Skip to content

Bundeskartellamt: Sektoruntersuchung zu Smart-TV - Bessere Verbraucher-Informationen über die Datenverarbeitung erforderlich

Das Bundeskartellamt hat den Abschlussbericht seiner Sektoruntersuchung zu Smart-TV vorgelegt.

Die Pressemitteilung des Bundeskartellamtes:

Bundeskartellamt fordert im Rahmen seiner Verbraucherschutzbefugnisse bessere Verbraucher-Informationen über die Datenverarbeitung von Smart-TVs

Das Bundeskartellamt hat heute den Abschlussbericht seiner Sektoruntersuchung zu Smart-TVs vorgelegt. Smart-TVs sind internetfähige Fernsehgeräte, mit denen die Verbraucher über das klassische Fernsehprogramm hinaus Internetangebote wie Video-Streaming und viele weitere Informationen und Funktionen nutzen können. Sie stehen stellvertretend für viele Geräte des sog. Internet der Dinge (Internet of Things, kurz IoT).

Andreas Mundt, Präsident des Bundeskartellamtes: „Ziel muss es sein, den Nutzern von Smart-TVs – und von IoT-Geräten generell – zu deutlich mehr Souveränität über ihre eigenen Daten zu verhelfen. Fast jedes neu verkaufte Fernsehgerät ist heute ein Smart-TV. Anders als herkömmliche Fernseher bieten Smart-TVs unterschiedlichste Nutzungsmöglichkeiten im digitalen Verbraucheralltag. Bei vielen Smartfunktionen hinterlassen Verbraucher jedoch digitale Spuren. Die Empfänger der Daten nutzen diese geschäftlich und zwar meistens, ohne die Verbraucher vorab ordnungsgemäß über die Datenverarbeitung zu informieren. Das sollte sich ändern.“

Die Sektoruntersuchung hat offen gelegt, dass Smart-TVs über vielfältige Möglichkeiten verfügen, personenbezogene Daten zu erheben. Hiervon machen Unternehmen bislang in unterschiedlichem Ausmaß Gebrauch. So können etwa das generelle Fernsehverhalten einer Person, ihre App-Nutzung, ihr Surf- und Klickverhalten oder auch biometrische Daten wie Stimme oder Cursorbewegungen sowie die im Einzelnen über den Fernseher abgespielten Inhalte erfasst und ausgewertet werden. Die Erhebung solch intimer Nutzungsdaten und ggf. deren Verwendung für personalisierte Werbung kann der Verbraucher zumeist durch Vornahme entsprechender Einstellungen an seinem Fernsehgerät verhindern.

Sich über die einschlägigen Datenschutzbestimmungen bereits vor dem Kauf zu informieren, ist für den Verbraucher nicht oder nur mit großem Aufwand möglich. Ist der Kauf aber erfolgt, fügen sich die Verbraucher regelmäßig in die ihnen bei der Ersteinrichtung des Geräts angezeigten Datenschutzbestimmungen und Nutzungsbedingungen, da sie hierzu keine Alternative sehen.

Das Bundeskartellamt hat festgestellt, dass die Datenschutzbestimmungen der in Deutschland aktiven Smart-TV-Hersteller fast durchgehend schwerwiegende Transparenzmängel aufweisen und damit gegen Vorgaben der Datenschutzgrundverordnung (DSGVO) verstoßen. Sie sind vor allem deshalb für die Verbraucher nicht nachvollziehbar, weil sie für eine Vielzahl von Diensten und Nutzungsprozessen gelten sollen. Diese „one fits all“-Architektur führt dazu, dass die Verbraucher nicht zuverlässig erfahren, welche personenbezogenen Daten verarbeitet werden, welche Datenverarbeitungen durch welchen Nutzungsprozess ausgelöst werden, welche Daten an Dritte übermittelt werden und wie lange einzelne Daten gespeichert werden. Die Verbraucher können daher ihr Anwendungsverhalten nicht so steuern, dass sie möglichst wenige private personenbezogene Daten preisgeben.

Daneben hat das Bundeskartellamt auch Datensicherheitsrisiken der Software von Smart-TVs untersucht. Nachdem in der Vergangenheit immer wieder über Mängel berichtet wurde, hat die Sektoruntersuchung deutlich gemacht, dass sich Hersteller mit unterschiedlichem Aufwand um ein hohes Datensicherheitsniveau bemühen. Bei etlichen Herstellern ist nicht gesichert, dass der Sicherheitsstandard der Geräte auch in den Jahren nach dem Kauf durch Software-Aktualisierungen (Updates) aufrechterhalten wird. Kein Unternehmen macht verbindliche Angaben dazu, wie lange seine Produkte mit Sicherheits-Updates versehen werden. Für die Verbraucher ist diese Information jedoch unerlässlich, um einschätzen zu können, wie lange sie das Gerät uneingeschränkt gefahrlos verwenden können. Der Gesetzgeber sollte in Bezug auf die Versorgung mit Software-Updates die Rechtsstellung des Verbrauchers insbesondere gegenüber Herstellern verbessern.

Das Bundeskartellamt hat zudem eine Reihe weiterer Problemfelder rechtlich analysiert, die die Verbraucher bei der Verwendung von IoT-Produkten betreffen, z. B. die Rechtmäßigkeit von Werbeeinblendungen im TV-Portal.

Andreas Mundt weiter: „Datenschutz muss bei Smart-TVs – und auch generell bei kommunikationsfähigen Geräten des Internet of things – zu einem echten Wettbewerbsparameter werden. Wenn Verbraucher effektiv in die Lage versetzt werden, die Datenschutz- und Datensicherheitsqualität eines Produkts zu beurteilen, kann eine bewusste Nachfrage nach datenschutzfreundlichen Geräten entstehen. Das Bundeskartellamt empfiehlt Entscheidern, Unternehmen und Wissenschaft daher, auf Datenschutzinformationen hinzuwirken, die aussagekräftig sind, einfach aufgefasst werden können und bereits vor dem Kauf der Geräte verfügbar sind.“

In Anknüpfung an den Bericht empfiehlt das Bundeskartellamt:

Verbraucher sollten noch besser und zielgerichteter über die Möglichkeit zur extensiven Datensammlung und -verarbeitung von Smart-TVs und Internet of Things-Geräten insgesamt informiert und aufgeklärt werden.
Haftungsfragen beim Zusammenspiel der verschiedenen Akteure im IoT-Bereich sollten durch entsprechende gesetzliche Regelungen geklärt werden.
Es bedarf eines klaren gesetzlich geregelten Anspruchs des Verbrauchers auch gegenüber dem Hersteller auf Software-Updates.
Die verantwortlichen Unternehmen sollten verpflichtet werden, notwendige Informationen (Produktinformationen, Datenschutz, Voreinstellungsmöglichkeiten, etc.) klarer und einfacher zu vermitteln.
Verbrauchern sollte es leichter gemacht werden, Datenschutzstandards bei einer Kaufentscheidung zu berücksichtigen, insbesondere durch eingängige Bildsymbole.
Das Bundeskartellamt kann im Bereich des Verbraucherschutzes Untersuchungen durchführen und so Defizite identifizieren. Über die Befugnis, etwaige Rechtsverstöße per behördlicher Verfügung abzustellen, verfügt das Amt hingegen nicht (vgl. PM vom 12. Juni 2017).

Das Bundeskartellamt hatte die Sektoruntersuchung Smart-TVs im Dezember 2017 auf Basis seiner seit Mitte 2017 bestehenden verbraucherrechtlichen Kompetenzen eingeleitet (vgl. PM vom 13. Dezember 2017). Die Ermittlungen betrafen rund 20 Anbieter, die in Deutschland Smart-TVs unter eigenen Marken absetzen. Außerdem wurden Fachleute aus Praxis und Wissenschaft konsultiert.

Den Bericht finden Sie hier:



OVG Münster: Kundenkontaktdaten dürfen weiterhin zum Zweck der Kontaktpersonennachverfolgung auf Grundlage der Coronaschutzverordnung erhoben werden

OVG Münster
Beschluss vom 23.06.2020
13 B 695/20.NE


Das OVG Münster hat entschieden, dass Kundenkontaktdaten weiterhin zum Zweck der Kontaktpersonennachverfolgung auf Grundlage der Coronaschutzverordnung erhoben werden dürfen.

Die Pressemitteilung des Gerichts:

Kundenkontaktdaten dürfen weiterhin auf Grundlage der Coronaschutzverordnung erhoben werden

Das Oberverwaltungsgericht hat in einem Eilverfahren mit Beschluss vom heutigen Tag entschieden, dass die in der nordrhein-westfälischen Coronaschutzverordnung vorgesehene Datenerhebung zum Zweck der Kontaktpersonennachverfolgung im Bereich der Gastronomie, des Friseurhandwerks und der Fitnessstudios voraussichtlich rechtmäßig ist.

Zur Rückverfolgbarkeit möglicher Infektionsketten sieht die Coronaschutzverordnung für bestimmte Wirtschaftsbereiche die papiergebundene Erfassung der Kundenkontaktdaten (Name, Adresse, Telefonnummer, Zeitraum des Aufenthalts bzw. Zeitpunkt von An- und Abreise) vor. Die Kontaktdaten sind vier Wochen aufzubewahren und danach zu vernichten. Eine Weitergabe an die für die Nachverfolgung zuständige Behörde erfolgt nur auf deren Verlangen.

Gegen die Regelungen zur Kontaktdatenangabe in Restaurants, Fitnessstudios und Friseursalons hatte sich ein Bochumer Rechtsanwalt gewandt und geltend gemacht, die Datenerhebung verletze ihn in seinem Grundrecht auf informationelle Selbstbestimmung. Die Maßnahme sei insbesondere unverhältnismäßig und verstoße zudem gegen datenschutzrechtliche Vorgaben.

Das Oberverwaltungsgericht hat den Antrag auf Erlass einer einstweiligen Anordnung abgelehnt. Zur Begründung hat es im Wesentlichen ausgeführt, dass die angegriffenen Regelungen voraussichtlich rechtmäßig seien. Mit der vorsorglichen Erhebung der Kundendaten solle sichergestellt werden, dass bei Nachweis einer Neuinfektion die Kontaktpersonen des Betroffenen leichter durch die Gesundheitsämter identifiziert werden könnten. Angesichts der inzwischen weitgehenden Öffnung des sozialen und wirtschaftlichen Lebens sei es voraussichtlich nicht zu beanstanden, wenn der Verordnungsgeber die Kontaktdatenerhebung in bestimmten kontaktintensiven Bereiche als - milderes Mittel - nutze, um Infektionsketten aufzudecken und zu unterbrechen. Das durch die Regelungen in erster Linie betroffene Recht auf informationelle Selbstbestimmung trete gegenüber dem Schutz von Leben und Gesundheit vorübergehend zurück. Dabei sei unter anderem zu berücksichtigen, dass weder der Besuch einer gastronomischen Einrichtung noch das Aufsuchen eines Fitnessstudios oder der Besuch eines Friseursalons der Deckung elementarer Grundbedürfnisse diene und zudem Alternativen zur Verfügung stünden. Der sichere Umgang mit den erhobenen personenbezogenen Daten werde durch die zu beachtenden Vorgaben der Datenschutz-Grundverordnung voraussichtlich gewährleistet.

Der Beschluss ist unanfechtbar.

Aktenzeichen: 13 B 695/20.NE



EU-Kommission: Bericht zur DSGVO - Die Kommission meint, dass die EU-Datenschutzvorschriften die Rechte der Bürgerinnen und Bürger stärken und zeitgemäß sind

EU-Kommission hat seinen Bericht zur DSGVO vorgelegt. Die Kommission meint, dass die EU-Datenschutzvorschriften die Rechte der Bürgerinnen und Bürger stärken und zeitgemäß sind. Dieses posititive Bild können wir leider nicht bestätigen. Die DSGVO weist erhebliche konzeptionelle Mängel auf. Auch die zahlreichen juristischen Streitfragen zur Auslegung der DSGVO zeigen, dass der Verordnungsgeber schlecht gearbeitet hat.

Die Pressemitteilung der EU-Kommission:

"Kommissionsbericht: Die EU-Datenschutzvorschriften stärken die Rechte der Bürgerinnen und Bürger und sind zeitgemäß

Nach etwas mehr als zwei Jahren seit dem Inkrafttreten der Datenschutz-Grundverordnung (DSGVO) hat die Europäische Kommission heute einen Bewertungsbericht veröffentlicht. Dem Bericht zufolge hat die DSGVO die meisten ihrer Ziele erreicht, insbesondere aufgrund der leistungsstarken, durchsetzbaren Vorschriften für die Bürgerinnen und Bürger und eines durch die DSGVO neu geschaffenen europäischen Governance- und Durchsetzungssystems. Auch bei der Unterstützung digitaler Lösungen in unvorhersehbaren Situationen wie der COVID-19-Krise hat sich die DSGVO als flexibel erwiesen. Der Bericht kommt auch zu dem Schluss, dass die Harmonisierung in den Mitgliedstaaten zunimmt, auch wenn ein gewisses Maß an Fragmentierung besteht, das ständig überwacht werden muss. Ferner wird festgestellt, dass Unternehmen eine Compliance-Kultur entwickeln und einen starken Datenschutz immer häufiger als Wettbewerbsvorteil nutzen. Im Bericht sind Maßnahmen aufgelistet, die allen Interessenträgern, insbesondere kleinen und mittleren Unternehmen, die Anwendung der DSGVO weiter erleichtern und somit eine wirklich europäische Datenschutzkultur mit konsequenter Durchsetzung fördern und weiterentwickeln sollen.

Věra Jourová, Vizepräsidentin für Werte und Transparenz: „Inzwischen ist das europäische Datenschutzrecht für uns ein Kompass geworden, der uns im digitalen Wandel, bei dem der Mensch im Mittelpunkt steht, den Weg weist. Es ist eine wichtige Grundlage, auf der wir weitere Strategien, wie z. B. die Datenstrategie oder unser KI-Konzept, aufbauen.Die Datenschutz-Grundverordnung ist das perfekte Beispiel dafür, wie die Europäische Union das Leitmotiv Grundrechte nutzt, um die Rechte der Bürgerinnen und Bürger der EU zu stärken und die Unternehmen dabei zu unterstützen, die digitale Revolution zu meistern. Dennoch ist weiterhin unser aller Engagement gefragt, damit das Potenzial der DSGVO voll ausgeschöpft werden kann.“

„Die DSGVO hat bei allen ihren Zielen Erfolge verzeichnet und ist inzwischen weltweit eine Referenz für Länder, die ihren Bürgerinnen und Bürgern ein hohes Datenschutzniveau bieten wollen“, so Didier Reynders, Kommissar für Justiz. „Der heutige Bericht zeigt aber auch, dass wir noch mehr tun können. So brauchen wir beispielsweise EU-weit mehr Einheitlichkeit bei der Anwendung der Vorschriften: Dies ist für Bürgerinnen und Bürger ebenso wichtig wie für Unternehmen und insbesondere KMU. Wir müssen ferner sicherstellen, dass die Bürgerinnen und Bürger ihre Rechte uneingeschränkt wahrnehmen können. Um dies zu erreichen, wird die Kommission in enger Zusammenarbeit mit dem Europäischen Datenschutzausschuss sowie im regelmäßigen Austausch mit den Mitgliedstaaten Fortschritte genau überwachen, damit sich das volle Potenzial der DSGVO entfalten kann.“

Die wichtigsten Ergebnisse der Überprüfung der Datenschutz-Grundverordnung:

Die Bürgerinnen und Bürger sind in ihren Rechten gestärkt und besser sensibilisiert: Die Datenschutz-Grundverordnung stärkt die Transparenz und verleiht den Einzelnen durchsetzbare Rechte, wie das Recht auf Auskunft, Berichtigung, Löschung, Widerspruch und Datenübertragbarkeit. Aktuell haben 69 % der über 16-Jährigen in der EU von der Datenschutz-Grundverordnung und 71 % der Gesamtbevölkerung von ihrer jeweiligen nationalen Datenschutzbehörde gehört. Dies geht aus einer Umfrage der Agentur der Europäischen Union für Grundrechte hervor, die letzte Woche veröffentlicht wurde. Allerdings könnten die Bürgerinnen und Bürger bei der Wahrnehmung ihrer Rechte, insbesondere ihres Rechts auf Datenübertragbarkeit, noch besser unterstützt werden.

Die Datenschutzvorschriften sind zeitgemäß: In der heutigen Zeit des digitalen Wandels können die Menschen dank der DSGVO inzwischen aktiver mitbestimmen, was mit ihren Daten geschieht. Die Verordnung trägt ferner zur Entwicklung vertrauenswürdiger Innovationen bei, und zwar durch einen Ansatz, der risikobasiert ist und sich an Grundsätzen wie ‚Datenschutz durch Technik‘ und ‚datenschutzfreundliche Voreinstellungen‘ orientiert.
Datenschutzbehörden nutzen ihre erweiterten Abhilfebefugnisse: Von Verwarnungen und Verweisen bis hin zu Bußgeldern gibt die DSGVO den nationalen Datenschutzbehörden die richtigen Instrumente zur Durchsetzung des Datenschutzrechts an die Hand. Hierzu müssen sie jedoch mit angemessenen personellen, technischen und finanziellen Mitteln ausgestattet werden. Viele Mitgliedstaaten tun dies bereits, indem sie deutlich höhere Budget- und Personalzuweisungen vornehmen. Zwischen 2016 und 2019 war für alle nationalen Datenschutzbehörden in der EU zusammengenommen ein Anstieg von 42 % beim Personalbestand und von 49 % bei der Mittelausstattung zu verzeichnen. Allerdings gibt es hier bei den Mitgliedstaaten noch große Unterschiede.
Die Zusammenarbeit der Datenschutzbehörden im Europäischen Datenschutzausschuss (EDSA) kann noch besser werden: Mit der Datenschutz-Grundverordnung wurde ein innovatives Governance-System geschaffen, das eine kohärente und wirksame Anwendung der Datenschutz-Grundverordnung durch die sogenannte einzige Anlaufstelle gewährleisten soll, damit ein Unternehmen, das Daten grenzüberschreitend verarbeitet, nur eine Datenschutzbehörde als Ansprechpartnerin hat, nämlich die Behörde des Mitgliedstaats, in dem sich seine Hauptniederlassung befindet. Zwischen dem 25. Mai 2018 und dem 31. Dezember 2019 gingen bei der zentralen Anlaufstelle 141 Entscheidungsentwürfe ein, von denen 79 in endgültige Entscheidungen mündeten. Dennoch kann noch mehr für eine echte gemeinsame Datenschutzkultur getan werden. Insbesondere die Bearbeitung grenzüberschreitender Fälle erfordert einen effizienteren, einheitlicheren Ansatz und einen wirksamen Einsatz aller in der Datenschutz-Grundverordnung vorgesehenen Mechanismen für die Zusammenarbeit der Datenschutzbehörden.
Datenschutzbehörden – Beratung und Leitlinien: Der EDSA gibt derzeit Leitlinien zu zentralen Aspekten der Verordnung und zu neuen Themen heraus. Mehrere Datenschutzbehörden haben neue Instrumente, wie Beratungsstellen für Einzelpersonen und Unternehmen oder Toolkits für Klein- und Kleinstunternehmen, geschaffen. Die auf nationaler Ebene bereitgestellten Hilfsangebote müssen unbedingt vollständig mit den Leitlinien des Europäischen Datenschutzausschusses in Einklang stehen.
Möglichkeiten der freien und sicheren Datenübermittlung an Drittstaaten und internationale Organisationen optimal nutzen: Das internationale Engagement der Kommission für eine freie und sichere Datenübermittlung in den letzten zwei Jahren hat sich bereits ausgezahlt. So bilden Japan und die EU inzwischen den weltweit größten Raum für einen freien und sicheren Datenverkehr. Die Kommission wird ihre Arbeit zum Thema Angemessenheit mit ihren Partnern in der ganzen Welt fortsetzen. Darüber hinaus prüft die Kommission in Zusammenarbeit mit dem Europäischen Datenschutzausschuss, wie auch andere Mechanismen für die Datenübermittlung, z. B. Standardvertragsklauseln (das am häufigsten verwendete Datenübertragungsinstrument), modernisiert werden können. Der Europäische Datenschutzausschuss arbeitet derzeit an speziellen Leitlinien für die Zertifizierung und an Verhaltenskodizes für die Datenübermittlung an Drittländer und internationale Organisationen, die so bald als möglich fertiggestellt werden müssen. Da der Europäische Gerichtshof in einem für den 16. Juli erwarteten Urteil Aspekte klarstellen könnte, die möglicherweise für den Angemessenheitsstandard relevant sind‚ wird die Kommission nach der Urteilsverkündung gesondert über die derzeitigen Angemessenheitsbeschlüsse Bericht erstatten.
Internationale Zusammenarbeit fördern: In den letzten zwei Jahren hat die Kommission den bilateralen, regionalen und multilateralen Dialog bereits intensiviert und sich für eine globale Kultur der Achtung der Privatsphäre und der Konvergenz zwischen den verschiedenen Datenschutzsystemen zum Nutzen der Bürgerinnen und Bürger und der Unternehmen eingesetzt. Die Kommission ist entschlossen, diese Arbeit in all ihrem auswärtigen Handeln fortzusetzen, beispielsweise im Rahmen der Partnerschaft Afrika-EU und bei ihrer Unterstützung für internationale Initiativen wie „Data Free Flow with Trust“. In einer Zeit, in der Verstöße gegen den Datenschutz viele Menschen gleichzeitig in mehreren Teilen der Welt betreffen können, ist es an der Zeit, die internationale Zusammenarbeit der zuständigen Durchsetzungsinstanzen zu intensivieren. Aus diesem Grund wird die Kommission den Rat ersuchen, sie zu ermächtigen, mit bestimmten Drittländern Verhandlungen aufzunehmen, die den Abschluss von Abkommen über gegenseitige Amtshilfe und Zusammenarbeit bei der Durchsetzung ermöglichen werden.
Angleichung des EU-Rechts an die Richtlinie zum Datenschutz bei der Strafverfolgung:

Darüber hinaus hat die Kommission heute eine Mitteilung veröffentlicht, in der zehn Rechtsakte zur behördlichen Verarbeitung personenbezogener Daten zwecks Prävention, Ermittlung, Aufdeckung und Verfolgung von Straftaten genannt werden, die an die Richtlinie zum Datenschutz bei der Strafverfolgung angeglichen werden sollten. Die Angleichung wird Rechtssicherheit schaffen und Fragen in Bezug auf den Zweck der Verarbeitung personenbezogener Daten durch die zuständigen Behörden sowie die Datenarten, die einer solchen Verarbeitung unterliegen können, klären.

Hintergrund

Die Datenschutz-Grundverordnung sieht vor, dass die Kommission erstmals nach zwei Jahren und anschließend alle vier Jahre einen Bericht über die Bewertung und Überprüfung der Verordnung vorlegt.

Die Datenschutz-Grundverordnung ist ein für alle Mitgliedstaaten geltendes Regelwerk des EU-Rechts zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten und zum freien Datenverkehr. Sie stärkt den Datenschutz insgesamt, gewährt dem Einzelnen zusätzliche und stärkere Rechte, erhöht die Transparenz und fordert mehr Rechenschaftspflicht und Verantwortung von denen, die personenbezogene Daten verarbeiten. Sie hat die nationalen Datenschutzbehörden mit umfassenderen und harmonisierten Durchsetzungsbefugnissen ausgestattet und ein neues Governance-System für die Datenschutzbehörden eingerichtet. Außerdem schafft sie gleiche Wettbewerbsbedingungen für alle Unternehmen, die auf dem EU-Markt tätig sind, unabhängig davon, wo sie niedergelassen sind, gewährleistet den freien Datenverkehr innerhalb der EU, erleichtert eine sichere Datenübermittlung zwischen der EU und Drittstaaten bzw. internationalen Organisationen und dient weltweit als Referenz.

Wie in Artikel 97 Absatz 2 der DSGVO festgelegt, bezieht sich der heute veröffentlichte Bericht insbesondere auf die Datenübermittlung an Drittstaaten bzw. internationale Organisationen und die Kooperations- und Kohärenzverfahren. Um darüber hinaus die in den letzten zwei Jahren von verschiedenen Akteuren aufgeworfenen Fragen zu behandeln, hat die Kommission ihre Überprüfung jedoch auf eine breitere Grundlage gestellt. Der Bericht greift deshalb Beiträge von Rat, Europäischem Parlament, Europäischem Datenschutzausschuss, nationalen Datenschutzbehörden und Interessenträgern auf."

Den Bericht und weitere Informationen der EU-Kommission finden Sie hier:





ArbG Düsseldorf: 5.000 EURO Schadensersatz aus Art 82 Abs.1 DSGVO wegen nicht ausreichender Auskunftserteilung nach Art 15 DSGVO gegen ehemaligen Arbeitgeber

ArbG Düsseldorf
05.03.2020
9 Ca 6557/18

Das ArbG Düsseldorf hat entschieden, dass einem ehemaligen Arbeitnehmer 5.000 EURO Schadensersatz aus Art 82 Abs. 1 DSGVO wegen nicht ausreichender Auskunftserteilung nach Art. 15 DSGVO gegen den ehemaligen Arbeitgeber zusteht.


Aus den Entscheidungsgründen:

d) Der Klageantrag zu 4) ist zu einem kleinen Teil begründet. Der Kläger hat gegen die Beklagte Anspruch auf Schadensersatz iHv. 5.000 € aus Art. 82 Abs. 1 E. nebst Zinsen.

aa) Auch Art. 82 Abs. 1 E. findet im nationalen Recht unmittelbar Anwendung (LG Karlsruhe 2. August 2019 – 8 O 26/19 –).

bb) Die Beklagte als für die Verarbeitung der personenbezogenen Daten des Klägers iSd. Art. 4 Ziff. 7 E. Verantwortliche hat gegen die E. verstoßen. Nach Art. 82 Abs. 1 E. kann jeder „Verstoß gegen die Verordnung“ eine Schadensersatzpflicht begründen (Wybitul/Haß/Albrecht, NJW 2018, 113).

(1) Die Beklagte hat zum einen gegen die Vorgabe aus Art. 12 Abs. 3 S. 1-3 E. verstoßen, wonach ua. ein Auskunftsantrag nach Art. 15 E. binnen einen Monats nach Eingang, nach einer Unterrichtung über eine Fristverlängerung binnen zwei weiteren Monaten zu beantworten ist. Die Kammer ist davon überzeugt, dass das Auskunftsgesuch des Klägers der Beklagten am 07.06.2018 zugegangen ist (s. oben I. 2. b) aa) (2) (b) der Entscheidungsgründe). Die Auskunft war am 07.07.2018, spätestens am 07.09.2018 zur Erteilung fällig, wurde aber erstmals am 10.12.2018 mit Übergabe des für die Einsicht in die elektronisch hinterlegten Unterlagen notwendigen Passwortes erbracht.

(2) Zum anderen hat die Beklagte gegen Art. 15 Abs. 1 lit. a und lit b iVm. Art. 12 Abs. 1 S. 1 E. verstoßen, indem sie nicht hinreichend über die Verarbeitungszwecke und die Kategorien personenbezogener Daten, die verarbeitet werden, unterrichtet hat (s. oben I. 2. b) aa) (3) und cc) der Entscheidungsgründe).

(3) Im Schriftsatz vom 23.12.2019 führt der Kläger aus, dass ein weiterer Verstoß gegen die E. darin bestehe, dass die Datenübermittlungsvereinbarung nicht vollständig vorgelegt worden sei. Indes ist die E. dadurch nicht verletzt. In Anbetracht der hier erfolgten Datenübermittlung vorbehaltlich geeigneter Garantien iSd. Art. 46 E. ist im Rahmen des Auskunftsrechts nach Art. 15 Abs. 2 E. nur über die geeigneten Garantien zu unterrichten. Dies ist geschehen (s. oben I. 2. b) ee) der Entscheidungsgründe).

(4) Soweit der Kläger verschiedentlich andere Datenverarbeitungen der Beklagten vorträgt und zum Ausdruck bringt, diese seien datenschutzwidrig, sind keine weiteren Verstöße gegen die E. dargetan, für die die Beklagte nach Art. 82 Abs. 1 E. haftbar wäre. Offensichtlich benennt der Kläger Ereignisse während des noch laufenden Arbeitsverhältnisses, das ab Geltung der E. ab dem 25.05.2018 bereits beendet war.

cc) Die Beklagte hat nicht dargetan, für die Verstöße nicht verantwortlich zu sein, sodass gemäß Art. 82 Abs. 3 E. eine Haftung entfiele. Insbesondere muss sie sicherstellen, dass sie Betroffenengesuche nach Art. 12 ff. E. auch dann erreichen, wenn rechtsgeschäftlich oder kraft Verkehrsanschauung ein Empfangsbote zur Entgegennahme von Willenserklärungen berechtigt ist.

dd) Verursacht durch die genannten Verstöße hat der Kläger, der keinen materiellen Schaden vorgetragen hat, einen immateriellen Schaden iSd. Art. 82 Abs. 1 E. erlitten. Der Begriff des Schadens ist weit auf eine Art und Weise auszulegen, die den Zielen der E. in vollem Umfang entspricht (EG 146; Bergt, in Kühling/Buchner, E./BDSG, 2. Aufl., Art. 82 Rn. 17; Frenzel, in Paal/Pauly, E./BDSG, 2. Aufl., Art. 82 Rn. 10 mwN.). Ein immaterieller Schaden entsteht nicht nur in den „auf der Hand liegenden Fällen“, wenn die datenschutzwidrige Verarbeitung zu einer Diskriminierung, einem Verlust der Vertraulichkeit, einer Rufschädigung oder anderen gesellschaftlichen Nachteilen führt, sondern auch, wenn die betroffene Person um ihre Rechte und Freiheiten gebracht oder daran gehindert wird, die sie betreffenden personenbezogenen Daten zu kontrollieren (EG 75). Indem die Beklagte die Vorgaben aus Art. 15 Abs. 1 Hs. 1, Hs. 2 lit. a, b iVm. Art. 12 Abs. 1, 3 E. verletzt hat, hat sie das Auskunftsrecht des Klägers – das zentrale Betroffenenrecht – beeinträchtigt (vgl. Ehmann, in Ehmann/Selmayr, E., 2. Aufl., Art. 15 Rn. 1 mwN.; Bäcker, in Kühling/Buchner, E./BDSG, 2. Aufl., Art. 5 Rn. 1). Verletzt ist zugleich ein europäisches Grundrecht des Klägers; Art. 8 Abs. 2 S. 2 GRCh gewährleistet das Auskunftsrecht ausdrücklich. Durch die monatelang verspätete, dann unzureichende Auskunft war der Kläger im Ungewissen und ihm die Prüfung verwehrt, dann nur eingeschränkt möglich, ob und wie die Beklagte seine personenbezogenen Daten verarbeitet. Die Schwere des immateriellen Schadens ist für die Begründung der Haftung nach Art. 82 Abs. 1 E. irrelevant und wirkt sich nur noch bei der Höhe des Anspruchs aus (LG Karlsruhe 2. August 2019 – 8 O 26/19 –; Gola/Pitz, in Gola, E., 2. Aufl., Art. 82 Rn. 13 mwN. der restriktiveren Rspr. zu § 823 Abs. 1 BGB iVm. Art. 1 Abs. 1, Art. 2 Abs. 1 GG).

ee) Zum Ersatz dieses immateriellen Schadens hält die Kammer einen Betrag iHv. 5.000 € für geboten, aber auch ausreichend.

(1) Die betroffene Person soll einen vollständigen und wirksamen Schadensersatz für den erlittenen Schaden erhalten (EG 146). Verstöße müssen effektiv sanktioniert werden, damit die E. wirken kann, was vor allem durch Schadensersatz in abschreckender Höhe erreicht wird (Wybitul/Haß/Albrecht, NJW 2018, 113, 115; Bergt, in Kühling/Buchner, E./BDSG, 2. Aufl., Art. 82 Rn. 18; Frenzel, in Paal/Pauly, E./BDSG, 2. Aufl., Art. 82 Rn. 10 mwN.). Gerichte können sich bei der Bemessung des immateriellen Schadensersatzes auch an Art. 83 Abs. 2 E. orientieren, sodass als Zumessungskriterien unter anderem Art, Schwere, Dauer des Verstoßes, Grad des Verschuldens, Maßnahmen zur Minderung des den betroffenen Personen entstandenen Schadens, frühere einschlägige Verstöße sowie die Kategorien der betroffenen personenbezogenen Daten betrachtet werden können (Quaas, in BeckOK Datenschutzrecht, 31. Edition, Art. 31; Wybitul/Haß/Albrecht, NJW 2018, 113, 115). Die Mitgliedsstaaten – auch die erkennende Kammer – sind nach dem Gedanken des Art. 4 Abs. 3 EUV verpflichtet, der E. zur Wirkung zu verhelfen.

(2) Den Grundsätzen entsprechend muss die Beklagte einen Schadensersatz iHv. insgesamt 5.000 € zahlen. Dabei hat die Kammer berücksichtigt, dass der europäische Verordnungsgeber das verletzte Recht als bedeutsam einordnet, wie sich neben Art. 8 Abs. 2 S. 2 GRCh auch an der Zuordnung der Art. 12 ff. E. zu dem Katalog des § 83 Abs. 5 E. zeigt. Es handelt sich eben nicht nur um ein einfaches Arbeitspapier. Weiter hielt der Verstoß einige Monate an, in denen der Kläger über die Datenverarbeitung durch die Beklagte im Ungewissen war. Der Zeitraum vom 08.07. bis 07.09.2018 fiel dabei weniger stark ins Gewicht als die etwa drei Monate bis zum 10.12.2018, da Art. 12 Abs. 3 S. 2 E. dem Antragssteller – wenn auch nach Unterrichtung über eine Fristverlängerung – zumutet, bis zu drei Monate auf die Auskunft zu warten. Außerdem sind die Anforderungen an die zu erteilende Auskunft nicht nur zeitlich, sondern auch inhaltlich verletzt. Überdies war der nach Vortrag des Klägers beträchtliche Umsatz der Beklagten zu berücksichtigen. (Der Vortrag ist unstreitig, doch ist fraglich, ob es sich um den Umsatz der Beklagten oder der I. insgesamt handelt.) Da der Schadensersatz eine angemessene Wirkung erzielen soll, hängt dessen Höhe nicht nur vom eingetretenen immateriellen Schaden, sondern auch von dem nach Art. 4 Ziff. 7 E. Verantwortlichen und dessen Finanzkraft ab. Mit anderen Worten: Die Verletzung der Auskunftspflicht aus Art. 15 E. durch einen finanzschwächeren Verantwortlichen würde zu geringerem Schadensersatz führen.

Zu Gunsten der Beklagten wird berücksichtigt, dass von fahrlässigen Verstößen auszugehen ist. Anhaltspunkte für Vorsatz, mithin die bewusste und gewollte verspätete, dann intransparente Reaktion auf das Auskunftsgesuch, sind nicht ersichtlich. Auch sind keine anderen Verstöße der Beklagten gegen die E. dargetan. Des Weiteren erschließt sich der Kammer nicht, warum die Höhe der Vergütung des Klägers in die Bemessung des Schadensersatzes einfließen sollte. Die Schwere des entstandenen immateriellen Schadens, der vor allem in der Ungewissheit über die Verarbeitung seiner Daten besteht, hängt nicht davon ab, wieviel er verdient. Auch sind besondere Kategorien personenbezogener Daten iSd. Art. 9 E. nicht substantiell betroffen. Endlich ist trotz der Bedeutung des Auskunftsrechts des Art. 15 E. nicht zu verkennen, dass mit dem vom Kläger herangezogenen Bußgeldrahmen des § 83 Abs. 5 E. auch noch weit gravierende Persönlichkeitsrechtsverletzungen sanktioniert werden sollen und die Verhältnismäßigkeit zu wahren ist. Der dem Kläger entstandene immaterielle Schaden ist nicht erheblich.

Unter Berücksichtigung all dessen hat die Kammer für die ersten zwei Monate der Verspätung jeweils 500 €, für die weiteren etwa drei Monate jeweils 1.000 € und für die beiden inhaltlichen Mängel der Auskunft jeweils 500 € angesetzt.

ff) Die zugesprochenen Zinsen folgen aus §§ 291, 288 Abs. 1 BGB.

e) Die Klageanträge zu 5) bis 7) sind unbegründet. Eine Rechtsgrundlage, auf die der Kläger die damit verfolgten Begehren stützen könnte, ist nicht ersichtlich, worauf die Beklagte zutreffend hingewiesen hat.

Im Zusammenhang mit der hier vorliegenden Datenübermittlung vorbehaltlich geeigneter Garantien gemäß § 46 E. ergibt sich die besondere Auskunftspflicht aus Art. 15 Abs. 2 E.. Diese hat die Beklagte erfüllt (s. oben I. 2. b) aa) (3) und ee) der Entscheidungsgründe).


Den Volltext der Entscheidung finden Sie hier:



BGH legt EuGH vor: Sind Verbraucherschutzverbände befugt Datenschutzverstöße zu verfolgen und Unterlassungsansprüche geltend zu machen ?

BGH
Beschluss vom 28.05.2020
I ZR 186/17

Der BGH hat dem EuGH die Frage zur Entscheidung vorgelegt, ob Verbraucherschutzverbände befugt sind Datenschutzverstöße zu verfolgen und diesbezüglich Unterlassungsansprüche geltend zu machen.

Die Pressemitteilung des BGH:

BGH legt EuGH die Frage vor, ob Verbraucherschutzverbände befugt sind, Verstöße gegen das Datenschutzrecht zu verfolgen

Der unter anderem für Wettbewerbsrecht zuständige I. Zivilsenat des Bundes-gerichtshofs hat darüber zu entscheiden, ob ein Verstoß des Betreibers eines sozialen Netzwerks gegen die datenschutzrechtliche Verpflichtung, die Nutzer dieses Netzwerks über Umfang und Zweck der Erhebung und Verwendung ihrer Daten zu unterrichten, wettbewerbsrechtliche Unterlassungsansprüche begründet und von Verbraucherschutzbänden durch eine Klage vor den Zivilgerichten verfolgt werden kann.

Sachverhalt:

Die in Irland ansässige Beklagte, die Facebook Ireland Limited, betreibt das soziale Netzwerk "Facebook". Auf der Internetplattform dieses Netzwerks befindet sich ein "App-Zentrum", in dem die Beklagte den Nutzern ihrer Plattform kostenlos Online-Spiele anderer Anbieter zugänglich macht. Im November 2012 wurden in diesem App-Zentrum mehrere Spiele angeboten, bei denen unter dem Button "Sofort spielen" folgende Hinweise zu lesen waren: "Durch das Anklicken von ‚Spiel spielen" oben erhält diese Anwendung: Deine allgemeinen Informationen, Deine-Mail-Adresse, Über Dich, Deine Statusmeldungen. Diese Anwendung darf in deinem Namen posten, einschließlich dein Punktestand und mehr." Bei einem Spiel endeten die Hinweise mit dem Satz: "Diese Anwendung darf Statusmeldungen, Fotos und mehr in deinem Namen posten."

Der Kläger ist der Dachverband der Verbraucherzentralen der Bundesländer. Er beanstandet die Präsentation der unter dem Button "Sofort spielen" gegebenen Hinweise im App-Zentrum als unlauter unter anderem unter dem Gesichtspunkt des Rechtsbruchs wegen Verstoßes gegen gesetzliche Anforderungen an die Einholung einer wirksamen datenschutzrechtlichen Einwilligung des Nutzers. Ferner sieht er in dem abschließenden Hinweis bei einem Spiel eine den Nutzer unangemessen benachteiligende Allgemeine Geschäftsbedingung. Er hält sich zur Geltendmachung von Unterlassungsansprüchen im Wege der Klage vor den Zivilgerichten gemäß § 8 Abs. 3 Nr. 3 UWG und § 3 Abs. 1 Satz 1 Nr. 1 UKlaG für befugt.

Bisheriger Prozessverlauf:

Das Landgericht hat die Beklagte antragsgemäß verurteilt, es zu unterlassen, auf ihrer Internetseite in einem App-Zentrum Spiele so zu präsentieren, dass Nutzer der Internetplattform mit dem Betätigen eines Buttons wie "Spiel spielen" die Erklärung abgeben, dass der Betreiber des Spiels über das von der Beklagten betriebene soziale Netzwerk Informationen über die dort hinterlegten personenbezogenen Daten erhält und ermächtigt ist, Informationen im Namen der Nutzer zu übermitteln (posten). Die Berufung der Beklagten hatte keinen Erfolg. Mit ihrer vom Berufungsgericht zugelassenen Revision verfolgt die Beklagte ihren Antrag auf Klageabweisung weiter.

Die Entscheidung des Bundesgerichtshofs:

Der Bundesgerichtshof hat das Verfahren ausgesetzt und dem Gerichtshof der Europäischen Union die Frage zur Vorabentscheidung vorgelegt, ob die in Kapitel VIII, insbesondere in Art. 80 Abs. 1 und 2 sowie Art. 84 Abs. 1 der Verordnung (EU) 2016/679 (Datenschutzgrundverordnung) getroffenen Bestimmungen nationalen Regelungen entgegenstehen, die - neben den Eingriffsbefugnissen der zur Überwachung und Durchsetzung der Verordnung zuständigen Aufsichtsbehörden und den Rechtsschutzmöglichkeiten der betroffenen Personen - einerseits Mitbewerbern und andererseits nach dem nationalen Recht berechtigten Verbänden, Einrichtungen und Kammern die Befugnis einräumen, wegen Verstößen gegen die Datenschutzgrundverordnung unabhängig von der Verletzung konkreter Rechte einzelner betroffener Personen und ohne Auftrag einer betroffenen Person gegen den Verletzer im Wege einer Klage vor den Zivilgerichten vorzugehen. Diese Frage ist in der Rechtsprechung der Instanzgerichte und der rechtswissenschaftlichen Literatur umstritten. Es wird die Auffassung vertreten, dass die Datenschutzgrundverordnung eine abschließende Regelung zur Durchsetzung der in dieser Verordnung getroffenen datenschutzrechtlichen Bestimmungen enthält und eine Klagebefugnis von Verbänden deshalb nur unter den - im Streitfall nicht erfüllten - Voraussetzungen des Art. 80 der Datenschutzgrundverordnung besteht. Andere halten die in der Datenschutzgrundverordnung zur Rechtsdurchsetzung getroffenen Regelungen nicht für abschließend und Verbände daher weiterhin für befugt, Unterlassungsansprüche wegen des Verstoßes gegen datenschutzrechtliche Bestimmungen unabhängig von der Verletzung konkreter Rechte einzelner betroffener Personen und ohne Auftrag einer betroffenen Person im Wege der Klage vor den Zivilgerichten durchzusetzen. Der Gerichtshof der Europäischen Union hat zwar bereits entschieden, dass die Regelungen der - bis zum Inkarafttreten der Datenschutzgrundverordnung am 25. Mai 2018 geltenden - Richtlinie 95/46/EG (Datenschutzrichtlinie) einer Klagebefugnis von Verbänden nicht entgegenstehen (Urteil vom 29. Juli 2019 - C-40/17). Dieser Entscheidung ist aber nicht zu entnehmen, ob diese Klagebefugnis unter Geltung der an die Stelle der Datenschutzrichtlinie getretenen Datenschutzgrundverordnung fortbesteht.

Vorinstanzen:

LG Berlin - Urteil vom 28. Oktober 2014 - 16 O 60/13

Kammergericht Berlin - Urteil vom 22. September 2017 - 5 U 155/14

Die maßgebliche Vorschrift lautet:

Verordnung (EU) 2016/679 (Datenschutzgrundverordnung)

Artikel 80 Vertretung von betroffenen Personen

(1) Die betroffene Person hat das Recht, eine Einrichtung, Organisationen oder Vereinigung ohne Gewinnerzielungsabsicht, die ordnungsgemäß nach dem Recht eines Mitgliedstaats gegründet ist, deren satzungsmäßige Ziele im öffentlichem Interesse liegen und die im Bereich des Schutzes der Rechte und Freiheiten von betroffenen Personen in Bezug auf den Schutz ihrer personenbezogenen Daten tätig ist, zu beauftragen, in ihrem Namen eine Beschwerde einzureichen, in ihrem Namen die in den Artikeln 77, 78 und 79 genannten Rechte wahrzunehmen und das Recht auf Schadensersatz gemäß Artikel 82 in Anspruch zu nehmen, sofern dieses im Recht der Mitgliedstaaten vorgesehen ist.

(2) Die Mitgliedstaaten können vorsehen, dass jede der in Absatz 1 des vorliegenden Artikels genannten Einrichtungen, Organisationen oder Vereinigungen unabhängig von einem Auftrag der betroffenen Person in diesem Mitgliedstaat das Recht hat, bei der gemäß Artikel 77 zuständigen Aufsichtsbehörde eine Beschwerde einzulegen und die in den Artikeln 78 und 79 aufgeführten Rechte in Anspruch zu nehmen, wenn ihres Erachtens die Rechte einer betroffenen Person gemäß dieser Verordnung infolge einer Verarbeitung verletzt worden sind.

Artikel 84 Sanktionen

(1) Die Mitgliedstaaten legen die Vorschriften über andere Sanktionen für Verstöße gegen diese Verordnung - insbesondere für Verstöße, die keiner Geldbuße gemäß Artikel 83 unterliegen - fest und treffen alle zu deren Anwendung erforderlichen Maßnahmen. Diese Sanktionen müssen wirksam, verhältnismäßig und abschreckend sein.





VG Gelsenkirchen: Prüfling hat nach DSGVO Anspruch auf Überlassung von Kopien seiner im Rahmen des juristischen Staatsexamens angefertigten Aufsichtsarbeiten mitsamt Prüfergutachten

VG Gelsenkirchen
Urteil vom 27.04.2020
20 K 6392/18


Das VG Gelsenkirchen hat entschieden, dass ein Prüfling nach der DSGVO einen Anspruch auf Überlassung von Kopien seiner im Rahmen des juristischen Staatsexamens angefertigten Aufsichtsarbeiten mitsamt Prüfergutachten hat.

Aus den Entscheidungsgründen:

"b) Der Anspruch des Klägers ergibt sich jedenfalls aus § 5 Abs. 8 Satz 1 des Datenschutzgesetzes Nordrhein-Westfalen (DSG NRW) i.V.m. Art. 15 Abs. 3 und Art. 12 Abs. 5 Satz 1 DS-GVO. Denn nach § 5 Abs. 8 Satz 1 DSG NRW sind auf Verarbeitungen, die „nicht in den Anwendungsbereich des Unionsrechts“ fallen, die Vorschriften der Verordnung (EU) 2016/679 und die Vorschriften des Teils 2 des Datenschutzgesetzes Nordrhein-Westfalen entsprechend anzuwenden, soweit nicht dieser Teil oder andere spezielle Rechtsvorschriften abweichende Regelungen enthalten. Die Voraussetzungen der insoweit jedenfalls entsprechend anzuwendenden Art. 2 Abs. 1, 12 und 15 DS-GVO sind erfüllt (vgl. hierzu unten (1)). Andere spezielle Rechtsvorschriften mit abweichenden Regelungen i.S.d. § 5 Abs. 8 Satz 1 DSG NRW sind nicht vorhanden (vgl. hierzu unten (2)).

(1) Die vom Kläger unter der Kennziffer XXXX/XX im Rahmen des zweiten juristischen Staatsexamens in Nordrhein-Westfalen angefertigten Aufsichtsarbeiten mitsamt Prüfergutachten werden von Art. 2 Abs. 1 DS-GVO erfasst (vgl. hierzu unten (a)). Der daraus resultierende Anspruch gegen das Landesjustizprüfungsamt auf eine unentgeltliche Kopie (vgl. hierzu unten (b)) ist weder durch Art. 15 Abs. 4 DS-GVO (vgl. hierzu unten (c)) noch durch Art. 12 Abs. 5 Satz 2 DS-GVO ausgeschlossen (vgl. hierzu unten (d)). Der Anspruch ist auch nicht durch Rechtsvorschriften der Union oder der Mitgliedstaaten, insbesondere nicht durch Vorschriften des Juristenausbildungsgesetzes, beschränkt i.S.v. Art. 23 DS-GVO (vgl. hierzu unten (e)).

(a) Die Betroffenenrechte aus der Datenschutz-Grundverordnung sind gemäß Art. 2 Abs. 1 DS-GVO vorliegend anwendbar. Danach gilt die Verordnung für die ganz oder teilweise automatisierte Verarbeitung personenbezogener Daten sowie für die nichtautomatisierte Verarbeitung personenbezogener Daten, die in einem Dateisystem gespeichert sind oder gespeichert werden sollen.

Diese tatbestandlichen Anforderungen sind vorliegend gegeben. Bei den Klausuren einschließlich der Korrekturen handelt es sich um „personenbezogene Daten“ des Klägers (vgl. hierzu unten (aa)). Die korrigierten Examensklausuren werden vom Landesjustizprüfungsamt nichtautomatisiert „verarbeitet“ (vgl. unten (bb)) und in einem „Dateisystem“ gespeichert (vgl. unten (cc)).

(aa) Nach der grundlegenden Begriffsbestimmung in Art. 4 Nr. 1 DS-GVO sind „personenbezogene Daten“ alle Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person beziehen; als identifizierbar wird eine natürliche Person angesehen, die direkt oder indirekt, insbesondere mittels Zuordnung zu einer Kennung wie einem Namen, zu einer Kennnummer, zu Standortdaten, zu einer Online-Kennung oder zu einem oder mehreren besonderen Merkmalen identifiziert werden kann, die Ausdruck der physischen, physiologischen, genetischen, psychischen, wirtschaftlichen, kulturellen oder sozialen Identität dieser natürlichen Person sind.

Bereits in seinem Urteil im Fall C-434/16 (Nowak) hat der EuGH – noch mit Blick auf die Begriffsbestimmung in Art. 2 lit. a) der Richtlinie 95/46/EG – ausgeführt, dass die Antworten eines Kandidaten in einer schriftlichen Prüfung und die Kommentare des Prüfers zu diesen Antworten personenbezogene Daten des Prüflings darstellen können und damit u.a. der Auskunftspflicht unterliegen.

Vgl. EuGH, Urteil vom 20. Dezember 2017, Rs. C-434/16 – Nowak, mit Anm. Schütze, EuGH: Definition personenbezogener Daten, ZD-Aktuell 2018, 05926; siehe auch Pauly, Rechtsentwicklungen im Datenschutzrecht 2019, DB Beilage 2019, Nr. 3, 53 (57), der davon ausgeht, dass der EuGH mit seiner Entscheidung dem Betroffenen folglich auch „einen Anspruch auf eine elektronische Kopie seiner Examensklausuren gewährt“ habe.

Die in Art. 2 lit. a) der Richtlinie 95/46/EG enthaltene Begriffsdefinition entspricht im Wesentlichen jener des sie unmittelbar ersetzenden Art. 4 Nr. 1 DS-GVO. Die vom EuGH vorgenommene rechtliche Einordnung ist deshalb und mit Blick auf die maßgeblichen zugrundeliegenden Erwägungen auf die Examensarbeiten des Klägers übertragbar. Demnach sind personenbezogene Daten nicht lediglich sensible oder private Informationen, sondern alle Arten von Informationen, die aufgrund ihres Inhalts, ihres Zwecks oder ihrer Auswirkungen mit einer bestimmten Person verknüpft sind.

Vgl. EuGH, Urteil vom 20. Dezember 2017, Rs. C-434/16 – Nowak, Rn. 34 f.; siehe zur Dreidimensionalität der Personenbezogenheit auch Klabunde, in: Ehmann/Selmayr (Hrsg.), Datenschutz-Grundverordnung, 2. Aufl. 2018, Art. 4 Rn. 11.

Prüfungsarbeiten einschließlich der Korrekturen des Prüfers erfüllen diese Voraussetzung nach Auffassung des EuGH u.a. insoweit, als sie einerseits den Kenntnisstand und das Kompetenzniveau des Prüflings in einem bestimmten Bereich sowie gegebenenfalls seine Gedankengänge, sein Urteilsvermögen und sein kritisches Denken widerspiegeln,

vgl. EuGH, Urteil vom 20. Dezember 2017, Rs. C-434/16 – Nowak, Rn. 37,

und sich andererseits die Verwendung dieser Informationen, die insbesondere im Erfolg oder Scheitern des Prüflings der in Rede stehenden Prüfung zum Ausdruck kommt, auf dessen Rechte und Interessen auswirken, insbesondere seine Chancen, den gewünschten Beruf zu ergreifen oder die gewünschte Anstellung zu erhalten, bestimmen oder beeinflussen kann,

vgl. EuGH, Urteil vom 20. Dezember 2017, Rs. C-434/16 – Nowak, Rn. 39.

All dies trifft auch auf die Examensarbeiten des Klägers zu.

Vgl. ebenso in Bezug auf Bachelor- und Masterarbeiten bereits VG Hamburg, Beweisbeschluss vom 20. März 2020 – 17 K 1312/19 –, juris Rn. 45 f.

Dass dem jeweiligen Korrektor eine Identifizierung während der Korrektur nicht möglich war, ist bei alledem unerheblich.

Vgl. Frank, in: Gola (Hrsg.), Datenschutz-Grundverordnung, 2. Aufl. 2018, Art. 15 Rn. 23.

(bb) Unter „Verarbeitung“ ist nach Art. 4 Nr. 2 DS-GVO jeder mit oder ohne Hilfe automatisierter Verfahren ausgeführte Vorgang oder jede solche Vorgangsreihe im Zusammenhang mit personenbezogenen Daten zu verstehen wie u.a. das Erheben, das Erfassen, die Organisation, das Ordnen oder die Speicherung.

Die Organisation und das Ordnen erfasst dabei den Aufbau einer wie auch immer gearteten Struktur innerhalb der Daten, wobei es keine Rolle spielt, ob diese simpel oder komplex ist.

Vgl. Schild, in: Wolff/Brink (Hrsg.), BeckOK Datenschutzrecht, 31. Edition (Stand: 1. Februar 2020), Art. 4 DS-GVO Rn. 43.

Der Begriff der Speicherung bezeichnet die Überführung des Informationsgehalts personenbezogener Daten in eine verkörperte Form in einer Weise, die es dem Verantwortlichen ermöglicht, die Daten aus dem Datenträger wiederzugewinnen.

Vgl. Herbst, in: Kühling/Buchner (Hrsg.), Datenschutzgrundverordnung / BDSG, 2. Aufl. 2018, Art. 4 Rn. 24.

Das Speichern erfasst somit quasi als Kehrseite der Löschung und Vernichtung deren Unterlassung – auch ohne aktives Tun – schlicht durch weitere Aufbewahrung.

Vgl. Reimer, in: Sydow (Hrsg.), Europäische Datenschutzgrundverordnung, 2. Aufl. 2018, Art. 4 Rn. 61.

Nach § 64 Satz 1 JAG NRW sind die schriftlichen Prüfungsarbeiten des juristischen Staatsexamens einschließlich der Gutachten der Prüfer fünf Jahre, die übrigen Prüfungsunterlagen fünfzig Jahre aufzubewahren. Zu diesem Zweck werden die Klausuren – nach Jahrgängen und Kennziffern geordnet – im Landesjustizprüfungsamt archiviert. Auch nach Abschluss der Prüfung und Bekanntgabe des Prüfungsergebnisses an den Prüfling werden die Daten mithin dort noch vorgehalten. Dieses Aufbewahren personenbezogener Daten in Papierakten unterfällt als Unterfall der Organisation, des Ordnens und auch des Speicherns in einer nicht digitalen Form dem Begriff der Verarbeitung. Diese endet erst mit der endgültigen Löschung der Daten durch Aussonderung und Vernichtung der Akten."


Den Volltext der Entscheidung finden Sie hier:

VG Bremen: Anspruch aus Art. 16 DSGVO auf Berichtigung eines fehlerhaften Eintrags im Melderegister

VG Bremen
Beschluss vom 21.04.2020
2 V 164/20


Das VG Bremen hat entschieden, dass Anspruch aus Art. 16 DSGVO auf Berichtigung eines fehlerhaften Eintrags im Melderegister besteht.


ArbG Wesel: Mitbestimmungsrecht des Betriebsrats bei Videoüberwachung zur Überprüfung der Einhaltung der Sicherheitsabstände im Zusammenhang mit der Corona-Pandemie

Arbeitsgericht Wesel
Beschluss vom 24.04.2020
2 BVGa 4/20


Das Arbeitsgericht Wesel hat entschieden, dass ein Mitbestimmungsrecht des Betriebsrats bei Einführung der Videoüberwachung zur Überprüfung der Einhaltung der Sicherheitsabstände im Zusammenhang mit der Corona-Pandemie besteht.

Die Pressemitteilung des Gerichts:

Arbeitsgericht Wesel: Unterlassungsverfügung gegen die Nutzung von Kameraaufnahmen zum Zwecke der Abstandsüberwachung

Der Betriebsrat eines Logistik- und Versandunternehmen mit Sitz in Rheinberg, das einem internationalen Konzern angehört, hat den Arbeitgeber im Wege eines einstweiligen Verfügungsverfahrens wegen der Verletzung seiner Mitbestimmungsrechte auf Unterlassung in Anspruch genommen.

Der Arbeitgeber kontrolliert anhand Bildaufnahmen der Arbeitnehmer die Einhaltung der im Rahmen der Corona Pandemie empfohlenen Sicherheitsabstände von mindestens 2 Metern im Betrieb. Dazu verwendet er die im Rahmen der betrieblichen Videoüberwachung erstellen Aufnahmen, die er auf im Ausland gelegenen Servern mittels einer Software anonymisiert.

Das Arbeitsgericht hat dem Unterlassungsanspruch des Betriebsrates teilweise stattgegeben. Hierbei ist das Arbeitsgericht davon ausgegangen, dass die Übermittlung der Daten ins Ausland der im Betrieb geltenden Betriebsvereinbarung zur Installation und Nutzung von Überwachungskameras widerspricht. Zudem hat das Gericht bei seiner Entscheidung darauf abgestellt, dass die Mitbestimmungsrechte des Betriebsrates aus § 87 Abs. 1 Nr. 6 und 7 BetrVG verletzt sind.

Der Beschluss ist nicht rechtskräftig.


BVerfG: Eilantrag gegen Nutzung von Daten gesetzlich Krankenversicherter in pseudonymisierter oder anonymisierter Form für digitale Innovationen und medizinischen Forschung abgewiesen

BVerfG
Beschluss vom 19.03.2020
1 BvQ 1/20


Das BVerfG hat bei offenen Erfolgsaussichten in einem etwaigen Hauptsacheverfahren einen Eilantrag gegen die Nutzung von Daten gesetzlich Krankenversicherter in pseudonymisierter oder anonymisierter Form für digitale Innovationen und medizinischen Forschung abgelehnt.

Die Pressemitteilung des Bundesverfassungsgerichts:

Eilantrag gegen Auswertung von Krankenversicherungsdaten bei offenen Erfolgsaussichten abgelehnt

Mit heute veröffentlichtem Beschluss hat die 2. Kammer des Ersten Senats einen Antrag auf vorläufige Außerkraftsetzung des Vollzugs neu in das SGB V eingefügter Vorschriften abgelehnt, die die Nutzung von Daten gesetzlich Krankenversicherter in pseudonymisierter oder anonymisierter Form im Hinblick auf digitale Innovationen und für weitere Zwecke, unter anderem zur medizinischen Forschung, ermöglichen. Das Verfahren wirft schwierige verfassungsrechtliche Fragen auf, über die im Eilverfahren inhaltlich nicht entschieden werden kann. Die Kammer hatte deshalb aufgrund summarischer Prüfung im Rahmen einer Folgenabwägung zu entscheiden und den für die Prüfung der vorläufigen Außerkraftsetzung eines Gesetzes geltenden strengen Maßstab anzuwenden. Die Nachteile, die sich aus einer vorläufigen Anwendung der Vorschriften ergeben, wenn sich das Gesetz im Nachhinein als verfassungswidrig erwiese, sind nach Ansicht der Kammer zwar von erheblichem Gewicht. Sie überwiegen aber nicht deutlich die Nachteile, die entstünden, wenn die Vorschriften außer Kraft träten, sich das Gesetz aber später als verfassungsgemäß erwiese.

Sachverhalt:

§ 68a Abs. 5 SGB V ermächtigt die gesetzlichen Krankenkassen dazu, versichertenbezogene Daten pseudonymisiert oder, sofern möglich, auch anonymisiert auszuwerten, um den Bedarf nach und mögliche Versorgungseffekte von digitalen Innovationen im Gesundheitsbereich zu evaluieren. Die §§ 303a ff. SGB V sollen die Nutzbarkeit bestimmter Gesundheitsdaten unter anderem für Forschungszwecke verbessern. Sie etablieren zu diesem Zweck ein Datentransparenzverfahren, in dem personenbezogene Daten der gesetzlich Versicherten wie Alter, Geschlecht oder Wohnort sowie bestimmte Gesundheitsdaten an den Spitzenverband Bund der Krankenkassen als Datensammelstelle übermittelt und von diesem anschließend an ein noch einzurichtendes Forschungsdatenzentrum weitergegeben werden. Dieser Vorgang wird von einem Pseudonymisierungsverfahren begleitet, wobei die Pseudonyme kassenübergreifend eindeutig einem bestimmten Versicherten zugeordnet werden. Das Forschungsdatenzentrum stellt den Nutzungsberechtigten auf Antrag die Datensätze grundsätzlich aggregiert und anonymisiert, gegebenenfalls aber auch pseudonymisiert oder in kleinen Fallzahlen zur Verfügung. Die Nutzungsberechtigten dürfen diese Daten unter anderem für die medizinische Forschung sowie für Planung, Analyse und Evaluation der Gesundheitsversorgung, aber auch zur Unterstützung politischer Entscheidungsprozesse und für Aufgaben der Gesundheitsberichterstattung nutzen. Das Gesetz sieht verschiedene Mechanismen zur Einhaltung des Datenschutzes seitens der Nutzungsberechtigten vor. Der gesetzlich versicherte Antragsteller leidet an einer seltenen Erbkrankheit und befürchtet, trotz Pseudo- oder Anonymisierung aus den Datensätzen reidentifiziert werden zu können. Weiter bringt er Bedenken bezüglich der IT-Sicherheit der Daten der gesetzlich Versicherten vor.

Wesentliche Erwägungen der Kammer:

I. Nach § 32 Abs. 1 BVerfGG kann das Bundesverfassungsgericht im Streitfall einen Zustand durch einstweilige Anordnung vorläufig regeln, wenn dies zur Abwehr schwerer Nachteile, zur Verhinderung drohender Gewalt oder aus einem anderen wichtigen Grund zum gemeinen Wohl dringend geboten ist. Dabei haben die Gründe, die für die Verfassungswidrigkeit des angegriffenen Hoheitsakts vorgetragen werden, grundsätzlich außer Betracht zu bleiben, wenn - wie hier - die Erfolgsaussichten offen erscheinen. Eine noch zu erhebende Verfassungsbeschwerde wäre nach derzeitigem Stand weder offensichtlich unzulässig noch unbegründet, da aufgrund des sensiblen Charakters vieler erfasster Daten und deren flächendeckender Erhebung tiefe Eingriffe in das Persönlichkeitsrecht verbunden sein können, deren Rechtfertigung durch die vom Gesetzgeber verfolgten Gemeinwohlziele nur unter näherer Prüfung der Ausgestaltung im Einzelnen möglich ist. Dass sich hier offene Fragen stellen, ergibt sich schon aus den im Gesetzgebungsverfahren vorgebrachten Bedenken der angehörten Sachverständigen wie auch seitens der Gesetzgebungsorgane. Ob diese durchgreifen, bedarf einer vertieften Betrachtung, die erst im Hauptsacheverfahren geleistet werden kann. Im Rahmen der daher gebotenen Folgenabwägung muss das Bundesverfassungsgericht die Folgen, die eintreten würden, wenn eine einstweilige Anordnung nicht erginge, die Verfassungsbeschwerde aber Erfolg hätte, gegenüber den Nachteilen abwägen, die entstünden, wenn die begehrte einstweilige Anordnung erlassen würde, der Verfassungsbeschwerde aber der Erfolg zu versagen wäre. Wird die Aussetzung des Vollzugs eines Gesetzes begehrt, ist bei der Folgenabwägung ein besonders strenger Maßstab anzulegen. Das Bundesverfassungsgericht darf von seiner Befugnis, den Vollzug eines in Kraft getretenen Gesetzes auszusetzen, nur mit größter Zurückhaltung Gebrauch machen, da der Erlass einer solchen einstweiligen Anordnung stets ein erheblicher Eingriff in die Gestaltungsfreiheit des Gesetzgebers ist. Müssen die für eine vorläufige Regelung sprechenden Gründe schon im Regelfall so schwer wiegen, dass sie den Erlass einer einstweiligen Anordnung unabdingbar machen, so müssen sie im Fall der begehrten Außervollzugsetzung eines Gesetzes darüber hinaus besonderes Gewicht haben. Insoweit ist von entscheidender Bedeutung, ob die Nachteile irreversibel oder nur sehr erschwert revidierbar sind, um das Aussetzungsinteresse durchschlagen zu lassen.

II. Ausgehend von diesen Maßstäben scheidet eine Aussetzung des Vollzugs der verfahrensgegenständlichen Vorschriften aus.

Ergeht eine einstweilige Anordnung nicht, hätte die noch zu erhebende Verfassungsbeschwerde aber Erfolg, so würden die Daten des Antragstellers sowie aller weiteren gesetzlich Versicherten in Deutschland zu Unrecht für die gesetzlich vorgesehenen Zwecke genutzt. Darin liegt vor allem in Anbetracht des teils sensiblen und in hohem Maße persönlichkeitsrelevanten Charakters der genutzten Daten und der flächendeckenden Erhebung ein erheblicher Grundrechtseingriff. Ein persönlichkeitsrechtlich relevanter Nachteil tritt aber nicht unmittelbar durch den Vollzug der angegriffenen Vorschriften, sondern erst dann ein, wenn trotz Pseudonymisierung oder Anonymisierung durch die datenverarbeitenden Stellen ein Personenbezug zu bestimmten Versicherten hergestellt wird, was das Gesetz durch verschiedene Vorkehrungen gerade verhindern will. Auch ein vom Antragsteller befürchteter missbräuchlicher Zugriff Dritter auf diese Daten kann nicht mit hinreichender Sicherheit als unmittelbar bevorstehend angenommen werden. Im Hinblick auf zu Unrecht erhobene und gespeicherte Daten könnten gegenüber den Nutzungsberechtigten zudem Löschungsanordnungen ergehen, sodass der eingetretene Nachteil nicht irreversibel wäre.

Wird die begehrte einstweilige Anordnung hingegen erlassen, während einer künftigen Verfassungsbeschwerde im Hauptsacheverfahren der Erfolg zu versagen wäre, hätte dies zur Folge, dass im Falle des § 68a Abs. 5 SGB V die Auswertung durch die Krankenkassen und im Falle der §§ 303a ff. SGB V die Übermittlung der genannten Daten an die Datensammelstelle vollständig unterblieben. Die Auswertung der ohnehin bereits bei den Krankenkassen vorhandenen Daten nach § 68a Abs. 5 SGB V wäre zwar grundsätzlich nachholbar, aber die vom Gesetzgeber bezweckte empirische Grundlage für eine Evaluation hinsichtlich digitaler Anwendungen stünde zeitlich erst später bereit, womit auch die Evaluation selbst erschwert würde. Im Falle der §§ 303a ff. SGB V stünden die zu übermittelnden Daten für die nutzungsberechtigten Akteure hingegen überhaupt nicht zentral abrufbar zur Verfügung, sodass sie nicht für wichtige gemeinwohlrelevante Belange wie für die medizinische Forschung genutzt werden könnten.

Angesichts dessen überwiegen die dem Antragsteller bei Nichtergehen einer einstweiligen Anordnung drohenden Nachteile nicht mit der erforderlichen Deutlichkeit gegenüber den Nachteilen, die bei Erlass der begehrten einstweiligen Anordnung trotz späterer Erfolglosigkeit einer noch zu erhebenden Verfassungsbeschwerde einzutreten drohen.


Den Volltext der Entscheidung finden Sie hier:





LG Mosbach: Auskunftsanspruch nach Art. 15 Abs. 1 DSGVO umfasst gemäß Art. 15 Abs. 1 g DSGVO auch Pflicht zur Auskunft über Herkunft der Daten

LG Mosbach
Beschluss vom 27.01.2020
5 T 4/20


Das LG Mosbach hat in Einklang mit dem Worlaut von Art. 15 Abs. 1 g DSGVO entschieden, dass der Auskunftsanspruch nach Art. 15 Abs. 1 DSGVO auch die Pflicht zur Auskunft über die Herkunft der Daten umfasst, wenn die personenbezogenen Daten nicht bei der betroffenen Person erhoben wurden.

Aus den Entscheidungsgründen:

"Soweit sich die Beklagte darauf beruft, auch der unter g titulierte Anspruch auf Auskunftserteilung, woher die Beklagte die persönlichen Daten des Klägers erhalten hat, ist dies jedoch unzutreffend. Jener Auskunftsanspruch ist noch nicht erfüllt, und wegen seiner war auch dem klägerischen Antrag vom 10.07.2019 stattzugeben.

Die Beklagte hat mit ihrem Schreiben vom 16.07.2019 diesen Auskunftsanspruch nicht erfüllt. Sie hat nicht in genügender Tiefe mitgeteilt, woher sie diese Daten erhalten hat, obwohl sie hierzu nach dem Urteil, welches den Auskunftsanspruch nach § 15 Abs. 1 g DSGVO tituliert, verpflichtet war.

a. Anders als §§ 19, 34 BDSG aF verlangt Art. 15 Absatz 1 lit. g stets die Auskunft über "alle verfügbaren Informationen über die Herkunft" der Daten. Einzige Voraussetzung für die Pflicht zur Auskunft über die Herkunft der Daten ist, dass diese Daten nicht beim Betroffenen erhoben wurden (BeckOK DatenschutzR/Schmidt-Wudy DS-GVO Art. 15 Rn. 74, 75). Angaben zur Quelle haben auch die Mittel zu benennen, mit denen die personenbezogenen Daten erhoben wurden (Sydow, Europäische Datenschutzgrundverordnung, DSGVO Art. 15 Rn. 10, beck-online).

Die Beklagte erklärt lediglich - und dies auch nicht in ihrem ursprünglichen Auskunftsschreiben, sondern erst mit Schriftsatz im Beschwerdeverfahren - dass die bei ihr gespeicherten Daten alleine im Rahmen eines Bezahlvorgangs bei der ... GmbH erhoben worden seien und nicht bei weiteren Bezahlvorgängen. Weitere Auskünfte zur Herkunft der Daten verweigert sie mit der Begründung, es handele sich nicht um die Daten des Klägers. Dem ist zwar zuzugeben, dass die Daten - unstreitig - nicht vom Kläger gegenüber der ... GmbH verwendet wurden, weil er dort nichts bestellt hat. Dass es deswegen nicht "seine" Daten seien, weil sie möglicherweise von einer anderen Person missbräuchlich verwendet worden seien, ist jedoch unzutreffend. Soweit die Beklagte zum Tätigwerden von mit ihr verbundenen Unternehmen vorträgt, ergibt sich hieraus dennoch nicht, wann, in welcher Form und von wem die Beklagte die persönlichen Daten des Klägers erlangt hat.

b.

Soweit die Beklagte sich darauf beruft, der Kläger könne nicht nach § 888 ZPO vollstrecken, sondern müsse, sofern er mit der Auskunft nicht einverstanden sei, weil sie aus seiner Sicht unvollständig oder unzutreffend sei, einen Anspruch nach Art. 16 DSGVO geltend machen, folgt das Gericht dem ebenfalls nicht. Anders als im Rahmen von § 2314 BGB kann bei unvollständiger oder fehlerhafter Angabe nicht lediglich die nächste Stufe des Auskunftsanspruchs geltend gemacht werden (eidesstattliche Versicherung). Art. 16 DSGVO ist nicht die nächste Stufe im Rahmen der Geltendmachung von Art. 15 DSGVO, sondern tritt als separater Anspruch mit anderem Inhalt neben diesen. Vielmehr ist es dem Kläger unbenommen, seinen titulierten Auskunftsanspruch im Wege der Zwangsvollstreckung nach § 888 ZPO durchzusetzen."


Den Volltext der Entscheidung finden Sie hier:

VGH Baden-Württemberg: Art. 16 Satz 1 DSGVO ist Rechtsgrundlage für Anspruch auf Berichtigung des Melderegisters

VGH Baden-Württemberg
Urteil vom 10.03.2020
1 S 397/19

Der VGH Baden-Württemberg hat entschieden, dass seit Inkrafttreten der Datenschutzgrundverordnung Art. 16 Satz 1 DSGVO Rechtsgrundlage für einen Anspruch auf Berichtigung des Melderegisters ist.

Aus den Entscheidungsgründen:

"Ausgehend von der im maßgeblichen Zeitpunkt (1.) allein in Betracht kommenden Rechtsgrundlage aus Art. 16 Satz 1 DSGVO (2.) steht dem Kläger der geltend gemachte, auf die Eintragung des Geburtsjahrgangs „1953“ zielende Berichtigungsanspruch nicht zu. Es steht nicht mit der für die richterliche Überzeugungsbildung erforderlichen Gewissheit fest, dass der Kläger die Anspruchsvoraussetzungen des Art. 16 Satz 1 DSGVO für die begehrte Berichtigung erfüllt (3.). Weitere Maßnahmen zur Aufklärung des Sachverhalts betreffend den richtigen Geburtsjahrgang des Klägers sind nicht vorhanden bzw. nicht zu ergreifen (4.). Die deshalb zu treffende Beweislastentscheidung fällt zu Ungunsten des Klägers aus (5.).

1. Maßgeblich für die Prüfung der Begründetheit der Klage ist die Sach- und Rechtslage im Zeitpunkt der mündlichen Verhandlung des Senats.

Welcher Zeitpunkt für die Begründetheit einer Klage maßgeblich ist, richtet sich nicht nach dem Prozessrecht, sondern ist nach dem im jeweiligen Fall zugrundeliegenden materiellen Recht zu beurteilen. Maßgeblich für die Entscheidung eines Gerichts sind die Rechtsvorschriften, die sich im Zeitpunkt der Entscheidung für die Beurteilung des Klagebegehrens Geltung beimessen, und zwar gleichgültig, ob es sich um eine Feststellungs-, Leistungs-, Anfechtungs- oder Verpflichtungsklage handelt (BVerwG, Urt. v. 03.11.1994 - 3 C 17.92 - BVerwGE 97, 79; Stuhlfauth, in: Bader u.a., VwGO, 7. Aufl., § 113 Rn. 34). Macht der Kläger - wie hier - einen materiellen Anspruch gegen den Rechtsträger der Behörde auf Vornahme einer Handlung geltend, ist für die Frage des Bestehens des Anspruchs grundsätzlich die Sach- und Rechtslage zum Zeitpunkt der gerichtlichen Entscheidung maßgeblich, wenn das in diesem Zeitpunkt maßgebliche Recht nicht ausdrücklich oder konkludent anordnet, dass es für den betreffenden Sachverhalt generell noch nicht maßgeblich ist oder dass zumindest für Ansprüche, die in der Vergangenheit beantragt wurden, der Zeitpunkt der Antragstellung maßgeblich bleiben soll (vgl. BVerwG, Urt. v. 01.12.1989 - 8 C 17.87 - BVerwGE 84, 157; Wolff, in: Sodan/Ziekow, VwGO, 5. Aufl., § 113 Rn. 102 ff. m.w.N.).

2. Hiervon ausgehend ist für den vom Kläger geltend gemachten Berichtigungsanspruch § 12 des Bundesmeldegesetzes in der alten Fassung (a.F.) vom 20.11.2014, der im Zeitpunkt der Antragstellung des Klägers bei der Beklagten und noch bei dem Erlass des die Berufung zulassenden Senatsbeschlusses vom 08.02.2019 galt, nicht mehr maßgeblich. Sein Begehren richtet sich vielmehr nach Art. 16 der Verordnung (EU) 2016/679 des Europäischen Parlaments und des Rates vom 27. April 2016 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten, zum freien Datenverkehr und zur Aufhebung der Richtlinie 95/46/EG (Datenschutz-Grundverordnung, ABl. L 119 vom 04.05.2016, S. 1, im Folgenden: DSGVO).

§ 12 Satz 1 BMG a.F. bestimmte, dass, wenn gespeicherte Daten unrichtig oder unvollständig sind, die Meldebehörde die Daten auf Antrag der betroffenen Person zu berichtigen oder zu ergänzen hat. Diese Vorschrift wurde jedoch durch das Zweite Gesetz zur Anpassung des Datenschutzrechts an die Verordnung (EU) 2016/679 und zur Umsetzung der Richtlinie (EU) 2016/680 (Zweites Datenschutz-Anpassungs- und Umsetzungsgesetz EU - 2. DSAnpUG-EU) vom 20.11.2019 (BGBl. I 1626, 1638) mit Wirkung vom 26.11.2019 geändert. § 12 BMG lautet seither: „Hat die Meldebehörde die Daten auf Antrag der betroffenen Person nach Artikel 16 der Verordnung (EU) 2016/679 berichtigt oder vervollständigt, so gilt § 6 Absatz 1 Satz 2 (BMG n.F.) entsprechend. Für die Dauer der Prüfung der Richtigkeit ist die Verarbeitung der Daten nicht nach Artikel 18 Absatz 1 Buchstabe a der Verordnung (EU) 2016/679 eingeschränkt.“ Mit dieser Neufassung wollte der Gesetzgeber klarstellen, dass sich im Bereich des Melderechts der Berichtigungsanspruch unmittelbar aus Art. 16 DSGVO ergibt (vgl. die Begründung des Gesetzentwurfs der Bundesregierung, BT-Drs. 19/4674, S. 224).

Nach Art. 16 Satz 1 DGSVO hat jede betroffene Person das Recht, von dem Verantwortlichen (vgl. Art. 4 Nr. 7 DSGVO) unverzüglich die Berichtigung sie betreffender unrichtiger personenbezogener Daten zu verlangen. Gemäß Art. 16 Satz 2 DGSVO hat sie unter Berücksichtigung der Zwecke der Verarbeitung ferner das Recht, die Vervollständigung unvollständiger personenbezogener Daten zu verlangen. Diese Vorschriften der am 25.05.2016 in Kraft getretenen und seit dem 25.05.2018 geltenden Datenschutz-Grundverordnung (vgl. Art. 99 DSGVO) sind auch auf den vorliegenden Fall anwendbar. Dem steht nicht entgegen, dass der Antragsteller seinen Berichtigungsantrag bereits 2015 und damit vor dem Inkrafttreten der Verordnung gestellt hat. Denn das derzeit geltende materielle Recht bietet keinen Grund zur Annahme, dass das Unionsrecht für einen Sachverhalt wie den vorliegenden keine Geltung beansprucht. Das Gegenteil ist der Fall. Der Unionsgesetzgeber hat in der Datenschutz-Grundverordnung hervorgehoben, dass Datenverarbeitungen, die zum Zeitpunkt der Anwendung dieser Verordnung bereits begonnen haben, innerhalb von zwei Jahren nach dem Inkrafttreten dieser Verordnung - also bis zu ihrem ersten Geltungstag am 25.05.2018 - „mit ihr in Einklang gebracht werden“ sollen (vgl. Erwägungsgrund 171 der DSGVO). Dementsprechend enthält auch das Zweite Datenschutz-Anpassungs- und Umsetzungsgesetz EU insoweit keine abweichenden Übergangsvorschriften (vgl. Art. 155 2. DSAnpUG-EU und BT-Drs. 19/4674, S. 446 f.).

3. An den Vorgaben von Art. 16 DSGVO gemessen ist die Klage mit dem Hauptantrag unbegründet. Es steht nicht mit der für die richterliche Überzeugungsbildung erforderlichen Gewissheit fest, dass der Kläger die Anspruchsvoraussetzungen des Art. 16 Satz 1 DSGVO für die begehrte Berichtigung erfüllt.

Nach Art. 16 Satz 1 DGSVO hat jede betroffene Person, wie gezeigt, das Recht, von dem Verantwortlichen unverzüglich die „Berichtigung“ sie betreffender „unrichtiger personenbezogener Daten“ zu verlangen. Bei dem Geburtsdatum des Klägers handelt es sich zwar um ein „personenbezogenes Datum“ (a)). Der Senat vermag sich jedoch nicht die erforderliche Überzeugungsgewissheit davon zu bilden, dass das Begehren des Klägers, im Melderegister als Geburtsjahrgang „1953“ eintragen zu lassen, im Sinne von Art. 16 Satz 1 DSGVO auf die „Berichtigung“ eines „unrichtigen“ Datums gerichtet ist (b)).

a) Der Kläger begehrt die Berichtigung eines „personenbezogenen Datums“ im Sinne von Art. 16 Satz 1 DSGVO.

Von dem Tatbestandsmerkmal der „personenbezogenen Daten“ werden alle Informationen erfasst, die sich auf eine identifizierte oder identifizierbare natürliche Person - der im Sinne der DSGVO „betroffenen Person“ - beziehen (Art. 4 Nr. 1 Halbs. 1 DSGVO). Der Begriff der „Information mit Personenbezug“ ist weit zu verstehen. Unter die Vorschrift fallen sowohl persönliche Informationen wie Identifikationsmerkmale (z.B. Name und Anschrift), äußere Merkmale (wie Geschlecht, Augenfarbe, Größe und Gewicht) oder innere Zustände (z.B. Meinungen, Motive, Wünsche, Überzeugungen und Werturteile), als auch sachliche Informationen mit Personenbezug wie etwa Vermögens- und Eigentumsverhältnisse, Kommunikations- und Vertragsbeziehungen und alle sonstigen Beziehungen der betroffenen Person zu Dritten und ihrer Umwelt. Zu den „Identifikationsmerkmalen“ zählt insbesondere das - auch hier streitbefangene - Geburtsdatum der betroffenen Person (vgl. OLG Köln, Urt. v. 26.07.2019 - 20 U 75/18 - juris; Klar/Kühling: in: Kühling/Buchner, DS-GVO/BDSG, 2. Aufl., Art. 4 DS-GVO Rn. 8; Ernst, in: Paal/Pauly, DS-GVO/BDSG, 2. Aufl., Art. 4 Rn. 14).

b) Es ist jedoch nicht erweislich, dass das Begehren des Klägers, im Melderegister als Geburtsjahrgang „1953“ eintragen zu lassen, im Sinne von Art. 16 Satz 1 DSGVO auf die „Berichtigung“ eines „unrichtigen“ Datums gerichtet ist.

Bei dem - unionsrechtlichen und daher autonom auszulegenden - Tatbestandsmerkmal der „Unrichtigkeit“ handelt es sich um ein objektives Kriterium, das nur auf Tatsachenangaben anwendbar ist. Es ist erfüllt, wenn die fragliche über die betroffene Person gespeicherte Information nicht mit der Realität übereinstimmt (vgl. Herbst, in: Kühling/Buchner, a.a.O., Art. 16 DS-GVO Rn. 8; Kamann/Braun, in: Ehmann/Selmayr, Datenschutz-Grundverordnung, 2. Aufl., Art. 16 Rn. 14; Paal, in: dems/Pauly, DS-GVO, BDSG, 2. Aufl., Art. 16 DS-GVO Rn. 15; Worms, a.a.O., Art. 16 DS-GVO Rn. 49; im Ergebnis ebenso HambOVG, Beschl. v. 27.05.2019 - 5 Bf 225/18.Z - ZBR 2020, 49; s. auch Art. 5 Abs. 1 Buchst. d DSGVO [„sachlich richtig“]; ebenso zu § 12 BMG a.F. Süßmuth, Bundesmeldegesetz, 31. Lfg., § 12 Rn. 4 [„Unrichtig“ sind Daten, wenn ihr Inhalt mit dem Lebenssachverhalt, den sie als Information widerspiegeln, nicht übereinstimmt.]; zu § 10 HMG HessVGH, Urt. v. 30.10.1990 - 11 UE 3005/89 - ESVGH 41, 105; VG Frankfurt a.M., Urt. v. 29.07.2011 - 5 K 156/11.F - juris; zu § 9 MRRG Medert/Süßmuth, Melderecht, Stand 3. Lfg., § 9 MRRG Rn. 4 m.w.N.). Auch die gespeicherte oder auf andere Weise verarbeitete Angabe zu einem Geburtsdatum ist daher im Sinne von Art. 16 Satz 1 DSGVO „unrichtig“, wenn die Angabe objektiv nicht zutrifft (Reif, a.a.O., Art. 16 Rn. 11).

Nach Art. 16 Satz 1 DSGVO kann die „Berichtigung“ eines unrichtigen Datums verlangt werden. Das kann entsprechend dem zuvor Gesagten nur dadurch erfolgen, dass das unrichtige Datum mit der Wirklichkeit in Übereinstimmung gebracht wird (vgl. Worms, a.a.O., Art. 16 Rn. 61; Herbst, in: Kühling/Buchner, a.a.O., Art. 16 DS-GVO Rn. 18; im Ergebnis ebenso bereits zu § 12 BMG a.F. BVerwG, Urt. v. 30.09.2015 - 6 C 38.14 -, NJW 2016, 99; Senat, Beschl. v. 07.03.2016 - 1 S 309/16 -).

Ein Berichtigungsanspruch kann sich deshalb nur dann aus Art. 16 Satz 1 DSGVO ergeben, wenn - erstens - feststeht, dass das von dem Verantwortlichen gespeicherte oder sonst verarbeitete Datum objektiv nicht mit der Realität übereinstimmt, und wenn - zweitens - zugleich feststeht, dass das von dem Betroffenen als richtig benannte Datum tatsächlich mit der Wirklichkeit übereinstimmt."


Den Volltext der Entscheidung finden Sie hier:

OVG Koblenz: Lehrer hat keinen Anspruch auf Entfernung von Fotos seiner Person aus Schuljahrbuch wenn er freiwillig bei entsprechendem Fototermin fotografiert wurde

OVG Koblenz
Beschluss vom 02.04.2020
2 A 11539/19.OVG


Das OVG Kobenz hat entschieden, dass ein Lehrer keinen Anspruch auf Entfernung von Fotos seiner Person aus einem Schuljahrbuch hat, wenn er freiwillig bei einem entsprechendem Fototermin fotografiert wurde

Die Pressemitteilung des Gerichts:

Kein Anspruch eines Lehrers auf Beseitigung von Fotos aus Schuljahrbuch

Ein Lehrer, der sich bei einem Fototermin in der Schule freiwillig mit Schulklassen hat ablichten lassen, hat keinen Anspruch auf Entfernung der im Jahrbuch der Schule veröffentlichten Bilder. Dies entschied das Oberverwaltungsgericht Rheinland-Pfalz in Koblenz.

Der Kläger ist Studienrat im rheinland-pfälzischen Schuldienst. Bei einem Fototermin in der Schule ließ er sich mit einer Schulklasse und einem Oberstufenkurs fotografieren. Die Schule gab, wie bereits im Jahr zuvor, ein Jahrbuch mit den Abbildungen sämtlicher Klassen und Kurse nebst den jeweiligen Lehrkräften heraus. Nachdem der Kläger sich zunächst erfolglos innerhalb der Schulverwaltung gegen die Veröffentlichung der Fotos gewandt hatte, erhob er Klage vor dem Verwaltungsgericht. Er machte geltend, dass die Publikation sein Persönlichkeitsrecht verletze. Er habe kein Einverständnis zur Veröffentlichung der Bilder erteilt, sondern stehe einer solchen vielmehr ablehnend gegenüber. Er habe sich nur ablichten lassen, weil eine Kollegin ihn überredet habe. Den wahren Verwendungszweck der Fotos habe er nicht gekannt.

Das Verwaltungsgericht Koblenz wies die Klage ab (vgl. Pressemitteilung des Verwaltungsgerichts Koblenz Nr. 33/2019 vom 23. September 2019). Nach dem Kunsturhebergesetz bedürfe es keiner Einwilligung in die Veröffentlichung der Fotos im Jahrbuch der Schule, weil diese Bildnisse aus dem Bereich der Zeitgeschichte seien. Dies ergebe sich aus der dafür erforderlichen Abwägung der wechselseitigen Interessen. Ein Informationsinteresse der Öffentlichkeit bestehe auch bei Veranstaltungen von regionaler oder lokaler Bedeutung. Eine solche Bedeutung hätten die Jahrbücher mit den Klassenfotos für die Angehörigen der Schule. Demgegenüber seien die Rechte des Klägers nur geringfügig beeinträchtigt worden. Er sei im dienstlichen Bereich in einer völlig unverfänglichen, gestellten Situation aufgenommen worden und die Bilder seien in keiner Weise unvorteilhaft oder ehrverletzend. Selbst wenn eine Einwilligung erforderlich gewesen sein sollte, wäre diese aber auch zumindest konkludent erteilt worden, weil der Kläger sich mit den beiden Schülergruppen habe ablichten lassen. Er habe gewusst oder jedenfalls wissen müssen, dass die Schule derartige Klassenfotos bereits in der Vergangenheit für Jahrbücher verwendet habe. Es stelle ein widersprüchliches Verhalten dar, die Veröffentlichung von Fotos einerseits strikt abzulehnen und sich andererseits auf Fotos ablichten zu lassen, die offensichtlich dem Zweck der Veröffentlichung dienten.

Das Oberverwaltungsgericht bestätigte diese Entscheidung und lehnte den Antrag des Klägers auf Zulassung der Berufung ab. Der Kläger habe keine Gründe dargelegt, warum entgegen der nachvollziehbaren Wertung des Verwaltungsgerichts in der Abwägung zwischen dem Informationsinteresse und der Persönlichkeitsrechte die klägerischen Belange hätten höher zu bewerten sein müssen. Auch den vom Verwaltungsgericht aufgezeigten Widerspruch in seinem Verhalten habe er nicht überzeugend auflösen können.

Beschluss vom 2. April 2020, Aktenzeichen: 2 A 11539/19.OVG

OLG Stuttgart: Verstöße gegen DSGVO sind regelmäßig auch von Abmahnvereinen abmahnbare Wettbewerbsverstöße - § 13 Absatz 1 Satz 1 TMG wird durch DSGVO verdrängt

OLG Stuttgart
Urteil vom 27.2.2020
2 U 257/19

Das OLG Stuttgart hat entschieden, dass Verstöße gegen die Vorgaben der DSGVO regelmäßig auch von Abmahnvereinen abmahnbare Wettbewerbsverstöße sind. Zudem hat das OLG Stuttgart entschieden, dass § 13 Absatz 1 Satz 1 TMG durch DSGVO verdrängt wird.

Aus den Entscheidungsgründen:

"Die Klage ist auch hinsichtlich des Hilfsantrages aus den oben dargestellten Gründen zulässig. Insbesondere steht es dem Kläger zu, gemäß § 8 Absatz 3 Nr. 2 UWG Unterlassungsansprüche zu verfolgen, die sich aus Verstößen gegen die Datenschutz-Grundverordnung ergeben.

Durch die Datenschutz-Grundverordnung werden die Rechtsbehelfe nicht abschließend geregelt, so dass die nationalen Bestimmungen der § 8 Absatz 1 und Absatz 3 Nr. 2 i.V.m. § 3a UWG anwendbar bleiben, wenn es sich um einen Verstoß gegen eine Marktverhaltensregelung handelt (so auch OLG Hamburg, Urteil vom 25. Oktober 2018 – 3 U 66/17, juris Rn. 56 m. zust. Anm. Janßen, jurisPR-ITR 25/2018 Anm. 2; Wolff, ZD 2018, 248; Laoutoumai/Hoppe, K&R 2018, 533; Schreiber, GRUR-Prax 2018, 371).

1. Bestimmungen einer EU-Verordnung sind nicht von sich aus abschließend. Der Rechtsakt einer Verordnung hat eine allgemeine Geltung, ist in allen Teilen verbindlich und gilt unmittelbar in jedem Mitgliedstaat (Artikel 288 Absatz 2 AEUV). Sieht die Verordnung den Erlass von weitergehenden nationalen Regelungen nicht ausdrücklich vor, können Mitgliedstaaten nationale Normen auch dann anwenden, wenn diese die unmittelbare Anwendbarkeit der Verordnung nicht vereiteln, deren gemeinschaftliche Natur nicht verbergen und die Ausübung des durch die betreffende Verordnung verliehenen Ermessens innerhalb der Grenzen dieser Vorschriften konkretisieren (EuGH, Urteil vom 14. Oktober 2004 – C-113/02, Rn. 16). Dabei ist unter Bezugnahme auf die einschlägigen Bestimmungen der Verordnung zu prüfen, ob diese Bestimmungen, ausgelegt im Licht ihrer Ziele, es den Mitgliedstaaten verbieten, gebieten oder gestatten, bestimmte nationale Normen anzuwenden, und insbesondere im letztgenannten Fall, ob sie sich in den Rahmen des den einzelnen Mitgliedstaaten eingeräumten Wertungsspielraums einfügen (EuGH, Urteil vom 21. Dezember 2011 – C-316/10, Rn. 43).

2. Bei der Auslegung der Verordnung zur Frage, ob sie den Mitgliedsstaaten die Anwendung bestimmter nationaler Normen zur Rechtsdurchsetzung gestattet, ist von dem maßgeblichen Interesse eines jeden Normgebers auszugehen, dass die von ihm erlassenen Bestimmungen von allen Adressaten befolgt werden. Auf diesem Grundinteresse basiert auch die in Artikel 4 Absatz 3 EUV und Artikel 197 Absatz 1 AEUV verankerte Verpflichtung der Mitgliedstaaten zur effektiven Durchführung des Unionsrechts. Allgemein setzt dies ein wirksames System der Kontrolle und Rechtsverfolgung voraus. Je engmaschiger dieses Netz, desto mehr wird der Willen des Normgebers durchgesetzt.

Die Interessenlage kann sich in diesem Bereich anders darstellen als bei der Harmonisierung des materiellen Rechts. Dort kann der Zweck darauf gerichtet sein, nicht nur Mindest-, sondern auch Höchstanforderungen aufzustellen. Es erleichtert den grenzüberschreitenden Verkehr von Waren und Dienstleistungen, wenn sich der Unternehmer nicht darauf einstellen muss, dass im Ausland noch höhere Anforderungen an ihn gestellt werden als im Mitgliedstaat seines Sitzes. Dass Teile der Datenschutz-Grundverordnung das materielle Recht vollständig harmonisieren, wird in der Literatur angenommen (statt aller: Franzen in Franzen/Gallner/Oetker, Kommentar zum europäischen Arbeitsrecht, 3. Aufl. 2020, Art. 88 DSGVO Rn. 7 ff). Diese Erwägung lässt allerdings noch keine Rückschlüsse darauf zu, dass dies auch für die Rechtsdurchsetzung gelten soll.

3. Bereits nach dem allgemeinen Kompetenzgefüge der Europäischen Union sind die Mitgliedstaaten verpflichtet, die in einer Verordnung begründeten Rechte zu schützen, namentlich durch die nationalen Gerichte (EuGH, Urteil vom 10. Oktober 1973 – 34/73, Rn. 8). Dieser allgemeinen Aufteilung folgt auch die Datenschutz-Grundverordnung, indem sie die Zuständigkeit der nationalen Gerichte für Klagen begründet (Artikel 78 Absatz 3, Artikel 79 Absatz 2, Artikel 82 Absatz 6 DSGVO) und darüber hinaus die Mitgliedstaaten verpflichtet, Aufsichtsbehörden einzurichten (Artikel 51 Absatz 1 DSGVO). Dabei gibt die Verordnung lediglich vor, dass dem einzelnen ein Zugang zum Rechtsschutz gewährt werden muss durch ein Klagerecht bzw. ein Recht auf Beschwerde bei der Aufsichtsbehörde. Daraus folgt, dass die nähere Ausgestaltung der Rechtsdurchsetzung in die Verantwortung der Mitgliedstaaten fällt.

4. Ist mithin davon auszugehen, dass der Normgeber die effektive Durchsetzung der durch ihn verliehenen Rechte beansprucht und gibt er – wie hier – die Zuständigkeit zur Ausgestaltung des Prozessrechts an die Mitgliedstaaten, muss vom Grundsatz her jede nationale Maßnahme, die geeignet ist, die Rechtsdurchsetzung zu erleichtern, als zulässig angesehen werden. Etwas anderes kann nur angenommen werden, wenn sich aus der Verordnung selbst mit hinreichender Klarheit ergibt, dass weitergehende nationale Maßnahmen, die die Rechtsdurchsetzung erleichtern, unzulässig sein sollen.

Aus der Datenschutz-Grundverordnung ergibt sich jedoch nicht – schon gar nicht mit der hierfür gebotenen Klarheit –, dass es den Mitgliedstaaten verwehrt sein soll, Wettbewerbsverbänden eine Klagebefugnis einzuräumen.

a) Die Rechtsdurchsetzung auf dem zivilen Rechtsweg wird durch die Verordnung in keiner Weise eingeschränkt. Zwar kommt den Aufsichtsbehörden eine wichtige Rolle bei der Durchsetzung der Datenschutz-Grundverordnung zu. Die Verordnung beschneidet aber auch nicht die Rechtsdurchsetzung privater Rechte auf dem Zivilrechtsweg. Vielmehr stehen Maßnahmen der Aufsichtsbehörde, die u.a. Sanktionen verhängen kann, und die privatrechtliche Durchsetzung von Schadensersatzansprüchen unabhängig nebeneinander und sind gleichrangig.

aa) Durch die Einrichtung der Aufsichtsbehörden wollte der Verordnungsgeber die Rechtsstellung der Unionsbürger verbessern. Jede betroffene Person hat das Recht auf Beschwerde bei einer Aufsichtsbehörde, wenn sie der Ansicht ist, dass die Verarbeitung der sie betreffenden personenbezogenen Daten gegen diese Verordnung verstößt (Artikel 77 Absatz 1 DSGVO). Die Aufsichtsbehörden sind u.a. dazu befugt, Verantwortliche zu warnen, zu verwarnen, ihnen bestimmte Maßnahmen aufzuerlegen und gegen sie Sanktionen zu verhängen (Artikel 58 Absatz 2 lit. a, b, g, i und Artikel 83 DSGVO).

bb) Eine Einschränkung bestehender Befugnisse zur Rechtsdurchsetzung war nicht bezweckt. Vielmehr sollte durch die Datenschutz-Grundverordnung ersichtlich nur ein Mindeststandard für den Rechtsschutz der betroffenen Person und desjenigen, dem durch Verstöße gegen die Verordnung ein Schaden entstanden ist, geregelt werden.

Das Beschwerderecht der betroffenen Person (Artikel 4 Nr. 1 DSGVO) besteht „unbeschadet eines anderweitigen verwaltungsrechtlichen oder gerichtlichen Rechtsbehelfs“ (Artikel 77 Absatz 1 DSGVO). Die Verordnung stellt die individuelle gerichtliche Geltendmachung von Ansprüchen – etwa vor einem Zivilgericht – der behördlichen Rechtsdurchsetzung gleich. Unabhängig von dem Recht, sich an eine zuständige Aufsichtsbehörde zu wenden, gewährt Artikel 79 Absatz 1 DSGVO jeder betroffenen Person einen Rechtsbehelf gegen Verantwortliche oder Auftragsverarbeiter, wenn sie der Ansicht ist, dass die ihr aufgrund dieser Verordnung zustehenden Rechte infolge einer nicht im Einklang mit dieser Verordnung stehenden Verarbeitung ihrer personenbezogenen Daten verletzt wurden (vgl. Mundil in Beck’scher Onlinekommentar Datenschutzrecht, 30. Ed. 1.2.2017, Art. 79 DSGVO Rn. 14). Daneben gewährt Artikel 82 Absatz 1 und 6 DSGVO jeder Person, der wegen eines Verstoßes gegen die Verordnung ein materieller oder immaterieller Schaden entstanden ist, einen gerichtlich durchsetzbaren Anspruch auf Schadensersatz gegen den Verantwortlichen oder gegen den Auftragsverarbeiter.

cc) Insbesondere enthält Artikel 80 DSGVO keine abschließende Regelung für die privatrechtliche Rechtsdurchsetzung. Nicht gefolgt werden kann der Auffassung, aus einem Gegenschluss zu Artikel 80 Absatz 2 DSGVO ergebe sich, dass Mitbewerber und Wettbewerbsverbände nicht klagebefugt seien. Artikel 80 Absatz 2 DSGVO sei als Öffnungsklausel anzusehen, die die Mitgliedstaaten lediglich dazu ermächtige, sog. Datenschutzverbänden eine Klagebefugnis zu verleihen, nicht jedoch auch Mitbewerbern und Wettbewerbsverbänden im Sinne von § 8 Absatz 3 Nr. 2 UWG (so Köhler, WRP 2018, 1269 Rn. 35; ders., WRP 2019, 1279 Rn. 5; ders. in Köhler/Bornkamm/Feddersen, Kommentar zum UWG, 38. Aufl. 2020, § 3a UWG Rn. 1.40f; Barth, WRP 2018, 790 Rn. 16; Baumgartner/Sitte, ZD 2018, 555 [558]; Schmitt, WRP 2019, 27 Rn. 20; Spittka, GRUR-Prax 2019, 4; differenzierend Uebele, GRUR 2019, 694 [697], der zwar Mitbewerbern eine Klagebefugnis einräumt, nicht aber deren Verbänden).

(1) Artikel 80 Absatz 1 DSGVO räumt der betroffenen Person das Recht ein, auch Dritte damit zu beauftragen, ihre Rechte gegenüber der Aufsichtsbehörde, dem Verantwortlichen oder dem Auftragsverarbeiter wahrzunehmen. Dabei soll es sich allerdings um eine Einrichtung, Organisation oder Vereinigung ohne Gewinnerzielungsabsicht handeln, die ordnungsgemäß nach dem Recht eines Mitgliedstaats gegründet ist, deren satzungsmäßige Ziele im öffentlichem Interesse liegen und die im Bereich des Schutzes der Rechte und Freiheiten von betroffenen Personen in Bezug auf den Schutz ihrer personenbezogenen Daten tätig ist. Weiter können die Mitgliedstaaten vorsehen, dass ebengenannte Einrichtungen, Organisationen oder Vereinigungen unabhängig von einem Auftrag der betroffenen Person in diesem Mitgliedstaat das Recht haben, die genannten Rechte einzelner unabhängig von einem Auftrag der betroffenen Person wahrzunehmen (Artikel 80 Absatz 2 DSGVO). Die Voraussetzungen des Artikel 80 Absatz 1 DSGVO erfüllt der Kläger als Verband zur Förderung gewerblicher oder selbständiger beruflicher Interessen nicht.

(2) Dem Verlauf der Beratungen in der Ratsarbeitsgruppe lässt sich ein abschließender Charakter von Artikel 80 Absatz 2 DSGVO jedoch nicht entnehmen.

Die Regelung geht auf einen Vorschlag der französischen Delegation zurück, die den Gedanken eingebracht hat, dass die Wahrung der Einhaltung der Datenschutzrechte durch Verbände eine effektive Möglichkeit zu deren Rechtsdurchsetzung darstellt. Dabei schwebte der Initiative vor, die Mitgliedstaaten zum Erlass effektiver Verfahrensregelungen zu verpflichten (Ratsdokument 7586/1/15 REV 1, S. 22/23). Der Vorsitz griff diesen Vorschlag als neuen Artikel 76 Absatz 2 des Entwurfs auf, jedoch ohne eine Umsetzungsverpflichtung vorzusehen (Ratsdokument 7722/15, S. 16). In den Beratungen wurde die Frage erörtert, ob die Mitgliedstaaten zur Einräumung der Klagebefugnis verpflichtet werden sollten, wofür sich neben der französischen Delegation auch die Europäische Kommission einsetzte (Ratsdokument 8371/15, S. 15 Fn. 36). Mit der beschlossenen Fassung fanden die Delegationen einen Kompromiss (Ratsdokument 8383/15, S. 18 Fn. 34).

Aus den Materialien ergibt sich jedoch keine Stellungnahme von Delegationen, die die Bezugnahme auf den Absatz 1 für erforderlich hielten, um auszuschließen, dass anderen Verbänden, die nicht die Anforderungen eines Datenschutzverbandes erfüllten, eine Klagebefugnis eingeräumt wird. Die Europäische Kommission sprach sich für die Bezugnahme auf die Verbandsdefinition in Absatz 1 aus. Den Materialien lässt sich jedoch nicht entnehmen, dass es ihr Ziel war, weitergehende Klagebefugnisse auszuschließen. Vielmehr wollte sie erreichen, dass ein anerkannter Datenschutzverband die Rechte auch in einem anderen Mitgliedstaat verfolgen könnte. Hierin sah die Europäische Kommission den eigentlichen Mehrwert der Regelung (Ratsdokument 8371/15, Seite 15 Fn. 38).

Wie diese Äußerung und auch die weiteren Stellungnahmen zeigen, sind die Delegationen davon ausgegangen, dass eine Regelung der Klagebefugnis in den Kompetenzbereich der Mitgliedstaaten fällt. Die portugiesische Delegation hat darauf hingewiesen, dass die Befugnisse übriger Verbände nicht ausgeschlossen werden sollen (Ratsdokument 8371/15 Fn. 37). Die französische Delegation hat, nachdem sie ihr Ziel einer verpflichtenden Regelung nicht durchsetzen konnte, angemerkt, dass es einer Regelung nicht bedürfe, wenn sie keine Verpflichtung enthalte (Ratsdokument 8383/15 S. 18, Fn. 36).

Aus dem Umstand, dass die Delegationen in dem Willensbildungsprozess als kleinsten gemeinsamen Nenner eine Regelung gefunden haben, die nur das ausdrückt, was allgemein anerkannt ist – nämlich, dass die Mitgliedstaaten Datenschutzverbänden eine Klagebefugnis einräumen können – kann jedoch nicht geschlossen werden, dass andere allgemein anerkannte Befugnisse der Mitgliedstaaten – die Einräumung noch weitergehender Klagebefugnisse – eingeschränkt werden sollten. Die Ratsdokumente enthalten keinen Hinweis darauf, dass eine derartige Regelung getroffen werden sollte.

dd) Auch den Erwägungsgründen 11 und 13 kann nicht entnommen werden, dass die Sanktionen und die Rechtsdurchsetzung in der Datenschutz-Grundverordnung abschließend geregelt seien (so aber Köhler, WRP 2018, 1269 Rn. 24; Ohly, GRUR 2019, 686 [688]).

Zwar ist dort die Rede davon, dass in den Mitgliedstaaten die gleichen Befugnisse bei der Überwachung und Gewährleistung der Einhaltung der Vorschriften zum Schutz personenbezogener Daten sowie die gleichen bzw. gleichwertigen Sanktionen im Falle ihrer Verletzung erforderlich sind. Als Sanktionen in diesem Sinne sind indes die von den Aufsichtsbehörden zu ergreifenden Maßnahmen (Artikel 58 Absatz 2 DSGVO), insbesondere die zu verhängenden Geldbußen (Artikel 58 Absatz 2 lit. i DSGVO), zu verstehen, für die es in Artikel 83 DSGVO eine ausgestaltende Regelung zur Höhe und zu den Bemessungskriterien gibt. Die zivilrechtliche Verfolgung von Ansprüchen durch Private stellt jedoch keine Sanktion in diesem Sinne dar. Wie die Überschrift zu Kapitel VIII belegt, unterscheidet die Verordnung zwischen Rechtsbehelfen, Haftung und Sanktionen (zutreffend Uebele, GRUR 2019, 694 [698]).

5. Die Klagebefugnis der Verbände gemäß § 8 Absatz 3 Nr. 2 UWG fügt sich in den Wertungsrahmen der Datenschutz-Grundverordnung ein.

Die Verfolgung von Wettbewerbsverstößen durch Mitbewerber und Wettbewerbsverbände hat sich als schlagkräftiges Instrument bewährt (Entwurf der Bundesregierung für ein Gesetz gegen den unlauteren Wettbewerb, Bundestag Drucksache 15/1487, S. 22). Zwar sind die Mitgliedstaaten nach Artikel 52 Absatz 4 DSGVO verpflichtet, die Aufsichtsbehörden mit den erforderlichen Ressourcen auszustatten, damit sie ihre Aufgaben effektiv wahrnehmen können. Da allerdings alle Ressourcen begrenzt sind und jede Behörde Schwerpunkte und Prioritäten setzen muss, können die Mitbewerber und Wettbewerbsverbände auch bei der Überwachung der Datenschutzregeln einen wesentlichen Beitrag leisten. Damit dient die ihnen zustehende Klagebefugnis der effektiven Durchsetzung der Verordnung, die im Interesse des Verordnungsgebers liegt und die sich damit in den in den Rahmen des den einzelnen Mitgliedstaaten eingeräumten Wertungsspielraums einfügt. Da sich aus Artikel 77 ff. DSGVO der Grundsatz entnehmen lässt, dass weitergehende Rechtsbehelfe unberührt bleiben, gilt für die Befugnis von Verbänden nichts anderes (Laoutoumai/Hoppe, K&R 2018, 533 [535]).

II. Die Klage ist auch begründet. Der Unterlassungsanspruch folgt aus § 8 Absatz 1 UWG i.V.m. §§ 3, 3a UWG und Artikel 13 DSGVO.

1. Wer eine nach § 3 UWG unzulässige geschäftliche Handlung vornimmt, kann gemäß § 8 Absatz 1 Satz 1 UWG bei Wiederholungsgefahr auf Unterlassung in Anspruch genommen werden. Nach § 3a UWG begeht eine im Sinne von § 3 Absatz 1 UWG unzulässige geschäftliche Handlung, wer einer gesetzlichen Vorschrift zuwiderhandelt, die auch dazu bestimmt ist, im Interesse der Marktteilnehmer das Marktverhalten zu regeln, wenn der Verstoß geeignet ist, die Interessen von Verbrauchern, sonstigen Marktteilnehmern oder Mitbewerbern spürbar zu beeinträchtigen.

Die Anwendung von § 3a UWG wird durch die vollharmonisierende UGP-Richtlinie nicht gesperrt, da diese selbst vorsieht, dass Rechtsvorschriften der Gemeinschaft, die besondere Aspekte unlauterer Geschäftspraktiken regeln, vorgehen und maßgebend sind (Artikel 3 Absatz 4 UGP-Richtlinie). Die in Erwägungsgrund Nr. 10 zur UGP-Richtlinie genannten Richtlinien sind nicht abschließend (Micklitz/Namysłowska in Münchener Kommentar zum UWG, 3. Aufl. 2020, Art. 3 UGP-Richtlinie Rn. 35). Auch datenschutzrechtliche Bestimmungen können besondere Aspekte unlauterer Geschäftspraktiken regeln, wie der letzte Satz des Erwägungsgrundes 14 zur UGP-Richtlinie zeigt. Es hängt von den Regelungen im Einzelfall ab, welche Verordnung einen bestimmten Aspekt unlauterer Geschäftspraktiken speziell regelt. Für die datenschutzrechtlichen Informationspflichten ist Artikel 13 DSGVO maßgebend. Nicht erforderlich ist damit ein Rückgriff auf § 5a Absatz 2 und 4 UWG. Diese Bestimmung regelt in Umsetzung von Artikel 7 UGP-Richtlinie den Unlauterkeitstatbestand des Vorenthaltens einer für eine informierte geschäftliche Entscheidung des Verbrauchers erforderlichen wesentlichen Information.

2. Mit dem Inserat auf der Internethandelsplattform hat der Beklagte gegen Artikel 13 DSGVO verstoßen.

a) Es liegt eine geschäftliche Handlung im Sinne von § 3 Absatz 1 UWG vor. Als solche gilt jedes Verhalten einer Person zugunsten des eigenen oder eines fremden Unternehmens vor, bei oder nach einem Geschäftsabschluss, das mit der Förderung des Absatzes oder des Bezugs von Waren oder Dienstleistungen oder mit dem Abschluss oder der Durchführung eines Vertrags über Waren oder Dienstleistungen objektiv zusammenhängt. Dies ist bei einem Inserat mit der Möglichkeit der Kontaktaufnahme und Bestellmöglichkeit der Fall.

Der Beklagte hat auch für sein Unternehmen gehandelt. Unternehmer ist nach der Legaldefinition des § 14 Absatz 1 BGB eine Person, die bei Abschluss eines Rechtsgeschäfts in Ausübung ihrer gewerblichen oder selbständigen beruflichen Tätigkeit handelt. Eine gewerbliche Tätigkeit setzt ein selbständiges und planmäßiges, auf eine gewisse Dauer angelegtes Anbieten entgeltlicher Leistungen am Markt voraus (BGH, Urteil vom 04. Dezember 2008 – I ZR 3/06, juris Rn. 33 – Ohrclips). Diese Voraussetzungen liegen unstreitig vor, nachdem sich der Beklagte selbst auf der Handelsplattform als gewerblicher Verkäufer präsentiert.

b) Werden personenbezogene Daten bei der betroffenen Person erhoben, so hat der Verantwortliche zur Erhebung der Daten Informationen zu erteilen. Teilweise hängen die Informationspflichten davon ab, ob bestimmte Umstände vorliegen (Artikel 13 Absatz 1 lit. a (2. Alt.), lit. b, d, e, f, Artikel 13 Absatz 2 lit. c, f und Artikel 13 Absatz 3). Da zu dem Vorliegen solcher Umstände nichts vorgetragen ist, kann lediglich festgestellt werden, dass der Beklagte vor der Entgegennahme personenbezogener Daten der Käufer und Interessenten über folgende Umstände zu informieren hatte:

(1) den Namen und die Kontaktdaten des Verantwortlichen (Artikel 13 Absatz 1 lit. a DSGVO);

(2) die Zwecke, für die die personenbezogenen Daten verarbeitet werden sollen, sowie die Rechtsgrundlage für die Verarbeitung (Artikel 13 Absatz 1 lit. c DSGVO);

(3) die Dauer, für die die personenbezogenen Daten gespeichert werden oder, falls dies nicht möglich ist, die Kriterien für die Festlegung dieser Dauer (Artikel 13 Absatz 2 lit. a DSGVO);

(4) das Bestehen eines Rechts auf Auskunft seitens des Verantwortlichen über die betreffenden personenbezogenen Daten sowie auf Berichtigung oder Löschung oder auf Einschränkung der Verarbeitung oder eines Widerspruchsrechts gegen die Verarbeitung sowie des Rechts auf Datenübertragbarkeit (Artikel 13 Absatz 2 lit. b DSGVO);

(5) das Bestehen eines Beschwerderechts bei einer Aufsichtsbehörde (Artikel 13 Absatz 2 lit. d DSGVO) und

(6) ob die Bereitstellung der personenbezogenen Daten gesetzlich oder vertraglich vorgeschrieben oder für einen Vertragsabschluss erforderlich ist, ob die betroffene Person verpflichtet ist, die personenbezogenen Daten bereitzustellen, und welche möglichen Folgen die Nichtbereitstellung hätte (Artikel 13 Absatz 2 lit. e DSGVO).

Unstreitig hat der Beklagte diese Informationen nicht vorgehalten. Er ist als Verantwortlicher im Sinne von Artikel 4 Nr. 7 DSGVO anzusehen, da er Daten der Käufer und Kaufinteressenten, die sich mit ihm in Verbindung setzen, erhebt und über die Zwecke und Mittel der so erhobenen personenbezogenen Daten entscheidet. Die zu erteilenden Informationen waren den Käufern bzw. Interessenten auch nicht auf andere Weise bekannt (Artikel 13 Absatz 3 DSGVO).

c) Bei den genannten Bestimmungen der Datenschutz-Grundverordnung handelt es sich um Marktverhaltensregelungen im Sinne von § 3a UWG.

aa) Teilweise wird den Bestimmungen der Datenschutz-Grundverordnung der Marktbezug allerdings insgesamt abgesprochen (Köhler, WRP 2018, 1269 Rn. 22; zum abgelaufenen Recht: OLG München, Urteil vom 12. Januar 2012 – 29 U 3926/11, juris Rn. 29). Dem wird entgegengehalten, dass die Verordnung nach Erwägungsgrund 9 Satz 3 auch eine wettbewerbsrechtliche Zielsetzung habe (Wolff, ZD 2018, 248).

Vermittelnd wird vertreten, dass datenschutzrechtliche Bestimmungen im Allgemeinen dem Schutz der Persönlichkeitsrechte dienen und sie einen wettbewerbsrechtlichen Bezug nur aufweisen, soweit es um die Zulässigkeit der Erhebung, Verarbeitung oder Nutzung von Daten geht, etwa zu Zwecken der Werbung, der Meinungsforschung, der Erstellung von Nutzerprofilen, des Adresshandels oder sonstiger kommerzieller Zwecke (Schaffert in: Münchener Kommentar zum Lauterkeitsrecht, 3. Aufl. 2020, § 3a UWG Rn. 81; Schreiber, GRUR-Prax 2019, 4; diesen Ansatz verfolgend: OLG Frankfurt, Urteil vom 13. Dezember 2000 – 13 U 204/98, juris Rn. 37; zur DSGVO: OLG Sachsen-Anhalt, Urteil vom 07. November 2019 – 9 U 39/18, Rn. 57; Barth, WRP 2018, 790 Rn. 26; Baumgartner/Sitte, ZD 2018, 555 [557]; zur Nutzung personenbezogener Daten ohne Einwilligung: OLG Köln, Urteil vom 19. November 2010 – I-6 U 73/10, juris Rn. 13). In diesem Sinne hat der Senat bereits ausgesprochen, dass die konkrete Norm auf ihren Marktbezug zu untersuchen ist (OLG Stuttgart, Urteil vom 22. Februar 2007 – 2 U 132/06, juris Rn. 27). Das Datenschutzrecht mit seinen facettenreichen Verzweigungen verfolgt nicht allein einen einzelnen Schutzzweck. Daher verbietet sich eine generalisierende Betrachtung (Schmitt, WRP 2019, 27 Rn. 12).

bb) Als Marktverhalten im Sinne von § 3a UWG ist jede Tätigkeit auf einem Markt anzusehen, die objektiv der Förderung des Absatzes oder des Bezugs von Waren oder Dienstleistungen dient und durch die ein Unternehmer auf Mitbewerber, Verbraucher oder sonstige Marktteilnehmer einwirkt (OLG Stuttgart, Urteil vom 08. Juni 2017 - 2 U 127/16, juris Rn. 28 – Extraportion Vitamin C). Eine Norm regelt das Marktverhalten im Interesse der Mitbewerber, Verbraucher oder sonstigen Marktteilnehmer, wenn sie einen Wettbewerbsbezug in der Form aufweist, dass sie die wettbewerblichen Belange der als Anbieter oder Nachfrager von Waren oder Dienstleistungen in Betracht kommenden Personen schützt (BGH, Urteil vom 08. Oktober 2015 – I ZR 225/13, juris Rn. 21 – Eizellspende). Eine Vorschrift, die dem Schutz von Rechten, Rechtsgütern oder sonstigen Interessen von Marktteilnehmern dient, ist eine Marktverhaltensregelung, wenn das geschützte Interesse gerade durch die Marktteilnahme, also durch den Abschluss von Austauschverträgen und den nachfolgenden Verbrauch oder Gebrauch der erworbenen Ware oder in Anspruch genommenen Dienstleistung berührt wird (BGH, Urteil vom 27. April 2017 – I ZR 215/15, juris Rn. 20 – Aufzeichnungspflicht). Nicht erforderlich ist dabei eine spezifisch wettbewerbsbezogene Schutzfunktion in dem Sinne, dass die Regelung die Marktteilnehmer speziell vor dem Risiko einer unlauteren Beeinflussung ihres Marktverhaltens schützt (BGH, Urteil vom 04. November 2010 – I ZR 139/09, juris Rn. 34). Die Vorschrift muss aber zumindest auch den Schutz der wettbewerblichen Interessen der Marktteilnehmer bezwecken (BGH, Urteil vom 28. November 2019 – I ZR 23/19, juris Rn. 24 – Pflichten des Batterieherstellers).

cc) Nach diesen Maßstäben, denen zufolge nicht nur die Interessen der Mitbewerber, sondern aller Marktteilnehmer einzubeziehen sind, liegt hinsichtlich aller Informationspflichten ein Marktbezug vor.

(1) Die Kenntnis des Namens und der Kontaktdaten des Verantwortlichen (Artikel 13 Absatz 1 lit. a DSGVO) hat eine verbraucherschützende Funktion und weist den erforderlichen wettbewerblichen Bezug auf. Sie erleichtert die Kommunikation mit dem Unternehmen (zur Anbieterkennzeichnung bei Telemediendiensten: BGH, Urteil vom 20. Juli 2006 – I ZR 228/03, juris Rn. 15). In diesem Sinne auch als verbraucherschützend mit Marktbezug zu werten sind die Information über die in Artikel 13 Absatz 2 lit. b DSGVO angesprochenen Rechte gegen den Verantwortlichen sowie der Hinweis auf das Beschwerderecht gegenüber der Aufsichtsbehörde (Artikel 13 Absatz 2 lit. d DSGVO).

(2) Einen nicht nur persönlichkeitsschützenden Charakter, sondern auch wettbewerblichen Bezug hat ferner die Information über die Zwecke, für die die personenbezogenen Daten verarbeitet werden sollen, sowie die Rechtsgrundlage für die Verarbeitung (Artikel 13 Absatz 1 lit. c DSGVO) und darüber, ob die Bereitstellung der Daten gesetzlich oder vertraglich vorgeschrieben oder für einen Vertragsabschluss erforderlich ist, ob die betroffene Person verpflichtet ist, die personenbezogenen Daten bereitzustellen, und welche möglichen Folgen die Nichtbereitstellung hätte (Artikel 13 Absatz 2 lit. e DSGVO). Einen Marktbezug hat schließlich auch die Pflicht zur Erteilung der Information über die Dauer, für die die personenbezogenen Daten gespeichert werden oder, falls dies nicht möglich ist, die Kriterien für die Festlegung dieser Dauer (Artikel 13 Absatz 2 lit. a DSGVO).

Dem Interesse der Verbraucher und sonstigen Marktteilnehmer dient eine Norm, wenn sie deren Informationsinteresse und Entscheidungs- und Verhaltensfreiheit in Bezug auf die Marktteilnahme schützt (Köhler in: Köhler/Bornkamm/Feddersen/Köhler, a.a.O., § 3a UWG Rn. 1.67). Dies ist hier der Fall. Bereits durch den Geschäftskontakt als solchen werden datenschutzrechtliche Belange des Interessenten berührt und entsprechende Pflichten des Unternehmers begründet.

Die Entscheidung des Interessenten für eine Anbahnung des Vertrages stellt eine geschäftliche Entscheidung dar. Der Begriff der „geschäftlichen Entscheidung“ umfasst nicht nur die Entscheidung über den Erwerb oder Nichterwerb eines Produkts, sondern auch damit unmittelbar zusammenhängende Entscheidungen wie die Kontaktaufnahme mit dem Anbieter (BGH, Urteil vom 28. April 2016 – I ZR 23/15, juris Rn. 34 – Geo-Targeting). Die Entscheidung, mit dem Anbieter über Fernkommunikationsmittel in Kontakt zu treten, ist mithin untrennbar mit der Übermittlung personenbezogener Daten verknüpft ist (in diesem Sinne auch OLG Hamburg, Urteil vom 27. Juni 2013 – 3 U 26/12, juris Rn. 58 zu § 13 TMG). Die zu erteilenden Informationen dienen damit auch der Entscheidung des Verbrauchers, mit dem Unternehmen überhaupt in Kontakt zu treten und in diesem Zuge Daten zu übermitteln.

Für den Verbraucher kann für die Anbahnung des Geschäftes auch von Bedeutung sein, für welchen Zweck die Daten verarbeitet und wie lange sie gespeichert werden sollen. Je weiter die Zweckerklärung reicht und je länger die Daten gespeichert werden, desto eher besteht die Gefahr für eine vom Verbraucher unerwünschte Datenverarbeitung durch den Unternehmer oder gar für einen Datenmissbrauch durch Dritte. Insbesondere in den Fällen einer kostenlosen oder günstigen Gegenleistung erkennen Verbraucher durchaus, dass die Verarbeitung ihrer Daten Teil des Geschäftsmodells ist. Die zu erteilenden Informationen zur Datenerhebung stellen somit Informationen dar, die dem Verbraucher eine informierte Entscheidung über die Geschäftsanbahnung ermöglichen.

Dass die mit dem Geschäftskontakt betroffenen datenschutzrechtlichen Belange nicht getrennt hiervon betrachtet werden können, zeigt auch der Umstand, dass Artikel 13 DSGVO nicht (nur) im Sinne einer persönlichkeitsschützenden Norm dazu dient, dem Verbraucher die notwendigen Informationen zu erteilen, um eine wirksame Einwilligung „in informierter Weise“ (Artikel 4 Nr. 11 DSGVO) zu erteilen (Artikel 7 Absatz 1 DSGVO). Vielmehr ist der Verbraucher auch dann über die Zwecke der Datenverarbeitung und deren Rechtsgrundlagen aufzuklären, wenn seine Einwilligung nicht erforderlich ist, weil bereits die Erforderlichkeit der Datenverarbeitung für die Erfüllung des Vertrags oder zur Durchführung vorvertraglicher Maßnahmen deren Rechtmäßigkeit begründet (vgl. Artikel 6 Absatz 1 Satz 1 lit. b DSGVO).

3. Der Verstoß ist auch geeignet, die Interessen von Verbrauchern, sonstigen Marktteilnehmern oder Mitbewerbern spürbar zu beeinträchtigen. Spürbarkeit ist dann zu bejahen, wenn eine Beeinträchtigung der geschützten Interessen nicht nur theoretisch, sondern auch tatsächlich mit einer gewissen Wahrscheinlichkeit eintreten kann (OLG Stuttgart, Urteil vom 05. Juli 2018 – 2 U 167/17, juris Rn. 31).

a) Besteht der Verstoß gegen eine Marktverhaltensregelung darin, dass dem Verbraucher eine wesentliche Information vorenthalten wird, ist dieser Verstoß nur dann spürbar im Sinne von § 3a UWG, wenn er die ihm vorenthaltene wesentliche Information je nach den Umständen benötigt, um eine informierte Entscheidung zu treffen, und deren Vorenthalten geeignet ist, den Verbraucher zu einer geschäftlichen Entscheidung zu veranlassen, die er andernfalls nicht getroffen hätte (BGH, Urteil vom 31. Oktober 2018 – I ZR 73/17, juris Rn. 31 – Jogginghosen).

Den Unternehmer, der geltend macht, dass der Verbraucher – abweichend vom Regelfall – eine ihm vorenthaltene wesentliche Information für eine Kaufentscheidung nicht benötigt und dass das Vorenthalten dieser Information den Verbraucher nicht zu einer anderen Kaufentscheidung veranlassen kann, trifft insoweit allerdings eine sekundäre Darlegungslast (BGH, Urteil vom 02. März 2017 – I ZR 41/16, juris Rn. 32 – Komplettküchen). Der Verbraucher wird eine wesentliche Information im Allgemeinen für eine informierte geschäftliche Entscheidung benötigen. Ebenso wird, sofern im konkreten Fall keine besonderen Umstände vorliegen, grundsätzlich davon auszugehen sein, dass das Vorenthalten einer wesentlichen Information, die der Verbraucher nach den Umständen benötigt, um eine informierte Entscheidung zu treffen, geeignet ist, den Verbraucher zu einer geschäftlichen Entscheidung zu veranlassen, die er bei der geboten gewesenen Information nicht getroffen hätte (BGH, Urteil vom 07. März 2019 – I ZR 184/17, juris Rn. 27 – Energieeffizienzklasse III).

b) Aus den Gründen, aus denen die Informationspflichten gemäß Artikel 13 DSGVO als Marktverhaltensregelungen einzuordnen sind, ist ein hiergegen gerichteter Verstoß regelmäßig als spürbar zu bewerten. Der Beklagte hat auch keinen Vortrag dazu gehalten, der in Zweifel ziehen würde, dass der Verbraucher die zu erteilenden Informationen abweichend vom Regelfall nicht für eine informierte Entscheidung, mit ihm über das Internetportal zur Geschäftsanbahnung in Kontakt zu treten, benötigen würde.

5. Der Anspruch ist auch nicht verjährt.

Die vor Ablauf der Verjährungsfrist am 19.10.2018 zugestellte Klage war zunächst darauf gerichtet, die konkrete Verletzungsform unter dem Aspekt untersagen zu lassen, dass eine Webseite betrieben werde, ohne eine Datenschutzerklärung vorzuhalten. Da dieser rechtliche Gesichtspunkt sowohl nach Maßgabe des § 13 TMG als auch nach Maßgabe von Artikel 13 DSGVO zu prüfen war, schadet die spätere Aufteilung in zwei Streitgegenstände nicht. Unerheblich ist, dass die Vorgaben an den Inhalt die zu erteilenden Informationen über die Datenerhebung teilweise voneinander abweichen. Der Kläger hat insoweit die vollständig unterbliebene Erklärung beanstandet; dies deckt die Beurteilung nach beiden Bestimmungen ab. Die nach § 204 Absatz 1 Nr. 1 BGB eintretende Hemmung der Verjährung erfasst damit auch beide rechtliche Gesichtspunkte."

Den Volltext der Entscheidung finden Sie hier:




LG Heidelberg: Kein Auskunftsanspruch nach Art. 15 DSGVO gegen verarbeitende Stelle wenn der Aufwand unverhältnismäßig ist - Sichtung und Anonymisierung von über 10.000 E-Mails

LG Heidelberg
Urteil vom 06.02.2020
4 O 6/19


Das LG Heidelberg hat entschieden, dass kein Auskunftsanspruch nach Art. 15 DSGVO gegen die verarbeitende Stelle besteht, wenn der Aufwand unverhältnismäßig ist. Vorliegend hat das Gericht eine Unverhältnismäßigkeit bejaht, da die Sichtung und Anonymisierung von über 10.000 E-Mails erforderlich gewesen wäre.

EuGH-Generalanwalt: Keine wirksame Einwilligung nach Art. 6 Abs. 1 lit. a DSGVO wenn Kunde in standardisiertem Vertrag handschriftlich Anfertigung / Speicherung von Ausweiskopien verweigern muss

EuGH-Generalanwalt
Schlussanträge vom 04.03.2020
C‑61/19
Orange România SA gegen Autoritatea Naţională de Supraveghere a Prelucrării Datelor cu Caracter Personal (ANSPDCP)


Der EuGH-Generalanwalt hat sich mit den Anforderungen an die Wirksamkeit einer Einwilligung nach Art. 6 Abs. 1 lit. a DSGVO befasst. Nach Ansicht des EuGH-Generalanwalts liegt keine wirksame Einwilligung nach Art. 6 Abs. 1 lit. a DSGVO vor, wenn ein Mobilfunkkunde in einem standardisierten Vertrag handschriftlich die Anfertigung und Speicherung von Ausweiskopien verweigern muss.

Vorschlag des EuGH-Generalanwalts:

Eine betroffene Person, die ein Vertragsverhältnis über die Erbringung von Mobiltelekommunikationsdiensten mit einem Unternehmen einzugehen beabsichtigt, erteilt dem Unternehmen keine „Einwilligung“, d. h. bekundet nicht „ohne Zwang, für den konkreten Fall und in Kenntnis der Sachlage“ ihren Willen, im Sinne von Art. 2 Buchst. h der Richtlinie 95/46/EG des Europäischen Parlaments und des Rates vom 24. Oktober 1995 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten und zum freien Datenverkehr und von Art. 4 Nr. 11 der Verordnung (EU) 2016/679 des Europäischen Parlaments und des Rates vom 27. April 2016 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten, zum freien Datenverkehr und zur Aufhebung der Richtlinie 95/46/EG (Datenschutz-Grundverordnung), wenn sie auf einem ansonsten standardisierten Vertrag handschriftlich erklären muss, dass sie die Einwilligung in die Anfertigung und Aufbewahrung von Fotokopien ihrer Ausweispapiere verweigert.

Den Volltext finden Sie hier: