BECKMANN UND NORDA - Rechtsanwälte Bielefeld

EuGH
Urteil vom 05.12.2023, C-683/21 (Nacionalinis visuomenės sveikatos centras)
Urteil vom 05.12.2023, C-807/21 (Deutsche Wohnen)

Der EuGH hat entschieden, dass eine Geldbuße gegen ein Unternehmen durch die Datenschutzbehörde wegen eines DSGVO-Verstoßes einen schuldhaften Verstoß voraussetzt. Die Höhe richtet sich bei Unternehmen, die einem Konzern angehören, nach dem Jahresumsatz des Konzerns.

Die Pressemitteilung des Gerichts:
Nur ein schuldhafter Verstoß gegen die Datenschutz-Grundverordnung kann zur Verhängung einer Geldbuße führen

Gehört der Adressat der Geldbuße zu einem Konzern, bemisst sich die Geldbuße nach dem Jahresumsatz des Konzerns

Der Gerichtshof präzisiert die Voraussetzungen, unter denen die nationalen Aufsichtsbehörden eine Geldbuße gegen einen oder mehrere für die Datenverarbeitung Verantwortliche wegen Verstoßes gegen die DatenschutzGrundverordnung (DSGVO) verhängen können. Insbesondere stellt er fest, dass die Verhängung einer solchen Geldbuße ein schuldhaftes Verhalten voraussetzt, der Verstoß also vorsätzlich oder fahrlässig begangen worden sein muss. Gehört der Adressat der Geldbuße zu einem Konzern, ist bei der Berechnung der Geldbuße auf den Umsatz des Konzerns abzustellen

Ein litauisches und ein deutsches Gericht haben den Gerichtshof ersucht, die Datenschutz- Grundverordnung (DSGVO)1 auszulegen, und zwar im Hinblick auf die Möglichkeit nationaler Aufsichtsbehörden, Verstöße gegen diese Verordnung durch Verhängung einer Geldbuße gegen den für die Datenverarbeitung Verantwortlichen zu ahnden.

Im litauischen Fall wendet sich das Nationale Zentrum für öffentliche Gesundheit beim Gesundheitsministerium gegen eine Geldbuße in Höhe von 12 000 Euro, die ihm im Zusammenhang mit der Entwicklung (mit Unterstützung durch ein privates Unternehmen) einer mobilen Anwendung auferlegt wurde, die der Erfassung und Überwachung der Daten der dem Covid-19-Virus ausgesetzten Personen dienen sollte.

Im deutschen Fall wendet sich das Immobilienunternehmen Deutsche Wohnen, das mittelbar rund 163 000 Wohneinheiten und 3 000 Gewerbeeinheiten hält, u. a. gegen eine Geldbuße von über 14 Mio. Euro, die ihm auferlegt wurde, weil es personenbezogene Daten von Mietern länger als erforderlich speicherte.

Der Gerichtshof entscheidet, dass gegen einen für die Datenverarbeitung Verantwortlichen nur dann eine Geldbuße wegen Verstoßes gegen die DSGVO verhängt werden kann, wenn dieser Verstoß schuldhaft – also vorsätzlich oder fahrlässig – begangen wurde. Dies ist dann der Fall, wenn sich der Verantwortliche über die Rechtswidrigkeit seines Verhaltens nicht im Unklaren sein konnte, gleichviel, ob ihm dabei bewusst war, dass es gegen die Bestimmungen der DSGVO verstößt.

Handelt es sich bei dem Verantwortlichen um eine juristische Person, ist es nicht erforderlich, dass der Verstoß von ihrem Leitungsorgan begangen wurde oder dieses Organ Kenntnis davon hatte. Vielmehr haftet eine juristische Person sowohl für Verstöße, die von ihren Vertretern, Leitungspersonen oder Geschäftsführern begangen werden, als auch für Verstöße, die von jeder sonstigen Person begangen werden, die im Rahmen ihrer unternehmerischen Tätigkeit in ihrem Namen handelt. Die Verhängung einer Geldbuße gegen eine juristische Person als Verantwortliche darf nicht der Voraussetzung unterliegen, dass zuvor festgestellt wurde, dass der Verstoß von einer identifizierten natürlichen Person begangen wurde.

Außerdem kann gegen einen Verantwortlichen eine Geldbuße auch für Verarbeitungsvorgänge verhängt werden, die von einem Auftragsverarbeiter durchgeführt wurden, sofern diese Vorgänge dem Verantwortlichen zugerechnet werden können.

Zur gemeinsamen Verantwortlichkeit von zwei oder mehr Einrichtungen führt der Gerichtshof aus, dass diese sich allein daraus ergibt, dass die Einrichtungen an der Entscheidung über die Zwecke und Mittel der Verarbeitung mitgewirkt haben. Die Einstufung als „gemeinsam Verantwortliche“ setzt keine förmliche Vereinbarung zwischen den betreffenden Einrichtungen voraus. Eine gemeinsame Entscheidung oder übereinstimmende Entscheidungen reichen aus. Handelt es sich jedoch tatsächlich um gemeinsam Verantwortliche, müssen diese in einer Vereinbarung ihre jeweiligen Pflichten festlegen.

Schließlich muss sich die Aufsichtsbehörde bei der Bemessung der Geldbuße, wenn der Adressat ein Unternehmen ist oder zu einem Unternehmen gehört, auf den wettbewerbsrechtlichen Begriff „Unternehmen“ stützen. Der Höchstbetrag der Geldbuße ist daher auf der Grundlage eines Prozentsatzes des gesamten Jahresumsatzes zu berechnen, den das betreffende Unternehmen als Ganzes im vorangegangenen Geschäftsjahr weltweit erzielt hat.

Den Volltext der Entscheidung finden Sie hier:
EuGH, Urteil vom 05.12.2023, C-683/12 (Nacionalinis visuomenės sveikatos centras)
EuGH, Urteil vom 05.12.2023, C-807/21 (Deutsche Wohnen)

VG Berlin
Urteil vom 12.10.2023
1 K 561/21

Das VG Berlin hat entschieden, kein Auskunftsanspruch nach Art 15 DSGVO hinsichtlich im Rahmen der Videoüberwachung in S-Bahnen gewonnenen Aufzeichnungen besteht, da der Aufwand unverhältnismäßig wäre.

Aus den Entscheidungsgründen:
Letztlich kann jedoch offenbleiben, ob die im Rahmen der Videoüberwachung in den S-Bahnen der Klägerin gewonnenen Aufzeichnungen – allgemein bzw. im vorliegenden Sachverhalt – personenbezogene Daten darstellen. Denn der Beigeladene hatte, unter keinem Gesichtspunkt einen Anspruch auf Zurverfügungstellung einer Kopie der Videoaufzeichnungen.

Der insoweit nach dem allgemeinen Günstigkeitsprinzip (vgl. hierzu BVerwG, Urteil vom 27. November 1980 - 2 C 38.79, juris Rn. 39) darlegungsbelastete Beigeladene hat schon nicht nachgewiesen, dass – was von der zuvor aufgeworfenen Frage des Personenbezugs der Daten zu unterscheiden ist – er tatsächlich die „betroffene Person“ i.S.d. Art. 15 DSGVO ist, deren Bilddaten zu dem von ihm angegebenen Zeitraum in dem von ihm benannten Zug der Klägerin gespeichert wurden. Die Klägerin hat in diesem Zusammenhang zu Recht darauf hingewiesen, dass, um die Herausgabe an unberechtigte Dritte ausschließen zu können, eine zweifelsfreie Übereinstimmung der Person des Auskunftsbegehrenden mit der Person des auf den Videos Abgebildeten gewährleistet werden muss. Hierfür reichen aber allein Angaben, wie der Beigeladenen sie gemacht hat (Zeitraum der Beförderung, Zugnummer, äußeres Erscheinungsbild und Verhaltensweise der Person) nicht aus. Denn es erscheint beispielsweise denkbar, dass ein Antragsteller derartige Angaben zu einer anderen Person macht, die ihm etwa deshalb bekannt sind, weil er mit ihr zusammen in einem der Züge der Klägerin gefahren ist, um so an die Videoaufzeichnungen dieser Person zu gelangen. Unabhängig von der Frage, ob überhaupt – und wenn ja auf welche Art und Weise – verlässlich die Identität eines Antragstellers mit einer im Rahmen der Videoaufzeichnung erfassten Person überprüft werden könnte, erscheint dies im vorliegenden Fall ferner schon deshalb ausgeschlossen, weil der Beigeladene seinen eigenen Angaben zufolge anlässlich der Zugfahrt eine Mund-Nasen-Bedeckung trug und seine Gesichtszüge daher nicht erkennbar waren. Auf die von den Beteiligten in diesem Zusammenhang aufgeworfene Frage, ob aus Art. 11 DSGVO abgeleitet werden kann, dass die Klägerin nicht verpflichtet ist, weitere Anstrengungen zu unternehmen, um einen Auskunftsbegehrenden auf den Videoaufzeichnungen zu identifizieren, kommt es damit nicht mehr an.

Hinzu kommt, dass der Klägerin die Auskunftserteilung auch wegen eines dafür zu treibenden unverhältnismäßigen Aufwandes nicht zumutbar war. Hierzu hat das Amtsgericht Pankow in einem Verfahren, in dem der Beigeladene die Klägerin, gestützt auf Art. 82 DSGVO, wegen der Zurückweisung eines weiteren Auskunftsbegehrens auf Zahlung von Schadensersatz in Anspruch genommen hat, Folgendes ausgeführt (Urteil vom 28. März 2022 - 4 C 199/21, juris):

„Hinsichtlich des hierauf basierenden Auskunftsanspruch gemäß Art. 15 DSGVO ist der Beklagten das Erfüllen dieses Auskunftsanspruchs jedoch aufgrund unverhältnismäßigen Aufwands unzumutbar gemäß § 275 Abs. 2 BGB (vgl. Gola/Franck, DS-GVO, Kommentar, 1. Aufl. 2017, Art. 15, Rn. 30). Aufgrund des Ausnahmecharakters von § 275 Abs. 2 BGB und aufgrund der zentralen Bedeutung des Auskunftsanspruchs gemäß Art. 15 DSGVO sind strenge Maßstäbe an die Unverhältnismäßigkeit eines Auskunftsbegehrens anzulegen. Insbesondere besteht ein Verweigerungsrecht nur bei einem groben Missverhältnis zwischen Aufwand und Leistungsinteresse.

Ein solch grobes Missverhältnis besteht jedoch hier. Denn das Transparenzinteresse des Klägers ist äußerst gering. Insbesondere war er sich des Ob, Wie und Was der Datenverarbeitung bewusst (vgl. Gola/Franck, DS-GVO, Kommentar, 1. Aufl. 2017, Art. 15, Rn. 2). Der Kläger wusste genau, dass und in welchem Umfang personenbezogene Daten erhoben werden. Der Normzweck von Art. 15 DSGVO - das Bewusstwerden über die Datenverarbeitung - war daher weitestgehend schon erfüllt. Der hier vorliegende Sachverhalt ist gerade nicht einer Situation vergleichbar, bei der sich ein Auskunftsbegehrender einen Überblick über verarbeitete personenbezogene Daten verschaffen will, die gegebenenfalls länger in der Vergangenheit zurücklegen, oder bei den Daten zu unterschiedlichen Anlässen verarbeitet werden. Die Datenverarbeitung durch die Beklagte ist von vornherein auf 48 Stunden zeitlich und örtlich auf die Züge der Beklagten begrenzt. Dem Kläger und jedem anderen Dritten ist es zumutbar, sich innerhalb des kurzen Zeitraums von 48 Stunden zu erinnern, wann eine Dienstleistung der Beklagten in Anspruch genommen wurde und wann entsprechend eine Verarbeitung personenbezogener Daten stattgefunden hat. Mit Blick auf den sehr kurzen Zeitraum ist der vom Kläger beklagte Kontrollverlust nicht erkennbar. Wie der Kläger selbst darlegt, wurde er zudem von der Beklagten auch über sämtliche von Art. 15 Abs. 1 lit. a - h DSGVO erfassten Aspekte der Datenverarbeitung, einschließlich Verarbeitungszweck, Dauer der Verarbeitung und Beschwerderecht informiert. Auch insoweit ist der Normzweck von Art. 15 DSGVO der Vergewisserung über "Existenz, Zwecke, Absichten und Rechtsfolgen" der Datenverarbeitung erfüllt (vgl. Paal/Pauly Datenschutzgrundverordnung, Bundesdatenschutzgesetz, 3. Aufl. 2021, Art. 15 Rn. 3). Welches darüber hinausgehende Interesse der Kläger an der konkreten Gestalt der Videoaufzeichnung hat, hat er nicht hinreichend dargelegt und erschließt sich nicht. Denn für die Überprüfung der Rechtmäßigkeit der Videoaufzeichnung als einen wesentlichen Zweck von Art. 15 DSGVO bedarf der Kläger der konkreten Gestalt der Videoaufzeichnung nicht. Unabhängig von der konkreten Auflösung der Videoaufzeichnung oder der möglichen Erfassung von biometrischen Daten, steht der Eingriffscharakter der Aufzeichnung im Wesentlichen fest. Entsprechend gering ist das von Art. 15 DSGVO geschützte Vergewisserungsinteresse des Klägers.

Demgegenüber hat die Beklagte substantiiert dargelegt, dass die Erfüllung des Auskunftsanspruchs durch Verhinderung der automatischen Löschung und anschließenden Auskunft an den Kläger einen erheblichen Aufwand an Zeit, Kosten und Arbeitskraft bedeutet. Dass ein solcher Aufwand einem Auskunftsbegehren entgegenstehen kann, ist europarechtlich anerkannt (vgl. EuGH, Urteil v. 19.10.2016 C-582/14). Zum einen verfügt die Beklagte über keine Software zur Gesichtserkennung. Entsprechend komplex wäre es für die Beklagte, den Kläger aufgrund seiner Angaben zu identifizieren. Die Beklagte hat insoweit substantiiert vorgetragen, dass erhebliche Ressourcen zur Identifizierung von Personen nötig wären und dass die datenschutzgerechte Entnahme der Kassetten aufgrund von Anreisezeiten zu den Zügen und Sicherheitsvorkehrungen aufwendig sind. Zum anderen würde die Auskunft an den Kläger erfordern, dass die Beklagte ihre Betriebsvereinbarung mit Hinblick auf die Auswertung der Speicherkassetten anpasst und diese selbst auswertet, bzw. Dritte hiermit beauftragt. Eine Anpassung ihrer Prozesse, zum Beispiel durch die Anschaffung einer Software zur automatisierten Gesichtserkennung oder über eine zentrale Speicherung der Videoaufzeichnungen, bedeuten jedoch ebenso einen erheblichen Aufwand und begegnen darüber hinaus erheblichen datenschutzrechtlichen Bedenken. Die Beklagte hat insoweit dargelegt, dass ihre dezentralisierten Verarbeitungsprozesse gerade dem Datenschutz dienen. Wäre sie zu einer längeren Speicherung aufgrund des Verlangens des Klägers verpflichtet, wären notwendig auch die durch Art. 15 Abs. 4 DSGVO geschützten Interessen von Dritten betroffen. Aufgrund der datenschutzrechtlichen Verpflichtung der Beklagten gegenüber Dritten ist diese Drittbetroffenheit auch im Rahmen der gemäß § 275 Abs. 2 BGB erforderlichen Prüfung des Äquivalenzinteresses von Kläger und Beklagten zu berücksichtigen. Denn selbst wenn die Verpixelung oder anderweitige Unkenntlichmachung von Dritten technisch möglich ist, dürfte diese Identifizierung und Unkenntlichmachung regelmäßig nicht zuverlässig innerhalb von 48 Stunden, gegebenenfalls in sogar noch kürzeren Zeiträumen zu leisten sein. Daher würden bei einer längeren Speicherung nach einem Auskunftsersuchen notwendig die Datenschutzrechte von Dritten beeinträchtigt. Der Kläger verkennt insoweit, dass die von ihm begehrte Auskunft die strengen Löschfristen von § 20 Abs. 5 Bln DSG i. v. m. Art 17 DSGVO gegenüber Dritten und hiermit ein zentrales normatives datenschutzrechtliches Anliegen aufzuweichen droht. Aufgrund dessen tritt mit Blick auf den erheblichen Ressourcenaufwand der Beklagten, sowie Datenschutzrechten von Dritten, der begrenzte Erkenntnisgewinn des Klägers an der konkreten Gestalt der Videoaufzeichnung zurück, weswegen von einem groben Missverhältnis zwischen Leistungsinteresse und Aufwand gemäß § 275 Abs. 2 BGB auszugehen ist.

Es kann insoweit dahinstehen, ob ein Verweigerungsrecht der Beklagten auch aus einer analogen Anwendung von Art. 14 Abs. 5 DSGVO folgt. Ebenso kann dahinstehen, ob die vom Kläger begehrte längere Speicherung der personenbezogenen Daten und anschließender Auskunft hierüber bereits wegen eines Verstoßes gegen § 20 Abs. 5 Bln DSG rechtlich unmöglich ist, § 275 Abs. 1 BGB.“


Diesen Ausführungen schließt sich die Kammer an. Zwar ist in Art. 15 DSGVO keine ausdrückliche Ausnahme wegen unverhältnismäßigen Aufwands vorgesehen. Der durch das Amtsgericht herangezogene § 275 Abs. 2 BGB beinhaltet jedoch einen allgemeinen Rechtsgedanken, der auch in Erwägungsgrund 62 der DSGVO zum Ausdruck kommt. Danach darf eine Leistung verweigert werden, soweit diese einen Aufwand erfordert, der unter Beachtung des Gebots von Treu und Glauben, das nach Art. 8 Abs. 2 Satz 1 der Charta der Grundrechte der Europäischen Union und Art. 5 Abs. 1 lit. a DSGVO über dem gesamten Verarbeitungsvorgang steht, in einem groben Missverhältnis zum Leistungsinteresse des Gläubigers steht (vgl. Franck in: Gola/Heckmann, DSGVO - BDSG, 3. Aufl. 2022, Art. 15 Rn. 51 m.w.N.). Insoweit hat das Amtsgericht deutlich gemacht, dass zwar der Einwand der Klägerin, es sei nicht erkennbar, welchen Zweck der Beigeladene mit seinem Auskunftsanspruch verfolge, nicht unmittelbar verfängt, dass aber jedenfalls mittelbar das offenkundig nur geringe Informationsinteresse des Beigeladenen bei der vorzunehmenden Abwägung zu seinen Lasten zu berücksichtigen ist. Dies gilt gleichermaßen für die durch das Amtsgericht betonte Kollision des vom Beigeladenen geltend gemachten Anspruches mit der nach § 20 Abs. 5 BlnDSG gesetzlich vorgesehenen automatischen Löschung der Daten, die dem Schutz der Interessen aller anderen durch die Videoüberwachung erfassten Personen dient. Dieser ließe sich durch eine Unkenntlichmachung ihrer Gesichter nicht im gleichen Maße gewährleisten wie durch eine vorbehaltlose Löschung der gespeicherten Daten. Diese Unkenntlichmachung wäre, neben dem größeren datenschutzrechtlichen Risiko des Missbrauchs im Vergleich zu einer Löschung, zudem mit einigem Aufwand verbunden.

Schon aus diesem Grund bestand auch kein Anspruch des Beigeladenen auf Verhinderung der automatischen Löschung der Daten. Weder die Regelung in Art. 17 Abs. 3 lit.b) DSGVO noch die Rechte aus Art. 18 Abs. 1 lit. c) DSGVO standen dem entgegen, weil mit den dort angeführten rechtlichen Verpflichtungen der Klägerin bzw. den Rechtsansprüchen des Beigeladenen nicht die Auskunftsrechte i.S.d. Art. 15 DSGVO, sondern außerhalb der DSGVO liegende Rechtsansprüche gemeint sind. Hierfür spricht schon in systematischer Hinsicht, dass die genannten Regelungen ansonsten leerliefen, weil die Möglichkeit der zukünftigen Geltendmachung etwaiger Auskunftsansprüche in jedem Fall einer Löschung entgegenstünde. Im Übrigen spricht auch der Wortlaut des Art. 18 Abs. 1 lit. c) DSGVO gegen die Annahme, dass die Verhinderung der Löschung von Daten verlangt werden darf, nur um einen nach Art. 15 DSGVO bestehenden Auskunftsanspruch über jene Daten zu sichern. Denn danach ist Voraussetzung, dass die Daten zur Geltendmachung, Ausübung oder Verteidigung von Rechtsansprüchen „benötigt“ werden – diese also nicht unmittelbar bzw. selbst Gegenstand des geltend gemachten Anspruchs sind.

Letztlich wäre, selbst wenn die Klägerin mit der Verweigerung der Auskunftserteilung gegen die Regelungen der DSGVO verstoßen hätte, die deswegen ausgesprochene Verwarnung deshalb rechtswidrig, weil die Beklagte das ihr insoweit nach Art. 58 Abs. 2 lit. b) DSGVO eröffnete Ermessen fehlerhaft ausgeübt hat.

Die Beklagte ist hierbei eigenem Bekunden nach davon ausgegangen, dass im Falle der Feststellung eines Datenschutzverstoßes zumindest eine Verwarnung auszusprechen sei, weil dies die mildeste der in Art. 58 Abs. 2 DSGVO vorgesehenen datenschutzrechtlichen Aufsichtsmaßnahmen darstelle. Dabei hat die Beklagte außer Acht gelassen, dass auch Sachverhaltskonstellationen denkbar sind, in denen sich trotz eines festgestellten Datenschutzverstoßes die Aussprache einer Verwarnung – wegen der Geringfügigkeit des Verstoßes auf der einen und den damit auf der anderen Seite für den Adressaten verbundenen Folgen – als unverhältnismäßig darstellen und damit gegen das rechtsstaatliche Übermaßverbot verstoßen würde. Der Beklagten kommt daher nicht nur ein Auswahlermessen hinsichtlich der Frage zu, wie bzw. mit welchem der in Art. 58 DSGVO vorgesehenen Mittel sie auf einen datenschutzrechtlichen Verstoß reagiert, sondern auch ein Entschließungsermessen dahin, ob sie im Einzelfall von einem Einschreiten absieht. Da die Beklagte dieses ihr eröffnete Ermessen im vorliegenden Fall unstreitig nicht ausgeübt hat, ist der Bescheid wegen Ermessensausfalls rechtswidrig. Es kann daher offenbleiben, ob der Bescheid – angesichts der oben aufgezeigten Diskrepanz zwischen dem geringfügigen Informationsinteresse des Beigeladenen einerseits und dem durch die Klägerin für eine Auskunftserteilung zu betreibenden erheblichen Aufwand andererseits – auch wegen Ermessensüberschreitung rechtswidrig ist.

Den Volltext der Entscheidung finden Sie hier:

EuGH
Urteil vom 16.11.2023
C-333/22
Ligue des droits humains (Prüfung der Datenverarbeitung durch die Aufsichtsbehörde)

Der EuGH hat entschieden, dass dem Betroffenen ein gerichtlicher Rechtsbehelf gegen eine Entscheidung der datenschutzrechtlichen Aufsichtsbehörde zustehen muss, wenn die Datenschutzbehörde mittelbar die Rechte des Betroffenen wahrgenommen hat.

Die Pressemitteilung des EuGH:
Verarbeitung personenbezogener Daten: Beschlüsse, die eine Aufsichtsbehörde im Rahmen der mittelbaren Ausübung von Rechten der betroffenen Person erlässt, sind rechtsverbindlich

Die Gründe und Beweise, auf die sie sich stützen, müssen gerichtlich überprüft werden können.

Ein Bürger beantragte zu beruflichen Zwecken bei der belgischen nationalen Sicherheitsbehörde die Erteilung einer Sicherheitsbescheinigung. Das Dokument wurde ihm mit der Begründung verweigert, dass er an Demonstrationen teilgenommen habe. Unter Berufung auf sein Recht auf Auskunft über seine Daten wandte sich der Bürger an das Organ für die Kontrolle polizeilicher Informationen, das ihm mitteilte, dass ihm nur ein mittelbarer Auskunftsanspruch zustehe und es selbst die Rechtmäßigkeit der Verarbeitung seiner Daten prüfen werde. Im Einklang mit dem belgischen Recht beschränkte sich das Organ nach Abschluss der Prüfung jedoch darauf, dem Bürger zu antworten, dass die erforderlichen Prüfungen durch die Aufsichtsbehörde erfolgt seien. Der Bürger erhob daraufhin Klage vor dem Gericht des ersten Rechtszugs, das sich für sachlich unzuständig erklärte.

Die vom Betroffenen und der Ligue des droits humains angerufene Cour d’appel de Bruxelles (Appellationshof Brüssel, Belgien) möchte vom Gerichtshof wissen, ob das Unionsrecht die Mitgliedstaaten dazu verpflichtet, der von der Verarbeitung ihrer Daten betroffenen Person die Möglichkeit zu geben, den Beschluss der Aufsichtsbehörde anzufechten, wenn diese Behörde die Rechte dieser Person in Bezug auf die Datenverarbeitung ausübt.

Der Gerichtshof ist der Auffassung, dass die zuständige Aufsichtsbehörde dadurch, dass sie die betroffene Person über das Ergebnis der Prüfungen unterrichtet, einen rechtsverbindlichen Beschluss erlässt. Gegen diesen Beschluss muss ein Rechtsbehelf eingelegt werden können, damit der Betroffene die Beurteilung der Rechtmäßigkeit der Datenverarbeitung durch die Aufsichtsbehörde und die Entscheidung zugunsten bzw. gegen die Ausübung von Abhilfebefugnissen anfechten kann.

Der Gerichtshof weist darauf hin, dass die Aufsichtsbehörde nach dem Unionsrecht verpflichtet ist, die betroffene Person „zumindest“ darüber zu unterrichten, „dass alle erforderlichen Prüfungen oder eine Überprüfung durch die Aufsichtsbehörde erfolgt sind“, und diese „über ihr Recht auf einen gerichtlichen Rechtsbehelf“ zu informieren. Wenn die im öffentlichen Interesse liegenden Zwecke dem nicht entgegenstehen, haben die Mitgliedstaaten jedoch vorzusehen, dass die Unterrichtung der betroffenen Person über diese Mindestangaben hinausgehen kann, damit die betroffene Person ihre Rechte verteidigen und entscheiden kann, ob sie das zuständige Gericht anruft.

Außerdem müssen die Mitgliedstaaten in den Fällen, in denen die der betroffenen Person übermittelten Informationen auf das strikte Minimum beschränkt wurden, dafür Sorge tragen, dass das zuständige Gericht bei der Prüfung der Stichhaltigkeit der Rechtfertigungsgründe für eine solche Beschränkung der Informationen die im öffentlichen Interesse liegenden Zwecke (Sicherheit des Staates, Verhütung, Aufdeckung, Untersuchung oder Verfolgung von Straftaten) und die Notwendigkeit, den Bürgern die Wahrung ihrer Verfahrensrechte zu gewährleisten, gegeneinander abwägen kann. Im Rahmen dieser gerichtlichen Kontrolle müssen die nationalen Vorschriften es dem Gericht ermöglichen, von den Gründen und Beweisen, auf die die Aufsichtsbehörde den Beschluss gestützt hat, aber auch von den daraus gezogenen Schlüssen Kenntnis zu nehmen.

Tenor der Entscheidung:

1. Art. 17 in Verbindung mit Art. 46 Abs. 1 Buchst. g, Art. 47 Abs. 1 und 2 und Art. 53 Abs. 1 der Richtlinie (EU) 2016/680 des Europäischen Parlaments und des Rates vom 27. April 2016 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten durch die zuständigen Behörden zum Zwecke der Verhütung, Ermittlung, Aufdeckung oder Verfolgung von Straftaten oder der Strafvollstreckung sowie zum freien Datenverkehr und zur Aufhebung des Rahmenbeschlusses 2008/977/JI des Rates sowie in Verbindung mit Art. 8 Abs. 3 und Art. 47 der Charta der Grundrechte der Europäischen Union ist dahin auszulegen, dass dass eine Person, wenn ihre Rechte in Anwendung von Art. 17 dieser Richtlinie über die zuständige Aufsichtsbehörde ausgeübt worden sind und diese Behörde sie über das Ergebnis der durchgeführten Prüfungen unterrichtet, über einen wirksamen gerichtlichen Rechtsbehelf gegen den Beschluss dieser Behörde, das Überprüfungsverfahren abzuschließen, verfügen muss.

2. Die Prüfung der zweiten Frage hat nichts ergeben, was geeignet wäre, die Gültigkeit von Art. 17 Abs. 3 der Richtlinie (EU) 2016/680 zu berühren.

Den Volltext der Entscheidung finden Sie hier:

EuGH
Urteil vom 09.11.2023
C-319/22
Gesamtverband Autoteile-Handel (Zugang zu Fahrzeuginformationen)

Der EuGH hat entschieden, dass Fahrzeughersteller unabhängigen Wirtschaftsakteuren die Fahrzeug-Identifizierungsnummern zur Verfügung stellen müssen. Der EuGH führt weiter aus, dass es sich in Kombination mit Halterdaten dabei um personenbezogene Daten im Sinne der DSGVO handelt, die Verpflichtung aber DSGVO-konform ist.

Die Pressemitteilung des EuGH:
Fahrzeughersteller müssen unabhängigen Wirtschaftsakteuren Fahrzeug-Identifizierungsnummern bereitstellen.

Ermöglicht diese Nummer, den Halter eines Fahrzeugs zu identifizieren, und stellt sie daher ein personenbezogenes Datum dar, ist diese Verpflichtung mit der Datenschutz-Grundverordnung vereinbar.

Fahrzeughersteller sind nach dem Unionsrecht verpflichtet, unabhängigen Wirtschaftsakteuren, zu denen Reparaturbetriebe, Ersatzteilhändler und Herausgeber technischer Informationen gehören, die Informationen zugänglich zu machen, die für die Reparatur und Wartung der von ihnen hergestellten Fahrzeuge erforderlich sind.

Ein deutscher Branchenverband des freien Kfz -Teilehandels ist der Ansicht, dass weder die Form noch der Inhalt der Informationen, die seinen Mitgliedern vom Lkw-Hersteller Scania zur Verfügung gestellt werden, dieser Verpflichtung genügen. Um dieser Situation abzuhelfen, rief der Verband ein deutsches Gericht an. Dieses hat sich seinerseits an den Gerichtshof gewandt, da es sich über den Umfang der Verpflichtungen von Scania nicht im Klaren war. Es möchte u. a. wissen, ob Fahrzeug-Identifizierungsnummern personenbezogene Daten darstellen, zu deren Übermittlung die Hersteller verpflichtet sind.

Der Gerichtshof entscheidet diese Frage dahingehend, dass Fahrzeughersteller verpflichtet sind, Zugang zu allen Fahrzeugreparatur- und -wartungsinformationen zu gewähren.

Diese Informationen müssen nicht unbedingt über eine Datenbankschnittstelle zugänglich gemacht werden, die eine maschinengesteuerte Abfrage und den Download der Ergebnisse ermöglicht. Ihr Format muss jedoch für die unmittelbare elektronische Weiterverarbeitung geeignet sein. So muss es das Format ermöglichen, die maßgeblichen Daten zu extrahieren und unmittelbar nach ihrer Erhebung zu speichern. Der Gerichtshof entscheidet außerdem, dass die Fahrzeughersteller verpflichtet sind, eine Datenbank zu erstellen, die die Informationen über die Teile umfasst, die durch Ersatzteile ausgetauscht werden können. Die Suche nach Informationen in dieser Datenbank muss anhand der Fahrzeug-Identifizierungsnummern und weiterer Merkmale wie der Motorleistung oder der Ausstattungsvariante des Fahrzeugs möglich sein.

Der Gerichtshof betont, dass die Fahrzeug-Identifizierungsnummern in der Datenbank enthalten sein müssen.

Diese Nummer ist als solche nicht personenbezogen. Sie wird jedoch zu einem personenbezogenen Datum, wenn derjenige, der Zugang zu ihr hat, über Mittel verfügt, die ihm die Identifizierung des Halters des Fahrzeugs ermöglichen, sofern der Halter eine natürliche Person ist. Der Gerichtshof stellt hierzu fest, dass der Halter wie auch die Fahrzeug-Identifizierungsnummer in der Zulassungsbescheinigung angegeben sind. Selbst in den Fällen, in denen die Fahrzeug-Identifizierungsnummern als personenbezogene Daten einzustufen sind, steht die Datenschutz-Grundverordnung dem nicht entgegen, dass Fahrzeughersteller verpflichtet sind, sie unabhängigen Wirtschaftsakteuren bereitzustellen.

Den Volltext der Entscheidung finden Sie hier:

VG Hannover
Urteil vom 10.10.2023
10 A 3472/20

Das VG Hannover hat entschieden, dass die Videoüberwachung der Sitzbereiche eines Wettbüros weder nach Art. 6 Abs. 1 lit. c DSGVO noch nach Art. 6 Abs. 1 lit. f DSGVO gerichtfertigt und somit rechtswidrig ist.

Aus den Entscheidungsgründen:
I. Die Klage ist zulässig. Gemäß § 20 Abs. 1 Satz 1 Bundesdatenschutzgesetz (hiernach: BDSG) ist für Rechtsansprüche aus der der Verordnung (EU) 2016/679 des Europäischen Parlaments und des Rates vom 27. April 2016 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten, zum freien Datenverkehr und zur Aufhebung der Richtlinie 95/46/EG (Datenschutz-Grundverordnung, hiernach: DS-GVO) nach Artikel 78 Abs. 1 und 2 der DS-GVO der Verwaltungsrechtsweg gegeben. Das Verwaltungsgericht Hannover ist gemäß § 20 Abs. 3 BDSG örtlich zuständig. Die Klage gegen die Verfügungen des Beklagten aus dem Bescheid vom 20. Mai 2020 ist als Anfechtungsklage statthaft.

II. Die Klage ist unbegründet. Der Bescheid des Beklagten vom 20. Mai 2020 ist rechtmäßig und verletzt die Klägerin nicht in ihren Rechten (§ 113 Abs. 1 Satz 1 VwGO).

1. Die unter Ziffer 1 ausgesprochene Anweisung, die Ausgestaltung der von der Klägerin betriebenen Videoüberwachung so einzurichten, dass die Erhebung von personenbezogenen Daten von Personen in den Sitzbereichen während der Öffnungszeiten ausgeschlossen ist (Kameras 1,3, 4, 5 und 9) und die Überarbeitung der Kameraeinstellungen durch die Übersendung entsprechender Screenshots nachzuweisen, ist rechtmäßig.

a) Die Rechtsgrundlage für diese Anweisung findet sich in Art. 58 Abs. 2 lit. d DS-GVO. Danach verfügt die Aufsichtsbehörde über sämtliche Befugnisse, die es ihr gestatten, den Verantwortlichen anzuweisen, Verarbeitungsvorgänge gegebenenfalls auf bestimmte Weise und innerhalb eines bestimmten Zeitraums in Einklang mit der DS-GVO zu bringen.

b) Der Bescheid ist in formeller Hinsicht nicht zu beanstanden. Der Beklagte ist für den Erlass des Bescheides zuständig. Dies ergibt sich aus § 40 Abs. 1 des Bundesdatenschutzgesetzes vom 30. Juni 2017 (BDSG), § 22 Satz 1 Nr. 1 des Niedersächsischen Datenschutzgesetzes vom 16. Mai 2018 (NDSG) und Art. 55 f. DS-GVO. Die Klägerin ist vor Erlass des angegriffenen Bescheids angehört worden.

c) Die Anweisung ist auch materiell rechtmäßig. Die Videoüberwachung durch die fünf streitgegenständlichen Kameras steht in ihrer derzeitigen Ausgestaltung nicht in Einklang mit der DS-GVO. Nach Art. 5 Abs. 1 lit. a DS-GVO müssen personenbezogene Daten auf rechtmäßige Weise verarbeitet werden. Die hier in Rede stehende Videoüberwachung, bei der die im Wettbüro der Klägerin installierten Kameras 1, 3, 4, 5 und 9 als "verlängertes Auge" der Beschäftigten genutzt werden, verstößt gegen die DS-GVO, weil sie nicht nach Art. 6 DS-GVO gerechtfertigt ist.

aa. Die DS-GVO ist anwendbar. Nach Art. 2 Abs. 1 DS-GVO gilt diese Verordnung für die ganz oder teilweise automatisierte Verarbeitung personenbezogener Daten sowie für die nichtautomatisierte Verarbeitung personenbezogener Daten, die in einem Dateisystem gespeichert sind oder gespeichert werden sollen.

Bei der Beobachtung der Gäste des Wettbüros durch Kameras, die als "verlängertes Auge" der Beschäftigten genutzt werden, handelt es sich um eine Verarbeitung personenbezogener Daten im Sinne des Art. 4 Nr. 1 und Nr. 2 DS-GVO. Nach Art. 4 Nr. 2 DSGVO meint "Verarbeitung" jeden Vorgang, der mit oder ohne Hilfe automatisierter Verfahren im Zusammenhang mit personenbezogenen Daten ausgeführt wird. Die sich an diese Begriffsbestimmung anschließende, ersichtlich umfassende Aufzählung von Vorgängen in Art. 4 Nr. 2 DSGVO zeigt, dass der Begriff der Verarbeitung jeglichen Umgang mit personenbezogenen Daten erfasst (vgl. BVerwG, Urteil vom 27.3.2019 - 6 C 2/18 -, juris Rn. 43). Die Daten sind nach Art. 4 Nr. 1 DS-GVO "personenbezogen", wenn es sich um Informationen handelt, die sich auf eine identifizierte oder identifizierbare natürliche Person beziehen; als identifizierbar wird eine natürliche Person angesehen, die direkt oder indirekt, insbesondere mittels Zuordnung zu einer Kennung wie einem Namen, zu einer Kennnummer, zu Standortdaten, zu einer Online-Kennung oder zu einem oder mehreren besonderen Merkmalen, die Ausdruck der physischen, physiologischen, genetischen, psychischen, wirtschaftlichen, kulturellen oder sozialen Identität dieser natürlichen Person sind, identifiziert werden kann. Die Aufzeichnung des Bildes einer Person durch Kameras ermöglicht es den Betrachtern der Bilder, die erfassten Personen zu identifizieren (vgl. BVerwG, Urteil vom 27.3.2019 - 6 C 2/18 -, juris Rn. 43).

bb. Das hier eingesetzte Kamera-Monitor-System ist in seiner derzeitigen Ausgestaltung gemäß Art. 6 DS-GVO rechtswidrig. Danach ist die Verarbeitung nur rechtmäßig, wenn mindestens eine der unter Art. 6 Abs. 1 lit. a - f genannten Bedingungen erfüllt ist. Dies ist nicht der Fall.

aaa. Zunächst haben die von der Videoüberwachung betroffenen Personen (s. Art. 4 Nr. 1 DS-GVO) nicht nach Art. 6 Abs. 1 lit. a DS-GVO ihre Einwilligung zu der Verarbeitung der sie betreffenden personenbezogenen Daten für einen oder mehrere bestimmte Zwecke gegeben. Eine Einwilligung ist gemäß Art. 4 Nr. 11 DS-GVO jede freiwillig für den bestimmten Fall, in informierter Weise und unmissverständlich abgegebene Willensbekundung in Form einer Erklärung oder einer sonstigen eindeutigen bestätigenden Handlung, mit der die betroffene Person zu verstehen gibt, dass sie mit der Verarbeitung der sie betreffenden personenbezogenen Daten einverstanden ist. Damit betroffene Personen in Kenntnis der Sachlage ihre Einwilligung geben können, sollten sie mindestens wissen, wer der Verantwortliche ist und für welche Zwecke ihre personenbezogenen Daten verarbeitet werden sollen. Es sollte nur dann davon ausgegangen werden, dass sie ihre Einwilligung freiwillig gegeben haben, wenn sie eine echte oder freie Wahl haben und somit in der Lage sind, die Einwilligung zu verweigern oder zurückzuziehen, ohne Nachteile zu erleiden (vgl. Erwägungsgrund Nr. 42 zur DS-GVO). Danach liegt im vorliegenden Fall keine Einwilligung der Gäste vor. Es kann bereits nicht angenommen werden, dass die Gäste beim Betreten des Wettbüros - auch nicht bei deutlich sichtbar angebrachten Hinweisen auf die Beobachtung - den Umfang und die Ausgestaltung der Videoüberwachung sowie deren Zwecke zur Kenntnis nehmen, sodass schon keine Willensbekundung "in informierter Weise" stattfinden kann (vgl. BVerfG, Stattgebender Kammerbeschluss vom 23.2.2007 - 1 BvR 2368.06 -, juris Rn. 40; BVerwG, Urteil vom 27.3.2019 - 6 C 2.18 -, juris Rn. 23). Auch kann im Eintritt in das Wettbüro und den dortigen Aufenthalt ohne ausdrücklichen Protest keine unmissverständliche Willensbekundung erkannt werden (vgl. BVerfG, Stattgebender Kammerbeschluss vom 23.2.2007, a.a.O.). Schließlich haben die Gäste auch keine freie Wahl, ob sie mit der Videoüberwachung der Sitzbereiche während ihres Aufenthaltes in dem Wettbüro einverstanden sind; sie können sich nur zu ihrem Nachteil entscheiden, das Wettbüro gar nicht erst zu betreten.

bbb. Die Videoüberwachung ist auch nicht gemäß Art. 6 Abs. 1 lit. c DS-GVO zur Erfüllung einer rechtlichen Verpflichtung erforderlich, welcher der Verantwortliche unterliegt. Gemeint ist damit die Verpflichtung kraft Rechts der Union oder eines Mitgliedstaates, vgl. Art. 6 Abs. 3 UAbs. 1. Die in einer Vorschrift des objektiven Rechts vorgesehene "rechtliche Verpflichtung" muss sich dabei unmittelbar auf die Datenverarbeitung beziehen; allein der Umstand, dass ein Verantwortlicher, um irgendeine rechtliche Verpflichtung erfüllen zu können, auch personenbezogene Daten verarbeiten muss, reicht nicht aus (Albers/Veit in: BeckOK DatenschutzR, 44. Ed. 1.5.2023, DS-GVO Art. 6 Rn. 48 m.w.N.). Nach diesem Maßstab vermögen die in § 7 Abs. 3 Nr. 1 Spielverordnung genannten Vorgaben, wonach Geld- oder Warenspielgeräte unter anderem dann unverzüglich aus dem Verkehr zu ziehen sind, wenn sie in ihrer ordnungsgemäßen Funktion gestört sind, keine rechtliche Verpflichtung in diesem Sinne zu bieten, weil diese rechtliche Vorgabe keinen unmittelbaren Bezug zu einer irgendwie gearteten Datenverarbeitung herstellt.

Die Videoüberwachung ist auch nicht zur Erfüllung der Verpflichtung aus § 10c des Niedersächsischen Spielbankgesetzes (NSpielbG) erforderlich. Nach § 10 c Abs. 1 Satz 1 NSpielbG sind zu den dort bestimmten Zwecken die Eingänge, die Ausgänge, die Bereiche, in denen üblicherweise der Transport, die Zählung oder die Aufbewahrung von Bargeld oder Spielmarken erfolgt, sowie die Spielräume der Spielbank, die Spieltische und Glücksspielautomaten der Spielbank mit Videokameras zu überwachen. Die Vorschrift ist bereits nicht anwendbar, weil es sich bei dem Wettbüro der Klägerin nicht um eine im Sinne des § 1 Abs. 1 Satz 1 NSpielbG zugelassene Spielbank handelt. Eine analoge Anwendung der Vorschrift auf das Wettbüro der Klägerin kommt schon deswegen nicht in Betracht, weil die Interessenlage nicht vergleichbar ist. Spielbanken sind Örtlichkeiten, in denen Spiele mit grundsätzlich hoher Manipulationsanfälligkeit und herausragendem Suchtpotenzial angeboten werden, zu denen traditionell Tischspiele mit und ohne Bankhalter wie Roulette, Black Jack und Poker sowie spezielle stationäre Automatenspiele gehören, welche den Einschränkungen des gewerblichen Spiels und des Online-Glücksspiels nicht unterliegen (vgl. Begründung zur Änderung des NSpielbG vom 13.10.2021, Landtag-Drs. 18/10075, S. 17). Derartige Spiele finden im Wettbüro der Klägerin nicht statt; soweit auch in ihren Räumlichkeiten Spielautomaten aufgestellt sind und in dem (der Öffentlichkeit nicht zugänglichen) Bürobereich mit größeren Mengen Bargeld umgegangen wird, hat der Beklagte die Videoüberwachung nicht beanstandet.

Unabhängig davon folgt eine Verpflichtung zu einer Videoüberwachung, wie die Klägerin sie derzeit betreibt, selbst dann nicht aus § 10 c NSpielbG, wenn man die Vorschrift auf den vorliegenden Fall analog anwenden wollte. Unter "Spielräumen" sind solche Bereiche zu verstehen, in denen sich Gäste zum Zwecke der Teilnahme an Spielen aufhalten. Bereiche wie die hier in Rede stehenden, die fast ausschließlich - mit Ausnahme vereinzelter Automaten, an denen Wetten abgegeben werden können - dem Aufenthalt oder dem Verzehr von Getränken dienen, sind dort gerade nicht angesprochen. Der Gesetzgeber hat zuletzt die zu überwachenden Bereiche angepasst und "die gegebenenfalls getrennt von den Eingängen vorhandenen Ausgänge" aufgenommen (vgl. Landtag-Drs. 18/10075, S. 37). Er hat sich also bewusst gegen die Aufnahme von anderen, dem Aufenthalt von Gästen dienenden Bereichen entschieden. Dafür, dass der Gesetzgeber beabsichtigt hat, solche vornehmlich dem Aufenthalt dienenden Bereiche gerade nicht mit der gesetzlichen Verpflichtung zur Videoüberwachung zu belegen, spricht auch, dass die Regelung überhaupt explizit Bereiche nennt, in denen die Videoüberwachung stattzufinden hat. Wäre die Videoüberwachung einschränkungslos auch in Bereichen obligatorisch, in denen keine manipulationsanfälligen Spiele stattfinden, hätte der Gesetzgeber anstelle einer expliziten Aufzählung von Bereichen schlicht die verpflichtende Videoüberwachung für die gesamte Spielbank anordnen können.

ccc. Die Videoüberwachung ist auch nicht nach Art. 6 Abs. 1 lit. f DS-GVO gerechtfertigt. Dies wäre nur dann der Fall, wenn die Verarbeitung zur Wahrung der berechtigten Interessen des Verantwortlichen oder eines Dritten erforderlich ist, sofern nicht die Interessen oder Grundrechte und Grundfreiheiten der betroffenen Person, die den Schutz personenbezogener Daten erfordern, überwiegen, insbesondere dann, wenn es sich bei der betroffenen Person um ein Kind handelt.

(1) Das berechtigte Interesse an der hier noch streitigen Videoüberwachung durch die Kameras 1, 3, 4, 5 und 9 ist anzunehmen.

Als berechtigt darf jedes rechtliche, tatsächliche, wirtschaftliche oder ideelle Interesse des Verantwortlichen angesehen werden, soweit es von der Rechtsordnung nicht missbilligt wird. Das berechtigte Interesse muss auf einen konkreten Verarbeitungs- oder Nutzungszweck gerichtet sein. Aus Art. 5 Abs. 1 lit. b DS-GVO folgt, dass das Interesse nur berechtigt sein kann, wenn die Verarbeitung legitim ist (vgl. Taeger in: Taeger/Gabel, DSGVO-BDSG-TTDSG, 4. Aufl. 2022, Art. 6 Rn. 129). Es muss zum Zeitpunkt der Datenverarbeitung entstanden und vorhanden sein und darf zu diesem Zeitpunkt nicht hypothetisch sein (EuGH, Urteil vom 11.12.2019 - C-708/18 -, juris Rn. 44). Der Verantwortliche hat sein berechtigtes Interesse substantiiert vorzutragen und zu belegen (vgl. Art. 5 Abs. 2 DS-GVO; Taeger in: Taeger/Gabel, DSGVO-BDSG-TTDSG, 4. Aufl. 2022, Art. 6 Rn. 135; vgl. auch EuGH, Urteil vom 24.2.2022 - C-175/20 -, juris Rn. 77; BVerwG, Urteil vom 2.3.2022 - 6 C 7.20 -, juris Rn. 50). Dieser speziellen Substantiierung bedarf es nur dann nicht, wenn eine Situation gegeben ist, die nach allgemeiner Lebenserfahrung typischerweise gefährlich ist und der Überwachung bedarf. Eine solch abstrakte Gefährdungslage kann beispielsweise bei Einkaufszentren und Kaufhäusern anzunehmen sein (vgl. zur alten Rechtslage Nds. OVG, Urteil vom 29.9.2014 - 11 LC 114/13 -, juris Rn. 44; vgl. VG Hannover, Urteil vom 13.3.2023 - 10 A 1443/19 -, juris Rn. 57; vgl. zur Anwendbarkeit dieser Grundsätze auch im Anwendungsbereich der DS-GVO Taeger in: Taeger/Gabel, DSGVO-BDSG-TTDSG, 4. Aufl. 2022, Art. 6 Rn. 135).

Die Verhinderung und Aufklärung von Straftaten stellen grundsätzlich berechtigte Interessen im Sinne von Art. 6 Abs. 1 lit. f DS-GVO dar. Sie können eine Videoüberwachung jedoch nur dann als objektiv begründbar rechtfertigen, wenn eine Gefährdungslage besteht, die über das allgemeine Lebensrisiko hinausgeht. Eine solche Gefährdung kann sich nur aus tatsächlichen Erkenntnissen ergeben; subjektive Befürchtungen oder ein Gefühl der Unsicherheit reichen nicht aus (vgl. zum alten Recht BVerwG, Urteil vom 27.3.2019 - 6 C 2/18 -, juris Rn. 28 m.w.N.). Allerdings kann bei der Beurteilung aller Umstände des jeweiligen Falles nicht zwingend verlangt werden, dass die Sicherheit des Eigentums und der Personen zuvor beeinträchtigt wurde (EuGH, Urteil vom 11.12.2019 - C-708/18 -, juris Rn. 44). Konkrete Vorfälle müssen nicht in jedem Fall beim Überwachenden selbst stattgefunden haben, sondern die Gefahrenlage kann sich auch daraus ergeben, dass vergleichbare Vorfälle oder Übergriffe in der unmittelbaren Nachbarschaft stattgefunden haben (vgl. Orientierungshilfe Videoüberwachung durch nicht-öffentliche Stellen" der Datenschutzkonferenz - DSK - vom 17. Juli 2020, S. 8 f. m.V.a. Art. 5 Abs. 2 DS-GVO und EuGH, Urteil vom 11.12.2019 - C-708/18 -, juris Rn. 44; Leitlinien 3/2019 zur Verarbeitung personenbezogener Daten durch Videogeräte des European Data Protection Board vom 29.1.2020, Rn. 18 ff.).

Danach hat die Klägerin - dies hat auch der Beklagte anerkannt - grundsätzlich ein berechtigtes Interesse an der Videoüberwachung ihres Wettbüros dargelegt, um damit Straftaten zu unterbinden und nachzuverfolgen. Sie hat konkrete Straftaten benannt, die sich in den hier in Rede stehenden Räumlichkeiten ereignet haben und durch den Verweis auf Vorkommnisse in anderen Filialen dargelegt, dass (unter anderem) aufgrund der größeren Mengen Bargeld, mit denen in Wettbüros umgegangen wird, ein potentiell hohes Risiko für das Begehen von Straftaten besteht. Dementsprechend hat der Beklagte der Klägerin die Überwachung diverser Bereiche der Liegenschaft zugestanden (Kameras 2, 6, 7 und 8). Dabei hat der Beklagte die Videoüberwachung der Laufwege zugelassen, sodass etwaige Straftäter jedenfalls beim Verlassen der Räumlichkeiten erfasst werden, sowie die Orte, an denen mit Bargeld umgegangen wird (z.B. der Tresor). Außerhalb der Öffnungszeiten dürfen die Videoaufnahmen aufgezeichnet werden, um das unbefugte Betreten der Filiale abzuwenden oder ggf. nachverfolgen zu können.

(2) Die Videoüberwachung ist in ihrer derzeitigen Ausgestaltung zur Wahrung der Interessen der Klägerin aber nicht erforderlich. Die personenbezogenen Daten sollten für die Zwecke, zu denen sie verarbeitet werden, angemessen und erheblich sowie auf das für die Zwecke ihrer Verarbeitung notwendige Maß beschränkt sein; sie sollten nur verarbeitet werden dürfen, wenn der Zweck der Verarbeitung nicht in zumutbarer Weise durch andere Mittel erreicht werden kann (vgl. Erwägungsgrund 39 zur DS-GVO).Voraussetzung für die Erforderlichkeit der Videoüberwachung ist also, dass kein milderes, gleich effektives Mittel zur Verfügung steht, um die Interessen des Verantwortlichen zu erreichen (Buchner/Petri in: Kühling/Buchner, 3. Aufl. 2020, DS-GVO Art. 6 Rn. 147a). Die Einschränkungen beim Datenschutz müssen sich "auf das absolut Notwendige" beschränken (vgl. EuGH, Urteil vom 11.12.2019 - C-708/18 -, juris Rn. 46). Eine bloße Zweckdienlichkeit der Datenverarbeitung reicht jedenfalls nicht aus und auch das Ansinnen einer "bestmöglichen Effizienz" macht die Datenverarbeitung noch nicht zu einer erforderlichen. Entsprechend kann die Erforderlichkeit auch nicht allein damit begründet werden, dass es sich bei der beabsichtigten Datenverarbeitung um die aus Sicht des Verantwortlichen wirtschaftlich sinnvollste Alternative handelt (Petri in: Kühling/Buchner/Buchner, 3. Aufl. 2020, DS-GVO Art. 6 Rn. 147a m.w.N.).

Nach diesem Maßstab ist die Videoüberwachung der Sitzbereiche durch die Kameras 1,3, 4, 5 und 9 nicht erforderlich. Es ist derzeit nicht ersichtlich, dass die Erhebung der dadurch gewonnenen personenbezogenen Daten überhaupt geeignet - also erheblich - ist, um die von der Klägerin verfolgten Zwecke zu erreichen. Auf Grundlage der bisherigen Unterlagen ist nicht erkennbar, dass die von der Beklagten konkret benannten Straftaten überhaupt im Zusammenhang mit einem Aufenthalt von Gästen in den Sitzbereichen gestanden haben. Die Klägerin stützt sich im Wesentlichen auf befürchtete Straftaten und sonstiges Fehlverhalten, welches in der "Szene" oder dem "Milieu", aus dem die Gäste der Klägerin stammen, üblich sein soll. Die von der Klägerin benannten Straftaten lassen teilweise eindeutig erkennen, dass sich der oder die Täter(in) vor der jeweils begangenen Tat gerade nicht in den Sitzbereichen aufgehalten oder die Tat als solche dort stattgefunden hat; dies gilt für die Öffnung des Tresors, der sich in dem für die Öffentlichkeit nicht zugänglichen Bereich befindet, sowie für die Entwendung von Bargeld durch Beschäftigte der Klägerin, einen Überfall unter Einsatz von Waffengewalt, eingeschmissene Schaufensterscheiben und das unberechtigte Betreten der Geschäftsräume außerhalb der Öffnungszeiten. Die übrigen von der Klägerin genannten Taten und Vorkommnisse lassen nicht erkennen, ob diese in den für Gäste vorgesehenen Sitzbereichen stattgefunden haben; dies gilt für die Angabe "milieubedingte Kriminalität in den Geschäftsräumen, zum Beispiel Übergabe von Drogen gegen Bargeld" und Trickbetrug durch das Erzwingen von Wechselgeldfehlern. Konkrete Vorfälle in der Nachbarschaft hat die Klägerin zwar behauptet, jedoch nicht substantiiert. Soweit sie sich auf die befürchtete Manipulation von Spielgeräten und die ihr glückspielrechtlich obliegende Verpflichtung, manipulierte Geräte unverzüglich aus dem Verkehr zu ziehen, beruft, hat sie derartige Vorfälle weder für die hier in Rede stehende noch für andere Filialen oder Einrichtungen in der Nachbarschaft vorgetragen. Es fehlen auch nähere Angaben dazu, wie "Vorbereitungshandlungen" für eine Manipulation von Spielgeräten konkret aussehen und aus welchem Grund sie befürchtet, dass solche gerade in den Sitzbereichen für Gäste stattfinden könnten. Den Konsum von und Handel mit Rauschgift hat sie bislang nur behauptet, aber nicht belegt. Auch hinsichtlich der weiteren, im Laufe des gerichtlichen Verfahrens genannten Straftaten, die sich im Zeitraum vom 3. August 2016 und dem 9. Oktober 2021 in der hier streitgegenständlichen Filiale ereignet haben sollen, nämlich eine Unterschlagung von Bargeld, ein Diebstahl von Bargeld durch einen Kunden, ein Diebstahl eines Gegenstandes durch einen Kunden und zwei Raubüberfälle, ist nicht erkennbar, dass diese Straftaten im Zusammenhang mit einem Aufenthalt in den Sitzbereichen des Wettbüros standen.

Es ist außerdem nicht erkennbar, dass die Videoüberwachung der Sitzbereiche überhaupt dazu geeignet wäre, die von der Klägerin genannten Straftaten - sowohl die in der Unternehmensgruppe als auch die in der hier in Rede stehenden Filiale begangenen - zu verhindern oder bei der Aufklärung dieser Straftat einen nennenswerten Mehrwert zu bringen. Dies gilt insbesondere für die genannten Raubüberfälle, Einbrüche und Sachbeschädigungen, die - soweit ersichtlich - nicht von Personen begangen worden sind, die sich zuvor in dem Wettbüro aufgehalten haben. Auch diejenigen Straftaten, die von Beschäftigten der Klägerin begangen worden sind, wie zum Beispiel das unberechtigte Betreten der Geschäftsräume außerhalb der Öffnungszeiten, die Unterschlagung von Bargeld oder die Öffnung der Tresore und Entwendung von Bargeld, ließen sich nicht durch eine Überwachung der Sitzbereiche für Gäste verhindern. Einzig denkbar wäre dies bezüglich des genannten Trickbetruges durch das Erzwingen von Wechselgeldfehlern oder den Handel mit sowie Konsum von Rauschgift. Insoweit ist aber fraglich, ob die Beschäftigten in der Lage wären, die Monitore derart aufmerksam zu beobachten, dass ihnen Wechselgeldfehler oder der Konsum von Rauschmitteln überhaupt auffallen könnte.

Die Fortsetzung der Videoüberwachung in ihrer jetzigen Form ist auch nicht deswegen erforderlich, weil andernfalls unzumutbar hohe Betriebskosten entstünden. Bei dem Bestreben, Kosten einzusparen, handelt es sich grundsätzlich um ein berechtigtes Interesse. Allerdings muss der Verantwortliche darlegen, dass er diese Kosten auch durch andere Vorkehrungen, insbesondere durch organisatorische Veränderungen anstelle der Videoüberwachung nicht vermeiden oder in einer hinnehmbaren Größenordnung halten kann. Die Kostenersparnis kann die Erforderlichkeit der Videoüberwachung jedenfalls nur dann begründen, wenn die ansonsten entstehenden Kosten im Verhältnis zu dem Umfang der geschäftlichen Tätigkeit ins Gewicht fallen oder gar deren Wirtschaftlichkeit in Frage stellten (vgl. BVerwG, Urteil vom 27.3.2019 - 6 C 2.18 -, juris Rn. 32). Die Klägerin hat dazu nicht substantiiert vorgetragen. Aus dem von ihr hierzu zitierten Urteil des OVG des Saarlandes vom 14. Dezember 2017 ergibt sich nicht, ob der dortige Kläger substantiierte Angaben dazu gemacht hat, aus welchem Grund ihm der Einsatz von Wachpersonal wirtschaftlich nicht zumutbar ist (Az. 2 A 662/17 -, juris Rn. 47). Zudem ist der dortige Fall auch schon deswegen nicht mit dem hier zu entscheidenden vergleichbar, weil es sich bei dem dortigen Kläger um eine Apotheke gehandelt hat, die - im Gegensatz zu der Klägerin - nicht ohnehin Wachpersonal beschäftigt.

Die Klägerin kann ihrem berechtigten Interesse daran, dass kein Rauschgift in ihrer Filiale gehandelt oder konsumiert wird oder andere Straftaten begangen werden, auch durch mildere und gleich effektive Mittel begegnen. Dem Beklagten dürfte darin zu folgen sein, dass die bereits vorhandenen Beschäftigten in regelmäßigen Abständen die Sitzbereiche begehen könnten. Der Auffassung der Klägerin, die Präsenz von Wachleuten werde von Gästen als deutlich gravierenderer Eingriff wahrgenommen, sodass darin kein milderes Mittel zu sehen sei, kann nicht gefolgt werden. Anders als in der von der Klägerin dazu angeführten Entscheidung des Niedersächsischen Oberverwaltungsgerichts steht hier keine "permanente Beobachtung" der Gäste durch Wachleute in Rede (vgl. Urteil vom 29.9.2014 - 11 LC 114/13 -, juris Rn. 57), sondern gelegentliche Rundgänge von ohnehin anwesendem Personal. Hinsichtlich der von der Klägerin bezweckten Abschreckungswirkung wirken auch nur gelegentlich die Räumlichkeit abschreitende Beschäftigte mindestens ebenso effektiv abschreckend wie die vorhandenen Kameras (vgl. VG Stuttgart, Urteil vom 12.3.2021 - 18 K 8202/19 -, n.v.). Ihre Beschäftigten können sich vor eventuell aggressiv auftretenden Gästen schützen, indem sie die Polizei kontaktieren, anstatt sie selbst anzusprechen oder des Hauses zu verweisen. Für die Beschäftigten dürfte der zeitliche und personelle Aufwand, die fünf streitigen Kameras neben ihren anderen Aufgaben dauerhaft aufmerksam zu beobachten, um die in den Sitzbereichen befürchteten Vorbereitungshandlungen für Straftaten zu entdecken, als ebenso hoch zu bewerten sein wie die Durchführung regelmäßiger Kontrollgänge durch die Sitzbereiche. Der Gefahr von durch Betrug erzwungenen Wechselgeldfehlern könnte die Klägerin begegnen, indem die Gäste ihre Getränke nur noch am Tresen bezahlen, der außerdem von der nicht mehr streitgegenständlichen Kamera 2 erfasst wird.

Aus dem bisherigen Vortrag der Klägerin ist auch nicht nachvollziehbar, aus welchem Grund das von dem Beklagten vorgeschlagene mildere Mittel, die streitigen Kameras mit einer Folie zu versehen oder eine "Privatzonenmaskierung" einzurichten, sodass die sitzenden Gäste nicht mehr identifizierbar sind, nicht ebenso geeignet ist, wie die Videoüberwachung in ihrer derzeitigen Form. Ihr Vortrag, in dem Fall seien Vorbereitungshandlungen für eine Manipulation eines Spielgerätes schwieriger erkennbar, ist ohne konkretere Angaben dazu, wie solche Vorbereitungshandlungen aussehen, nicht nachvollziehbar. Unabhängig davon sind solche Manipulationsversuche offenbar bislang nicht vorgekommen; jedenfalls ist dies nicht vorgetragen worden.

Schließlich führt auch die in § 10 c NSpielbG zum Ausdruck gekommene Wertung des Niedersächsischen Gesetzgebers nicht dazu, die Videoüberwachung für das hier in Rede stehende Wettbüro als erforderlich anzusehen. Insoweit wird auf die obigen Ausführungen verwiesen (s. II. 1. c. bb. bbb.).

(3) Im Übrigen und selbst für den Fall, dass die Verarbeitung der durch die Videokameras 1, 3, 4, 5 und 9 verarbeiteten personenbezogenen Daten zur Wahrung des berechtigten Interesses der Klägerin erforderlich wäre, überwiegen im vorliegenden Fall die Interessen der von der Videoüberwachung betroffenen Personen das Interesse der Klägerin. Ausgangspunkt der Abwägung sind einerseits die Auswirkungen, die eine Datenverarbeitung für die betroffene Person mit sich bringt, und andererseits die Interessen des Verantwortlichen oder Dritten. In diesem Zusammenhang sind Art, Inhalt und Aussagekraft der betroffenen Daten an dem mit der Datenverarbeitung verfolgten Zweck zu messen. Außerdem können die vernünftigen Erwartungen der betroffenen Person einbezogen werden; entscheidend soll sein, ob die betroffene Person zum Zeitpunkt der Datenerhebung angesichts der näheren Umstände "vernünftigerweise absehen kann", dass eine Datenverarbeitung für einen bestimmten Zweck stattfinden wird (vgl. Petri in: Kühling/Buchner/Buchner, 3. Aufl. 2020, DS-GVO Art. 6 Rn. 149 ff.)

Für die von der Videoüberwachung betroffenen Gäste streitet ihr Recht auf Schutz der personenbezogenen Daten nach Art. 8 GRCh sowie ihr Recht auf Achtung des Privat- und Familienlebens nach Art. 7 GRCh und Art. 8 EMRK. Demgegenüber hat die Klägerin ein Interesse an dem Schutz ihres Eigentums, der Verhinderung und Aufklärung von Straftaten sowie an der Gewährleistung der Einhaltung der ihr obliegenden gesetzlichen Verpflichtungen (Jugendschutz, gesperrte Spieler, glücksspielrechtliche Vorgaben bezüglich der Spielautomaten).

Zugunsten der Klägerin ist hier zu berücksichtigen, dass die Videoaufnahmen nicht gespeichert werden und ihr in der Vergangenheit durch begangene Straftaten erhebliche Vermögensschäden entstanden sind. Demgegenüber dienen die Bereiche einem längeren Verweilen von Gästen, die ganz überwiegend keinerlei böse Absichten hegen. Die Überwachung erfolgt anlasslos, regelmäßig und personengenau und betrifft in den allermeisten Fällen Personen, die weder die körperliche Unversehrtheit der Beschäftigten noch dem Eigentum der Klägerin schaden möchten (vgl. VG Stuttgart, Urteil vom 12.3.2021 - 18 K 8202/19 -, S. 23). Eine durchgängige Überwachung auch bei Beschäftigungen, die in keinem Zusammenhang zu der Art des Etablissements stehen, in dem sich die Gäste aufhalten, können sie auch nicht "vernünftigerweise" erwarten.

cc. Der Beklagte hat das ihm gemäß Art. 58 Abs. 2 DS-GVO zustehende Entschließungs- und Auswahlermessen schließlich auch fehlerfrei ausgeübt. Gemäß Art. 58 Abs. 2 DS-GVO verfügt der Beklagte über sämtliche Abhilfebefugnisse, die es ihm gestatten, den Verantwortlichen anzuweisen, Verarbeitungsvorgänge gegebenenfalls auf bestimmte Weise und innerhalb eines bestimmten Zeitraums in Einklang mit dieser Verordnung zu bringen (Buchstabe d) sowie eine vorübergehende Beschränkung oder Verbot der Verarbeitung zu verhängen (Buchstabe f). Die Aufsichtsbehörde kann von ihrer Abhilfebefugnis Gebrauch machen, wenn sie einen Verstoß gegen Datenschutzbestimmungen festgestellt hat. Bei der Ausübung des ihr dann eingeräumten Ermessens hat sie den Verhältnismäßigkeitsgrundsatz zu beachten. Bei festgestellten Verstößen ist die Aufsichtsbehörde in der Regel gehalten, dagegen mit dem Ziel der Abstellung des Verstoßes vorzugehen. Hinsichtlich des Entschließungsermessens ist daher von einem intendierten Ermessen auszugehen, wenn die Aufsichtsbehörde - wie hier - einen Rechtsverstoß festgestellt hat.

Es ist auch kein Fehler bei der Ausübung des Auswahlermessens zu erkennen. Bei der Auswahl der geeigneten Abhilfemaßnahme nach Art. 58 Abs. 2 DSGVO muss die Aufsichtsbehörde den Verhältnismäßigkeitsgrundsatz beachten und insofern auch die Eingriffsintensität berücksichtigen (vgl. VGH Baden-Württemberg, Beschluss vom 22.1.2020 - VGH 1 S 3001/19 -, juris Rn. 61; VG Mainz, Urteil vom 24.9.2020 - 1 K 584/19.MZ -, juris Rn. 51). Das hier ausgesprochene Verbot der Videoüberwachung in den Sitzbereichen ist geeignet, um die beeinträchtigten Rechte der Gäste zu wahren. Es war auch erforderlich. Ein milderes, gleich geeignetes Mittel ist nicht ersichtlich. In Art. 58 Abs. 2 DS-GVO ist kein abgestuftes System dahingehend zu erkennen, dass der Beklagte zuerst eine Verwarnung hätte aussprechen müssen. Eine Verwarnung kommt regelmäßig bei einfachen Verletzungen der DS-GVO in Frage, welche zu keiner erheblichen Gefährdung des Datenschutzgrundrechts geführt haben. Eine Verwarnung wird eine Datenschutz-Aufsichtsbehörde aussprechen, wenn die Schwelle zur Verhängung einer Geldbuße noch nicht erreicht ist; die Verwarnung lässt sich daher auch als "kleine Schwester der Geldbuße" bezeichnen, also als Abhilfemaßnahme, die bei geringfügigen Verstößen gegen die DS-GVO oder sonstigen Gründen der Verhältnismäßigkeit "anstelle einer Geldbuße" (so explizit Erwägungsgrund 148 Satz 2 DS-GVO) verhängt werden kann (Selmayr in: Ehmann/Selmayr, 2. Aufl. 2018, DS-GVO Art. 58 Rn. 20 m.w.N.). Hier steht gerade kein geringfügiger Verstoß in Rede, sondern die Gäste des Wettbüros werden anlasslos und dauerhaft gefilmt und beobachtet. Der Beklagte hat dem Verhältnismäßigkeitsgrundsatz insofern schon im Vorfeld des gerichtlichen Verfahrens Rechnung getragen, als dass er die Videoüberwachung in weiten Teilen des Wettbüros nicht mehr beanstandet.

Den Volltext der Entscheidung finden Sie hier:

BGH
Beschluss vom 26.09.2023
VI ZR 97/22
Verordnung (EU) 2016/679 Art. 17, Art. 18, Art. 79, Art. 82 Abs. 1, Art. 84; GG Art. 2 Abs. 1; BGB §§ 253, 823, § 1004 Abs. 1

Wir hatten bereits in dem Beitrag BGH legt EuGH vor: Voraussetzungen und Höhe des Anspruchs auf immateriellen Schadensersatz aus Art. 82 DSGVO - Unterlassungsanspruch des Betroffenen bei DSGVO-Verstoß über die Entscheidung berichtet.

Leitsatz des BGH:
Vorlagefragen an den Gerichtshof der Europäischen Union zur Auslegung von Art. 17, Art. 18, Art. 79, Art. 82 Abs. 1 und Art. 84 der Verordnung (EU) 2016/679 des Europäischen Parlaments und des Rates vom 27. April 2016 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten, zum freien Datenverkehr und zur Aufhebung der Richtlinie 95/46/EG (Datenschutz-Grundverordnung, DSGVO, ABl. EU L 119 vom 4. Mai 2016, S. 1) zur Frage des Bestehens eines unionsrechtlichen Unterlassungsanspruchs der betroffenen Person, deren personenbezogene Daten von dem Verantwortlichen unrechtmäßig durch Weiterleitung offengelegt wurden, bzw. zu der insoweit bestehenden Möglichkeit eines Rückgriffs auf das nationale Recht und zum Begriff des immateriellen Schadens im Sinne von Art. 82 Abs. 1 DSGVO.

BGH, Beschluss vom 26. September 2023 - VI ZR 97/22 - OLG Frankfurt in Darmstadt - LG Darmstadt

Die Vorlagefragen:

Dem Gerichtshof der Europäischen Union werden zur Auslegung der Verordnung (EU) 2016/679 des Europäischen Parlaments und des Rates vom 27. April 2016 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten, zum freien Datenverkehr und zur Aufhebung der Richtlinie 95/46/EG (DatenschutzGrundverordnung, DSGVO, ABl. EU L 119 vom 4. Mai 2016, S. 1) folgende Fragen zur Vorabentscheidung vorgelegt:

1. a) Ist Art. 17 DSGVO dahingehend auszulegen, dass der betroffenen Person, deren personenbezogene Daten von dem Verantwortlichen unrechtmäßig durch Weiterleitung offengelegt wurden, ein Anspruch gegen den Verantwortlichen auf Unterlassung einer erneuten unrechtmäßigen Weiterleitung dieser Daten zusteht, wenn sie vom Verantwortlichen keine Löschung der Daten verlangt?

b) Kann sich ein solcher Unterlassungsanspruch (auch) aus Art. 18 DSGVO oder einer sonstigen Bestimmung der DSGVO ergeben?

2. Falls Fragen 1a) und/oder 1b) bejaht werden:

a) Besteht der unionsrechtliche Unterlassungsanspruch nur dann, wenn künftig weitere Beeinträchtigungen der sich aus der DSGVO ergebenden Rechte der betroffenen Person zu besorgen sind (Wiederholungsgefahr)?

b) Wird das Bestehen der Wiederholungsgefahr gegebenenfalls aufgrund des bereits vorliegenden Verstoßes gegen die DSGVO vermutet?

3. Falls Fragen 1a) und 1b) verneint werden:

Sind Art. 84 i.V.m. Art. 79 DSGVO dahingehend auszulegen, dass sie es dem nationalen Richter erlauben, der betroffenen Person, deren personenbezogene Daten von dem Verantwortlichen unrechtmäßig durch Weiterleitung offengelegt wurden, neben dem Ersatz des materiellen oder immateriellen Schadens nach Art. 82 DSGVO und den sich aus Art. 17 und Art. 18 DSGVO ergebenden Ansprüchen einen Anspruch gegen den Verantwortlichen auf Unterlassung einer erneuten unrechtmäßigen Weiterleitung dieser Daten nach den Bestimmungen des nationalen Rechts zuzusprechen?

4. Ist Art. 82 Abs. 1 DSGVO dahingehend auszulegen, dass für die Annahme eines immateriellen Schadens im Sinne dieser Bestimmung bloße negative Gefühle wie z.B. Ärger, Unmut, Unzufriedenheit, Sorge und Angst, die an sich Teil des allgemeinen Lebensrisikos und oft des täglichen Erlebens sind, genügen? Oder ist für die Annahme eines Schadens ein über diese Gefühle hinausgehender Nachteil für die betroffene natürliche Person erforderlich?

5. Ist Art. 82 Abs. 1 DSGVO dahingehend auszulegen, dass bei der Bemessung der Höhe des zu ersetzenden immateriellen Schadens der Grad des Verschuldens des Verantwortlichen oder Auftragsverarbeiters bzw. seiner Mitarbeiter ein relevantes Kriterium darstellt? 6. Falls Fragen 1a), 1b) oder 3 bejaht werden: Ist Art. 82 Abs. 1 DSGVO dahingehend auszulegen, dass bei der Bemessung der Höhe des zu ersetzenden immateriellen Schadens als anspruchsmindernd berücksichtigt werden kann, dass der betroffenen Person neben dem Anspruch auf Schadensersatz ein Unterlassungsanspruch zusteht?

6. Falls Fragen 1a), 1b) oder 3 bejaht werden:

Ist Art. 82 Abs. 1 DSGVO dahingehend auszulegen, dass bei der Bemessung der Höhe des zu ersetzenden immateriellen Schadens als anspruchsmindernd berücksichtigt werden kann, dass der betroffenen Person neben dem Anspruch auf Schadensersatz ein Unterlassungsanspruch zusteht?

Den Volltext der Entscheidung finden Sie hier:

Der Europäische Datenschutzausschuss (EDSA) hat Meta / Facebook / Instagram die Nutzung personenbezogener Daten für personalisierte Werbung untersagt.

Die Pressemitteilung der EDSA:
EDPB Urgent Binding Decision on processing of personal data for behavioural advertising by Meta

Launch of coordinated enforcement

On 27 October, the EDPB adopted an urgent binding decision instructing the Irish (IE) DPA as lead supervisory authority (LSA) to take, within two weeks, final measures regarding Meta Ireland Limited (Meta IE) and to impose a ban on the processing of personal data for behavioural advertising on the legal bases of contract and legitimate interest across the entire European Economic Area (EEA).

The urgent binding decision followed a request from the Norwegian Data Protection Authority (NO DPA) to take final measures in this matter that would have effect in the entire European Economic Area (EEA).

The ban on processing will become effective one week after the notification of the final measures by the IE SA to the controller.
The Irish DPC has notified Meta on 31/10 about the EDPB Urgent Binding Decision.
The EDPB takes note of Meta's proposal to rely on a consent based approach as legal basis, as it was reported on 30/10. The Irish DPC is currently evaluating this together with the Concerned Supervisory Authorities (CSAs).

EDPB Chair Anu Talus said: “After careful consideration, the EDPB considered it necessary to instruct the IE SA to impose an EEA-wide processing ban, addressed to Meta IE. Already in December 2022, the EDPB Binding Decisions clarified that contract is not a suitable legal basis for the processing of personal data carried out by Meta for behavioural advertising. In addition, Meta has been found by the IE SA to not have demonstrated compliance with the orders imposed at the end of last year. It is high time for Meta to bring its processing into compliance and to stop unlawful processing.”

LG Berlin
Urteil vom 24.08.2023
16 O 420/19

Das LG Berlin hat entschieden, dass LinkedIn die Do-Not-Track-Einstellung des Browsers nicht ignorieren darf. Ferner darf die Zustimmung zur Sichtbarkeit von Profildaten außerhalb von Linkedin nicht vorkonfiguriert sein.

Aus den Entscheidungsgründen:
d) Die beanstandete Mitteilung verstößt gegen § 5 Abs. 1 Satz 1 und 2 Nr. 7 UWG.

aa) Nach § 5 Abs. 1 Satz 1 UWG handelt unlauter, wer eine irreführende geschäftliche Handlung vornimmt, die geeignet ist, den Verbraucher zu einer geschäftlichen Entscheidung zu veranlassen, die er andernfalls nicht getroffen hätte. Eine geschäftliche Handlung ist gemäß § 5 Abs. 1 Satz 2 UWG irreführend, wenn sie unwahre Angaben (Fall 1) oder sonstige zur Täuschung geeignete Angaben über — nachfolgend aufgezählte - Umstände enthält (Fall 2). Nach 8 5 Abs. 1 Satz 2 Fall 2 Nr. 7 UWG ist eine geschäftliche Handlung irreführend, wenn sie sonstige zur Täuschung geeignete Angaben über Rechte des Verbrauchers enthält.

[...]
Die von der Beklagten im eigenen Geschäftsinteresse getätigte Mitteilung, nicht auf DNT-Signale zu reagieren, ist bei objektiver Betrachtung darauf gerichtet, Verbraucher davon abzuhalten, bei der Nutzung des Internet-Angebots der Beklagten DNT-Signale einzusetzen oder, falls sie es dennoch tun, den von ihnen damit verfolgten Zweck gegenüber der Beklagten tatsächlich geltend zu machen.
[...]

Die Mitteilung transportiert aber implizit die Rechtsansicht, die der Kläger ihr mit seiner Antragsformulierung beimisst. Die Beklagte bringt nämlich zum Ausdruck, dass sie ein DNT-Signal nicht als wirksamen Widerspruch eines Verbrauchers gegen eine Nachverfolgung seines Nutzerverhaltens ansieht. Dabei wird unterstellt, dass die Beklagte sich nicht bewusst’ rechtswidrig verhalten und trotz eines wirksamen Widerspruchs eines Verbrauchers dessen Daten verarbeiten will. Worauf sich die Beklagte bezieht, wenn sie von einem DNT-Signal spricht, erläutert sie in dem unter Ziff, 5.4 ihrer Datenschutzrichtlinie unter „Erfahren Sie mehr“ verlinkten Dokument (Anlage K 10). Sie erklärt ein DNT-Signal wie folgt: „Derzeit bieten einige Browser — darunter Internet Explorer, Firefox und Safari — eine DNT-Option an, die auf einer DNT-Kopfzeile basiert. Diese Technologie sendet ein Signal an die von dem Browser besuchten Webseiten über die DNT-Einstellungen des Nutzers.“ Bei der in Anlage K 13 wiedergegebenen angegriffenen Mitteilung handelt es sich allerdings nicht um eine im Rahmen der Rechtsverfolgung oder Rechtsverteidigung geäußerte Rechtsansicht, die gemäß der oben dargestellten Rechtsprechung privilegiert wäre. Sie ist nicht eingebettet in den Kontext einer rechtlichen Auseinandersetzung, in der die Beklagte gegenüber einem Dritten ihre Rechte geltend macht oder verteidigt. Vielmehr befindet sie sich in der Datenschutzrichtlinie der Beklagten, mit der die Beklagte allen ihren Nutzern Informationen zum Datenschutz in dem von ihr betriebenen Netzwerk vermittelt. Die Beklagte behauptet mit der angegriffenen Mitteilung eine eindeutige Rechtslage, die der angesprochene Kunde als Feststellung versteht. Sie suggeriert dem angesprochenen Verbraucher, dass sie nicht verpflichtet ist, DNT-Signale zu beachten, und vermittelt den Eindruck, dass dies rechtskonform ist. Dass sie auf ein rechtskonformes Verhalten Wert legt, unterstreicht die Beklagte durch die einleitende Versicherung, Privatsphäre und Datenschutz sehr ernst zu nehmen. Der angesprochene Kunde kann die Mitteilung in ihrer Gesamtheit nicht anders verstehen, als dass die Benutzung eines DNT-Signals rechtlich irrelevant ist und die Beklagte ein solches Signal nicht zu beachten braucht.

ddd) Diese von der Beklagten vermittelte Rechtsansicht ist jedoch nicht zutreffend. Vielmehr stellt ein DNT-Signal durchaus einen wirksamen Widerspruch gegen eine Datenverarbeitung dar. Das ergibt sich aus Art. 21 Abs. 5 DSGVO. (i) Gemäß Art. 21 Abs. 5 DSGVO kann eine betroffene Person im Zusammenhang mit der Nutzung von Diensten der Informationsgesellschaft ihr — etwa aufgrund Art. 21 Abs. 1 oder Abs. 2 DSGVO begründetes — Widerspruchsrecht mittels automatisierter Verfahren ausüben, bei denen technische Spezifikationen verwendet werden. (ii) Bei dem von der Beklagten betriebenen sozialen Netzwerk handelt es sich um einen Dienst der Informationsgesellschaft in diesem Sinne. Ein Dienst der Informationsgesellschaft ist gemäß Art. 4 Ziff. 25 DSGVO eine Dienstleistung im Sinne des Art. 1 Nr. 1 lit. b der Richtlinie (EU) 2015/1535 des Europäischen Parlaments und des Rates, also jede in der Regel gegen Entgelt elektronisch im Fernabsatz und auf individuellen Abruf eines Empfängers erbrachte Dienstleistung. Darunter fallen auch Internetangebote wie die sozialen Medien (Kühling/Buchner/Herbst, 3. Aufl. 2020, DS-GVO Art. 21 Rn. 42; Paal/Pauly/Martini, 3. Aufl. 2021, DS-GVO Art. 21 Rn. 74). (ii) Das DNT-Signal stellt ein automatisiertes Verfahren dar, das technische Spezifikationen verwendet, und damit unter Art. 21 Abs. 5 DSGVO fällt (Kühling/Buchner/Herbst, 3. Aufl. 2020, DS-GVO Art. 21 Rn. 43; Gola/Heckmann/Schulz, 3. Aufl. 2022, DS-GVO Art. 21 Rn. 35; Schwartmann/Jaspers/Thüsing/Kugelmann/Atzert, 2. Aufl. 2020, DS-GVO/BDSG, Artikel 21 Widerspruchsrecht, Rn. 103;. Spindler/Schuster/Spindler/Dalby, 4. Aufl. 2019, DS-GVO Art. 21 Rn. 16; Albrecht/Jotzo, Das neue Datenschutzrecht der EU (2017), Teil 4: Individuelle Datenschutzrechte Rn. 27, beck-online; Schantz/Wolff, Das neue Datenschutzrecht (2017), Rn. 1235, beck-online). Soweit vereinzelt Zweifel geäußert werden, ob DNT-Signale den Anforderungen von Art. 21 DSGVO genügen, weil ein Widerspruch eine aktive und bewusste Handlung erfordere, die nicht vorliege, wenn stillschweigend und unter Umständen unbewusst eine Voreinstellung nur übernommen werde (BeckOK DatenschutzR/Forgö, 44. Ed. 1.11.2021, DS-GVO Art. 21 Rn. 29), greift dieser Einwand nicht durch. Es ist anzunehmen, dass der Verordnungsgeber diese Ausnahme bewusst implementieren wollte (s. Schwartmann/Jaspers/Thüsing/Kugelmann/Atzert, 2. Aufl. 2020, DS-GVO/BDSG, Artikel 21 Widerspruchsrecht, Rn. 105). Dies entspricht auch dem Zweck 16 0 420/19 - Seite 18 - der DSGVO, die Wahrnehmung von Betroffenenrechten zu erleichtern. q Dem steht auch nicht entgegen, dass das DNT-Signal bei der Einführung des TTDSG zum 1. Dezember 2021 keine ausdrückliche Berücksichtigung gefunden hat.

[...]

2. Der Klageantrag zu 2 ist ebenfalls begründet. Der Kläger hat gegen die Beklagte einen Anspruch auf Unterlassung der standardmäßigen Aktivierung von Funktionen zur Sichtbarkeit von Profilinformationen von Mitgliedern außerhalb LinkedIn, wie im Antrag spezifiziert, aus 88 3, 5 Abs. 1, Abs. 2 Nr. 7, 8 Abs. 1 Satz 1, Abs. 3 Nr. 3 UWG.

[...]

b) Gegenstand des mit der Klage geltend gemachten Unterlassungsantrags ist auch hier die konkrete Verletzungsform, wie im Klageantrag zu 2 durch Abbildung der von der Beklagten verwendeten Voreinstellungen spezifiziert. Der Kläger wendet sich mit dem Klageantrag zu 2 dagegen, dass die Beklagte bei der erstmaligen Anmeldung von Nutzern Voreinstellungen verwendet in der Weise, dass sowohl ein Schalter „Sichtbarkeit außerhalb LinkedIn“ als auch ein Schalter „Öffentliche Sichtbarkeit Ihres Profils" von vornherein aktiviert ist. Die Aktivierung hat zur Folge, dass personenbezogene Daten der Nutzer in Partnerdiensten der Beklagten angezeigt und im Internet für jedermann sichtbar veröffentlicht werden. Der Kläger wendet sich nach Maßgabe des Antrags nicht gegen diese Veröffentlichung, also die Datenverarbeitung, sondern gegen die Voreinstellungen an sich.

c) Die beanstandeten Voreinstellungen verstoßen gegen § 5 Abs. 1 Satz 1 und 2 Nr. 7 UWG.

aa) Die Voreinstellungen sind eine geschäftliche Handlung im Sinne von & 5 Abs. 1 UWG. Dem Begriff der geschäftlichen Handlung unterfällt gemäß § 2 Abs. 1 Nr. 1 UWG das Verhalten einer Person zugunsten des eigenen Unternehmens bei oder nach einem Geschäftsabschluss, das mit der Förderung des Absatzes oder des Bezugs von Waren oder Dienstleistungen oder mit dem Abschluss oder der Durchführung eines Vertrags über Waren oder Dienstleistungen unmittelbar und objektiv zusammenhängt. Die beanstandeten Voreinstellungen, die Nutzer der Beklagten bei erstmaliger Anmeldung vorfinden, stehen in Zusammenhang mit einem Geschäftsabschluss und sind bei objektiver Betrachtung darauf gerichtet, die Entscheidung des Verbrauchers über den Umfang, in dem er seine Daten zur Verarbeitung zur Verfügung stellt, zu beeinflussen. Stellt der Verbraucher seine Daten in möglichst großem Umfang zur Verfügung, fördert das die Sichtbarkeit und Reichweite des von der Beklagten betriebenen Netzwerks in deren Geschäftsinteresse.

bb) Die Voreinstellungen sind zur Täuschung geeignete Angaben über Verbraucherrechte im Sinne von § 5 Abs. 1 Satz 2 Nr. 7 UWG.

aaa) Der Streitfall betrifft auch hinsichtlich des Klageantrags zu 2 eine geschäftliche Handlung, die sich einem der in § 5 Abs. 1 Satz 2 Fall 2 UWG aufgeführten Bezugspunkte einer Irreführung zuordnen lässt, nämlich den in § 5 Abs. 1 Satz 2 Fall 2 Nr. 7 UWG genannten Rechten des Verbrauchers. Wie oben unter IV. 1. d) cc) aaa) ausgeführt, hat der Begriff der Rechte des Verbrauchers eine weite Bedeutung und erfasst nicht nur Angaben über die Existenz bestimmter Rechte, sondern auch über deren Inhalt, Umfang und Dauer sowie etwaige Voraussetzungen für die Geltendmachung. Die streitgegenständlichen Voreinstellungen betreffen das Recht des Verbrauchers, in eine Veröffentlichung seiner Daten auf bestimmten Wegen einzuwilligen oder nicht. bbb) Die angegriffenen Voreinstellungen der Beklagten sind eine Angabe im Sinne des § 5 Abs. 1 Satz 2 UWG. Sie stellen eine Geschäftshandlung mit Informationsgehalt dar, da sie die Information vermitteln, dass die Beklagte von dem Nutzer eingegebene Daten mit dessen Einwilligung über Partnerdienste bzw. öffentlich zugänglich macht.

bbb) Die angegriffenen Voreinstellungen der Beklagten sind eine Angabe im Sinne des § 5 Abs. 1 Satz 2 UWG. Sie stellen eine Geschäftshandlung mit Informationsgehalt dar, da sie die Information vermitteln, dass die Beklagte von dem Nutzer eingegebene Daten mit dessen Einwilligung über Partnerdienste bzw. öffentlich zugänglich macht.

ccc) Die Voreinstellungen sind im Sinne von § 5 Abs. 1 Satz 2 Fall 2 Nr. 7 UWG zur Täuschung über Verbraucherrechte geeignet.

Den Volltext der Entscheidung finden Sie hier:

EuGH-Generalanwalt
Schlussanträge vom 26.10.2023
Verbundene Rechtssachen C‑182/22 und C‑189/22

Der EuGH-Generalanwalt kommt in seinen Schlussanträgen zu dem Ergebnis, dass ein Anspruch auf immateriellen Schadensersatz aus Art. 82 DSGVO beim Diebstahl sensibler personenbezogener Daten einen Verstoß gegen die Bestimmungen der DSGVO, einen konkreten Schaden und einen Kausalzusammenhang voraussetzt.

Ergebnis:
Art. 82 Abs. 1 der Verordnung (EU) 2016/679 des Europäischen Parlaments und des Rates vom 27. April 2016 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten, zum freien Datenverkehr und zur Aufhebung der Richtlinie 95/46/EG (Datenschutz-Grundverordnung)

ist wie folgt auszulegen:

Der Diebstahl sensibler personenbezogener Daten einer betroffenen Person durch einen unbekannten Straftäter kann zu einem Anspruch auf immateriellen Schadensersatz führen, wenn der Nachweis eines Verstoßes gegen die Datenschutz-Grundverordnung, eines konkreten erlittenen Schadens und eines Kausalzusammenhangs zwischen dem Schaden und diesem Verstoß erbracht wird. Für die Gewährung eines solchen Schadensersatzes ist es nicht erforderlich, dass der Straftäter die Identität der betroffenen Person angenommen hat, und der Besitz von Daten, die die betroffene Person identifizierbar machen, stellt für sich genommen keinen Identitätsdiebstahl dar.

Rechtliche Würdigung:
Das vorlegende Gericht möchte mit seiner fünften Frage wissen, ob der einfache Diebstahl der sensiblen personenbezogenen Daten einer betroffenen Person durch einen unbekannten Straftäter einen Identitätsdiebstahl darstellt, der einen Schadensersatzanspruch begründet, oder ob der Straftäter für die Annahme eines Identitätsdiebstahls die Identität der betroffenen Person tatsächlich annehmen oder zu diesem Zweck Anstrengungen unternehmen muss. Diese Frage wird im Zusammenhang mit der Feststellung gestellt, dass unbekannte Straftäter bestimmte sensible personenbezogene Daten von JU und SO aus der Trading-App von Scalable Capital gestohlen haben. Obwohl keine weitere (missbräuchliche) Verwendung der Daten erfolgt zu sein scheint, kann, da die Identität der Straftäter unbekannt ist und diese noch nicht ergriffen worden sind, eine solche künftige (missbräuchliche) Verwendung nicht ausgeschlossen werden.

23. Art. 82 der DSGVO bestätigt allgemein den Anspruch jeder betroffenen Person, der wegen eines Verstoßes gegen die DSGVO „ein materieller oder immaterieller Schaden“ entstanden ist, auf Schadensersatz und teilt die Haftung zwischen dem (den) Verantwortlichen und/oder dem (den) Auftragsverarbeiter(n) auf. Diese Bestimmung benennt weder die genaue Art noch die Form eines solchen Schadens. Die DSGVO verweist zur Definition der Bedeutung und des Anwendungsbereichs des Begriffs „immaterieller Schaden“ nicht auf das Recht der Mitgliedstaaten. Dieser Begriff ist daher als autonomer Begriff des Unionsrechts zu behandeln und in allen Mitgliedstaaten einheitlich auszulegen.

24. Nach Art. 82 der DSGVO ist Schadensersatz zu leisten, wenn der Nachweis eines Verstoßes gegen die DSGVO, eines „tatsächlich erlittenen Schadens“ und eines Kausalzusammenhangs zwischen diesem Verstoß und diesem Schaden erbracht wird. Die DSGVO sieht kein System der verschuldensunabhängigen Haftung vor. Die Ausgleichsfunktion der durch Art. 82 Abs. 1 der DSGVO eingeführten Regelung schließt auch den Zuspruch von Strafschadensersatz aus. Eine solche Entschädigung muss vollständig und wirksam sein und damit „den aufgrund des Verstoßes gegen [die DSGVO] konkret erlittenen Schaden in vollem Umfang ausgleichen“. Der immaterielle Schaden, den die betroffene Person erlitten hat, braucht keinen bestimmten Grad an Erheblichkeit zu erreichen. Auch wenn es keine Geringfügigkeitsschwelle für die Höhe des immateriellen Schadens gibt, bedarf es eindeutiger und präziser Beweise dafür, dass die betroffene Person einen solchen Schaden erlitten hat. Ein potenzieller oder hypothetischer Schaden oder die bloße Beunruhigung wegen des Diebstahls der eigenen personenbezogenen Daten reicht nicht aus.

25. Art. 82 Abs. 3 der DSGVO befreit den Verantwortlichen oder den Auftragsverarbeiter von der Haftung, „wenn er nachweist, dass er in keinerlei Hinsicht für den Umstand, durch den der Schaden eingetreten ist, verantwortlich ist“. Der Gerichtshof hatte bisher noch keine Gelegenheit, Art. 82 Abs. 3 der DSGVO ausführlich zu prüfen. Eine wörtliche Auslegung dieser Bestimmung scheint darauf hinauszulaufen, dass jedes fahrlässige (Mit‑)Verschulden oder Versehen des Verantwortlichen oder des Auftragsverarbeiters ausreicht, um die Anwendung der Befreiung auszuschließen. Zudem kann die dem (den) Verantwortlichen oder dem (den) Auftragsverarbeiter(n), der (die) von der Befreiung Gebrauch machen möchte(n), nach dieser Bestimmung obliegende Beweislast die Umsetzung fortlaufender Maßnahmen zur Vorbeugung gegen Datenschutzverletzungen auferlegen.

26. Der Diebstahl der personenbezogenen Daten einer betroffenen Person begründet einen Anspruch auf Ersatz des immateriellen Schadens nach Art. 82 Abs. 1 der DSGVO, wenn die drei im Urteil Österreichische Post aufgestellten Voraussetzungen erfüllt sind. Der siebte Erwägungsgrund der DSGVO bestimmt: „Natürliche Personen sollten die Kontrolle über ihre eigenen Daten besitzen.“ Der Umstand, dass betroffene Personen „daran gehindert werden, die sie betreffenden personenbezogenen Daten zu kontrollieren“, oder dass natürliche Personen die „Kontrolle über ihre personenbezogenen Daten“ verlieren, kann zu einem immateriellen Schaden führen. Dies ist der Kontext, in dem das vorlegende Gericht fragt, ob der Diebstahl personenbezogener Daten einen Identitätsdiebstahl darstellt.

27. Die operativen Bestimmungen der DSGVO erwähnen den Identitätsdiebstahl nicht und definieren ihn auch nicht. Die Erwägungsgründe 75 und 85 der DSGVO erwähnen den „Identitätsdiebstahl oder ‑betrug“ nur. Der 75. Erwägungsgrund nennt in einer nicht erschöpfenden Liste von Beispielen den „Identitätsdiebstahl oder ‑betrug“ als ein Beispiel für die Risiken für die Ausübung der Rechte und Freiheiten natürlicher Personen aufgrund der Verarbeitung ihrer personenbezogenen Daten. In ähnlicher Weise erwähnt der 85. Erwägungsgrund der DSGVO den „Identitätsdiebstahl oder ‑betrug“ als ein Beispiel für den Schaden, der durch das Versäumnis entsteht, auf eine Verletzung des Schutzes personenbezogener Daten rechtzeitig und angemessen zu reagieren.

28. In einer Reihe von Erwägungsgründen und Bestimmungen in anderen Rechtsvorschriften der Union werden Begriffe wie „Identitätsdiebstahl“, „Identitätsbetrug“ und „Identitätsdiebstahl oder ‑betrug“ erwähnt. Ich habe keine Bestimmung des Unionsrechts gefunden, in der die diese Begriffe definiert werden(33). Der Unionsgesetzgeber nennt diese Begriffe daher beispielhaft.

29. Dies wird auch aus einer Betrachtung der verschiedenen Sprachfassungen dieser Begriffe in den Erwägungsgründen 75 und 85 der DSGVO ersichtlich. Während die deutsche (Identitätsdiebstahl oder –betrug), die englische (identity theft or fraud), die estnische (identiteedivargust või –pettust), die irische (goid aitheantais nó calaois aitheantais), die litauische (būti pavogta ar suklastota tapatybė), die niederländische (identiteitsdiefstal of –fraude), die polnische (kradzieżą tożsamości lub oszustwem dotyczącym tożsamości), die rumänische (furt sau fraudă a identității) und die slowakische (krádeži totožnosti alebo podvodu) Sprachfassung weitgehend ähnlich sind, weichen andere Sprachfassungen in unterschiedlichem Maß hiervon ab: die tschechische (krádeži či zneužití identity), die französische (vol ou une usurpation d’identité), die griechische (κατάχρηση ή υποκλοπή ταυτότητας), die portugiesische (usurpação ou roubo da identidade), die italienische (furto o usurpazione d’identità) und die spanische (usurpación de identidad o fraude). Die verschiedenen Sprachfassungen der maßgeblichen Erwägungsgründe der DSGVO deuten darauf hin, dass sich die Begriffe Identitätsdiebstahl, Identitätsbetrug, Identitätsmissbrauch, missbräuchliche Verwendung der Identität, Identitätsaneignung und Identitätsanmaßung überschneiden und dass sie zumindest zu einem gewissen Grad als austauschbar angesehen werden können. Folglich unterscheiden die Erwägungsgründe 75 und 85 der DSGVO entgegen dem in Nr. 18 der vorliegenden Schlussanträge dargelegten Vorbringen von SO nicht klar zwischen Identitätsdiebstahl und Identitätsbetrug.

30. Die Erwägungsgründe 75 und 85 unterscheiden zwischen dem Beispiel des „Verlusts der Kontrolle“ oder der Unmöglichkeit, personenbezogene Daten zu „kontrollieren“, und dem Beispiel des „Identitätsdiebstahls oder ‑betrugs“. Daher stellt der Diebstahl personenbezogener Daten allein selbst dann keinen Identitätsdiebstahl dar, wenn dieser Diebstahl zu einer künftigen (missbräuchlichen) Verwendung dieser Daten führen kann. Ein Identitätsdiebstahl erfordert eine zusätzliche Handlung oder einen zusätzlichen Schritt mit über den Diebstahl der personenbezogenen Daten hinausgehenden, nachteiligen Auswirkungen auf die betroffene Person. Wer die personenbezogenen Daten einer betroffenen Person stiehlt, muss diese Daten ohne Einwilligung der betroffenen Person (missbräuchlich) zu rechtswidrigen Zwecken verwenden oder konkrete Schritte hierzu unternehmen. Mit einer solchen Handlung ist typischerweise ein Betrug oder eine andere Form der Täuschung verbunden, und sie wird im Allgemeinen zur Erzielung eines finanziellen oder anderweitigen Gewinns durchgeführt oder um der betroffenen Person oder ihrer Umgebung Schaden zuzufügen.

31. Aus den vorstehenden Erwägungen folgt, dass der Diebstahl personenbezogener Daten zwar keinen Identitätsdiebstahl oder ‑betrug darstellt, jedoch zur Entstehung eines immateriellen Schadens und zu einem Schadensersatzanspruch nach Art. 82 Abs. 1 der DSGVO führen kann. Der Nachweis eines immateriellen Schadens kann einfacher zu erbringen sein, wenn festgestellt wird, dass die betroffene Person infolge des Diebstahls ihrer personenbezogenen Daten Opfer eines Identitätsdiebstahls oder ‑betrugs geworden ist. Ein Anspruch auf Ersatz des immateriellen Schadens nach Art. 82 Abs. 1 der DSGVO wegen des Diebstahls personenbezogener Daten hängt jedoch nicht vom Vorliegen eines Identitätsdiebstahls oder ‑betrugs ab. Ein immaterieller Schaden und der Schadensersatzanspruch nach Art. 82 Abs. 1 der DSGVO sind unter Berücksichtigung aller Umstände einzelfallbezogen zu beurteilen.

Den Volltext der Schlussanträge finden Sie hier:

EuGH
Urteil vom 26.10.2023
C-307/22
FT (Kopie der Patientenakte)

Der EuGH hat entschieden, dass ein Patient gemäß Art.15 Abs. 1,3, Art. 12 Abs. 5 DSGVO einen Anspruch auf kostenlose Überlassung einer Kopie seiner Patientenakte hat.

Die Pressemitteilung des EuGH:
Schutz personenbezogener Daten: Ein Patient hat das Recht, unentgeltlich eine erste Kopie seiner Patientenakte zu erhalten

Ein Patient verlangt von seiner Zahnärztin eine Kopie seiner Patientenakte, um gegen sie Haftungsansprüche wegen Fehlern geltend zu machen, die ihr bei seiner zahnärztlichen Behandlung unterlaufen sein sollen. Die Zahnärztin fordert jedoch, dass er, wie nach deutschem Recht vorgesehen, die Kosten für die Zurverfügungstellung der Kopie der Patientenakte übernimmt.

Da der Patient der Ansicht ist, Anspruch auf eine unentgeltliche Kopie zu haben, ruft er die deutschen Gerichte an. Unter diesen Umständen hat der deutsche Bundesgerichtshof beschlossen, dem Gerichtshof Fragen zur Vorabentscheidung vorzulegen. Denn nach Auffassung des Bundesgerichtshofs hängt die Entscheidung des Rechtsstreits von der Auslegung der Bestimmungen des Unionsrechts, nämlich der Datenschutz-Grundverordnung (im Folgenden: DSGVO), ab.

In seinem Urteil stellt der Gerichtshof fest, dass in der DSGVO das Recht des Patienten verankert ist, eine erste Kopie seiner Patientenakte zu erhalten, und zwar grundsätzlich ohne dass ihm hierdurch Kosten entstehen. Der Verantwortliche kann ein solches Entgelt nur dann verlangen, wenn der Patient eine erste Kopie seiner Daten bereits unentgeltlich erhalten hat und erneut einen Antrag auf diese stellt.

Die betreffende Zahnärztin ist als Verantwortliche für die Verarbeitung der personenbezogenen Daten ihres Patienten anzusehen. Als solche ist sie verpflichtet, ihm eine erste Kopie seiner Daten unentgeltlich zur Verfügung zu stellen. Der Patient ist nicht verpflichtet, seinen Antrag zu begründen.

Selbst mit Blick auf den Schutz der wirtschaftlichen Interessen der Behandelnden dürfen die nationalen Regelungen dem Patienten nicht die Kosten einer ersten Kopie seiner Patientenakte auferlegen.

Des Weiteren hat der Patient das Recht, eine vollständige Kopie der Dokumente zu erhalten, die sich in seiner Patientenakte befinden, wenn dies zum Verständnis der in diesen Dokumenten enthaltenen personenbezogenen Daten erforderlich ist. Dies schließt Daten aus der Patientenakte ein, die Informationen wie beispielsweise Diagnosen, Untersuchungsergebnisse, Befunde der behandelnden Ärzte und Angaben zu Behandlungen oder Eingriffen enthalten.

Tenor der Entscheidung:
1. Art. 12 Abs. 5 sowie Art. 15 Abs. 1 und 3 der Verordnung (EU) 2016/679 des Europäischen Parlaments und des Rates vom 27. April 2016 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten, zum freien Datenverkehr und zur Aufhebung der Richtlinie 95/46/EG (Datenschutz-Grundverordnung) sind dahin auszulegen, dass die Verpflichtung des Verantwortlichen, der betroffenen Person unentgeltlich eine erste Kopie ihrer personenbezogenen Daten, die Gegenstand einer Verarbeitung sind, zur Verfügung zu stellen, auch dann gilt, wenn der betreffende Antrag mit einem anderen als den in Satz 1 des 63. Erwägungsgrundes der Verordnung genannten Zwecken begründet wird.

2. Art. 23 Abs. 1 Buchst. i der Verordnung 2016/679 ist dahin auszulegen, dass eine nationale Regelung, die vor dem Inkrafttreten dieser Verordnung erlassen wurde, in den Anwendungsbereich dieser Bestimmung fallen kann. Eine solche Möglichkeit erlaubt es jedoch nicht, eine nationale Regelung zu erlassen, die der betroffenen Person zum Schutz der wirtschaftlichen Interessen des Verantwortlichen die Kosten für eine erste Kopie ihrer personenbezogenen Daten, die Gegenstand der Verarbeitung durch den Verantwortlichen sind, auferlegt.

3. Art. 15 Abs. 3 Satz 1 der Verordnung 2016/679 ist dahin auszulegen, dass im Rahmen eines Arzt-Patienten-Verhältnisses das Recht auf Erhalt einer Kopie der personenbezogenen Daten, die Gegenstand einer Verarbeitung sind, umfasst, dass der betroffenen Person eine originalgetreue und verständliche Reproduktion aller dieser Daten überlassen wird. Dieses Recht setzt voraus, eine vollständige Kopie der Dokumente zu erhalten, die sich in der Patientenakte befinden und unter anderem diese Daten enthalten, wenn die Zurverfügungstellung einer solchen Kopie erforderlich ist, um der betroffenen Person die Überprüfung der Richtigkeit und Vollständigkeit der Daten zu ermöglichen und die Verständlichkeit der Daten zu gewährleisten. In Bezug auf die Gesundheitsdaten der betroffenen Person schließt dieses Recht jedenfalls das Recht ein, eine Kopie der Daten aus ihrer Patientenakte zu erhalten, die Informationen wie beispielsweise Diagnosen, Untersuchungsergebnisse, Befunde der behandelnden Ärzte und Angaben zu an ihr vorgenommenen Behandlungen oder Eingriffen umfasst.

Den Volltext der Entscheidung finden Sie hier:

AG Düsseldorf
Urteil vom 24.08.2023
51 C 206/23

Das AG Düsseldorf hat entschieden, dass dem Kunden eines Online-Shops ein Anspruch auf 500 Euro immateriellen Schadensersatz aus Art. 82 DSGVO zusteht, wenn ein Online-Shop keine Auskunft gemäß Art. 15 DSGVO erteilt.

Aus den Entscheidungsgründen:
a. Der Beklagte hat gegen die Beklagte einen Anspruch auf Herausgabe einer Kopie sämtlicher Daten, die sie über ihn verarbeitet sowie auf Auskunftserteilung, an welche anderen Unternehmen die Beklagte seine Daten übermittelt hat gemäß Art. 15 Abs. 1 und 3 DSGVO.

Die Klägerin hat mit der Replik erklärt die entsprechende Forderung des Beklagten zu erfüllen. Getan hat sie dies indes nicht. Berechtigte Einwände die Erfüllung nicht zu leisten, bestehen nicht. Es kann dahinstehen, ob der Beklagte die Klägerin bereits unter dem 23.12.2022 oder erst am 02.06.2023 zur Auskunft aufgefordert hat. Die Frist des Art 12 Abs. 3 S. 1 und DSGVO ist jedenfalls nunmehr abgelaufen.

Auch kann die Klägerin nicht verlangen, dass der Beklagte sich zuvor mit einem Personaldokument limitiert. Ein solcher Anspruch besteht, falls nicht sicher ist, dass der Anspruchsteller nicht die Person, die er behauptet zu sein, Art. 12 Abs. 6 DSGVO. Derartige begründete Zweifel bestehen hier jedoch nicht.

b. Weiter hat der Beklagte gegen die Klägerin einen Anspruch auf immateriellen Schadensersatz in Höhe von 500,00 € gemäß Art. 82 Abs. 1 DSGVO

Indem die Klägerin die dem Beklagten nach Art. 15 DSGVO zustehenden Ansprüche nicht erfüllt, führt dies zu einem Schadensersatzanspruch.

Der Umstand, dass der Beklagte systematisch Verstöße gegen die DSGVO in Bezug auf seine Person verfolgt, ist bei der Höhe des Schadenersatzes zu berücksichtigen, führt aber nicht dazu, dass dies einen Anspruch wegen rechtsmissbräuchlichen Handelns ausschließt.

Ein immaterieller Schadensersatz dient der Genugtuung, soll aber keine Einnahmequelle darstellen. Weiter kommt es bei der Höhe des Betrages nicht darauf an, wie wirtschaftlich potent der Anspruchsgegner ist. Der immaterielle Schadensersatzanspruch des geschädigten hat insoweit keine Straffunktion, so dass es auf eines „abschreckende“ Wirkung nicht ankommt.

Eine Erhöhung kommt auch nicht unter dem Gesichtspunkt in Betracht, dass die Klägerin sich - rechtlich unbegründet - weigert die Auskunft zu erteilen und verlangten Daten herauszugeben. Dies wäre nur der Fall, wenn die Klägerin mit den Daten weiter arbeiten würde, insbesondere sie seit dem spätestens 02.06.2023 an weitere Dritte weitergegeben hätte weitergeben würde und allein damit den Schaden des Beklagten vertiefen würde. Dies ist aber nicht ersichtlich.

Den Volltext der Entscheidung finden Sie hier:

BGH
Urteil vom 27.09.2023
IV ZR 177/22
Verordnung (EU) 2016/679 Art. 15 Abs. 1, 3; BGB § 242

Wir hatten bereits in dem Beitrag BGH: Kein Anspruch aus Art. 15 DSGVO gegen private Krankenversicherung auf Abschriften von Beitragsanpassungsschreiben - Aber möglicherweise Auskunftsanspruch aus Treu und Glauben über die Entscheidung berichtet.

Leitsätze des BGH:
a) Dem Versicherungsnehmer kann aus Treu und Glauben ein Auskunftsanspruch über zurückliegende Prämienanpassungen in der privaten Krankenversicherung zustehen, wenn er in entschuldbarer Weise über
Bestehen und Umfang seines Rechts im Ungewissen ist.

b) Aus Art. 15 Abs. 1 und 3 DSGVO folgt grundsätzlich kein Anspruch auf Abschriften der Begründungsschreiben zu den Prämienanpassungen samt Anlagen.

BGH, Urteil vom 27. September 2023 - IV ZR 177/22 - OLG Frankfurt am Main - LG Gießen

Den Volltext der Entscheidung finden Sie hier:

ArbG Duisburg
Beschluss vom 18.08.2023
5 Ca 877/23

Das ArbG Duisburg hat entschieden, dass für Ansprüche eines ehemaligen Bewerbers auf Auskunft nach Art. 15 DSGVO und Schadensersatz aus Art. 82 DSGVO die Arbeitsgerichte sachlich zuständig sind.

Aus den Entscheidungsgründen:
Nach § 17 a III S. 2 GVG war nach der Rüge des Rechtsweges vorab über die sachliche Zuständigkeit zu entscheiden.

Die Zuständigkeit der Arbeitsgerichtsbarkeit ergibt sich aus § 2 I Nr. 3 c ArbGG.

Danach sind die Arbeitsgerichte ausschließlich zuständig für bürgerliche Rechtsstreitigkeiten zwischen Arbeitnehmern und Arbeitgebern aus Verhandlungen über die Eingehung eines Arbeitsverhältnisses.

Der Kläger begehrt die Zahlung eines Schadensersatzes nach der DSGVO. Das nach Behauptung des Klägers verletzte Auskunftsbegehren liegt dabei inhaltlich in einer Bewerbung des Klägers aus dem Jahre 2017 begründet.

Die Bewerbung des Klägers stellt eine „Verhandlung über die Eingehung eines Arbeitsverhältnisses“ im Sinne des § 2 I Nr. 3 c ArbGG dar.

Zwar ist das Recht aus Art 15 DSGVO nicht an das Vorliegen einer arbeitsrechtlichen Beziehung geknüpft. Liegt eine solche jedoch vor, ist ein arbeitsrechtlicher Bezug gegeben, welcher die Zuständigkeit der Arbeitsgerichte begründet. Der ordentliche Rechtsweg kommt bezüglich Ansprüchen aus der DSGVO hingehen in Betracht, wenn der geltend gemachte Anspruch nach dem anspruchsbegründenden Sachverhalt auf einem anderen, nicht mit dem Arbeitsverhältnis im Zusammenhang stehenden Rechtsverhältnis beruht (BAG, Beschl. v. 03.02.2014, 10 AZB 77/13, beck-online). Dies ist hier nicht der Fall.

Dem arbeitsrechtlichem Bezug steht entgegen der Auffassung der Beklagten nicht entgegen, dass die Bewerbung des Klägers sieben Jahre zurückliegt. Dies ändert nichts am inhaltlichen Sachzusammenhang.

Der Rechtsweg zu den Arbeitsgerichten ist mithin gegeben.

Den Volltext der Entscheidung finden Sie hier:

OLG Dresden
Hinweisbeschluss vom 29.08.2023
4 U 1078/23

Das OLG Dresden hat im Rahmen eines Hinweisbeschlusses ausgeführt, dass bei unberechtigter Herbeiführung eines Schufa-Eintrags regelmäßig ein immaterieller Schadensersatz in Höhe von 1.500 EURO aus Art. 82 Abs. 1 DSGVO angemessen ist.

Aus den Entscheidungsgründen:
Der Senat beabsichtigt, die zulässige Berufung nach § 522 Abs. 2 ZPO ohne mündliche Verhandlung durch - einstimmig gefassten - Beschluss zurückzuweisen. Die zulässige Berufung des Klägers bietet in der Sache offensichtlich keine Aussicht auf Erfolg. Die Rechtssache hat auch weder grundsätzliche Bedeutung noch erfordert die Fortbildung des Rechts oder die Sicherung einer einheitlichen Rechtsprechung eine Entscheidung des Berufungsgerichts durch Urteil. Auch andere Gründe gebieten eine mündliche Verhandlung nicht.

Der Kläger wendet sich mit seiner Berufung gegen ein Urteil des Landgerichts Leipzig, mit dem ihm wegen eines rechtswidrigen Schufa-Eintrages ein Anspruch auf immateriellen Schadensersatz nach Art. 82 Abs. 1 DSGVO in Höhe von 1.500,00 € zuerkannt wurde. Er beanstandet die Feststellungen des Landgerichts allein im Hinblick auf die ausgeurteilte Höhe des Schadensersatzes und verweist im Wesentlichen darauf, die von ihm erlittenen Unannehmlichkeiten bis hin zu Existenzängsten hätten in die Erwägungen des Landgerichts zur Schadensbemessung nicht hinreichend Eingang gefunden.

Die Einwendungen des Klägers greifen nicht durch. Er zeigt mit der Berufungsbegründung keine Gesichtspunkte auf, die es im Rahmen der dem Senat durch § 529 ZPO gesetzten Grenzen gebieten würden, eine vom landgerichtlichen Urteil abweichende Entscheidung zu treffen.

Das Landgericht hat die Grundsätze der Bemessung des Schadensersatzes im Rahmen des Art. 82 Abs. 1 Satz 1 DSGVO unter Verweis auf den Erwägungsgrund Nr. 146 Satz 3 und die Rechtsprechung zutreffend dargelegt. Es hat dabei im Einklang mit der neueren Rechtsprechung des EuGH (Urteil vom 04.05.2023 - C-300/21) die relevanten Faktoren wie Ängste, Stress, Komfort- und Zeiteinbußen und die potentielle Stigmatisierung/Rufschädigung zutreffend als Auslegungsgrundsätze herangezogen (Seite 5 unten des Urteils). Ein Verstoß gegen die unionsrechtlichen Grundsätze der Äquivalenz und der Effektivität ist hierbei nicht festzustellen. Die Würdigung des Landgerichts lässt keine Abweichung von der Behandlung ähnlicher Sachverhalte nach nationalem Recht erkennen (Äquivalenzprinzip) und die Ausübung der dem Kläger durch das Unionsrecht verliehenen Rechte ist hierdurch auch weder praktisch unmöglich gemacht, noch wesentlich erschwert worden (Effektivitätsgrundsatz).

Das Landgericht hat entscheidend auf die Rufschädigung des Klägers und seines Unternehmens gegenüber den Kunden, auf die für den Kläger mit der Kündigung der Konten verbundenen Unannehmlichkeiten wie das Erfordernis der Suche nach einer neuen Bank, die erschwerte Abwicklung von Zahlungen im Geschäftsverkehr und den mit erforderlichen Umbuchungen verbundenen Aufwand sowie schließlich auf die mindestens grobe Fahrlässigkeit der Beklagten (Seite 9 des Urteils) und auf die Dauer der rechtswidrigen Störung für ca. ein halbes Jahr abgestellt. Der Kläger macht nicht geltend, das Landgericht habe andere, in der Erwägung mit einzustellende Umstände übersehen, so dass sich die Prüfung darauf beschränkt, ob die eingestellten Umstände zutreffend gewichtet wurden. Nicht zutreffend ist nämlich der Einwand, das Landgericht habe bei der Bemessung des immateriellen Schadensersatzes außer Acht gelassen, dass es sich beim Kläger nicht nur um einen Verbraucher, sondern auch um einen Unternehmer (Seite 3 Berufungsbegründung) handelt. Dieser Umstand ist ausdrücklich auf Seite 7 des Urteils gewürdigt.


Die mit der Berufung aufgeführten Umstände rechtfertigen einen höheren immateriellen Schadensersatz jedenfalls nicht. Hierbei ist Folgendes zu berücksichtigen: Was die Kündigung des Dispositionsrahmens gemäß Schreiben der ... vom 05.08.2022 (Anlagen K17 und K24) betrifft, so ist hier aufgeführt, dass der bestehende Dispositionsrahmen von 13.700,00 € zum einen erst ab dem 30.10.2022 reduziert wurde und außerdem in monatlichen Schritten je 500,00 €. Dies bedeutet, dass der Kläger ab dem Zeitpunkt des Wirksamwerdens der Kündigung mindestens noch 27 Monate Zeit hatte, um der Absenkung des Dispositionsrahmen auf 100,00 € entgegenzutreten. In Bezug auf das Giro-Konto bei der ... Bank und dessen Kündigung vom 13.07.2022 (Anlagen K15 und K25) ist anzumerken, dass die Kündigung erst mit Wirkung zum 18.09.2022 ausgesprochen wurde, nach den insoweit unangefochtenen Ausführungen im angegriffenen Urteil (dort Seite 8 unten) die rechtswidrige Störungsmeldung aber nur für etwa ein halbes Jahr, beginnend ab dem 03.01.2022 anhielt. Zwar impliziert die Formulierung "bis mindestens zum 26.07.2020" dass die Störung unter Umständen auch länger angedauert haben könnte. Die Kündigung zum 18.09.2022 hat damit den Kläger aber nicht in existenziellen Druck gebracht, "von heute auf morgen" seine gesamten Konten umzudisponieren. Was die mit der Führung des Geschäftsbetriebes verbundenen Unannehmlichkeiten betrifft ist zu berücksichtigen, dass der Kläger nach dem Inhalt des unstreitigen Tatbestandes des Urteils sein Unternehmen, dass sich mit der Vermietung von Fotoboxen befasst, nur im Nebengewerbe betreibt. Die mit der Führung dieses Unternehmens verbundenen Unannehmlichkeiten betreffen also nicht den Hauptteil seiner beruflichen Tätigkeit. Die Beeinträchtigung eines anderen Geschäftes oder eines anderen Berufs hat der Kläger indessen nicht dargelegt.

Auch der generalpräventiven Funktion des immateriellen Schadensersatzes wird die vom Landgericht ausgeurteilte Summe angesichts der konkreten Umstände gerecht. Das Landgericht hat darauf abgestellt, dass bei einem Schmerzensgeld in etwa hälftiger Höhe der noch offenen Restforderung der Beklagten gegenüber dem Kläger eine hinreichend empfindliche Einbuße für die Beklagte zu sehen ist. Dies ist nicht zu beanstanden. Materielle Schäden aus der unberechtigten Störungsmeldung hat der Kläger nicht beziffert.

Schließlich führt auch der Verweis des Klägers auf diverse landgerichtliche Urteile zu keiner anderen Beurteilung. Das vom Kläger zitierte Urteil des Landgerichts Mainz vom 12.11.2021 hat bei einem unberechtigten Schufa-Eintrag einen immateriellen Schadensersatz von 5.000,00 € zuerkannt, weil der Kläger im Kern unbestritten dargelegt habe, durch den Schufa-Eintrag eine "massive Beeinträchtigung seines sozialen Ansehens" erlitten zu haben. Da die massive Beeinträchtigung nicht näher konkretisiert wird, ist ein Vergleich mit dieser Entscheidung nicht möglich. Dem zitierten Urteil des Landgerichts Hannover vom 14.02.2022 - 13 O 129/21 lag ein besonders hartnäckiger mehrjähriger Verstoß zugrunde, bei dem noch nicht einmal nach Erlass eines Anerkenntnisurteils die Negativeinträge gelöscht wurden und bei der der Kläger mehrjährig in seinem Hauptberuf als Inhaber einer Physiotherapiepraxis Bloßstellungen erdulden musste. Das vom Kläger zitierte Urteil des Oberlandesgerichts Koblenz vom 18.05.2022 - 5 U 2141/21 hat schließlich bei einem falschen Schufa-Eintrag einen Schadensersatz nach DSGVO in Höhe von lediglich 500,00 € zuerkannt.

Den Volltext der Entscheidung finden Sie hier:

OLG München
Verfügung vom 14.09.2023
14 U 3190/23 e

Das OLG München hat in einer Verfügung im Rahmen eines Berufungsverfahrens ausgeführt, dass kein Schadensersatzanspruch und kein Unterlassungsanspruch in Facebook-Scraping-Fällen besteht, wenn keine fühlbare reale Beeinträchtigung vorliegt bzw. dargelegt und bewiesen wird.

Aus den Verfügungsgründen:
Das strukturiert begründete Urteil des Landgerichts leidet nicht an Rechtsfehlern (§ 546 ZPO). Die zugrunde zu legenden Tatsachen (§ 529 ZPO) gebieten keine andere Entscheidung (§ 513 Abs. 1 ZPO).

1. Zutreffend versagt das Landgericht einen Schadensersatzanspruch.

Das Ersturteil arbeitet überzeugend heraus, dass der Beklagten eine schadenskausale Pflichtverletzung, die in den Anwendungsbereich des Art. 82 DSGVO fiele, nicht angelastet werden kann; auf die diesbezüglichen Ausführungen des Landgerichts ist Bezug zu nehmen.

Ihnen ist hier lediglich hinzuzufügen: Insbesondere einen Verstoß gegen Art. 32 durch „zu weite“ Voreinstellungen musste das Landgericht nicht annehmen. Art. 32 DSGVO schreibt nicht schlechthin datenschutzfreundliche Voreinstellungen vor, sondern gebietet – wesentlich allgemeiner gehalten – „geeignete technische und organisatorische Maßnahmen, um ein dem Risiko angemessenes Schutzniveau zu gewährleisten“. Das ist bei einer Kontaktplattform auch dadurch möglich, dass dem Nutzer durch Anleitungen und Hilfen die Möglichkeit gegeben wird, die Einstellungen enger zu fassen und zudem einen „Privacy-Check“ durchzuführen.

Anderes ergibt sich auch nicht etwa aus Erwägungsgrund 78 zur DSGVO, denn dort werden datenschutzfreundliche Voreinstellungen lediglich als Beispiel für Schutzmaßnahmen genannt, die je nach Sachlage und Zusammenhang empfehlenswert seien.

Er lautet:
„Zum Schutz der in Bezug auf die Verarbeitung personenbezogener Daten bestehenden Rechte und Freiheiten natürlicher Personen ist es erforderlich, dass geeignete technische und organisatorische Maßnahmen getroffen werden, damit die Anforderungen dieser Verordnung erfüllt werden. Um die Einhaltung dieser Verordnung nachweisen zu können, sollte der Verantwortliche interne Strategien festlegen und Maßnahmen ergreifen, die insbesondere den Grundsätzen des Datenschutzes durch Technik (data protection by design) und durch datenschutzfreundliche Voreinstellungen (data protection by default) Genüge tun. Solche Maßnahmen könnten unter anderem darin bestehen, dass die Verarbeitung personenbezogener Daten minimiert wird, personenbezogene Daten so schnell wie möglich pseudonymisiert werden, Transparenz in Bezug auf die Funktionen und die Verarbeitung personenbezogener Daten hergestellt wird, der betroffenen Person ermöglicht wird, die Verarbeitung personenbezogener Daten zu überwachen, und der Verantwortliche in die Lage versetzt wird, Sicherheitsfunktionen zu schaffen und zu verbessern. In Bezug auf Entwicklung, Gestaltung, Auswahl und Nutzung von Anwendungen, Diensten und Produkten, die entweder auf der Verarbeitung von personenbezogenen Daten beruhen oder zur Erfüllung ihrer Aufgaben personenbezogene Daten verarbeiten, sollten die Hersteller der Produkte, Dienste und Anwendungen ermutigt werden, das Recht auf Datenschutz bei der Entwicklung und Gestaltung der Produkte, Dienste und Anwendungen zu berücksichtigen und unter gebührender Berücksichtigung des Stands der Technik sicherzustellen, dass die Verantwortlichen und die Verarbeiter in der Lage sind, ihren Datenschutzpflichten nachzukommen. Den Grundsätzen des Datenschutzes durch Technik und durch datenschutzfreundliche Voreinstellungen sollte auch bei öffentlichen Ausschreibungen Rechnung getragen werden“.

Das Landgericht durfte hier berücksichtigen, dass Facebook eine Plattform für Nutzer ist, die sich in erster Linie „finden lassen“ wollen, um sogenannte „Freundschaftsanfragen“ zu erhalten, wobei der Begriff „Freundschaft“ hier nicht in dem engen Sinne zu verstehen ist, der die deutsche Sprachtradition prägt. Als „technische und organisatorische Maßnahme“ durfte es das Landgericht in diesem Zusammenhang als ausreichend ansehen, dass die Nutzer hier das Ausmaß der Findbarkeit selbst einstellen konnten, angeleitet durch transparente Hilfen und Erklärungen, die umfangreich, aber verständlich und sinnvoll gegliedert sowie zugänglich waren.

2. Das kann indessen dahinstehen, da im vorliegenden Einzelfall auch kein Schaden im Rechtssinne eingetreten ist.

Das Landgericht hat unter zutreffender Einwertung von Erwägungsgrund 146 herausgearbeitet, dass der Schadensbegriff zwar im Prinzip weit reicht, aber eine fühlbare reale Beeinträchtigung voraussetzt. An dieser fehlt es hier, wie das Landgericht anhand der persönlichen Anhörung des Klägers herausgearbeitet hat. Was die Berufungsbegründung hiergegen erinnert, überzeugt nicht:

(a) Erwägungsgrund 85 besagt nicht, dass jeder Kontrollverlust ein Schaden ist.

Er lautet in seinem Satz 1, den die Berufung hier offensichtlich anzieht:
„Eine Verletzung des Schutzes personenbezogener Daten kann – wenn nicht rechtzeitig und angemessen reagiert wird – einen physischen, materiellen oder immateriellen Schaden für natürliche Personen nach sich ziehen, wie etwa Verlust der Kontrolle über ihre personenbezogenen Daten oder Einschränkung ihrer Rechte, Diskriminierung, Identitätsdiebstahl oder betrug, finanzielle Verluste, unbefugte Aufhebung der Pseudonymisierung, Rufschädigung, Verlust der Vertraulichkeit von dem Berufsgeheimnis unterliegenden Daten oder andere erhebliche wirtschaftliche oder gesellschaftliche Nachteile für die betroffene natürliche Person“.

(b) Dass der Kläger „durch Ärger, Angst, Stress, Sorge“ geplagt sei, hat die Anhörung nicht ergeben, sondern seinen freimütigen Angaben war u.a. zu entnehmen, dass er die Plattform weiter nutzt, was dem Landgericht zeigte, dass der Kläger nicht durchgreifend bekümmert ist. Was er an Zeit und Kraft aufgewendet habe, um sich mit dem Problem auseinanderzusetzen, war nicht in der Weise greifbar geworden, dass ein „erlittener“ Schaden darin gesehen werden musste.

(c) Dass der Kläger seit dem Datenleck Kontaktversuche von unbekannten Dritten in Form von „Spam“-SMS und „Spam“-Anrufen erhalten habe, hat der Kläger dahin relativiert, diese beruhten wahrscheinlich darauf, dass er seine Mobiltelefonnummer bei dem mehrfach erwähnten großen und weltweit tätigen Versandhandelsunternehmen hinterlegt habe. Das Landgericht hatte daher verständlicherweise unüberwindliche Bedenken, die SMS und Anrufe gerade der Beklagten als kausal verursachten Schaden anzulasten.

2. Nicht zu beanstanden ist ferner, dass das Landgericht auch für einen zukünftigen Schaden keine Anhaltspunkte sah.

3. Zutreffend versagt das Landgericht den Unterlassungsanspruch

Die Wiederholungsgefahr besteht bereits deshalb nicht, weil der Kläger die Einstellungen von „alle“ auf „nur ich“ zurücksetzen kann. Das erfordert keine weiteren Maßnahmen der Beklagten, so dass offen bleiben kann, ob diese die Suchbarkeitsfunktion deaktiviert hat und „Anti-Scraping-Maßnahmen“ ins Werk gesetzt hat.

Denn selbst wenn eine Rechtsverletzung vorläge, die – grundsätzlich – Wiederholungsgefahr zu indizieren geeignet wäre, wäre diese Indizwirkung durch obige Fallumstände hier widerlegt.

Nicht verfangen kann der Einwand, wonach es keine Abhilfe bringe, wenn der Kläger seine Einstellungen von „everyone“ auf „friends of friends“ umstellt. Es mag unterstellt werden, dass auch Daten von Nutzern „gescrapt“ worden sind, die – anders als der Kläger – nicht „everyone“ eingestellt hatten. Das ist aber nicht der Schadenshergang, der vorliegend anzunehmen war und an dem die Wiederholungsgefahr zu messen wäre. Dass sich der hier festgestellte Schadenshergang wiederholen würde, kann der Kläger schon durch die geänderten Einstellungen bewirken. Stellt er die Einstellungen von „alle“ auf „nur ich“ zurück, und würden seine Daten dann (erneut) gescrapt, so wäre das ein anderer Schadenshergang.

4. Zutreffend versagt das Landgericht den Auskunftsanspruch.

Anders als in den von der Berufungsbegründung angezogenen Entscheidungen anderer Gerichte (BerBegr S. 65/66) war der Auskunftsanspruch vorliegend erfüllt mit Ausnahme einer Angabe, wer der/die Scraper/in gewesen ist. Letztere Angabe (des „Empfängers“) kann die Beklagte nicht machen, weil sie den Empfänger nicht kennt. Dass sie in früheren Fällen gegen unbefugte Dritte vorgegangen ist, ändert hieran fallbezogen nichts.

5. Nach alledem hat das Landgericht auch Schadensersatzansprüche nach nationalem Recht zutreffend versagt.

Den Volltext der Entscheidung finden Sie hier: