Skip to content

LfDI Baden-Württemberg: Bußgeld von 20.000 EURO gegen knuddels.de wegen Verstoß gegen DSGVO - Speicherung der Passwörter im Klartext widerspricht Art. 32 Abs. 1 lit a DSGVO

Der Landesbeauftragte für den Datenschutz und die Informationsfreiheit Baden-Württemberg hat gegen den Betreiber des Internetportals knuddels.de ein Bußgeld in Höhe von 20.000 EURO wegen eines Verstoßes gegen die DSGVO verhängt. Die Speicherung von Passwörtern im Klartext verstößt gegen Art. 32 Abs. 1 lit a DSGVO

Die Pressemitteilung des LfDI:

Baden-Württemberg: Bußgeld über 20.000 EURO gegen knuddels.de wegen Verstoß gegen DSGVO - Speicherung der Passwörter im Klartext widerspricht Art. 32 Abs. 1 lit a DSGVO

LfDI Baden-Württemberg verhängt sein erstes Bußgeld in Deutschland nach der DS-GVO
Kooperation mit Aufsicht macht es glimpflich

Wegen eines Verstoßes gegen die nach Art. 32 DS-GVO vorgeschriebene Datensicherheit hat die Bußgeldstelle des LfDI Baden-Württemberg mit Bescheid vom 21.11.2018 gegen einen baden-württembergischen Social-Media-Anbieter eine Geldbuße von 20.000,- Euro verhängt und – in konstruktiver Zusammenarbeit mit dem Unternehmen – für umfangreiche Verbesserungen bei der Sicherheit der Nutzerdaten gesorgt.

Das Unternehmen hatte sich am 08. September 2018 mit einer Datenpannenmeldung an den LfDI gewandt, nachdem es bemerkt hatte, dass durch einen Hackerangriff im Juli 2018 personenbezogene Daten von circa 330.000 Nutzern, darunter Passwörter und E-Mail-Adressen, entwendet und Anfang September 2018 veröffentlicht worden waren. Ihre Nutzer informierte das Unternehmen nach den Vorgaben der EU-Datenschutzgrundverordnung (DS-GVO) unverzüglich und umfassend über den Hackerangriff. Gegenüber dem LfDI legte das Unternehmen in vorbildlicher Weise sowohl Datenverarbeitungs- und Unternehmensstrukturen als auch eigene Versäumnisse offen. Hierdurch wurde dem LfDI bekannt, dass das Unternehmen die Passwörter ihrer Nutzer im Klartext, mithin unverschlüsselt und unverfremdet (ungehasht), gespeichert hatte. Diese Klartextpasswörter nutzte das Unternehmen beim Einsatz eines sog. „Passwortfilters“ zur Verhinderung der Übermittlung von Nutzerpasswörtern an unberechtigte Dritte mit dem Ziel, die Nutzer besser zu schützen.

Das Unternehmen setzte innerhalb weniger Wochen weitreichende Maßnahmen zur Verbesserung ihrer IT-Sicherheitsarchitektur um und brachte damit die Sicherung ihrer Nutzerdaten auf den aktuellen Stand der Technik. Zudem wird das Unternehmen innerhalb der nächsten Wochen in Abstimmung mit dem LfDI zusätzliche Maßnahmen zur weiteren Verbesserung der Datensicherheit durchführen.

Durch die Speicherung der Passwörter im Klartext verstieß das Unternehmen wissentlich gegen seine Pflicht zur Gewährleistung der Datensicherheit bei der Verarbeitung personenbezogener Daten gem. Art. 32 Abs. 1 lit a DS-GVO.

Innerhalb des Bußgeldrahmens gemäß Art. 83 Abs. 4 DS-GVO sprach die sehr gute Kooperation mit dem LfDI in besonderem Maße zu Gunsten des Unternehmens. Die Transparenz des Unternehmens war ebenso beispielhaft wie die Bereitschaft, die Vorgaben und Empfehlungen des Landesbeauftragten für den Datenschutz und die Informationsfreiheit, Dr. Stefan Brink, umzusetzen. Auf diese Weise konnte in sehr kurzer Zeit die Sicherheit der Nutzerdaten des Social-Media-Dienstes deutlich verbessert werden. In Abstimmung mit dem LfDI wird die Sicherung der Nutzerdaten in den kommenden Wochen noch weiter ausgebaut. Bei der Bemessung der Geldbuße wurde neben weiteren Umständen die finanzielle Gesamtbelastung für das Unternehmen berücksichtigt. Bußgelder sollen nach der DS-GVO nicht nur wirksam und abschreckend, sondern auch verhältnismäßig sein. Unter Einbeziehung der aufgewendeten und avisierten Maßnahmen für IT-Sicherheit hat das Unternehmen einschließlich der Geldbuße infolge des Verstoßes einen Gesamtbetrag im sechsstelligen Euro-Bereich zu tragen.

„Wer aus Schaden lernt und transparent an der Verbesserung des Datenschutzes mitwirkt, kann auch als Unternehmen aus einem Hackerangriff gestärkt hervorgehen“, betonte Dr. Brink abschließend. „Als Bußgeldbehörde kommt es dem LfDI nicht darauf an, in einen Wettbewerb um möglichst hohe Bußgelder einzutreten. Am Ende zählt die Verbesserung von Datenschutz und Datensicherheit für die betroffenen Nutzer.“

OLG Nürnberg: DSGVO gilt nicht für personenbezogene Daten Verstorbener - Datenschutzgrundverordnung

OLG Nürnberg
Beschluss vom 09.10.2018
11 W 717/18

Das OLG Nürnberg hat bestätigt, dass die Normen der DSGVO nicht für personenbezogene Daten Verstorbener gelten.

Aus den Entscheidungsgründen:

"Benutzungsbeschränkungen können sich nur aus dem PStG selbst oder aus anderen Gesetzen ergeben, die dem Schutz von Adoptierten (§ 1758 Abs. 1 BGB, § 63 Abs. 1 PStG), Transsexuellen (§ 5 Abs. 1 TSG, § 63 Abs. 2 PStG) oder sonst gefährdeten Personen dienen (§ 64 PStG). Derartige gesetzliche Vorschriften sind jedoch nicht ersichtlich. Die Verordnung (EU) 2016/679 des Europäischen Parlaments und des Rates vom 27. April 2016 (Datenschutz-Grundverordnung) ist auf den Fall nicht anwendbar, da sie nach ihrem Erwägungsgrund 27 nicht die personenbezogenen Daten Verstorbener betrifft."

Den Volltext der Entscheidung finden Sie hier:


Datenschutzkonferenz: Betrieb einer Facebook-Fanpage wie sie derzeit von Facebook angeboten wird ohne Vereinbarung nach Art. 26 DSGVO rechtswidrig

Die Konferenz der unabhängigen Datenschutzaufsichtsbehörden des Bundes und der Länder (DSK) hat wenig überraschend in einem Beschluss vom 05.09.2018 die Ansicht geäußert, dass der Betrieb einer Facebook-Fanpage, wie sie derzeit von Facebook angeboten wird, ohne Vereinbarung nach Art. 26 DSGVO rechtswidrig ist.

Siehe auch zum Thema: EuGH: Betreiber einer Facebook-Seite / Facebook-Fanpage gemeinsam mit Facebook für Verarbeitung der personenbezogenen Daten der Besucher verantwortlich

Aus dem Beschluss:

Auch Fanpage-Betreiberinnen und Betreiber müssen sich ihrer datenschutzrechtlichen Verantwortung stellen. Ohne Vereinbarung nach Art. 26 DSGVO ist der Betrieb einer Fanpage, wie sie derzeit von Facebook angeboten wird, rechtswidrig. Daher fordert die DSK, dass nun die Anforderungen des Datenschutzrechts beim Betrieb von Fanpages erfüllt werden. Dazu gehört insbesondere, dass die gemeinsam Verantwortlichen Klarheit über die derzeitige Sachlage schaffen und die erforderlichen Informationen den betroffenen Personen (= Besucherinnen und Besucher der Fanpage) bereitstellen.

Eine gemeinsame Verantwortlichkeit bedeutet allerdings auch, dass FanpageBetreiberinnen und Betreiber (unabhängig davon, ob es sich um öffentliche oder nicht-öffentliche Verantwortliche handelt) die Rechtmäßigkeit der gemeinsam zu verantwortenden Datenverarbeitung gewährleisten und dies nachweisen können. Zudem können Betroffene ihre Rechte aus der DSGVO bei und gegenüber jedem Verantwortlichen geltend machen (Art. 26 Abs. 3 DSGVO). Insbesondere die im Anhang aufgeführten Fragen müssen deshalb sowohl von Facebook als auch und von Fanpage-Betreiberinnen und Betreibern beantwortet werden können



Den vollständigen Beschluss finden Sie hier:




BMI: Anpassung Datenschutzrecht DSGVO - Entwurf Zweites Datenschutz-Anpassungs- und Umsetzungsgesetz EU – 2. DSAnpUGEU

Das BMI hat denEntwurf eines Zweiten Gesetzes zur Anpassung des Datenschutzrechts an die Verordnung (EU) 2016/679 und zur Umsetzung der Richtlinie (EU) 2016/680 (Zweites Datenschutz-Anpassungs- und Umsetzungsgesetz EU – 2. DSAnpUGEU)
zur weiteren Anpassung der datenschutzrechtlichen Vorschriften an die DSGVO vorgelegt.



BAG: Eine an sich rechtmäßige offene Videoüberwachung wird nicht unverhältnismäßig wenn diese zur Ahndung von Pflichtverletzungen erst Monate später ausgewertet wird

BAG
Urteil vom 23.08.2018
2 AZR 133/18


Das Bundesarbeitsgericht hat entschieden, dass eine an sich rechtmäßige offene Videoüberwachung wird nicht unverhältnismäßig, wenn diese zur Ahndung von Pflichtverletzungen erst Monate später ausgewertet wird


Die Pressemitteilung des Gerichts:

Offene Videoüberwachung - Verwertungsverbot

Die Speicherung von Bildsequenzen aus einer rechtmäßigen offenen Videoüberwachung, die vorsätzliche Handlungen eines Arbeitnehmers zulasten des Eigentums des Arbeitgebers zeigen, wird nicht durch bloßen Zeitablauf unverhältnismäßig, solange die Ahndung der Pflichtverletzung durch den Arbeitgeber arbeitsrechtlich möglich ist. Die Klägerin war in einem vormals von dem Beklagten betriebenen Tabak- und Zeitschriftenhandel mit angeschlossener Lottoannahmestelle tätig. Dort hatte der Beklagte eine offene Videoüberwachung installiert. Mit den Aufzeichnungen wollte er sein Eigentum vor Straftaten sowohl von Kunden als auch von eigenen Arbeitnehmern schützen. Nach dem Vortrag des Beklagten wurde im 3. Quartal 2016 ein Fehlbestand bei Tabakwaren festgestellt. Bei einer im August 2016 vorgenommenen Auswertung der Videoaufzeichnungen habe sich gezeigt, dass die Klägerin an zwei Tagen im Februar 2016 vereinnahmte Gelder nicht in die Registrierkasse gelegt habe. Der Beklagte kündigte daraufhin das Arbeitsverhältnis der Parteien außerordentlich fristlos. Die Vorinstanzen haben der dagegen gerichteten Kündigungsschutzklage stattgegeben. Das Landesarbeitsgericht hat gemeint, die Erkenntnisse aus den Videoaufzeichnungen unterlägen einem Verwertungsverbot. Der Beklagte hätte die Bildsequenzen unverzüglich, jedenfalls deutlich vor dem 1. August 2016 löschen müssen. Auf die Revision des Beklagten hat der Zweite Senat des Bundesarbeitsgerichts das Berufungsurteil hinsichtlich des Kündigungsschutzantrags aufgehoben und die Sache zur neuen Verhandlung und Entscheidung an das Landesarbeitsgericht zurückverwiesen. Sollte es sich - was der Senat nach den bisherigen Feststellungen nicht beurteilen kann - um eine rechtmäßige offene Videoüberwachung gehandelt haben, wäre die Verarbeitung und Nutzung der einschlägigen Bildsequenzen nach § 32 Abs. 1 Satz 1 BDSG aF* zulässig gewesen und hätte dementsprechend nicht das durch Art. 2 Abs. 1 iVm. Art. 1 Abs. 1 GG geschützte allgemeine Persönlichkeitsrecht der Klägerin verletzt. Der Beklagte musste das Bildmaterial nicht sofort auswerten. Er durfte hiermit solange warten, bis er dafür einen berechtigten Anlass sah. Sollte die Videoüberwachung rechtmäßig erfolgt sein, stünden auch die Vorschriften der seit dem 25. Mai 2018 geltenden Datenschutz-Grundverordnung einer gerichtlichen Verwertung der erhobenen personenbezogenen Daten der Klägerin im weiteren Verfahren nicht entgegen.

Bundesarbeitsgericht, Urteil vom 23. August 2018 - 2 AZR 133/18 -Vorinstanz: Landesarbeitsgericht Hamm, Urteil vom 20. Dezember 2017 - 2 Sa 192/17

32 Abs. 1 Satz 1 BDSG in der bis zum 25. Mai 2018 geltenden Fassung (aF) lautet:
Personenbezogene Daten eines Beschäftigten dürfen für Zwecke des Beschäftigungsverhältnisses erhoben, verarbeitet oder genutzt werden, wenn dies für die Entscheidung über die Begründung eines Beschäftigungsverhältnisses oder nach Begründung eines Beschäftigungsverhältnisses für dessen Durchführung oder Beendigung erforderlich ist.



Bayerisches Landesamt für Datenschutzaufsicht: Wann liegt Auftragsdatenverarbeitung vor - Liste mit Beispielen und Erläuterungen

Das Bayerisches Landesamt für Datenschutzaufsicht hat eine Liste mit Beispielen und Erläuterungen vorgelegt:

Was ist Auftragsverarbeitung und was nicht?

Internet World Business-Beitrag von Rechtsanwalt Marcus Beckmann - Fanpages vor dem Aus ? EuGH-Entscheidung nimmt Seitenbetreiber und Facebook beim Datenschutz in die Pflicht

In Ausgabe 12/2018, S. 17 der Zeitschrift Internet World Business erschien ein Beitrag von Rechtsanwalt Marcus Beckmann mit dem Titel "Fanpages vor dem Aus ? EuGH-Entscheidung nimmt Seitenbetreiber und Facebook beim Datenschutz in die Pflicht".

Siehe auch zum Thema:
EuGH: Betreiber einer Facebook-Seite / Facebook-Fanpage gemeinsam mit Facebook für Verarbeitung der personenbezogenen Daten der Besucher verantwortlich
und
Datenschutzbehörden: Nach EuGH-Entscheidung ist rechtskonformer Betrieb von Facebook-Fanpage bzw. Facebook-Seite nicht möglich

EuGH: Datenschutzrechtliche Vorgaben gelten auch für Religionsgemeinschaften die personenbezogene Daten Im Rahmen der Verkündigungstätigkeit von Tür zu Tür erhalten

EuGH
Urteil vom 10.07.2018
C-25/17
Tietosuojavaltuutettu / Jehovan todistajat – uskonnollinen yhdyskunta

Der EuGH hat entschieden, dass die datenschutzrechtlichen Vorgaben auch für Religionsgemeinschaften gelten, die personenbezogene Daten Im Rahmen der Verkündigungstätigkeit von Tür zu Tür erhalten. Vorliegend ging es um die Zeugen Jehovas.

Die Pressemitteilung des EuGH:

Eine Religionsgemeinschaft wie die der Zeugen Jehovas ist gemeinsam mit ihren als Verkündiger tätigen Mitgliedern für die Verarbeitung der personenbezogenen Daten verantwortlich, die im Rahmen einer von Tür zu Tür durchgeführten Verkündigungstätigkeit erhoben werden

Die im Rahmen einer solchen Tätigkeit erfolgenden Verarbeitungen personenbezogener Daten müssen mit den unionsrechtlichen Vorschriften über den Schutz personenbezogener Daten im Einklang stehen im 17. September 2013 verbot die Tietosuojalautakunta (finnische Datenschutzkommission) der Jehovan todistajat – uskonnollinen yhdyskunta (Religionsgemeinschaft der Zeugen Jehovas in Finnland), im Rahmen der von ihren Mitgliedern von Tür zu Tür durchgeführten Verkündigungstätigkeit personenbezogene Daten zu erheben oder zu verarbeiten, ohne dass die rechtlichen Voraussetzungen der Verarbeitung solcher Daten eingehalten werden.

Die Mitglieder dieser Gemeinschaft machen sich im Rahmen ihrer von Tür zu Tür durchgeführten Verkündigungstätigkeit Notizen über Besuche bei Personen, die weder ihnen noch der Gemeinschaft bekannt sind. Zu den erhobenen Daten können die Namen und Adressen der aufgesuchten Personen sowie Informationen über ihre religiösen Überzeugungen und Familienverhältnisse gehören. Diese Daten werden als Gedächtnisstütze erhoben, um für den Fall eines erneuten Besuchs wiederauffindbar zu sein, ohne dass die betroffenen Personen hierin eingewilligt hätten oder darüber informiert worden wären. Die Gemeinschaft der Zeugen Jehovas und ihre Gemeinden organisieren und koordinieren die von Tür zu Tür durchgeführte Verkündigungstätigkeit ihrer Mitglieder insbesondere dadurch, dass sie Gebietskarten erstellen, auf deren Grundlage Bezirke unter den verkündigenden Mitgliedern aufgeteilt werden, und indem sie Verzeichnisse über die Verkündiger und die Anzahl der von ihnen verbreiteten Publikationen der Gemeinschaft führen. Außerdem führen die Gemeinden der Gemeinschaft der Zeugen Jehovas eine Liste der Personen, die darum gebeten haben, nicht mehr von den Verkündigern aufgesucht zu werden. Die in dieser Liste enthaltenen personenbezogenen Daten werden von den Mitgliedern der Gemeinschaft verwendet.

Das Vorabentscheidungsersuchen des Korkein hallinto-oikeus (Oberster Verwaltungsgerichtshof, Finnland) betrifft im Wesentlichen die Frage, ob die Gemeinschaft den unionsrechtlichen Vorschriften über den Schutz personenbezogener Daten unterliegt, weil sich ihre Mitglieder bei der Ausübung ihrer Verkündigungstätigkeit von Tür zu Tür veranlasst sehen können, sich Notizen über den Inhalt ihrer Gespräche und insbesondere die religiöse Orientierung der von ihnen aufgesuchten Personen zu machen.

In seinem heute verkündeten Urteil stellt der Gerichtshof zunächst fest, dass die von den Mitgliedern der Gemeinschaft der Zeugen Jehovas von Tür zu Tür durchgehführte Verkündigungstätigkeit nicht unter die Ausnahmen fällt, die die unionsrechtlichen Vorschriften über den Schutz personenbezogener Daten vorsehen. Insbesondere ist diese Tätigkeit keine ausschließlich persönliche oder familiäre Tätigkeit, für die diese Vorschriften nicht gelten. Der Umstand, dass die Verkündigungstätigkeit von Tür zu Tür durch das in Art. 10 Abs. 1 der Charta der Grundrechte der EU verankerte Grundrecht auf Gewissens- und Religionsfreiheit geschützt ist, verleiht ihr keinen ausschließlich persönlichen oder familiären Charakter, da sie über die private Sphäre eines als Verkündiger tätigen Mitglieds einer Religionsgemeinschaft hinausgeht.

Sodann weist der Gerichtshof einschränkend darauf hin, dass die unionsrechtlichen Vorschriften über den Schutz personenbezogener Daten nur dann auf die manuelle Verarbeitung von Daten anwendbar sind, wenn diese Daten in einer Datei gespeichert sind oder gespeichert werden sollen. Da im vorliegenden Fall die Verarbeitung personenbezogener Daten nicht automatisiert erfolgt, stellt sich die Frage, ob die verarbeiteten Daten in einer Datei gespeichert sind oder gespeichert
werden sollen. Insoweit gelangt der Gerichtshof zu dem Ergebnis, dass der Begriff „Datei“ jede Sammlung personenbezogener Daten, die im Rahmen einer Verkündigungstätigkeit von Tür zu Tür erhoben wurden und zu denen Namen und Adressen sowie weitere Informationen über die aufgesuchten Personen gehören, umfasst, sofern diese Daten nach bestimmten Kriterien so
strukturiert sind, dass sie in der Praxis zur späteren Verwendung leicht wiederauffindbar sind. Um unter diesen Begriff zu fallen, muss eine solche Sammlung nicht aus spezifischen Kartotheken oder Verzeichnissen oder anderen der Recherche dienenden Ordnungssystemen bestehen.

Demnach müssen die Verarbeitungen personenbezogener Daten, die im Rahmen der Verkündigungstätigkeit von Tür zu Tür erfolgen, mit den unionsrechtlichen Vorschriften über den Schutz personenbezogener Daten im Einklang stehen. Zu der Frage, wer als für die Verarbeitung der personenbezogenen Daten Verantwortlicher angesehen werden kann, weist der Gerichtshof darauf hin, dass der Begriff „für die Verarbeitung Verantwortlicher“ mehrere an dieser Verarbeitung beteiligte Akteure betreffen kann, wobei dann jeder von ihnen den unionsrechtlichen Vorschriften über den Schutz personenbezogener Daten unterliegt. Diese Akteure können in verschiedenen Phasen und in unterschiedlichem Ausmaß in die Verarbeitung einbezogen sein, so dass der Grad der Verantwortlichkeit eines jeden von ihnen unter Berücksichtigung aller maßgeblichen Umstände des Einzelfalls zu beurteilen ist. Der Gerichtshof stellt außerdem fest, dass aus keiner Bestimmung des Unionsrechts geschlossen werden kann, dass die Entscheidung über die Zwecke und Mittel der Verarbeitung mittels schriftlicher Anleitungen oder Anweisungen seitens des für die Verarbeitung Verantwortlichen erfolgen muss. Hingegen kann eine natürliche oder juristische Person, die aus Eigeninteresse auf die Verarbeitung der personenbezogenen Daten Einfluss nimmt und damit an der Entscheidung
über die Zwecke und Mittel dieser Verarbeitung beteiligt ist, als für die Verarbeitung Verantwortlicher angesehen werden.

Im Übrigen setzt die gemeinsame Verantwortlichkeit mehrerer Akteure nicht voraus, dass jeder von ihnen Zugang zu den personenbezogenen Daten hat. Im vorliegenden Fall ist davon auszugehen, dass die Gemeinschaft der Zeugen Jehovas dadurch, dass sie die Verkündigungstätigkeit ihrer Mitglieder organisiert und koordiniert und zu ihr ermuntert, gemeinsam mit ihren verkündigenden Mitgliedern an der Entscheidung über den Zweck und die Mittel der Verarbeitung der personenbezogenen Daten der aufgesuchten Personen beteiligt ist, was jedoch das finnische Gericht anhand sämtlicher Umstände des vorliegenden
Falles zu beurteilen hat. Der in Art. 17 AEUV niedergelegte Grundsatz der organisatorischen Autonomie der Religionsgemeinschaften stellt diese Würdigung nicht in Frage.

Der Gerichtshof gelangt zu dem Schluss, dass nach den unionsrechtlichen Vorschriften über den Schutz personenbezogener Daten eine Religionsgemeinschaft gemeinsam mit ihren als Verkündiger tätigen Mitgliedern als Verantwortliche für die Verarbeitung personenbezogener Daten angesehen werden kann, die durch diese Mitglieder im Rahmen einer Verkündigungstätigkeit von Tür zu Tür erfolgt, die von dieser Gemeinschaft organisiert und koordiniert wird und zu der sie ermuntert, ohne dass es hierfür erforderlich wäre, dass die Gemeinschaft Zugriff auf die Daten hat oder ihren Mitgliedern nachweislich schriftliche Anleitungen oder Anweisungen zu dieser Datenverarbeitung gegeben hat.


Den Volltext der Entscheidung finden Sie hier:



SG München: Grundsatz der Datensparsamkeit gilt nicht im Zusammenhang mit der Erhebung von Daten im Rahmen des Rettungsdienstes

SG München
Urteil vom 21.06.2017
S 38 KA 1792/14


Das SG München hat entschieden, dass der Grundsatz der Datensparsamkeit nicht im Zusammenhang mit der Erhebung von Daten im Rahmen des Rettungsdienstes gilt.

Aus den Entscheidungsgründen:

Unstrittig dürfte sein, dass auch für den Notarzt eine Dokumentationspflicht besteht und mit „emDoc“ der gesetzliche Auftrag der Dokumentation in Art. 46 Abs. 1 BayRDG umgesetzt werden kann. Danach hat der Notarzt die Pflicht, die Einsätze und die dabei getroffenen aufgabenbezogenen Feststellungen und Maßnahmen zu dokumentieren. Die Dokumentation hat nach Art. 46 Abs. 3 BayRDG nach einheitlichen Grundsätzen zu erfolgen. Gemäß Art. 34 Abs. 8 BayRDG ist für den Vollzug der Abs. 2-7 und des Art. 35 (insbesondere Vollzug der Benutzungsentgeltvereinbarung) eine Zentrale Abrechnungsstelle eingeschaltet, die auch Auszahlungen auf die mit den Sozialversicherungsträgern vereinbarten oder rechtskräftig festgesetzten Kosten der Leistungserbringung an die Kassenärztliche Vereinigung Bayerns vornimmt (vgl. § 34 Abs. 8 Ziff. 5 BayRDG).

Die Einführung von “emDoc“ soll insbesondere dazu dienen, dass die gesetzlich vorgeschriebene Dokumentation (Art. 46 BayRDG) und deren Einheitlichkeit (Art. 46 Abs. 3 BayRDG) sichergestellt wird. Ferner soll sie dem Qualitätsmanagement dienen.

Wie die Dokumentation im Einzelnen für den Notarzt im Detail aussehen soll, ist allerdings gesetzlich nicht geregelt. Hierfür finden sich weder im Bayerischen Rettungsdienstgesetz (Art. 46, 47 BayRDG), noch in §§ zu 285, 294, 295 SGB V entsprechende Anhaltspunkte. In diesem Zusammenhang ist fraglich, ob die Grund-sätze der sog. Wesentlichkeitstheorie des Bundesverfassungsgerichts (vgl. BVerfG Entscheidung vom 08.08.1978, Az. 2 BvL 8/77) und das rechtsstaatliche Gebot der Normenklarheit (vgl. BVerfG, Entscheidung vom 15.12.1983, Az. 1 BvR 209/83) eingehalten wurden.

Abgesehen davon ist die Zulässigkeit der Dokumentation nicht unbegrenzt, soweit es sich um die Erfassung personenbezogener Daten handelt. Nach Art. 47 Abs. 1 BayRDG dürfen personenbezogene Daten unter anderem nur erhoben werden, wenn dies für rettungsdienstliche Aufgaben (Art. 47 Abs. 1 Ziff. 1-6 BayRDG) oder für Zwecke der wissenschaftlichen notfallmedizinischen Forschung erforderlich ist oder die betroffene Person eingewilligt hat. Damit wird wie in anderen gesetzlichen Regelungen (vgl. § 35 Abs. 2 SGB I i.V.m. § 67 a SGB X, § 284 Abs. 1 S. 1 SGB V, § 285 Abs. 1 und 2 SGB V) die Zulässigkeit der Erhebung von der Daten von der Erforderlichkeit abhängig gemacht. Die Erforderlichkeit der Datenerhebung nach Art. 47 Abs. 1 BayRDG ist von dem Grundsatz der Datensparsamkeit zu unterscheiden. Letzterer ist ausdrücklich in § 3a Bundesdatenschutzgesetz (BDSG) genannt. Dieser Grundsatz der Datensparsamkeit gilt jedoch im Zusammenhang mit der Erhebung von Daten im Rahmen des Rettungsdienstes (BayRDG) nicht. Nach § 1 Abs. 3 BDSG gehen zwar nur andere Rechtsvorschriften des Bundes den Vorschriften des BDSG vor. Ein Nachrang gegenüber Landesgesetzen besteht somit nicht. Jedoch sind die allgemeinen Datenschutzregeln des § 285 Abs. 2 SGB V, die sich ebenfalls auf die Zulässigkeit der Erhebung personenbezogener Daten durch die Kassenärztliche Vereinigung beziehen und ebenfalls wie Art. 47 BayRDG auf die Erforderlichkeit, nicht aber die Datensparsamkeit abstellen, sowie die Datenschutzregeln des § 35 SGB I i.V.m. §§ 67 ff. SGB X heranzuziehen, so dass eine Anwendung von § 3a BDSG ausscheidet (vgl. LSG Baden-Württem-berg, Urteil vom 21.06.2016, L 11 KR 2510/15).

Nach Auffassung des Gerichts bestehen gegen die Dokumentation, wie sie in der aktuellen Fassung (Kurz-Fassung) vorgesehen ist, rechtliche Bedenken, insbesondere vor dem Hintergrund datenschutzrechtlicher Aspekte.

Zwar hat der Datenschutzbeauftragte in seiner Stellungnahme vom 12.01.2010 zum Projekt („emDoc“) die Auffassung geäußert, „die Erhebung und Speicherung personenbezogener Daten durch die KVB im Rahmen des Projekts „emDoc“ könne zur Erfüllung rettungsdienstlicher Aufgaben im Ergebnis als erforderlich angesehen werden. Außerdem wurde auf die Begründung zur Novelle des Bayerischen Rettungsdienstgesetzes hingewiesen. Dort sei zum Ausdruck gebracht worden, dass der Gesetzgeber eine Erhebung und Speicherung personenbezogener Daten zu den in Art. 47 genannten Zwecken für zulässig erachte, weil andernfalls ein zweiter Datensatz notwendig wäre und dies in der Praxis einen erheblichen Zeitaufwand bedeuten würde (siehe Landtags-Drucksache 15/10391, Anmerkungen zu Art. 47 - Datenschutz). Die Stellungnahme bezieht sich jedoch nicht auf die aktuelle Kurz-Fassung von „emDoc“. Außerdem ist sie für das Gericht nicht bindend.

Die Beklagte beruft sich insbesondere darauf, die in „emDoc“ vorgesehenen Daten seien im Hinblick auf die Abrechnung der erbrachten Leistungen bzw. aus Gründen der Qualitätssicherung notwendig. Damit beruft sie sich auf Art. 47 Abs. 1 Ziff. 2 bzw. auf Art. 47 Abs. 1 Ziff. 4 i.V.m. Art. 45 BayRDG. Fraglich scheint zunächst, ob es sich bei den Angaben über die Einsatzzeit, die Kreisverbandsnummer, die Wache, die Auftragsnummer des Rettungstransportwagens, die PLZ, den Einsatzort und die Alarmierungszeit um personenbezogene Daten handelt. Denn ein direkter Zusammenhang mit einer bestimmten Person besteht nicht. Es reicht aber aus, dass es sich um personenbeziehbare Daten handelt (vgl. Kassler Kommentar, Komment. zum SGB, Rn 5 zu § 284 SGB V). Personenbeziehbare Daten sind personenbezogenen Daten gleichzusetzen. Kann beispielsweise durch Zusammenfügen von Daten auf eine bestimmte Person geschlossen werden, liegen personenbeziehbare Daten vor. Die geforderten Pflichtangaben in „emDoc“ lassen nach Auffassung des Gerichts in Gesamtschau befürchten, dass eine Identifizierung möglich ist.

Soweit sich die Beklagte auf Gründe der Qualitätssicherung (Art. 47 Abs. 1 Ziff. 4 i.V.m. Art. 45 BayRDG) bezieht, lässt sich daraus aktuell eine Erforderlichkeit nicht herleiten. Denn die Beteiligten haben übereinstimmend angegeben, dass eine Dokumentation aus Gründen der Qualitätssicherung bis zur Neuregelung von „emDoc“ ausgesetzt wurde. Insofern widerspricht sich die Beklagte, wenn sie sich auf Gründe der Qualitätssicherung beruft.

Somit ist zu prüfen, ob die Dokumentation personenbeziehbarer Daten, die vom Kläger abverlangt wird, aus sonstigen rettungsdienstlichen Gründen - mit Ausnahme der Gründe der Qualitätssicherung - erforderlich ist. Die Beklagte hält die Erhebung der Daten insbesondere zur Abrechnung der erbrachten Leistungen (Art. 47 Abs. 1 Ziff. 2 BayRDG) oder für Zwecke der wissenschaftlichen notfallmedizinischen Forschung für erforderlich.

Auch nach der hierzu von der Beklagten vom Gericht ausdrücklich angeforderten und abgegebenen Stellungnahme ist nicht nachvollziehbar, warum die Angaben, die vom Kläger abverlangt werden und von ihm beanstandet werden, zur Abrechnung der im Notarztdienst erbrachten Leistungen erforderlich sein sollen. Bedeutsam ist, dass auch im Datenschutzrecht der Verhältnismäßigkeitsgrundsatz gilt. Der in Art. 47 BayRDG formulierte Datenschutz als Ausfluss des Persönlichkeitsrechts von Art. 2, 1 Grundgesetz verlangt, dass die Einschränkung des Rechts auf informationelle Selbstbestimmung hinreichend aus Gründen des Allgemeinwohls gerechtfertigt wird, das gewählte Mittel zur Erreichung des Zwecks geeignet und erforderlich ist und bei der Gesamtabwägung zwischen der Schwere des Eingriffs und dem Gewicht der rechtfertigen Gründe die Grenze des Zumutbaren noch gewahrt ist (vgl. BVerfG 65, 1,41 f.; 56, 37, 41ff.). Auszuschließen und mit Datenschutzrecht nicht vereinbar ist, wenn personenbezogene Daten zu noch nicht bestimmbaren Zwecken, quasi auf Vorrat gesammelt werden (vgl. Kassler Kommentar, Komment. zum SGB, Rn 7 zu § 284).

Die obligatorischen Angaben über die Nummer des Kreisverbands, Wache des Rettungswagen, Postleitzahl, Einsatzort, Auftragsnummer der Leitstelle für den Rettungswagen dienen nach Auffassung des Gerichts nicht der Abrechnung der Leistungen des Notarztes, sondern vielmehr, wie von der Beklagten eingeräumt wird, allenfalls dem Datenabgleich bei der Zentralen Abrechnungsstelle für den Rettungsdienst Bayern GmbH (ZAST). Die Aufgabe der ZAST, einer juristischen Person des Privatrechts besteht nach Art. 34 Abs. 8 BayRDG u.a. darin, die Abrechnung der Einsätze aller Durchführenden des öffentlichen Rettungsdienstes gegenüber den Kostenträgern durchzuführen. So sind auch Auszahlungen an die Kassenärztliche Vereinigung Bayerns vorzunehmen. Ein Abgleich der Daten des Notarztes einerseits und der sonstigen Durchführenden des Rettungsdienstes ist aber speziell zur Abrechnung der Leistungen des Notarztes nicht erforderlich und nicht von Art. 47 Abs. 1 BayRDG bzw. §§ 285 Abs. 2, 295 Abs. 1 SGB V gedeckt. Letztendlich führt die „Zwischenschaltung“ der ZAST, die gesetzlich zwar in Art. 34 Abs. 8 BayRDG vorgesehen ist, dazu, dass ein „Mehr“ an Daten u.U. erforderlich ist. Diese „Zwischenschaltung“ rechtfertigt aber nicht das Erfordernis der Erhebung dieser Daten. Im Gegenteil! Je mehr Stellen die Daten zugänglich gemacht werden bzw. zugänglich zu machen sind, umso mehr besteht die Gefahr des Datenmissbrauchs. Deshalb sind bei dieser Konstellation an die Erforderlichkeit der Datenerhebung äußerst strenge Maßstäbe zu stellen. Im Übrigen erscheint die Aussage der Beklagten, die Angaben dienten der „Verifizierung“ des Einsatzes, sehr pauschal, zumal auch Art. 47 Abs. 1 Ziff. 2 BayRDG nicht von einer „Verifizierung“, sondern von der „Abwicklung“ des Einsatzes spricht. Davon abgesehen kann es nicht Aufgabe des Notarztes sein, im Nachhinein ihm zunächst nicht bekannte Daten (Kreisverbandsnummer, Nummer der Rettungswache) zu erfragen.

Ebensowenig besteht eine Erforderlichkeit der Angaben über Alarmzeit und Zeit des Einsatzendes, Postleitzahl und Einsatzort zu Abrechnungszwecken. Diese Angaben mögen bestimmte Vergütungszuschläge auslösen, sind aber nicht abrechnungsrelevant. Wenn hierzu keine Angaben gemacht werden, entfällt ein etwaiger Zuschlag. Gegen eine freiwillige Angabe - wenn also der Notarzt auch Zuschläge abrechnen will - bestehen aber keine rechtlichen Bedenken.


Den Volltext der Entscheidung finden Sie hier:



VG Bayreuth: Einsatz von Facebook Custom Audience verstößt gegen Datenschutzrecht und kann von Datenschutzbehörde untersagt werden

VG Bayreuth
Beschluss vom 08.05.2018
B 1 S 18.105


Das VG Bayreuth hat entschieden, dass der Einsatz von Facebook Custom Audience gegen Datenschutzrecht verstößt und von Datenschutzbehörde untersagt werden kann.

Aus den Entscheidungsgründen:

"Nachdem die Übermittlung der gehashten E-Mail-Adressen daher nicht im Rahmen einer Auftragsdatenverarbeitung i.S.v. § 11 BDSG erfolgt, handelt es sich um eine Übermittlung an einen Dritten (vgl. § 3 Abs. 8 Satz 3 BDSG).

b) Eine konkrete, den gesetzlichen Anforderungen entsprechende Einwilligung der Betroffenen, die zur Zulässigkeit der Datenübermittlung führen würde, liegt nicht vor (vgl. § 4 Abs. 1, § 4a BDSG). Auch die Antragstellerin selbst scheint im Übrigen nicht vom Vorliegen einer wirksamen Einwilligung auszugehen (S. 24 des Klage-/Antragsschriftsatzes vom 01.02.2018).

c) Demzufolge wäre hier eine gesetzliche Gestattung der Datenübermittlung notwendig. Es kann offen bleiben, ob es im Falle einer „gescheiterten“ Auftragsdatenverarbeitung möglich ist, die Datenverarbeitung auf die allgemeinen Erlaubnisnormen des Bundesdatenschutzgesetzes zu stützen (vgl. hierzu Plath a.a.O., § 11 Rn. 20 m.w.N.). Denn die Voraussetzungen der in Betracht kommenden Normen sind nicht erfüllt.

aa) Die Antragstellerin kann die Zulässigkeit der Datenübermittlung nicht auf das sog. „Listenprivileg“ stützen. Nach § 28 Abs. 3 Satz 2 BDSG ist die Verarbeitung oder Nutzung personenbezogener Daten ohne Einwilligung des Betroffenen zulässig, soweit es sich um listenmäßig oder sonst zusammengefasste Daten über Angehörige einer Personengruppe handelt, die sich auf die Zugehörigkeit des Betroffenen zu dieser Personengruppe, seine Berufs-, Branchen- oder Geschäftsbezeichnung, seinen Namen, Titel, akademischen Grad, seine Anschrift und sein Geburtsjahr beschränken (und außerdem die Voraussetzungen des § 28 Abs. 3 Satz 2 Nrn. 1, 2 oder 3 BDSG erfüllt sind). Bei E-Mail-Adressen handelt es sich jedoch nicht um sog. Listendaten, da sie in der abschließenden Aufzählung des § 28 Abs. 3 Satz 2 BDSG nicht enthalten sind (vgl. Plath a.a.O., § 28 Rn. 119 m.w.N.).

Soweit die Antragstellerin vortragen lässt, dass bei genauer Betrachtung nicht eine Übertragung gehashter E-Mail-Adressen erfolge, sondern der Information, dass jemand (möglicherweise) Kunde der Antragstellerin sei, was auf Grundlage von § 28 Abs. 3 Satz 2 BDSG ohne Weiteres möglich sei, kann dem nicht gefolgt werden. Zwar nimmt der Gesetzgeber – wie in der zitierten Kommentarstelle ausgeführt wird (Simitis a.a.O., § 28 Rn. 232) – die Verwendung einer zusätzlichen Angabe in Kauf. § 28 Abs. 3 Satz 2 BDSG ermächtigt jedoch nicht isoliert dazu, einer anderen Stelle mitzuteilen, dass gewisse Personen Kunden der übermittelnden Stelle sind. Vielmehr wird diese (implizite) Angabe ermöglicht, wenn es sich im Ausgangspunkt überhaupt um Listendaten i.S.v. § 28 Abs. 3 Satz 2 BDSG handelt, was bei
E-Mail-Adressen nicht der Fall ist.

Eine Berechtigung zur Übermittlung ergibt sich auch nicht aus § 28 Abs. 3 Satz 3 BDSG, da dieser lediglich das „Hinzuspeichern“ und somit allein die Vervollständigung der Informationen erlaubt, jedoch keine eigene Übermittlungsbefugnis hinsichtlich weiterer Daten enthält (vgl. Wolff in BeckOK DatenschutzR, 23. Ed. 01.08.2015 § 28 Rn. 132; Plath a.a.O., § 28 Rn. 128; BT-Drs. 16/12011, S. 21: „Absatz 3 Satz 3 ist keine eigene Erhebungs- oder Übermittlungsbefugnis. Absatz 3 Satz 3 soll es der verantwortlichen Stelle ermöglichen, einen eigenen Datenbestand, der direkt beim Betroffenen erhoben wurde, für Zwecke der Eigenwerbung oder der eigenen Markt- oder Meinungsforschung zu selektieren, um die bestehenden Kunden gezielter ansprechen zu können.“).

Auf § 28 Abs. 3 Satz 4 BDSG kann die Übermittlung der gehashten E-Mail-Adressen ebenfalls nicht gestützt werden, weil sich auch diese Norm explizit auf Daten nach Satz 2, mithin auf sog. Listendaten, bezieht, zu denen E-Mail-Adressen nicht zählen.

Im vorliegenden Fall kann die Datenübermittlung auch nicht mit der Regelung des § 28 Abs. 3 Satz 5 BDSG gerechtfertigt werden. Diese Norm berechtigt nur zur Werbung für fremde Angebote (die zudem an weitere Voraussetzungen geknüpft ist). Dies betrifft aber nicht die Befugnis der Antragstellerin, die Daten an einen Dritten zu übermitteln. Unmittelbar berechtigt § 28 Abs. 3 Satz 5 BDSG nur zur Verwendung zur Werbung durch einen Dritten (hier ggf. F.), würde aber vorgelagert eine rechtmäßige Datenerhebung F.s voraussetzen. Der hier zu würdigende Übermittlungsakt von der Antragstellerin an F. wird seinerseits durch § 28 Abs. 3 Satz 5 BDSG nicht gestattet (vgl. Plath a.a.O., § 28 Rn. 144).

Aus den vorstehenden Gründen kommt eine einwilligungsfreie Übermittlung auf Grundlage von § 28 Abs. 3 BDSG somit nicht in Betracht. Darüber hinaus wäre jedoch auch insoweit eine zugunsten der Antragstellerin ausgehende Interessenabwägung notwendig (§ 28 Abs. 3 Satz 6 BDSG). In der vorliegenden Konstellation geht die Interessenabwägung jedoch zum Nachteil der Antragstellerin aus (dazu nachfolgend unter II. 1. a) bb)).

Es ist auch nicht davon auszugehen, dass die Ausnahme von E-Mail-Adressen im Rahmen des sog. Listenprivilegs unionsrechtswidrig wäre. Soweit in diesem Zusammenhang auf die Entscheidungen des Europäischen Gerichtshofs Bezug genommen wird, ist hierzu auszuführen, dass nach dessen Rechtsprechung Art. 7 Buchst. f der Richtlinie 95/46/EG einen Mitgliedstaat daran hindert, kategorisch und ganz allgemein die Verarbeitung bestimmter Kategorien personenbezogener Daten auszuschließen, ohne Raum für eine Abwägung der im konkreten Einzelfall einander gegenüberstehenden Rechte und Interessen zu lassen (EuGH, U.v. 19.10.2016 – Breyer, C-582/14 – juris Rn. 62 unter Bezugnahme auf U.v. 24.11.2011 – ASNEF und FECEMD, C-468/10 und C-469/10 – juris Rn. 47 f.). Auch wenn E-Mail-Adressen nicht unter das sog. Listenprivileg fallen, schließt die Anwendung des Bundesdatenschutzgesetzes, insbesondere des § 28 BDSG, eine Übermittlung von E-Mail-Adressen nicht schlechthin und ohne Raum für eine Abwägung zu lassen aus, da in diesem Fall eine Rechtfertigung nach § 28 Abs. 1 Satz 1 Nr. 2 BDSG auf Basis einer Interessenabwägung in Betracht kommt. Eine unionsrechtskonforme Auslegung und Anwendung des § 28 BDSG ist im vorliegenden Fall daher dadurch möglich, dass insoweit nicht von einer Sperrwirkung des § 28 Abs. 3 BDSG hinsichtlich des Rückgriffs auf § 28 Abs. 1 Satz 1 Nr. 2 BDSG ausgegangen wird.

bb) Auch durch § 28 Abs. 1 Satz 1 Nr. 2 BDSG kann die Übermittlung der (gehashten) E-Mail-Adressen jedoch nicht gerechtfertigt werden. Hiernach ist das Erheben, Speichern, Verändern oder Übermitteln personenbezogener Daten oder ihre Nutzung als Mittel für die Erfüllung eigener Geschäftszwecke zulässig, soweit es zur Wahrung berechtigter Interessen der verantwortlichen Stelle erforderlich ist und kein Grund zu der Annahme besteht, dass das schutzwürdige Interesse des Betroffenen überwiegt. Im Rahmen der insoweit vorzunehmenden Interessenabwägung sind jedoch die im § 28 Abs. 3 BDSG getroffenen Wertungen des Gesetzgebers zu berücksichtigen. Wie der Europäische Gerichtshof in seiner oben zitierten Rechtsprechung ausgeführt hat, gebietet das Unionsrecht lediglich, im Einzelfall Raum für eine Abwägung zu lassen. Die dem Regelungsregime des § 28 Abs. 3 BDSG zugrundeliegenden grundsätzlichen Wertungen zu unterlaufen oder auszuhöhlen ist weder aufgrund der Richtlinie 95/46/EG (Datenschutz-Richtlinie) noch aus sonstigen Gründen geboten. Der Europäische Gerichthof fordert lediglich, dass das nationale Recht eines Mitgliedstaats das Ergebnis der einander gegenüberstehenden Rechte und Interessen nicht abschließend vorschreiben darf, „ohne Raum für ein Ergebnis zu lassen, das aufgrund besonderer Umstände des Einzelfalls anders ausfällt“ (EuGH, U.v. 19.10.2016 – Breyer, C-582/14 – juris Rn. 62).

Nach der grundsätzlichen Wertung des § 28 Abs. 3 Satz 1 BDSG ist die Verarbeitung und Nutzung personenbezogener Daten für Zwecke der Werbung nur zulässig, wenn der Betroffene eingewilligt hat. Die dem nachfolgenden Regelungen zu sog. Listendaten (vgl. dazu oben) bilden eine Ausnahme von diesem Grundsatz, wobei der Gesetzgeber nur für die dort genannten Arten von Daten Privilegierungen geregelt und diese darüber hinaus an weitere Voraussetzungen geknüpft hat. In der hiesigen Fallgestaltung ist festzustellen, dass die hier beanstandete Übermittlung der E-Mail-Adressen nach den dezidierten Regelungen in § 28 Abs. 3 BDSG selbst dann rechtswidrig wäre, wenn man insoweit die Privilegierungen für Listendaten zugrunde legen würde. Dies spricht im Rahmen der Interessenabwägung für das Überwiegen der Betroffenenrechte. So dürfen Listendaten zwar gem. § 28 Abs. 3 Satz 2 Nr. 1 BDSG für eigene Werbezwecke verwendet werden. Dies erlaubt jedoch gerade nicht die – hier erfolgende – Übermittlung an Dritte (vgl. Plath a.a.O., § 28 Rn. 124). Darüber hinausgehend ist die Übermittlung von Listendaten an Dritte zum Zwecke der Werbung (§ 28 Abs. 2 Satz 4 BDSG) insbesondere an die Bedingung geknüpft, dass die Stelle, die die Daten erstmalig erhoben hat (hier: die Antragstellerin) aus der Werbung „eindeutig hervorgehen“ muss (sog. Transparenzgebot); anders als nach Abs. 3 Satz 5 muss sie nicht (lediglich) „eindeutig erkennbar“ sein. Es muss an geeigneter Stelle der Hinweis enthalten sein, woher der Werbende die Listen hat, etwa durch Angabe des Namens und der Anschrift des Adresshändlers. Der Betroffene muss aufgrund dieses Hinweises in der Lage sein, sein Widerspruchsrecht gem. § 28 Abs. 4 BDSG geltend zu machen (Wolff a.a.O., § 28 Rn. 135; vgl. auch Plath a.a.O., § 28 Rn. 139 f.). Allein der Umstand, dass es sich um Angebote der Antragstellerin handelt, die dem Betroffenen bei F. angezeigt werden, reicht insoweit nicht aus, zumal die Stelle, die die Daten zum Zwecke der Werbung verwendet und die, zu deren Gunsten die Werbung erfolgt, auseinanderfallen können (etwa bei der Beipack- und Empfehlungswerbung, vgl. § 28 Abs. 3 Satz 5 BDSG).

Auch die konkrete Ausgestaltung der Widerspruchsmöglichkeit führt nicht zu einem überwiegenden Interesse der Antragstellerin (auch wenn sich die konkrete Umsetzung des Widerspruchs anders vollziehen mag als vom Antragsgegner angenommen). Wie die Antragstellerin selbst ausführt, besteht (erst) seit dem 22.08.2017 ein konkreter Hinweis auf die Übermittlung der E-Mail-Adressen an F. Personen, die ihre Daten vor diesem Datum an die Antragstellerin übermittelt und im Zuge dessen von den Datenschutzbestimmungen Kenntnis erlangt haben, waren auf diese konkrete Maßnahme der Datenverarbeitung nicht hingewiesen worden. Ihre Daten befinden sich eventuell jedoch nach wie vor auf der hochgeladenen Kundenliste, ohne dass sichergestellt ist, dass sie von den aktuellen Datenschutzhinweisen Kenntnis genommen haben – für die Betroffenen bestand unter Umständen keine Veranlassung dazu, sich erneut mit den Datenschutzhinweisen der Antragstellerin zu befassen (z.B. wenn keine erneute Bestellung erfolgt ist). Ob die Listen (zuletzt) nach dem 22.08.2017 bei F. hochgeladen worden sind, ist somit unerheblich.

Generell setzt die Zulässigkeit einer Datenübermittlung nach § 28 Abs. 1 Satz 1 Nr. 2 BDSG voraus, dass diese zur Wahrung berechtigter Interessen der verantwortlichen Stelle „erforderlich“ ist – nicht etwa lediglich aus Sicht der verantwortlichen Stelle geeignet oder zweckmäßig. Gemeint sind Verwendungen, zu denen es keine objektiv zumutbare Alternative gibt. Eine Berufung der verantwortlichen Stelle auf § 28 Abs. 1 Satz 1 Nr. 2 BDSG kommt so lange nicht in Betracht, wie diese ihr Informationsziel anders erreichen kann (vgl. Simitis a.a.O., § 28 Rn. 108 m.w.N.). Zu berücksichtigen ist daher auch, dass die Antragstellerin die Daten insbesondere im Rahmen von Bestellvorgängen erwirbt und es ihr deswegen ohne einen unverhältnismäßig großen Aufwand möglich wäre, im Einzelfall eine Einwilligung zur Übermittlung der Daten an F. einzuholen.

Somit geht auch die Interessenabwägung zu Ungunsten der Antragstellerin aus (§ 28 Abs. 1 Satz 1 Nr. 2 bzw. § 28 Abs. 3 Satz 6 BDSG), sodass eine Rechtfertigung auf Grundlage des § 28 BDSG ausscheidet. Andere Vorschriften, die eine entsprechende Datenübermittlung rechtfertigen oder anordnen sind nicht ersichtlich.

d) Die Datenübermittlung an F. ist daher rechtswidrig, weswegen das Bayerische Landesamt für Datenschutzaufsicht wie in Ziff. 1 des streitgegenständlichen Bescheids verfügt die Beseitigung des festgestellten Verstoßes verlangen konnte. Auch sonst bestehen hinsichtlich der Löschungsanordnung keine Rechtmäßigkeitsbedenken. Insbesondere sind Ermessensfehler i.S.v. § 114 Satz 1 VwGO nicht ersichtlich. Das Bayerische Landesamt für Datenschutzaufsicht hat das ihm zustehende Ermessen (Art. 40 BayVwVfG) erkannt und im Bescheid in nicht zu beanstandender Art und Weise ausgeübt.

Letztlich geht somit auch die im Rahmen des Verfahrens nach § 80 Abs. 5 VwGO vorzunehmende Interessenabwägung zwischen dem öffentlichen Vollziehungsinteresse und dem Suspensivinteresse der Antragstellerin zu deren Nachteil aus. Nachdem die derzeitigen Zustände sich voraussichtlich als datenschutzwidrig darstellen, ist es geboten, diesen Zustand auch schon vor einer (rechtskräftigen) Entscheidung in der Hauptsache zu beenden."

Den Volltext der Entscheidung finden Sie hier:

Datenschutzbehörden: Nach EuGH-Entscheidung ist rechtskonformer Betrieb von Facebook-Fanpage bzw. Facebook-Seite nicht möglich

Die Konferenz der unabhängigen Datenschutzbehörden des Bundes und der Länder (DFK) hat sich mit einer Entschließung vom 06.06.2018 zur EuGH-Entscheidung vom 05.06.2017 - C-210/16 (siehe dazu EuGH: Betreiber einer Facebook-Seite / Facebook-Fanpage gemeinsam mit Facebook für Verarbeitung der personenbezogenen Daten der Besucher verantwortlich) geäußert. Nach Ansicht der DSK ist ein rechtskonformer Betrieb einer Facebook-Fanpage bzw. Facebook-Seite derzeit nicht möglich, da die Nutzer ohne Mitwirkung von Facebook keine datenschutzkonforme Seite vorhalten können.

Die Mitteilung der DSK:

"Die Zeit der Verantwortungslosigkeit ist vorbei: EuGH bestätigt gemeinsame Verantwortung von Facebook und Fanpage-Betreibern

Die unabhängigen Datenschutzbehörden des Bundes und der Länder begrüßen das Urteil des Europäischen Gerichtshofs (EuGH) vom 5. Juni 2018, das ihre langjährige Rechtsauffassung bestätigt.

Das Urteil des EuGH zur gemeinsamen Verantwortung von Facebook und den Betreibern einer Fanpage hat unmittelbare Auswirkungen auf die Seitenbetreiber. Diese können nicht mehr allein auf die datenschutzrechtliche Verantwortung von Facebook verweisen, sondern sind selbst mitverantwortlich für die Einhaltung des Datenschutzes gegenüber den Nutzenden ihrer Fanpage.

Dabei müssen sie die Verpflichtungen aus den aktuell geltenden Regelungen der Datenschutz-Grundverordnung (DS-GVO) beachten. Zwar nimmt das Urteil Bezug auf die frühere Richtlinie 95/46/EG zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten zum freien Datenverkehr, doch die vom EuGH festgestellte Mitverantwortung der Seitenbetreiber erstreckt sich auf das jeweils geltende Recht, insbesondere auf die in der DS-GVO festgeschriebenen Rechte der Betroffenen und Pflichten der Verarbeiter.

Im Einzelnen ist Folgendes zu beachten:

- Wer eine Fanpage besucht, muss transparent und in verständlicher Form darüber informiert werden, welche Daten zu welchen Zwecken durch Facebook und die Fanpage-Betreiber verarbeitet werden. Dies gilt sowohl für Personen, die bei Facebook registriert sind, als auch für nicht registrierte Besucherinnen und Besucher des Netzwerks.

- Betreiber von Fanpages sollten sich selbst versichern, dass Facebook ihnen die Informationen zur Verfügung stellt, die zur Erfüllung der genannten Informationspflichten benötigt werden.

- Soweit Facebook Besucherinnen und Besucher einer Fanpage durch Erhebung personenbezogener Daten trackt, sei es durch den Einsatz von Cookies oder vergleichbarer Techniken oder durch die Speicherung der IP-Adresse, ist grundsätzlich eine Einwilligung der Nutzenden erforderlich, die die Anforderung der DS-GVO erfüllt.

- Für die Bereiche der gemeinsamen Verantwortung von Facebook und Fanpage-Betreibern ist in einer Vereinbarung festzulegen, wer von ihnen welche Verpflichtung der DS-GVO erfüllt. Diese Vereinbarung muss in wesentlichen Punkten den Betroffenen zur Verfügung gestellt werden, damit diese ihre Betroffenenrechte wahrnehmen können.

Für die Durchsetzung der Datenschutzvorgaben bei einer Fanpage ist die Aufsichtsbehörde zuständig, die für das jeweilige Unternehmen oder die Behörde zuständig ist, die die Fanpage betreibt. Die Durchsetzung der Datenschutzvorgaben im Verantwortungsbereich von Facebook selbst obliegt primär der irischen Datenschutzaufsicht im Rahmen der europäischen Zusammenarbeit.

Die deutschen Aufsichtsbehörden weisen darauf hin, dass nach dem Urteil des EuGH dringender Handlungsbedarf für die Betreiber von Fanpages besteht. Dabei ist nicht zu verkennen, dass die Fanpage-Betreiber ihre datenschutzrechtlichen Verantwortung nur erfüllen können, wenn Facebook selbst an der Lösung mitwirkt und ein datenschutzkonformes Produkt anbietet, das die Rechte der Betroffenen wahrt und einen ordnungsgemäßen Betrieb in Europa ermöglicht.



EuGH: Betreiber einer Facebook-Seite / Facebook-Fanpage gemeinsam mit Facebook für Verarbeitung der personenbezogenen Daten der Besucher verantwortlich

EuGH
Urteil vom 05.06.2018
C-210/16
Unabhängiges Landeszentrum für Datenschutz Schleswig-Holstein ./, Wirtschaftsakademie Schleswig-Holstein GmbH


Der EuGH hat entschieden, dass der Betreiber einer Facebook-Seite / Facebook-Fanpage gemeinsam mit Facebook die datenschutzrechtliche Verantwortung für die Verarbeitung der personenbezogenen Daten der Besucher trägt.

Entscheidend ist für den EuGH, dass der Betreiber einer Facebook-Seite "durch die von ihm vorgenommene Parametrierung (u. a. entsprechend seinem Zielpublikum sowie den Zielen der Steuerung oder Förderung seiner Tätigkeiten) an der Entscheidung über die Zwecke und Mittel der Verarbeitung der personenbezogenen Daten der Besucher seiner Fanpage beteiligt. " Ob dies generell bei Einrichtung einer Facebook-Seite der Fall ist oder die Nutzung weiterer Facebook-Funktionen erfordert, lässt der EuGH leider nicht genau erkennen. Sollten der EuGH generell die Einrichtung der Seite genügen lassen, könnten Facebook-Seiten / Facebook-Fanpages praktisch nicht mehr rechtskonform betrieben werden. Die Datenschutzbehörden sind - so der EuGH - jedenfalls befugt, in diesem Zusammenhang tätig zu werden.

Den Volltext der Entscheidung finden Sie hier:

Tenor der Entscheidung:

1. Art. 2 Buchst. d der Richtlinie 95/46/EG des Europäischen Parlaments und des Rates vom 24. Oktober 1995 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten und zum freien Datenverkehr ist dahin auszulegen, dass der Begriff des „für die Verarbeitung Verantwortlichen“ im Sinne dieser Bestimmung den Betreiber einer bei einem sozialen Netzwerk unterhaltenen Fanpage umfasst.

2. Die Art. 4 und 28 der Richtlinie 95/46 sind dahin auszulegen, dass dann, wenn ein außerhalb der Europäischen Union ansässiges Unternehmen mehrere Niederlassungen in verschiedenen Mitgliedstaaten unterhält, die Kontrollstelle eines Mitgliedstaats zur Ausübung der ihr durch Art. 28 Abs. 3 dieser Richtlinie übertragenen Befugnisse gegenüber einer im Hoheitsgebiet dieses Mitgliedstaats gelegenen Niederlassung dieses Unternehmens auch dann befugt ist, wenn nach der konzerninternen Aufgabenverteilung zum einen diese Niederlassung allein für den Verkauf von Werbeflächen und sonstige Marketingtätigkeiten im Hoheitsgebiet dieses Mitgliedstaats zuständig ist und zum anderen die ausschließliche Verantwortung für die Erhebung und Verarbeitung personenbezogener Daten für das gesamte Gebiet der Europäischen Union einer in einem anderen Mitgliedstaat gelegenen Niederlassung obliegt.

3. Art. 4 Abs. 1 Buchst. a und Art. 28 Abs. 3 und 6 der Richtlinie 95/46 sind dahin auszulegen, dass die Kontrollstelle eines Mitgliedstaats, wenn sie beabsichtigt, gegenüber einer im Hoheitsgebiet dieses Mitgliedstaats ansässigen Stelle wegen Verstößen gegen die Vorschriften über den Schutz personenbezogener Daten, die von einem Dritten begangen wurden, der für die Verarbeitung dieser Daten verantwortlich ist und seinen Sitz in einem anderen Mitgliedstaat hat, die Einwirkungsbefugnisse nach Art. 28 Abs. 3 dieser Richtlinie auszuüben, zuständig ist, die Rechtmäßigkeit einer solchen Datenverarbeitung unabhängig von der Kontrollstelle des letztgenannten Mitgliedstaats zu beurteilen und ihre Einwirkungsbefugnisse gegenüber der in ihrem Hoheitsgebiet ansässigen Stelle auszuüben, ohne zuvor die Kontrollstelle des anderen Mitgliedstaats um ein Eingreifen zu ersuchen.


Die Pressemitteilung des EuGH:

Der Betreiber einer Facebook-Fanpage ist gemeinsam mit Facebook für die Verarbeitung der personenbezogenen Daten der Besucher seiner Seite verantwortlich

Die Datenschutzbehörde des Mitgliedstaats, in dem dieser Betreiber seinen Sitz hat, kann nach der Richtlinie 95/461 sowohl gegen ihn als auch gegen die in diesem Mitgliedstaat niedergelassene Tochtergesellschaft von Facebook vorgehen

Die Wirtschaftsakademie Schleswig-Holstein ist ein auf den Bereich Bildung spezialisiertes Unternehmen. Sie bietet u. a. über eine auf Facebook unter der Adresse www.facebook.com/wirtschaftsakademie unterhaltene Fanpage Bildungsdienstleistungen an. Die Betreiber von Fanpages wie die Wirtschaftsakademie können mit Hilfe der Funktion Facebook Insight, die ihnen Facebook als nicht abdingbaren Teil des Benutzungsverhältnisses kostenfrei zur Verfügung stellt, anonymisierte statistische Daten betreffend die Nutzer dieser Seiten erhalten. Diese Daten werden mit Hilfe sogenannter Cookies gesammelt, die jeweils einen eindeutigen Benutzercode enthalten, der für zwei Jahre aktiv ist und den Facebook auf der Festplatte des Computers oder einem anderen Datenträger der Besucher der Fanpage speichert. Der Benutzercode, der mit den Anmeldungsdaten solcher Nutzer, die bei Facebook registriert sind, verknüpft werden kann, wird beim Aufrufen der Fanpages erhoben und verarbeitet.

Mit Bescheid vom 3. November 2011 ordnete das Unabhängige Landeszentrum für Datenschutz Schleswig-Holstein – als nach der Richtlinie 95/46 für die Überwachung der Anwendung der von Deutschland zur Umsetzung dieser Richtlinie erlassenen Vorschriften im Gebiet des Bundeslandes Schleswig-Holstein zuständige Kontrollstelle – gegenüber der Wirtschaftsakademie an, ihre Fanpage zu deaktivieren. Nach Auffassung des Unabhängigen Landeszentrums für Datenschutz wiesen nämlich weder die Wirtschaftsakademie noch Facebook die Besucher der Fanpage darauf hin, dass Facebook mittels Cookies sie betreffende personenbezogene Daten erhebt und diese Daten danach verarbeitet.

Die Wirtschaftsakademie erhob beim Verwaltungsgericht in Deutschland eine verwaltungsgerichtliche Klage gegen diesen Bescheid und machte geltend, dass ihr die Verarbeitung personenbezogener Daten durch Facebook nicht zugerechnet werden könne und sie Facebook auch nicht mit einer von ihr kontrollierten oder beeinflussbaren Datenverarbeitung beauftragt habe. Daraus leitete die Wirtschaftsakademie ab, dass das Unabhängige Landeszentrum direkt gegen Facebook und nicht gegen sie hätte vorgehen müssen.

Fanpages sind Benutzerkonten, die bei Facebook von Privatpersonen oder Unternehmen eingerichtet werden können. Der Fanpage-Anbieter kann nach einer Registrierung bei Facebook die von diesem unterhaltene Plattform dazu benutzen, sich den Nutzern dieses sozialen Netzwerks sowie Personen, die die Fanpage besuchen, zu präsentieren und Äußerungen aller Art in den Medien- und Meinungsmarkt einzubringen.

Vor diesem Hintergrund ersucht das Bundesverwaltungsgericht (Deutschland) den Gerichtshof um Auslegung der Richtlinie 95/46. In seinem Urteil vom heutigen Tag stellt der Gerichtshof zunächst fest, dass in der vorliegenden Rechtssache nicht in Zweifel gezogen wird, dass die amerikanische Gesellschaft Facebook und, was die Union betrifft, deren irische Tochtergesellschaft Facebook Ireland als „für die Verarbeitung“ der personenbezogenen Daten der Facebook-Nutzer und der Personen, die die auf Facebook unterhaltenen Fanpages besucht haben, „Verantwortliche“ anzusehen sind. Denn diese
Gesellschaften entscheiden in erster Linie über die Zwecke und Mittel der Verarbeitung dieser Daten.

Sodann befindet der Gerichtshof, dass ein Betreiber wie die Wirtschaftsakademie als in der Union gemeinsam mit Facebook Ireland für die fragliche Datenverarbeitung verantwortlich anzusehen ist. Ein solcher Betreiber ist nämlich durch die von ihm vorgenommene Parametrierung (u. a. entsprechend seinem Zielpublikum sowie den Zielen der Steuerung oder Förderung seiner Tätigkeiten) an der Entscheidung über die Zwecke und Mittel der Verarbeitung der personenbezogenen Daten der Besucher seiner Fanpage beteiligt. Der Gerichtshof weist insoweit darauf hin, dass der Fanpage-Betreiber insbesondere demografische Daten über seine Zielgruppe – und damit die Verarbeitung dieser Daten – verlangen kann (u. a. Tendenzen in den Bereichen Alter, Geschlecht, Beziehungsstatus und berufliche Situation), Informationen über den Lebensstil und die Interessen seiner Zielgruppe (einschließlich Informationen über die Käufe und das Online-Kaufverhalten der Besucher seiner Seite sowie über die Kategorien von Waren oder Dienstleistungen, die sie am meisten interessieren) und geografische Daten, die ihn darüber informieren, wo spezielle Werbeaktionen durchzuführen oder Veranstaltungen zu organisieren sind und ihm ganz allgemein ermöglichen, sein Informationsangebot so zielgerichtet wie möglich zu gestalten.

Nach Ansicht des Gerichtshofs kann der Umstand, dass ein Betreiber einer Fanpage die von Facebook eingerichtete Plattform nutzt, um die dazugehörigen Dienstleistungen in Anspruch zu nehmen, diesen nicht von der Beachtung seiner Verpflichtungen im Bereich des Schutzes personenbezogener Daten befreien.

Der Gerichtshof betont, dass die Anerkennung einer gemeinsamen Verantwortlichkeit des Betreibers des sozialen Netzwerks und des Betreibers einer bei diesem Netzwerk unterhaltenen Fanpage im Zusammenhang mit der Verarbeitung personenbezogener Daten der Besucher dieser Fanpage dazu beiträgt, entsprechend den Anforderungen der Richtlinie 95/46 einen umfassenderen Schutz der Rechte sicherzustellen, über die die Personen verfügen, die eine Fanpage besuchen.
Des Weiteren stellt der Gerichtshof fest, dass das Unabhängige Landeszentrum zuständig war, zur Gewährleistung der Einhaltung der Vorschriften zum Schutz personenbezogener Daten im deutschen Hoheitsgebiet von sämtlichen Befugnissen, über die es nach den deutschen Bestimmungen zur Umsetzung der Richtlinie 95/46 verfügt, nicht nur gegenüber der Wirtschaftsakademie, sondern auch gegenüber Facebook Germany Gebrauch zu machen.

Wenn ein außerhalb der Union ansässiges Unternehmen (wie die amerikanische Gesellschaft Facebook) mehrere Niederlassungen in verschiedenen Mitgliedstaaten unterhält, ist die Kontrollstelle eines Mitgliedstaats nämlich auch dann zur Ausübung der ihr durch die Richtlinie 95/463 übertragenen Befugnisse gegenüber einer im Hoheitsgebiet dieses Mitgliedstaats
gelegenen Niederlassung dieses Unternehmens befugt, wenn nach der konzerninternen Aufgabenverteilung zum einen diese Niederlassung (hier Facebook Germany) allein für den Verkauf von Werbeflächen und sonstige Marketingtätigkeiten im Hoheitsgebiet des betreffenden Mitgliedstaats zuständig ist, und zum anderen die ausschließliche Verantwortung für die Erhebung und Verarbeitung personenbezogener Daten für das gesamte Gebiet der Union einer in einem anderen Mitgliedstaat gelegenen Niederlassung (hier Facebook Ireland) obliegt.

Weiter führt der Gerichtshof aus, dass dann, wenn die Kontrollstelle eines Mitgliedstaats (hier das Unabhängige Landeszentrum in Deutschland) beabsichtigt, gegenüber einer im Hoheitsgebiet dieses Mitgliedstaats ansässigen Stelle (hier die Wirtschaftsakademie) wegen Verstößen gegen die Vorschriften über den Schutz personenbezogener Daten, die von einem Dritten begangen wurden, der für die Verarbeitung dieser Daten verantwortlich ist und seinen Sitz in einem anderen
Mitgliedstaat hat (hier Facebook Ireland), die Einwirkungsbefugnisse nach der Richtlinie 95/464 auszuüben, diese Kontrollstelle zuständig ist, die Rechtmäßigkeit einer solchen Datenverarbeitung unabhängig von der Kontrollstelle des letztgenannten Mitgliedstaats (Irland) zu beurteilen und ihre Einwirkungsbefugnisse gegenüber der in ihrem Hoheitsgebiet ansässigen Stelle auszuüben, ohne zuvor die Kontrollstelle des anderen Mitgliedstaats um ein Eingreifen zu ersuchen.



Europäischer Rat ändert Sprachfassungen der EU-DSGVO mit Dokument vom 19.04.2018 und damit kurz vor Inkraftreten am 25.05.2018

Europäische Rat hat mit Dokument vom 19.04.2018 kurz vor Inkrafttreten die Sprachfassungen der EU-DSGVO geändert. Zwar sollen die Änderungen primär dem sprachlichen Schliff der Übersetzungen dienen, allerdings können sich durch die Änderungen im Detail auch rechtliche Abweichungen ergeben.


OVG Hamburg: Facebook darf personenbezogene Daten deutscher WhatsApp-Nutzer mangels ausreichender Einwillungserklärung nach deutschem Recht nicht verwenden

OVG Hamburg
Entscheidung vom 01.03.2018
5 Bs 93/17


Das OVG Hamburg hat im Rahmen eines Eilverfahrens entschieden, dass Facebook personenbezogene Daten deutscher WhatsApp-Nutzer mangels ausreichender Einwillungserklärung nach deutschem Recht nicht verwenden darf. Der Ausgang des Hauptsacheverfahrens sei - so das Gericht - jedoch offen. Im Eilverfahren würden jedoch jedenfalls die Interessen deutscher WhatsApp-Nutzer am Schutz ihrer personenbezogenen Daten überwiegen.

Die Pressemitteilung des Gerichts:

Vorerst weiter keine Verwendung personenbezogener Daten deutscher WhatsApp-Nutzer durch Facebook

Das Hamburgische Oberverwaltungsgericht hat entschieden, dass die Facebook Ireland Ltd. (Facebook) die personenbezogenen Daten deutscher WhatsApp-Nutzer vorerst nicht auf der Grundlage der bisher abgeforderten Einwilligung erheben und speichern darf (5 Bs 93/17). Damit bestätigt es die vorausgegangene Entscheidung des Verwaltungsgerichts Hamburg, das einen Eilantrag von Facebook gegen eine sofort vollziehbare Untersagungsverfügung des Hamburgischen Beauftragten für Datenschutz und Informationssicherheit (Datenschutzbeauftragter) abgelehnt hatte (13 E 5912/16).

Zur Begründung hat das Hamburgische Oberverwaltungsgericht im Wesentlichen ausgeführt: Es sei offen, ob die beanstandete Untersagungsverfügung rechtmäßig sei. Offen sei insbesondere, ob deutsches Datenschutzrecht zur Anwendung gelange und – wenn ja – ob der Datenschutzbeauftragte gegen Facebook mit Sitz in Irland vorgehen dürfe. In diesem Fall erweise sich die beanstandete Untersagung allerdings nicht als offensichtlich rechtswidrig. Denn die seit August 2016 abgeforderte Zustimmung der WhatsApp-Nutzer zu den neuen Nutzungsbedingungen und Datenschutzrichtlinien entspreche voraussichtlich nicht den deutschen Datenschutzvorschriften. Die vor diesem Hintergrund vorzunehmende Interessenabwägung führe zu einem Überwiegen der Interessen deutscher WhatsApp-Nutzer am Schutz ihrer personenbezogenen Daten.



LAG Hamm: Unzulässige Videoüberwachung durch Arbeitgeber führt zu Beweisverwertungsverbot - Persönlichkeitsrechtsverletzung durch den Verstoß gegen den Datenschutz

LAG Hamm
Urteil vom 12.06.2017
11 Sa 858/16


Das LAG Hamm hat entschieden, dass eine unzulässige Videoüberwachung durch den Arbeitgeber zu einem Beweisverwertungsverbot führt. Durch den Verstoß gegen die datenschutzrechtlichen Vorgaben liegt eine Persönlichkeitsrechtsverletzung vor, die das Beweisverwertungsverbot zur Folge hat.

Aus den Entscheidungsgründen:

"I. Auch wegen der restlichen Ersatzforderung von 976,20 € ist die Widerklage unbegründet [133,00 € + 331,20 € + 213,00 € + 56,00 € + 22,00 € (nicht 32,00 €) + 221,00 €]. Zwar beschränkt sich der Beklagte bei dieser Forderung nicht auf die unter I. behandelten Berechnungen und Schlussfolgerungen. Zu den Daten 17.12.2015, 13.01.2016 und 29.01.2016 hat der Beklagte bereits im Verfahren erster Instanz konkrete schädigende Handlungen der Klägerin behauptet, welche er im zweiten Rechtszug für den 17.12.2015 und den 29.01.2016 weiter konkretisiert hat. Zusätzlich hat der Beklagte im Berufungsverfahren weitere konkrete Vorfälle am 19.12.2015, 08.01.2016 und am 23.01.2016 behauptet. Die für die sechs Tage behaupteten Fehlbeträge summieren sich damit auf insgesamt 976,20 €. Der Beklagte hat jedoch keinen zulässigen Beweis für die Richtigkeit der von der Klägerin bestrittenen Behauptungen angetreten. Sowohl für die Beweisführung durch die eingereichten Videosequenzen wie auch für eine Zeugenvernehmung der Mitarbeiterin, welche die Videoaufzeichnungen ausgewertet hat, besteht ein Beweisverwertungsverbot aus Gründen des Daten- und Persönlichkeitsschutzes.

42
1. Ein Beweisverwertungsverbot oder ein Verbot, selbst unstreitigen Sachvortrag zu verwerten, kommt in Betracht, wenn dies aufgrund einer verfassungsrechtlich geschützten Position einer Prozesspartei zwingend geboten ist (BAG 20.10.2016 – 2 AZR 395/15 - ; BAG 22.09.2016 – 2 AZR 848/15 - ). Das Gericht hat insoweit zu prüfen, ob Daten und Erkenntnisse in Übereinstimmung mit datenschutzrechtlichen Vorschriften gewonnen worden sind und ob die Verwertung der gewonnenen Daten und Erkenntnisse mit dem allgemeinen Persönlichkeitsrecht des Betroffenen vereinbar ist. Das allgemeine Persönlichkeitsrecht schützt nicht allein die Privat- und Intimsphäre, sondern in seiner speziellen Ausprägung als Recht am eigenen Bild auch die Befugnis eines Menschen, selbst darüber zu entscheiden, ob Filmaufnahmen von ihm gemacht und möglicherweise gegen ihn verwendet werden dürfen. Die Verwertung von personenbezogenen Daten greift in das Grundrecht auf informationelle Selbstbestimmung ein, das die Befugnis garantiert, selbst über die Preisgabe und Verwendung persönlicher Daten zu befinden (BAG 20.10.2016 - 2 AZR 395/15 - unter Hinweis auf BVerfG 11.03.2008 – 1 BvR 2074/05 -). Greift die prozessuale Verwertung eines Beweismittels in das allgemeine Persönlichkeitsrecht einer Prozesspartei ein, überwiegt das Interesse an seiner Verwertung und der Funktionstüchtigkeit der Rechtspflege das Interesse am Schutz dieses Grundrechts nur dann, wenn weitere, über das schlichte Beweisinteresse hinausgehende Aspekte hinzutreten. Es muss sich gerade diese Art der Informationsbeschaffung und Beweiserhebung als gerechtfertigt erweisen (BAG 20.10.2016 - 2 AZR 395/15; BAG 22.09.2016 – 2 AZR 848/15 - ). Ein Beweisverwertungsverbot wegen eines ungerechtfertigten Eingriffs in das Persönlichkeitsrecht umfasst dabei nicht nur das Beweismittel selbst, also in einem Fall wie hier eine In-Augenscheinnahme der Videoaufzeichnungen, sondern auch dessen mittelbare Verwertung wie etwa die Vernehmung eines Zeugen über den Inhalt des Bildmaterials (BAG 20.10.2016 - 2 AZR 395/15 - unter Hinweis auf BVerfG 31.07.2001 – 1 BvR 304/01 - ).

43
2. Der Schutzzweck der bei der Informationsgewinnung verletzten Norm kann einer Beweisverwertung und auch einer gerichtlichen Verwertung unstreitigen Sachvortrags entgegenstehen. Allerdings ordnen die Bestimmungen des BDSG für sich genommen nicht an, dass unter ihrer Missachtung gewonnene Erkenntnisse oder Beweismittel bei der Feststellung des Tatbestands im arbeitsgerichtlichen Verfahren vom Gericht nicht berücksichtigt werden dürften (BAG 22.09.2016 – 2 AZR 848/15 -; Eylert, Kündigung nach heimlicher Arbeitnehmerüberwachung, NZA-Beilage 2015, 100, 105). Die Annahme eines Sachvortrags- oder Beweisverwertungsverbots setzt weiter voraus, dass es dem Schutzzweck etwa des allgemeinen Persönlichkeitsrechts zuwiderliefe, den inhaltlichen Gehalt des fraglichen Beweismittels zur Grundlage der gerichtlichen Entscheidung zu machen (BAG aaO; Eylert aaO 105, 106). Der Schutzzweck des BDSG gebietet es nicht, dem Arbeitgeber aus generalpräventiven Gründen eine prozessuale Verwertung datenschutzrechtswidrig erlangter Informationen generell zu verwehren. Ein Verbot kommt nur in Betracht, wenn mit der Verwertung ein Eingriff in das allgemeine Persönlichkeitsrecht der anderen Prozesspartei einhergeht. Ein solcher Eingriff scheidet aus, wenn die Unzulässigkeit allein aus der (Dritt-)Betroffenheit anderer Beschäftigter resultiert (BAG 20.10.2016 – 2 AZR 395/15 - ). Unschädlich ist es dabei nach Auffassung des Bundesarbeitsgerichts, wenn der Arbeitgeber seinen Dokumentationspflichten gemäß § 32 Abs. 1 Satz 2 BDSG, die grundsätzlich vor der Datenerhebung zu erfüllen sind, nur unvollständig nachgekommen ist (BAG 20.10.2016 - 2 AZR 395/15 - ).

44
3. Nach diesen Grundsätzen besteht für die Videosequenzen, die mit der sog. Kassenkamera aufgezeichnet worden sind, ein Beweisverwertungsverbot (Screenshot BB 3 und BB 5, Bl. 266, 268 GA). Dies betrifft sämtliche Behauptungen des Beklagten zu den sechs Tagen mit Ausnahme der Behauptung der Geldentwendung im Büroraum am 23.01.2016, welche nach den Angaben des Beklagten mit der sog. Bürokamera aufgezeichnet worden ist (Screenshot BB 6, Bl. 269 GA / dazu unter 4.).

45
a) Bei den Aufnahmen der sog. Kassenkamera handelt es sich um eine offene Videoüberwachung des Ladenlokals als eines öffentlich zugänglichen Raums zur Wahrnehmung des Hausrechts („zur Aufklärung Straftaten Dritter, z. B. von Diebstählen, Überfällen, nächtlichen Einbrüchen oder Trickbetrügereien“).

46
aa) Die grundsätzliche Zulässigkeit solcher Beobachtungen ist in § 6 b Abs. 1 Nr. 2, Nr. 3 BDSG geregelt. § 6 b Abs. 2 BDSG legt fest, dass der Umstand der Beobachtung und die verantwortliche Stelle durch geeignete Maßnahmen erkennbar zu machen sind. Die Verarbeitung oder Nutzung der nach § 6 b Abs. 1 BDSG erhobenen Daten ist gemäß § 6 b Abs. 3 BDSG zulässig, wenn sie zum Erreichen des verfolgten Zwecks erforderlich ist und keine Anhaltspunkte bestehen, dass schutzwürdige Interessen der Betroffenen überwiegen. Für einen anderen Zweck dürfen sie nur verarbeitet oder genutzt werden, soweit dies zur Abwehr von Gefahren für die staatliche und öffentliche Sicherheit sowie zur Verfolgung von Straftaten erforderlich ist. Nach § 6 b Abs. 5 BDSG sind die nach § 6 b Abs. 1 BDSG erhobenen Daten unverzüglich zu löschen, wenn sie zur Erreichung des Zwecks nicht mehr erforderlich sind oder schutzwürdige Interessen der Betroffenen einer weiteren Speicherung entgegenstehen. Diese Vorschrift dient der Durchsetzung des Gebots der sparsamen Datenhaltung (NK-GA-Gola/Schulz, 1. Aufl. 2016, § 6 b BDSG Rn. 10). Bei der Vorgabe der unverzüglichen Löschung ist von einer Frist von ein bis zwei oder zumindest nur wenigen Arbeitstagen nach Wegfall der Erforderlichkeit auszugehen (Simitis-Scholz, BDSG, 8.Aufl. 2014, § 6 b BDSG Rn. 140, 141, 144 [„für kleine überschaubare Läden … Löschung noch am selben Abend“]; Däubler u.a.- Wedde, BDSG 5. Aufl. 2016, § 6 b BDSG Rn. 60).

47
bb) Die von dem Beklagten ab dem 15.02.2016 begonnene Auswertung des mit der Kassenkamera im Dreimonatszeitraum November 2015 bis Januar 2016 aufgezeichneten Arbeitsverhaltens der Klägerin im Kassenbereich verstößt gegen § 6 b Abs. 5 BDSG. Die Vorhaltung der Videoaufzeichnungen zum Kassierverhalten der Klägerin im Dreimonatszeitraum November 2015 bis Januar 2016 noch am 15.02.2016 verstößt gegen die Pflicht zur unverzüglichen Löschung. Der Beklagte wäre verpflichtet gewesen, die letzten Aufzeichnungen aus Januar 2016 in den ersten Tagen des Februar 2016, auf jeden Fall deutlich vor dem 15.02.2016 zu löschen. Die weiter zurückliegenden Aufzeichnungen hätten bereits zu entsprechend früheren Zeitpunkten gelöscht sein müssen. Aus diesem datenschutzrechtlichen Verstoß des Beklagten resultiert nach Abwägung der wechselseitigen Interessen ein Beweisverwertungsverbot. Zu berücksichtigen ist, dass der Beklagte ein Interesse hat, Schadensersatzforderungen für rechtswidriges Verhalten realisieren zu können, welches in seinem Ladenlokal zu seinem Nachteil geschieht. Diesem Interesse hat der Gesetzgeber mit den Regeln in § 6 b BDSG einerseits Rechnung getragen, zugleich hat er dort dem Interesse aber auch aus Gründen des Datenschutzes der überwachten Personen Grenzen gesetzt, der Gesetzgeber erwartet von der verantwortlichen Stelle eine alsbaldige Prüfung des Videomaterials zur Bedarfsklärung (Simitis-Scholz, BDSG, 8. Auf. 2014, § 6 b BDSG Rn. 140). Auf der Seite der Klägerin ist zu berücksichtigen, dass das Vorgehen des Beklagten sie in gravierender Weise in ihrem Recht auf informationelle Selbstbestimmung beschränkt. Die Kassenkamera hat jeden einzelnen Kassiervorgang der Klägerin aufgenommen. Durch die nicht durchgeführten Löschungen verfügte der Beklagte am 15.02.2016 über eine lückenlose Dokumentation jeglichen Kassenverhaltens der Klägerin während etlicher Arbeitswochen weit rückwirkend in den Dreimonatszeitraum November 2015 bis Januar 2016 hinein. Intensiviert ist die Beeinträchtigung dadurch, dass auch das Verhalten der Klägerin an anderen Stellen des Ladenlokals – durch zwei weitere unterschiedliche Kameraeinstelllungen in das Ladenlokal hinein - und außerdem noch ihr Verhalten bei Aufenthalten im nicht öffentlich zugänglichen Büroraum und insbesondere auch an dem dort befindlichen Sitzplatz (Screenshot BB 2, BB 6, Bl. 265, 269 GA) durchgängig aufgezeichnet worden ist. Eine Videobeobachtung des Arbeitnehmers in seinem Arbeitsbereich während der gesamten Dauer seiner Arbeitszeit stellt einen intensiven Eingriff in das Persönlichkeitsrecht dar (BAG 20.10.2016 – 2 AZR 395/15 – Rn. 30; Eylert, Kündigung nach heimlicher Arbeitnehmerüberwachung, NZA-Beilage 2015, 100, 104). Hier tritt hinzu, dass die lückenlose Dokumentation des Arbeitsverhaltens von dem Beklagten weit über eine Wochen- und sogar weit über eine Monatsspanne hinaus gespeichert gehalten worden ist. Angesichts dessen überwiegen die Interessen der Klägerin gegen eine Verwertung der Videoaufzeichnungen zur Beweisführung. Es besteht ein Beweisverwertungsverbot. Dem Antrag des Beklagten, die Videosequenzen zum Zwecke des Beweises in der mündlichen Verhandlung auszuwerten, war nicht zu entsprechen. Das Beweisverwertungsverbot steht aus den oben ausgeführten Gründen auch einer Vernehmung der Zeugin G entgegen, welche die Videoaufzeichnungen im Betrieb des Beklagten ausgewertet hat.

48
b) Ein anderes Ergebnis folgt nicht aus § 32 Abs. 1 Satz 2 BDSG. Nach dieser Bestimmung kann der Arbeitgeber zur Aufdeckung von Straftaten personenbezogene Daten eines Beschäftigten – ggf. auch heimlich – erheben, wenn dies zur Aufdeckung von Straftaten dient und die Datenerhebung nicht unverhältnismäßig ist. Es ist anerkannt, dass diese Vorschrift auch bei Überwachungen in öffentlich zugänglichen Räumen zur Rechtfertigung von – auch heimlichen - Videoüberwachungen herangezogen werden kann (BAG 22.09.2016 – 2 AZR 848/15 -; ErfK-Franzen, 17. Aufl. 2017, § 6 b BDSG Rn. 2). Ein Vorgehen nach § 32 Abs. 1 Satz 2 BDSG setzt voraus, dass der Arbeitgeber Straftaten aufdecken möchte. Voraussetzung für eine Erhebung nach § 32 Abs. 1 Satz 2 BDSG ist darüber hinaus, dass tatsächliche Anhaltspunkte für begangene Straftaten existieren. Der konkrete Tatverdacht muss aktenkundig gemacht werden, d.h. es müssen Schaden, Verdächtigenkreis und die Indizien, warum gerade die überwachte Person oder eine abgrenzbare überwachte Personengruppe verdächtig ist, schriftlich oder elektronisch dokumentiert werden. Allein das Vorliegen eines konkreten Tatverdachts genügt jedoch nicht, um eine flächendeckende Überwachung durchzuführen (ErfK-Franzen, 17. Aufl. 2017, § 6 b BDSG Rn. 31, 32). Vor Durchführung einer Überwachung nach § 32 Abs. 1 Satz 2 BDSG müssen außerdem weniger einschneidende Mittel zur Aufklärung ausgeschöpft sein (BAG 20.10.2016 – 2 AZR 395/15 -). Diese Voraussetzungen waren hier im Zeitpunkt der Überwachungsmaßnahmen in den drei Monaten November 2015 bis Januar 2016 nicht erfüllt. Erst im Nachhinein ist bei dem Beklagten ein Verdacht entstanden, nämlich nachdem er rückwirkend den Dreimonatszeitraum November 2015 bis Januar 2016 betriebswirtschaftlich ausgewertet hatte. Darin unterscheidet sich der hier gegebene Sachverhalt von dem des Urteils des Bundesarbeitsgerichts vom 20.10.2016 (2 AZR 395/15). Dort waren Inventurdifferenzen vor der Einrichtung der Videoüberwachung festgestellt worden. Die zum Beweis angebotenen Videokonsequenzen sind nicht durch die Regelung des § 32 Abs. 1 Satz 2 BDSG gerechtfertigt.

49
c) Die fraglichen Videoaufzeichnungen kann der Beklagte nicht nach § 32 Abs. 1 Satz 1 BDSG rechtfertigen. Danach ist eine Erhebung personenbezogener Daten für Zwecke des Beschäftigtenverhältnisses zulässig, wenn dies für die Entscheidung über die Begründung eines Beschäftigungsverhältnisses oder nach Begründung für dessen Durchführung oder Beendigung erforderlich ist. Insoweit ist anerkannt, dass § 32 Abs. 1 Satz 1 BDSG eine permanente Überwachung des Arbeitsverhaltens des Arbeitnehmers wegen des zu beachtenden Verhältnismäßigkeitsgebotes nicht zulässt (ErfK-Franzen, 17. Aufl. 2017, § 6 b BDSG Rn. 18).

50
d) Schließlich kann sich der Beklagte zur Rechtfertigung seines Vorgehens nicht auf die Rechtsprechung des Bundesarbeitsgerichts zur Verwertbarkeit sog. Zufallsfunde stützen. Für eine Videoüberwachung zur Aufdeckung von Straftaten gemäß § 32 Abs. 1 Satz 2 BDSG ist ein durch konkrete Tatsachen belegter „einfacher“ Verdacht ausreichend, der über vage Anhaltspunkte und bloße Mutmaßungen hinausreichen muss; ein „dringender“ Tatverdacht im Sinne eines hohen Grades an Wahrscheinlichkeit für die Begehung von Straftaten ist nach dem Gesetzeswortlaut nicht erforderlich (BAG 20.10.2016 – 2 AZR 395/15 -). Fällt bei einer zulässigen Videoüberwachung nach § 32 Abs. 1 Satz 2 BDSG gegen andere Verdächtige ein sog. Zufallsfund an, indem eine bislang nicht verdächtigte Person mit strafbarem Verhalten auffällt, so kann die Verwertung des Zufallsfundes nach § 32 Abs. 1 Satz 1 BDSG zulässig sein, auch wenn die Videoüberwachung im Hinblick auf die jetzt betroffene Person bislang anlasslos war (BAG 22.09.2016 – 2 AZR 848/15 - ). Hier ist die Klägerin jedoch nicht im Rahmen einer zulässigen Überwachung „zufällig“ aufgefallen sondern erst und nur im Rahmen einer gegen § 6 b Abs. 5 BDSG verstoßenden und nicht nach § 32 Abs. 1 Satz 1 oder Satz 2 gerechtfertigten Auswertung von Videoaufzeichnungen in einem öffentlich zugänglichen Ladenlokal (s.o.).

51
4. Ein Beweisverwertungsverbot besteht auch, soweit der Beklagte die Wegnahme von 200,00 € durch die Klägerin im Büroraum am 23.01.2016 mit Videosequenzen der sogenannten Bürokamera beweisen will (Screenshot BB2, BB 6, Bl. 265, 269 GA).

52
Der Büroraum mit dem dort befindlichen Tresor ist kein öffentlich zugänglicher Raum im Sinne des § 6 b BDSG. Eine Videoüberwachung dieses Raums nach den Regeln des § 6 b BDSG kommt nicht in Betracht (vgl. Weth / Herberger / Wächter - Byers, Daten- und Persönlichkeitsschutz im Arbeitsverhältnis, 2014, B VI Rn. 46 = S. 354, 355). Die Zulässigkeit der Videoüberwachung an einem nicht öffentlich zugänglichen Arbeitsplatz richtet sich zuvörderst nach § 32 Abs. 1 Satz 1 und Satz 2 BDSG (Weth / Herberger / Wächter - Byers, aaO, B VI Rn. 47, 48 = S. 355; Grimm, Überwachung im Arbeitsverhältnis, jM 2016, 17, 25). Die Zulässigkeitsvoraussetzungen gemäß § 32 Abs. 1 Satz 2 BDSG und nach § 32 Abs. 1 Satz 1 BDSG für eine Überwachung des Büroraums sind aus den oben unter 3. ausgeführten Gründen nicht erfüllt; im Zeitpunkt der Videoaufzeichnung bestand kein konkreter Verdacht für eine - durch die Überwachung aufzudeckende – Straftat (§ 32 Abs. 1 Satz 2 BDSG), eine durchgängige Überwachung der Klägerin bei ihren Aufenthalten im Büroraum gemäß § 32 Abs. 1 Satz 1 BDSG stellt sich – ohne Vorliegen eines konkreten Verdachts - als unverhältnismäßig dar (anlasslose Überwachung). Ein Rückgriff auf die Regeln zur Datenerhebung und –speicherung für eigene Geschäftszwecke gemäß § 28 Abs. 1 Nr. 2 BDSG, wie er auch bei einer Videoüberwachung an Arbeitsplätzen zur Verhinderung von Straftaten betriebsfremder Dritter für zulässig gehalten wird (Weth / Herberger / Wächter - Byers, aaO, B VI Rn. 47, 48 = S. 355), führt zu keinem anderen Ergebnis. Auch eine solche Überwachung ist nur im Rahmen der Erforderlichkeit zulässig. Auch hier ist von der überwachenden Stelle eine zügige Auswertung und alsbaldige Löschung zu fordern (ErfK-Franzen, 17. Aufl. 2017, § 32 BDSG Rn. 18: Löschung „innerhalb kürzester Zeit“; ArbG Frankfurt 27.01.2016 – 6 Ca 4195/15 – LAGE § 32 BDSG 2003 Nr. 1 Rn.55 „unverhältnismäßige Datenflut“; NK-GA-Gola/Schulz, 1. Aufl. 2016, § 32 BDSG Rn. 113 für § 32 Abs. 1 BDSG). Eine rückwirkende Auswertung einer lückenlosen Aufzeichnung nach Ablauf von mehr als zwei Wochen ist unverhältnismäßig und deshalb unzulässig. Auch hier führt die Interessenabwägung angesichts der Umfänglichkeit der Videoüberwachung am Arbeitsplatz einerseits und der langwährenden Speicherung des reichhaltigen Datenmaterials andererseits zum Beweisverwertungsverbot zum Schutz des Persönlichkeitsrechts der Klägerin."

Den Volltext der Entscheidung finden Sie hier: