Skip to content

AG Hamburg-Bergedorf: Unterlassungsanspruch wegen Werbung per E-Mail ohne Zustimmung an Gewerbetreibenden aber kein Schadensersatz aus Art. 82 Abs. 1 DSGVO

AG Hamburg-Bergedorf
Urteil vom 07.12.2020
410d C 197/20


Das AG Hamburg-Bergedorf hat entschieden, zwar ein Unterlassungsanspruch wegen einmaliger Zusendung von Werbung per E-Mail ohne Zustimmung an Gewerbetreiben aus §§ 823 Abs. 1, 1004 Abs. 1 S. 2 BGB besteht, aber kein Schadensersatzanspruch aus Art. 82 Abs. 1 DSGVO verlangt werden kann.

Aus den Entscheidungsgründen:

1. Der Kläger hat einen Anspruch aus §§ 823 Abs. 1, 1004 Abs. 1 S. 2 BGB auf Unterlassung der Zusendung ungenehmigter Werbenachrichten an seine E-Mail-Adresse durch den Beklagten.

Auch die nur einmalige Zusendung von E-Mails mit werbendem Inhalt an einen Rechtsanwalt, der aus berufsrechtlichen Gründen seine E-Mail sorgfältig lesen muss, stellt einen Eingriff in den eingerichteten und ausgeübten Gewerbebetrieb dar.

Entgegen der Ansicht der Beklagten ist die E-Mail vom 18.05.2020 als Werbung zu qualifizieren. Werbung ist jede Äußerung bei der Ausübung eines Handels, Gewerbes, Handwerks oder freien Berufs mit dem Ziel, den Absatz von Waren oder die Erbringung von Dienstleistungen zu fördern (vgl. Art. 2 lit.a der Richtlinie 2006/114/EG über irreführende und vergleichende Werbung) (BGH, Urteil vom 20.05.2009 – I ZR 218/07). In der E-Mail vom 18.05.2020 macht die Beklagte auf ihre Geschäftstätigkeit, nämlich die Vermittlung von telefonischer Rechtsberatung über eine Internetseite, aufmerksam, was bereits als Werbung im vorstehenden Sinne anzusehen ist (BGH, aaO, Rn. 13). Es handelt sich nicht um eine Nachfrage nach Rechtsberatung beim Kläger. Denn die streitgegenständliche E-Mail bezieht sich nicht auf ein konkretes Mandat, welches vom Kläger übernommen werden soll, sondern enthält eine allgemeine Anfrage, ob der Kläger die Dienstleistungen der Beklagten, nämlich die Vermittlung von Mandanten über die Internetseite der Beklagten, in Anspruch nehmen möchte. Dabei ist es unerheblich, dass der Kläger die Vermittlungstätigkeit der Beklagten nicht hätte vergüten müssen. Denn die Beklagte beabsichtigte den Kläger mit der streitgegenständlichen E-Mail dazu zu animieren, seine Beratung über ihre Internetseite anzubieten, um dadurch jedenfalls mittelbar den Absatz ihrer eigenen Dienstleistung zu fördern (BGH, Urteil 12.09.2013 - I ZR 208/12, Rn. 17f.).

Eine Einwilligung des Klägers lag nicht vor. Es gab zwischen den Parteien weder einen vorherigen Kontakt noch eine anderweitige ausdrückliche Einwilligung. Die Beklagte entnahm die E-Mail-Adresse vielmehr der Internetseite des Klägers, obwohl der Kläger dort explizit der Kontaktierung per Werbe-E-Mail widersprochen hat. Der Widerspruch ist deutlich vom übrigen Text hervorgehoben. Daher durfte die Beklagte aufgrund des Umstandes, dass der Kläger auf der Internetseite eine Kontaktaufnahme per E-Mail anbietet, die Einwilligung des Klägers auch nicht vermuten.

Die für einen Unterlassungsanspruch nach § 1004 Abs. 1 Satz 2 BGB erforderliche konkrete Wiederholungsgefahr liegt vor. Dafür reicht bereits eine beeinträchtigende Verletzungshandlung, da diese die tatsächliche Vermutung künftiger weiterer Verletzungshandlungen begründet. Die Wiederholungsgefahr wird erst durch die Abgabe einer Unterlassungserklärung ausgeschlossen. Die Beklagte hat trotz der Aufforderung des Klägers keine Unterlassungserklärung abgegeben.

2. Ein Anspruch auf Schadensersatzspruch steht dem Kläger weder aus Art. 82 Abs. 1 DSGVO noch einem sonstigen Rechtsgrund zu.

Die Zusendung der streitgegenständliche E-Mail trotz des ausdrücklichen Werbewiderspruchs des Klägers verstößt zwar gegen Art. 6 Abs. 1 S. 1 DSGVO. Dieser Verstoß allein ist aber nicht ausreichend, um einen Schadensersatzanspruch zu begründen.

Nach Art. 82 Abs. 1 DSGVO besteht ein Schadensersatzanspruch nur dann, wenn wegen des Verstoßes auch ein materieller oder immaterieller Schaden entstanden ist. Für den immateriellen Schaden gelten die im Rahmen von § 253 BGB entwickelten Grundsätze. Insbesondere ist der Kläger insoweit darlegungs- und beweisbelastet.

Auch wenn nach dem Wortlaut des Art. 82 DSGVO keine schwere Verletzung des Persönlichkeitsrechts vorliegen muss, so reicht nicht bereits der Verstoß gegen die DSGVO selbst zur Begründung eines Schmerzensgeldanspruches (LG Hamburg, Urteil vom 04.09.2020 – 324 S 9/19). Der Verstoß muss nach dem Wortlaut des Art. 82 DSGVO vielmehr eine Rechtsverletzung nach sich ziehen, die als immaterieller Schaden, entsprechend der in Erwägungsgrund 75 der DSGVO aufgelisteten Beispiele, qualifizierte werden kann.

Schmerzensgeld soll einen Ausgleich für erlittene Schmerzen und Leiden schaffen (Palandt/Grünberg, 79. Auflage, § 253, Rn. 4). Dabei sind bei der Bemessung des Schmerzens die Kriterien des Art. 83 Abs. 2 DSGVO heranzuziehen, also insbesondere die Art, Schwere und Dauer des Verstoßes (BeckOK DatenschutzR/Quaas, 34. Ed. 1.11.2020, DS-GVO Art. 82 Rn. 31). Es muss also eine objektiv benennbare Beeinträchtigung des Geschädigten vorliegen, die über den bloßen Ärger oder die individuell empfundene Unannehmlichkeit des Verstoßes hinausgeht, welche dann durch die Zahlung von Schmerzensgeld ausgeglichen werden muss (AG Frankfurt a. M. Urt. v. 10.7.2020 – 385 C 155/19 (70); LG Hamburg, Urteil vom 04.09.2020 – 324 S 9/19; AG Hannover, Urteil vom 09.03.2020 – 531 C 10952/19; LG Frankfurt/M., Urteil vom 18.09.2020 – 2-27 O 100/20; LG Köln, Urteil vom 07.10.2020 – 28 O 71/20).

Der Kläger beruft sich vorliegend darauf, einen immateriellen Schaden dadurch erlitten zu haben, dass er durch die einmalige unrechtmäßige Nutzung seiner Daten belästigt worden sei. Eine konkrete Beeinträchtigung, die über den als Belästigung empfundenen Verstoßes selbst, also die Zusendung der E-Mail, hinausging, ist darin nicht zu sehen. Es fehlt somit an einem über die Rechtsverletzung hinausgehenden konkreten Schaden des Klägers.

Das Gericht sieht keinen Bedarf für ein Vorabentscheidungsverfahren gem. Art. 267 AEUVEG, dessen Einleitung im Ermessen des Gerichts steht.

Für andere deliktische Ansprüche besteht eine Sperrwirkung der DS-GVO (Sydow, a.a.O., 2. Aufl., Art. 82 Rn. 27).
Die Kostenentscheidung beruht auf § 92 Abs. 1 ZPO.

Die Entscheidung zur vorläufigen Vollstreckbarkeit beruht für den Kläger auf § 709 ZPO und für die Beklagte auf §§ 708 Nr. 11, 711 ZPO.

Der Streitwert wird insgesamt auf 750,- €, 250,- € für den Unterlassungsantrag und 500,- € für den Schadensersatzanspruch, festgesetzt. Für das Verfahren zum Verbot ungebetener E-Mails gibt es keinen Regelstreitwert. Die Bemessung des Streitwertes ist nicht an einem volkswirtschaftlichen Gesamtschaden zu orientieren, sondern an den Nachteilen, die dem Kläger entstehen könnten, wenn die Beklagte das beanstandete Verhalten künftig fortsetzen würde (OLG Hamm, Urteil vom 17.10.2013 - 6 U 95/13). Diese Nachteile sind an dem Aufwand des Klägers zu messen, weitere E-Mails der Beklagten zu erhalten und löschen zu müssen. Der damit verbundene Zeitaufwand ist - trotz der besonderen beruflichen Sorgfaltspflichten eines Rechtsanwalts- vorliegend als geringfügig einzustufen. So lagen zwischen dem Eingang der E-Mail der Beklagten und dem Versand der Abmahnung durch den Kläger auch nur 21 Minuten. Eine spezial- oder eine generalprä
ventive Funktion kommt der Streitwerthöhe nicht zu (vgl. BGH Beschluss v. 30.11.2014 zum Az.: VI ZR 65/04).

Den Volltext der Entscheidung finden Sie hier:

LG Köln: Kein immaterieller Schadensersatz aus Art. 82 Abs. 1 DSGVO wegen Weiterleitung nicht anonymisierter Entscheidung an diverse Rechtsämter

LG Köln
Urteil vom 03.08.2021
5 O 84/21

Das LG Köln hat entschieden, dass kein Anspruch auf immateriellen Schadensersatz aus Art. 82 Abs. 1 DSGVO wegen der Weiterleitung einer nicht anonymisierten Entscheidung an diverse Rechtsämter besteht.

Aus den Entscheidungsgründen:

Die zulässige Klage ist unbegründet.

Der Klageantrag zu 1) ist zulässig, da keine verdeckte Teilklage vorliegt. Der Kläger begehrt ein angemessenes Schmerzensgeld für den Schaden, den er infolge der streitgegenständlichen Datenschutzverletzung erlitten haben will. Nur weil er außergerichtlich ein höheres Schmerzensgeld gefordert hat, kann nicht bereits von einer Teilklage ausgegangen werden.

Die Beklagte hat den Anspruch nicht dem Grunde nach anerkannt. Ein entsprechender Rechtsbindungswille der Beklagten geht aus dem Schreiben vom 05.06.2020 nicht hervor. Nur weil die Beklagte äußerte, eine Entschädigungsleistung sei denkbar, hat sie noch nicht anerkannt, dass eine Haftung dem Grunde nach besteht.

Ein Anspruch auf Zahlung von Schmerzensgeld besteht nicht, da der Kläger nicht dargelegt hat, dass ihm infolge der streitgegenständlichen Datenschutzverletzung ein immaterieller Schaden entstanden ist. Nach Art. 82 Abs. 1 DS-GVO hat jede Person, der wegen eines Verstoßes gegen diese Verordnung ein materieller oder immaterieller Schaden entstanden ist, Anspruch auf Schadenersatz gegen den Verantwortlichen oder gegen den Auftragsverarbeiter. Die streitgegenständliche Übersendung des Beschlusses des Verwaltungsgerichts Köln an die Rechtsamtsleiterinnen und Rechtsamtsleiter anderer Kommunen stellt einen Verstoß gegen die Datenschutzgrundverordnung dar. Die Beklagte durfte den Beschluss zur Information und zur Sicherstellung einer einheitlichen Rechtsanwendung jedenfalls nicht unanonymisiert übersenden.

Allerdings reicht ein Verstoß alleine zur Anspruchsbegründung nicht aus, es muss auch ein Schaden eingetreten sein (Paal/Pauly/Frenzel, 3. Aufl. 2021, DS-GVO Art. 82 Rn. 10). Der Schaden muss auf den Verstoß zurückzuführen sein, wobei eine Mitursächlichkeit genügt (Quaas, in: BeckOK DatenschutzR, 35. Ed. 1.11.2020, DS-GVO Art. 82 Rn. 26).

Vorliegend bestreitet die Beklagte in zulässiger Weise, dass die klägerseits behaupteten Beeinträchtigungen durch den streitgegenständlichen Verstoß verursacht wurden. In Bezug auf den vorgelegten Chat im Internet ist festzuhalten, dass aus diesem nicht hervorgeht, dass er sich auf den Kläger bezieht. Auch ist nicht ersichtlich, warum die Chatteilnehmer die Information der Beteiligung des Klägers am verwaltungsgerichtlichen Verfahren ausgerechnet über die Rechtsamtsleiterinnen und Rechtsamtsleiter erhalten haben sollen. Diesbezüglich hat die Beklagte dargelegt, dass insgesamt 24 Spielhallenbetreiber ein verwaltungsgerichtliches Verfahren angestrengt hätten. Es ist nicht auszuschließen, dass diese an den Beschluss gelangt sind und ihn verbreitet haben. Jedenfalls trägt die Klägerin keine Hinweise dafür vor, dass die streitgegenständliche Übersendung die einzige oder auch nur naheliegende Möglichkeit dafür war, dass weitere Personen Kenntnis von dem Beschluss erlangten.

Gleiches gilt für die hinterlassene Nachricht an der Windschutzscheibe. Der klägerische Vortrag lässt bereits offen, wer diese Nachricht hinterlassen hat.

Eine Beweislastumkehr oder eine Beweiserleichterung greift vorliegend zu Gunsten des Klägers nicht. Die Beweislast auch für diese Voraussetzung obliegt dem Anspruchsberechtigten, dies entspricht den allgemeinen deliktischen Voraussetzungen. Eine Beweislastumkehr ist der Norm ausdrücklich nur bezüglich des Gesichtspunkts des Verschuldens zu entnehmen (Quaas, in: BeckOK DatenschutzR, 36. Ed. 1.5.2021, DS-GVO Art. 82 Rn. 27). Dies ist auch interessengerecht, denn die Beklagte kann genauso wenig wie der Kläger wissen, wer noch Kenntnis von dem Beschluss des Verwaltungsgerichts hatte.

Nach alledem ist nicht ersichtlich, welchen immateriellen Schaden der Kläger dadurch erlitten haben soll, dass der Beschluss an 62 Rechtsamtsleiterinnen und Rechtsamtsleiter versandt wurde. Für den immateriellen Schadensersatz gelten dabei die im Rahmen von § 253 BGB entwickelten Grundsätze, die Ermittlung obliegt dem Gericht nach § 287 ZPO (Quaas, in: BeckOK DatenschutzR, 32. Ed. 1.2.2020, DS-GVO Art. 82 Rn. 31). Es können für die Bemessung die Kriterien des Art. 83 Abs. 2 DS-GVO herangezogen werden, z.B. die Art, Schwere und Dauer des Verstoßes unter Berücksichtigung der Art, des Umfangs oder des Zwecks der betreffenden Verarbeitung, die betroffenen Kategorien personenbezogener Daten. Zu berücksichtigen ist auch, dass die beabsichtigte abschreckende Wirkung nur durch für den Anspruchsverpflichtenden empfindliche Schmerzensgelder erreicht wird, insbesondere wenn eine Kommerzialisierung fehlt (LG Köln, ZD 2021, 47 Rn. 12). Vorliegend ist eine Beeinträchtigung des Klägers nicht ersichtlich, nachdem nicht feststeht, dass die von ihm behaupteten Vorfälle auf den streitgegenständlichen Verstoß zurückgeführt werden können. Da die Adressaten der streitgegenständlichen E-Mail selbst dienstlichen Verschwiegenheitspflichten obliegen, bleibt bereits unklar, ob der Beschluss auf diesem Wege weiteren Personen zur Kenntnis gelangt ist. Das Zuerkennen von Schmerzensgeld in einem derartigen Bagatellfall würde die Gefahr einer nahezu uferlosen Häufung der Geltendmachung von Ansprüchen bergen, was nicht Sinn und Zweck von Art. 82 DS-GVO entsprechen kann (vgl. LG Köln, ZD 2021, 47 Rn. 14). Zudem ist eine extensive Auslegung des Begriffs des immateriellen Schadens nicht geboten, weil nach Art. 83 DS-GVO die Möglichkeit besteht, Geldbußen in erheblichem Umfang zu verhängen (vgl. Franzen, in: EuArbRK, 3. Aufl. 2020, DS-GVO Art. 82 Rn. 22).

Eine Vorlagepflicht an den EuGH besteht nach Art. 267 Abs. 3 AEUV bereits deshalb nicht, weil vorliegend nicht letztinstanzlich entschieden wird.

Die mit dem Klageantrag zu 2) geltend gemachte Nebenforderung teilt das Schicksal der Hauptforderung.

Die Kostenentscheidung beruht auf § 91 Abs. 1 ZPO. Die Entscheidung über die vorläufige Vollstreckbarkeit folgt aus § 709 Satz 1 und 2 ZPO.

Der Streitwert wird auf 8.000,00 EUR festgesetzt.


Den Volltext der Entscheidung finden Sie hier:


Rechtsanwalt Marcus Beckmann am 05.10.2021 auf der NEW WORK DAYS 21-Konferenz - Editor Pick: Alles, was recht ist – New Work und Homeoffice aus juristischer Sicht

Rechtsanwalt Marcus Beckmann ist am Dienstag, den 05.10.2021 von 14.00 Uhr - 14.45 Uhr auf der NEW WORK DAYS 21-Konferenz zu Thema Editor Pick: Alles, was recht ist – New Work und Homeoffice aus juristischer Sicht als Experte eingeladen.

OVG Berlin-Brandenburg: Einrichtung eines Social Media-Auftritts durch Behörde bei Facebook, Twitter und Instagram dient nicht der Mitarbeiterüberwachung und ist nicht mitbestimmungspflichtig

OVG Berlin-Brandenburg
Beschluss vom 04.08.2021
OVG 62 PV 5/20


Das OVG Berlin-Brandenburg hat entschieden, dass die Einrichtung eines Social Media-Auftritts durch eine Behörde bei Facebook, Twitter und Instagram nicht der Mitarbeiterüberwachung dient und nicht mitbestimmungspflichtig ist.

Aus den Entscheidungsgründen:

"Die vom Beteiligten zu verantwortenden Auftritte in den sozialen Medien sind auch im Hinblick auf die den Nutzern ermöglichte Kommentierung nicht gemäß § 80 Abs. 1 Nr. 21 BPersVG mitbestimmungspflichtig. Nach dieser Vorschrift bestimmt der Personalrat mit, soweit eine gesetzliche oder tarifliche Regelung nicht besteht, über die Einführung und Anwendung technischer Einrichtungen, die dazu bestimmt sind, das Verhalten oder die Leistung der Beschäftigten zu überwachen. Maßgeblich ist eine objektiv-finale Betrachtungsweise: Diejenigen technischen Einrichtungen unterliegen der Mitbestimmung des Personalrats, die nach ihrer Konstruktion oder konkreten Verwendungsweise eine Überwachung von Verhalten oder Leistung der Beschäftigten ermöglichen. Der Mitbestimmungstatbestand erstreckt sich auf solche technischen Einrichtungen, die zur Überwachung objektiv geeignet sind, ohne dass die Dienststellenleitung bei ihrer Einführung und Anwendung die Absicht hat, sie zu diesem Zweck einzusetzen (BVerwG, Beschluss vom 26. September 2006 – 6 PB 10.06 – juris Rn. 4 zur gleichlautenden Vorgängerbestimmung). Daran hat die Gesetzesnovelle nichts geändert (vgl. die BT-Drs 19/26820 vom 19. Februar 2021, insbesondere S. 126 zu Nr. 21).

Die objektive Eignung zur Überwachung unterscheidet eine gemäß § 80 Abs. 1 Nr. 21 BPersVG mitbestimmungspflichtige technische Einrichtung von anderen technischen Einrichtungen, die sich lediglich zur technischen Hilfe eignen und nicht unter diesen Mitbestimmungstatbestand fallen (vgl. Wisskirchen/Schiller/Schwindling, BB 2017, 2105 <2107>). Beispielhaft seien Kommunikationsmittel (klassisch das Telefon), Arbeitshilfen (Taschenrechner, computergestützte Schreib- und Rechenprogramme) und Archiveinrichtungen (elektronische Akten) genannt. Die sich nach Anwendungsgebieten sowie nach dem Ausmaß ausdehnende Technisierung erweitert die Möglichkeiten und bietet so Rationalisierungschancen, birgt aber auch unterschiedliche Gefahren. Nach dem Schutzzweck des Mitbestimmungstatbestands ist nicht schlechterdings jeder Technisierungsfortschritt mitbestimmungspflichtig. Stattdessen soll das Mitbestimmungsrecht des Personalrats nur sicherstellen, dass die Beeinträchtigungen und Gefahren für den Schutz der Persönlichkeit des Beschäftigten am Arbeitsplatz, die von der Technisierung der Verhaltens- und Leistungskontrolle ausgehen, auf das erforderliche Maß beschränkt bleiben. Ein Beschäftigter, der befürchten muss, während der Arbeit mit Hilfe technischer oder elektronischer Kontrolleinrichtungen jederzeit beobachtet oder in anderer Weise fortlaufend kontrolliert zu werden, kann unter einen Überwachungsdruck geraten, der ihn in der freien Entfaltung der Persönlichkeit behindert, ihn insbesondere unter Anpassungsdruck setzt und ihn in eine erhöhte Abhängigkeit bringt (BVerwG, Beschluss vom 26. September 2006 – 6 PB 10.06 – juris Rn. 4).

Einhelliger Auffassung entspricht es, dass ein Überwachungsdruck, der sich durch eine womöglich kleinliche, jedenfalls engmaschige persönliche Kontrolle seitens der Vorgesetzten aufbaut, nach § 80 Abs. 1 Nr. 21 BPersVG unbeachtlich ist (Berg in: Altvater/Baden/Baunack u.a., BPersVG, 10. Aufl. 2019 § 75 Rn. 258). Die Vorschrift dient nicht der Verwirklichung moderner Führungskonzepte. Die Kontrolle muss vielmehr mit Hilfe einer technischen Einrichtung erfolgen. Mit dem Merkmal der Technizität verbindet sich nach einer verbreiteten Ansicht nicht schon jedes Hilfsmittel, das eine den Überwachten verborgene Kontrolle erlaubt, etwa durch eine Beobachtung mittels Fernglas, Türspion oder einer einseitig durchsichtigen Fensterscheibe (Berg in: Altvater/Baden/Baunack u.a., BPersVG, 10. Aufl. 2019 § 75 Rn. 258). Die verdeckte Überwachung mit solchen Hilfsmitteln kann zwar, im Unterschied zur offenen, aufsuchenden Kontrolle durch Vorgesetzte, die Empfindung auslösen, jederzeit beobachtet oder in anderer Weise fortlaufend kontrolliert zu werden. Für den Mitbestimmungstatbestand ist hingegen spezifisch, dass die Überwachung gerade mit Hilfe einer als technisch zu bewertenden Einrichtung erfolgt. Sommer spricht insoweit von einer Kontrolle „durch technische Einrichtungen“, von einer technisierten Ermittlung von Verhaltens- und Leistungsdaten (in: Ilbertz/Widmaier/Sommer, BPersVG, 14. Aufl. 2018, § 75 Rn. 196a). Denn der Gesetzgeber reagierte in den 70er Jahren des vorigen Jahrhunderts mit der Einführung von § 87 Abs. 1 Nr. 6 BetrVG im Jahr 1972 und § 75 Abs. 3 Nr. 17 BPersVG im Jahr 1974 auf das verbreitete Unbehagen der Beschäftigten, das sich vornehmlich an elektronischer Datenverarbeitung festmachte. Die viel ältere Überwachungsmöglichkeit mittels optischer Instrumente stand nicht im Mittelpunkt des öffentlichen Interesses. Es liegt auf dieser Linie, wenn das Bundesverwaltungsgericht die Überwachung „mit Hilfe technischer oder elektronischer Kontrolleinrichtungen“ so interpretiert hat, dass technische Einrichtungen Anlagen oder Geräte seien, die unter Verwendung nicht menschlicher, sondern anderweit erzeugter Energie mit den Mitteln der Technik, insbesondere der Elektronik, eine selbständige Leistung erbrächten; dabei seien Anlagen zur elektronischen Datenverarbeitung dann zur Überwachung geeignet, wenn sie mit einem entsprechenden Programm versehen seien oder werden könnten (BVerwG, Beschluss vom 14. Juni 2011 – 6 P 10.10 – juris Rn. 16; siehe auch Sommer in: Ilbertz/Widmaier/Sommer, BPersVG, 14. Aufl. 2018, § 75 Rn. 201a).

Die selbständige Leistung der technischen Einrichtung kann bei der Erhebung von Daten oder bei deren Auswertung zum Tragen kommen. Es reicht aus, wenn nur die Erhebung durch einen Automaten erfolgt und die Auswertung von Menschen durchgeführt wird (Überwachungskamera; Oberverwaltungsgericht Berlin-Brandenburg, Beschluss vom 28. Februar 2006 – OVG 60 PV 19.05 – juris; unbeanstandet durch den Beschluss des BVerwG vom 26. September 2006 – 6 PB 10.06 – juris; ebenso Kaiser/Annuß in: Richardi/Dörner/Weber, Personalvertretungsrecht, 5. Aufl. 2020, BPersVG § 75 Rn. 538). Umgekehrt lässt eine händische Eingabe den Mitbestimmungstatbestand nicht entfallen, wenn die Auswertung automatisiert ist (BVerwG, Beschluss vom 16. Dezember 1987 – 6 P 32.84 – juris Rn. 23). Dabei würde es für den Senat schon ausreichen, wenn automatisch eine Vorsortierung erfolgt, beispielsweise eine Auswahl von 10 aus 100 Datensätzen nach Schlüsselbegriffen, die von Personen weiter ausgewertet werden müsste. Wird hingegen sowohl die Eingabe leistungs- und verhaltensrelevanter Daten als auch deren Auswertung von Menschen vorgenommen, erbringt die Einrichtung keine selbständige Leistung.

Die selbständige Leistung zur Überwachung wäre nicht schon darin zu sehen, dass die Daten gespeichert werden. Für den Senat bedeutet es keinen Unterschied, ob die erhobenen Daten augenblicklich ausgewertet werden müssten, weil sie nicht gespeichert werden (Beispiel: die in einem mit Personal besetzten Kontrollraum zusammentreffenden Bilder aus laufenden Überwachungskameras), oder im Fall einer dauerhaften Aufzeichnung erst später, etwa nach Bedarf, ausgewertet werden könnten. Denn im Fall der Archivierung von Daten handelt es sich um nicht mehr als eine elektronische Akte (siehe dazu Grimm/Kühne, jM 2017, 330 <333>; Schiller in: Besgen/Prinz, Arbeiten 4.0 - Arbeitsrecht und Datenschutz in der digitalisierten Arbeitswelt, 4. Aufl. 2018, § 10 Arbeitsrechtliche Aspekte zu Social Media, Rn. 78).

Nach diesen Maßstäben sind die hier in Rede stehenden sozialen Medien auch im Hinblick auf die Kommentarfunktion keine technischen Einrichtungen im Sinn des § 80 Abs. 1 Nr. 21 BPersVG, sondern technische Hilfsmittel, weil weder die Datenerhebung noch die Datenauswertung ganz oder teilweise automatisch erfolgt (ebenso Wisskirchen/Schiller/Schwindling, BB 2017, 2105 <2107> zu § 87 Abs. 1 Nr. 6 BetrVG; so wohl auch Sommer in: Ilbertz/Widmaier/Sommer, BPersVG, 14. Aufl. 2018, § 75 Rn. 212b zum „reinen Betrieb einer Facebook-Seite“). Die womöglich mitbestimmungsrelevanten Daten werden von Nutzern händisch eingegeben. Und die Anbieter der sozialen Medien stellen den Seiteninhabern weder die Möglichkeit einer automatisierten (Teil-)Auswertung der Kommentare bereit noch sehen die Programme den nachträglichen Anschluss eines zur Auswertung bestimmten Programms vor. Es fehlt insgesamt eine selbständige Leistung der Einrichtung, ein datenverarbeitendes Programm im Sinne des Bundesverwaltungsgerichts, das die Dienststelle zur Überwachung von Beschäftigten nutzen könnte. Eine automatisierte Auswertung von Daten durch die Anbieter der sozialen Medien wie auch die Möglichkeit einer Ausspähung durch Geheim- bzw. Nachrichtendienste sind für den Mitbestimmungstatbestand, der allein die Überwachung durch den Dienstherrn bzw. Arbeitgeber der Beschäftigten in den Blick nimmt, unerheblich. Das gilt auch für das Datenschutzrecht (vgl. Ehmann, jurisPR-ArbR 16/2021 Anm. 8 lit. C). Die Kommentarfunktion eröffnet den Nutzern eine niederschwellige Möglichkeit für Eingaben und Nachrichten. Der elektronisch übersandte Kommentar gleicht nach der Versendungsart einer Email (Wisskirchen/Schiller/Schwindling, BB 2017, 2105 <2107>) und nach der Wirkung – bis zur Löschung – einem offenen Brief (Fuhlrott, EWiR 2017, 349 <350>).

Der erkennende Senat weicht insofern von der erstinstanzlichen Entscheidung und vom Beschluss des Bundesarbeitsgerichts vom 13. Dezember 2016 – 1 ABR 7/15 – ab. Das Bundesarbeitsgericht hielt es für genügend, dass die Informationen durch die Nutzer der Facebookseite aufgrund der dort vorhandenen Funktion eingegeben und mittels der von Facebook eingesetzten Software einer dauerhaften Speicherung und zeitlich unbegrenzten Zugriffsmöglichkeit zugeführt würden. Die Abweichung vom Bundesarbeitsgericht erklärt sich nicht dadurch, dass in dem dort entschiedenen Fall allein über die bei Facebook abstellbare Funktion „Besucher-Beiträge“ entschieden wurde und nicht über die unvermeidliche Kommentarfunktion. Bei der Eröffnung von Besucher-Beiträgen handelt es sich um eine attraktivere Kommentarfunktion, die sich in Bezug auf die Möglichkeit von leistungs- und verhaltensrelevanten Mitteilungen nicht von der grundlegenden Kommentarfunktion unterscheidet.

Das Bundesarbeitsgericht traf seine Entscheidung zu § 87 Abs. 1 Nr. 6 BetrVG. Diese Vorschrift stimmt im Wortlaut praktisch mit § 80 Abs. 1 Nr. 21 BPersVG überein. Nach der Rechtsprechung des Bundesverwaltungsgerichts sind beide Vorschriften im Wesentlichen gleich auszulegen; die Interessenlage in privaten Betrieben und öffentlichen Behörden gleicht sich insoweit (vgl. BVerwG, Beschluss vom 16. Dezember 1987 – 6 P 32.84 – juris Rn. 19; ähnlich Kaiser/Annuß in: Richardi/Dörner/Weber, Personalvertretungsrecht, 5. Aufl. 2020, BPersVG § 75 Rn. 536). Angesichts dessen wich das Bundesarbeitsgericht im Jahr 2016 von der vorhergehenden Rechtsprechung des Bundesverwaltungsgerichts dadurch ab, dass es nicht auf eine selbstständige Leistung der Einrichtung, auf ein datenverarbeitendes Programm abstellte (vgl. auch Bieder, NZA-RR 2017, 225 <230>). Nach den Besprechungen dieses Beschlusses wich das Bundesarbeitsgericht zudem von seiner eigenen Rechtsprechung ab, insbesondere vom Beschluss vom 10. Dezember 2013 – 1 ABR 43/12 – (juris) zur Verwendung von GoogleMaps bei der Überprüfung von Reisekostenabrechnungen (Wahlers, jurisPR-ITR 11/2017 Anm. 5; Wisskirchen/Schiller/Schwindling, BB 2017, 2105 <2107>; Schiller in: Besgen/Prinz, Arbeiten 4.0 - Arbeitsrecht und Datenschutz in der digitalisierten Arbeitswelt, 4. Aufl. 2018, § 10 Arbeitsrechtliche Aspekte zu Social Media, Rn. 78). Ob der Beschluss vom 13. Dezember 2016 in der Rechtsprechung zum Betriebsverfassungsrecht eine Einzelfallentscheidung bleibt (so die Prognose von Wisskirchen/Schiller/Schwindling, BB 2017, 2105 <2107>), braucht hier allerdings nicht weiter zu beschäftigen.

Die in etlichen Anmerkungen kritisch kommentierte Ausdehnung der bisherigen Rechtsprechung, die letztlich zur Mitbestimmungspflicht bei jedweder Eröffnung elektronischer Kommunikationsmittel durch die Dienststellenleitung führt (Grimm/Kühne, jM 2017, 330 <333>; siehe auch Mues, ArbRB 2017, 174 <175>; Prinz, SAE 2017, 92 <95>; Wahlers, jurisPR-ITR 11/2017 Anm. 5; dem BAG zustimmend Ley, BB 2017, 1213 <1215>; sich dem BAG unkommentiert anschließend Berg in: Altvater/Baden/Baunack u.a., BPersVG, 10. Aufl. 2019 § 75 Rn. 263; Kaiser/Annuß in: Richardi/Dörner/Weber, Personalvertretungsrecht, 5. Aufl. 2020, BPersVG § 75 Rn. 545; Rehak in: Lorenzen/Gerhold/Schlatmann u.a., BPersVG, § 75 Rn. 680), mag das Bundesarbeitsgericht in seiner Facebook-Entscheidung veranlasst haben, seinem abstrakten Rechtssatz Folgendes hinzuzufügen: „Zudem sind diese Daten über die Facebookseite dauerhaft öffentlich zugänglich. Sie sind deshalb nicht – wie das Landesarbeitsgericht meint – mit einem an den Arbeitgeber gerichteten Beschwerdebrief vergleichbar.“ Die Verknüpfung dieser Sätze mit der vorangegangenen Würdigung durch die Konjunktion „zudem“ lässt zwar daran zweifeln, ob es entscheidend auf den zusätzlichen Aspekt ankommen soll oder ob er hinweggedacht werden könnte, ohne am Ergebnis des Bundesarbeitsgerichts etwas zu ändern. Immerhin eignet sich der zusätzliche Aspekt zur Eindämmung einer ansonsten nahezu umfassenden Mitbestimmungspflicht.

Der Aspekt führt allerdings einen neuartigen Gesetzeszweck in die Auslegung des Mitbestimmungstatbestands ein, der sich in der Rechtsprechung des Bundesverwaltungsgerichts noch nicht findet. War bislang von den Gefahren der Technisierung nur der erhöhte Überwachungsdruck relevant, dem die Beschäftigten ausgesetzt sind, kommt nunmehr durch die Prangerwirkung öffentlich zugänglicher, womöglich unberechtigter oder tatsächlich haltloser Beschwerden über Beschäftigte, die einen Shitstorm und ähnlich gravierende Nachteile nach sich ziehen könnten, das allgemeine Persönlichkeitsrecht umfassend in Betracht (vgl. Grimm/Kühne, jM 2017, 330 <333>). Auch wenn sich nach den Mitteilungen des Antragstellers und des Beteiligten seit der Eröffnung der Kommentarfunktionen nichts dergleichen ereignet hat, wären solche Vorkommnisse Anlass für die Dienststelle, im schutzwürdigen Interesse der Beschäftigten auf Abhilfe zu sinnen. Der Senat hält es allerdings für falsch, aus solchen Erwägungen heraus den Gesetzeszweck von § 80 Abs. 1 Nr. 21 BPersVG um einen vom Gesetzgeber nicht vorgesehenen Schutzgegenstand zu erweitern (ebenso Grimm/Kühne, jM 2017, 330 <333> zu § 87 Abs. 1 Nr. 6 BetrVG).

Die Rechtsbeschwerde ist zuzulassen. Der Zulassungsgrund einer entscheidungserheblichen Rechtsfrage von grundsätzlicher Bedeutung (§ 92 Abs. 1 Satz 2 i.V.m. § 72 Abs. 2 Nr. 1 ArbGG) liegt vor."


Den Volltext der Entscheidung finden Sie hier:



VG Wiesbaden legt EuGH vor: Verstößt Speicherung der Restschuldbefreiung durch Schufa länger als 6 Monate gegen DSGVO

VG Wiesbaden
Beschluss vom 31.08.2021
6 K 226/21.WI


Das VG Wiesbdaden hat dem EuGH zur Entscheidung vorgelegt, ob die Speicherung der Restschuldbefreiung durch die Schufa länger als 6 Monate gegen die DSGVO verstößt.

Die Pressemitteilung des VG Wiesbaden:

Vorlage zum Europäischen Gerichtshof bezüglich der Eintragung einer Restschuldbefreiung bei der SCHUFA Holding AG

Gegenstand des Verfahrens vor dem VG Wiesbaden ist das Begehren des Klägers, die Eintragung einer Restschuldbefreiung aus dem Verzeichnis der SCHUFA Holding AG, einer privaten Wirtschaftsauskunftei, zu löschen. Die Information hinsichtlich der Restschuldbefreiung stammt aus den Veröffentlichungen der Insolvenzgerichte, bei denen sie nach 6 Monaten gelöscht wird. Bei der SCHUFA erfolgt eine Löschung gemäß der „Verhaltensregeln für die Prüf- und Löschfristen von personenbezogenen Daten durch die deutschen Wirtschaftsauskunfteien“ vom 25.05.2018 des Verbandes „Die Wirtschaftsauskunfteien e.V.“ erst 3 Jahre nach der Eintragung. In Bezug auf die Löschung wandte sich der Kläger mit einer Beschwerde an den Hessischen Beauftragten für Datenschutz und Informationsfreiheit als Aufsichtsbehörde, der auf die Löschung der Eintragung bei der SCHUFA Holding AG hinwirken solle. Dieser lehnte das Begehren des Klägers jedoch ab.

Die 6. Kammer des VG Wiesbaden hat mit Beschluss vom 31.08.2021 entschieden, dem Gerichtshof der Europäischen Union (EuGH) mehrere Fragen zur Klärung vorzulegen.

Zum einen sei zu klären, ob es genüge, wenn sich der Datenschutzbeauftragte wie im Falle einer Petition mit der Beschwerde der betroffenen Person überhaupt befasse und sie innerhalb eines bestimmten Zeitraums über den Stand und das Ergebnis der Beschwerde unterrichte. Es bestünden Zweifel, ob diese Auffassung mit der Datenschutzgrundverordnung (DS-GVO) vereinbar sei, da hierdurch das Recht auf einen wirksamen gerichtlichen Rechtsbehelf gegen die Aufsichtsbehörde eingeschränkt werde. Es bedürfe einer Klärung, ob die Entscheidung der Aufsichtsbehörde der vollen inhaltlichen Kontrolle der Gerichte unterliege.

Zudem legte die 6. Kammer die Frage vor, ob die Eintragungen aus den öffentlichen Verzeichnissen, beispielsweise aus den Veröffentlichungen der Insolvenzgerichte, eins zu eins in privat geführte Verzeichnisse übertragen werden könnten, ohne dass ein konkreter Anlass zur Datenspeicherung bei der privaten Wirtschaftsauskunftei bestehe. Zweck der Speicherung sei vielmehr, die Daten im Fall einer eventuellen Auskunftsanfrage durch ein Wirtschaftsunternehmen, z.B. eine Bank, verwenden zu können. Ob eine solche Auskunft jemals nachgefragt werde, sei dabei vollkommen offen.

Dies führe letztendlich zu einer Vorratsdatenspeicherung, vor allem dann, wenn in dem nationalen Register die Daten schon wegen Ablaufs der Speicherfrist gelöscht worden seien. Die streitgegenständliche Restschuldenbefreiung sei in dem öffentlichen Register der Insolvenzbekanntmachungen nach 6 Monaten zu löschen, während sie bei den privaten Wirtschaftsauskunfteien jedoch viel länger, ggf. noch weitere 3 Jahre gespeichert und bei Auskünften verarbeitet werden könne.

Es bestünden bereits Zweifel daran, ob eine „Parallelhaltung“ dieser Daten neben den staatlichen Registern bei einer Vielzahl privater Firmen überhaupt zulässig sei. Dabei sei zu beachten, dass die SCHUFA Holding AG nur eine von mehreren Auskunfteien sei und damit die Daten vielfach in Deutschland auf diesem Wege vorgehalten würden. Eine solche „Datenhaltung“ sei gesetzlich nicht geregelt und könne massiv in die wirtschaftliche Betätigung eines Betroffenen eingreifen.

Sollte diese Speicherung jedoch zulässig sein, so müssten jedenfalls dieselben Speicher- und Löschfristen gelten, wie in den öffentlichen Registern. Dies mit der Folge, dass Daten, die im öffentlichen Register zu löschen seien, auch bei allen privaten Wirtschaftsauskunfteien, die diese Daten zusätzlich gespeichert hätten, zeitgleich gelöscht werden müssten.

Der Vorlagebeschluss (Az.: 6 K 226/21.WI) ist unanfechtbar.

Anhang:
Artikel 6 DS-GVO
Verordnung (EU) 2016/679 des Europäische Parlaments und des Rates vom 27. April 2016 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten, zum freien Datenverkehr und zur Aufhebung der Richtlinie 95/46/EG – Datenschutz-Grundverordnung)

Rechtmäßigkeit der Verarbeitung
(1) Die Verarbeitung ist nur rechtmäßig, wenn mindestens eine der nachstehenden Bedingungen erfüllt ist:

a) Die betroffene Person hat ihre Einwilligung zu der Verarbeitung der sie betreffenden personenbezogenen Daten für einen oder mehrere bestimmte Zwecke gegeben;

b) die Verarbeitung ist für die Erfüllung eines Vertrags, dessen Vertragspartei die betroffene Person ist, oder zur Durchführung vorvertraglicher Maßnahmen erforderlich, die auf Anfrage der betroffenen Person erfolgen;

c) die Verarbeitung ist zur Erfüllung einer rechtlichen Verpflichtung erforderlich, der der Verantwortliche unterliegt;

d) die Verarbeitung ist erforderlich, um lebenswichtige Interessen der betroffenen Person oder einer anderen natürlichen Person zu schützen;

e) die Verarbeitung ist für die Wahrnehmung einer Aufgabe erforderlich, die im öffentlichen Interesse liegt oder in Ausübung öffentlicher Gewalt erfolgt, die dem Verantwortlichen übertragen wurde;

f) die Verarbeitung ist zur Wahrung der berechtigten Interessen des Verantwortlichen oder eines Dritten erforderlich, sofern nicht die Interessen oder Grundrechte und Grundfreiheiten der betroffenen Person, die den Schutz personenbezogener Daten erfordern, überwiegen, insbesondere dann, wenn es sich bei der betroffenen Person um ein Kind handelt.

Unterabsatz 1 Buchstabe f gilt nicht für die von Behörden in Erfüllung ihrer Aufgaben vorgenommene Verarbeitung.

Artikel 77 DS-GVO
Recht auf Beschwerde bei einer Aufsichtsbehörde
(1) Jede betroffene Person hat unbeschadet eines anderweitigen verwaltungsrechtlichen oder gerichtlichen Rechtsbehelfs das Recht auf Beschwerde bei einer Aufsichtsbehörde, insbesondere in dem Mitgliedstaat ihres Aufenthaltsorts, ihres Arbeitsplatzes oder des Orts des mutmaßlichen Verstoßes, wenn die betroffene Person der Ansicht ist, dass die Verarbeitung der sie betreffenden personenbezogenen Daten gegen diese Verordnung verstößt.

§ 9 InsO (Insolvenzordnung)
Öffentliche Bekanntmachung
(1) Die öffentliche Bekanntmachung erfolgt durch eine zentrale und länderübergreifende Veröffentlichung im Internet; diese kann auszugsweise geschehen. Dabei ist der Schuldner genau zu bezeichnen, insbesondere sind seine Anschrift und sein Geschäftszweig anzugeben. Die Bekanntmachung gilt als bewirkt, sobald nach dem Tag der Veröffentlichung zwei weitere Tage verstrichen sind.

(2) Das Insolvenzgericht kann weitere Veröffentlichungen veranlassen, soweit dies landesrechtlich bestimmt ist. Das Bundesministerium der Justiz und für Verbraucherschutz wird ermächtigt, durch Rechtsverordnung mit Zustimmung des Bundesrates die Einzelheiten der zentralen und länderübergreifenden Veröffentlichung im Internet zu regeln. Dabei sind insbesondere Löschungsfristen vorzusehen sowie Vorschriften, die sicherstellen, dass die Veröffentlichungen

1.unversehrt, vollständig und aktuell bleiben,

2.jederzeit ihrem Ursprung nach zugeordnet werden können.

(3) Die öffentliche Bekanntmachung genügt zum Nachweis der Zustellung an alle Beteiligten, auch wenn dieses Gesetz neben ihr eine besondere Zustellung vorschreibt.

§ 3 Verordnung zu öffentlichen Bekanntmachungen in Insolvenzverfahren im Internet vom 12. Februar 2002
Löschungsfristen
(1) Die in einem elektronischen Informations- und Kommunikationssystem erfolgte Veröffentlichung von Daten aus einem Insolvenzverfahren einschließlich des Eröffnungsverfahrens wird spätestens sechs Monate nach der Aufhebung oder der Rechtskraft der Einstellung des Insolvenzverfahrens gelöscht. Wird das Verfahren nicht eröffnet, beginnt die Frist mit der Aufhebung der veröffentlichten Sicherungsmaßnahmen.

(2) Für die Veröffentlichungen im Restschuldbefreiungsverfahren einschließlich des Beschlusses nach § 289 der Insolvenzordnung gilt Absatz 1 Satz 1 mit der Maßgabe, dass die Frist mit Rechtskraft der Entscheidung über die Restschuldbefreiung zu laufen beginnt.

(3) Sonstige Veröffentlichungen nach der Insolvenzordnung werden einen Monat nach dem ersten Tag der Veröffentlichung gelöscht


HmbBfDI: Bußgeld in Höhe von 901.388,84 Euro gegen Vattenfall wegen DSGVO-Verstoß - datenschutzrechtliche Transparenzpflichten aus Art. 12 und Art. 13 DSGVO

Der Hamburgische Beauftragte für Datenschutz und Informationsfreiheit der Freien und Hansestadt Hamburg (HmbBfDI) hat ein Bußgeld in Höhe von 901.388,84 Euro gegen Vattenfall wegen Verstößen gegen die datenschutzrechtlichen Transparenzpflichten aus Art. 12 und Art. 13 DSGVO verhängt.

Die Pressemitteilung des HmbBfDI:

Bußgeld gegen Vattenfall Europe Sales GmbH verhängt

Die Vattenfall Europe Sales GmbH (Vattenfall) hat zwischen August 2018 und Dezember 2019 bei Vertragsanfragen für Sonderverträge, die mit besonderen Bonuszahlungen verbunden waren, routinemäßig überprüft, ob die Kundinnen und Kunden ein „wechselauffälliges Verhalten“ zeigten. Diese Überprüfung sollte verhindern, dass die Kundinnen und Kunden solche Bonus-Verträge nicht so regelmäßig abschließen, dass sich dieses Angebot zur Neukundenwerbung für das Unternehmen nicht mehr rentiert. Um dies zu überprüfen, nutzte Vattenfall Rechnungen aus früheren Vertragsbeziehungen mit diesen Kundinnen und Kunden, die nach steuer- und handelsrechtlichen Vorgaben ohnehin für bis zu zehn Jahre aufbewahrt werden müssen. Für die Kundinnen und Kunden war nicht erkennbar, dass ein solcher Datenabgleich stattfand.

Der Hamburgische Beauftragte für Datenschutz und Informationsfreiheit (HmbBfDI) kam nach einer Prüfung des Vorgangs zu dem Ergebnis, dass Vattenfall durch dieses Vorgehen gegen die datenschutzrechtlichen Transparenzpflichten (Artt. 12, 13 DSGVO) verstieß, da die Kundinnen und Kunden über den Datenabgleich nicht ausreichend informiert wurden. Betroffen waren insgesamt rund 500.000 Personen. Der HmbBfDI hat daraufhin gegen Vattenfall ein Bußgeld von 901.388,84 Euro verhängt. Die festgestellte Rechtswidrigkeit bezieht sich nicht auf den Datenabgleich an sich, sondern ist auf die nicht ausreichend erfüllten Transparenzpflichten beschränkt. Der Bescheid ist rechtskräftig.

Das verhängte Bußgeld berührt nicht die weitergehende Frage, ob ein solcher Abgleich überhaupt zulässig ist. Dies ist in der DSGVO nicht ausdrücklich geregelt, es existieren insoweit keine eindeutigen rechtlichen Vorgaben. Der HmbBfDI hat mit Vattenfall ein Verfahren abgestimmt, das nach seiner Auffassung sowohl die Datenschutzrechte von Kundinnen und Kunden als auch die wirtschaftlichen Belange des Unternehmens berücksichtigt. Sowohl erstmalig an einem Vertragsschluss mit Vattenfall Interessierte als auch Bestandskundinnen und -kunden werden transparent und verständlich über den Datenabgleich und dessen Zweck informiert. Verbraucherinnen und Verbraucher können künftig informiert entscheiden, ob sie einen rabattierten Bonusvertrag abschließen möchten, der die interne Überprüfung ihres Status als Neukunde beinhaltet oder einen nicht rabattierten Vertrag ohne einen solchen Abgleich.

Dazu Ulrich Kühn, der amtierende HmbBfDI: „Wir halten das nun praktizierte Verfahren für einen angemessenen Ausgleich aller betroffenen Interessen. Die in der Vergangenheit erfolgten Abgleiche wurden sanktioniert, weil Transparenzpflichten verletzt wurden, indem die Kundinnen und Kunden unter Missachtung der Vorgaben von Artt. 12, 13 DSGVO über den praktizierten Datenabgleich im Unklaren gelassen wurden. Da dies rund 500.000 Fälle betraf, war die Verhängung eines Bußgelds angezeigt. Vattenfall hat in dem Verfahren umfassend mit dem HmbBfDI kooperiert und den intransparenten Datenabgleich unmittelbar nach dem ersten Tätigwerden des HmbBfDI gestoppt. Deswegen war das Bußgeld deutlich zu reduzieren. Die dennoch verhängte Höhe sollte allen Unternehmen eine Warnung sein, die gesetzlichen Transparenzpflichten nicht zu vernachlässigen. Insbesondere bei einer Vielzahl von Betroffenen sind wie in dem vorliegenden Fall hohe Bußgelder klar angezeigt.“


AG Pfaffenhofen: 300 EURO Geldentschädigung aus Art. 82 DGSVO bei unbefugter Zusendung einer Werbe-E-Mail und unzureichender Auskunft über Herkunft der Daten

AG Pfaffenhofen
Urteil vom 09.09.2021
2 C 133/21


Das AG Pfaffenhofen hat entschieden, dass eine Geldentschädigung in Höhe von 300 EURO aus Art. 82 DGSVO bei unbefugter Zusendung einer Werbe-E-Mail und unzureichender Auskunft über Herkunft der Daten angemessen ist.

Aus den Entscheidungsgründen:

"Dem Kläger steht gem. Art. 82 DSGVO ein Anspruch auf Ersatz immateriellen Schadens zu, den das Gericht wie tenoriert bemisst.

Die Beklagte hat gegen Bestimmungen der DS-GVO verstoßen, die Verstöße haben nach dem - insoweit auch unwidersprochen gebliebenen und damit zugestandenen (§ 138 Abs. 3 ZPO) Vorbringen des Klägers kausal zu einem immateriellen Schaden geführt.

Die Beklagte hat zum einen die Email-Adresse des Klägers ohne Rechtfertigung iSd Art. 6 DSGVO verarbeitet, zum anderen dem Kläger verspätet bzw. zunächst nicht vollständig Auskunft erteilt.

a. Die Beklagte hat unstreitig iSd Art. 4 DS-GVO die Email-Adresse des Klägers verarbeitet (erhoben, erfasst und gespeichert, und durch ihr Anschreiben weiter verwendet).

Hierfür - jedenfalls für die Speicherung und Verwendung wie erfolgt - konnte die Beklagte keinen rechtfertigenden Tatbestand iSd Art. 6 Abs. 1 DS-GVO darlegen. Die Beklagte behauptet insbesondere schon selbst nicht (geschweige denn belegt dies), dass der Kläger hierin eingewilligt hätte. Sie behauptet im Prozess schon selbst nicht, dass der Kläger ihr etwa seine Email-Adresse (und dies mit entsprechender Einwilligung) mitgeteilt hätte oder (auch wenn dies in der streitgegenständlichen Email so angegeben gewesen war) der Kläger eine Anfrage an die Beklagte gesandt hätte (Fall der Nachfragewerbung, vgl.
Eckhardt in Auer-Reinsdorff/Conrad, Handbuch IT- und Datenschutzrecht, 3. Aufl., § 25 b) Rdnr. 82 m.Nw., zit. nach beck-online) oder etwa ein Fall des § 7 Abs. 3 UWG vorgelegen hätte (dies würde u.a. voraussetzen, dass ein Unternehmer - hier die Beklagte - im Zusammenhang mit dem Verkauf einer Ware oder Dienstleistung von einem Kunden dessen elektronische Postadresse erhalten hat; dies war unstreitig ebenfalls nicht der Fall). Die Beklagte trug vielmehr vor, die Email-Adresse des Klägers aus frei zugänglicher Quelle im Internet gefunden zu haben, bei der Suche nach einer Rechtsberatung. Sie hat die Email-Adresse jedoch - selbst wenn die ursprüngliche Erfassung zu einem berechtigten Zweck erfolgt sein sollte, wie die Beklagte wohl behauptet - unstreitig nicht hierfür gespeichert und verwendet, sondern (als auch nach ihrem eigenen Vorbringen der ursprüngliche Zweck längst entfallen gewesen wäre) zum Zwecke der Werbung, die jedoch mangels vorheriger Einwilligung des Klägers gegen § 7 Abs. 2 Nr. 3 UWG und Art. 6 Abs. 1 S. 1 verstieß.

Die Werbung mittels E-Mail-Marketing setzt für ihre Zulässigkeit außerhalb der Fälle des § 7 Abs. 3 UWG eine - vorherige und ausdrückliche - Einwilligung voraus, mithin eine Willensbekundung, die ohne Zwang, für den konkreten Fall und in Kenntnis der Sachlage erfolgt (vgl. Eckhardt a.a.O. Rdnr. 86 m.Nw.). Eine solche wird schon durch die Beklagte - welche insoweit darlegungs- und beweisbelastet wäre - nicht im Ansatz behauptet oder vorgetragen.

Ebensowenig ist aus dem Vorbringen einer - auch nur z.B. konkludent - erteilte Einwilligung iSd Art. 6 Abs. 1 S. 1 lit a. DSGVO zu entnehmen. Auch keiner der weiteren Fälle der Vorschrift ist zu erkennen, insbesondere auch nicht ein Fall des Art. 6 Abs. 1 S. 1 lit. f. DSGVO m(überwiegende berechtigte Interessen des Verwantwortlichen oder eines Dritten). Gem. Erwägungsgrund 47 ist im Rahmen der Interessenabwägung nach lit. f zu prüfen, „ob eine betroffene Person zum Zeitpunkt der Datenerhebung und angesichts der Umstände, unter denen sie erfolgt, vernünftigerweise absehen kann, dass möglicherweise eine Verarbeitung
für diesen Zweck erfolgen wird“(vgl. Gola DS-GVO/Schulz, 2. Aufl. 2018, DS-GVO Art. 6 Rn. 61). Im Rahmen der Interessenabwägung ist zunächst der vom Datenverarbeiter verfolgte Zweck mit der Art, dem Inhalt sowie der Aussagekraft der Daten gegenüberzustellen; zu berücksichtigen sind sodann insbesondere die vernünftige Erwartungshaltung der betroffenen
Person bzw. die Absehbarkeit (Branchenüblichkeit) der Verarbeitung sowie ihre Beziehung zu dem Verantwortlichen (BeckOK DatenschutzR/Albers/Veit, 36. Ed. 1.5.2020, DS-GVO Art. 6 Rn. 53). Vorliegend führt bereits vor diesem Hintergrund die Abwägung hier zu dem Ergebnis, dass die schutzwürdigen Interessen des Klägers - welcher unstreitig in keinerlei vorheriger Beziehung zur Beklagten gestanden und auch sonst nicht nachweisbar seine Email-Adresse selbst in einer Weise, die
solche Verwendung absehbar gemacht hätte, mitgeteilt oder veröffentlich hatte - die Interessen der Beklagten an einer Werbemaßnahme für von ihr vertriebene Masken überwogen. Zudem spricht viel dafür, auch insoweit die Maßstäbe des § 7 Abs. 2 UWG zu berücksichtigen. Das OVG Saarlouis (B.v. 16.02.2021, 2 A 355/19, NJW 2021, 2225) führte in einem Fall der unerlaubten Telefonwerbung hierzu aus „dass die Bewertungsmaßstäbe des § 7 II Nr. 2 UWG, welcher der Umsetzung RL 2002/58/EG dient, auch im Rahmen des Art. 6 I Buchst. f DSGVO zu berücksichtigen wären. Es ist zwar zutreffend, dass auch die Verarbeitung personenbezogener Daten für Direktwerbung ein berechtigtes Interesse nach dem Erwägungsgrund 47 DS-GVO darstellen kann. Aber auch in diesem Zusammenhang ist zu berücksichtigen, dass die Ziele, die mit der Verarbeitung verfolgt werden, unionrechtskonform sein müssen. Daher gilt auch in diesem Zusammenhang die Wertung des § 7 II Nr. 2 UWG Geltung beanspruchen, mit der Folge, dass sich die Kl. nicht auf ein „berechtigtes“ Interesse berufen kann. Für dieses Ergebnis spricht im Übrigen auch die Forderung, für die Auslegung des Art. 6 I Buchst. f DSGVO als Ausgangspunkt konkret gefasste Erlaubnistatbestände aus dem nationalen Recht heranzuziehen, um dem allgemeinen Erlaubnistatbestand Konturen zu verleihen und Rechtssicherheit herzustellen“. Diese Ausführungen überzeugen und gelten ebenso für den hier vorliegenden Fall der Direktwerbung per Email, der ebenfalls von Art. 13 der Richtlinie 2002/58/EG erfasst und in § 7 Abs. 2 Nr. 3 UWG konkret geregelt ist.

Zudem hat die Beklagte auch gegen Art. 14 sowie 15 DS-GVO verstoßen. Gemäß Art. 14 DSGVO hat der Verantwortliche in dem Fall, dass die Erhebung der Daten nicht bei der betroffenen Person selbst erfolgt ist - was hier unstrittig der Fall war - eine Informationspflicht gegenüber dem Betroffenen über die in Art. 14 Abs. 1, 2 genannten Einzelheiten, welche gem. Art. 14 Abs. 3 lit, a, b DSGVO unter Berücksichtigung der spezifischen Umstände der Verarbeitung der personenbezogenen Daten innerhalb einer angemessenen Frist nach Erlangung der personenbezogenen Daten, längstens jedoch innerhalb eines Monats, bzw. falls die personenbezogenen Daten zur Kommunikation mit der betroffenen Person verwendet werden sollen, spätestens zum Zeitpunkt der ersten Mitteilung an sie (auch in diesem Fall jedoch spätestens innerhalb eines Monats, vgl. Kühling/Buchner/Bäcker, 3. Aufl. 2020, DSGVO Art. 14 Rn. 33; Paal/Pauly/Paal/Hennemann, 3. Aufl. 2021, DS-GVO Art. 14 Rn. 34) zu erfüllen ist. Eine Erfüllung dieser Pflicht - insbesondere innerhalb der Frist (die Beklagte speicherte die Daten ihrer eigenen Einlassung nach bereits ab 25.12.2020) - wurde nicht ersichtlich.

[...]

Die Höhe des Anspruchs ist dabei nicht willkürlich, sondern auf der Grundlage der inhaltlichen Schwere und Dauer der Rechtsverletzung zu beurteilen, unter Berücksichtigung des Kontexts, der Umstände eines Verstoßes. Genugtuungs- und Vorbeugungsfunktion können bei der Bezifferung eine Rolle spielen. Einerseits darf die Höhe des Schadensersatzes keine Strafwirkung entfalten. Andererseits reicht ein künstlich niedrig bezifferter Betrag mit symbolischer Wirkung nicht aus, um die praktische Wirksamkeit des Unionsrechts sicherzustellen (vgl. Paal/Pauly/Frenzel, 3. Aufl. 2021, DS-GVO Art. 82 Rn. 12a).

So sprach etwa das AG Hildesheim (U.v. 05.10.2020, 43 C 145/19, ZD 2021, 384) 800,00 € zu in einem Fall, in dem auf einem wiederaufbereiteten und weiterveräußerten PC private Daten des ursprünglichen Besitzers noch vorhanden und somit an den Dritten gelangt waren.

Das LG Lüneburg ( Urteil vom 14.7.2020 – 9 O 145/19, ZD 2021, 275) etwa sprach 1.000,00 € zu in einem Fall eines rechtswidrigen Schufa-Eintrags.

Vorliegend berücksichtigt das Gericht, dass der Kläger (der selbst zunächst von der Beklagten 300,00 € gefordert hatte, im Rahmen der prozessualen Geltendmachung dann einen Bereich von nicht unter 100,00 € für angemessen hielt) nicht nur von einem, sondern von mehreren Verstößen der Beklagten gegen Vorschriften der DSGVO betroffen war (s.o.). Andererseits blieben die Auswirkungen für den Kläger - anders als etwa in den beiden o.g. Fällen des AG Hildesheim und des LG Lüneburg im „eigenen Bereich“ des Klägers, es wurde von den Verstößen kein Bereich tangiert (jedenfalls wurde derartiges nicht erkennbar), der Beziehungen des Klägers zu anderen Dritten betraf, etwa (auch nur potentiell) die Gefahr einer Schädigung seines Ansehens, seiner Kreditwürdigkeit o.ä. bot. Die erkennbaren Auswirkungen lagen vielmehr darin, dass der Kläger sich - wie er unwidersprochen vortrug - sich mit der Abwehr der von ihm unerwünschten Werbung und der Herkunft der Daten auseinandersetzen musste. Gerade letzteres - zumal unter Berücksichtigung der Dauer des Verstoßes und der zunächst nicht ansatzweise zielführend erfolgten Auskunftserteilung - ist geeignet, zu einem durchaus belastenden Eindruck des Kontrollverlusts zu führen, zumal dies auch die Auseinandersetzung mit dem Verstoß und auch die Abwehr ggf. drohender anderweitiger Verstöße erschwert (die Quelle der Daten kann ja - und wird erfahrungsgemäß - auch die Quelle für andere sein, die ggf. unter Verstoß gegen die DSGVO diese Daten verarbeiten). Vor diesem Hintergrund ist insbesondere die bestenfalls als zögerlich zu bezeichnende Information durch die Beklagte (die insoweit auch im Prozess recht vage blieb, wenn auch der Kläger dies nicht mehr weiter verfolgte) im Interesse einer effektiven Abschreckung als schmerzensgelderhöhend zu berücksichtigen. Soweit die Beklagte mit ihrem letzten Vorbringen möglicherweise behaupten will, nur zur Versorgung ihrer Mitmenschen agiert zu haben (quasi altruistisch) erscheint dies im Übrigen wenig lebensnah. Nicht zu berücksichtigen war dagegen, dass der Kläger zwischenzeitlich weitere unerwünschte Emails erhalten haben mag; eine Verantwortung der Beklagten hierfür wird schon nicht behauptet oder ersichtlich.

Das Gericht erachtet - auch im Vergleich mit den o.g. Entscheidungen, denen noch deutlich gravierendere (zumindest potentielle) Auswirkungen zugrundelagen - vorliegend im Ergebnis eine Entschädigung von 300,00 € für angemessen."


Den Volltext der Entscheidung finden Sie hier:


LAG Hannover: DSGVO gewährt keinen Anspruch auf Entfernung einer Abmahnung jedenfalls aus in Papierform geführter Personalakte

LAG Hannover
Urteil vom 04.05.2021
11 Sa 1180/20


Das LAG Hannover hat entschieden, dass die DSGVO keinen Anspruch auf Entfernung einer Abmahnung jedenfalls aus einer in Papierform geführten Personalakte gewährt.

Aus den Entscheidungsgründen:

3. Die Kammer teilt im Ergebnis die Rechtsauffassung des Arbeitsgerichts, wonach auch unter datenschutzrechtlichen Gesichtspunkten ein Löschungsanspruch nicht besteht.

a) Hinsichtlich der DSGVO (Verordnung (EU) 2016/679) hat das Arbeitsgericht auf Artikel 17 der Verordnung abgestellt, der einen ausdrücklichen Löschungsanspruch regelt. Einschlägig wäre insoweit Abs. 1 Buchst. a)

„wenn die personenbezogenen Daten für die Zwecke, für die sie erhoben oder auf sonstige Weise verarbeitet wurden, nicht mehr notwendig sind.“

Ein solcher Anspruch könnte aber nicht abgelehnt werden mit der vom Arbeitsgericht gegebenen Begründung, wonach im Hinblick auf den noch anhängigen Kündigungsrechtstreit noch nicht feststellbar sei, dass die Daten nicht mehr benötigt werden. Da alle hier streitigen Rechtsfragen in einem gemeinsamen Rechtstreit anhängig gemacht werden, wird die Entscheidung über die Wirksamkeit der Kündigung und der Entfernung der Abmahnungen zeitlich koordiniert erfolgen. Im Übrigen steht zum Zeitpunkt der Berufungsentscheidung bereits seit über einem Jahr fest, dass das Arbeitsverhältnis spätestens mit Ablauf des 31.03.2020 beendet ist.

b) Art. 88 DSGVO stellt eine lex specialis hinsichtlich der Verarbeitung personenbezogener Beschäftigtendaten im Beschäftigungskontext dar. Der Artikel stellt jedoch nur eine Öffnungsklausel für besondere Regelungen der Mitgliedstaaten vor, er enthält selbst keine unmittelbar anwendbaren Rechtssätze.

Der Art. 88 DSGVO ausgestaltende § 26 BDSG regelt die Zulässigkeit der Datenverarbeitung für Zwecke des Beschäftigungsverhältnisses. Spezifische Löschungsvorschriften für das Beschäftigungsverhältnis enthält die Vorschrift ihrerseits nicht. Für das Recht auf Löschung verweist § 35 BDSG im Grundsatz auf Art. 17 der DSGVO. Als Ausnahme sieht § 35 Abs.1 BDSG vor, dass bei unverhältnismäßig hohem Aufwand der Löschung an die Stelle einer Löschung die Einschränkung der Verarbeitung tritt.

Art. 17 Abs. 3 DSGVO macht einen generellen Vorbehalt zu Gunsten gesetzlicher Aufbewahrungsfristen. Diese können im Arbeitsverhältnis insbesondere sozialversicherungs- und steuerrechtlicher Art sein. In der Literatur wird dazu vertreten, dass personenbezogene Daten nach Beendigung des Arbeitsverhältnisses generell zu löschen seien, soweit keine Aufbewahrungspflichten gelten (etwa Simitis/Hornung/Spieker, Datenschutzrecht 1. Aufl. 2019, Art. 88 DSGVO Rn. 205 ff.). In der Konsequenz würde dies allerdings bedeuten, dass der Arbeitgeber nach Beendigung eines jedem Arbeitsverhältnisses den vorhandenen Datenbestand des ausscheidenden Arbeitnehmers danach sortieren müsste, ob Aufbewahrungsfristen bestehen oder nicht.

c) Allerdings bestehen für den Anwendungsbereich der noch traditionell in Papierform geführten Personalakten erhebliche Zweifel, ob oder wieweit diese vom Regelungsbereich der DSGVO und des BDSG erfasst werden. In Art. 2 Abs.1 und Art. 4 Nr. 6 DSGVO wird der Begriff der Dateisysteme zugrunde gelegt. Unabhängig von der Frage, ob dieser Begriff zwischen automatisierten und nicht automatisierten Vorgängen unterscheidet (dazu etwa Gierschmann/Schlender Datenschutzgrundverordnung Kommentar 2018, Art. 4 Nr. 6 Rn. 8), ist in Erwägungsgrund 15 der Richtlinie ausdrücklich formuliert, dass Akten, die nicht nach bestimmten Kriterien geordnet sind, nicht in den Anwendungsbereich der Verordnung fallen sollen. Zutreffend weisen Gierschmann/Schlender aaO. Rn. 9 darauf hin, dass für Akten, - insbesondere Personalakten – rechtlich der Grundsatz der Vollständigkeit bestimmend ist und nicht der Grundsatz der Datensparsamkeit. Der Berufungsbegründung lassen sich weiterführende Überlegungen hinsichtlich dieser sehr grundsätzlichen Fragen nicht entnehmen.

Soweit ersichtlich, ist bisher in der Instanzrechtsprechung lediglich vereinzelt ein datenschutzrechtlicher Anspruch auf Entfernung einer Abmahnung nach Ende des Arbeitsverhältnisses angenommen worden (LAG Sachsen-Anhalt 23.11.18, 5 Sa 7/17, NZA-RR 109, 335). Eine klärende Entscheidung des Bundesarbeitsgerichts dazu steht noch aus. Die Kammer ist der Auffassung, dass auch die datenschutzrechtlichen Neuregelungen auf Basis der DSGVO eine derartig grundlegende Veränderung des Rechtsschutzes zumindest im Bereich der in Papierform geführten Personalakten nicht erfordern.

Den Volltext der Entscheidung finden Sie hier:



LAG Köln: Einführung von Microsoft Office 365 unterliegt der Mitbestimmung nach § 87 Abs. 1 Nr. 6 BetrVG

LAG Köln
Beschluss vom 21.05.2021
9 TaBV 28/20


Das LAG Köln hat entschieden, dass die Einführung vo Microsoft Office 365 der Mitbestimmung nach § 87 Abs. 1 Nr. 6 BetrVG unterliegt.

Aus den Entscheidungsgründen:

"2.) Der Hauptantrag und die Hilfsanträge sind nicht begründet, da das Mitbestimmungsrecht nach § 87 Abs. 1 Nr. 6 BetrVG bei der Einführung von Microsoft Office 365 nicht dem Antragsteller, sondern dem Gesamtbetriebsrat der d -d GmbH & Co. KG zusteht, und sich insoweit eine Differenzierung zwischen den einzelnen Modulen verbietet.

a) Die Einführung von Microsoft Office 365 unterliegt der Mitbestimmung nach § 87 Abs. 1 Nr. 6 BetrVG, da es sich um eine technische Einrichtung handelt, die dazu bestimmt ist, das Verhalten oder die Leistung der Arbeitnehmer zu überwachen. Dies ist nach der Rechtsprechung des BAG dann der Fall, wenn die Einrichtung objektiv geeignet ist, Verhaltens- oder Leistungsinformationen über den Arbeitnehmer zu erheben und aufzuzeichnen; auf die subjektive Überwachungsabsicht des Arbeitgebers kommt es nicht an (BAG, Beschluss vom 11. Dezember 2018– 1 ABR 13/17, juris Rn. 24).

b) Diese Voraussetzung liegen hier vor, da bei der Verwendung der verschiedenen Module von Microsoft Office 365 das Nutzungsverhalten wie etwa die Nutzungszeit erfasst und Nutzungsanalysen erstellt werden. Auf die diesbezüglichen Ausführungen des Arbeitsgerichts, denen die Kammer sich anschließt, wird Bezug genommen (Bl. 297 d.A.).

c) Zuständig für die Ausübung des Mitbestimmungsrechtes nach § 87 Abs. 1Nr. 6 BetrVG ist gemäß § 50 Abs. 1 Satz 1 BetrVG der Gesamtbetriebsrat der d -d GmbH & Co. KG, da es sich bei der unternehmensweiten Einführung von Microsoft Office 365 um eine Angelegenheit handelt, die das Gesamtunternehmen oder mehrere Betriebe der d -d GmbH & Co. KG betrifft und nicht durch die einzelnen Betriebsräte innerhalb ihrer Betriebe geregelt werden kann, weil objektiv ein zwingendes Erfordernis für eine unternehmenseinheitliche oder betriebsübergreifende Regelung besteht (vgl. BAG, Beschluss vom 18. Juli 2017 – 1 ABR 59/15, BAGE 159, 360-367, juris Rn. 19). Diese Zuständigkeitsregelung ist zwingend (Fitting, 30. Aufl. 2020, § 50 BetrVG, Rn. 3) und kann weder durch einen Tarifvertrag noch durch eine Betriebsvereinbarung und erst recht nicht durch eine Regelungsabrede, wie sie der Antragsteller behauptet hat, abgedungen werden

aa) Das Vorliegen eines zwingenden Erfordernisses bestimmt sich nach Inhalt und Zweck des Mitbestimmungstatbestands, der einer zu regelnden Angelegenheit zu Grunde liegt. Maßgeblich sind stets die konkreten Umstände des Unternehmens und der einzelnen Betriebe (BAG, Beschluss vom 18. Juli 2017 – 1 ABR 59/15, BAGE 159, 360-367, juris Rn. 19). Dieses Erfordernis kann sich aus technischen oder rechtlichen Gründen ergeben (BAG, Beschluss vom 14. November 2006 – 1 ABR 4/06, BAGE 120, 146-161, juris Rn. 22). Eine technische Notwendigkeit zu einer betriebsübergreifenden Regelung kann ua. dann bestehen, wenn im Wege der elektronischen Datenverarbeitung in mehreren Betrieben Daten erhoben und verarbeitet werden, die auch zur Weiterverwendung in anderen Betrieben bestimmt sind (BAG, Beschluss vom 14. November 2006 – 1 ABR 4/06, BAGE 120, 146-161 Rn. 30). In einem solchen Fall kann es aus arbeitstechnischen Gründen erforderlich sein, in den Betrieben auf den dortigen Rechnern dieselbe Software zu implementieren. Die Verwendung derselben Programme, Eingabemasken und Formate sorgt in solchen Fällen dafür, dass die in den Betrieben erhobenen und verarbeiteten Daten exportiert und importiert und sodann in anderen Betrieben ohne zusätzlichen technischen Aufwand genutzt werden können. Dies gilt auch dann, wenn die Betriebe nicht unmittelbar miteinander vernetzt sind, sondern der Datentransfer über einen gemeinsamen Server stattfindet. In einem solchen Fall ist eine unterschiedliche Ausgestaltung des elektronischen Datenverarbeitungssystems in den einzelnen Betrieben mit dessen einheitlicher Funktion nicht vereinbar (BAG, Beschluss vom 14. November 2006 – 1 ABR 4/06, BAGE 120, 146-161 Rn. 30). Ein zwingendes Erfordernis für eine unternehmensübergreifende Regelung aus technischen Gründen liegt auch dann vor, wenn wegen der bestehenden zentralen Nutzungs- und Überwachungsmöglichkeiten eine betriebsindividuelle Regelung ausscheidet (vgl. zum Konzernbetriebsrat BAG, Beschluss vom 25. September 2012 – 1 ABR 45/11, juris Rn. 26). Dies ist der Fall, wenn die technische Einrichtung erhobene Daten betriebsübergreifend verknüpfen kann und hierdurch die von den Arbeitnehmern erhobenen Leistungs- und Verhaltensdaten unternehmensweit erhoben, gefiltert und sortiert werden können (vgl. zum Konzernbetriebsrat BAG, Beschluss vom25. September 2012 – 1 ABR 45/11, juris Rn. 27). Eine technische Notwendigkeit liegt hingegen dann nicht vor, wenn keine Weitergabe erhobener Daten an andere Betriebe erfolgt und unternehmensübergreifende Nutzungs- und Überwachungsmöglichkeiten fehlen (vgl. BAG, Beschluss vom 26.01.2016 – 1 ABR 68/13, juris Rn. 26). Das ist hier aber nicht der Fall.

bb) Wie das Arbeitsgericht zutreffend erkannt hat, kann der Einsatz von Microsoft Office 365 auf Grund der Datenspeicherung auf einer sog. cloud und der zentralen Administration des Systems durch in K ansässige Administratoren aus technischen Gründen nur unternehmenseinheitlich geregelt werden. Es handelt sich insofern um eine zentrale Datenverarbeitung, weil die Administratoren am Standort K über Zugriffs- und Auswertungsmöglichkeiten in Bezug auf die für Arbeitnehmer anderer Betriebe erfassten Daten verfügen. Die zentrale Administra-tion stellt keine Beeinflussung der Zuständigkeitsebene durch die Arbeitgeberseite dar. Die zentrale Vergabe von Administrationsrechten ist der Entscheidung für die 1-Tenant-Lösung geschuldet, die von Seiten des Systems eine zentrale Administration vorsieht. Die Entscheidung für die 1-Tenant-Lösung wurde aber nicht durch die Arbeitgeberinnen alleine, sondern auf Grund der Verwerfung der Multi-Tenant-Lösung in der 1. Sitzung der Einigungsstelle gemeinsam mit dem Antragsteller getroffen. Zudem besteht keine Möglichkeit, die verschiedenen Module von Microsoft Office 365 derart unterschiedlich zu administrieren, dass das technisch zwingende Erfordernis einer unternehmenseinheitlichen Regelung entfiele.

cc) Im Hinblick auf die Module Yammer, Sway, Planner und PowerApps besteht bereits nach dem Vortrag des Antragstellers lediglich die Möglichkeit, diese für verschiedene Nutzergruppen durch den zentralen Administrator ein- oder auszuschalten, wodurch eine örtliche Regelbarkeit entfällt.

dd) Auch hinsichtlich der Module Teams, Office ProPlus, Stream und ToDo bestehen keine unterschiedlichen Administrationsmöglichkeiten, die das technisch zwingende Erfordernis einer unternehmenseinheitlichen Regelung entfallen ließen.

(1) Für das Modul Teams besteht zwar die Möglichkeit, unterschiedliche Einstellungen für unterschiedliche Gruppen vorzunehmen, indem diesbezüglich Richtlinien definiert werden. Auch diese können jedoch auf Grund der zentralen Administrierung nicht durch Einräumung von Administrationsrechten gegenüber dem lokalen Anwender erstellt werden, sondern müssen durch die zentralen Administratoren definiert und einzelnen Benutzern oder Gruppen zugewiesen werden. Die Einstellungsmöglichkeit zur Bildung von Nutzergruppen führt nicht dazu, dass die dabei entstehenden Daten im lokalen Betrieb verbleiben, weil die Speicherung und Verarbeitung über die cloud erfolgt, sodass weiterhin Zugriffs- und Auswertungsmöglichkeiten für die Administratoren in K bestehen.

(2) Gleiches gilt im Ergebnis hinsichtlich der Module Office ProPlus, ToDo und Stream. Zwar können diese Module nach Download aus der cloud und lokaler Installation grundsätzlich auch unabhängig von der cloud genutzt werden. Eine betriebsübergreifende Zugriffs- und Überwachungsmöglichkeit würde dann nicht mehr bestehen. Dies ist aber für die Frage nach der Zuständigkeit für die Ausübung des Mitbestimmungsrechtes unerheblich, weil hier nicht die Zuständigkeit im Hinblick auf die einzelnen Module und ihre unterschiedlichen Einsatzmöglichkeiten in Frage steht, sondern die Zuständigkeit im Hinblick auf die Einführung von Microsoft Office 365 als Gesamtpaket einschließlich der damit verbundenen cloud -Nutzung. Die Tatsache, dass einzelne Module auch separat auf dem Markt angeboten und in dieser Form erworben bzw. genutzt werden können, ist insofern für den hier vorliegenden Fall der cloud-basierten Nutzung als Gesamtsystem ohne Belang. Denn es handelt sich um unterschiedliche Produkte und damit auch unterschiedliche Mitbestimmungsgegenstände. Das fehlende technisch zwingende Erfordernis kann nicht damit begründet werden, dass eine andere technische Einrichtung keine Zugriffs- und Überwachungsmöglichkeiten bietet. Gleiches gilt für die durch den Antragsteller vorgeschlagenen Möglichkeiten zur Nutzung von betriebslokalen Exchange Servern und der Anmietung weiterer Tenants.

ee) Dem steht nicht entgegen, dass das zwingende Erfordernis nicht durch das reine Interesse an einer unternehmenseinheitlichen Lösung begründet werden darf. Im Vordergrund steht, dass die Arbeitgeberinnen ein cloud-basiertes System unternehmensweit einführen wollen. Diesem Regelungsgegenstand ist auf Grund der damit verbundenen Zugriffs- und Überwachungsmöglichkeiten das Erfordernis einer unternehmenseinheitlichen Einführung inhärent. Insoweit kann der Antragsteller der Zuständigkeit des Gesamtbetriebsrates nicht entgegenhalten, dass das Vorliegen eines technischen Erfordernisses lediglich im Hinblick auf einzelne Module bestehe und der Arbeitgeberseite die Möglichkeit eröffnet werde, die Zuständigkeit der örtlichen Betriebsräte durch die Verknüpfung unterschiedlicher IT-Module auszuschließen. Denn der Mitbestimmungstatbestand ist einheitlich zu betrachten. Eine Aufteilung kommt insofern nicht in Betracht.

f) Unerheblich für die Zuständigkeit für die Ausübung des Mitbestimmungsrechtes ist hingegen die von den Arbeitgeberinnen vorgebrachte Befürchtung, dass separate Nutzungsverweigerungen in einem Betrieb einen Nachteil der Mitarbeiterinnen dieses Betriebs gegenüber den Mitarbeiterinnen aller anderen Betriebe darstellen würden. Denn der Gleichbehandlungsgrundsatz bestimmt die Regelungsmacht der Betriebsparteien bei der Ausübung der Mitbestimmungsrechte, er hat jedoch keinen Einfluss auf die gesetzliche Zuständigkeitsverteilung zwischen den Betriebsverfassungsorganen (BAG, Beschluss vom 23. August 2016 – 1 ABR 43/14, juris Rn. 21; BAG, Beschluss vom 23. März 2010 – 1 ABR 82/08, BAGE 133, 373-379 Rn. 17). Es handelt sich um eine reine Zweckmäßigkeitserwägung des Arbeitgebers (BAG, Beschluss vom 23. August 2016 – 1 ABR 43/14, juris Rn. 21). Die Verpflichtung zur Gleichbehandlung ist vielmehr kompetenzakzessorisch. Erst die jeweiligen Betriebsvereinbarungen sind am Maßstab des Gleichbehandlungsgrundsatzes des § 75 Abs. 1 BetrVG zu messen (Beschluss vom 23. März 2010 – 1 ABR 82/08, BAGE 133, 373-379 Rn. 17). Ob separate Nutzungsverweigerungen in einem Betrieb einen Nachteil der Mitarbeiterinnen dieses Betriebs gegenüber den Mitarbeiterinnen aller anderen Betriebe darstellen, ist insofern erst bei der Ausübung des Mitbestimmungsrechts durch den zuständigen Gesamtbetriebsrat erheblich. Auf die dieser vorgelagerten Zuständigkeitsfrage haben etwaige Ungleichbehandlungen ebenso wenig Einfluss wie die datenschutzrechtlichen Bedenken des Betriebsrats, welche die Frage betreffen, ob der zuständige Gesamtbetriebsrat der d -d GmbH & Co. KG sein Mitbestimmungsrecht wirksam ausgeübt hat.

d) Hingegen kann der Gesamtbetriebsrat der d T GmbH für die Einführung von Microsoft Office 365 in dem Betrieb des Antragstellers nicht zuständig sein. Für einen Gemeinschaftsbetrieb, wie es zwischen der d -d GmbH & Co. KG und der d T GmbH bestand, können zwar auf Grund der Verpflichtung der Unternehmen zur Bildung jeweils betriebsübergreifender Gesamtbetriebsräte ggf. mehrere Gesamtbetriebsräte zuständig sein, wobei diese jeweils ausschließlich für die Arbeitnehmer desjenigen Unternehmens Regelungen treffen können, für die der Gesamtbetriebsrat gebildet wurde (so Hoffmann/Alles NZA 2014, 757, 758). Eine Zuständigkeit des Gesamtbetriebsrates der d T GmbH kommt für den Betrieb des Antragstellers aber nicht mehr in Betracht, nachdem die d T GmbH im Juni 2020 eine eigene selbstständige Betriebsstätte in W eröffnet hat, für die unangefochten ein eigener Betriebsrat gewählt wurde. Die Zuständigkeit des Gesamtbetriebsrats der d -d markt GmbH & Co. KG für die Einführung von Microsoft Office 365 besteht zudem unabhängig davon, ob in ihn unternehmensfremde Betriebsräte eines Gemeinschaftsbetriebs entsandt sind. Denn die Frage nach der gesetzlichen Zuständigkeit ist von der der Thematik der wirksamen Bildung des Mitbestimmungsorgans zu trennen."


Den Volltext der Entscheidung finden Sie hier:


LAG Köln: Beschluss einer arbeitsrechtlichen Einigungsstelle auch wirksam wenn durch Verwendung des Videokonferenzsystems Cisco Webex möglicherweise gegen DSGVO verstoßen wurde

LAG Köln
Beschluss vom 25.06.2021
9 TaBV 7/21


Das LAG Köln hat entschieden, dass der Beschluss einer arbeitsrechtlichen Einigungsstelle auch wirksam ist, wenn durch Verwendung des Videokonferenzsystems Cisco Webex möglicherweise gegen die Vorgaben der DSGVO verstoßen wurde.

Aus den Entscheidungsgründen:

1.) Der Beschluss der Einigungsstelle begegnet keinen durchgreifenden formellen Bedenken. Dass die Einigungsstelle den Beschluss am 14.05.2020 im Rahmen einer Videokonferenz gefasst hat, führt nicht zu dessen Unwirksamkeit.

a) Die Zulässigkeit von Videokonferenzen im Rahmen von Betriebsratssitzungen und zur Durchführung von Einigungsstellenverfahren war umstritten, wurde zuletzt aber zunehmend bejaht (etwa Fündling/Sorber, NZA 2017, 552; Thüsing/Beden, BB 2019, 372; Lütkehaus/Powietzka NZA 2020, 552; kritisch hingegen Däubler/Klebe, NZA 2020, 545, 546). Gemäß der rückwirkend für die Zeit ab dem 01.01.2020 zunächst bis zum 31.12.2020 befristeten und derzeit bis zum 30.06.2021 verlängerten Vorschrift des § 129 Abs. 1 und 2 BetrVG hatte der Gesetzgeber ausdrücklich festgelegt, dass die Teilnahme an Einigungsstellensitzungen sowie die Beschlussfassung während der Corona-Pandemie mittels Video- und Telefonkonferenz erfolgen können, wenn sichergestellt ist, dass Dritte vom Inhalt der Sitzung keine Kenntnis nehmen können. Letzteres dient dem Datenschutz und konkretisiert zugleich den „elementaren Verfahrensgrundsatz“ (BAG, Beschluss vom 18. Januar 1994 – 1 ABR 43/93 –, BAGE 75, 261-266, Rn. 17), dass die Einigungsstelle einen Spruch in Abwesenheit der Betriebsparteien auf Grund nichtöffentlicher mündlicher Beratung. Dies entspricht dem Prinzip der Nichtöffentlichkeit nach § 30 Abs. 1 Satz 4 BetrVG (Däubler/Klebe, NZA 2020, 545, 548; ErfK/Kania, 21. Aufl. 2021, § 129, Rn. 2). Ein Verstoß gegen diesen Grundsatz würde den Spruch der Einigungsstelle unwirksam machen (vgl. BAG, Beschluss vom 18. Januar 1994 – 1 ABR 43/93 –, BAGE 75, 261-266, Rn. 17; Fitting, 30. Aufl. 2020, § 76 BetrVG, Rn. 74).

b) Die heutigen marktgängigen Konferenzsysteme bieten durchweg die Möglichkeit einer hinreichend sicheren und verschlüsselten Kommunikation (Althoff/Sommer, ArbRAktuell 2020, 250, 252). Auch C W gehört zu den hinreichend sicheren Konferenzsystemen, wie sie der Gesetzgeber bei der Einführung des § 129 BetrVG vor Augen hatte. So heißt es in den Gesetzesmaterialien ausdrücklich, dass die Regelung „für einen begrenzten Zeitraum, Sitzungen und Beschlussfassungen mittels Video- und Telefonkonferenz einschließlich online gestützter Anwendungen wie Webex Meetings oder Skype“ ermöglichen soll (BT-Drs. 19/18753, S. 28). Mit dieser Einschätzung steht der Bundesgesetzgeber nicht allein. Auch der Landesbetrieb IT.NRW, der für die IT-Infrastruktur der nordrhein-westfälischen Landesverwaltung zuständig ist, stellt den Behörden C W zur Durchführung von Online-Konferenzen und Gerichtsverhandlungen zur Verfügung. Eine mutwillige, heimliche und damit unzulässige Aufzeichnung durch Teilnehmer mag zwar technisch nicht ausgeschlossen sein. Dies wäre jedoch kein taugliches Kriterium, um im Einigungsstellenverfahren die Zulässigkeit einer Videokonferenz verneinen zu können. Denn eine technische Aufzeichnung wäre mit Smartphones und Tablets auch bei Präsenzsitzungen nicht ausgeschlossen (Althoff/Sommer, ArbRAktuell 2020, 250, 252).

c) Dass das Videokonferenzsystem C W nach Darlegung der Arbeitgeberin personenbezogene (Daten) ein Land außerhalb der Europäischen Union oder des Europäischen Wirtschaftsraums wie die U übermittelt, schloss seine Nutzung für die Einigungsstelle nicht aus.

aa) Eine Übermittlung personenbezogener Daten in Drittländer ist gemäß Art. 44 Satz 1 DSGVO nur zulässig, wenn der Verantwortliche und der Auftragsverarbeiter die Bestimmungen der DSGVO einhalten. Gemäß Art. 45 Abs. 1 Satz 1 DSGVO darf eine Übermittlung personenbezogener Daten an ein Drittland oder eine internationale Organisation vorgenommen werden, wenn die Kommission beschlossen hat, dass das betreffende Drittland ein angemessenes Schutzniveau bietet. Mit Durchführungsbeschluss (EU) 2016/1250 (ABl. L 207 vom 01.08.2016, S. 1-112) hatte die Kommission festgestellt, dass die USA mit der EU-US-Datenschutzvereinbarung (Privacy Shield) ein angemessenes Schutzniveau für personenbezogene Daten gewährleisten. Der Europäische Gerichtshof hat diesen Durchführungsbeschluss zwar für unwirksam erklärt (EuGH, Urteil vom 16. Juli 2020 – C-311/18 –, NJW 2020, 2613 – Schrems II). Jedoch darf ein Verantwortlicher oder ein Auftragsverarbeiter personenbezogene Daten an ein Drittland gemäß Art. 46 DSGVO auch dann übermitteln, wenn er geeignete Garantien vorgesehen hat und den betroffenen Personen durchsetzbare Rechte und wirksame Rechtsbehelfe zur Verfügung stehen. So können die von der Kommission gemäß Art. 46 Abs. 2 Buchst. c DSGVO erlassenen Standarddatenschutzklauseln grundsätzlich weiterhin genutzt werden. C beruft sich insoweit auch darauf, dass die C Datenschutz-Rahmenvereinbarung („Master Data Protection Agreement - MDPA“) schon vor der Schrems-II-Entscheidung die EU-Standarddatenschutzklauseln enthalten habe (https://konferenzen.t .de/fileadmin/Redaktion/conference/c -W /C -Datenschutz-Statement.pdf).

bb) Ob dies ausreicht, um die Anforderungen der DSGVO zu erfüllen, kann hier aber dahin stehen, da die Nutzung des Videokonferenzsystems C W jedenfalls keinen Verstoß gegen elementare Verfahrensgrundsätze darstellt, die zur Unwirksamkeit des Einigungsstellenbeschlusses führen könnte. Denn der Gesetzgeber hat mit der Neuregelung in § 129 BetrVG Rechtssicherheit schaffen wollen. An die notwendige Sicherstellung der Nichtöffentlichkeit dürfen daher keine zu hohen Anforderungen gestellt werden. Solange für den Geschäftsverkehr gängige Konferenzsysteme verwandt werden, die über eine Verschlüsselung nach dem Stand der Technik verfügen, wie dies bei Cisco Webex im Mai 2020 der Fall war, sind keine zusätzlichen technischen Sicherungsmaßnahmen erforderlich (ErfK/Kania, 21. Aufl. 2021, § 129, Rn. 2).

d) Im Übrigen hatte die Einigungsstelle hinreichend sichergestellt, dass Dritte vom Inhalt der Sitzung keine Kenntnis nehmen können. Nach der unwidersprochenen Darlegung des Betriebsrats hatten sich die Sitzungsteilnehmer mit ihrem Namen oder den ihnen zugeordneten Zugangsdaten angemeldet, wobei das Konferenzsystem ständig eine Liste der teilnehmenden Person angezeigt hatte. Die Mitglieder der Einigungsstelle waren belehrt worden, dass sie mitzuteilen hätten, wenn eine andere Person den Raum betrete, indem sie sich befänden. Jeder Teilnehmer hatte zudem auf Nachfrage bestätigt, dass er sich allein in einem geschlossenen Raum befinde. Die Einigungsstelle ist damit den in der Literatur aufgeführten Empfehlungen gefolgt (etwa Däubler/Klebe, NZA 2020, 545, 548 f.).


Den Volltext der Entscheidung finden Sie hier:


OLG Bremen: Schadensersatz nach Art. 82 DSGVO nur wenn materieller oder immaterieller Schaden entstanden ist und substantiiert vorgetragen wird

OLG Bremen
Beschluss vom 16.07.2021
1 W 18/21


Das OLG Bremen hat entschieden, dass Schadensersatz nach Art. 82 DSGVO nur verlangt werden kann, wenn ein materieller oder immaterieller Schaden tatsächlich entstanden ist substantiiert vorgetragen wird.

Aus den Entscheidungsgründen:
"Die sofortige Beschwerde der Antragstellerin vom 29.03.2021 gegen den Beschluss des Landgerichts vom 22.02.2021 war aus den zutreffenden Gründen der angegriffenen Entscheidung sowie des Nichtabhilfebeschlusses vom 23.04.2021 zurückzuweisen. Der Antragstellerin war die begehrte Prozesskostenhilfe zu versagen, da sie weiterhin keinen Sachverhalt vorgetragen hat, aufgrund dessen sich das Vorliegen hinreichender Erfolgsaussichten für die Rechtsverfolgung der Antragstellerin als Voraussetzung für die Bewilligung von Prozesskostenhilfe nach § 114 ZPO ergeben würde. Die Antragstellerin verkennt, dass nach Art. 82 der Datenschutz-Grundverordnung (Verordnung (EU) 2016/679 vom 27.04.2016 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten, zum freien Datenverkehr und zur Aufhebung der Richtlinie 95/46/EG, nachfolgend: DSGVO) ein Anspruch auf Schadensersatz voraussetzt, dass einer natürlichen Person wegen eines Verstoßes gegen diese Verordnung ein materieller oder immaterieller Schaden entstanden ist.
Dem Vorbringen der Antragstellerin ist lediglich ein Vortrag zu einem geltend gemachten Verstoß gegen die Bestimmungen der DSGVO zu entnehmen, dagegen fehlt es an jeglichem Vorbringen zu einem der Antragstellerin hierdurch entstandenen immateriellen Schaden. Einer Vorlage an den Europäischen Gerichtshof bedurfte es bereits im Hinblick auf den eindeutigen Wortlaut des Art. 82 DSGVO nicht: Anders als in der Entscheidung des Bundesverfassungsgerichts vom 14.01.2021 (siehe BVerfG, Beschluss vom 14.1.2021 – 1 BvR 2853/19, juris Rn. 21, NJW 2021, 1005) liegt den vorstehenden Erwägungen nicht die Annahme einer Erheblichkeitsschwelle für den Schadensbegriff des Art. 82 DSGVO zugrunde, sondern es fehlt bereits an jeglichem Vorbringen zu einem der Antragstellerin durch die geltend gemachte Rechtsverletzung entstandenen Schaden. Im Übrigen ist Art. 267 Abs. 3 AEUV eine Vorlagepflicht der einzelstaatlichen Gerichte nur in solchen Verfahren zu entnehmen, in denen die Entscheidungen dieser Gerichte selbst nicht mehr mit Rechtsmitteln des innerstaatlichen Rechts angefochten werden können. Im vorliegenden Verfahren über die Bewilligung von Prozesskostenhilfe gilt aber ebenso wie im Verhältnis zwischen Verfahren des einstweiligen Rechtsschutzes und den Hauptsacheverfahren, dass keine Vorlagepflicht besteht, wenn die zu erlassende Entscheidung das Gericht, dem der Rechtsstreit danach in einem Hauptsacheverfahren vorgelegt wird, nicht bindet und den Parteien eine erneute Überprüfung der zunächst nur vorläufig entschiedenen Frage offensteht (siehe BVerfG, Beschluss vom 19.10.2006 – 2 BvR 2023/06, juris Rn. 13, EuR 2006, 814)."


Den Volltext der Entscheidung finden Sie hier:

VG Berlin: Airbnb muss Behörden bei Anfangsverdacht für eine Zweckentfremdung Vermieter-Daten herausgeben

VG Berlin
Urteil vom 23. Juni 2021
VG 6 K 90/20


Das VG Berlin hat entschieden, dass Airbnb den Behörden bei Anfangsverdacht für eine Zweckentfremdung die Vermieter-Daten herausgeben muss.

Die Pressemitteilung des Gerichts:

Airbnb muss Vermieter-Daten übermitteln

Behörden dürfen die Betreiber von Internet-Plattformen zur Buchung und Vermietung privater Unterkünfte im Fall eines Anfangsverdachts für eine Zweckentfremdung verpflichten, die Daten der Unterkünfte-Anbieter zu übermitteln. Das hat das Verwaltungsgericht in einem Klageverfahren entschieden.

Die Klägerin ist ein irisches Unternehmen mit Sitz in Dublin. Sie betreibt eine Internetplattform, auf der die Vermietung von Ferienwohnungen auch in Berlin angeboten wird. Mit Bescheid aus dem Dezember 2019 verpflichtete das Bezirksamt Tempelhof-Schöneberg von Berlin die Klägerin, unter anderem Namen und Anschriften zahlreicher Anbieter, deren Inserate in online veröffentlichten Listen aufgezählt waren, und die genaue Lage der von ihnen angebotenen Ferienwohnungen zu übermitteln. Dies begründete das Bezirksamt mit einem Verdacht für einen Verstoß gegen zweckentfremdungsrechtliche Vorschriften, den es unter anderem darauf stützte, dass die Inserate keine oder falsche Registriernummern enthielten oder die Geschäftsdaten gewerblicher Vermieter nicht erkennen ließen. Der Gesetzgeber hatte eine Pflicht zur Anzeige einer Registriernummer gerade wegen des zunehmenden anonymen Angebots von Ferienwohnungen auf Internet-Plattformen eingeführt. Sie gilt in der Regel für Vermieter, die ihre Wohnung kurzzeitig als Ferienwohnung zur Verfügung stellen. Gegen die Auskunftsverpflichtung setzt sich die Klägerin nach erfolglosem Widerspruch mit ihrer zum Verwaltungsgericht erhobenen Klage zur Wehr. Sie meint, die Norm, auf die das Bezirksamt sein Auskunftsverlangen stütze, sei bereits verfassungswidrig. Zudem sei auch der Bescheid selbst rechtswidrig. Er betreffe als Sammelabfrage schon keinen Einzelfall, auch liege keine konkrete Gefahr einer Zweckentfremdung vor. Überdies missachte er unionsrechtliche Vorgaben und verlange von der Klägerin, dass sie gegen irisches Datenschutzrecht verstoße, dem allein sie verpflichtet sei.

Die 6. Kammer hat die Klage, soweit noch über sie zu entscheiden war, überwiegend abgewiesen. Die vom Bezirksamt herangezogene Rechtsgrundlage des § 5 Abs. 2 Satz 2 und 3 ZwVbG in der damals geltenden Fassung unterliege im Ergebnis keinen verfassungsrechtlichen Bedenken. Sie greife zwar in das Grundrecht auf informationelle Selbstbestimmung ein, sei jedoch insbesondere verhältnismäßig, hinreichend bestimmt und normenklar. Auch mit Unionsrecht sei die Bestimmung vereinbar. Das Auskunftsverlangen des Bezirksamts betreffe in einem Bescheid gebündelte Einzelfälle, da es sich auf jeweils genau bezeichnete Unterkünfte und Vermieter beziehe. Wegen der Anonymität der Angebote auf der von der Klägerin betriebenen Internet-Plattform seien an den hinreichenden Anlass für ein Auskunftsersuchen nur geringe Anforderungen zu stellen. Ein solcher könne angenommen werden, wenn Anbieter ganzer Unterkünfte in ihren Inseraten keine oder eine ersichtlich falsche Registriernummer anzeigten oder sich eine gewerbliche Vermietung nicht bereits aus dem jeweiligen Angebot selbst, insbesondere durch die Angabe von Geschäftsdaten ergebe. Auch irisches Datenschutzrecht könne die Klägerin der Anordnung insoweit nicht entgegenhalten. Das sog. Herkunftslandprinzip, auf das sie sich in der Sache berufe, finde hier keine Anwendung.

Die Kammer hat wegen grundsätzlicher Bedeutung die Berufung zum Oberverwaltungsgericht Berlin-Brandenburg zugelassen.

Urteil der 6. Kammer vom 23. Juni 2021 (VG 6 K 90/20)


EuGH: Nationale Datenschutzbehörden dürfen bei DSGVO-Verstößen im Zusammenhang mit grenzüberschreitender Datenverarbeitung auch tätig werden wenn sie nicht federführend sind

EuGH
Urteil vom 15.06.2021
C‑645/19
Facebook Ireland Ltd, Facebook Inc., Facebook Belgium BVBA
gegen
Gegevensbeschermingsautoriteit


Der EuGH hat entschieden, dass die nationalen Datenschutzbehörden bei DSGVO-Verstößen im Zusammenhang mit grenzüberschreitender Datenverarbeitung auch dann tätig werden dürfen, wenn sie nicht federführend zuständig sind.

Tenor der Entscheidung:

1. Art. 55 Abs. 1 und die Art. 56 bis 58 sowie 60 bis 66 der Verordnung (EU) 2016/679 des Europäischen Parlaments und des Rates vom 27. April 2016 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten, zum freien Datenverkehr und zur Aufhebung der Richtlinie 95/46/EG (Datenschutz-Grundverordnung) sind in Verbindung mit den Art. 7, 8 und 47 der Charta der Grundrechte der Europäischen Union dahin auszulegen, dass eine Aufsichtsbehörde eines Mitgliedstaats, die nach den zur Durchführung von Art. 58 Abs. 5 der Verordnung erlassenen nationalen Rechtsvorschriften befugt ist, vermeintliche Verstöße gegen die Verordnung einem Gericht dieses Mitgliedstaats zur Kenntnis zu bringen und gegebenenfalls die Einleitung eines gerichtlichen Verfahrens zu betreiben, von dieser Befugnis, wenn eine grenzüberschreitende Datenverarbeitung in Rede steht, Gebrauch machen darf, obgleich sie für diese Datenverarbeitung nicht die „zuständige federführende Aufsichtsbehörde“ im Sinne von Art. 56 Abs. 1 der Verordnung ist, sofern es sich um einen der Fälle handelt, in denen die Verordnung 2016/679 der Aufsichtsbehörde eine Zuständigkeit einräumt, einen Beschluss zu erlassen, mit dem festgestellt wird, dass die fragliche Verarbeitung gegen die Vorschriften der Verordnung verstößt, und die in der Verordnung vorgesehen Verfahren der Zusammenarbeit und der Kohärenz eingehalten werden.

2. Art. 58 Abs. 5 der Verordnung 2016/679 ist dahin auszulegen, dass die Ausübung der einer Aufsichtsbehörde eines Mitgliedstaats, die nicht die federführende Aufsichtsbehörde ist, nach dieser Vorschrift zustehenden Befugnis zur Klageerhebung bei einer grenzüberschreitenden Verarbeitung personenbezogener Daten nicht voraussetzt, dass der für die grenzüberschreitende Verarbeitung personenbezogener Daten Verantwortliche oder der Auftragsverarbeiter, gegen den die Klage erhoben wird, im Hoheitsgebiet des Mitgliedstaats der fraglichen Aufsichtsbehörde eine Hauptniederlassung oder eine andere Niederlassung hat.

3. Art. 58 Abs. 5 der Verordnung 2016/679 ist dahin auszulegen, dass die einer Aufsichtsbehörde eines Mitgliedstaats, die nicht die federführende Aufsichtsbehörde ist, nach dieser Vorschrift zustehende Befugnis, vermeintliche Verstöße gegen die Verordnung einem Gericht dieses Mitgliedstaats zur Kenntnis zu bringen und gegebenenfalls die Einleitung eines gerichtlichen Verfahrens zu betreiben, sowohl gegenüber der Hauptniederlassung des Verantwortlichen, die sich in dem Mitgliedstaat der Aufsichtsbehörde befindet, als auch gegenüber einer anderen Niederlassung des Verantwortlichen ausgeübt werden kann, sofern Gegenstand der Klage eine Datenverarbeitung ist, die im Rahmen der Tätigkeiten der Niederlassung erfolgt, und die genannte Behörde nach den Ausführungen zu Vorlagefrage 1 dafür zuständig ist, die Befugnis auszuüben.

4. Art. 58 Abs. 5 der Verordnung 2016/679 ist dahin auszulegen, dass, wenn eine Aufsichtsbehörde eines Mitgliedstaats, die nicht die „federführende Aufsichtsbehörde“ im Sinne von Art. 56 Abs. 1 der Verordnung ist, vor dem 25. Mai 2018, also bevor die Verordnung galt, wegen einer grenzüberschreitenden Verarbeitung personenbezogener Daten eine Klage erhoben hat, diese Klage unionsrechtlich auf der Grundlage der Vorschriften der Richtlinie 95/46/EG des Europäischen Parlaments und des Rates vom 24. Oktober 1995 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten und zum freien Datenverkehr aufrechterhalten werden kann, die für Verstöße gegen die in ihr enthaltenen Vorschriften, die bis zu dem Zeitpunkt begangen worden sind, zu dem die Richtlinie aufgehoben wurde, weiter gilt. Darüber hinaus kann eine solche Klage von der Aufsichtsbehörde auf der Grundlage von Art. 58 Abs. 5 der Verordnung 2016/679 wegen nach diesem Zeitpunkt begangener Verstöße erhoben werden, sofern es sich um einen der Fälle handelt, in denen die Verordnung einer Aufsichtsbehörde eines Mitgliedstaats, die nicht die „federführende Aufsichtsbehörde“ ist, ausnahmsweise die Befugnis verleiht, einen Beschluss zu erlassen, mit dem festgestellt wird, dass die betreffende Datenverarbeitung gegen die in der Verordnung enthaltenen Vorschriften über den Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten verstößt, und die in der Verordnung vorgesehenen Verfahren der Zusammenarbeit und der Kohärenz eingehalten werden, was zu prüfen Sache des vorlegenden Gerichts ist.

5. Art. 58 Abs. 5 der Verordnung 2016/679 ist dahin auszulegen, dass die Vorschrift unmittelbare Wirkung hat, so dass eine nationale Aufsichtsbehörde sich auf sie berufen kann, um gegen Private eine Klage zu erheben oder ein entsprechendes Verfahren fortzuführen, auch wenn die Vorschrift in der Rechtsordnung des betreffenden Mitgliedstaats nicht speziell umgesetzt worden ist.

Den Volltext der Entscheidung finden Sie hier:

Die Pressemitteilung des EuGH:

Datenschutz-Grundverordnung (DSGVO): Der Gerichtshof erläutert die Voraussetzungen für die Ausübung der Befugnisse der nationalen Aufsichtsbehörden bei der grenzüberschreitenden Datenverarbeitung

Unter bestimmten Voraussetzungen kann eine nationale Aufsichtsbehörde ihre Befugnis, vermeintliche Verstöße gegen die DSGVO vor einem Gericht eines Mitgliedstaats geltend zu machen, ausüben, auch wenn sie in Bezug auf diese Verarbeitung nicht die federführende Behörde ist

"EuGH: Nationale Datenschutzbehörden dürfen bei DSGVO-Verstößen im Zusammenhang mit grenzüberschreitender Datenverarbeitung auch tätig werden wenn sie nicht federführend sind" vollständig lesen

VG Berlin: Nach DSGVO kein individueller Anspruch auf Einschreiten der Datenschutzbehörde und Einleitung bestimmter Maßnahmen

VG Berlin
Beschluss vom 21.04.2021
1 K 360.19


Das VG Berlin hat entschieden, dass nach der DSGVO kein individueller Anspruch auf Einschreiten der Datenschutzbehörde und Einleitung bestimmter Maßnahmen besteht.

Aus den Entscheidungsgründen:
Die Klage ist voraussichtlich unbegründet. Der Antragsteller und künftige Kläger hat keinen Anspruch darauf, dass der Antragsgegner (Beklagte) über seine Beschwerde vom 1. August 2019 erneut entscheidet. Mögliche Anspruchsgrundlage ist Art. 57 Abs. 1 lit. f) DS-GVO. Erhebt eine betroffene Person eine Beschwerde im Sinne von Art. 77 DS-GVO, muss sich die Aufsichtsbehörde nach Art. 57 Abs. 1 lit. f) DS-GVO mit der Beschwerde befassen, den Gegenstand der Beschwerde in angemessenem Umfang untersuchen und den Beschwerdeführer innerhalb einer angemessenen Frist über den Fortgang und das Ergebnis der Untersuchung unterrichten. Die Aufsichtsbehörde ist hiernach verpflichtet, die Beschwerde mit der gebotenen Sorgfalt und in angemessenem Umfang zu prüfen. Maßstab für den Umfang der Ermittlungen ist insbesondere die Schwere des in Rede stehenden Verstoßes, aber auch alle weiteren relevanten Aspekte sind zu berücksichtigen, insbesondere die in Art. 83 Abs. 2 DS-GVO genannten (Bergt, in: Kühling/Buchner, Datenschutz-Grundverordnung BDSG, 3. Auflage 2020, Art. 77 DS-GVO, Rn. 16). Nach Maßgabe dieser Grundsätze hat der Antragsgegner seine Pflichten bei der Bearbeitung der Beschwerde des Antragstellers erfüllt. Er hat den Sachverhalt ermittelt, indem er das Beschwerdevorbringen zur Kenntnis genommen und die D... zur Stellungnahme aufgefordert hat. Er hat den Sachverhalt anschließend bewertet und dem Antragsteller das Ergebnis seiner Prüfung mit Abschlussbescheid der Berliner Beauftragten für Datenschutz und Informationsfreiheit vom 25. September 2019 mitgeteilt. Weiter hat er den Antragsteller auf die Möglichkeit gerichtlichen Rechtschutzes gegen die Beschwerdeentscheidung nach Art. 78 Abs. 1 DS-GVO hingewiesen und der Mitteilung eine entsprechende Rechtsmittelbelehrung beigefügt (siehe hierzu Art. 77 Abs. 2 DS-GVO).

Umstritten ist zwar, ob eine weitergehende gerichtliche Überprüfung zum Inhalt der Beschwerdeentscheidung vorzunehmen ist. Dies hat die Kammer in einer Eilentscheidung verneint, weil das Beschwerderecht als Petitionsrecht ausgestaltet sei (Beschluss vom 28. Januar 2019, VG 1 L 1.19, juris, Rn. 5; so nunmehr auch OVG Koblenz, Urteil vom 26. Oktober 2020 – 10 A 10613/20, juris, Rn. 37 ff.; a.A. Halder, jurisPR-ITR 16/2020 Anm. 6; Bergt, a.a.O., Rn. 17, jeweils mwN). Ausgehend hiervon ist der Anspruch des Antragstellers erfüllt, weil dessen Beschwerde zur Kenntnis genommen, geprüft und beschieden worden ist. Selbst unter Zugrundelegung der Gegenmeinung wäre der Anspruch hier erfüllt. Nach der Gegenauffassung steht der betroffenen Person ein Anspruch auf eine ermessensfehlerfreie Entscheidung zu, welche gerichtlich überprüfbar und durchsetzbar sein soll (Halder, jurisPR-ITR 16/2020 Anm. 6); eine konkrete Maßnahme kann die betroffene Person hingegen nicht verlangen (vgl. Urteil der Kammer vom 18. Januar 2021 – VG 1 K 206.19; Bergt, a.a.O., Rn. 17). Auch unter Zugrundelegung dieses Maßstabs gilt im Ergebnis nichts anderes. Der Anspruch des Antragstellers auf eine ermessensfehlerfreie Entscheidung über ein Einschreiten des Beklagten gegen die D... ist erfüllt. Der Abschlussbescheid der Berliner Beauftragten für Datenschutz und Informationsfreiheit vom 25. September 2019 führt aus, dass die D... wegen ihrer unvollständigen Auskunft gegen Art. 15 DS-GVO verstoßen habe und sie deshalb verwarnt worden sei. Den datenschutzrechtlichen Belangen des Antragstellers ist damit ausreichend Rechnung getragen. Warum der Antragsteller gleichwohl meint, der Abschlussbescheid sei für ihn nicht positiv, bleibt unklar. Ein Anspruch auf Verhängung eines Bußgeldes gegen die D... steht ihm dagegen nicht zu, weil er eine konkrete Maßnahme nicht verlangen kann.


Den Volltext der Entscheidung finden Sie hier:

HmbBfDI verbietet Facebook personenbezogene Daten von WhatsApp zu eigenen Zwecken zu verarbeiten - auch sofortiger Vollzug angeordnet

Der Hamburgische Beauftragte für Datenschutz und Informationsfreiheit (HmbBfDI) hat Facebook per Anordnung verboten, personenbezogene Daten von WhatsApp zu eigenen Zwecken zu verarbeiten. Es wurde auch der sofortige Vollzug angeordnet.

Die Pressemitteilung des Gerichts:

Anordnung des HmbBfDI: Verbot der Weiterverarbeitung von WhatsApp-Nutzerdaten durch Facebook

Der Hamburgische Beauftragte für Datenschutz und Informationsfreiheit (HmbBfDI) hat eine Anordnung erlassen, die der Facebook Ireland Ltd. verbietet, personenbezogene Daten von WhatsApp zu verarbeiten, soweit dies zu eigenen Zwecken erfolgt. Der sofortige Vollzug wurde angeordnet. Dies erfolgt im Rahmen des Dringlichkeitsverfahrens der Datenschutzgrundverordnung (DSGVO), das den Erlass von Maßnahmen mit einer begrenzten Geltungsdauer im jeweiligen Hoheitsgebiet vorsieht.

Hintergrund des Verfahrens ist die Aufforderung an alle Nutzerinnen und Nutzer von WhatsApp, den neuen Nutzungs- und Privatsphärebestimmungen bis zum 15. Mai zuzustimmen. Damit lässt sich WhatsApp weitreichende Befugnisse für eine Datenweitergabe an Facebook einräumen.

Mit den neuen Bedingungen werden die Befugnisse zur Datenverarbeitung formal erneuert und künftig inhaltlich erweitert. Das betrifft u.a. die Auswertung von Standortinformationen, die Weitergabe von Kommunikationsdaten der Nutzer von Unternehmen auf WhatsApp an Drittunternehmen ausdrücklich mit Hinweis auf Facebook, den zusätzlichen Zweck der Sicherstellung der Integrität der Dienste sowie die unternehmensübergreifende Verifizierung des Accounts, um den Dienst auf „angemessene Weise“ zu nutzen. Ferner wird die Nutzung der Daten zur Verbindung mit Produkten von Facebook-Unternehmen eröffnet. Ein berechtigtes Interesse für die Datenverarbeitung bzw. für den Austausch der Daten wird künftig pauschal auch gegenüber minderjährigen Nutzern vorgebracht. Ferner fällt der bislang vorhandene Hinweis weg, dass WhatsApp-Nachrichten nicht für andere sichtbar auf Facebook geteilt werden.

Nach Auswertung des gegenwärtigen Sachstands und Anhörung der Facebook Ireland Ltd. fehlt für eine Verarbeitung durch Facebook zu eigenen Zwecken ungeachtet der von WhatsApp derzeit eingeholten Zustimmung zu den Nutzungsbedingungen eine ausreichende rechtliche Grundlage. Die Bestimmungen zur Datenweitergabe finden sich verstreut auf unterschiedlichen Ebenen der Datenschutzerklärung, sie sind unklar und in ihrer europäischen und internationalen Version schwer auseinanderzuhalten. Zudem sind sie inhaltlich missverständlich und weisen erhebliche Widersprüche auf. Auch nach genauer Analyse lässt sich nicht erkennen, welche Konsequenzen die Zustimmung für die Nutzerinnen und Nutzer hat. Ferner erfolgt die Zustimmung nicht aus freien Stücken, da WhatsApp die Einwilligung in die neuen Bestimmungen als Bedingung für die Weiternutzung der Funktionalitäten des Dienstes einfordert.

Datenschutzrechtliche Grundlagen, die eine eigenständige Verarbeitungsbefugnis durch Facebook begründen könnten, liegen vor diesem Hintergrund nicht vor. Insbesondere kann Facebook kein überwiegendes berechtigtes Interesse an der Verarbeitung der Daten von WhatsApp-Nutzerinnen und -Nutzern geltend machen, da deren Rechte und Freiheiten entgegenstehen. Die Zustimmung erfolgt weder transparent noch freiwillig. Das gilt in besonderer Weise für Kinder. Aus diesen Gründen kommt eine datenschutzrechtliche Einwilligung als Rechtsgrund nicht in Betracht. Die Verarbeitung der Daten der Nutzer von WhatsApp ist für Facebook auch nicht zur Durchführung eines Vertrages erforderlich.

Die Untersuchung der neuen Bestimmungen hat gezeigt, dass die enge Verbindung zwischen den beiden Unternehmen weiter ausgebaut werden soll, damit Facebook die Daten der WhatsApp-Nutzerinnen und -Nutzer jederzeit zu eigenen Zwecken verwenden kann. Für die Bereiche Produktverbesserung und Werbung behält sich WhatsApp die Weitergabe an Facebook-Unternehmen vor, ohne dass es hierzu noch einer Einwilligung der Betroffenen bedarf. In anderen Bereichen ist von einer Nutzung für eigene Zwecke nach Maßgabe der Datenschutzrichtlinie bereits derzeit auszugehen. Darin bzw. in den FAQ wird etwa beschrieben, dass für die Netzwerksicherheit und zur Verhinderung des Sendens von Spam bereits aktuell Daten der WhatsApp-Nutzer wie etwa Telefonnummern und Gerätekennungen zwischen den Unternehmen für gemeinsame Zwecke ausgetauscht werden. Eine Untersuchung der federführenden Aufsichtsbehörde über die tatsächliche Praxis der Datenweitergabe und -nutzung hat es bislang trotz unserer Aufforderung nicht gegeben.

Die Nutzerinnen und Nutzer werden von WhatsApp mit intransparenten Bedingungen für eine weitreichende Datenweitergabe konfrontiert. Gleichzeitig wird behauptet, die beschriebenen Verarbeitungen würden tatsächlich gar nicht ausgeführt, um sie dann zu einem späteren Zeitpunkt schrittweise auf Grundlage des auf Zustimmung der Nutzerinnen und Nutzer gegründeten Rechtsrahmens umzusetzen. Diese Strategie erfolgt gegenwärtig insbesondere bei der neu eingeführten Funktion des Business-Marketings, die es unter Einschluss von Facebook ermöglicht, zum Versenden von Direktwerbung und der Marketingkommunikation unternehmensübergreifend Daten zu verarbeiten. Insgesamt entspricht das Vorgehen sowohl mit Blick auf Datenverarbeitungen, die laut Datenschutzrichtlinie bereits derzeit ausgeführt werden, als auch solchen, die durch Facebook jederzeit umgesetzt werden können, nicht den Vorgaben der DSGVO.

Hierzu Johannes Caspar, Hamburgischer Beauftragter für Datenschutz und Informationsfreiheit: „Die Anordnung soll die Rechte und Freiheiten der vielen Millionen Nutzerinnen und Nutzer sichern, die deutschlandweit ihre Zustimmung zu den Nutzungsbedingungen geben. Es gilt, Nachteile und Schäden, die mit einem derartigen Black-Box-Verfahren verbunden sind, zu verhindern. Die Datenschutz-Skandale der letzten Jahre von „Cambridge Analytica“ bis hin zu dem kürzlich bekannt geworden Datenleck, von dem mehr als 500 Millionen Facebook-Nutzer betroffen waren, zeigen das Ausmaß und die Gefahren, die von einer massenhaften Profilbildung ausgehen. Das betrifft nicht allein die Privatsphäre, sondern auch die Möglichkeit, Profile zur Beeinflussung von Wählerentscheidungen einzusetzen, um demokratische Entscheidungen zu manipulieren. Die Gefahr ist angesichts von fast 60 Millionen Nutzerinnen und Nutzern von WhatsApp mit Blick auf die in Deutschland im September 2021 anstehenden Bundestagswahlen umso konkreter, da diese Begehrlichkeiten nach Beeinflussung der Meinungsbildung seitens der Anzeigekunden von Facebook wecken werden. Die nun erlassene Anordnung bezieht sich auf die Weiterverarbeitung von WhatsApp-Nutzerdaten und richtet sich an die Adresse von Facebook. Die weltweite Kritik gegen die neuen Nutzungsbedingungen sollte Anlass geben, den Zustimmungsmechanismus noch einmal grundlegend zu überdenken. Ohne Vertrauen der Nutzerinnen und Nutzer kann auf Dauer kein auf Daten gegründetes Geschäftsmodell erfolgreich sein.“

Aufgrund des beschränkten Zeitrahmens der Anordnung im Dringlichkeitsverfahren von lediglich drei Monaten wird der HmbBfDI eine Befassung durch den Europäischen Datenschutzausschuss (EDSA) beantragen, um eine Entscheidung auf europäischer Ebene herbeizuführen.