtung dokumentiert werden. Hierauf sollen spätere Schlussfolgerungen zu Kausalitäten und Nachweise von Schäden basieren. Das Objekt wird gerade hinsichtlich späterer Auseinandersetzungen mit dem Berechtigten begutachtet, wodurch zugleich auch das Inhaltselement verwirklicht wird. Somit sind alle Bestimmungselemente nach der Rechtsprechung des Europäischen Gerichtshofes erfüllt und es liegt eindeutig ein personenbezogenes Datum vor.

Durch die Verknüpfung der Teilinformationen in einem einheitlichen Gutachten, welches einer konkreten Adresse zugeordnet ist, folgt, dass das Gutachten als Einheit betrachtet werden muss. Alle Aussagen in dem Gutachten beziehen sich einzeln wie auch insgesamt auf das Eigentum respektive die Eigentums- und Vermögensverhältnisse des Beigeladenen zu 1.

b. Das Gutachten und die darin enthaltenen Informationen des Beigeladenen zu 1. werden nichtautomatisiert „verarbeitet“ und in einem „Dateisystem“ gespeichert gemäß Art. 4 Nr. 2 DS-GVO.

Unter „Verarbeitung“ ist jeder - mit oder ohne Hilfe automatisierter Verfahren - ausgeführte Vorgang oder jede solche Vorgangsreihe im Zusammenhang mit personenbezogenen Daten zu verstehen wie etwa das Erheben, Erfassen, Ordnen oder die Speicherung.

Das Erheben und Erfassen von personenbezogenen Daten bezeichnet einen Vorgang, durch den Daten erstmals in den Verfügungsbereich des Verantwortlichen gelangen (vgl. Kühling/Buchner/Herbst, 3. Aufl. 2020, DS-GVO Art. 4 Abs. 2 Rn. 21).

Der Begriff der Speicherung bezeichnet die Überführung des Informationsgehalts personenbezogener Daten in eine verkörperte Form in einer Weise, die es dem Verantwortlichen ermöglicht, die Daten aus einem Datenträger wiederzugewinnen (vgl. Kühling/Buchner/Herbst, 3. Aufl. 2020 Rn. 24, DS-GVO Art. 4 Abs. 2 Rn. 24).

Nach der Begriffsbestimmung in Art. 4 Nr. 6 DS-GVO ist ein „Dateisystem“ jede strukturierte Sammlung personenbezogener Daten, die nach bestimmten Kriterien zugänglich sind, unabhängig davon, ob diese Sammlung zentral, dezentral oder nach funktionalen oder geografischen Gesichtspunkten geordnet geführt wird.

Vorliegend liegt das Gutachten dem Kläger in einem PDF-Dateiformat vor. Entsprechend wurde die Datei in digitaler Form in einem Dateisystem beim Kläger erhoben bzw. erfasst und da er sie noch vorhält und sie noch nicht gelöscht wurde, wird die Datei aktuell noch von ihm gespeichert. Die Verarbeitung erfolgt auch manuell und nicht automatisiert, da eine Nutzung durch einen Anwender nach Bedarf individuell erfolgt.

c. Ein Anwendungsausschluss nach Art. 2 Abs. 2 DS-GVO liegt nicht vor.

d. Der räumliche Anwendungsbereich gemäß Art. 3 DS-GVO ist eröffnet, da die Tätigkeit des Klägers innerhalb der Europäischen Union stattfindet.

2. Der Bescheid ist formell und materiell rechtmäßig gemäß Art. 58 Abs. 2 Buchst. c i.V.m. Art. 15 Abs. 3 DS-GVO.

a. Der Bescheid ist formell rechtmäßig.

Die Vorschriften über Zuständigkeit, Verfahren und Form wurden eingehalten. Insbesondere ist der Beklagte die zuständige Aufsichtsbehörde gemäß Art. 58 Abs. 2 Buchst. c DS-GVO i.V.m. § 40 BDSG, § 19 Abs. 2 DSG M-V.

b. Der Bescheid ist materiell rechtmäßig.

Die tatbestandlichen Voraussetzungen des Art. 58 Abs. 2 Buchst. c i.V.m. Art. 15 Abs. 3 DS-GVO sind erfüllt. Der Aufsichtsbehörde ist es demnach gestattet, den Verantwortlichen oder den Auftragsverarbeiter anzuweisen, den Anträgen der betroffenen Person auf Ausübung der ihr nach dieser Verordnung zustehenden Rechte zu entsprechen, wenn ein vorheriger Antrag des Betroffenen abgelehnt wurde und sich dieser an die Aufsichtsbehörde wendet gemäß Art. 58 Abs. 2 Buchst. c DS-GVO.

aa. Der Kläger ist Verantwortlicher im Sinne von Art. 4 Nr. 7 DS-GVO, da er das streitgegenständliche Gutachten in Auftrag gegeben hat und er es zumindest – in digitaler Form – vorhält.

bb. Der Beigeladene zu 1. ist Betroffener, da – wie oben dargelegt – seine personenbezogenen Daten betroffen sind.

cc. Der Beigeladene zu 1. kann sich auf ein ihm zustehendes Recht im Sinne von Art. 58 Abs. 2 Buchst. c DS-GVO berufen.

Mit zustehenden Rechten im Sinne von Art. 58 Abs. 2 Buchst. c DS-GVO sind in erster Linie Anträge auf Auskunft nach den ersten beiden Abschnitten des Kapitels III der DS-GVO gemeint, vgl. Art. 12 Abs. 1 Satz 2, Abs. 3 Satz 1, Art. 15 Abs. 1 bis 3 DS-GVO (vgl. Nguyen in: Gola, DS-GVO, 2. Aufl. 2018, Art. 58 Rn. 18). Vorliegend besteht zugunsten des Beigeladenen zu 1. ein Anspruch auf Herausgabe einer Kopie des Gutachtens aus Art. 15 Abs. 3 Satz 1 DS-GVO. Nach dieser Vorschrift stellt der Verantwortliche eine Kopie der personenbezogenen Daten, die Gegenstand der Verarbeitung sind, zur Verfügung.

Der Beigeladene zu 1. hat vom Kläger die Aushändigung einer Kopie des Gutachtens vom 13. August 2018 im Rahmen des Art. 15 Abs. 3 DS-GVO geltend gemacht. Die Aushändigung hat dieser – bis auf das Deckblatt sowie die Seiten 3 und 57 – mit Schreiben vom 15. Oktober 2018 abgelehnt. Mit Mail vom 28. Oktober 2018 wandte sich der Beigeladene zu 1. an den Beklagten. Er bat um Unterstützung, damit er vom Kläger eine vollständige Kopie des Gutachtens ausgehändigt bekomme.

dd. Der Umfang des Anspruchs erstreckt sich auf die Herausgabe des vollständigen Gutachtens gemäß Art. 15 Abs. 3 DS-GVO.

Was unter „Kopie“ gemäß Art. 15 Abs. 3 DS-GVO zu verstehen ist, ist umstritten. Nach einer extensiven Ansicht sind sämtliche gespeicherten und/oder verarbeiteten personenbezogenen Daten in der vorliegenden Rohfassung zu übermitteln (so: Kühling/Buchner/Bäcker, 3. Aufl. 2020, DS-GVO Art. 15 Rn. 39a; BeckOK DatenschutzR/B.-Wudy, 34. Ed. 1. November 2020, DS-GVO Art. 15 Rn. 85; Halder/Johanson, NJOZ 2019, 1457 (1459); VG Gelsenkirchen, Urteil vom 27. April 2020 – 20 K 6392/18, NVwZ-RR 2020, 1070 Rn. 78, beck-online; AG Bonn, Urteil vom 30. Juli 2020 – 118 C 315/19, BeckRS 2020, 19548 Rn. 15, 16); nach der restriktiven Gegenansicht regelt Art. 15 Abs. 3 Satz 1 DS-GVO lediglich eine besondere Form der Auskunft und bezieht sich nur auf die Informationen aus Abs. 1, der jedoch keinen Anspruch auf vollständige Datenauskunft, sondern nur auf Übersicht der Daten enthält (vgl. zum Streitstand: BeckOK DatenschutzR/B.-Wudy, 34. Ed. 1. November 2020, DS-GVO Art. 15 Rn. 85; und Paal/Pauly/Paal, 3. Aufl. 2021, DS-GVO Art. 15 Rn. 33 m.w.N.).

Das Gericht hat oben bereits dargelegt, dass es davon ausgeht, dass der DS-GVO ein extensives Verständnis von personenbezogenen Daten zu Grunde liegt. Die restriktive Auffassung, dass eine Auskunft lediglich in Form einer Übersicht der gespeicherten Informationen zu erfolgen hat, ist daher abzulehnen. Aus Sicht des Gerichts, kann es dahinstehen, ob Art. 15 Abs. 3 DS-GVO einen eigenständigen Anspruch oder nur eine Erweiterung des in Art. 15 Abs. 1 DS-GVO enthaltenen Auskunftsanspruchs darstellt. Denn personenbezogene Daten sollen umfassend geschützt werden. Dieser Schutz kann nur konsequent verwirklicht werden, wenn eine Auskunft über die vollständig gespeicherten Daten erteilt wird. Art. 15 DS-GVO kann in seiner Gesamtheit nur so verstanden werden, dass entweder das „Recht auf Auskunft über diese personenbezogenen Daten“ nach Art. 15 Abs. 1 Halbsatz 2 DS-GVO bereits ein Auskunftsrecht über sämtliche Informationen beinhaltet (Wortlaut: „Auskunft über diese personenbezogenen Daten und folgende Informationen“), welches durch Abs. 3 dahingehend erweitert wird, dass dem Betroffenen auch die Überlassung einer Kopie der Daten zusteht, oder im Recht auf „Kopie“ nach Art. 15 Abs. 3 DS-GVO ein eigenständiger Anspruch auf Überlassung der vollständigen Informationen zu sehen ist. Andernfalls wäre eine Überprüfung auf Richtigkeit der gespeicherten Daten und das Recht auf Berichtigung nach Art. 16 DS-GVO nicht umsetzbar. Ohne Kenntnis der konkreten Daten, ist eine Überprüfung auf Richtigkeit nicht möglich. Anhand einer Übersicht, dass etwa Name, Adresse und eine gewisse Anzahl von Fotos, etc. gespeichert werden, lässt sich nicht überprüfen, ob die Daten auch inhaltlich zutreffend erfasst wurden, etwa ob der Name richtig geschrieben wurde oder ob bei zugeordneten Fotos überhaupt ein Zusammenhang mit der betroffenen Person besteht. So können beispielsweise Bilder von verschiedenen Eigentumsobjekten falsch zugeordnet sein. Selbst bei Annahme größtmöglicher Sorgfalt, ist es nicht auszuschließen, dass bei der Verarbeitung großer Datenmengen in jedem Fall eine richtige Zuordnung vorgenommen wird. Dies gilt insbesondere dann, wenn sich etwa die betreffenden Informationen ähneln (Beispiele: Fotos von baugleichen Reihenhäusern oder von eineiigen Zwillingen), die Daten auf einem Datenträger erfasst wurden und erst im Nachgang eine abschließende Zuordnung zu einer Akte bzw. einem Datensatz erfolgt. Eine Überprüfung der richtigen Erfassung durch den Betroffenen ist nur bei vollständiger Kenntnis der Daten möglich. Gleiches gilt für das Recht auf Löschung nach Art. 17 DS-GVO. Für diese Sichtweise spricht auch der Erwägungsgrund 63 der DS-GVO. Aus diesem wird ersichtlich, dass der Normgeber einen eigenständigen und direkten Zugang des Betroffenen zu seinen Daten ermöglichen will („Nach Möglichkeit sollte der Verantwortliche den Fernzugang zu einem sicheren System bereitstellen können, der der betroffenen Person direkten Zugang zu ihren personenbezogenen Daten ermöglichen würde.“). Es wird nicht davon gesprochen, dass die betroffene Person Zugang zu einer Übersicht ihrer personenbezogenen Daten, sondern „direkten Zugang“ zu den Daten erhalten soll.

Unter Anwendung der dargelegten Auffassung ist es gerechtfertigt, das Gutachten in seiner Gesamtheit vom Anspruch auf Kopie erfasst anzusehen. Dieses stellt in seiner Summe sowie in seinen einzelnen Bestandteilen sachliche Informationen im Hinblick auf die Eigentums- und Vermögensverhältnisse des Beigeladenen zu 1. dar.

ee. Auch der Erwägungsgrund 62 der DS-GVO steht der Auskunft vorliegend nicht entgegen. Nach diesem entfällt die Pflicht, Informationen zur Verfügung zu stellen, wenn die betroffene Person die Information bereits hat. Diese Erwägung kann jedoch nur dann zum Tragen kommen, wenn die gewünschte Information in der konkret begehrten Form dem Auskunftsersuchenden bekannt ist.

Der Beigeladene zu 1. ist zwar Eigentümer des Objekts das begutachtet wurde und kann sich daher von dem Zustand grundsätzlich selbst überzeugen. Dies ist jedoch für die vorliegende datenschutzrechtliche Bewertung unerheblich. Es kommt vielmehr auf die konkreten Informationen an, die gespeichert bzw. verarbeitet wurden. Selbst wenn unterstellt werden würde, dass der Beigeladene zu 1. die vollständigen Informationen des aufgezeichneten Diktats des Beigeladenen zu 2. vernommen habe und dies ausreichend sei, eine Kenntnis der Informationen anzunehmen, wären diese Informationen jedoch nicht identisch mit dem streitgegenständlichen Gutachten. In dem Gutachten wurden Fotos und Beschreibungen in einem Gesamtwerk aus verschiedenen Quellen (Fotoapparat und Diktataufzeichnung) zusammengefasst. Dies stellt wiederum eine eigenständige Verarbeitung i.S.d. DS-GVO dar, von deren Ergebnis der Beigeladene zu 1. keine Kenntnis hat.

ff. Der Beigeladene zu 1. hat seinen Anspruch auch nicht verwirkt. Zum einen bestehen seitens des Gerichts Bedenken, ob der Anspruch überhaupt verwirkt werden kann und zum anderen setzt die Verwirkung eines materiellen Rechts voraus, dass ein Zeit- sowie ein Umstandsmoment vorliegen. Dies bedeutet, dass seit der Möglichkeit, ein Recht geltend zu machen, längere Zeit verstrichen ist (Zeitmoment) und besondere Umstände (Umstandsmoment) hinzutreten, sodass die späte Geltendmachung einen Verstoß gegen Treu und Glauben darstellt (vgl. Eyermann/Happ, 15. Aufl. 2019, VwGO § 42 Rn. 131). Für das Vorliegen dieser Voraussetzungen sind hier keine Anhaltspunkte ersichtlich. In dem Einverständnis des Beigeladenen zu 1. zur Begutachtung seines Eigentums kann auch keine konkludente Erklärung zum Verzicht auf Rechte aus der DS-GVO gesehen werden. Dass der Beigeladene zu 1. eine gegen seine eigenen Interessen gerichtete Vereinbarung mit dem Kläger treffen wollte, indem er auf eine Kopie des Gutachtens (konkludent) verzichtet und so dem Kläger einen Wissensvorsprung gegen sich selbst verschaffen wollte, ist zudem abwegig. Anhaltspunkte für eine derartige Annahme wurden vom Kläger zudem weder dargelegt noch bewiesen.

gg. Urheberrechte des Beigeladenen zu 2. stehen dem Auskunftsanspruch gemäß Art. 15 Abs. 4 DS-GVO nicht entgegen. Der insoweit beweisbelastete Kläger hat das Vorliegen entgegenstehender Rechte weder substantiiert dargelegt noch bewiesen.

Das Recht auf Erhalt einer Kopie gemäß Abs. 3 darf die Rechte und Freiheiten anderer Personen nicht beeinträchtigen. Zur Auslegung dieser Vorschrift ist der 63. Erwägungsgrund zur DS-GVO heranzuziehen. Dessen Satz 5 stellt klar, dass das Auskunftsrecht die Rechte und Freiheiten anderer Personen, etwa Geschäftsgeheimnisse oder Rechte des geistigen Eigentums und insbesondere das Urheberrecht an Software, nicht beeinträchtigen darf. Weil im darauffolgenden Satz 6 festgelegt ist, dass dies jedoch nicht dazu führen dürfe, dass der betroffenen Person die Auskunft verweigert wird, ist nach der Kommentarliteratur – der sich die Kammer anschließt – eine umfassende Abwägung mit den Grundrechten und Grundfreiheiten Dritter vorzunehmen. Wie diese in der Praxis auszusehen hat bzw. ab welcher Intensität von einer „Beeinträchtigung“ ausgegangen werden kann, wird von Art. 15 Abs. 4 DS-GVO nicht bestimmt (vgl. BeckOK DatenschutzR/B.-Wudy, 34. Ed. 1. November 2020, DS-GVO Art. 15 Rn. 96; Ehmann/Selmayr, DS-GVO, 2. Aufl. 2018, Art. 15 Rn. 36; Gola DS-GVO/Franck, 2. Aufl. 2018, DS-GVO Art. 15 Rn. 33, 34; Paal/Pauly/Paal, 3. Aufl. 2021, DS-GVO Art. 15 Rn. 40-43; Sydow, Europäische Datenschutzgrundverordnung, DSGVO Art. 15 Rn. 24).

Beweisbelastet für das Vorliegen eines der Auskunft entgegenstehenden Rechts ist der für die Datenverarbeitung Verantwortliche (vgl. Sydow, Europäische Datenschutzgrundverordnung, DSGVO Art. 15 Rn. 24; Kühling/Buchner/Bäcker, 3. Aufl. 2020, DS-GVO Art. 15 Rn. 42a).

Zwar hat der Kläger mit Schriftsatz vom 2. September 2019 ein Schreiben des Beigeladenen zu 2. - vom selben Tag - vorgelegt, aus dem sich ergibt, dass dieser davon ausgehe, dass ihm das Urheberrecht an dem Gutachten zustehe und eine Vervielfältigung des Gutachtens nur mit dessen Zustimmung erfolgen dürfe. Aus dem Schreiben ergibt sich jedoch nicht, in welchem Umfang Nutzungs- und Verwertungsrechte tatsächlich eingeräumt und vereinbart wurden. Auch geht aus dem Schreiben nicht hervor, dass der Anfertigung und Aushändigung einer Kopie zu Zwecken des Art. 15 Abs. 3 DS-GVO widersprochen wird. Das Schreiben ist somit nur allgemeiner Natur. Nachweise zu konkreten Vereinbarungen über Nutzungs- und Verwertungsrechte wurden weder vorgelegt noch konkret benannt. Das Gericht geht daher davon aus, dass keine konkreten Vereinbarungen hinsichtlich der Verwertungs- und Nutzungsrechte zwischen dem Kläger und dem Beigeladenen zu 2. getroffen wurden, die der Aushändigung des Gutachtens entgegenstehen.

Hinsichtlich des Textteils des Gutachtens ist bereits fraglich, ob dieser überhaupt schützenswert im Sinne von § 2 UrhG ist. Denn der Textteil eines Sachverständigengutachtens erreicht regelmäßig nicht die für einen Schutz als Sprachwerk erforderliche Schöpfungshöhe. Die für die Annahme eines Sprachwerkes nach § 2 Abs. Nr. 1, Abs. 2 UrhG erforderliche geistige Schöpfung kann einerseits in der Gedankenformung und -führung liegen, andererseits aber auch in der Form und Art der Sammlung, der Einteilung und Anordnung des dargebotenen Stoffs (vgl. BGH, Urteil vom 12. Juni 1981 - I ZR 95/79, GRUR 1982, 37). Geschützt ist bei sprachlichen Mitteilungen darüber hinaus die Darstellungsform, wenn sie Ausdruck einer persönlichen geistigen Schöpfung ist (vgl. Wandtke/Bullinger/Bullinger, 5. Aufl. 2019, UrhG § 2 Rn. 48, 49). Einschränkungen gelten für wissenschaftliche Sprachwerke. Ihr Inhalt ist einem Urheberrechtsschutz insoweit nicht zugänglich, als er auf gemeinfreien wissenschaftlichen Erkenntnissen, Lehren und Theorien beruht oder diese wiedergibt (vgl. Dreier/Schulze/Schulze, 6. Aufl. 2018, UrhG § 2 Rn. 41, 42). Geschützt sind hier nur die Formulierungen, soweit sie Ausdruck einer individuellen Schöpfung sind (vgl. BGH, Urteil vom 21. November 1980 - I ZR 106/78; GRUR 1981, 352; OLG Hamburg, Urteil vom 31. März 2004 - 5 U 144/03, GRUR-RR 2004, 285). Texte, die in der üblichen Fachsprache formuliert werden, bleiben schutzlos (vgl. BGH, Urteil vom 21. November 1980 - I ZR 106/78; GRUR 1981, 352, Dreier/Schulze/Schulze, 6. Aufl. 2018, UrhG § 2 Rn. 26). Sie heben sich nicht von der Masse des Alltäglichen ab. Darunter zählen insbesondere Textteile von Gutachten, die schematisch erstellt werden (vgl. KG Berlin, Beschluss vom 11. Mai 2011 – 24 U 28/11, BeckRS 2011, 14067; LG Berlin, Urteil vom 3. Juli 2012 – 16 O 309/11, NJOZ 2012, 2122).

Gemessen an diesen Grundsätzen hat der Kläger bereits nicht substantiiert vorgetragen, dass der Textteil des Gutachtens eine hinreichende Schöpfungshöhe erreicht. Bei Sachverständigengutachten ist regelmäßig davon auszugehen, dass die Struktur des Textes durch den Zweck vorgegeben ist. Der klägerische Vortrag beschränkt sich auf allgemeine Ausführungen, die er damit begründet, dass genauere Ausführung einer Offenlegung gleichkämen. Dies ist weder ausreichend noch plausibel. Er hätte wenigstens beschreiben müssen, inwieweit das Gutachten eine von der reinen Faktenwiedergabe abweichende Darstellung des Gebäudezustandes enthält. Dies wäre auch ohne Offenlegung des konkreten Inhalts möglich gewesen. Zudem sprechen die Ausführungen des Beigeladenen zu 2. gegen das Erreichen einer schöpferischen Höhe im Sinne des UrhG. Er hat vorgetragen, dass mit einer Art „Tunnelblick“ lediglich der objektive Objektzustand erfasst worden sei. Bewertungen zu Ursachen und Maßnahmen seien nicht Gegenstand dieses Gutachtens gewesen. Es dürfte daher davon auszugehen sein, dass sich die Sprache auf die nüchterne Mitteilung von Fakten reduziert und sich üblicher Formulierungen bedient wird, die jeder Bausachverständige in vergleichbarer Form gebraucht.

Diese Frage kann letztendlich dahinstehen. Selbst wenn man den Textteil als urheberrechtlich geschützt ansieht, ergibt sich auch unter Einbeziehung der im Gutachten enthaltenen Fotos - die eigenständig urheberrechtlich geschützt sind gemäß § 72 UrhG - kein urheberrechtliches Hindernis, das der Herausgabe entgegensteht.

Wie bereits ausgeführt, hat der Kläger nicht dargelegt, dass diesbezüglich konkrete Vereinbarungen getroffen wurden. Es stehen auch die im UrhG enthaltenen gesetzliche Wertungen einer Herausgabe nicht entgegen.

§§ 15 Abs. 2 Nr. 2, 19 a UrhG steht der Weitergabe jedenfalls deswegen nicht entgegen, weil nicht das Recht der öffentlichen Zugänglichmachung betroffen ist, da das Gutachten nur gegenüber dem Beigeladenen zu 1. bekannt gemacht werden soll.

§§ 15 Abs. 1 Nr. 2, 17 UrhG ist auch nicht einschlägig. Der Tatbestand der Verbreitung umfasst gemäß § 17 Abs. 1 UrhG das Recht, das Original oder Vervielfältigungsstücke des Werkes der Öffentlichkeit anzubieten oder in den Verkehr zu bringen. Die Verletzung dieses Verwertungsrecht scheitert jedenfalls am Erschöpfungsgrundsatz des § 17 Abs. 2 UrhG, nachdem der Beigeladene zu 2. das Gutachten mit den Fotos dem Kläger selbst zur Verfügung gestellt hat.

Ein Eingriff in das Vermietungsrecht des Beigeladenen zu 2. nach § 17 Abs. 3 Satz 1 UrhG ist ebenfalls nicht einschlägig. Die Vorschrift setzt eine vorübergehende Gebrauchs-überlassung der geschützten Leistung zu Erwerbszwecken voraus. Vorliegend fehlt es jedoch an der kommerziellen Verwertung. Der Beigeladene zu 1. begehrt das Gutachten im Rahmen einer privaten Auskunft auf Basis der DS-GVO. Es ist nicht ersichtlich, dass er das Gutachten zu Erwerbszwecken verwenden möchte. Die Verwendung in einem Gerichtsverfahren stellt keinen Erwerbszweck dar.

Die Wertung des § 31 Abs. 5 UrhG spricht vorliegend gegen entgegenstehende Urheberrechte. Nach der Norm richtet sich der Umfang bei fehlender Vereinbarung über Nutzung und Verwertung nach dem zugrunde gelegten Vertragszweck. Wie bereits oben geschildert, hat der Kläger nicht hinreichend dargelegt, dass Nutzungs- und Verwertungsrechte konkret vereinbart wurden. Sein Vortrag steht zudem im Widerspruch zu dem Grundsatz, dass der Nutzer diejenigen Rechte erwirbt, welche die Erreichung des Vertragszwecks erst ermöglichen und hierfür erforderlich sind (vgl. BGH, Urteil vom 15. März 1984 - I ZR 218/81, GRUR 1984, 528; Dreier/Schulze/Schulze, 6. Aufl. 2018, UrhG § 31 Rn. 122).

Vorausgesetzter Vertragszweck des Werkvertrages über die Erstellung des Gutachtens ist vorliegend, dass das Gutachten zur Anspruchsgeltendmachung und -durchsetzung im Rahmen von Schadensersatzansprüchen verwertet werden soll, somit ist wenigstens von einer konkludenten Übertragung der Nutzungsrechte gemäß § 151 BGB zur Vorlage des Gutachtens beim Beigeladenen zu 1. sowie im Rahmen von Streitigkeiten über den Objektzustand zum Begutachtungszeitpunkt als vertraglich vorausgesetzte Nutzungsart im Sinne des § 31 Abs. 1 Satz 1 UrhG auszugehen.

Dass der Beigeladene zu 2. – vertreten durch seinen Mitarbeiter – in der mündlichen Verhandlung erklärt hat, dass regelmäßig nach Anfrage des Auftraggebers die Freigabe zur Herausgabe erteilt werde, steht dieser Wertung nicht entgegen. Vielmehr hat er im streitgegenständlichen Fall erklärt, dass er davon ausgehe, dass auch hier eine urheberrechtliche Freigabe erteilt werden könne, wenn eine konkrete Anfrage des Auftraggebers vorliege, obgleich er eine solche, mangels konkreten Antrags des Klägers, als Auftraggeber, nicht habe erklären wollen. Hieraus wird deutlich, dass der Beigeladene zu 2. grundsätzlich eigene Urheberrechte einer Herausgabe nicht entgegenstellt.

Die Verweigerung der Zustimmung seitens des Beigeladenen zu 2. zur Weitergabe einer Kopie des Gutachtens an den Beigeladenen zu 1. würde zudem einen Verstoß gegen Treu und Glauben gemäß § 34 Abs. 1 Satz 2 UrhG darstellen.

Ein Verstoß gegen Treu und Glauben liegt vor, wenn kein schutzwürdiger Grund besteht, der zu einer Verweigerung der Zustimmung berechtigt. Die Grenze liegt dort, wo die Zustimmungsverweigerung – auch unter Berücksichtigung der Verkehrssitte § 242 BGB – unbillig erscheint. Entscheidend ist eine umfassende Abwägung der beiderseitigen Interessen. Insbesondere soll der Urheber den Vorbehalt seiner Zustimmung nicht dazu missbrauchen können, ein Nutzungsrecht grundlos zu verhindern, obwohl seine Interessen in keiner Weise beeinträchtigt werden (vgl. BeckOK UrhR/Soppe, 29. Ed. 15. Juni 2020 Rn. 11, UrhG § 34 Rn. 11).

Das Gutachten kann den Zweck der Beweissicherung nicht erfüllen, wenn es nicht zwischen den direkt Betroffenen (Kläger und Beigeladenem zu 1.) gleichermaßen bekannt gegeben wird. Durch das Gutachten sollen der Gebäudezustand sowie etwa vorhandene Schäden vor Beginn der Baumaßnahmen des Klägers von dem Beigeladenem zu 2. - als einem unabhängigen Dritten - festgestellt werden, sodass einheitliche und unstreitige Anknüpfungstatsachen zwischen den Beteiligten bei späteren Rechtsstreitigkeiten zu Grunde gelegt werden können. Das Gutachten dient daher auch den Interessen des Beigeladenen zu 1., weshalb dieser ein Auskunftsrecht auch auf den Grundsatz der „Waffengleichheit“ stützen kann (vgl. OLG Schleswig, Urteil vom 13. Juli 2020 – 16 U 137/19, NJW-RR 2020, 1351; OLG Frankfurt a. M., Urteil vom 12. Februar 2019 – 11 U 114/17, BeckRS 2019, 5094; OLG Karlsruhe, Beschluss vom 26. April 2005 – 12 W 32/05, BeckRS 2005, 4902; OLG Saarbrücken, Urteil vom 14. Oktober 1998 - 5 U 1011–97-80, NJW-RR 1999, 759; Heinrich, NZV 2015, 68).

Konkrete Interessen des Beigeladenen zu 2., die diesbezüglich entgegenstehen könnten, sind weder substantiiert vorgetragen worden noch ersichtlich.

hh. Aus den gleichen Gründen kann sich auch der Kläger nicht auf entgegenstehende Rechte berufen, wenn er vorträgt, dass er seine eigenen Rechtspositionen durch Offenlegung schmälern würde. Das Gutachten soll gerade Klarheit zwischen ihm und dem Beigeladenen zu 1. bezüglich des Objektzustandes des Eigentums des Beigeladenen zu 1. schaffen. Es wird insoweit auf die Ausführungen zur Verwirkung und zum Verstoß gegen Treu und Glauben verwiesen.

ii. Das Auskunftsersuchen des Beigeladenen zu 1. ist nicht rechtsmissbräuchlich und steht daher der Anordnung des Beklagten nicht entgegen gemäß Art. 12 Abs. 5 Satz 2 DS-GVO.

Rechtsmissbrauch kann bei offenkundig unbegründeten oder exzessiven Anträgen einer betroffenen Person gegeben sein. In diesen Fällen kann sich der Verantwortliche weigern, eine Auskunft zu geben oder hierfür ein Entgelt verlangen. Nach Satz 3 hat der Verantwortliche den Nachweis für den offenkundig unbegründeten oder exzessiven Charakter des Antrags zu erbringen.

Offenkundig unbegründet sind Anträge, bei denen das Fehlen der Voraussetzungen auf der Hand liegt respektive der Antrag eindeutig aussichtlos ist (vgl. allgemein BVerfG, Urteil vom 14. Mai 1996 - 2 BvR 1516/93, BeckRS 9998, 170716).

Exzessiv sind Anträge, wenn sie ohne Maß gestellt werden. Dies kann bei häufiger Wiederholung anzunehmen sein, insbesondere dann, wenn es keine plausiblen Gründe für die häufigen Wiederholungen wie eine Änderung der tatsächlichen Umstände oder eine anderweitige, abweichende Auskunft gibt (vgl. BeckOK DatenschutzR/Quaas, 34. Ed. 1. November 2020, DS-GVO Art. 12 Rn.43-48).

Vorliegend ist der Antrag weder offenkundig unbegründet - vielmehr ist der Antrag wie dargelegt begründet - noch exzessiv, da er nur einmal gestellt wurde. Der Umfang ist auch sachlich begründet und ergibt sich daraus, dass sämtliche Seiten des Gutachtens personenbezogene Daten des Beigeladenen zu 1. enthalten.

Dem Kläger ist zwar zuzugeben, dass originärer Sinn und Zweck des Auskunftsanspruchs die Rechtmäßigkeitskontrolle im Hinblick auf die Verarbeitung der personenbezogenen Daten ist (vgl. Erwägungsgrund 63 der DS-GVO). Jedoch begründet die Verfolgung eines danebenstehenden Zwecks noch nicht den Einwand des Rechtsmissbrauchs. Die Beweggründe für ein Auskunftsbegehren müssen gerade nicht offenlegt werden, folglich kann es sich hierbei nicht um ein Kriterium der Abwägung handeln. Entsprechend wurde von der Rechtsprechung anerkannt, dass es unschädlich ist, wenn der Betroffene zu erkennen gibt, dass er die betreffenden Daten zur Vorbereitung eines Rechtsstreits bzw. zur Verbesserung seiner Position in einem solchen verlangt (vgl. hierzu LAG Baden-Württemberg, Urteil vom 20. Dezember 2018 - 17 Sa 11/18; LG Köln, Urteil vom 11. November 2020 – 23 O 172/19; LG Dresden, Urteil vom 29. Mai 2020 – 6 O 76/20; AG Bonn, Urteil vom 30. Juli 2020 – 118 C 315/19, BeckRS 2020, 19548 Rn. 18, beck-online; AG München, Teilurteil vom 4. September 2019 – 155 C 1510/18; BeckOK DatenschutzR/B.-Wudy, 32. Ed. 1. Mai 2020, DS-GVO Art. 15 Rn. 52.2)."


Den Volltext der Entscheidung finden Sie hier:


EuGH: Nationale Datenschutzbehörden dürfen bei DSGVO-Verstößen im Zusammenhang mit grenzüberschreitender Datenverarbeitung auch tätig werden wenn sie nicht federführend sind

EuGH
Urteil vom 15.06.2021
C‑645/19
Facebook Ireland Ltd, Facebook Inc., Facebook Belgium BVBA
gegen
Gegevensbeschermingsautoriteit


Der EuGH hat entschieden, dass die nationalen Datenschutzbehörden bei DSGVO-Verstößen im Zusammenhang mit grenzüberschreitender Datenverarbeitung auch dann tätig werden dürfen, wenn sie nicht federführend zuständig sind.

Tenor der Entscheidung:

1. Art. 55 Abs. 1 und die Art. 56 bis 58 sowie 60 bis 66 der Verordnung (EU) 2016/679 des Europäischen Parlaments und des Rates vom 27. April 2016 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten, zum freien Datenverkehr und zur Aufhebung der Richtlinie 95/46/EG (Datenschutz-Grundverordnung) sind in Verbindung mit den Art. 7, 8 und 47 der Charta der Grundrechte der Europäischen Union dahin auszulegen, dass eine Aufsichtsbehörde eines Mitgliedstaats, die nach den zur Durchführung von Art. 58 Abs. 5 der Verordnung erlassenen nationalen Rechtsvorschriften befugt ist, vermeintliche Verstöße gegen die Verordnung einem Gericht dieses Mitgliedstaats zur Kenntnis zu bringen und gegebenenfalls die Einleitung eines gerichtlichen Verfahrens zu betreiben, von dieser Befugnis, wenn eine grenzüberschreitende Datenverarbeitung in Rede steht, Gebrauch machen darf, obgleich sie für diese Datenverarbeitung nicht die „zuständige federführende Aufsichtsbehörde“ im Sinne von Art. 56 Abs. 1 der Verordnung ist, sofern es sich um einen der Fälle handelt, in denen die Verordnung 2016/679 der Aufsichtsbehörde eine Zuständigkeit einräumt, einen Beschluss zu erlassen, mit dem festgestellt wird, dass die fragliche Verarbeitung gegen die Vorschriften der Verordnung verstößt, und die in der Verordnung vorgesehen Verfahren der Zusammenarbeit und der Kohärenz eingehalten werden.

2. Art. 58 Abs. 5 der Verordnung 2016/679 ist dahin auszulegen, dass die Ausübung der einer Aufsichtsbehörde eines Mitgliedstaats, die nicht die federführende Aufsichtsbehörde ist, nach dieser Vorschrift zustehenden Befugnis zur Klageerhebung bei einer grenzüberschreitenden Verarbeitung personenbezogener Daten nicht voraussetzt, dass der für die grenzüberschreitende Verarbeitung personenbezogener Daten Verantwortliche oder der Auftragsverarbeiter, gegen den die Klage erhoben wird, im Hoheitsgebiet des Mitgliedstaats der fraglichen Aufsichtsbehörde eine Hauptniederlassung oder eine andere Niederlassung hat.

3. Art. 58 Abs. 5 der Verordnung 2016/679 ist dahin auszulegen, dass die einer Aufsichtsbehörde eines Mitgliedstaats, die nicht die federführende Aufsichtsbehörde ist, nach dieser Vorschrift zustehende Befugnis, vermeintliche Verstöße gegen die Verordnung einem Gericht dieses Mitgliedstaats zur Kenntnis zu bringen und gegebenenfalls die Einleitung eines gerichtlichen Verfahrens zu betreiben, sowohl gegenüber der Hauptniederlassung des Verantwortlichen, die sich in dem Mitgliedstaat der Aufsichtsbehörde befindet, als auch gegenüber einer anderen Niederlassung des Verantwortlichen ausgeübt werden kann, sofern Gegenstand der Klage eine Datenverarbeitung ist, die im Rahmen der Tätigkeiten der Niederlassung erfolgt, und die genannte Behörde nach den Ausführungen zu Vorlagefrage 1 dafür zuständig ist, die Befugnis auszuüben.

4. Art. 58 Abs. 5 der Verordnung 2016/679 ist dahin auszulegen, dass, wenn eine Aufsichtsbehörde eines Mitgliedstaats, die nicht die „federführende Aufsichtsbehörde“ im Sinne von Art. 56 Abs. 1 der Verordnung ist, vor dem 25. Mai 2018, also bevor die Verordnung galt, wegen einer grenzüberschreitenden Verarbeitung personenbezogener Daten eine Klage erhoben hat, diese Klage unionsrechtlich auf der Grundlage der Vorschriften der Richtlinie 95/46/EG des Europäischen Parlaments und des Rates vom 24. Oktober 1995 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten und zum freien Datenverkehr aufrechterhalten werden kann, die für Verstöße gegen die in ihr enthaltenen Vorschriften, die bis zu dem Zeitpunkt begangen worden sind, zu dem die Richtlinie aufgehoben wurde, weiter gilt. Darüber hinaus kann eine solche Klage von der Aufsichtsbehörde auf der Grundlage von Art. 58 Abs. 5 der Verordnung 2016/679 wegen nach diesem Zeitpunkt begangener Verstöße erhoben werden, sofern es sich um einen der Fälle handelt, in denen die Verordnung einer Aufsichtsbehörde eines Mitgliedstaats, die nicht die „federführende Aufsichtsbehörde“ ist, ausnahmsweise die Befugnis verleiht, einen Beschluss zu erlassen, mit dem festgestellt wird, dass die betreffende Datenverarbeitung gegen die in der Verordnung enthaltenen Vorschriften über den Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten verstößt, und die in der Verordnung vorgesehenen Verfahren der Zusammenarbeit und der Kohärenz eingehalten werden, was zu prüfen Sache des vorlegenden Gerichts ist.

5. Art. 58 Abs. 5 der Verordnung 2016/679 ist dahin auszulegen, dass die Vorschrift unmittelbare Wirkung hat, so dass eine nationale Aufsichtsbehörde sich auf sie berufen kann, um gegen Private eine Klage zu erheben oder ein entsprechendes Verfahren fortzuführen, auch wenn die Vorschrift in der Rechtsordnung des betreffenden Mitgliedstaats nicht speziell umgesetzt worden ist.

Den Volltext der Entscheidung finden Sie hier:

Die Pressemitteilung des EuGH:

Datenschutz-Grundverordnung (DSGVO): Der Gerichtshof erläutert die Voraussetzungen für die Ausübung der Befugnisse der nationalen Aufsichtsbehörden bei der grenzüberschreitenden Datenverarbeitung

Unter bestimmten Voraussetzungen kann eine nationale Aufsichtsbehörde ihre Befugnis, vermeintliche Verstöße gegen die DSGVO vor einem Gericht eines Mitgliedstaats geltend zu machen, ausüben, auch wenn sie in Bezug auf diese Verarbeitung nicht die federführende Behörde ist

"EuGH: Nationale Datenschutzbehörden dürfen bei DSGVO-Verstößen im Zusammenhang mit grenzüberschreitender Datenverarbeitung auch tätig werden wenn sie nicht federführend sind" vollständig lesen

EU-Kommission: Neue Standardvertragsklauseln für Übermittlung personenbezogener Daten an Drittländer und zwischen Verantwortlichen und Auftragsverarbeitern angenommen - scc

Die EU-Kommission hat die neuen Standardvertragsklauseln angenommen. Ob diese den strengen rechtliche Anforderungen genügen, ist nach wie vor sehr fraglich.

DURCHFÜHRUNGSBESCHLUSS DER KOMMISSION über Standardvertragsklauseln für die Übermittlung personenbezogener Daten an Drittländer gemäß der Verordnung (EU) 2016/679

Anhang des DURCHFÜHRUNGSBESCHLUSS DER KOMMISSION über Standardvertragsklauseln für die Übermittlung personenbezogener Daten an Drittländer gemäß der Verordnung (EU) 2016/679

DURCHFÜHRUNGSBESCHLUSS DER KOMMISSION über Standardvertragsklauseln zwischen Verantwortlichen und Auftragsverarbeitern gemäß Artikel 28(7) DS-GVO und Artikel 29(7) der Verordnung (EU) 2018/1725

Anhang des DURCHFÜHRUNGSBESCHLUSS DER KOMMISSION über Standardvertragsklauseln zwischen Verantwortlichen und Auftragsverarbeitern gemäß Artikel 28 (7) DS-GVO und Artikel 29(7) der Verordnung (EU) 2018/1725

Die Pressemitteilung des EU-Kommission:

European Commission adopts new tools for safe exchanges of personal data

Today, the European Commission adopted two sets of standard contractual clauses, one for use between controllers and processors and one for the transfer of personal data to third countries. They reflect new requirements under the General Data Protection Regulation (GDPR) and take into account the Schrems II judgement of the Court of Justice, ensuring a high level of data protection for citizens. These new tools will offer more legal predictability to European businesses and help, in particular, SMEs to ensure compliance with requirements for safe data transfers, while allowing data to move freely across borders, without legal barriers.

The new standard contractual clauses take into account the joint opinion of the European Data Protection Board and the European Data Protection Supervisor, feedback from stakeholders during a broad public consultation and the opinion of Member States' representatives.

Vice-President for Values and Transparency, Vera Jourová said: “In Europe, we want to remain open and allow data to flow, provided that the protection flows with it. The modernised Standard Contractual Clauses will help to achieve this objective: they offer businesses a useful tool to ensure they comply with data protection laws, both for their activities within the EU and for international transfers. This is a needed solution in the interconnected digital world where transferring data takes a click or two.”

Commissioner for Justice, Didier Reynders, said: “In our modern digital world, it is important that data can be shared with the necessary protection - inside and outside the EU. With these reinforced clauses, we are giving more safety and legal certainty to companies for data transfers. After the Schrems II ruling, it was our duty and priority to come up with user-friendly tools, which companies can fully rely on. This package will significantly help companies to comply with the GDPR.”

Main Innovations

The standard contractual clauses published today reflect new requirements under the General Data Protection Regulation and address the realities faced by modern business. Thanks to their standardisation and pre-approval, the SCCs provide companies with an easy-to-implement template. Companies know that when they use this template they meet data protection requirements.

Main innovations of the new standard contractual clauses:

Update in line with the General Data Protection Regulation (GDPR);

One single entry-point covering a broad range of transfer scenarios, instead of separate sets of clauses;
More flexibility for complex processing chains, through a ‘modular approach' and by offering the possibility for more than two parties to join and use the clauses;
Practical toolbox to comply with the Schrems II judgment; i.e. an overview of the different steps companies have to take to comply with the Schrems II judgment as well as examples of possible ‘supplementary measures', such as encryption, that companies may take if necessary
For controllers and processors that are currently using previous sets of standard contractual clauses, a transition period of 18 months is provided.

These standard contractual clauses are adopted at a moment where a number of regional organisations and third countries are developing or have issued their own standard contractual clauses on the basis of converging principles. The Commission will intensify its cooperation with these international partners to further facilitate data transfers between different regions of the world.

Background

The General Data Protection Regulation (GDPR) entered into force on 24 May 2016 and became applicable on 25 May 2018. The standard contractual clauses are standardised and pre-approved model data protection clauses that can be incorporated into contractual arrangements on a voluntary basis, providing an easy-to-implement tool to comply with data protection requirements.

The Commission can adopt standard contractual clauses for the relationship between controllers and processors, as a tool to help to demonstrate compliance with the GDPR. In addition, the Commission can adopt standard contractual clauses providing data protection safeguards for data to be transferred internationally.

On July 16, 2020, the Court of Justice confirmed the validity of the EU Standard Contractual Clauses for the transfer of personal data to processors outside the EU/EEA ("SCCs"), while invalidating the EU–U.S. Privacy Shield. Thus, the Court has ruled that international data flows under the European Union's comprehensive data protection regime, the General Data Protection Regulation (GDPR), can continue to be based on EU Standard Contractual Clauses, while also further clarifying the conditions under which they can be used.


HmbBfDI verbietet Facebook personenbezogene Daten von WhatsApp zu eigenen Zwecken zu verarbeiten - auch sofortiger Vollzug angeordnet

Der Hamburgische Beauftragte für Datenschutz und Informationsfreiheit (HmbBfDI) hat Facebook per Anordnung verboten, personenbezogene Daten von WhatsApp zu eigenen Zwecken zu verarbeiten. Es wurde auch der sofortige Vollzug angeordnet.

Die Pressemitteilung des Gerichts:

Anordnung des HmbBfDI: Verbot der Weiterverarbeitung von WhatsApp-Nutzerdaten durch Facebook

Der Hamburgische Beauftragte für Datenschutz und Informationsfreiheit (HmbBfDI) hat eine Anordnung erlassen, die der Facebook Ireland Ltd. verbietet, personenbezogene Daten von WhatsApp zu verarbeiten, soweit dies zu eigenen Zwecken erfolgt. Der sofortige Vollzug wurde angeordnet. Dies erfolgt im Rahmen des Dringlichkeitsverfahrens der Datenschutzgrundverordnung (DSGVO), das den Erlass von Maßnahmen mit einer begrenzten Geltungsdauer im jeweiligen Hoheitsgebiet vorsieht.

Hintergrund des Verfahrens ist die Aufforderung an alle Nutzerinnen und Nutzer von WhatsApp, den neuen Nutzungs- und Privatsphärebestimmungen bis zum 15. Mai zuzustimmen. Damit lässt sich WhatsApp weitreichende Befugnisse für eine Datenweitergabe an Facebook einräumen.

Mit den neuen Bedingungen werden die Befugnisse zur Datenverarbeitung formal erneuert und künftig inhaltlich erweitert. Das betrifft u.a. die Auswertung von Standortinformationen, die Weitergabe von Kommunikationsdaten der Nutzer von Unternehmen auf WhatsApp an Drittunternehmen ausdrücklich mit Hinweis auf Facebook, den zusätzlichen Zweck der Sicherstellung der Integrität der Dienste sowie die unternehmensübergreifende Verifizierung des Accounts, um den Dienst auf „angemessene Weise“ zu nutzen. Ferner wird die Nutzung der Daten zur Verbindung mit Produkten von Facebook-Unternehmen eröffnet. Ein berechtigtes Interesse für die Datenverarbeitung bzw. für den Austausch der Daten wird künftig pauschal auch gegenüber minderjährigen Nutzern vorgebracht. Ferner fällt der bislang vorhandene Hinweis weg, dass WhatsApp-Nachrichten nicht für andere sichtbar auf Facebook geteilt werden.

Nach Auswertung des gegenwärtigen Sachstands und Anhörung der Facebook Ireland Ltd. fehlt für eine Verarbeitung durch Facebook zu eigenen Zwecken ungeachtet der von WhatsApp derzeit eingeholten Zustimmung zu den Nutzungsbedingungen eine ausreichende rechtliche Grundlage. Die Bestimmungen zur Datenweitergabe finden sich verstreut auf unterschiedlichen Ebenen der Datenschutzerklärung, sie sind unklar und in ihrer europäischen und internationalen Version schwer auseinanderzuhalten. Zudem sind sie inhaltlich missverständlich und weisen erhebliche Widersprüche auf. Auch nach genauer Analyse lässt sich nicht erkennen, welche Konsequenzen die Zustimmung für die Nutzerinnen und Nutzer hat. Ferner erfolgt die Zustimmung nicht aus freien Stücken, da WhatsApp die Einwilligung in die neuen Bestimmungen als Bedingung für die Weiternutzung der Funktionalitäten des Dienstes einfordert.

Datenschutzrechtliche Grundlagen, die eine eigenständige Verarbeitungsbefugnis durch Facebook begründen könnten, liegen vor diesem Hintergrund nicht vor. Insbesondere kann Facebook kein überwiegendes berechtigtes Interesse an der Verarbeitung der Daten von WhatsApp-Nutzerinnen und -Nutzern geltend machen, da deren Rechte und Freiheiten entgegenstehen. Die Zustimmung erfolgt weder transparent noch freiwillig. Das gilt in besonderer Weise für Kinder. Aus diesen Gründen kommt eine datenschutzrechtliche Einwilligung als Rechtsgrund nicht in Betracht. Die Verarbeitung der Daten der Nutzer von WhatsApp ist für Facebook auch nicht zur Durchführung eines Vertrages erforderlich.

Die Untersuchung der neuen Bestimmungen hat gezeigt, dass die enge Verbindung zwischen den beiden Unternehmen weiter ausgebaut werden soll, damit Facebook die Daten der WhatsApp-Nutzerinnen und -Nutzer jederzeit zu eigenen Zwecken verwenden kann. Für die Bereiche Produktverbesserung und Werbung behält sich WhatsApp die Weitergabe an Facebook-Unternehmen vor, ohne dass es hierzu noch einer Einwilligung der Betroffenen bedarf. In anderen Bereichen ist von einer Nutzung für eigene Zwecke nach Maßgabe der Datenschutzrichtlinie bereits derzeit auszugehen. Darin bzw. in den FAQ wird etwa beschrieben, dass für die Netzwerksicherheit und zur Verhinderung des Sendens von Spam bereits aktuell Daten der WhatsApp-Nutzer wie etwa Telefonnummern und Gerätekennungen zwischen den Unternehmen für gemeinsame Zwecke ausgetauscht werden. Eine Untersuchung der federführenden Aufsichtsbehörde über die tatsächliche Praxis der Datenweitergabe und -nutzung hat es bislang trotz unserer Aufforderung nicht gegeben.

Die Nutzerinnen und Nutzer werden von WhatsApp mit intransparenten Bedingungen für eine weitreichende Datenweitergabe konfrontiert. Gleichzeitig wird behauptet, die beschriebenen Verarbeitungen würden tatsächlich gar nicht ausgeführt, um sie dann zu einem späteren Zeitpunkt schrittweise auf Grundlage des auf Zustimmung der Nutzerinnen und Nutzer gegründeten Rechtsrahmens umzusetzen. Diese Strategie erfolgt gegenwärtig insbesondere bei der neu eingeführten Funktion des Business-Marketings, die es unter Einschluss von Facebook ermöglicht, zum Versenden von Direktwerbung und der Marketingkommunikation unternehmensübergreifend Daten zu verarbeiten. Insgesamt entspricht das Vorgehen sowohl mit Blick auf Datenverarbeitungen, die laut Datenschutzrichtlinie bereits derzeit ausgeführt werden, als auch solchen, die durch Facebook jederzeit umgesetzt werden können, nicht den Vorgaben der DSGVO.

Hierzu Johannes Caspar, Hamburgischer Beauftragter für Datenschutz und Informationsfreiheit: „Die Anordnung soll die Rechte und Freiheiten der vielen Millionen Nutzerinnen und Nutzer sichern, die deutschlandweit ihre Zustimmung zu den Nutzungsbedingungen geben. Es gilt, Nachteile und Schäden, die mit einem derartigen Black-Box-Verfahren verbunden sind, zu verhindern. Die Datenschutz-Skandale der letzten Jahre von „Cambridge Analytica“ bis hin zu dem kürzlich bekannt geworden Datenleck, von dem mehr als 500 Millionen Facebook-Nutzer betroffen waren, zeigen das Ausmaß und die Gefahren, die von einer massenhaften Profilbildung ausgehen. Das betrifft nicht allein die Privatsphäre, sondern auch die Möglichkeit, Profile zur Beeinflussung von Wählerentscheidungen einzusetzen, um demokratische Entscheidungen zu manipulieren. Die Gefahr ist angesichts von fast 60 Millionen Nutzerinnen und Nutzern von WhatsApp mit Blick auf die in Deutschland im September 2021 anstehenden Bundestagswahlen umso konkreter, da diese Begehrlichkeiten nach Beeinflussung der Meinungsbildung seitens der Anzeigekunden von Facebook wecken werden. Die nun erlassene Anordnung bezieht sich auf die Weiterverarbeitung von WhatsApp-Nutzerdaten und richtet sich an die Adresse von Facebook. Die weltweite Kritik gegen die neuen Nutzungsbedingungen sollte Anlass geben, den Zustimmungsmechanismus noch einmal grundlegend zu überdenken. Ohne Vertrauen der Nutzerinnen und Nutzer kann auf Dauer kein auf Daten gegründetes Geschäftsmodell erfolgreich sein.“

Aufgrund des beschränkten Zeitrahmens der Anordnung im Dringlichkeitsverfahren von lediglich drei Monaten wird der HmbBfDI eine Befassung durch den Europäischen Datenschutzausschuss (EDSA) beantragen, um eine Entscheidung auf europäischer Ebene herbeizuführen.