Skip to content

LG Hamburg: Spiegel-Berichterstattung über Zuwendung von Pharmafirma an einen Arzt zulässig - auch kein Verstoß gegen Datenschutz da Medienprivileg gilt

LG Hamburg
Urteil vom 20.09.2019
324 O 305/18

Aus den Entscheidungsgründen:

"1. Dem Kläger steht der gegen die Beklagte geltend gemachte Anspruch unter keinem rechtlichen Gesichtspunkt zu.

Hier gelten die Erwägungen wie im Rechtsstreit zum Az. 324 O 236/16 entsprechend. Die Kammer hat im Urteil ausgeführt:

„a. Ein solcher Unterlassungsanspruch ergibt sich insbesondere nicht aus §§ 823 Abs. 1, 1004 Abs. 1 S. 2 BGB analog i.V.m. Art. 1 Abs. 1, 2 Abs. 1 GG, Art. 8 EMRK, da die streitgegenständlichen Datenbank-Einträge den Kläger nicht in seinem allgemeinen Persönlichkeitsrecht verletzen. Bei dem allgemeinen Persönlichkeitsrecht handelt sich um einen offenen Tatbestand, bei dem die Feststellung einer rechtswidrigen Verletzung eine ordnungsgemäße Abwägung aller Umstände des konkreten Einzelfalles unter Beachtung des Grundsatzes der Verhältnismäßigkeit voraussetzt (Palandt-Sprau, Bürgerliches Gesetzbuch, 77. Auflage 2018, § 823 BGB Rn. 95). Der Eingriff in das Persönlichkeitsrecht ist nur dann rechtswidrig, wenn das Schutzinteresse des Betroffenen die schutzwürdigen Belange der anderen Seite überwiegt. Im Streitfall hat eine Abwägung zwischen dem Recht des Klägers auf Schutz seines allgemeinen Persönlichkeitsrechts nach Art. 2 Abs. 1, Art. 1 Abs. 1 GG, Art. 8 Abs. 1 EMRK auf der einen Seite und dem Recht der Beklagten auf Meinungs- und Pressefreiheit nach Art. 5 Abs. 1 GG, Art. 10 Abs. 1 EMRK auf der anderen Seite zu erfolgen. Unter Berücksichtigung aller relevanten Gesichtspunkte ergibt die Abwägung vorliegend, dass die streitgegenständlichen Veröffentlichungen den Kläger nicht in seinem allgemeinen Persönlichkeitsrecht verletzen. Im Einzelnen:

(1) Sofern sich der Kläger darauf beruft, dass die streitgegenständlichen Datenbank-Einträge unwahre Tatsachenbehauptungen enthielten, ist davon prozessual nicht auszugehen. Zwar kommt es bei der verfassungsrechtlich gebotenen Abwägung zwischen dem allgemeinen Persönlichkeitsrecht und der Freiheit der Meinungsäußerung für die Zulässigkeit einer Äußerung maßgeblich mit darauf an, ob es sich um wahre oder unwahre Tatsachenbehauptungen handelt. Denn Tatsachenbehauptungen, die nicht zur verfassungsmäßig vorausgesetzten Meinungsbildung beitragen können, sind nicht geschützt; das ist bei bewusst oder erwiesen unwahren Tatsachenbehauptungen der Fall (BVerfG, Beschluss vom 16.03.1999, 1 BvR 734/98, Juris Rn. 30; Wenzel, Das Recht der Wort- und Bildberichterstattung, 6. Auflage 2018, Kap. 6 Rn. 14). Wahre Tatsachenbehauptungen sind dagegen in weitem Umfang hinzunehmen, denn das Persönlichkeitsrecht verleiht seinem Träger keinen Anspruch darauf, nur so in der Öffentlichkeit dargestellt zu werden, wie es ihm genehm ist (vgl. BVerfG, Beschluss vom 24.03.1998, 1 BvR 131/96 – Missbrauchsvorwurf, Juris Abs. 4. b)). Prozessual ist jedoch nicht davon auszugehen, dass die Datenbank-Einträge dem Rezipienten ein unwahres Verständnis vermitteln.

(a) Nach dem Verständnis des unvoreingenommenen und verständigen Durchschnittsempfängers (vgl. Wenzel, Das Recht der Wort- und Bildberichterstattung, Kap. 4 Rn. 4 m.w.Nw.) sind die Datenbank-Einträge dahingehend zu verstehen, dass die Beklagte behauptet, der Kläger habe tatsächlich Zuwendungen im Wert von insgesamt 534,00 Euro erhalten. Dagegen ist nicht auf das von der Beklagten zu Grunde gelegte Verständnis abzustellen, die Pharmaindustrie habe angegeben, dass der Kläger Zuwendungen im Wert von 534,00 Euro erhalten habe.

So enthält bereits der die Datenbank von 2015 präsentierende Artikel (Anlage K 1) ausgehend vom Wortlaut zahlreiche Aussagen dahingehend, dass die Datenbank tatsächlich erfolgte Zahlungen dokumentiert (Überschrift „W. v. G. h. m. A. b.?“; „Für mehr als 20.000 Ärzte und Fachkreisangehörige in Deutschland ist jetzt bekannt, wie viel Geld sie 2015 von Pharmafirmen erhalten haben.“; „Die Recherche von "C." und S. O. zeigt, wohin das Geld geflossen ist.“; „Hat Ihr Arzt 2015 von Pharmafirmen Geld angenommen?“; „Wem und wofür wurde das Geld gezahlt? Offengelegt wurden die Zahlungen an Ärzte, Apotheker und Angehörige medizinischer oder pharmazeutischer Heilberufe - zusammengefasst als "Angehörige der Fachkreise". Ärzte und Fachkreisangehörige haben Geld für Vorträge, Fortbildungen und Beratung erhalten, dazu gehört auch die Übernahme von Reise- und Übernachtungskosten sowie Tagungs- und Teilnahmegebühren. Medizinische Institutionen bekamen zudem Geld für Sponsoring, Spenden und Stiftungen.“). Zwar wird in dem Artikel auf die Quelle der Daten hingewiesen („Die Daten haben Rechercheure von "C." und S. O. aus mehreren Dutzend Listen zusammengetragen, die von den Pharmaunternehmen einzeln veröffentlicht wurden“) und es wird mitgeteilt, dass die zusammengetragenen Daten mitunter von zweifelhafter Qualität waren bzw. Unstimmigkeit enthielten („Auch die Qualität der Daten erschien in einzelnen Fällen zweifelhaft, etwa wenn die angegebenen Summen nicht mit den aufgelisteten Zahlungen übereinstimmen“; „Haben Sie eine Anmerkung zu den Daten oder eine Unstimmigkeit in den Angaben entdeckt? Dann melden Sie sich bitte unter der Adresse e.@ c..org, damit wir die Datenbank weiter optimieren können.“). Für den Leser entsteht im weiteren Kontext aber das Verständnis, die Beklagte habe die Daten bereinigt, d.h. geklärt („In unserer Datenbank können Sie die zusammengeführten und bereinigten Angaben für rund 20.000 Ärzte und Fachkreisangehörige im Detail erkunden.“). Aufgrund dessen geht der Rezipienten davon aus, dass die Beklagte tatsächlich erfolgte Zahlungen dokumentiert und sich somit sich auf die Richtigkeit der Angaben der Pharmaunternehmen beruft.

Gleiches gilt für die Datenbank 2016 (Anlage K 2), die mit einem inhaltlich weitgehend gleichlautenden Artikel präsentiert wird. Darüber hinaus insinuieren auch weitere, in 2016 gegenüber dem Vorjahr neuen Äußerungen, dass die Datenbank tatsächlich erfolgte Zuwendungen darstellt („Mehr als 562 Millionen Euro ließen Pharmakonzerne im vergangenen Jahr Ärzten, Apothekern, Heilberuflern und medizinischen Institutionen zukommen. Ein Teil davon lässt sich bis ins Detail nachvollziehen: Mehr als 16.500 Ärzte und Fachkreisangehörige haben zugestimmt, als Zahlungsempfänger namentlich genannt zu werden. Die Recherche von S. O. und "C." zeigt, wohin das Geld geflossen ist.“; „Sind an einer Adresse mehrere Personen oder Institutionen eingetragen, dann zeigt das Tooltip den Empfänger mit der höchsten Gesamtsumme. Über einen Link im Tooltip können Sie in der Datenbank alle weiteren Empfänger sowie eine Aufschlüsselung nach Kategorien einsehen.“).

(b) Sofern die streitgegenständlichen Datenbank-Einträge also die Behauptung der Beklagten enthalten, der Kläger habe in den Jahren 2015/2016 Zuwendungen in Höhe von insgesamt 534,00 Euro von Pharmakonzernen erhalten, ist diese Behauptung prozessual als wahr anzusehen. Angesichts der Ehrenrührigkeit der Tatsachenbehauptung trägt grundsätzlich die Beklagte analog § 186 StGB die Darlegungs- und Beweislast für die Richtigkeit der von ihr getroffenen Aussage. Unstreitig hat das Pharmaunternehmen B.- C. AG die in den Einträgen genannten Beträge an Reisekosten betreffend den Kläger veröffentlicht (vgl. Anlage B 15). Daraus ergibt sich zwar nicht zwangsläufig die Richtigkeit der Zuwendung, aber jedenfalls in einem ersten Schritt, dass das Pharmaunternehmen eine solche Zahlung veröffentlicht hat. Der Kläger bestreitet die Richtigkeit der behaupteten Zuwendung lediglich mit Nichtwissen. Angesichts des substantiierten – und unstreitigen – Vortrags der Beklagten dürfte dieses Bestreiten des Klägers mit Nichtwissen jedoch nicht ausreichend sein. Denn das Ob und Wie der Zuwendung fällt grundsätzlich in die Sphäre des Klägers, sodass sich diese nicht einfach auf ein behauptetes Nichtwissen zurückziehen kann. Das gilt sowohl für direkte Zuwendungen (Honorare) als auch die hier allein fraglichen indirekten Zuwendungen (Übernahme von Reisekosten). Denn auch wenn es richtig sein mag, dass der Kläger keine genaue Kenntnis über die Höhe der von dem Pharmaunternehmen übernommenen Reisekosten haben mag, so ist er jedenfalls in der Lage, Angaben dazu zu machen, ob er im betreffenden Zeitraum eine Veranstaltung besucht hat, für die überhaupt von dem Pharmaunternehmen zu tragende Reisekosten anfallen konnten, und wenn ja in welchem Umfang (Ort, Dauer, Transportmittel, Unterkunft, etc.). Zu all diesen Umständen hat der Kläger jedoch nicht vorgetragen. Mangels substantiierten Bestreitens ist prozessual somit von der Wahrheit der mit den Datenbank-Einträgen verbreiteten Tatsachenbehauptung auszugehen.

(2) Entgegen der Argumentation des Klägers wird er auch nicht dadurch in seinem allgemeinen Persönlichkeitsrecht verletzt, dass die Datenbank-Einträge schwerwiegende Auswirkungen für ihn haben. Bei den Datenbank-Einträgen handelt es sich prozessual um wahre Tatsachen aus der Sozialsphäre des Klägers. Berichterstattungen aus der Sozialsphäre dürfen nur im Falle schwerwiegender Auswirkungen auf das Persönlichkeitsrecht des Betroffenen mit negativen Sanktionen verknüpft werden, so etwa, wenn eine Stigmatisierung, soziale Ausgrenzung oder Prangerwirkung droht (BGH, Urteil vom 20.12.2011, VI ZR 261/10 – Kommunistischer Bund; Urteil vom 17.11.2009, VI ZR 226/08; Urteil vom 21.11.2006, VI ZR 259/05). Ein solcher Fall schwerwiegender Auswirkungen ist vorliegend jedoch nicht gegeben. Im Einzelnen:

(a) Die Datenbank-Einträge führen nicht zu einer Stigmatisierung des Klägers. Nach dem Bundesverfassungsgericht können Stigmatisierungen aufgrund gesellschaftlicher, also nicht allein der Verantwortung des Betroffenen zuzuschreibender, Einschätzungs- und Verhaltensmechanismen einen Entzug der sozialen Anerkennung, eine soziale Isolierung und eine grundlegende Verunsicherung und Selbstentwertung des Betroffenen in zahlreichen Lebensbereichen zur Folge haben. Die freie Entfaltung der Persönlichkeit wird dadurch nachhaltig erschwert, ohne dass dies zu den üblichen Grenzen der Entfaltungschancen oder zu den nachteiligen Reaktionen anderer gezählt werden könnte, die man als Folge eigener Entscheidungen oder Verhaltensweisen hinzunehmen hat (BVerfG, Beschluss vom 24.03.1998, 1 BvR 131/96 – Missbrauchsvorwurf, Juris Rn. 48).

Eine solche Stigmatisierung ergibt sich nicht aus den streitgegenständlichen Datenbank-Einträgen selbst. Zwar enthält ein Datenbank-Eintrag mit einem roten Punkt die Aussage, der betreffende Arzt habe Geld in einer bestimmten Höhe von der Pharmaindustrie angenommen. Im Zusammenspiel mit der weiteren Berichterstattung der Beklagten wird dem Leser auch das Verständnis vermittelt, dass sich daraus jedenfalls das Risiko ergibt, dass der Arzt Entscheidungen betreffend Verschreibung von Medikamenten, Behandlungen o.ä. trifft, die in irgendeiner Art und Weise davon beeinflusst sind. Dies ist für den Arzt grundsätzlich ehrabträglich. Die Kritik wird durch die Präsentation der Beklagten noch verstärkt, weil die ursprünglich nur schwer zugänglichen Daten hier in einer sehr leicht auffindbaren Form präsentiert werden, die Ärzte mit einem roten Punkt markiert werden und neben ihnen ein wenig schmeichelhaftes Symbol eines Männchens mit einem Geldsack erscheint. Dennoch führt diese Darstellung zur Überzeugung der Kammer nicht zu einem derart starken Entzug der sozialen Anerkennung und Isolierung des Betroffenen, dass von einer Stigmatisierung die Rede sein könnte. Zu berücksichtigen ist zum einen, dass hier Kritik an der – prozessual wahren – Tatsache der Zuwendungen der Pharmaindustrie an Ärzte, konkret den Kläger, geäußert wird. Weiterhin ist zu berücksichtigen, dass es sich um Zuwendungsbeträge im zwei- bzw. unteren dreistelligen Bereich handelt, was auch nach dem Verständnis des Lesers nicht zu einer gravierenden Einwirkung auf das berufliche Verhalten der Ärzte führen dürfte. Schließlich ist zu berücksichtigen, dass die Ärzte selbst in die Veröffentlichung der Daten eingewilligt haben, wenn auch wohl nicht mit der Vorstellung einer derart nutzerfreundlichen Datenbank.

Die Präsentation in der Datenbank ist auch nicht deshalb rechtswidrig – so die Argumentation des Klägers – weil zusammen mit den Einträgen, anders als bei den Veröffentlichungen der Pharmaunternehmen, nicht der Transparenzkodex veröffentlicht wird, aus dem hervorgeht, dass alle Zuwendungen mit der geltenden Rechtslage übereinstimmten. Denn die Beklagte erweckt in ihrer Berichterstattung an keiner Stelle wahrheitswidrig das Verständnis, dass diese Zuwendungen strafbar seien, weshalb ein ausdrücklicher Hinweis auf den Transparenzkodex im Rahmen der Datenbankeinträge nicht erforderlich ist.

Eine Stigmatisierung des Klägers folgt auch nicht aus dem Inhalt der begleitenden Artikelserie unter dem Stichwort „Euros für Ärzte“ (Anlagenkonvolut B 2). Diese ist zur Auslegung des Inhalts der streitgegenständlichen Datenbank-Einträge zwar heranzuziehen. Die Argumentation des Klägers, ihm werde durch die Berichterstattung insgesamt vorgeworfen, dass er korrumpierbar sei, sich grundlos bereichert habe und ein Spielball der Pharmaindustrie sei, überzeugt jedoch nicht. Zwar ist es richtig, dass die Serie „Euros für Ärzte“ deutliche Kritik an finanziellen Zuwendungen der Pharmaindustrie an Ärzte äußert. Es wird in der gesamten Berichterstattung aber nicht die Behauptung aufgestellt, dass Ärzte, die solche Zuwendungen erhalten, korrupt seien (was ja auch ein strafrechtlich relevantes Verhalten voraussetzte), noch dass dies konkret für den Kläger gelte. Die Berichterstattung zeigt lediglich Zusammenhänge und mögliche Risiken auf, die im Rahmen der Zusammenarbeit von Ärzten mit Pharmaunternehmen entstehen können.

Schließlich folgt eine Stigmatisierung des Klägers auch nicht aus der Gegenüberstellung der Ärzte mit einem roten Punkt auf der einen Seite und der Ärzte mit einem grünen Punkt (sog. „Null-Euro-Ärzte“) auf der anderen Seite. Zwar verlässt die Beklagte hier ihr selbst erklärtes Ansinnen, lediglich die von der Pharmaindustrie veröffentlichten Daten aufzubereiten, und trifft eine eigene Aussage über „saubere“ Ärzte. Das erscheint schon deshalb problematisch, weil die Beklagte nicht überprüft, ob die sich registrierenden Ärzte tatsächlich keine Zuwendungen erhalten haben. Allein ein Abgleich mit den veröffentlichten Namenslisten ist nicht ausreichend, weil auch die Möglichkeit besteht, dass die betreffenden Ärzte zwar Zuwendungen erhalten haben, der Veröffentlichung ihres Namens aber nicht zugestimmt haben. Allerdings trifft die Beklagte nach dem Verständnis des Rezipienten über die „Null-Euro-Ärzte“ nicht die Aussage, diese hätten tatsächlich keine Zuwendung erhalten. Vielmehr enthält der Eintrag eines „Null-Euro-Arztes“ lediglich die Aussage, der betreffende Arzt bzw. die betreffende Ärztin habe gegenüber C. versichert, keine Zuwendung erhalten zu haben; eine eigene Aussage über die Richtigkeit dieser Angabe trifft die Beklagte also gerade nicht. Angesichts dessen erscheint die Gegenüberstellung grüner und roter Punkte nicht in vergleichbarem Maße ehrabträglich, da den Angaben der Pharmaindustrie lediglich die eigenen Aussagen von (anderen) Ärzten gegenübergestellt werden.

(b) Auch eine Prangerwirkung betreffend den Kläger ist vorliegend zu verneinen. Diese wird von der zivilgerichtlichen Rechtsprechung dann erwogen, wenn ein – nach Auffassung des Äußernden – beanstandungswürdiges Verhalten aus der Sozialsphäre einer breiteren Öffentlichkeit bekannt gemacht wird und sich dies schwerwiegend auf Ansehen und Persönlichkeitsentfaltung des Betroffenen auswirkt, was insbesondere dort in Betracht kommt, wo eine Einzelperson aus der Vielzahl derjenigen, die das vom Äußernden kritisierte Verhalten gezeigt haben, herausgehoben wird, um die Kritik des als negativ bewerteten Geschehens durch Personalisierung zu verdeutlichen (BVerfG, Beschluss vom 18.02.2010, 1 BvR 2477/08, Juris Rn. 25). Eine solche Prangerwirkung ist hier aber schon deshalb zu verneinen, weil der Kläger von der Beklagten gar nicht aus der Masse derjenigen, die Zuwendungen von der Pharmaindustrie erhalten haben, herausgehoben wird.

(c) Die Rechtswidrigkeit der Veröffentlichung folgt auch nicht aus datenschutzrechtlichen Erwägungen. Sofern der Kläger argumentiert, dass für die Veröffentlichung der Daten durch die Beklagte seine Einwilligung erforderlich gewesen sei, die er zwar ursprünglich erteilt habe, die aber nicht wirksam gewesen sei, und die er jedenfalls mittlerweile widerrufen habe, greift diese Argumentation ebenfalls nicht durch.

Im Ausgangspunkt darf über wahre Tatsachen aus der Sozialsphäre grundsätzlich berichtet werden. Es gibt keinen Anspruch darauf, in der Öffentlichkeit nur so dargestellt zu werden, wie man es selbst wünscht und man sich selbst sehen möchte; ein allgemeines oder gar umfassendes Verfügungsrecht über die Darstellung der eigenen Person gewährt das allgemeine Persönlichkeitsrecht nicht (BVerfG, Beschluss vom 24.03.1998, 1 BvR 131/96 – Missbrauchsvorwurf, Juris Rn. 45). Eine Einwilligung des Klägers in die Veröffentlichung ist damit grundsätzlich nicht notwendig. Allerdings kann sich nach den Grundsätzen des Datenschutzrechts ein anderes Abwägungsergebnis ergeben (vgl. BGH, Urteil vom 01.02.2011, VI ZR 345/09 – Internetarchiv ksta.de, Juris Rn. 23). Nach der hier maßgeblichen DSGVO ist in bestimmten Fällen die Einwilligung des Betroffenen Voraussetzung für die Rechtmäßigkeit der Datenverarbeitung (vgl. z.B. Art. 6 Abs. 1 lit. a) DSGVO). Jedoch gilt vorliegend für die Beklagte das Medienprivileg des § 57 Abs. 1 S. 6 RStV, wonach die ausschließlich journalistisch-redaktionelle und literarische Erhebung, Verarbeitung und Nutzung personenbezogener Daten weitgehend von den ansonsten einzuhaltenden Datenschutzbestimmungen ausgenommen ist (vgl. BGH, Urteil vom 01.02.2011, VI ZR 345/09, Juris Rn. 23ff. zu § 57 RStV a.F.). Ein Unterlassungsanspruch gegen die Beklagte aufgrund datenschutzrechtlicher Erwägungen scheidet somit aus.

Darüber hinaus hat der Kläger, ohne dass es darauf ankäme, auch nicht hinreichend substantiiert vorgetragen, dass seine Einwilligung unwirksam ist. Denn das in Anlage K 7 vorgelegte Formular über die Erteilung einer Einwilligung wurde nur beispielhaft vorgelegt und gilt für den Kläger (der Zuwendungen eines ganz anderen Pharmaunternehmen erhalten haben soll) gar nicht.

Angesichts des Medienprivilegs, auf das sich die Beklagte berufen kann, kommt es auch auf einen etwaigen Widerruf der Einwilligung des Klägers nicht an.

(d) Schwerwiegende Auswirkungen für den Kläger folgen auch nicht aus einem von ihm behaupteten Eingriff in das Arzt-Patienten-Verhältnis. Ein solcher Eingriff mit schwerwiegenden Auswirkungen für den Kläger erscheint schon deshalb kaum nachvollziehbar, weil sich die Ärzte – darunter auch der Kläger – einmal selbst dem Ziel verschrieben haben, für mehr Transparenz betreffend die Zusammenarbeit von Ärzten mit Pharmaunternehmen zu sorgen. Dann ist die Kenntnis der Patienten über etwaige Zuwendungen an den Kläger zwangsläufig die Kehrseite dieses von der Pharmaindustrie wie den Ärzten gleichermaßen verfolgten Transparenz-Anliegens. Zudem führt diese Argumentation nicht insoweit zu einer Rechtswidrigkeit der Berichterstattung, als der Eingriff nicht die Schwere einer Stigmatisierung erreicht (s.o.).

(e) Ein Unterlassungsanspruch des Klägers lässt sich auch nicht damit begründen, dass sogar Suchmaschinenbetreiber dazu verpflichtet seien, die Erreichbarkeit von Internetbeiträgen durch bloße Eingabe des Namens der von diesen Beiträgen in erheblicher Weise betroffenen Person zu unterbinden (vgl. EuGH, Urteil vom 13.05.2014, C-131/12, Celex-Nr. 62012CJ0131 – Google Spain, Juris). Der „Erst-Recht-Schluss“ vom Suchmaschinenbetreiber auf die Presse greift schon nicht durch. Zudem scheitert der der „Google Spain“-Entscheidung des EuGH zu Grunde liegende datenschutzrechtliche Anspruch am Medienprivileg, auf das sich die Beklagte berufen kann (s.o.).

(f) Vor dem Hintergrund der bereits diskutierten Aspekte scheidet auch ein Anspruch des Klägers auf Anonymitätsschutz aus. Zwar ist die prozessual wahre Aussage, dass der Kläger Zuwendungen von der Pharmaindustrie angenommen hat, nach dem Gesamtverständnis der Berichterstattung der Beklagten ehrabträglich. Der Eingriff in das Persönlichkeitsrecht des Klägers ist aber nicht derart schwer, dass nicht identifizierbar über ihn berichtet werden dürfte, da ihm erkennbar kein strafbares Verhalten vorgeworfen wird, die genannten Zuwendungsbeträge sich im zwei- bzw. unteren dreistelligen Bereich bewegen und er ursprünglich selbst in seine Namensnennung eingewilligt hat.

b. Ein Unterlassungsanspruch des Klägers folgt auch nicht aus §§ 823 Abs. 1, 1004 Abs. 1 S. 2 BGB analog wegen der Verletzung seines Rechts am eingerichteten und ausgeübten Gewerbebetrieb. Ein Eingriff in das Recht am eingerichteten und ausgeübten Gewerbebetrieb scheidet schon deshalb aus, weil der Eingriff der Beklagten nicht betriebsbezogen ist. Denn die Verletzungshandlung muss sich gerade gegen den Betrieb und seine Organisation oder gegen die unternehmerische Entscheidungsfreiheit richten und über eine bloße Belästigung oder sozial übliche Behinderung hinausgehen; mittelbare Beeinträchtigungen des Gewerbebetriebs lösen daher keine Haftung nach Abs. 1 aus, insbesondere Schadensereignisse, die nicht mit der „Wesenseigentümlichkeit“ des Betriebs in Beziehung stehen, sondern die Schädigung bestimmter Rechtsgüter betreffen, auf einer Reaktion des Unternehmens auf einen Test beruhen oder lediglich den Verdienst schmälern, aber die berufliche Tätigkeit an sich nicht beeinträchtigen (BeckOGK/Spindler, BGB, § 823 Rn. 207-210, beck-online). Diese Voraussetzung eines betriebsbezogenen Eingriffs ist vorliegend nicht erfüllt.

2. Dem Kläger steht darüber hinaus auch nicht der geltend gemachte Anspruch auf Feststellung einer Schadensersatzpflicht der Beklagten zu, da die Veröffentlichung der Datenbank-Einträge rechtmäßig war.“



Den Volltext der Entscheidung finden Sie hier:

AG Wertheim: Auskunftsanspruch nach Art. 15 DSGVO - Zwangsgeld in Höhe von 15.000 EURO gegen Unternehmen bei unvollständiger Auskunftserteilung nach Urteil

AG Wertheim
Beschluss vom 12.12.2019
1 C 66/19


Das AG Wertheim hat gegen ein Unternehmen nach Verurteilung zur Auskunftserteilung nach Art. 15 DSGVO ein Zwangsgeld in Höhe von 15.000 EURO verhängt, nachdem das Unternehmen seiner Auskunftspflicht nicht vollständig nachgekommen ist. Dabei ging es insbesondere um Informationen über die Herkunft der Daten hinsichtlich personenbezogener Daten, die nicht beim Betroffenen erhoben wurden (Art. 15 Abs. 1 lit. g DSGVO).

VG Gera: Zur örtlichen Zuständigkeit bei Klagen gegen Landesdatenschutzbeauftragten

VG Gera
Beschluss vom 16.01.2019
2 K 2281/18 Ge


Die Entscheidungsgründe:

Der Beklagte hat die örtliche Zuständigkeit des angerufenen Gerichts gerügt, sodass das Verwaltungsgericht Gera nach Anhörung der Beteiligten vorab über seine Zuständigkeit zu entscheiden hat (§§ 83 Satz 1 i.V.m. 17a Abs. 3 GVG).

Die Klägerin wendet sich gegen eine Entscheidung des Beklagten, mit der dieser eine Beschwerde der Klägerin als unbegründet zurückgewiesen hat (§§ 6 Abs. 2 Ziffer 6, 8 Abs. 1 des Thüringer Datenschutzgesetzes (ThürDSG) vom 6. Juni 2018 - GVBl. S. 229 - ). Gemäß § 4 Abs. 1 ThürDSG ist der Beklagte Aufsichtsbehörde nach Artikel 51 der Verordnung (EU) 2016/679 mit Dienstsitz in Erfurt. Damit ist der Beklagte für einen Bereich zuständig, der mehrere Verwaltungsgerichtsbezirke umfasst.

Die örtliche Zuständigkeit des Verwaltungsgerichts richtet sich somit nach § 52 Ziffer 3 Satz 2 VwGO, wonach in diesem Fall das Verwaltungsgericht örtlich zuständig ist, in dessen Bezirk der Beschwerte seinen Sitz oder Wohnsitz hat. Die Klägerin hat ihren Wohnsitz im Bezirk des Verwaltungsgerichts Gera, sodass dieses zur Entscheidung über den Rechtsstreit örtlich zuständig ist.

Soweit der Beklagte die Auffassung vertritt, örtlich zuständig sei das Verwaltungsgericht Weimar und dies mit der bundesrechtlichen Regelung des § 20 Abs. 3, Abs. 1 BDSG begründet, ist festzustellen, dass der Anwendungsbereich des BDSG vorliegend nicht eröffnet ist. Das BDSG gilt gemäß § 1 Abs. 1 Satz 1 Nr. 2 BDSG für die Verarbeitung von personenbezogenen Daten durch öffentliche Stellen der Länder, soweit der Datenschutz nicht durch Landesgesetz geregelt ist. Da das ThürDSG gemäß § 2 Abs. 1 „… für die Verarbeitung personenbezogener Daten durch die Behörden, die Gerichte und die sonstigen öffentlichen Stellen des Landes… “ gilt, wurde mit dem ThürDSG eine eigene landesrechtliche Vollregelung des Datenschutzes geschaffen, sodass das BDSG bezogen auf den öffentlichen Bereich in Thüringen unanwendbar ist.

Eine anderslautende Zuständigkeit ergibt sich auch nicht aus § 9 Abs. 1 ThürDSG. Dem Sachverhalt liegt keine Streitigkeit zwischen einer öffentlichen Stelle und dem Landesbeauftragten für den Datenschutz zugrunde, sodass § 20 Abs. 3 BDSG auch nicht über die Verweisung in § 9 Abs. 1 Satz 2 ThürDSG Anwendung findet.

Schließlich ist auch § 9 Abs. 2 ThürDSG weder direkt noch analog anwendbar. Nach der Gesetzesbegründung wird in Abs. 2 - in Umsetzung von Artikel 78 Abs. 2 der Verordnung (EU) 2016/679 und Artikel 53 Abs. 2 der Richtlinie (EU) 2016/680 - der Rechtsschutz auf Fälle der Untätigkeit des Landesbeauftragten für den Datenschutz ausgedehnt (vgl. ThürLTDrs. 6/4943, Gesetzesentwurf der Landesregierung zum Thüringer Gesetz zur Anpassung des Allgemeinen Datenschutzrechts an die Verordnung (EU) 2016/679 und zur Umsetzung der Richtlinie (EU) 2016/680 (Thüringer Datenschutz-Anpassungs- und -Umsetzungsgesetz EU - ThürDSAnpUG-EU -), S. 93). Eine solche Untätigkeit ist hier jedoch nicht gegeben.

Eine Analogie zur Übertragung einer gesetzlichen Regelung auf einen Sachverhalt, der von der betreffenden Vorschrift nicht erfasst wird, ist nur geboten, wenn dieser Sachverhalt mit dem geregelten vergleichbar ist, nach dem Grundgedanken der Norm und dem mit ihr verfolgten Zweck dieselbe rechtliche Bewertung erfordert und eine (unbewusste) planwidrige Regelungslücke vorliegt (vgl. BVerfGE 82, 6, 11 f., m.w.N.; BSGE 77, 102 ff.; BSGE 89, 199 ff.). Für die Bestimmung der örtlichen Zuständigkeit für die Fälle, in denen der Beauftragte eine Beschwerde für unbegründet gehalten und diese abgewiesen hat, liegt keine
planwidrige Regelungslücke vor. Für eine analoge Anwendung des § 9 Abs. 2 ThürDSG verbleibt bereits deshalb kein Raum, da sich die örtliche Zuständigkeit in diesem Fall unmittelbar aus § 52 VwGO ergibt.

Eine anderslautende Zuständigkeit ergibt sich auch nicht aus Artikel 78 Abs. 3 der Verordnung (EU) 2016/679, wonach bei Verfahren gegen eine Aufsichtsbehörde die Gerichte des Mitgliedsstaats zuständig sind, in dem die Aufsichtsbehörde ihren Sitz hat. Hierin ist keine Regelung über die örtliche Zuständigkeit der Gerichte im föderalen System der Bundesrepublik Deutschland zu erblicken. Nach dem Erwägungspunkt 143 der Verordnung sollten Verfahren gegen eine Aufsichtsbehörde bei den Gerichten des Mitgliedstaats angestrengt werden, in dem die Aufsichtsbehörde ihren Sitz hat, und sollten im Einklang mitdem Verfahrensrecht dieses Mitgliedstaats durchgeführt werden. Mit dieser Regelung soll vermieden werden, dass über die Wahrnehmung der Aufgaben einer Aufsichtsbehörde ein Gericht eines anderen Mitgliedstaats entscheidet (vgl. Europäischer Rat, Dok. 16226/3/13REV3 vom 2. Dezember 2013, Ziffer 26). Welches Gericht des Mitgliedstaats sodann örtlich zuständig ist, richtet sich nach den Bestimmungen des jeweiligen Mitgliedstaats.

Hinweis: Die Beschluss ist unanfechtbar, § 83 Satz 2 VwGO.


Den Volltext der Entscheidung finden Sie hier:


LG München: Kein Anspruch gegen Kreditkartenunternehmen auf Unterlassung rechtswidriger nicht den Vorgaben der DSGVO entsprechender Datenverarbeitung

LG München
Urteil vom 07.11.2019
34 O 13123/19


Das LG München hat entschieden, dass kein individueller Anspruch des Kreditkartenkunden gegen das Kreditkartenunternehmen auf Unterlassung rechtswidriger nicht den Vorgaben der DSGVO entsprechender Datenverarbeitung besteht.

Aus den Entscheidungsgründen:

Der Antrag auf Erlass einer einstweiligen Verfügung ist weder zulässig noch begründet.

I. Der Antrag des Verfügungsklägers erfüllt nicht die Anforderungen des in § 253 Abs. 2 Nr. 2 ZPO verankerten Bestimmtheitserfordernisses. Erforderlich ist ein bestimmter Antrag. Er muss -aus sich heraus verständlich - Art (Leistung, Feststellung, Gestaltung) und Umfang des begehrten Rechtsschutzes nennen und ist damit ein wesentliches Element zur Bestimmung des Streitgegenstandes. Nach der Rechtsprechung des Bundesgerichtshofs (vgl. BGH NJW 1999, 954; NJW 2003, 668, 669; BGH NJW 2013, 1367 Rn. 12; NJW 2016, 317 Rn. 8ff.; NJW 2016, 708 Rn. 8ff.; s. a. BGH NJW 2008, 1384, 1385) ist ein Klageantrag im Allgemeinen dann hinreichend bestimmt, wenn er den erhobenen Antrag konkret bezeichnet, dadurch den Rahmen der gerichtlichen Entscheidungsbefugnis (§ 308 ZPO) absteckt, Inhalt und Umfang der begehrten Entscheidung (§ 322 ZPO) erkennen lässt, das Risiko eines Unterliegens des Klägers nicht durch vermeidbare Ungenauigkeiten auf den Beklagten abwälzt und schließlich eine Zwangsvollstreckung aus dem Urteil ohne eine Fortsetzung des Streits im Vollstreckungsverfahren erwarten lässt. Prüfungsmaßstab für die hinreichende Bestimmtheit ist demnach immer die Eignung des Urteils für die Vollstreckung. Der Verfügungskläger beantragt, es „zu unterlassen, die Plattform Priceless Specials zu betreiben, ohne die Sicherheitsmaßnahmen des PCI DSS-Standards einzuhalten, insbesondere die Plattform beim Bekanntwerden von Sicherheitslücken weiter zu betreiben.“

Dieser Antrag ist - auch nach Abänderung des Antrags in der mündlichen Verhandlung - nicht hinreichend bestimmt, da es an einem vollstreckungsfähigen Inhalt mangelt. Das zu unterlassende Verhalten ist nicht so konkret bezeichnet, dass die Verfügungsbeklagte ihr Risiko erkennen und ihr Verhalten darauf einrichten könnte. Die Verfügungsbeklagte müsste absehen können, wann eine Vollstreckungshandlung aufgrund einer Zuwiderhandlung droht. Dies ist vorliegend nicht der Fall. Die Problematik ausreichender Bestimmtheit ist bei Unterlassungsanträgen parallel zu der Frage der Vollstreckbarkeit des jeweils geschaffenen Titels nach § 890 ZPO zu beantworten. Sowohl hinsichtlich des Antrags nach § 253 Abs. 2 Nr. 2 ZPO als auch bezogen auf § 890 Abs. 1 ZPO muss die Verfügungsbeklagte erkennen können, welche Leistung sie zu erbringen hat.

Zwar muss der Verfügungsbeklagten als potentielle Störerin grundsätzlich die Wahl zwischen mehreren Möglichkeiten der Beseitigung offen bleiben, jedoch muss durch den Antrag weiterhin dem Bestimmtheitserfordernis des § 253 Abs. 2 Nr. 2 ZPO Rechnung getragen werden. Ein unbestimmter Tenor wäre nicht vollstreckbar. Diesem Erfordernis ist der Antragsteller nicht hinreichend nachgekommen. Aus dem Antrag ist nicht hinreichend ersichtlich, welche Maßnahmen die Verfügungsbeklagte konkret zur Erfüllung ihrer Pflicht zu ergreifen hat. Ohne eine solche Konkretisierung ist für die Verfügungsbeklagte aber nicht klar, wann sie ihrer Pflicht Genüge getan hat und wann sie sich einer Haftung bzw. einer Vollstreckung aussetzen würde. Die Grenzen sind für sie in keiner Weise ersichtlich. Die ausreichende Bestimmtheit des Antrags ergibt sich auch nicht aus dem PCI DSS-Standard. Der PCI DSS enthält durchaus Anforderungen an die Sicherheitsstandards für Kreditkartendaten. Gegenstand des Antrags sind jedoch nicht bestimmte Anforderungen des PCI DSS, gegen die die Verfügungsbeklagte verstoßen haben soll und die zu dem Sicherheitsvorfall geführt haben sollen. Demzufolge fehlt es an der erforderlichen und zumutbaren Konkretisierung. Darüber hinaus ist für das Vollstreckungsgericht - auch angesichts des umfassenden Regelwerks des PCI DSS-Standards - nicht hinreichend deutlich, welche Maßnahmen zu welchem Zeitpunkt von der Verfügungsbeklagten veranlasst werden müssten.
II.

Des Weiteren fehlt vorliegendem Antrag das Rechtsschutzbedürfnis, da der Verfügungskläger die Möglichkeit hat, der maschinellen Verarbeitung seiner Daten durch die Verfügungsbeklagte zu widersprechen und die Vertragsbindung hinsichtlich seiner Kreditkarte zu beenden. Nach Ansicht des Gerichts kann der Verfügungskläger mit den Ausführungen, dass die „Hau doch ab, wenn's dir nicht passt!“-Argumentation der Verfügungsbeklagten der Tatsache nicht gerecht werde, dass der Verfügungskläger ein Interesse daran haben dürfe, die Vorzüge des Bonusprogramms der Verfügungsbeklagten weiterhin zu nutzen und dass es allein Aufgabe der Verfügungsbeklagten sei, die gesetzlich vorgesehenen Maßnahmen zu ergreifen, um eine sichere Verarbeitung der Daten des Verfügungsklägers zu gewährleisten, nicht durchdringen. Seitens des Gerichts kann schon nicht nachvollzogen werden, weshalb der Verfügungskläger, der der Verfügungsbeklagten als seiner Vertragspartnerin offensichtlich nicht mehr das nötige Vertrauen entgegenbringt, dass diese die hohen Sicherheitsstandards einhält, trotzdem die Vertragsbeziehungen aufrechterhalten will. Unabhängig davon ist zwingende Prozessvoraussetzung ein allgemeines Rechtsschutzinteresse oder Rechtsschutzbedürfnis, d.h. ein schutzwürdiges Interesse an der gerichtlichen Geltendmachung des eingeklagten Rechts. Das Rechtsschutzbedürfnis kann fehlen, wenn das verfolgte Begehren auf einem einfacheren Weg zu erlangen ist (BGH NJW-RR 2010, 19). Dies ist vorliegend der Fall: Die Möglichkeit, der maschinellen Verarbeitung seiner Daten zu widersprechen und die Vertragsbindung hinsichtlich seiner Kreditkarte zu beenden, wäre der einfachere Weg für den Verfügungskläger, seine Bedenken im Hinblick auf die Verarbeitung seiner personenbezogenen Daten auszuräumen. Mit diesem schnelleren und billigeren Mittel des Rechtsschutzes lässt sich vergleichbar sicher oder wirkungsvoll das erforderliche Rechtsschutzziel - der Schutz der Daten des Verfügungsklägers - herbeiführen.
III.

Darüber hinaus ist der Antrag auch unbegründet. Begründet ist der Antrag auf Erlass einer einstweiligen Verfügung, wenn der Verfügungskläger einen Verfügungsanspruch und einen Verfügungsgrund schlüssig behauptet und glaubhaft macht. Ein Verfügungsgrund liegt vor, wenn durch die Änderung eines bestehenden Zustands die Verwirklichung eines Rechts des Antragstellers vereitelt oder wesentlich erschwert werden könnte. Es kommt darauf an, ob Umstände vorliegen, die nach dem Urteil eines objektiven, vernünftigen Menschen befürchten lassen, dass die Anspruchsverwirklichung durch die Veränderung der gegebenen Umstände vereitelt oder wesentlich erschwert werden könnte. In Betracht kommt etwa eine bevorstehende Rechtsverletzung. Glaubhaft gemacht werden Verfügungsanspruch und Verfügungsgrund nach § 294 ZPO. Der erforderliche Grad an Gewissheit ist bereits erreicht, wenn sich aus dem Vortrag des Antragstellers die überwiegende Wahrscheinlichkeit dafür ergibt, dass sie zutrifft (BGH NJW 03, 3558).

1. Vorliegend fehlt es bereits an einem Verfügungsanspruch. Das Recht auf Unterlassung rechtswidriger Datenverarbeitung ist nicht als solches in der Datenschutz-Grundverordnung verankert. Diese konkretisiert zwar das primärrechtlich verbürgte Recht auf Schutz persönlicher Daten, aber eben nur, soweit sie die Ausprägungen dieses Rechts normiert. Die bloße verordnungswidrige Datenverarbeitung stellt gerade noch keine Rechtsverletzung dar (vgl. hierzu Kreßeydow, Europäische Datenschutzverordnung 2. Auflage 2018, Rn. 10 ff.; BeckOK Datenschutzrecht, Wolff/Brink, Art. 82 Rn. 11 f.; Spindler/Schuster, Recht der elektronischen Medien, 4. Auflage 2019, Rn. 7 ff.).

Ein Anspruch aus § 1004 BGB ist nicht hinreichend glaubhaft gemacht. Voraussetzung des Unterlassungsanspruchs ist das Vorliegen einer Beeinträchtigungsgefahr. Diese ist entweder Wiederholungsgefahr, wenn es in der Vergangenheit bereits zu einer Beeinträchtigung gekommen ist, oder Erstbegehungsgefahr, wenn aufgrund objektiver Umstände eine erstmalige Beeinträchtigung unmittelbar bevorsteht. Nach dem Vortrag des Verfügungsklägers lässt sich vorliegend eine Glaubhaftmachung weder im Hinblick auf eine Wiederholungs- noch auf eine Erstbegehungsgefahr ableiten. Bereits nach dem Vortrag des Verfügungsklägers ist es in der Vergangenheit nicht zu einer vollendeten Beeinträchtigung gekommen, demzufolge eine Vermutung der Wiederholungsgefahr schon nicht in Betracht kommt. Des Weiteren hat die Verfügungsbeklagte hinreichend dargelegt und glaubhaft gemacht, welche Maßnahmen sie nach Bekanntwerden des Vorfalls ergriffen hat. Dass diese Maßnahmen unzureichend wären, zeigt der Verfügungkläger nicht auf - insbesondere auch nicht, was seitens der Verfügungsbeklagten noch veranlasst wäre. Die Verfügungsbeklagte hat glaubhaft gemacht, dass die streitgegenständliche Plattform nicht mehr in Betrieb ist (Anlage AG 22). Daran ändert auch der Umstand nicht, dass sie unstreitig zwischenzeitlich wieder kurzfristig über die Internetseite der „…“ online war. Die Verfügungsbeklagte hat diese für einen begrenzten Zeitraum bestehende Erreichbarkeit mit der forensischen Untersuchung und diesbezüglichen IT-Checks erklärt. Eine Wiederholung des streitgegenständlichen Datenlecks würde voraussetzen, dass sich die Verfügungsbeklagte nicht nur entscheidet, dass die Plattform wieder online gestellt wird, sondern auch, dass die Plattform unverändert wieder online stellt, ohne irgendwelchen weiteren Sicherheitsmaßnahmen zu ergreifen. Das Vorliegen einer Wiederholungsgefahr ergibt sich auch nicht aus dem Vortrag des Verfügungsklägers, dass die Internetseite „Priceless Specials“ bereits unter einer anderen URL wieder erreichbar sei. Die Verfügungsbeklagte hat in diesem Zusammenhang glaubhaft gemacht, dass es sich hierbei um eine reine Testumgebung ohne Zugriff auf personenbezogene Daten von „Priceless Specials“-Nutzern handelt. Der Verfügungskläger konnte auf Nachfrage des Gerichts im Rahmen der mündlichen Verhandlung insbesondere schon keine Angaben dazu machen, ob unter der von ihm genannten URL eine Anmeldung mit seinen bisherigen Login-Daten möglich ist.

2. Darüber hinaus steht dem Verfügungskläger auch kein Verfügungsgrund zu.

Ein Verfügungsgrund besteht nach § 935 ZPO, wenn zu besorgen ist, dass durch eine Veränderung des bestehenden Zustandes die Verwirklichung des Rechtes einer Partei vereitelt oder wesentlich erschwert werden könnte (sog. Sicherungsverfügung) bzw. nach § 940 ZPO, wenn in Bezug auf ein streitiges Rechtsverhältnis die Regelung zur Abwendung wesentlicher Nachteile oder zur Verhinderung drohender Gewalt oder aus anderen Gründen nötig erscheint (sog. Regelungsverfügung). Über den Wortlaut der §§ 935, 940 ZPO hinaus lässt die Rechtsprechung jedoch ausnahmsweise eine sog. Leistungs- oder Befriedigungsverfügung zu, deren Inhalt auf die (vollständige oder teilweise) Befriedigung des Verfügungsanspruchs gerichtet ist.

Um eine solche geht es dem Verfügungskläger hier, da sein als Unterlassungsantrag formuliertes Begehren nicht lediglich auf eine zukünftige Untätigkeit der Verfügungsbeklagten, sondern auf ein Verhalten gerichtet ist, welches den Nichteintritt einer aus Sicht des Antragstellers (erneut) drohenden Beeinträchtigung seines Allgemeinen Persönlichkeitsrechts bewirkt, insbesondere die Vornahme von (im Einzelnen nicht konkretisierten) Sicherungsmaßnahmen. Dabei geht es dem Verfügungskläger offensichtlich nicht um eine Hilfestellung bei der Eindämmung der aus dem bereits erfolgten Datenverlust resultierenden Gefahren und auch nicht um die Abwehr einer sich konkret abzeichnenden Wiederholungsgefahr. Inhaltlich stellt dies nichts anderes dar als das Begehren einer ordnungsgemäßen Vertragsdurchführung in ihrer gesamten Weite.

Eine Leistungsverfügung kann aber ganz generell nur in engen Ausnahmefällen zugelassen werden, weil sie letztlich über den gesetzlichen Wortlaut der §§ 935, 940 ZPO hinausgeht und dabei im Rahmen eines nur summarischen Verfahrens dem Verfügungskläger bereits all das gewährt, was er auch nach Durchführung eines Hauptsacheverfahrens erreichen könnte. Um diese strengen Voraussetzungen zu erfüllen, muss der Verfügungskläger im Einzelfall darlegen und glaubhaft machen, dass er derart dringend auf die sofortige Erfüllung seines Leistungsanspruchs angewiesen ist und andernfalls derart erhebliche wirtschaftliche Nachteile erleiden würde, dass ihm ein Zuwarten, soweit nach Art des Anspruchs überhaupt möglich, oder eine Verweisung auf die spätere Geltendmachung von Schadensersatzansprüchen nach Wegfall des ursprünglichen Erfüllungsanspruchs nicht zumutbar ist (Zöller/Vollkommer, ZPO, 32. Aufl., § 940 Rn 6 m. w. N.). Dabei ist nicht nur die Frage zu stellen, ob die geschuldete Leistung nur innerhalb eines bestimmten Zeitraums vorgenommen werden kann und die rechtzeitige Erwirkung eines (Hauptsache-)Titels im Klageverfahren für diesen bestimmten Zeitraum nicht möglich ist. Vielmehr muss insgesamt eine Interessenabwägung durchgeführt werden, da dem Interesse des Verfügungsklägers an der Gewährung effektiven Rechtsschutzes vielfach das nicht weniger schutzwürdige Interesse der Verfügungsbeklagten gegenübersteht, nicht in einem mit nur eingeschränkten Erkenntnis- und Beweismöglichkeiten ausgestalteten summarischen Verfahren zu einer Erfüllung des umstrittenen Anspruchs verpflichtet zu werden. Der Erlass einer auf endgültige Anspruchsbefriedigung gerichteten einstweiligen Verfügung kommt somit allein dann in Betracht, wenn der dem Verfügungskläger aus der Nichterfüllung drohende Schaden außer Verhältnis zu demjenigen Schaden steht, der der Verfügungbeklagten aus der sofortigen Erfüllung droht.

Diese strengeren Voraussetzungen für den Erlass einer Leistungsverfügung hat der Verfügungskläger jedoch weder hinreichend dargelegt, noch glaubhaft gemacht. Es ist nicht erkennbar, warum er derart dringend auf die sofortige Erfüllung seines Leistungsanspruchs angewiesen sein soll und andernfalls derart erhebliche wirtschaftliche Nachteile erleiden würde, dass ihm ein Zuwarten oder eine Verweisung auf die spätere Geltendmachung von Schadensersatzansprüchen nach Wegfall des ursprünglichen Erfüllungsanspruchs nicht zumutbar ist. Dass die Verfügungsbeklagte sensible personenbezogene Daten des Verfügungsklägers mit einem erheblichen Missbrauchspotential verarbeite und bei Fortdauer der Datenverarbeitung weitere unbefugte Zugriffe auf die Nutzerdatenbank zu befürchten seien, reicht als Begründung dafür, dass ein weiteres Zuwarten nicht zumutbar ist, nicht aus, zumal der Verfügungskläger schon auf der Ebene der Wiederholungsgefahr eine solche nicht glaubhaft machen konnte. Natürlich ist die Verfügungsbeklagte gegenüber dem Verfügungskläger und den anderen Bonusprogramm-Teilnehmern verpflichtet, für die Sicherheit deren Daten Sorge zu tragen, wenn sie diese verarbeitet. Sicherungsmaßnahmen im einstweiligen Rechtsschutz sind aber nur möglich, wenn konkrete Möglichkeiten zur Sicherung bekannt sind, um ein erneutes Datenleck zu vermeiden. Der Verfügungskläger hat schon nicht dargelegt, dass die Einhaltung der Sicherheitsmaßnahmen des PCI DSS-Standards ein neues Datenleck vermeiden würde.


Den Volltext der Entscheidung finden Sie hier:



ArbG Berlin: Arbeitszeiterfassung mittels Fingerprint nicht erforderlich gemäß § 26 Abs. 1 BDSG und nur mit Einwilligung des Betroffenen zulässig

ArbG Berlin
Urteil vom 16.10.2019
29 Ca 5451/19


Das ArbG Berlin hat entschieden, dass die Arbeitszeiterfassung mittels Fingerprint nicht erforderlich gemäß § 26 Abs. 1 BDSG ist und daher nur mit Einwilligung des Betroffenen zulässig ist.

Aus den Entscheidungsgründen:

"Die Abmahnung vom 05. Oktober 2018 sowie die Abmahnung vom 26. März 2019 wegen Nichtbenutzung des Zeiterfassungssystems ZEUS sind aus der Personalakte des Klägers zu entfernen.

Arbeitnehmer können in entsprechender Anwendung von §§ 242, 1004 Abs. 1 Satz 1 BGB die Entfernung einer zu Unrecht erteilten Abmahnung aus ihrer Personalakte verlangen. Der Anspruch besteht, wenn die Abmahnung inhaltlich unbestimmt ist, unrichtige Tatsachenbehauptungen enthält, auf einer unzutreffenden rechtlichen Bewertung des Verhaltens des Arbeitnehmers beruht oder den Grundsatz der Verhältnismäßigkeit verletzt (ständige Rechtsprechung des BAG, hier nur herausgreifend Urteil vom 20. Januar 2015, 9 AZR 860/13, juris).

Diese Voraussetzungen liegen im Streitfall vor. Der Kläger ist nicht verpflichtet, das Zeiterfassungssystem ZEUS zu nutzen.

Erfolgte die Zeiterfassung früher üblicherweise analog mittels Stechuhr, ist heute eine digitale Zeiterfassung, zum Beispiel über softwarebasierte oder webbasierte Zeiterfassungssysteme, teilweise auch per Smartphone oder Tablet, die Regel. Relativ neu ist die digitale Zeiterfassung mittels Fingerprint. Diese Form der Arbeitszeiterfassung soll unter anderem verhindern, dass Mitarbeiter für Kollegen „mitstempeln“ und hierdurch Arbeitszeitbetrug begehen.

Bei der Zeiterfassung mittels Fingerprint meldet sich der Mitarbeiter durch Abgleich seines Fingerabdrucks mit den im Zeiterfassungsterminal gespeicherten Daten im Zeiterfassungsprogramm an und ab. Hierfür werden aus dem Fingerabdruck des Mitarbeiters zunächst sogenannte Minutien (individuelle, nicht vererbbare Fingerlinienverzweigungen) mittels eines speziellen Algorithmus extrahiert. Der Minutiendatensatz wird sodann im Zeiterfassungsterminal gespeichert und zum Abgleich des Fingerabdrucks des Mitarbeiters bei der An- und Abmeldung verwendet. Nicht gespeichert wird grundsätzlich der Fingerabdruck des Mitarbeiters. Aus dem gespeicherten Minutiendatensatz kann der Fingerabdruck des Mitarbeiters auch nicht wieder generiert werden.

Datenschutzrechtlich handelt es sich bei dem Minutiendatensatz um biometrische Daten nach Artikel 9 Abs. 1 DSGVO und besondere Kategorien personenbezogener Daten im Sinne von § 26 Abs. 3 BDSG. Diesen Daten ist eigen, dass eine Verarbeitung die Privatsphäre des Mitarbeiters und damit das Recht auf informationelle Selbstbestimmung im besonderen Maße verletzen kann. Die Verarbeitung von biometrischen Daten – und somit auch von Minutiendatensätzen – ist daher nach Artikel 9 Abs. 1 GSGVO grundsätzlich verboten. Allerdings enthält Artikel 9 Abs. 2 GSGVO mehrere Erlaubnistatbestände, bei deren Vorliegen eine Verarbeitung (ausnahmsweise) doch zulässig ist. Arbeitsrechtlich relevant sind insbesondere die Erlaubnistatbestände „Erforderlichkeit“, „Freiwillige Einwilligung“ und „Kollektivvereinbarung“.

Eine Einwilligung und eine Kollektivvereinbarung liegen hier nicht vor.

Folglich ist zu prüfen, ob die Verarbeitung der biometrischen Daten im Rahmen der Zwecke der Beschäftigungsverhältnisses im Sinne des § 26 Abs. 1 BDSG erforderlich ist, damit der Verantwortliche (Arbeitgeber) den ihm „aus dem Arbeitsrecht, dem Recht der sozialen Sicherheit und des Sozialschutzes“ erwachsenden Rechte und Pflichten nachkommen kann. Es darf kein Grund zu der Annahme bestehen, dass das schutzwürdige Interesse der betroffenen Person (des Beschäftigten) an dem Ausschluss der Verarbeitung überwiegt. Biometrische Merkmale eines Beschäftigten darf der Arbeitgeber nach § 26 Abs. 3 BDSG somit nur dann verarbeiten, wenn dies für die Begründung, Durchführung oder Beendigung des Beschäftigungsverhältnisses erforderlich ist. Die Erhebung und Verwendung von biometrischen Merkmalen muss im Rahmen der dreistufigen Prüfung folgende Voraussetzungen erfüllen:

1. Das biometrische Verfahren muss für die Zwecke des Beschäftigungsverhältnisses geeignet sein, das heißt, der jeweils auf das Beschäftigungsverhältnis bezogene Zweck muss tatsächlich gefördert werden können.

2. Es darf kein anderes, gleich wirksames, das Persönlichkeitsrecht weniger beeinträchtigendes Mittel existieren.

3. Als Ergebnis einer umfassenden Abwägung der schutzwürdigen Interessen und Grundrechte des Arbeitnehmers und des Arbeitgebers muss die Beeinträchtigung des Persönlichkeitsrechts des Beschäftigten durch das Biometrische Verfahren in einem angemessenen Verhältnis zu dem angestrebten Zweck der Datenverwendung stehen (Weth/Herberger/Wächter/Sorge-Kramer B XI. Rn.-Nr. 9f mit weiteren Nachweisen).

Dabei gilt folgende Regel: Je intensiver in das Persönlichkeitsrecht eingegriffen werden soll, desto schwerer muss der vom Arbeitgeber mit dem Verfahren verfolgte konkrete Zweck wiegen. So wird das Interesse des Arbeitgebers an einer biometrischen Zugangskontrolle zu Bereichen mit sensiblen Geschäfts-, Produktions- und Entwicklungsgeheimissen eher überwiegen als bei einer angestrebten Zugangs-sicherung zu normalen Bürobereichen. So können biometrische Daten zwar zur Kontrolle beim Eintritt in Sicherheitsbereiche, nicht jedoch im Rahmen der Arbeitszeiterfassung verwendet werden (Gola / Heckmann, 13. Auflage 2019, Rn.-Nr. 157 zu § 26 BDSG).

Vorliegend stellt sich die Frage, ob die Arbeitszeiterfassung durch Fingerprint wirklich erforderlich ist. Dabei ist zu berücksichtigen, dass dadurch die Grundrechte und Grundfreiheiten der betroffenen Personen erheblich beeinträchtigt werden. Wenn auch vereinzelt Missbrauch von Zeiterfassungssystemen durch Falscheintragungen oder im Falle einer Stempelkarte durch „mitstempeln“ durch Kollegen auftreten mögen, so ist dennoch in der Regel davon auszugehen, dass sich die weit überwiegende Mehrheit der Arbeitnehmer rechtstreu verhält, also für eine solche Art von Kontrollen keinerlei Anlass gegeben ist, es sei denn, dass konkrete Umstände im Einzelfall (Nachweise über Missbräuche in nicht unerheblichem Umfang) die Erforderlichkeit einer solchen Maßnahme begründen können.

Derartiges hat die Beklagte jedoch nicht vorgetragen. Sie hat weder vorgetragen, dass durch das bisherige „händische“ System der Zeiterfassung erheblicher Missbrauch betrieben worden ist, noch hat sie darlegen können, dass im Fall der Einführung eines anderen Zeiterfassungssystems (ohne die Speicherung biometrischer Daten) Missbrauch in erheblichem Umfang oder auch nur in nennenswertem Umfang zu befürchten ist. Es ist auch nicht dargetan, dass etwa der Kläger in der Vergangenheit durch Falschangaben betreffend seine Arbeitszeit negativ aufgefallen ist.

Nach alledem vermag die Kammer nicht festzustellen, dass vorliegend die Interessen der Beklagten das schutzwürdige Interesse des Klägers an dem Ausschluss der Verarbeitung überwiegen.

Daher sind diese Abmahnungen aus der Personalakte des Klägers zu entfernen."


Den Volltext der Entscheidung finden Sie hier:

EuGH: Videoüberwachung von Gemeinschaftsbereichen eines Wohngebäudes kann zum Schutz und zur Sicherheit von Personen und Eigentum zulässig sein

EuGH
Urteil vom 11.12.2019
C‑708/18
TK gegen Asociaţia de Proprietari bloc M5A-ScaraA


Der EuGH hat entschieden, dass die Videoüberwachung von Gemeinschaftsbereichen eines Wohngebäudes zum Schutz und zur Sicherheit von Personen und Eigentum zulässig sein kann.

Tenor der Entscheidung:

Art. 6 Abs. 1 Buchst. c und Art. 7 Buchst. f der Richtlinie 95/46/EG des Europäischen Parlaments und des Rates vom 24. Oktober 1995 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten und zum freien Datenverkehr sind im Licht der Art. 7 und 8 der Charta der Grundrechte der Europäischen Union dahin auszulegen, dass sie nationalen Vorschriften nicht entgegenstehen, wonach es zulässig ist, ohne Einwilligung der betroffenen Personen ein Videoüberwachungssystem wie das im Ausgangsverfahren in Rede stehende, in den Gemeinschaftsbereichen eines Wohngebäudes installierte einzurichten, um berechtigte Interessen wahrzunehmen, die darin bestehen, den Schutz und die Sicherheit von Personen und Eigentum zu gewährleisten, wenn die mittels dieses Videoüberwachungssystems erfolgende Verarbeitung personenbezogener Daten den Voraussetzungen des Art. 7 Buchst. f entspricht, was zu prüfen Sache des vorlegenden Gerichts ist.

Den Volltext der Entscheidung finden Sie hier:

BfDI: Bußgeld von fast 10 Mio EURO gegen 1&1 - Verstoß gegen Art. 32 DSGVO bei telefonischer Kundenbetreuung - Kundenauthentifizierung bei der Hotline

Der Bundesbeauftragte für den Datenschutz und die Informationsfreiheit (BfDI) gegen die 1&1 Telecom GmbH ein Bußgeld von fast 10 Mio EURO verhängt. Inhaltlich geht es um einen Verstoß gegen Art. 32 DSGVO (Sicherheit der Verarbeitung) bei der telefonischen Kundenbetreuung und der Kundenauthentifizierung gegenüber der Hotline. 1&1 hat bereit rechtliche Schritte gegen den Bescheid angekündigt.

Die Pressemitteilung des BfDI:

BfDI verhängt Geldbußen gegen Telekommunikationsdienstleister

Der Bundesbeauftragte für den Datenschutz und die Informationsfreiheit (BfDI) hat den Telekommunikationsdienstleister 1&1 Telecom GmbH mit einer Geldbuße in Höhe von 9.550.000 Euro belegt.

Das Unternehmen hatte keine hinreichenden technisch-organisatorischen Maßnahmen ergriffen, um zu verhindern, dass Unberechtigte bei der telefonischen Kundenbetreuung Auskünfte zu Kundendaten erhalten können. In einem weiteren Fall sprach der BfDI ein Bußgeld in Höhe von 10.000 Euro gegen die Rapidata GmbH aus.

Dazu sagte der Bundesbeauftragte Ulrich Kelber: Datenschutz ist Grundrechtsschutz. Die ausgesprochenen Geldbußen sind ein klares Zeichen, dass wir diesen Grundrechtsschutz durchsetzen werden. Die europäische Datenschutzgrundverordnung (DSGVO) gibt uns die Möglichkeit, die unzureichende Sicherung von personenbezogenen Daten entscheidend zu ahnden. Wir wenden diese Befugnisse unter Berücksichtigung der gebotenen Angemessenheit an.

Im Fall von 1&1 Telecom GmbH hatte der BfDI Kenntnis erlangt, dass Anrufer bei der Kundenbetreuung des Unternehmens allein schon durch Angabe des Namens und Geburtsdatums eines Kunden weitreichende Informationen zu weiteren personenbezogenen Kundendaten erhalten konnten. In diesem Authentifizierungsverfahren sieht der BfDI einen Verstoß gegen Artikel 32 DSGVO, nach dem das Unternehmen verpflichtet ist, geeignete technische und organisatorische Maßnahmen zu ergreifen, um die Verarbeitung von personenbezogenen Daten systematisch zu schützen.

Nachdem der BfDI den unzureichenden Datenschutz bemängelt hatte, zeigte sich 1&1 Telecom GmbH einsichtig und äußerst kooperativ. In einem ersten Schritt wurde zunächst der Authentifizierungsprozess durch die Abfrage zusätzlicher Angaben stärker abgesichert. In einem weiteren Schritt wird bei der 1&1 Telecom GmbH derzeit und nach Absprache mit dem BfDI ein neues, technisch und datenschutzrechtlich deutlich verbessertes Authentifizierungsverfahren eingeführt.

Ungeachtet dieser Maßnahmen war die Verhängung einer Geldbuße geboten. So war unter anderem der Verstoß nicht nur auf einen geringen Teil der Kunden begrenzt, sondern stellte ein Risiko für den gesamten Kundenbestand dar. Bei der Festsetzung der Höhe der Geldbuße blieb der BfDI aufgrund des während des gesamten Verfahrens kooperativen Verhaltens von 1&1 Telecom GmbH im unteren Bereich des möglichen Bußgeldrahmens.

Der BfDI untersucht aufgrund von eigenen Erkenntnissen, Hinweisen und auch Kundenbeschwerden zudem derzeit die Authentifizierungsprozesse weiterer Anbieter von Telekommunikationsdienstleistungen.

Ein weiteres Verfahren gegen den Telekommunikationsanbieter Rapidata GmbH wurde erforderlich, da das Unternehmen seiner gesetzlichen Auflage nach Artikel 37 DSGVO zur Benennung des betrieblichen Datenschutzbeauftragten trotz mehrmaliger Aufforderung nicht nachgekommen ist. Bei der Höhe der Geldbuße von 10.000 Euro wurde berücksichtigt, dass es sich hierbei um ein Unternehmen aus der Kategorie der Kleinstunternehmen handelt.



VG Ansbach: Kein individueller Anspruch auf Einschreiten der Datenschutzbehörde und Einleitung bestimmter Maßnahmen - keine Anspruchsgrundlage in DSGVO

VG Ansbach
Urteil vom 08.08.2019
AN 14 K 19.00272

Auch das VG Ansbach hat entschieden, dass kein individueller Anspruch auf Einschreiten der Datenschutzbehörde und Einleitung bestimmter Maßnahmen besteht. Die DSGVO enthält keine entsprechende Anspruchsgrundlage.

Aus den Entscheidungsgründen:

"1.2. Die Klage ist als Leistungsklage statthaft. Der Kläger hat einen sehr umfassenden Klageantrag gestellt, und zwar im Schriftsatz vom 9. Februar 2019, ergänzt um sein Begehren im Schriftsatz vom 18. Februar 2019. Letztlich geht es ihm dabei um die Reichweite der inhaltlichen Befassung der Aufsichtsbehörde mit seiner Beschwerde sowie um aufsichtliches Einschreiten des staltung er ins Ermessen des Beklagten unter Beachtung der Rechtsauffassung des Gerichtes stellt.

Der Erwägungsgrund 143 zur DS-GVO besagt, dass ein Verfahren gegen eine Aufsichtsbehörde „im Einklang mit dem Verfahrensrecht“ des Mitgliedstaats durchzuführen ist. Die unionsrechtlichen Grundlagen haben zu den Sondervorgaben des § 20 BDSG (Bundesdatenschutzgesetz) geführt, der aber zunächst auf die allgemeinen Vorschriften der VwGO verweist, § 20 Abs. 2 BDSG.

Beim streitgegenständlichen Schreiben des Beklagten vom 21. Januar 2019 handelt es sich um eine vom Verwaltungsgericht gemäß Art. 78 DS-GVO überprüfbare Maßnahme mit Außenwirkung, jedoch nicht um einen Verwaltungsakt im Sinne von Art. 35 BayVwVfG mit Regelungscharakter, so dass nicht die Anfechtungsklage, sondern die allgemeine Leistungsklage statthaft ist. Der Antrag des Klägers in der Klageschrift ist dahingehend auszulegen, § 88 VwGO.

Ein Verwaltungsakt im Sinne von Art. 35 BayVwVfG setzt eine einseitige Maßnahme eines Hoheitsträgers auf dem Gebiet des öffentlichen Rechts für einen konkreten Einzelfall voraus, die Regelungswirkung mit Außenwirkung entfaltet. Vorliegend fehlt es am Regelungscharakter der Abschlussmitteilung vom 21. Januar 2019.

Das Schreiben des Beklagten vom 21. Januar 2019 ist auch kein sog. feststellender Verwaltungsakt, also ein Bescheid mit der verbindlichen Feststellung eines Rechtsverhältnisses oder sich daraus ergebender Rechte und Pflichten, die mit Rechtsbeständigkeit festgestellt werden sollen (vgl. BayVGH, B.v. 21.3.2002 - 24 ZB 01.592 -, juris). Hier sollte dem Kläger eine Rechtsauskunft erteilt werden, es sollten aber nicht mit verbindlicher Feststellung i.S. des Art. 35 BayVwVfG strittige Rechte oder Pflichten geregelt werden.

Zwar kommt es dafür, ob ein behördliches Schreiben eine verbindliche Regelung durch Verwaltungsakt enthält, auf eine Auslegung nach den im öffentlichen Recht entsprechend anwendbaren Normen der §§ 133, 157 BGB an. Maßgeblich ist also nicht der innere Wille der Behörde, sondern der erklärte Wille, wie ihn der Empfänger bei objektiver Würdigung verstehen konnte, wobei Unklarheiten zu Lasten der Verwaltung gehen. Hier hat der Beklagte lediglich Auskunft darüber gegeben, dass er das Verhalten der Kreissparkasse für Rechtens erachtet und keinen Anlass für ein datenschutzaufsichtliches Einschreiten erkennt, aber nicht zu erkennen gegeben, dass in einer rechtlich ungewissen Situation die Sach- und Rechtslage in diesem Einzelfall durch eine verbindliche Feststellung mit Bindungswirkung als bestehend oder nicht bestehend festgestellt, konkretisiert bzw. individualisiert wird (s. OVG NRW, B.v. 29.9.2016 - 14 B 1056/16 -, juris).

Mangels eines Verwaltungsaktes ist die Rechtsbehelfsbelehrung:des Beklagten im Schreiben vom 21. Januar 2019 unrichtig. Es ist zwar korrekt und durch Art. 77 Abs. 2 DS-GVO sogar geboten, den Kläger auf seine Möglichkeit der Einlegung eines Rechtsmittels hinzuweisen. Die in der Rechtsbehelfsbelehrung:enthaltene Monatsfrist würde aber einen Verwaltungsakt voraussetzen, der nicht vorliegt. Der Antrag des Klägers indes ist nicht auf einen bestimmten Verwaltungsakt des Beklagten, sondern auf ein allgemein aufsichtliches Einschreiten gerichtet (auch im Hilfsantrag), kennzeichnend für eine Leistungsklage. Hätte der Kläger eine ganz konkrete Maßnahme im Sinne eines Verwaltungsaktes vom Beklagten verlangt, hätte er also seine Beschwerde gemäß Art. 77 DS-GVO in diesem Sinne an die Aufsichtsbehörde gerichtet, und hätte der Beklagte diese so gestaltete Beschwerde abgelehnt, wäre die Verpflichtungsklage in Form der Versagungsgegenklage in Frage gekommen. Dann wäre die Ablehnung der Beschwerde als ein Verwaltungsakt zu qualifizieren, der den Erlass eines Verwaltungsaktes ablehnen würde.

Für den Fall, dass es sich bei einer Abschlussmitteilung einer Aufsichtsbehörde nach der DSGVO - wie hier - um keinen Verwaltungsakt handelt, ist die Leistungsklage nach Art. 78 DSGVO statthaft. Das Klagerecht aus Art. 78 Abs. 1 DS-GVO erfasst damit umfassend auch die Ablehnung oder Zurückweisung einer Beschwerde nach Art. 77 DS-GVO (vgl. 143. Erwägungsgrund zur DS-GVO zur Ablehnung oder Abweisung von Beschwerden). Wird eine Maßnahme von der Aufsichtsbehörde erbeten, die ein schlichtes Verwaltungshandeln zum Gegenstand hat, ist die allgemeine Leistungsklage die statthafte Klageart, so dass umfassender Rechtsschutz besteht. Zulässige Streitgegenstände können sämtliche rechtsverbindliche Maßnahmen einer Aufsichtsbehörde sein. Unter rechtsverbindlich i.d.S. sind nicht nur Verwaltungsakte zu verstehen, sondern sämtliche Handlungen, die Außenwirkung besitzen, also Auswirkungen auf die Rechte des Betroffenen oder des Verantwortlichen i.S.d. DS-GVO haben können. Solche Auswirkungen sind auf allen Ebenen eines Verwaltungsverfahrens denkbar.

Die Rechtsansicht des Verwaltungsgerichts Berlin vom 28. Januar 2019 (AZ. VG 1 L 1.19), das bei Beschwerden nach der DS-GVO von Petitionen ausgeht, geht dabei zu weit. Ein eine Petition beantwortendes Schreiben wäre jedenfalls kein Verwaltungsakt im Sinne von § 42 VwGO (BVerwG, B.v. 1.9.1976 - VII B 101.75 -, juris; unstreitig, keine unmittelbare rechtliche Außenwirkung, sondern nur die tatsächliche Erfüllung der Verpflichtung aus Art. 17 GG; kein Gebot der Möglichkeit einer Anfechtungsklage aus Art. 19 Abs. 4 Satz 1 GG). Nach der DS-GVO indes hat der Bürger nicht nur einen Anspruch auf Verbescheidung, sondern ggf. einen Anspruch auf Einschreiten der Aufsichtsbehörde (bei Ermessenreduzierung auf Null, sonst Anspruch auf fehlerfreie Ermessensausübung), die aufgrund Art. 58 DS-GVO umfassende Eingriffskompetenzen hat (i.d.R. im Gegensatz zum Petitionsadressaten). Das Schreiben des Beklagten vom 21. Januar 2019 ist nicht lediglich die Beantwortung einer Petition.

1.3. Es besteht für den Kläger eine Klagebefugnis aus Art. 78 Abs. 1 DS-GVO gegen die Zurückweisung der Beschwerde des Klägers nach Art. 77 DS-GVO. Der Kläger ist ebenso klagebefugt im Sinne des § 42 Abs. 2 VwGO, denn § 42 Abs. 2 VwGO ist für die Klagebefugnis nach herrschender Ansicht analog auf die Leistungsklage anzuwenden, da die Rechtsweggarantie des Art. 19 Abs. 4 GG dann greift, wenn ein Bürger durch die öffentliche Gewalt in seinen subjektiven Rechten verletzt ist. Es ist aber fragwürdig, ob neben Art. 78 DS-GVO (Unionsrecht mit Anwendungsvorrang) § 42 VwGO insoweit überhaupt noch anwendbar ist, da die Betroffenheit in subjektivöffentlichen Rechtspositionen eine namentlich deutsche Zulässigkeitsvoraussetzung für eine Klage darstellt. Da im Hinblick auf Maßnahmen des Art. 58 DS-GVO der Kläger aber auch im Hinblick auf § 42 VwGO möglicherweise in seinen Rechten tangiert sein könnte, wären auch die Voraussetzungen des § 42 VwGO erfüllt, so dass der Kläger jedenfalls klagebefugt ist.

1.4. Aufgrund des Vorliegens einer Leistungsklage war im gegebenen Verfahren keine Klagefrist zu wahren. Die auf eine Monatsfrist hinweisende Rechtsbehelfsbelehrung:in der Abschlussmitteilung des Beklagten vom 21. Januar 2019 ist insofern unrichtig.

1.5. Gemäß § 20 Abs. 5 Satz 1 BDSG sind die Beteiligten eines Verfahrens nach § 20 Abs. 1 Satz 1 BDSG die natürliche Person als Kläger sowie die Aufsichtsbehörde als Beklagter. Der Kläger ist Beteiligter gemäß § 20 Abs. 5 Satz 1 Nr. 1 BDSG. Beklagter ist das Bayerische Landesamt … … Zwar wäre gemäß § 78 Abs. 1 Nr. 1 VwGO die Klage gegen den Rechtsträger des Landesamtes zu richten, hier also gegen den Freistaat Bayern. Vorrangig vor § 78 VwGO ist aber § 20 Abs. 5 Satz 1 Nr. 2 BDSG als lex specialis, wonach die Aufsichtsbehörde direkt als Beklagte beteiligt ist. Mithin liegt eine unionsrechtlich durch die Selbstständigkeit der Aufsichtsbehörde bedingte abweichende bundesrechtliche Spezialregelung vor (so auch Mundil, in BeckOK, Datenschutzrecht, Wolff/Brink, 28. Edition, 1.5.2018, Rn. 5 zu § 20 BDSG, Lapp, in Gola/Heckmann, BDSG, Kommentar, 13. Auflage 2019, Rn 12 zu § 20 BDSG, Bergt in Kühling/Buchner, DS-GVO, BDSG, 2. Auflage 2018, Rn 10 zu § 20 BDSG, a. A. wohl nur Frenzel in Paal/Pauly, DS-GVO/BDSG, 2. Auflage 2018, Rn. 10 zu § 20 BDSG, ohne Begründung hierfür). Die hier zum Ausdruck kommende unionsrechtlich vorgegebene Selbstständigkeit der Aufsichtsbehörde würde im Übrigen, falls es sich beim Schreiben vom 21. Januar 2019 um einen Verwaltungsakt gehandelt hätte, dazu führen, dass gem. § 20 Abs. 6 BDSG kein Vorverfahren stattfindet.

1.6. Im vorliegenden Fall hat das Gericht von einer Beiladung der Kreissparkasse … … … abgesehen. § 20 Abs. 5 BDSG bestimmt, dass natürliche oder juristische Personen Kläger oder Antragsteller (§ 20 Abs. 5 Satz 1 Nummer 1 BDSG) sind und die Aufsichtsbehörden Beklagte oder Antraggegner (§ 20 Abs. 5 Satz 1 Nummer 2 BDSG). In § 20 Abs. 5 Satz 2 BDSG ist aber festgelegt, dass § 63 Nummer 3 und 4 VwGO nicht tangiert wird, was zur Folge hat, dass Beiladungen möglich sind. Zwar ist der Zweck einer Beiladung der der Prozessökonomie und Rechtseinheitlichkeit, wobei hier durch die Schaffung verwaltungsrechtlicher Rechtsbehelfe in den Art. 78 DS-GVO und gleichzeitig der Möglichkeit, gegen den Verantwortlichen selbst gerichtlich vorzugehen, die Existenz sich widersprechender gerichtlicher Entscheidungen für denselben Sachverhalt vom Normgeber in Kauf genommen wird. Der Prozess des Betroffenen gegen die Aufsichtsbehörde, der Prozess ggf. des Verantwortlichen (hier wäre das die Kreissparkasse … … …) gegen die Aufsichtsbehörde sowie der Prozess des Betroffenen gegen den Verantwortlichen haben unterschiedliche Streitgegenstände, da zum Beispiel der Klageantrag gegen die Aufsichtsbehörde aufgrund des weiten Entschließungs- und Auswahlermessens der Aufsichtsbehörde normalerweise nur auf ein aufsichtliches Einschreiten - wie hier - gerichtet ist, wohingegen regelmäßig ein Anfechtungsantrag im Prozess des Verantwortlichen gegen eine Anordnung der Aufsichtsbehörde eine ganz konkrete Maßnahme betrifft.

Es liegt hier kein Fall der notwendigen Beiladung im Sinne des § 65 Abs. 2 VwGO vor, da der für eine notwendige Beiladung erforderliche unmittelbare Eingriff in die Rechtsposition der Kreissparkasse … … … nicht schon durch eine gerichtliche Verpflichtung des Beklagten zum aufsichtlichen Einschreiten gegeben wäre, sondern erst durch dieses Einschreiten selbst, also die Umsetzung durch die Aufsichtsbehörde, die Kreissparkasse … … … unmittelbar betroffen wäre. Die Kreissparkasse … … … ist deshalb an dem streitigen Rechtsverhältnis zwischen dem Kläger und dem Beklagten nicht derart beteiligt, dass die Entscheidung darüber auch ihr gegenüber nur einheitlich ergehen kann, wie § 65 Abs. 2 VwGO es fordert. Vergleichbar ist dies etwa mit der Verpflichtungsklage eines Bauherrn gegen die Bauaufsichtsbehörde auf Einschreiten gegen den Nachbarn, wo gefestigter Rechtsprechung zufolge der Nachbar nicht notwendig beizuladen ist, auch falls er bereits gegen das Bauvorhaben im Verwaltungsverfahren Einwendungen erhoben haben sollte (vgl. statt vieler BVerwG, B.v. 20.5.1992 - 1 B 22.92 -, NVwZ-RR 1993, 18).

Die tatbestandlichen Voraussetzungen einer einfachen Beiladung im Sinne des § 65 Abs. 1 VwGO sind allerdings gegeben, da hier rechtliche Interessen der Kreissparkasse … … … tangiert werden können, und sich die Entscheidung in dieser Verwaltungsstreitsache auf die rechtlichen Interessen der Kreissparkasse auswirken kann. Das Gericht sah von einer Beiladung, die im Ermessen des Gerichts steht, ab, da zum einen beide Beteiligte (Kläger und Beklagter) in der mündlichen Verhandlung eine Beiladung der Kreissparkasse … … … abgelehnt haben, da das Gericht die mögliche Verletzung von Rechten der Kreissparkasse ohnehin von Amts wegen zu prüfen hatte und prüfte, und vor allen Dingen, weil das Gericht in keinem Stadium des Verfahrens davon auszugehen hatte, dass der Beklagte zu einer Maßnahme i.S.d. Art. 58 DS-GVO gegen die Kreissparkasse … … … zu verurteilen ist.

1.7. Die Zuständigkeit des Verwaltungsgerichts Ansbach ergibt sich sachlich aus § 45 VwGO und örtlich aus § 20 Abs. 3 BDSG als Sondervorschrift zu § 52 VwGO. Gemäß § 20 Abs. 3 BDSG (vgl. auch Art. 78 Abs. 3 DS-GVO) ist für Verfahren nach § 20 Abs. 1 Satz 1 BDSG - wie hier - das Verwaltungsgericht örtlich zuständig, in dessen Bezirk die Aufsichtsbehörde ihren Sitz hat, mithin das Verwaltungsgericht Ansbach.

2. Die zulässige Klage ist unbegründet, da der Kläger weder einen Anspruch gegen den Beklagten auf weitere Befassung und Überprüfung seiner Beschwerde nach Art. 78 Abs. 2 DS-GVO i.V.m. Art. 57 DS-GVO hat noch einen Anspruch auf aufsichtliches Einschreiten des Beklagten gegenüber der Kreissparkasse … … … gemäß Art. 58 DS-GVO.

2.1. Der Aufgabenbereich des Art. 57 DS-GVO ist eröffnet. Der Beklagte hat gemäß Art. 78 Abs. 2 DS-GVO in Verbindung mit Art. 57 Abs. 1 Buchst. f DS-GVO die Beschwerde des Klägers in angemessenem Umfang geprüft und dem Kläger rechtzeitig Bescheid gegeben. Ein darüber hinaus gehender Anspruch des Klägers ist nicht ersichtlich.

Mit dem Bayerischen Landesamt … hat die zuständige Datenschutzaufsichtsbehörde gehandelt. Der Anwendungsbereich der DS-GVO war eröffnet. Die Kreissparkasse … … … war sog. Verantwortlicher im Rahmen der Verarbeitung und Speicherung personenbezogener Daten des Klägers (Art. 4 Nr. 2 DS-GVO) im Rahmen einer seit dem Jahre 1985 währenden Geschäftsbeziehung. Es handelt sich durchweg auch um personenbezogene Daten des Klägers, Art. 4 Nr. 1 DS-GVO. In diese Datenverarbeitung und -speicherung hatte der Kläger eingewilligt, Art. 6 Abs. 1 Satz 1 DS-GVO (vgl. Art. 7 und Art. 4 Nr. 11 DSGVO). Die Einwilligung war freiwillig.

Art. 57 Absatz 1 Buchst. a und f DS-GVO, wonach der Beklagte die Anwendung dieser Verordnung überwachen und durchsetzen muss sowie sich mit Beschwerden einer betroffenen Person befassen muss, den Gegenstand der Beschwerde in angemessenem Umfang untersuchen und den Beschwerdeführer innerhalb einer angemessenen Frist über den Fortgang und das Ergebnis der Untersuchung unterrichten muss, wurde vom Beklagten nach Überzeugung des Gerichts beachtet. Zwar können sich aus Art. 57 DS-GVO allein, einer reinen Aufgabennorm, keine subjektivöffentlichen Rechte des Betroffenen ergeben. Art. 57 Abs. 1 Buchst f DS-GVO ist ausschließlich an die Aufsichtsbehörde gerichtet und schafft per se keine subjektivöffentlichen Rechte der Betroffenen. Die Untersuchungspflicht des Art. 57 Abs. 1 Buchst. f DS-GVO ist aber im Gesamtzusammenhang der DS-GVO von hohem Gewicht. Art. 57 Abs. 1 Buchst. f DS-GVO enthält dezidierte Vorgaben zum Verfahren und dessen Umfang, die über Art. 78 Abs. 2 DSGVO zu einem Rechtsanspruch des Betroffenen führen können (so wohl auch Kühling/Buchner/Boehm, DS-GVO, 2. Aufl. 2018, Art. 57 Rn. 12: „dem Bestehen eines Rechtsanspruchs ähnlich“, „weil die Vorschrift im Zusammenhang mit Art. 78 Abs. 2“ zu sehen ist), demzufolge jede betroffene Person unbeschadet eines anderweitigen verwaltungsrechtlichen oder außergerichtlichen Rechtbehelfs das Recht auf einen wirksamen gerichtlichen Rechtsbehelf hat, wenn die nach den Art. 55 f. DS-GVO zuständige Aufsichtsbehörde sich nicht mit einer Beschwerde befasst oder die betroffene Person nicht innerhalb von drei Monaten über den Stand oder das Ergebnis der gemäß Art. 77 DS-GVO erhobenen Beschwerde in Kenntnis gesetzt hat. Gemäß Art. 57 Abs. 1 Buchst. f DS-GVO hat der Beklagte den Kläger innerhalb einer angemessenen Frist über den Fortgang und das Ergebnis der Untersuchung mit Schreiben vom 21. Januar 2019 unterrichtet, und zwar unter Beachtung von Art. 78 Abs. 2 DS-GVO, wonach der Beschwerdeführer spätestens innerhalb von drei Monaten über den Sachstand informiert werden muss.

Die Unterscheidung der DS-GVO von Aufgabennorm, Art. 57 DS-GVO, und Befugnisnorm, Art. 58 DS-GVO, ähnelt der Aufteilung im Sicherheits- und Polizeirecht. Im Bereich der DS-GVO besteht aber eine Besonderheit: Art. 57 DS-GVO, der ohnehin nicht abschließend Aufgaben normiert (vgl. Art. 57 Abs. 1 Buchst. v) ist in seiner Umfassendheit zum Beispiel nicht vergleichbar mit Art. 2 Bayerisches Polizeiaufgabengesetz (BayPAG), weil er bei der Aufgabenzuweisung dezidiert auf eine „Angemessenheit“ abstellt. Die Behandlung von individuellen Beschwerden wie hier ist unionsrechtlich restriktiv geregelt (vgl. auch Erwägungsgrund 141 Satz 2 zur DSGVO). Zwar ist es eine der vorrangigsten Aufgaben des Beklagten, Beschwerden von Betroffenen nach Art. 77 DS-GVO zu bearbeiten, zumal für die Aufsichtsbehörden (ähnlich wie für die Polizei) Hinweise und Beschwerden von Bürgern zur Erfüllung ihrer Aufgaben unverzichtbar sind. Allerdings nimmt Art. 57 Abs. 1 Buchst. f DS-GVO unzweifelhaft mit der Formulierung „in angemessenem Umfang“ auf die Ressourcen und Möglichkeiten der Aufsichtsbehörden Rücksicht. Die Angemessenheit der Untersuchung richtet sich auch nach der Schwere des Eingriffs in Rechte des Betroffenen.

2.2. Der Kläger hat keinen Anspruch auf behördliches Einschreiten nach Art. 58 DS-GVO. Ein solches scheidet bereits deshalb aus, weil sich nach Befassung und Prüfung im Rahmen des Art. 57 DS-GVO keine Anhaltspunkte ergeben haben, die ein Einschreiten nach Art. 58 DS-GVO nahelegten. Ein Datenschutzrechtsverstoß des Verantwortlichen hat sich nicht aufgedrängt. Die Abschlussmitteilung des Beklagten vom 21. Januar 2019 ist damit inhaltlich nicht zu beanstanden.

Art. 58 DS-GVO regelt das Verhältnis Aufsichtsbehörde zu Datenverantwortlichem. Ein Anspruch auf aufsichtliches Einschreiten des Betroffenen ist ähnlich wie im Sicherheits- und Polizeirecht (vgl. BVerwGE 11, 95, 97) grundsätzlich anzuerkennen, jedoch nur im Falle einer (möglichen) Verletzung von eigenen Rechten sowie (kumulativ) einer Reduktion des Ermessens auf Null, so dass mithin allenfalls regelmäßig nur ein subjektivöffentliches Recht auf fehlerfreie Ermessensausübung besteht.

Neben dem Auswahlermessen besteht für den Beklagten auch hinsichtlich des Entschlusses zum Tätigwerden ein Entschließungsermessen (vgl. das Wort „gestattet“ in Art. 58 Abs. 1 und 2 DS-GVO). Zwar sieht Art. 58 Abs. 2 DS-GVO ein Bündel verschiedener, zum Teil weitreichender Maßnahmen vor, das dem Beklagten zu Gebote steht. Die Aufsichtsbehörde entscheidet dann, ob sie beispielsweise von dem Verantwortlichen gemäß Art. 58 Abs. 1 Buchst. a eine Stellungnahme einfordert, eine Kontrolle vor Ort gemäß Art. 58 Abs. 1 Buchst. f vornimmt, oder wie hier über den Sachverhalt bereits aufgrund der vom Kläger vorgelegten Informationen und Abschriften entscheidet. Der Kläger hat grundsätzlich einen Anspruch auf Wahrung des Transparenzgebotes des Art. 12 DS-GVO, auf Auskunft gemäß Art. 15 DS-GVO, darauf, dass gemäß Art. 5 Abs. 1 Buchst. a DS-GVO seine personenbezogenen Daten auf rechtmäßige Weise, nach Treu und Glauben und in einer für ihn nachvollziehbaren Weise verarbeitet werden.

Der Kläger hätte im Übrigen selbst bei Vorliegen eines festgestellten oder wahrscheinlichen Verstoßes gegen die DS-GVO indes nur einen Anspruch auf fehlerfreie Ermessensausübung hinsichtlich einer Maßnahme des Beklagten nach Art. 58 DS-GVO, aber keinen Anspruch auf bestimmte aufsichtsrechtliche Maßnahmen gegen die Kreissparkasse (so auch Gola/Nguyen, DS-GVO, 2. Aufl. 2018, Art. 57 Rn. 10 m.w.N.; außer im Fall der Ermessensreduzierung auf Null), wobei dann im Rahmen des Art. 58 DS-GVO die Aufsichtsbehörde wie erwähnt ein weites Entschließungs- und Auswahlermessen hat und Art. 58 Abs. 2 DS-GVO mit den unterschiedlich gestuften Maßnahmen dem Grundsatz der Verhältnismäßigkeit gerecht wird (vgl. Art. 58 Abs. 2 Buchst. a, b, d als mildere Maßnahmen im Vergleich zu Art. 58 Abs. 2 Buchst. f DS-GVO, so Ingold JuS 2018, 1214, 1217).

Eine Ermessensreduktion auf Null kommt nur in Betracht, wenn ein Datenschutzrechtsverstoß naheliegt bzw. sich aufdrängen muss, d.h. es müssen Tatsachen vorliegen, die einen Verstoß gegen datenschutzrechtliche Vorschriften als wahrscheinlich erscheinen lassen und wenn dieser Verstoß von einer Schwere ist, die ein Einschreiten der Aufsichtsbehörde als erforderlich erscheinen lässt. Vor dem Hintergrund dieses Maßstabes ist hier von keinem Anspruch auf Einschreiten nach Art. 58 DS-GVO auszugehen: Die Einwände des Klägers gegen die Vorgehensweise des Beklagten in den Schriftsätzen sowie in der mündlichen Verhandlung greifen in der Sache nicht durch. Die Kreissparkasse … … … hat ausführlich auf die Anfragen des Klägers reagiert, alle erdenklichen Auskünfte erteilt und ebenso ihre Bereitschaft zu weiteren Auskünften zugesagt. Daher ist es nicht so, dass der Kläger, wie behauptet, seine Daten nicht vollständig erhält. Auf seine Bitte um eine Vervollständigung der Auskunft vom 30. Juli 2017 hat die Kreissparkasse … … … ihm mit Schreiben vom 2. Oktober 2018 wunschgemäß weitere Angaben gemacht, wobei die Auskunft vom 30. Juli 2018 bereits den gesetzlichen Anforderungen genügte. Es ist nicht erkennbar, worin hier ein Verstoß gegen das Transparenzgebot des Art. 12 DS-GVO vorliegen sollte. Die Vorgehensweise und Praxis der Kreissparkasse … … … entsprechen dem Erwägungsgrund 39 zur DS-GVO, da die Verarbeitung personenbezogener Daten des Klägers rechtmäßig und nach Treu und Glauben erfolgte sowie die Auskunft an den Kläger gemäß Art. 15 DS-GVO korrekt war. Gemäß Art. 5 Abs. 1 Buchst. a DS-GVO sind seine personenbezogenen Daten auf rechtmäßige Weise, nach Treu und Glauben und in einer für ihn nachvollziehbaren Weise verarbeitet worden. Die falsche Berufsbezeichnung des Klägers wurde seitens der Kreissparkasse in Anwendung von Art. 5 Abs. 1 Buchst. d DS-GVO sofort berichtigt. Die Abspeicherung des abgelaufenen Passes des Klägers von 1988, der bei Begründung des Vertragsverhältnisses 1985 die gültige, vom Kläger vorgelegte, Legitimation war, ist insbesondere kein Verstoß gegen Art. 15 Abs. 1 Buchst. d DS-GVO, sondern gerechtfertigt durch Art. 17 Abs. 1 Buchst. a DS-GVO, da die Kreissparkasse … … … zum Zugang des Klägers auf seine Daten dessen Legitimationsgrundlage verfügbar haben muss(te). Nichts anderes ergibt sich aus dem Erwägungsgrund 39 zur DS-GVO. Es ist auch nicht notwendig, dass die Kreissparkasse … … … durch ihre eigenen Bediensteten Kenntnisse von der Verarbeitung von elektronischen Kundenunterschriften hat. Es ist üblich und datenschutzrechtlich sowohl korrekt als auch unbedenklich, wenn sich Unternehmen weiterer Dienstleistungen Dritter bedienen, solange sie datenschutzrechtlich - wie hier - die Datensicherheit gewährleisten können; zumindest bestehen für eine gegenteilige Annahme keinerlei Anhaltspunkte."


Den Volltext der Entscheidung finden Sie hier:

Volltext BVerwG liegt vor: Datenschutzbehörden können grundsätzlich Facebook-Nutzern das Betreiben einer Facebook-Fanpage untersagen

BVerwG
Urteil vom 11.09.2019
6 C 15.18

Wir hatten bereits in dem Beitrag BVerwG: Vorinstanz muss Datenverarbeitungsvorgänge erneut prüfen - aber Datenschutzbehörden können grundsätzlich Facebook-Nutzern das Betreiben einer Facebook-Fanpage untersagen - Keine Verpflichtung primär gegen Facebook vorzugehen über die Entscheidung berichtet.

Aus den Entscheidungsgründen:

"Die zulässige Revision des Beklagten ist mit der Maßgabe begründet, dass das Berufungsurteil aufzuheben und die Sache an das Oberverwaltungsgericht zurückzuverweisen ist. Das Berufungsurteil beruht auf einer Verletzung revisiblen Rechts im Sinne des § 137 Abs. 1 Nr. 1 VwGO, soweit es § 38 Abs. 5 Satz 1 und 2 des Bundesdatenschutzgesetzes (BDSG) vom 20. Dezember 1990 (BGBl. I S. 2954) i.d.F. der Bekanntmachung vom 14. Januar 2003 (BGBl. I S. 66), für den hier maßgeblichen Zeitraum zuletzt geändert durch Art. 1 des Gesetzes zur Änderung datenschutzrechtlicher Vorschriften vom 14. August 2009 (BGBl. I S. 2814) - BDSG a.F. - entnimmt, dass für das dort vorgegebene gestufte Vorgehen unterschiedliche Adressaten in die Betrachtung einzubeziehen sind (1). Mit Bundesrecht unvereinbar ist nach den bindenden Vorgaben des Gerichtshofs der Europäischen Union (EuGH) auch der Maßstab, mit dem das Berufungsurteil die datenschutzrechtliche Verantwortlichkeit der Klägerin nach § 3 Abs. 7 BDSG a.F., Art. 2 Buchst. d der Richtlinie 95/46/EG des Europäischen Parlaments und des Rates vom 24. Oktober 1995 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten und zum freien Datenverkehr (ABI. L 281 S. 31, ber. 2017 L 40 S. 78) - Datenschutzrichtlinie - beurteilt hat (2). Das Berufungsurteil erweist sich auch nicht aus anderen Gründen im Ergebnis als richtig (§ 144 Abs. 4 VwGO). Der Beklagte hat auf die streitigen Datenverarbeitungen zu Recht deutsches Datenschutzrecht angewandt (3) und sein Ermessen bei der Auswahl der Klägerin als Adressatin des Bescheids und bei der Anordnung einer Deaktivierung der Fanpage rechtmäßig ausgeübt (4). Da die Feststellungen des Berufungsgerichts nicht ausreichen, um die Rechtmäßigkeit der Datenverarbeitungsvorgänge zu beurteilen, war das Berufungsurteil aufzuheben und die Sache zur anderweitigen Verhandlung und Entscheidung an das Berufungsgericht zurückzuverweisen (§ 144 Abs. 3 Satz 1 Nr. 2 VwGO) (5).

1. Das Berufungsgericht hat seiner Beurteilung zutreffend die Sach- und Rechtslage im Zeitpunkt der letzten Verwaltungsentscheidung, hier des Widerspruchsbescheids vom 16. Dezember 2011, zugrunde gelegt. Die Rechtmäßigkeit von Anordnungen zur Beseitigung datenschutzrechtlicher Verstöße nach § 38 Abs. 5 BDSG a.F. ist nach der Rechtslage zu beurteilen, die zum Zeitpunkt der letzten behördlichen Entscheidung gilt. Nachträgliche Rechtsänderungen sind nicht zu berücksichtigen (BVerwG, Vorlagebeschluss vom 25. Februar 2016 -1 C 28.14 - Buchholz 403.1 Allg. DatenschutzR Nr. 18 Rn. 17; vgl. dazu auch Urteil vom 27. März 2019 - 6 C 2.18 - NJW 2019, 2556 Rn. 7).

Auch ist die an die Klägerin gerichtete Anordnung, ihre Fanpage zu deaktivieren, nach dem Eingriffsgewicht nicht als Mängelbeseitigung im Sinne des § 38 Abs. 5 Satz 1 BDSG a.F., sondern als Untersagung des Einsatzes eines Verfahrens nach § 38 Abs. 5 Satz 2 BDSG a.F. zu werten. Deshalb ist sie zusätzlich zu den Voraussetzungen des Satzes 1 den gesteigerten Anforderungen des Satzes 2 der Vorschrift zu unterwerfen (BVerwG, Vorlagebeschluss vom 25. Februar 2016 - 1 C 28.14 - Buchholz 403.1 Allg. DatenschutzR Nr. 18 Rn. 22). Dem Umstand, dass der angefochtene Bescheid in der Titelzeile auf Satz 1 dieser Bestimmung Bezug nimmt, hat das Berufungsgericht zu Recht keine Bedeutung beigemessen. Der Bescheid ist im verfügenden Teil ausdrücklich auf die Norm des § 38 Abs. 5 BDSG a.F. gestützt und rekurriert auf die Satz 1 und 2 umfassende Befugnisnorm. Der Bescheid wählt daher entgegen dem Vorbringen der Beigeladenen weder eine unzutreffende Rechtsgrundlage noch bedarf es eines Austausches der Rechtsgrundlage oder einer Umdeutung.

§ 38 Abs. 5 Satz 1 und 2 BDSG a.F. verlangt nach seinem Wortlaut ein gestuftes Vorgehen der Aufsichtsbehörden. Er verpflichtet sie, zunächst die Beseitigung datenschutzrechtlicher Verstöße oder Mängel anzuordnen und dies erforderlichenfalls durch die Verhängung eines Zwangsgelds durchzusetzen. Erst wenn diese Instrumente nicht in angemessener Zeit zur Herstellung datenschutzkonformer Zustände führen, kann die Aufsichtsbehörde die Untersagung einer Datenverarbeitung oder eines Datenverarbeitungsverfahrens aussprechen. Damit erweist sich die Normstruktur des § 38 Abs. 5 Satz 1 und 2 BDSG a.F. als eine ausdrückliche Ausprägung des Grundsatzes der Verhältnismäßigkeit. Eben dieser Grundsatz gebietet aber dann eine Ausnahme, wenn die fehlende Eignung einer Anordnung nach Satz 1 zur Herstellung datenschutzkonformer Zustände bereits feststeht (BVerwG, Vorlagebeschluss vom 25. Februar 2016 -1 C 28.14 - Buchholz 403.1 Allg. DatenschutzR Nr. 18 Rn. 22). Das Datenschutzrecht zwingt die Aufsichtsbehörden nicht zu einem objektiv sinn- und zwecklosen Vorgehen.

Allerdings erweist sich die Rechtsauffassung des Berufungsgerichts insoweit als unzutreffend, als es auch die Frage der Adressatenauswahl in die Stufenfolge des § 38 Abs. 5 Satz 1 und 2 BDSG a.F. einbezieht. Die Ermächtigungsgrundlage des § 38 Abs. 5 BDSG a.F. ist zwar adressatenoffen ausgestaltet, sie steuert mit der Vorgabe eines stufenweisen Einschreitens aber nicht die Auswahl zwischen verschiedenen nach dem materiellen Recht Pflichtigen. Weder kann die Aufsichtsbehörde bei einem Vorgehen nach § 38 Abs. 5 Satz 2 BDSG a.F. auf ein erfolgloses Einschreiten nach Satz 1 gegenüber einem Dritten verweisen, noch muss sie, soweit ein gestuftes Vorgehen ausnahmsweise entbehrlich ist, zunächst gegenüber anderen oder gar sämtlichen Normadressaten Maßnahmen nach § 38 Abs. 5 Satz 1 BDSG a.F. ergreifen. Die ermessensgerechte Adressatenauswahl ist vielmehr der Frage, welche Maßnahme nach der Stufenfolge des § 38 Abs. 5 BDSG a.F. angeordnet werden kann, vorgelagert.

2. Mit dem revisiblen Recht im Sinne des § 137 Abs. 1 Nr. 1 VwGO nicht im Einklang steht die Auslegung des Begriffs der verantwortlichen Stelle im Sinne von § 3 Abs. 7 BDSG a.F. durch das Berufungsgericht. Er ist unionsrechtskonform dahingehend zu verstehen, dass er auch Stellen erfasst, die anderen die Gelegenheit der Datenverarbeitung einräumen, ohne selbst damit befasst zu sein.

a. Der EuGH hat in seinem in der vorliegenden Sache ergangenen Urteil vom 5. Juni 2018 - C-210/16 - JZ 2018, 1154 Rn. 44 rechtskräftig festgestellt, dass der Begriff des für die Verarbeitung Verantwortlichen in Art. 2 Buchst. d der Datenschutzrichtlinie den Betreiber einer bei einem sozialen Netzwerk unterhaltenen Fanpage umfasst. Im Lichte des Ziels der Datenschutzrichtlinie, ein hohes Niveau des Schutzes der Grundfreiheiten und Grundrechte natürlicher Personen, insbesondere ihrer Privatsphäre, bei der Verarbeitung personenbezogener Daten zu gewährleisten, ist der Begriff des für die Verarbeitung Verantwortlichen in Art. 2 Buchst. d der Datenschutzrichtlinie weit definiert als natürliche oder juristische Person, Behörde, Einrichtung oder jede andere Stelle, die allein oder gemeinsam mit anderen über die Zwecke und Mittel der Verarbeitung von personenbezogenen Daten entscheidet (EuGH, Urteil vom 5. Juni 2018 a.a.O. Rn. 27). Der EuGH stützt sich maßgeblich auf die Erwägung, dass der Betreiber einer auf Facebook unterhaltenen Fanpage mit der Einrichtung einer solchen Seite Facebook die Möglichkeit gibt, auf dem Computer oder jedem anderen Gerät der Person, die seine Fanpage besucht hat, Cookies zu platzieren, unabhängig davon, ob diese Person über ein Facebook-Konto verfügt (EuGH, Urteil vom 5. Juni 2018 a.a.O. Rn. 35). Damit leistet der Betreiber einen maßgeblichen Beitrag zur Verarbeitung personenbezogener Daten der Besucher der Fanpage (EuGH, Urteil vom 5. Juni 2018 a.a.O. Rn. 36). Hinzu kommt, dass die von Facebook aus den Daten erstellten anonymen Besucherstatistiken dem Betreiber ganz allgemein ermöglichen, sein Informationsangebot so zielgerichtet wie möglich zu gestalten (EuGH, Urteil vom 5. Juni 2018 a.a.O. Rn. 37). Für die Bejahung einer datenschutzrechtlichen Verantwortlichkeit ist nicht erforderlich, dass bei einer gemeinsamen Verantwortlichkeit mehrerer Betreiber für dieselbe Verarbeitung jeder Zugang zu den betreffenden personenbezogenen Daten hat (EuGH, Urteil vom 5. Juni 2018 a.a.O. Rn. 38). Daher ist der Betreiber einer Fanpage an der Entscheidung über die Zwecke und Mittel der Verarbeitung der personenbezogenen Daten der Besucher seiner Fanpage beteiligt und ein für diese Verarbeitung Verantwortlicher im Sinne von Art. 2 Buchst. d der Datenschutzrichtlinie (EuGH, Urteil vom 5. Juni 2018 a.a.O. Rn. 39). Der Umstand, dass ein Betreiber einer Fanpage die von Facebook eingerichtete Plattform nutzt, um die dazugehörigen Dienstleistungen in Anspruch zu nehmen, kann diesen nicht von der Beachtung seiner Verpflichtungen im Bereich des Schutzes personenbezogener Daten befreien (EuGH, Urteil vom 5. Juni 2018 a.a.O. Rn. 40).

Eine erneute Vorlage an den EuGH wegen der Reichweite der datenschutzrechtlichen Verantwortlichkeit kommt nicht in Betracht. Denn das Bundesverwaltungsgericht ist als vorlegendes Gericht bei der Entscheidung des Rechtsstreits an die Auslegung des Unionsrechts durch den EuGH im Vorabentscheidungsverfahren gebunden (stRpsr vgl. EuGH, Beschluss vom 5. März 1986 - C-69/85, Wünsche - Rn. 13). Weder das Bundesverwaltungsgericht noch das Oberverwaltungsgericht als weitere zur Entscheidung berufene Gerichte des Instanzenzugs sind befugt, von der Antwort der entschiedenen Frage in ihren Entscheidungen abzuweichen (Rennert, in: Eyermann, VwGO, 15. Aufl. 2019, § 94 Rn. 27; Ehricke, in: Streinz, EUV/AEUV, 3. Aufl. 2018, Art. 267 AEUV Rn. 68). Das Vorbringen der Beigeladenen, das Urteil des EuGH beruhe auf einem unzutreffenden Sachverhalt, ist schon aus diesem Grund unerheblich. Auch das Vorbringen der Klägerin im Nachgang zum Urteil des EuGH vom 29. Juli 2019 - C-40/17, Fashion ID -, es müsse eine isolierte Betrachtung der Verantwortlichkeit für nachgelagerte Verarbeitungsschritte stattfinden, ist mit der dargestellten Rechtsprechung des EuGH nicht in Einklang zu bringen.

b. Aufgrund des Anwendungsvorrangs des Unionsrechts ist der Begriff der verantwortlichen Stelle im Sinne von § 3 Abs. 7 BDSG a.F. unionsrechtskonform entsprechend der Vorgabe des Art. 2 Buchst. d der Datenschutzrichtlinie auszulegen (BVerwG, Vorlagebeschluss vom 25. Februar 2016 - 1C 28.14 - Buchholz 403.1 Allg. DatenschutzR Nr. 18 Rn. 27; vgl. zur Notwendigkeit einer europarechtskonformen Auslegung auch Petri, in: Simitis/Hornung/Spiecker, Datenschutzrecht, 1. Aufl. 2019, Art. 4 Nr. 7 Rn. 20; Hartung, in: Kühling/Buchner, DSGVO/BSDG, 2. Aufl. 2018, DSGVO Art. 4 Nr. 7 Rn. 3). Die Klägerin ist daher als Betreiberin ihrer bei Facebook unterhaltenen Fanpage verantwortliche Stelle im Sinne des § 3 Abs. 7 BDSG a.F. und damit mögliche Adressatin einer auf § 38 Abs. 5 BDSG a.F. gestützten Anordnung. Die personale Reichweite der Eingriffsbefugnis folgt hier der materiellrechtlichen Pflichtigkeit (BVerwG, Vorlagebeschluss vom 25. Februar 2016 - 1 C 28.14 - a.a.O. Rn. 22).

3. Das Berufungsurteil kann auch nicht deshalb Bestand haben, weil es sich aus anderen Gründen als richtig erweist (§ 144 Abs. 4 VwGO). Der Beklagte hat auf die beanstandeten Datenverarbeitungsvorgänge durch Facebook zu Recht deutsches Datenschutzrecht, insbesondere die § 13 Abs. 1 Satz 1, § 15 Abs. 3 Satz 1 und 2 des Telemediengesetzes (TMG) in der Fassung des Art. 1 des Gesetzes zur Vereinheitlichung von Vorschriften über bestimmte elektronische Informationsund Kommunikationsdienste vom 26. Februar 2007 (BGBl. I S. 179), für den hier maßgeblichen Zeitraum zuletzt geändert durch das Erste Gesetz zur Änderung des Telemediengesetzes vom 31. Mai 2010 (BGBl. I S. 692) - TMG a.F. - angewandt.

a. Nach Art. 4 Abs. 1 Buchst. a Satz 1 Datenschutzrichtlinie wendet jeder Mitgliedstaat die zur Umsetzung dieser Richtlinie erlassenen Vorschriften auf alle Datenverarbeitungen an, die im Rahmen der Tätigkeit einer Niederlassung ausgeführt werden, die der für die Verarbeitung Verantwortliche im Hoheitsgebiet des Mitgliedstaats besitzt. Damit müssen zwei Voraussetzungen vorliegen, damit das Datenschutzrecht eines Mitgliedstaats der Europäischen Union auf eine Verarbeitung (Erhebung und Nutzung) personenbezogener Daten Anwendung findet: Erstens muss ein Verantwortlicher für die Datenverarbeitung eine Niederlassung in diesem Mitgliedstaat haben. Zweitens muss die Tätigkeit dieser Niederlassung in Verbindung mit der Datenverarbeitung stehen. Diese Verbindung setzt nicht voraus, dass die Niederlassung selbst in den Vorgang der Datenverarbeitung einbezogen ist. Vielmehr hält der EuGH unter Verweis auf die Gewährleistung eines möglichst hohen Niveaus des Datenschutzes jeden Bezug ihrer Tätigkeit zur Datenverarbeitung für ausreichend (EuGH, Urteil vom 5. Juni 2018 - C-210/16 - JZ 2018,1154 Rn. 56 ff.). Der EuGH stellt darauf ab, ob die Tätigkeit der Niederlassung und die Datenverarbeitung Bestandteile eines Vorgangs sind, der wirtschaftlich einheitlich zu betrachten ist.

b. Für die vorliegend streitigen Datenverarbeitungen sind nach den bindenden Vorgaben des EuGH im Vorabentscheidungsverfahren (EuGH, Urteil vom 5. Juni 2018 - C-210/16 - JZ 2018, 1154 Rn. 54 - 62) beide Voraussetzungen des Art. 4 Abs. 1 Buchst. a der Datenschutzrichtlinie erfüllt. Die amerikanische Muttergesellschaft Facebook Inc. als gemeinsam mit der Beigeladenen für die Verarbeitung im Rahmen des Sozialen Netzwerks Facebook Verantwortliche unterhält in Irland mit der Beigeladenen und in Deutschland mit der Facebook Germany GmbH dauerhafte Niederlassungen, die effektiv und tatsächlich Tätigkeiten ausüben (EuGH, Urteil vom 5. Juni 2018 a.a.O. Rn. 55). Die beanstandeten Datenverarbeitungen sind auch als im Rahmen der Tätigkeit der Facebook Germany GmbH ausgeführt anzusehen, weil diese die Aufgabe hat, den Verkauf der Werbeflächen zu fördern, mit denen die von Facebook angebotenen Dienstleistungen rentabel gemacht werden sollen (EuGH, Urteil vom 5. Juni 2018 a.a.O. Rn. 60). Auf die bei Aufruf der Fanpage durch Facebook vorgenommenen Datenverarbeitungen ist daher materielles deutsches Datenschutzrecht anzuwenden (EuGH, Urteil vom 5. Juni 2018 a.a.O. Rn. 61).

c. Zu dem danach anwendbaren Recht zählen auch die vom Beklagten herangezogenen Vorschriften des Telemediengesetzes. Nach § 3 Abs. 3 Nr. 4 TMG a.F. bestimmt sich die Anwendbarkeit des für den Schutz personenbezogener Daten geltenden Rechts nicht nach dem für Dienstanbieter in § 3 Abs. 1 und 2 TMG a.F. geregelten Herkunftslandprinzip, sondern nach den allgemeinen Kollisionsvorschriften der Datenschutzrichtlinie und des Bundesdatenschutzgesetzes a.F. (Moos, in: Taeger/Gabel, BDSG, 2. Aufl. 2013, Einführung zum TMG Rn. 11; Jotzo, MMR 2009, 232 <234>). Daher kommen vorliegend für die streitgegenständlichen Verarbeitungsvorgänge gemäß § 1 Abs. 5 BDSG a.F., Art. 4 Abs. 1 Buchst. a Satz 2 Datenschutzrichtlinie die §§ 11 ff. TMG a.F. zur Anwendung.

4. Für den Fall, dass eine mit schwerwiegenden Mängeln behaftete datenschutzrechtswidrige Erhebung und Verarbeitung der Nutzerdaten vorliegt, ist die Ausübung des Ermessens im Rahmen des § 38 Abs. 5 BDSG a.F. durch den Beklagten nicht zu beanstanden (§ 114 Satz 1 VwGO).

a. Für die Ausübung aufsichtlicher Eingriffsbefugnisse nach § 38 Abs. 5 BDSG a.F. bedarf es im Falle mehrerer datenschutzrechtlich Verantwortlicher einer Ermessensausübung im Hinblick auf die Auswahl des Adressaten. Aus der Datenschutzrichtlinie ergibt sich nichts Abweichendes: Die nationalen Kontrollstellen haben ihre Befugnisse aus § 38 Abs. 5 BDSG a.F. ungeachtet der europarechtlichen Verankerung in Art. 28 Abs. 3 der Datenschutzrichtlinie unter Wahrung der nach dem für sie maßgeblichen nationalen Verwaltungsverfahrensrecht und der dortigen Vorgaben zum Ermessen auszuüben. Dabei haben sie ihr nationales Recht im Einklang mit der Datenschutzrichtlinie auszulegen und darauf zu achten, dass sie sich nicht auf eine Auslegung dieser Richtlinie stützen, die mit den durch die Gemeinschaftsrechtsordnung geschützten Grundrechten oder den anderen allgemeinen Grundsätzen des Gemeinschaftsrechts, wie dem Grundsatz der Verhältnismäßigkeit, kollidiert (EuGH, Urteil vom 6. November 2003 - C-101/01, Lindqvist - Rn. 87). Stehen einer nationalen Kontrollbehörde infolge einer gemeinsamen Verantwortlichkeit mehrere potentielle Adressaten für eine Abhilfemaßnahme zur Verfügung, so ist unter Beachtung des Grundsatzes der Verhältnismäßigkeit eine Ermessensentscheidung erforderlich, wenn bereits die Inanspruchnahme nur eines Adressaten den Anlass für das Einschreiten beseitigen könnte (Schreiber, ZD 2019, 55 <59> m.w.N.). Auch § 38 Abs. 5 BDSG a.F. selbst bietet keinen Ansatz dafür, dass diese Befugnisnorm im Rahmen der Ermessensausübung einen Rückgriff auf die allgemeinen Grundsätze der Störerauswahl ausschließen würde.

b. Der Beklagte hat sein Ermessen bei der Auswahl der Klägerin als Adressatin des Bescheids ungeachtet der Frage, ob auch ein Vorgehen gegen Unternehmen des Facebook-Konzerns rechtlich möglich gewesen wäre, rechtmäßig ausgeübt. Er hat vor Erlass des Bescheids mit Facebook erfolglos Gespräche darüber geführt, welche technischen Vorkehrungen für einen datenschutzkonformen Betrieb einer Fanpage in Betracht kämen (vgl. S. 4 des angefochtenen Bescheids). Daher hat er ein Vorgehen gegen Facebook tatsächlich in Erwägung gezogen, dann aber einer Inanspruchnahme der Klägerin aus sachlichen Gründen den Vorzug gegeben. Für die Auswahl unter mehreren datenschutzrechtlich Verantwortlichen erweist sich der das Gefahrenabwehrrecht beherrschende Gedanke der Effektivität als legitim. Die Behörde kann sich bei der Auswahl unter mehreren in Betracht kommenden Adressaten von der Erwägung leiten lassen, dass ein rechtswidriger Zustand durch die Inanspruchnahme eines bestimmten Adressaten schneller oder wirksamer beseitigt werden kann (zum allgemeinen Polizeirecht Denninger, in: Lisken/Denninger, Handbuch des Polizeirechts, 6. Aufl. 2018, D. Polizeiaufgaben, Rn. 133; zur Adressatenwahl im Eisenbahnrecht: BVerwG, Urteil vom 9. September 2015 - 6 C 28.14 - BVerwGE 153, 1 Rn. 32; im Umweltrecht: Sparwasser/Heilshorn, in: Landmann/Rohmer, Umweltrecht, Band III, Stand Februar 2019, § 14 BImSchG Rn. 45).

Auch im Bereich des Datenschutzes kann es das Gebot einer effektiven und wirkungsvollen Gefahrenabwehr rechtfertigen, denjenigen Verantwortlichen heranzuziehen, dessen Pflichtigkeit sich ohne weiteres bejahen lässt und dem effektive Mittel zum Abstellen des Verstoßes zur Verfügung stehen. Daher war der Beklagte vor dem Hintergrund der im Zeitpunkt der Widerspruchsentscheidung fehlenden Kooperationsbereitschaft der Beigeladenen, den unklaren Binnenstrukturen der Facebook-Unternehmensgruppe, der damit verknüpften Frage, welches nationale Datenschutzrecht für die Beigeladene Anwendung findet und welche Möglichkeiten für die Durchsetzung eines solchen Bescheids bestehen, aus Gründen der Effektivität nicht gehalten, vor einer Inanspruchnahme der Klägerin seine rechtlichen und tatsächlichen Möglichkeiten eines Vorgehens gegen ein Unternehmen der Facebook-Unternehmensfamilie umfassend zu klären. Vielmehr war die Deaktivierungsanordnung gegenüber der Klägerin auch geeignet, die Beigeladene über den Einzelfall der Klägerin hinaus unter Zugzwang zu setzen. Hat diese Maßnahme Bestand, so wird sich Facebook um eine datenschutzrechtskonforme Lösung bemühen müssen, um sein Geschäftsmodell in Deutschland weiterverfolgen zu können. Daher erweist sich die Anordnung gegen die Klägerin als effektives Mittel, um das vom EuGH im Urteil vom 5. Juni 2018 - C-210/16 - (JZ 2018, 1154 Rn. 26) herausgestellte Ziel, ein hohes Niveau des Schutzes der Grundfreiheiten und Grundrechte natürlicher Personen, insbesondere ihrer Privatsphäre bei der Verarbeitung personenbezogener Daten, zu gewährleisten.

c. Die gegenüber der Klägerin angeordnete Deaktivierung ihrer Fanpage erweist sich auch im Übrigen als ermessensfehlerfrei. Da die Klägerin als datenschutzrechtlich Verantwortliche bei Vorliegen der beanstandeten Verstöße einen rechtskonformen Betrieb ihrer Fanpage nach den bindenden Feststellungen des Berufungsurteils mangels vertraglicher oder technischer Einwirkungsmöglichkeiten nicht bewirken kann, war die Anordnung der Deaktivierung ein geeignetes Mittel zur Unterbindung der potentiellen Datenschutzrechtsverstöße. Ein milderes Mittel stand dem Beklagten gegenüber der Klägerin nicht zur Verfügung. Auch der Umstand, dass das Deaktivierungsgebot der Klägerin derzeit die Möglichkeit nimmt, sich in dem von ihr für ihre geschäftliche Tätigkeit als besonders wichtig erachteten sozialen Netzwerk Facebook zu präsentieren, zwang den Beklagten nicht zu einem Verzicht auf ein effektives Einschreiten, wenn die Klägerin dieses Angebot nur unter Inkaufnahme schwerwiegender datenschutzrechtlicher Mängel betreiben kann.

d. Ebenso wenig lässt sich ein Ermessensfehler aus dem Umstand herleiten, dass die Daten der Nutzer auch auf einer Vielzahl weiterer Facebook-Fanpages in gleicher Weise verarbeitet werden und daher die Abschaltung der klägerischen Fanpage massenhafte Datenschutzrechtsverstöße an anderer Stelle nicht verhindern kann. Verstöße Dritter gegen datenschutzrechtliche Bestimmungen lassen die Verantwortlichkeit der Klägerin für ihr eigenes Angebot unberührt.

Art. 3 Abs. 1 GG gewährt keinen Anspruch auf Gleichbehandlung im Unrecht. Der Beklagte war im Lichte des Art. 3 Abs. 1 GG auch nicht gehalten, vor einer Inanspruchnahme der Klägerin ein Konzept für ein flächendeckendes Vorgehen gegen Fanpage-Betreiber in seiner Zuständigkeit zu erstellen. Zwar beschränkt der Gleichheitssatz als gesetzliche Ermessensgrenze die Handlungsmöglichkeiten der Verwaltung und gebietet der Behörde, in vergleichbaren Fällen in der gleichen Art und Weise zu verfahren (BVerwG, Urteil vom 26. Oktober 2017 - 8 C 18.16 - BVerwGE 160, 193 Rn. 21 m.w.N.). Das bedeutet bei einer Vielzahl von Verstößen aber nicht, dass sie gleichzeitig tätig werden muss. Bei Vorliegen sachlicher Gründe kann sie sich auch darauf beschränken, zunächst einen Einzelfall herauszugreifen und die Verhältnisse nach und nach zu bereinigen (stRspr, vgl. BVerwG, Beschluss vom 22. April 1995 - 4 B 55.95 - BRS 57 Nr. 248 S. 595). Dafür, dass die von dem Beklagten für die Auswahl der in Anspruch genommenen Fanpage-Betreiber angeführten Gründe willkürlich waren, ist vorliegend nichts ersichtlich.

5. Der Senat kann in der Sache nicht selbst abschließend entscheiden. Das Oberverwaltungsgericht hat von seinem rechtlichen Standpunkt aus folgerichtig keine tatsächlichen Feststellungen zu den bei Aufruf der Fanpage der Klägerin tatsächlich ablaufenden Datenverarbeitungsvorgängen und einer etwaigen Unterrichtung der Nutzer getroffen. Die Sache ist daher zur anderweitigen Verhandlung und Entscheidung an das Oberverwaltungsgericht zurückzuverweisen (§ 144 Abs. 3 Satz 1 Nr. 2 VwGO).

Das Oberverwaltungsgericht wird zu prüfen haben, welche Datenerhebungen bei Aufruf der Fanpage im für die Entscheidung maßgeblichen Zeitpunkt stattfanden. Soweit sich aus der Verwendung der von Facebook gesetzten Cookies eine Verarbeitung personenbezogener Daten ergab, wird das Gericht zwischen den Fallgruppen der Facebook-Mitglieder und der nicht bei Facebook registrierten Internetnutzer zu unterscheiden haben. Die Verarbeitung personenbezogener Daten wäre nur dann rechtmäßig, wenn bei der erstgenannten Gruppe eine wirksame Einwilligung in die Erhebung und nachfolgende Verarbeitung vorlag und bei der letztgenannten Gruppe für die Erhebung personenbezogener Daten eine Rechtsgrundlage bestand und eine möglicherweise erforderliche Unterrichtung erfolgte."


Sie finden den Volltext der Entscheidung hier:


LfDI Rheinland-Pfalz: DSGVO-Bußgeld in Höhe von 105.000 Euro gegen Krankenhaus wegen Datenschutz-Defiziten beim Patientenmanagement

Der Landesbeauftragte für den Datenschutz und die Informationsfreiheit Rheinland-Pfalz (LfDI) hat ein Bußgeld in Höhe von 105.000 Euro gegen ein Krankenhaus wegen Datenschutz-Defiziten beim Patientenmanagement verhängt.

Die Pressemitteilung des LfDI:

Geldbuße gegen Krankenhaus aufgrund von Datenschutz-Defiziten beim Patientenmanagement

Der Landesbeauftragte für den Datenschutz und die Informationsfreiheit Rheinland-Pfalz (LfDI) hat gegenüber einem Krankenhaus in Rheinland-Pfalz eine Geldbuße in Höhe von 105.000 Euro verhängt. Zugleich begrüßt der LfDI die belastbar vorgetragenen Bemühungen des Krankenhauses, Fortentwicklungen und Verbesserungen des Datenschutzmanagements nachhaltig voranzutreiben.

Die bestandskräftige Geldbuße beruht auf mehreren Verstößen gegen die Datenschutz-Grundverordnung im Zusammenhang mit einer Patientenverwechslung bei der Aufnahme des Patienten. Diese hatte eine falsche Rechnungsstellung zur Folge und offenbarte strukturelle technische und organisatorische Defizite des Krankenhauses beim Patientenmanagement.

Der Landesbeauftragte, Prof. Dr. Kugelmann, hebt hervor: „Vorrangiges Ziel der Abhilfe- und Sanktionsmaßnahmen ist es, bestehende Defizite abzustellen und den Datenschutz zu verbessern. Geldbußen sind hierbei ein Instrument unter mehreren. Neben ihrer Sanktionswirkung enthalten sie immer auch ein präventives Element, indem deutlich wird, dass Missständen konsequent nachgegangen wird. Mir kommt es darauf an, dass mit Blick auf die besondere Sensibilität der Daten beim Gesundheitsdatenschutz substanzielle Fortschritte erzielt werden. Daher hoffe ich, dass die Geldbuße auch als Signal gewertet wird, dass die Datenschutzaufsichtsbehörden auf dem Feld des Umgangs mit Daten im Gesundheitswesen besondere Wachsamkeit an den Tag legen.“



SG Frankfurt (Oder): Betroffener hat mangels Anspruchsgrundlage in DSGVO gegen Datenschutzbehörde keinen Anspruch auf Vornahme bestimmter Maßnahme bei Verstoß gegen DSGVO

SG Frankfurt (Oder)
Gerichtsbescheid vom 08.05.2019
S 49 SF 8/19


Das SG Frankfurt (Oder) hat entschieden, dass ein Betroffener mangels Anspruchsgrundlage in der DSGVO gegen die zuständige Datenschutzbehörde keinen Anspruch auf Vornahme bestimmter Maßnahmen bei einem Verstoß gegen die Vorgaben der DSGVO hat. Art. 77 DSGVO sieht lediglich ein Beschwerderecht vor.

Aus den Entscheidungsgründen:

"Die Kammer durfte ohne mündliche Verhandlung durch Gerichtsbescheid gemäß § 105 SGG entscheiden, weil die Sache keine besonderen Schwierigkeiten tatsächlicher oder rechtlicher Art aufweist und der Sachverhalt geklärt ist. Die Beteiligten hatten Gelegenheit, sich zu dieser Entscheidungsform zu äußern.

Die Klage ist bereits unzulässig, denn für das Begehren der Kläger fehlt es ungeachtet der Frage, ob hierfür das Sozialgericht funktional zuständig ist, an jedweder Anspruchsgrundlage.

Weder aus den Vorschriften des Sozialrechts (§§ 25, 83 SGB X) noch insbesondere aus der Datenschutz-Grundverordnung ist ein individueller Anspruch eines Bürgers gegen den Beklagten auf die Vornahme einer bestimmten Maßnahme herleitbar.

Zwar besteht aus Art 78 Absatz 2 DSGVO ein Klagerecht dem Grunde nach. Im Falle einer Beschwerde bei dem Beklagten nach § 77 DSGVO ist der Klagegrund indes beschränkt darauf, dass der Beklagte länger als drei Monate untätig geblieben sei mit der Mitteilung über das Ergebnis der Beschwerde. Dies ist hier jedoch weder Klagegegenstand, noch liegt oder lag eine dahingehende Untätigkeit vor.

Nach Art. 77 Abs. 1 DSGVO hat jede betroffene Person das Recht auf Beschwerde bei einer Aufsichtsbehörde, wenn diese der Ansicht ist, dass die Verarbeitung der sie betreffenden Daten gegen die DSGVO verstößt. Der Beklagte ist aufgrund dieser Vorschrift alleine verpflichtet, sich mit einer Beschwerde zu befassen, soweit sie nicht offensichtlich unbegründet oder exzessiv ist und den Gegenstand der Beschwerde zu untersuchen und den Beschwerdeführer über den Fortgang und das Ergebnis der Untersuchung zu unterrichten. Eine weitergehende Verpflichtung besteht grundsätzlich nicht. In der Rechtsprechung wird daher das Beschwerderecht nach Art 77 DSGVO als Petitionsrecht verstanden, vgl. Beschluss des VG Berlin vom 28.01.2019, Az: VG 1 L 1.19.

Diesem Anspruch ist der Beklagte vollumfänglich nachgekommen. Eine Verurteilung zu einer aufsichtsrechtlichen Maßnahme gegen das Jobcenter kann das Gericht den Beklagten nicht verurteilen. Dies ist aus der DSGVO nicht herleitbar.

Auf das weitere Vorbringen der Kläger kommt es daher nicht an.

Die Kostenentscheidung beruht auf § 193 SGG.

Der Streitwert für das Verfahren - da es sich nicht um ein privilegiertes Verfahren handelt, § 197a SGG - wird auf 5.000,00 € festgesetzt."


Den Volltext der Entscheidung finden Sie hier:



VG Berlin: Update auf Windows 10 und Office 2016 keine mitbestimmungspflichtige Maßnahme - keine geänderte Überwachungsfunktionalität gegenüber bestehenden technischen Einrichtungen

VG Berlin
Beschuss vom 14.11.2019
61 K 8.19 PVL


Das VG Berlin hat entschieden, dass das Update auf Windows 10 und Office 2016 keine mitbestimmungspflichtige Maßnahme ist, da die keine geänderte Überwachungsfunktionalität gegenüber bestehenden technischen Einrichtungen darstellt.

Aus den Entscheidungsgründen:

"Der Antragsteller hat auch kein Mitbestimmungsrecht nach § 85 Abs. 1 Satz 1 Nr. 13 Buchst. b) PersVG Berlin. Danach bestimmt die Personalvertretung mit, soweit keine Regelung über Rechtsvorschrift oder Tarifvertrag besteht, gegebenenfalls durch Abschluss einer von Dienstvereinbarungen über die Einführung und Anwendung sonstiger technischer Einrichtungen, die dazu bestimmt sind, das Verhalten oder die Leistung der Dienstkräfte zu überwachen.

Nach der Rechtsprechung des Bundesverwaltungsgerichts (vgl. Beschluss vom 14. Juni 2011 – 6 P 10.10 – juris, Rn. 15 ff.), der die Kammer folgt, sind als technische Einrichtungen im Sinne des vorbezeichneten Mitbestimmungstatbestandes Anlagen oder Geräte anzusehen, die unter Verwendung nicht menschlicher, sondern anderweitig erzeugter Energie mit den Mitteln der Technik, insbesondere der Elektronik, eine selbstständige Leistung erbringen. Ob eine technische Einrichtung dazu bestimmt ist, das Verhalten oder die Leistung der Dienstkräfte zu überwachen, beurteilt sich anhand einer objektiven Betrachtungsweise. Der Mitbestimmungstatbestand erstreckt sich auf alle technische Einrichtungen, die zur Überwachung objektiv geeignet sind, ohne dass der Dienststellenleiter bei ihrer Einführung und Anwendung die Absicht haben muss, sie zu diesem Zweck einzusetzen. Anlagen zur elektronischen Datenverarbeitung sind dann zur Überwachung geeignet, wenn sie mit einem entsprechenden Programm versehen sind oder verwendet werden können. Nach Einführung der Anlage unterliegt jede spätere Veränderung im Betriebssystem oder an den Programmen als neuer Fall der Anwendung erneut der Mitbestimmung. Dagegen ist das Mitbestimmungsrecht nicht gegeben, wenn die Befürchtung einer Überwachung objektiv und erkennbar unbegründet ist. Das ist der Fall, wenn die technische Einrichtung nach ihrer Konstruktion überhaupt nicht zur Überwachung geeignet ist oder wenn es zur Überwachung einer technischen Änderung der Anlage bedarf. Dies gilt bei Anlagen der elektronischen Datenverarbeitung auch dann, wenn sich die Dienststelle ein entsprechendes Programm nur mit außergewöhnlichem und unverhältnismäßigem Aufwand beschaffen kann.

Das Oberverwaltungsgericht Berlin-Brandenburg (a.a.O., Rn 55 ff.) hat hierzu ergänzend ausgeführt: „Besteht (…) die Überwachungsmöglichkeit, gebietet es der Zweck des Mitbestimmungstatbestandes, das Ausmaß der durch das Programm ermöglichten Überwachung im Mitbestimmungsverfahren zu klären. Durch die Einschaltung des Personalrates sollen die Dienstkräfte nämlich vor unverhältnismäßiger, in ihrem Ausmaß nicht durchschaubarer Überwachung geschützt werden. Die durch das neue Programm ausgelösten Befürchtungen der Dienstkräfte durch fachkundige Aufklärung zu zerstreuen, ist Sache des Mitbestimmungsverfahrens (…). Dadurch soll sichergestellt werden, dass die Beeinträchtigungen und Gefahren für den Schutz der Persönlichkeit des Beschäftigten am Arbeitsplatz, die von der Technisierung der Verhalts- und Leistungskontrolle ausgehen, auf das erforderliche Maß beschränkt bleiben. Denn ein Beschäftigter, der befürchten muss, während der Arbeit mithilfe technischer oder elektronischer Kontrolleinrichtungen jederzeit beobachtet oder in anderer Weise fortlaufend kontrolliert zu werden, kann unter einen Überwachungsdruck geraten, der ihn in der freien Entfaltung der Persönlichkeit behindert, ihn insbesondere unter Anpassungsdruck setzt und ihn in eine erhöhte Abhängigkeit bringt (…) Dabei ist auch die Verstärkung eines Überwachungsdrucks zu berücksichtigen, die aus den Ungewissheiten einer als „nur“ möglich bekannten, aber verdeckten und daher nicht erkennbaren Überwachung herrühren kann. Wenn es um den Schutz der freien Entfaltung der Persönlichkeit geht, muss nämlich auch die Sicht der Beschäftigten berücksichtigt werden. Demnach ist für den Schutzzweck bedeutsam auch das, was sie bei für sie nicht durchschaubaren Gegebenheiten vernünftigerweise, durch objektive Umstände veranlasst, an möglicher und zu erwartender Überwachung befürchten dürfen oder müssen. (…) Allerdings ist auch bei einer am Schutzzweck orientierten Betrachtung die Mitbestimmung nicht eröffnet, wenn nach den objektiv feststehenden und erkennbaren Bedingungen für den Einsatz des Programms eine Überwachung nicht stattfindet und aus Sicht eines „objektiven Betrachters“ auch keine Veranlassung zu einer solchen Befürchtung besteht. Überwachungsbefürchtungen wegen absichtsvoller Gesetzesumgehungen sind im öffentlichen Dienst nicht gerechtfertigt. Derartig grobe Gesetzesverstöße könnten auch eine Mitbestimmung – ggf. in Form einer Dienstvereinbarung – schwerlich verhindern (…).“

Nach diesen in der Rechtsprechung geklärten Maßstäben hält die Kammer die Einführung und Anwendung von Windows 10 und Office 2016 nicht für eine technische Einrichtung, die dazu bestimmt ist, das Verhalten oder die Leistung der Dienstkräfte zu überwachen. Nach den Erläuterungen des Vertreters des Beteiligten in der Anhörung am 14. November 2019 ist für die Kammer deutlich geworden, dass zwar Zugriffe auf den PC und die Anwendung entsprechender Programme – teilweise im zentralen Server – jedenfalls aber am PC selbst protokolliert werden und entsprechend verschlüsselte Fehlerprotokolle ausgelesen werden können. Auch ist es möglich, aufgrund der Administratorenrechte der IT-Stelle am jeweiligen PC selbst den Verlauf der Bearbeitung anhand von Programmaufrufen und Speicherungen einzelner Dateien sowie einer etwaigen Internetrecherche durch den Browserverlauf feststellen zu können. Diese Möglichkeiten von PC-Administratoren, die über entsprechende Zugriffsrechte verfügen (müssen), genügt jedoch allein nicht, die Einführung und Anwendung von Windows 10 und Office 2016 als mitbestimmungspflichtig anzusehen. Nach der o. g. Rechtsprechung des Oberverwaltungsgerichts Berlin-Brandenburg, der die Kammer folgt, muss eine am Schutzzweck orientierte Betrachtung des Mitbestimmungsrechts vorgenommen werden. Danach ist das Mitbestimmungsrecht nicht eröffnet, wenn nach den objektiv feststehenden und erkennbaren Bedingungen für den Einsatz des Programms eine Überwachung nicht stattfindet und aus Sicht eines „objektiven“ Betrachters auch keine Veranlassung zu einer solchen Befürchtung besteht. Die Zugriffsrechte der Administratoren der IT-Stelle dienen nach dem überzeugenden Vorbringen des Beteiligten ausschließlich der Sicherstellung der Funktionalität des Programms, nicht aber einer möglichen Überwachung des Verhaltens oder der Leistung der Dienstkräfte. Das Misstrauen des Antragstellers, dass der Dienststellenleiter über die Beschäftigten der IT-Stelle und die vorliegenden Zugriffsrechte offen oder gar verdeckt die Arbeit der Dienstkräfte am PC, mithin ihr Verhalten oder ihre Leistung überwachen kann, ist nicht durch objektive Umstände begründet.

Der Antragsteller hat nicht dargelegt, dass durch die Einführung von Windows 10 und Office 2016 gegenüber den zuvor bestehenden Programmen zusätzliche Möglichkeiten geschaffen worden sind, die Anwendung und Nutzung des Programms für Zwecke der Leistungs- und Verhaltenskontrolle einzusetzen. Zwar ist dem Antragsteller zuzugeben, dass die Nutzung des PC’s nach seiner Konstruktion zur Überwachung des Verhaltens und der Leistung der Beschäftigten objektiv geeignet ist und es keines entsprechenden Programms mit außergewöhnlichem und unverhältnismäßigem Aufwand bedarf. Die bloße Möglichkeit einer Leistungs- und Verhaltensüberwachung aufgrund der systemseitig automatisch angelegten Protokollierung von Datenzugriffen reicht indessen nicht aus, ein Mitbestimmungsrecht des Antragstellers zu begründen. Praktisch ist nämlich jedes Programm systemseitig so angelegt, dass es mit bestimmten Protokollierungen verbunden ist, so dass jede neue Version ein entsprechendes Mitbestimmungsrecht des Personalrats auslösen würde, obwohl der Zweck der Protokollierung ein völlig anderer ist. Zu Recht hat deshalb das Oberverwaltungsgericht Berlin-Brandenburg in der o. g. Entscheidung darauf hingewiesen, dass Überwachungsbefürchtungen wegen absichtsvoller Gesetzesumgehungen im öffentlichen Dienst nicht gerechtfertigt sind. Eine solche Gesetzesumgehung würde aber vorliegen, würde der Dienststellenleiter die lediglich technisch bedingte Möglichkeit der Überwachung ausnutzen, auf die er bei der Anschaffung der Programme gar nicht verzichten kann, und über Zugriffsrechte der Administratoren der IT-Stelle das Verhalten und die Leistung der Beschäftigten überwachen. Zwar kommt es nicht auf einen entsprechenden Willen des Dienststellenleiters an, eine solche Überwachung tatsächlich vornehmen zu wollen. Andererseits kann das bloße Misstrauen des Personalrats, dass mit der Einführung und Anwendung technischer Einrichtungen das Verhalten und die Leistung der Dienstkräfte in rechtswidriger Weise überwacht werden könnte, das Mitbestimmungsrecht des Antragstellers bei der Einführung und Anwendung entsprechender Programme oder Updates noch nicht begründen. Vielmehr bedarf es hierfür zumindest konkreter Anhaltspunkte, die eine solche Gefahr einer zweckwidrigen Verwendung der technisch bedingten Protokolldaten zumindest objektiv möglich erscheinen lässt. Ein solcher Anhaltspunkt für einen entsprechenden Verdacht läge beispielweise dann vor, wenn der Dienststellenleiter die jeweiligen Administratoren anweisen würde, zum Zwecke der Leistungs- und Verhaltenskontrolle der Beschäftigten entsprechende Daten auszulesen und vorzuhalten oder wenn entsprechende Programme anschafft werden, die gerade einen solchen Zugriff ermöglichen. Auch soweit dem Personalrat bereits eine zweckwidrige Verwendung der Daten bekannt werden würde, rechtfertigt dies eine entsprechende Befürchtung und löst das Mitbestimmungsrecht aus. In diesen Fällen besteht nach dem Sinn und Zweck des Mitbestimmungstatbestandes ein Bedürfnis dafür, die Einführung und Anwendung technischer Einrichtungen einem Mitbestimmungsrecht des Personalrats zu unterwerfen, um Art und Umfang der Überwachungsmöglichkeit im Beteiligungsverfahren zu klären. Die Befürchtung der Dienstkräfte, einem Überwachungsdruck ausgesetzt zu sein, wäre dann nicht unbegründet, um sie im Wege des Mitbestimmungsrechts durch fachkundige Aufklärung zu zerstreuen. Bloße Unwissenheit über die technischen Möglichkeiten eines neuen Programms oder Mutmaßungen rechtfertigen indessen nicht die Befürchtung einer Überwachung. Insoweit obliegt es auch der jeweiligen Personalvertretung, sich durch entsprechende Rechts- und Technologieberatung bzw. durch eine Auskunft der Datenschutzbeauftragten sachkundig zu machen, ob und inwieweit bei der Einführung und Anwendung neuer Programme objektive Leistungs- und Verhaltenskontrollen ermöglicht werden und welche Schritte hierfür erforderlich sind. Zwar hat auch der Dienststellenleiter gegenüber dem Personalrat im Rahmen der vertrauensvollen Zusammenarbeit die Pflicht, die Funktionalitäten neuer Programme oder Programmversionen ausführlich und nachvollziehbar zu erläutern, um dem Personalrat in die Lage zu versetzen, zu überprüfen, ob ein Mitbestimmungsrecht besteht. Diese Informationspflicht besteht aber ungeachtet eines etwaigen Mitbestimmungstatbestandes, ohne dass damit jede Programmänderung als solche bereits eine mitbestimmungspflichtige Maßnahme im Sinne von § 85 Abs. 1 Satz 1 Nr. 13 Buchstabe b) PersVG Berlin beinhaltet.

Für eine solche Befürchtung besteht bei der Einführung von Windows 10 und Office 2016 allerdings objektiv kein hinreichender Anlass. Es handelt sich lediglich um neue Programmversionen, die objektiv nicht geeignet sind, einen (verstärkten) Überwachungsdruck anzunehmen. Der Antragsteller hat auch keinen hinreichenden Anhaltspunkt dafür geliefert, dass seine Befürchtungen berechtigt sind. Eine bloße Mutmaßung ins Blaue hinein, die Einführung könnte eine Überwachung ermöglichen, erscheint aus der Luft gegriffen.

Es kommt hinzu, dass es sich lediglich um neue Programme schon vorhandener und genutzter PC’s handelt. Zwar unterliegt nach der o. g. Rechtsprechung des Bundesverwaltungsgerichts jede spätere Veränderung im Betriebssystem oder an den Programmen als neuer Fall der Anwendung erneut der Mitbestimmung. Damit ist allerdings nach Auffassung der Kammer nicht gemeint, dass allein aus Anlass eines neuen Programms oder einer neuen Programmversion schon der Mitbestimmungstatbestand erneut ausgelöst werden kann, wenn die zuvor genutzte Anwendung unbeanstandet über Jahre verwendet worden ist. Dies ergibt sich bereits aus dem Wortlaut. Danach ist die „Einführung und Anwendung“ sonstiger technischer Einrichtungen mitbestimmungspflichtig, nicht aber die „Nutzung“ anlässlich einer Programmaktualisierung. Daher muss die Einführung und Anwendung von Windows 10 und Office 2016 als solche objektiv geeignet sein, gegenüber der bisherigen technischen Einrichtung Leistungs- und Verhaltensüberwachungen der Dienstkräfte zu ermöglichen. Daran fehlt es im vorliegenden Fall. Dass die Möglichkeiten zur Protokollierung entsprechender Datenzugriffe durch die Einführung von Windows 10 oder Office 2016 erweitert worden sind und ein entsprechender Überwachungsdruck auf die Beschäftigten verstärkt worden wäre, ist nicht ersichtlich. Vielmehr hat der Beteiligte in der Anhörung überzeugend dargelegt, dass sich die technisch bedingten Protokollierungen nicht gegenüber der zuvor verwendeten Version von Office 2010 und Windows 7 unterscheiden.

Der Antragsteller hat schließlich auch kein Mitbestimmungsrecht nach § 85 Abs. 2 Nr. 9 PersVG Berlin. Danach bestimmt die Personalvertretung mit, soweit keine Regelung durch Rechtsvorschrift oder Tarifvertrag besteht, gegebenenfalls durch Abschluss einer Dienstvereinbarung nach Maßgabe des § 81 Abs. 2 PersVG Berlin über Einführung neuer Arbeitsmethoden im Rahmen der Informations- und Kommunikationstechnik sowie die Änderung oder Ausweitung dieser Arbeitsmethoden, wenn sie aufgrund ihres Umfangs einer Einführung vergleichbar sind. Diese Voraussetzungen liegen im vorliegenden Fall nicht vor, weil die Einführung von Windows 10 und Office 2016 zwar eine Änderung der Arbeitsmethoden beinhaltet, der Umfang aber nicht mit einer Einführung neuer Arbeitsmethoden im Rahmen der Informations- und Kommunikationstechnik vergleichbar ist. Dabei ist zu berücksichtigen, dass sich die Entwicklung der Informations- und Kommunikationstechnik in einer Weise vollzieht, dass die Verwaltung mit zeitlicher Verzögerung die am Markt verfügbaren und in Zyklen aktualisierten Softwareversionen einsetzt. Der Gesetzgeber hat deshalb bereits im Jahr 2008 das Mitbestimmungsrecht bei der Einführung neuer Arbeitsmethoden im Rahmen der Informations- und Kommunikationstechnik dahingehend eingeschränkt, dass eine Änderung nur dann mitbestimmungspflichtig ist, wenn sie aufgrund ihres Umfangs einer Einführung vergleichbar ist. Dies hängt davon ab, ob der Programmaustausch für die betroffenen Dienstkräfte ins Gewicht fallende körperliche oder geistige Auswirkungen hat (vgl. Bundesverwaltungsgericht, a.a.O., juris, Rn. 40). Solche ins Gewicht fallenden körperlichen oder geistigen Auswirkungen hat die Umstellung von Windows 7 auf Windows 10 bzw. von Office 2010 auf Office 2016 ersichtlich nicht. Es handelt sich bei der Einführung dieser Programmversionen lediglich um Aktualisierungen, nicht aber um eine Änderung, die nach ihrem Umfang einer Einführung vergleichbar ist. Die Grundkonzeption von Windows bzw. Office bleibt im Wesentlichen gleich, auch wenn mit der Umstellung auf Windows 10 und Office 2016 neue Funktionalitäten hinzugetreten sind. Diese Umstellungen erreichen indessen nicht das Maß, das man dem Umfang nach mit einer Einführung der Informations- und Kommunikationstechnik vergleichen kann.

Schließlich ist auch nicht ersichtlich, dass durch die Einführung von Windows 10 und Office 2016 eine Änderung oder Ausweitung von betrieblichen Informations- und Kommunikationsnetzen verbunden ist, die aufgrund ihres Umfangs einer Einführung vergleichbar sind (§ 85 Abs. 2 Nr. 10 PersVG Berlin)."


Den Volltext der Entscheidung finden Sie hier:


Zweites Datenschutz-Anpassungs- und Umsetzungsgesetz EU – 2. DSAnpUGEU am 26.11.2019 in Kraft getreten - Anpassung Datenschutzrecht DSGVO

Das Zweite Gesetzes zur Anpassung des Datenschutzrechts an die Verordnung (EU) 2016/679 und zur Umsetzung der Richtlinie (EU) 2016/680 (Zweite Datenschutz-Anpassungs- und Umsetzungsgesetz EU – 2. DSAnpUGEU) wurde am 25.11.2019 im Bundesgesetzblatt veröffentlicht und ist am 26.11.2019 in Kraft getreten.



Berliner Datenschutzbeauftragter: Bußgeld von 14,5 Millionen EURO gegen Deutsche Wohnen SE wegen DSGVO-Verstößen

Der Berliner Beauftragte für Datenschutz und Informationsfreiheit hat gegen die Deutsche Wohnen SE wegen DSGVO-Verstößen ein Bußgeld von rund 14,5 Millionen EURO verhängt.

Die Pressemitteilung des Berliner Beauftragten für Datenschutz und Informationsfreiheit:

Berliner Datenschutzbeauftragte verhängt Bußgeld gegen Immobiliengesellschaft

Am 30. Oktober 2019 hat die Berliner Beauftragte für Datenschutz und Informationsfreiheit gegen die Deutsche Wohnen SE einen Bußgeldbescheid in Höhe von rund 14,5 Millionen Euro wegen Verstößen gegen die Datenschutz-Grundverordnung (DS-GVO) erlassen.

Bei Vor-Ort-Prüfungen im Juni 2017 und im März 2019 hat die Aufsichtsbehörde festgestellt, dass das Unternehmen für die Speicherung personenbezogener Daten von Mieterinnen und Mietern ein Archivsystem verwendete, das keine Möglichkeit vorsah, nicht mehr erforderliche Daten zu entfernen. Personenbezogene Daten von Mieterinnen und Mietern wurden gespeichert, ohne zu überprüfen, ob eine Speicherung zulässig oder überhaupt erforderlich ist. In begutachteten Einzelfällen konnten daher teilweise Jahre alte private Angaben betroffener Mieterinnen und Mieter eingesehen werden, ohne dass diese noch dem Zweck ihrer ursprünglichen Erhebung dienten. Es handelte sich dabei um Daten zu den persönlichen und finanziellen Verhältnissen der Mieterinnen und Mieter, wie z. B. Gehaltsbescheinigungen, Selbstauskunftsformulare, Auszüge aus Arbeits- und Ausbildungsverträgen, Steuer-, Sozial- und Krankenversicherungsdaten sowie Kontoauszüge.

Nachdem die Berliner Datenschutzbeauftragte im ersten Prüftermin 2017 die dringende Empfehlung ausgesprochen hatte, das Archivsystem umzustellen, konnte das Unternehmen auch im März 2019, mehr als eineinhalb Jahre nach dem ersten Prüftermin und neun Monate nach Anwendungsbeginn der Datenschutz-Grundverordnung weder eine Bereinigung ihres Datenbestandes noch rechtliche Gründe für die fortdauernde Speicherung vorweisen. Zwar hatte das Unternehmen Vorbereitungen zur Beseitigung der aufgefundenen Missstände getroffen.

Diese Maßnahmen hatten jedoch nicht zur Herstellung eines rechtmäßigen Zustands bei der Speicherung personenbezogener Daten geführt. Die Verhängung eines Bußgeldes wegen eines Verstoßes gegen Artikel 25 Abs. 1 DS-GVO sowie Artikel 5 DS-GVO für den Zeitraum zwischen Mai 2018 und März 2019 war daher zwingend.

Die Datenschutz-Grundverordnung verpflichtet die Aufsichtsbehörden sicherzustellen, dass Bußgelder in jedem Einzelfall nicht nur wirksam und verhältnismäßig, sondern auch abschreckend sind. Anknüpfungspunkt für die Bemessung von Geldbußen ist daher u. a. der weltweit erzielte Vorjahresumsatz betroffener Unternehmen. Aufgrund des im Geschäftsbericht der Deutsche Wohnen SE für 2018 ausgewiesenen Jahresumsatzes von über einer Milliarde Euro lag der gesetzlich vorgegebene Rahmen zur Bußgeldbemessung für den festgestellten
Datenschutzverstoß bei ca. 28 Millionen Euro.

Für die konkrete Bestimmung der Bußgeldhöhe hat die Berliner Datenschutzbeauftragte unter Berücksichtigung aller be- und entlastenden Aspekte die gesetzlichen Kriterien herangezogen.

Belastend wirkte sich hierbei vor allem aus, dass die Deutsche Wohnen SE die beanstandete Archivstruktur bewusst angelegt hatte und die betroffenen Daten über einen langen Zeitraum in unzulässiger Weise verarbeitet wurden. Bußgeldmildernd wurde hingegen berücksichtigt, dass das Unternehmen durchaus erste Maßnahmen mit dem Ziel der Bereinigung des rechtswidrigen Zustandes ergriffen und formal gut mit der Aufsichtsbehörde zusammengearbeitet hat. Auch mit Blick darauf, dass dem Unternehmen keine missbräuchlichen Zugriffe auf die unzulässig gespeicherten Daten nachgewiesen werden konnten, war im Ergebnis ein Bußgeld im mittleren Bereich des vorgegebenen Bußgeldrahmens angemessen.

Neben der Sanktionierung dieses strukturellen Verstoßes verhängte die Berliner Datenschutzbeauftragte gegen das Unternehmen noch weitere Bußgelder zwischen 6.000 – 17.000 Euro wegen der unzulässigen Speicherung personenbezogener Daten von Mieterinnen und Mietern in 15 konkreten Einzelfällen.

Die Bußgeldentscheidung ist bisher nicht rechtskräftig. Die Deutsche Wohnen SE kann gegen den Bußgeldbescheid Einspruch einlegen.

Maja Smoltczyk:
„Datenfriedhöfe, wie wir sie bei der Deutsche Wohnen SE vorgefunden haben, begegnen uns in der Aufsichtspraxis leider häufig. Die Brisanz solcher Missstände wird uns leider immer erst dann deutlich vor Augen geführt, wenn es, etwa durch Cyberangriffe, zu missbräuchlichen Zugriffen auf die massenhaft gehorteten Daten gekommen ist. Aber auch ohne solch schwerwiegende Folgen haben wir es hierbei mit einem eklatanten Verstoß gegen die Grundsätze des Datenschutzes zu tun, die die Betroffenen genau vor solchen Risiken schützen sollen. Es ist erfreulich, dass der Gesetzgeber mit der DatenschutzGrundverordnung die Möglichkeit eingeführt hat, solche strukturellen Mängel zu sanktionieren, bevor es zum Daten-GAU kommt. Ich empfehle allen datenverarbeitenden Stellen, ihre Datenarchivierung auf Vereinbarkeit mit der DS-GVO zu überprüfen.“


VG Hamburg: Anordnung des Hamburgischen Datenschutzbeauftragten die Referenzdatenbank der Polizei zur Aufklärung von Straftaten im Zusammenhang mit dem G20-Gipfel zu löschen rechtswidrig

VG Hamburg
Urteil vom 23.10.2019
17 K 203/19


Das VG Hamburg hat entschieden, dass die Anordnung des Hamburgischen Datenschutzbeauftragten, die Referenzdatenbank der Polizei zur Aufklärung von Straftaten im Zusammenhang mit dem G20-Gipfel zu löschen, rechtswidrig war.

Die Pressemitteilung des Gerichts:

Verwaltungsgericht Hamburg: Anordnung des Datenschutzbeauftragten, die von der Polizei zur Aufklärung von Straftaten im Zusammenhang mit dem G20-Gipfel erstellte Referenzdatenbank zu löschen, rechtswidrig

Die Polizei Hamburg setzt zur Aufklärung von Straftaten im Zusammenhang mit dem G20-Gipfel eine Gesichtserkennungssoftware („Videmo 360“) ein, mit der eigenes und der Polizei zur Verfügung gestelltes Bildmaterial verarbeitet wird. Die Ergebnisse dieser Datenverarbeitung sind in einer Referenzdatenbank gespeichert. Nach einer vorherigen Beanstandung ordnete der Hamburgische Datenschutzbeauftragte die Löschung dieser Referenzdatenbank an. Er begründete seine - auf § 6 Hamburgisches Gesetz zur Aufsicht über die Anwendung der zur Umsetzung der Richtlinie (EU) 2016/680 erlassenen Rechtsvorschriften i.V.m. § 43 Abs. 1 Satz 5 Hamburgisches Gesetz zum Schutz personenbezogener Daten im Justizvollzug gestützte - Anordnung im Wesentlichen mit dem Fehlen einer hinreichend bestimmten Ermächtigungsgrundlage, die die intensiven Eingriffe in das Recht auf informationelle Selbstbestimmung erlaube.

Das Verwaltungsgericht hat die Anordnung des Datenschutzbeauftragten auf die Klage der Freien und Hansestadt Hamburg mit heute verkündetem Urteil aufgehoben (17 K 203/19). Nach Auffassung des Verwaltungsgerichts liegen die Voraussetzungen für eine entsprechende Anordnung nicht vor. Der Datenschutzbeauftragte hätte die Datenverarbeitung der Polizei in der konkret praktizierten Form in den Blick nehmen und eigene Feststellungen zu einem Verstoß gegen Vorschriften des Datenschutzes treffen müssen. Die Anordnung ist zudem ermessensfehlerhaft, weil der Datenschutzbeauftragte die Möglichkeit, etwaige Verstöße gegen datenschutzrechtliche Vorschriften durch normkonkretisierende Auflagen zu kompensieren, nicht in Betracht gezogen und seiner Entscheidung einen fehlerhaften Bewertungsmaßstab zugrunde gelegt hat. Einer Entscheidung über die Rechtmäßigkeit der beanstandeten Datenverarbeitung durch die Polizei bedurfte es in dieser Konstellation nicht.

Der Datenschutzbeauftragte kann innerhalb eines Monats nach Zustellung des schriftlichen Urteils die Zulassung der Berufung beantragen, über die das Hamburgische Oberverwaltungsgericht zu entscheiden hat.