Skip to content

Bayerisches Landesamt für Datenschutzaufsicht: Wann liegt Auftragsdatenverarbeitung vor - Liste mit Beispielen und Erläuterungen

Das Bayerisches Landesamt für Datenschutzaufsicht hat eine Liste mit Beispielen und Erläuterungen vorgelegt:

Was ist Auftragsverarbeitung und was nicht?

Internet World Business-Beitrag von Rechtsanwalt Marcus Beckmann - Fanpages vor dem Aus ? EuGH-Entscheidung nimmt Seitenbetreiber und Facebook beim Datenschutz in die Pflicht

In Ausgabe 12/2018, S. 17 der Zeitschrift Internet World Business erschien ein Beitrag von Rechtsanwalt Marcus Beckmann mit dem Titel "Fanpages vor dem Aus ? EuGH-Entscheidung nimmt Seitenbetreiber und Facebook beim Datenschutz in die Pflicht".

Siehe auch zum Thema:
EuGH: Betreiber einer Facebook-Seite / Facebook-Fanpage gemeinsam mit Facebook für Verarbeitung der personenbezogenen Daten der Besucher verantwortlich
und
Datenschutzbehörden: Nach EuGH-Entscheidung ist rechtskonformer Betrieb von Facebook-Fanpage bzw. Facebook-Seite nicht möglich

EuGH: Datenschutzrechtliche Vorgaben gelten auch für Religionsgemeinschaften die personenbezogene Daten Im Rahmen der Verkündigungstätigkeit von Tür zu Tür erhalten

EuGH
Urteil vom 10.07.2018
C-25/17
Tietosuojavaltuutettu / Jehovan todistajat – uskonnollinen yhdyskunta

Der EuGH hat entschieden, dass die datenschutzrechtlichen Vorgaben auch für Religionsgemeinschaften gelten, die personenbezogene Daten Im Rahmen der Verkündigungstätigkeit von Tür zu Tür erhalten. Vorliegend ging es um die Zeugen Jehovas.

Die Pressemitteilung des EuGH:

Eine Religionsgemeinschaft wie die der Zeugen Jehovas ist gemeinsam mit ihren als Verkündiger tätigen Mitgliedern für die Verarbeitung der personenbezogenen Daten verantwortlich, die im Rahmen einer von Tür zu Tür durchgeführten Verkündigungstätigkeit erhoben werden

Die im Rahmen einer solchen Tätigkeit erfolgenden Verarbeitungen personenbezogener Daten müssen mit den unionsrechtlichen Vorschriften über den Schutz personenbezogener Daten im Einklang stehen im 17. September 2013 verbot die Tietosuojalautakunta (finnische Datenschutzkommission) der Jehovan todistajat – uskonnollinen yhdyskunta (Religionsgemeinschaft der Zeugen Jehovas in Finnland), im Rahmen der von ihren Mitgliedern von Tür zu Tür durchgeführten Verkündigungstätigkeit personenbezogene Daten zu erheben oder zu verarbeiten, ohne dass die rechtlichen Voraussetzungen der Verarbeitung solcher Daten eingehalten werden.

Die Mitglieder dieser Gemeinschaft machen sich im Rahmen ihrer von Tür zu Tür durchgeführten Verkündigungstätigkeit Notizen über Besuche bei Personen, die weder ihnen noch der Gemeinschaft bekannt sind. Zu den erhobenen Daten können die Namen und Adressen der aufgesuchten Personen sowie Informationen über ihre religiösen Überzeugungen und Familienverhältnisse gehören. Diese Daten werden als Gedächtnisstütze erhoben, um für den Fall eines erneuten Besuchs wiederauffindbar zu sein, ohne dass die betroffenen Personen hierin eingewilligt hätten oder darüber informiert worden wären. Die Gemeinschaft der Zeugen Jehovas und ihre Gemeinden organisieren und koordinieren die von Tür zu Tür durchgeführte Verkündigungstätigkeit ihrer Mitglieder insbesondere dadurch, dass sie Gebietskarten erstellen, auf deren Grundlage Bezirke unter den verkündigenden Mitgliedern aufgeteilt werden, und indem sie Verzeichnisse über die Verkündiger und die Anzahl der von ihnen verbreiteten Publikationen der Gemeinschaft führen. Außerdem führen die Gemeinden der Gemeinschaft der Zeugen Jehovas eine Liste der Personen, die darum gebeten haben, nicht mehr von den Verkündigern aufgesucht zu werden. Die in dieser Liste enthaltenen personenbezogenen Daten werden von den Mitgliedern der Gemeinschaft verwendet.

Das Vorabentscheidungsersuchen des Korkein hallinto-oikeus (Oberster Verwaltungsgerichtshof, Finnland) betrifft im Wesentlichen die Frage, ob die Gemeinschaft den unionsrechtlichen Vorschriften über den Schutz personenbezogener Daten unterliegt, weil sich ihre Mitglieder bei der Ausübung ihrer Verkündigungstätigkeit von Tür zu Tür veranlasst sehen können, sich Notizen über den Inhalt ihrer Gespräche und insbesondere die religiöse Orientierung der von ihnen aufgesuchten Personen zu machen.

In seinem heute verkündeten Urteil stellt der Gerichtshof zunächst fest, dass die von den Mitgliedern der Gemeinschaft der Zeugen Jehovas von Tür zu Tür durchgehführte Verkündigungstätigkeit nicht unter die Ausnahmen fällt, die die unionsrechtlichen Vorschriften über den Schutz personenbezogener Daten vorsehen. Insbesondere ist diese Tätigkeit keine ausschließlich persönliche oder familiäre Tätigkeit, für die diese Vorschriften nicht gelten. Der Umstand, dass die Verkündigungstätigkeit von Tür zu Tür durch das in Art. 10 Abs. 1 der Charta der Grundrechte der EU verankerte Grundrecht auf Gewissens- und Religionsfreiheit geschützt ist, verleiht ihr keinen ausschließlich persönlichen oder familiären Charakter, da sie über die private Sphäre eines als Verkündiger tätigen Mitglieds einer Religionsgemeinschaft hinausgeht.

Sodann weist der Gerichtshof einschränkend darauf hin, dass die unionsrechtlichen Vorschriften über den Schutz personenbezogener Daten nur dann auf die manuelle Verarbeitung von Daten anwendbar sind, wenn diese Daten in einer Datei gespeichert sind oder gespeichert werden sollen. Da im vorliegenden Fall die Verarbeitung personenbezogener Daten nicht automatisiert erfolgt, stellt sich die Frage, ob die verarbeiteten Daten in einer Datei gespeichert sind oder gespeichert
werden sollen. Insoweit gelangt der Gerichtshof zu dem Ergebnis, dass der Begriff „Datei“ jede Sammlung personenbezogener Daten, die im Rahmen einer Verkündigungstätigkeit von Tür zu Tür erhoben wurden und zu denen Namen und Adressen sowie weitere Informationen über die aufgesuchten Personen gehören, umfasst, sofern diese Daten nach bestimmten Kriterien so
strukturiert sind, dass sie in der Praxis zur späteren Verwendung leicht wiederauffindbar sind. Um unter diesen Begriff zu fallen, muss eine solche Sammlung nicht aus spezifischen Kartotheken oder Verzeichnissen oder anderen der Recherche dienenden Ordnungssystemen bestehen.

Demnach müssen die Verarbeitungen personenbezogener Daten, die im Rahmen der Verkündigungstätigkeit von Tür zu Tür erfolgen, mit den unionsrechtlichen Vorschriften über den Schutz personenbezogener Daten im Einklang stehen. Zu der Frage, wer als für die Verarbeitung der personenbezogenen Daten Verantwortlicher angesehen werden kann, weist der Gerichtshof darauf hin, dass der Begriff „für die Verarbeitung Verantwortlicher“ mehrere an dieser Verarbeitung beteiligte Akteure betreffen kann, wobei dann jeder von ihnen den unionsrechtlichen Vorschriften über den Schutz personenbezogener Daten unterliegt. Diese Akteure können in verschiedenen Phasen und in unterschiedlichem Ausmaß in die Verarbeitung einbezogen sein, so dass der Grad der Verantwortlichkeit eines jeden von ihnen unter Berücksichtigung aller maßgeblichen Umstände des Einzelfalls zu beurteilen ist. Der Gerichtshof stellt außerdem fest, dass aus keiner Bestimmung des Unionsrechts geschlossen werden kann, dass die Entscheidung über die Zwecke und Mittel der Verarbeitung mittels schriftlicher Anleitungen oder Anweisungen seitens des für die Verarbeitung Verantwortlichen erfolgen muss. Hingegen kann eine natürliche oder juristische Person, die aus Eigeninteresse auf die Verarbeitung der personenbezogenen Daten Einfluss nimmt und damit an der Entscheidung
über die Zwecke und Mittel dieser Verarbeitung beteiligt ist, als für die Verarbeitung Verantwortlicher angesehen werden.

Im Übrigen setzt die gemeinsame Verantwortlichkeit mehrerer Akteure nicht voraus, dass jeder von ihnen Zugang zu den personenbezogenen Daten hat. Im vorliegenden Fall ist davon auszugehen, dass die Gemeinschaft der Zeugen Jehovas dadurch, dass sie die Verkündigungstätigkeit ihrer Mitglieder organisiert und koordiniert und zu ihr ermuntert, gemeinsam mit ihren verkündigenden Mitgliedern an der Entscheidung über den Zweck und die Mittel der Verarbeitung der personenbezogenen Daten der aufgesuchten Personen beteiligt ist, was jedoch das finnische Gericht anhand sämtlicher Umstände des vorliegenden
Falles zu beurteilen hat. Der in Art. 17 AEUV niedergelegte Grundsatz der organisatorischen Autonomie der Religionsgemeinschaften stellt diese Würdigung nicht in Frage.

Der Gerichtshof gelangt zu dem Schluss, dass nach den unionsrechtlichen Vorschriften über den Schutz personenbezogener Daten eine Religionsgemeinschaft gemeinsam mit ihren als Verkündiger tätigen Mitgliedern als Verantwortliche für die Verarbeitung personenbezogener Daten angesehen werden kann, die durch diese Mitglieder im Rahmen einer Verkündigungstätigkeit von Tür zu Tür erfolgt, die von dieser Gemeinschaft organisiert und koordiniert wird und zu der sie ermuntert, ohne dass es hierfür erforderlich wäre, dass die Gemeinschaft Zugriff auf die Daten hat oder ihren Mitgliedern nachweislich schriftliche Anleitungen oder Anweisungen zu dieser Datenverarbeitung gegeben hat.


Den Volltext der Entscheidung finden Sie hier:



SG München: Grundsatz der Datensparsamkeit gilt nicht im Zusammenhang mit der Erhebung von Daten im Rahmen des Rettungsdienstes

SG München
Urteil vom 21.06.2017
S 38 KA 1792/14


Das SG München hat entschieden, dass der Grundsatz der Datensparsamkeit nicht im Zusammenhang mit der Erhebung von Daten im Rahmen des Rettungsdienstes gilt.

Aus den Entscheidungsgründen:

Unstrittig dürfte sein, dass auch für den Notarzt eine Dokumentationspflicht besteht und mit „emDoc“ der gesetzliche Auftrag der Dokumentation in Art. 46 Abs. 1 BayRDG umgesetzt werden kann. Danach hat der Notarzt die Pflicht, die Einsätze und die dabei getroffenen aufgabenbezogenen Feststellungen und Maßnahmen zu dokumentieren. Die Dokumentation hat nach Art. 46 Abs. 3 BayRDG nach einheitlichen Grundsätzen zu erfolgen. Gemäß Art. 34 Abs. 8 BayRDG ist für den Vollzug der Abs. 2-7 und des Art. 35 (insbesondere Vollzug der Benutzungsentgeltvereinbarung) eine Zentrale Abrechnungsstelle eingeschaltet, die auch Auszahlungen auf die mit den Sozialversicherungsträgern vereinbarten oder rechtskräftig festgesetzten Kosten der Leistungserbringung an die Kassenärztliche Vereinigung Bayerns vornimmt (vgl. § 34 Abs. 8 Ziff. 5 BayRDG).

Die Einführung von “emDoc“ soll insbesondere dazu dienen, dass die gesetzlich vorgeschriebene Dokumentation (Art. 46 BayRDG) und deren Einheitlichkeit (Art. 46 Abs. 3 BayRDG) sichergestellt wird. Ferner soll sie dem Qualitätsmanagement dienen.

Wie die Dokumentation im Einzelnen für den Notarzt im Detail aussehen soll, ist allerdings gesetzlich nicht geregelt. Hierfür finden sich weder im Bayerischen Rettungsdienstgesetz (Art. 46, 47 BayRDG), noch in §§ zu 285, 294, 295 SGB V entsprechende Anhaltspunkte. In diesem Zusammenhang ist fraglich, ob die Grund-sätze der sog. Wesentlichkeitstheorie des Bundesverfassungsgerichts (vgl. BVerfG Entscheidung vom 08.08.1978, Az. 2 BvL 8/77) und das rechtsstaatliche Gebot der Normenklarheit (vgl. BVerfG, Entscheidung vom 15.12.1983, Az. 1 BvR 209/83) eingehalten wurden.

Abgesehen davon ist die Zulässigkeit der Dokumentation nicht unbegrenzt, soweit es sich um die Erfassung personenbezogener Daten handelt. Nach Art. 47 Abs. 1 BayRDG dürfen personenbezogene Daten unter anderem nur erhoben werden, wenn dies für rettungsdienstliche Aufgaben (Art. 47 Abs. 1 Ziff. 1-6 BayRDG) oder für Zwecke der wissenschaftlichen notfallmedizinischen Forschung erforderlich ist oder die betroffene Person eingewilligt hat. Damit wird wie in anderen gesetzlichen Regelungen (vgl. § 35 Abs. 2 SGB I i.V.m. § 67 a SGB X, § 284 Abs. 1 S. 1 SGB V, § 285 Abs. 1 und 2 SGB V) die Zulässigkeit der Erhebung von der Daten von der Erforderlichkeit abhängig gemacht. Die Erforderlichkeit der Datenerhebung nach Art. 47 Abs. 1 BayRDG ist von dem Grundsatz der Datensparsamkeit zu unterscheiden. Letzterer ist ausdrücklich in § 3a Bundesdatenschutzgesetz (BDSG) genannt. Dieser Grundsatz der Datensparsamkeit gilt jedoch im Zusammenhang mit der Erhebung von Daten im Rahmen des Rettungsdienstes (BayRDG) nicht. Nach § 1 Abs. 3 BDSG gehen zwar nur andere Rechtsvorschriften des Bundes den Vorschriften des BDSG vor. Ein Nachrang gegenüber Landesgesetzen besteht somit nicht. Jedoch sind die allgemeinen Datenschutzregeln des § 285 Abs. 2 SGB V, die sich ebenfalls auf die Zulässigkeit der Erhebung personenbezogener Daten durch die Kassenärztliche Vereinigung beziehen und ebenfalls wie Art. 47 BayRDG auf die Erforderlichkeit, nicht aber die Datensparsamkeit abstellen, sowie die Datenschutzregeln des § 35 SGB I i.V.m. §§ 67 ff. SGB X heranzuziehen, so dass eine Anwendung von § 3a BDSG ausscheidet (vgl. LSG Baden-Württem-berg, Urteil vom 21.06.2016, L 11 KR 2510/15).

Nach Auffassung des Gerichts bestehen gegen die Dokumentation, wie sie in der aktuellen Fassung (Kurz-Fassung) vorgesehen ist, rechtliche Bedenken, insbesondere vor dem Hintergrund datenschutzrechtlicher Aspekte.

Zwar hat der Datenschutzbeauftragte in seiner Stellungnahme vom 12.01.2010 zum Projekt („emDoc“) die Auffassung geäußert, „die Erhebung und Speicherung personenbezogener Daten durch die KVB im Rahmen des Projekts „emDoc“ könne zur Erfüllung rettungsdienstlicher Aufgaben im Ergebnis als erforderlich angesehen werden. Außerdem wurde auf die Begründung zur Novelle des Bayerischen Rettungsdienstgesetzes hingewiesen. Dort sei zum Ausdruck gebracht worden, dass der Gesetzgeber eine Erhebung und Speicherung personenbezogener Daten zu den in Art. 47 genannten Zwecken für zulässig erachte, weil andernfalls ein zweiter Datensatz notwendig wäre und dies in der Praxis einen erheblichen Zeitaufwand bedeuten würde (siehe Landtags-Drucksache 15/10391, Anmerkungen zu Art. 47 - Datenschutz). Die Stellungnahme bezieht sich jedoch nicht auf die aktuelle Kurz-Fassung von „emDoc“. Außerdem ist sie für das Gericht nicht bindend.

Die Beklagte beruft sich insbesondere darauf, die in „emDoc“ vorgesehenen Daten seien im Hinblick auf die Abrechnung der erbrachten Leistungen bzw. aus Gründen der Qualitätssicherung notwendig. Damit beruft sie sich auf Art. 47 Abs. 1 Ziff. 2 bzw. auf Art. 47 Abs. 1 Ziff. 4 i.V.m. Art. 45 BayRDG. Fraglich scheint zunächst, ob es sich bei den Angaben über die Einsatzzeit, die Kreisverbandsnummer, die Wache, die Auftragsnummer des Rettungstransportwagens, die PLZ, den Einsatzort und die Alarmierungszeit um personenbezogene Daten handelt. Denn ein direkter Zusammenhang mit einer bestimmten Person besteht nicht. Es reicht aber aus, dass es sich um personenbeziehbare Daten handelt (vgl. Kassler Kommentar, Komment. zum SGB, Rn 5 zu § 284 SGB V). Personenbeziehbare Daten sind personenbezogenen Daten gleichzusetzen. Kann beispielsweise durch Zusammenfügen von Daten auf eine bestimmte Person geschlossen werden, liegen personenbeziehbare Daten vor. Die geforderten Pflichtangaben in „emDoc“ lassen nach Auffassung des Gerichts in Gesamtschau befürchten, dass eine Identifizierung möglich ist.

Soweit sich die Beklagte auf Gründe der Qualitätssicherung (Art. 47 Abs. 1 Ziff. 4 i.V.m. Art. 45 BayRDG) bezieht, lässt sich daraus aktuell eine Erforderlichkeit nicht herleiten. Denn die Beteiligten haben übereinstimmend angegeben, dass eine Dokumentation aus Gründen der Qualitätssicherung bis zur Neuregelung von „emDoc“ ausgesetzt wurde. Insofern widerspricht sich die Beklagte, wenn sie sich auf Gründe der Qualitätssicherung beruft.

Somit ist zu prüfen, ob die Dokumentation personenbeziehbarer Daten, die vom Kläger abverlangt wird, aus sonstigen rettungsdienstlichen Gründen - mit Ausnahme der Gründe der Qualitätssicherung - erforderlich ist. Die Beklagte hält die Erhebung der Daten insbesondere zur Abrechnung der erbrachten Leistungen (Art. 47 Abs. 1 Ziff. 2 BayRDG) oder für Zwecke der wissenschaftlichen notfallmedizinischen Forschung für erforderlich.

Auch nach der hierzu von der Beklagten vom Gericht ausdrücklich angeforderten und abgegebenen Stellungnahme ist nicht nachvollziehbar, warum die Angaben, die vom Kläger abverlangt werden und von ihm beanstandet werden, zur Abrechnung der im Notarztdienst erbrachten Leistungen erforderlich sein sollen. Bedeutsam ist, dass auch im Datenschutzrecht der Verhältnismäßigkeitsgrundsatz gilt. Der in Art. 47 BayRDG formulierte Datenschutz als Ausfluss des Persönlichkeitsrechts von Art. 2, 1 Grundgesetz verlangt, dass die Einschränkung des Rechts auf informationelle Selbstbestimmung hinreichend aus Gründen des Allgemeinwohls gerechtfertigt wird, das gewählte Mittel zur Erreichung des Zwecks geeignet und erforderlich ist und bei der Gesamtabwägung zwischen der Schwere des Eingriffs und dem Gewicht der rechtfertigen Gründe die Grenze des Zumutbaren noch gewahrt ist (vgl. BVerfG 65, 1,41 f.; 56, 37, 41ff.). Auszuschließen und mit Datenschutzrecht nicht vereinbar ist, wenn personenbezogene Daten zu noch nicht bestimmbaren Zwecken, quasi auf Vorrat gesammelt werden (vgl. Kassler Kommentar, Komment. zum SGB, Rn 7 zu § 284).

Die obligatorischen Angaben über die Nummer des Kreisverbands, Wache des Rettungswagen, Postleitzahl, Einsatzort, Auftragsnummer der Leitstelle für den Rettungswagen dienen nach Auffassung des Gerichts nicht der Abrechnung der Leistungen des Notarztes, sondern vielmehr, wie von der Beklagten eingeräumt wird, allenfalls dem Datenabgleich bei der Zentralen Abrechnungsstelle für den Rettungsdienst Bayern GmbH (ZAST). Die Aufgabe der ZAST, einer juristischen Person des Privatrechts besteht nach Art. 34 Abs. 8 BayRDG u.a. darin, die Abrechnung der Einsätze aller Durchführenden des öffentlichen Rettungsdienstes gegenüber den Kostenträgern durchzuführen. So sind auch Auszahlungen an die Kassenärztliche Vereinigung Bayerns vorzunehmen. Ein Abgleich der Daten des Notarztes einerseits und der sonstigen Durchführenden des Rettungsdienstes ist aber speziell zur Abrechnung der Leistungen des Notarztes nicht erforderlich und nicht von Art. 47 Abs. 1 BayRDG bzw. §§ 285 Abs. 2, 295 Abs. 1 SGB V gedeckt. Letztendlich führt die „Zwischenschaltung“ der ZAST, die gesetzlich zwar in Art. 34 Abs. 8 BayRDG vorgesehen ist, dazu, dass ein „Mehr“ an Daten u.U. erforderlich ist. Diese „Zwischenschaltung“ rechtfertigt aber nicht das Erfordernis der Erhebung dieser Daten. Im Gegenteil! Je mehr Stellen die Daten zugänglich gemacht werden bzw. zugänglich zu machen sind, umso mehr besteht die Gefahr des Datenmissbrauchs. Deshalb sind bei dieser Konstellation an die Erforderlichkeit der Datenerhebung äußerst strenge Maßstäbe zu stellen. Im Übrigen erscheint die Aussage der Beklagten, die Angaben dienten der „Verifizierung“ des Einsatzes, sehr pauschal, zumal auch Art. 47 Abs. 1 Ziff. 2 BayRDG nicht von einer „Verifizierung“, sondern von der „Abwicklung“ des Einsatzes spricht. Davon abgesehen kann es nicht Aufgabe des Notarztes sein, im Nachhinein ihm zunächst nicht bekannte Daten (Kreisverbandsnummer, Nummer der Rettungswache) zu erfragen.

Ebensowenig besteht eine Erforderlichkeit der Angaben über Alarmzeit und Zeit des Einsatzendes, Postleitzahl und Einsatzort zu Abrechnungszwecken. Diese Angaben mögen bestimmte Vergütungszuschläge auslösen, sind aber nicht abrechnungsrelevant. Wenn hierzu keine Angaben gemacht werden, entfällt ein etwaiger Zuschlag. Gegen eine freiwillige Angabe - wenn also der Notarzt auch Zuschläge abrechnen will - bestehen aber keine rechtlichen Bedenken.


Den Volltext der Entscheidung finden Sie hier:



VG Bayreuth: Einsatz von Facebook Custom Audience verstößt gegen Datenschutzrecht und kann von Datenschutzbehörde untersagt werden

VG Bayreuth
Beschluss vom 08.05.2018
B 1 S 18.105


Das VG Bayreuth hat entschieden, dass der Einsatz von Facebook Custom Audience gegen Datenschutzrecht verstößt und von Datenschutzbehörde untersagt werden kann.

Aus den Entscheidungsgründen:

"Nachdem die Übermittlung der gehashten E-Mail-Adressen daher nicht im Rahmen einer Auftragsdatenverarbeitung i.S.v. § 11 BDSG erfolgt, handelt es sich um eine Übermittlung an einen Dritten (vgl. § 3 Abs. 8 Satz 3 BDSG).

b) Eine konkrete, den gesetzlichen Anforderungen entsprechende Einwilligung der Betroffenen, die zur Zulässigkeit der Datenübermittlung führen würde, liegt nicht vor (vgl. § 4 Abs. 1, § 4a BDSG). Auch die Antragstellerin selbst scheint im Übrigen nicht vom Vorliegen einer wirksamen Einwilligung auszugehen (S. 24 des Klage-/Antragsschriftsatzes vom 01.02.2018).

c) Demzufolge wäre hier eine gesetzliche Gestattung der Datenübermittlung notwendig. Es kann offen bleiben, ob es im Falle einer „gescheiterten“ Auftragsdatenverarbeitung möglich ist, die Datenverarbeitung auf die allgemeinen Erlaubnisnormen des Bundesdatenschutzgesetzes zu stützen (vgl. hierzu Plath a.a.O., § 11 Rn. 20 m.w.N.). Denn die Voraussetzungen der in Betracht kommenden Normen sind nicht erfüllt.

aa) Die Antragstellerin kann die Zulässigkeit der Datenübermittlung nicht auf das sog. „Listenprivileg“ stützen. Nach § 28 Abs. 3 Satz 2 BDSG ist die Verarbeitung oder Nutzung personenbezogener Daten ohne Einwilligung des Betroffenen zulässig, soweit es sich um listenmäßig oder sonst zusammengefasste Daten über Angehörige einer Personengruppe handelt, die sich auf die Zugehörigkeit des Betroffenen zu dieser Personengruppe, seine Berufs-, Branchen- oder Geschäftsbezeichnung, seinen Namen, Titel, akademischen Grad, seine Anschrift und sein Geburtsjahr beschränken (und außerdem die Voraussetzungen des § 28 Abs. 3 Satz 2 Nrn. 1, 2 oder 3 BDSG erfüllt sind). Bei E-Mail-Adressen handelt es sich jedoch nicht um sog. Listendaten, da sie in der abschließenden Aufzählung des § 28 Abs. 3 Satz 2 BDSG nicht enthalten sind (vgl. Plath a.a.O., § 28 Rn. 119 m.w.N.).

Soweit die Antragstellerin vortragen lässt, dass bei genauer Betrachtung nicht eine Übertragung gehashter E-Mail-Adressen erfolge, sondern der Information, dass jemand (möglicherweise) Kunde der Antragstellerin sei, was auf Grundlage von § 28 Abs. 3 Satz 2 BDSG ohne Weiteres möglich sei, kann dem nicht gefolgt werden. Zwar nimmt der Gesetzgeber – wie in der zitierten Kommentarstelle ausgeführt wird (Simitis a.a.O., § 28 Rn. 232) – die Verwendung einer zusätzlichen Angabe in Kauf. § 28 Abs. 3 Satz 2 BDSG ermächtigt jedoch nicht isoliert dazu, einer anderen Stelle mitzuteilen, dass gewisse Personen Kunden der übermittelnden Stelle sind. Vielmehr wird diese (implizite) Angabe ermöglicht, wenn es sich im Ausgangspunkt überhaupt um Listendaten i.S.v. § 28 Abs. 3 Satz 2 BDSG handelt, was bei
E-Mail-Adressen nicht der Fall ist.

Eine Berechtigung zur Übermittlung ergibt sich auch nicht aus § 28 Abs. 3 Satz 3 BDSG, da dieser lediglich das „Hinzuspeichern“ und somit allein die Vervollständigung der Informationen erlaubt, jedoch keine eigene Übermittlungsbefugnis hinsichtlich weiterer Daten enthält (vgl. Wolff in BeckOK DatenschutzR, 23. Ed. 01.08.2015 § 28 Rn. 132; Plath a.a.O., § 28 Rn. 128; BT-Drs. 16/12011, S. 21: „Absatz 3 Satz 3 ist keine eigene Erhebungs- oder Übermittlungsbefugnis. Absatz 3 Satz 3 soll es der verantwortlichen Stelle ermöglichen, einen eigenen Datenbestand, der direkt beim Betroffenen erhoben wurde, für Zwecke der Eigenwerbung oder der eigenen Markt- oder Meinungsforschung zu selektieren, um die bestehenden Kunden gezielter ansprechen zu können.“).

Auf § 28 Abs. 3 Satz 4 BDSG kann die Übermittlung der gehashten E-Mail-Adressen ebenfalls nicht gestützt werden, weil sich auch diese Norm explizit auf Daten nach Satz 2, mithin auf sog. Listendaten, bezieht, zu denen E-Mail-Adressen nicht zählen.

Im vorliegenden Fall kann die Datenübermittlung auch nicht mit der Regelung des § 28 Abs. 3 Satz 5 BDSG gerechtfertigt werden. Diese Norm berechtigt nur zur Werbung für fremde Angebote (die zudem an weitere Voraussetzungen geknüpft ist). Dies betrifft aber nicht die Befugnis der Antragstellerin, die Daten an einen Dritten zu übermitteln. Unmittelbar berechtigt § 28 Abs. 3 Satz 5 BDSG nur zur Verwendung zur Werbung durch einen Dritten (hier ggf. F.), würde aber vorgelagert eine rechtmäßige Datenerhebung F.s voraussetzen. Der hier zu würdigende Übermittlungsakt von der Antragstellerin an F. wird seinerseits durch § 28 Abs. 3 Satz 5 BDSG nicht gestattet (vgl. Plath a.a.O., § 28 Rn. 144).

Aus den vorstehenden Gründen kommt eine einwilligungsfreie Übermittlung auf Grundlage von § 28 Abs. 3 BDSG somit nicht in Betracht. Darüber hinaus wäre jedoch auch insoweit eine zugunsten der Antragstellerin ausgehende Interessenabwägung notwendig (§ 28 Abs. 3 Satz 6 BDSG). In der vorliegenden Konstellation geht die Interessenabwägung jedoch zum Nachteil der Antragstellerin aus (dazu nachfolgend unter II. 1. a) bb)).

Es ist auch nicht davon auszugehen, dass die Ausnahme von E-Mail-Adressen im Rahmen des sog. Listenprivilegs unionsrechtswidrig wäre. Soweit in diesem Zusammenhang auf die Entscheidungen des Europäischen Gerichtshofs Bezug genommen wird, ist hierzu auszuführen, dass nach dessen Rechtsprechung Art. 7 Buchst. f der Richtlinie 95/46/EG einen Mitgliedstaat daran hindert, kategorisch und ganz allgemein die Verarbeitung bestimmter Kategorien personenbezogener Daten auszuschließen, ohne Raum für eine Abwägung der im konkreten Einzelfall einander gegenüberstehenden Rechte und Interessen zu lassen (EuGH, U.v. 19.10.2016 – Breyer, C-582/14 – juris Rn. 62 unter Bezugnahme auf U.v. 24.11.2011 – ASNEF und FECEMD, C-468/10 und C-469/10 – juris Rn. 47 f.). Auch wenn E-Mail-Adressen nicht unter das sog. Listenprivileg fallen, schließt die Anwendung des Bundesdatenschutzgesetzes, insbesondere des § 28 BDSG, eine Übermittlung von E-Mail-Adressen nicht schlechthin und ohne Raum für eine Abwägung zu lassen aus, da in diesem Fall eine Rechtfertigung nach § 28 Abs. 1 Satz 1 Nr. 2 BDSG auf Basis einer Interessenabwägung in Betracht kommt. Eine unionsrechtskonforme Auslegung und Anwendung des § 28 BDSG ist im vorliegenden Fall daher dadurch möglich, dass insoweit nicht von einer Sperrwirkung des § 28 Abs. 3 BDSG hinsichtlich des Rückgriffs auf § 28 Abs. 1 Satz 1 Nr. 2 BDSG ausgegangen wird.

bb) Auch durch § 28 Abs. 1 Satz 1 Nr. 2 BDSG kann die Übermittlung der (gehashten) E-Mail-Adressen jedoch nicht gerechtfertigt werden. Hiernach ist das Erheben, Speichern, Verändern oder Übermitteln personenbezogener Daten oder ihre Nutzung als Mittel für die Erfüllung eigener Geschäftszwecke zulässig, soweit es zur Wahrung berechtigter Interessen der verantwortlichen Stelle erforderlich ist und kein Grund zu der Annahme besteht, dass das schutzwürdige Interesse des Betroffenen überwiegt. Im Rahmen der insoweit vorzunehmenden Interessenabwägung sind jedoch die im § 28 Abs. 3 BDSG getroffenen Wertungen des Gesetzgebers zu berücksichtigen. Wie der Europäische Gerichtshof in seiner oben zitierten Rechtsprechung ausgeführt hat, gebietet das Unionsrecht lediglich, im Einzelfall Raum für eine Abwägung zu lassen. Die dem Regelungsregime des § 28 Abs. 3 BDSG zugrundeliegenden grundsätzlichen Wertungen zu unterlaufen oder auszuhöhlen ist weder aufgrund der Richtlinie 95/46/EG (Datenschutz-Richtlinie) noch aus sonstigen Gründen geboten. Der Europäische Gerichthof fordert lediglich, dass das nationale Recht eines Mitgliedstaats das Ergebnis der einander gegenüberstehenden Rechte und Interessen nicht abschließend vorschreiben darf, „ohne Raum für ein Ergebnis zu lassen, das aufgrund besonderer Umstände des Einzelfalls anders ausfällt“ (EuGH, U.v. 19.10.2016 – Breyer, C-582/14 – juris Rn. 62).

Nach der grundsätzlichen Wertung des § 28 Abs. 3 Satz 1 BDSG ist die Verarbeitung und Nutzung personenbezogener Daten für Zwecke der Werbung nur zulässig, wenn der Betroffene eingewilligt hat. Die dem nachfolgenden Regelungen zu sog. Listendaten (vgl. dazu oben) bilden eine Ausnahme von diesem Grundsatz, wobei der Gesetzgeber nur für die dort genannten Arten von Daten Privilegierungen geregelt und diese darüber hinaus an weitere Voraussetzungen geknüpft hat. In der hiesigen Fallgestaltung ist festzustellen, dass die hier beanstandete Übermittlung der E-Mail-Adressen nach den dezidierten Regelungen in § 28 Abs. 3 BDSG selbst dann rechtswidrig wäre, wenn man insoweit die Privilegierungen für Listendaten zugrunde legen würde. Dies spricht im Rahmen der Interessenabwägung für das Überwiegen der Betroffenenrechte. So dürfen Listendaten zwar gem. § 28 Abs. 3 Satz 2 Nr. 1 BDSG für eigene Werbezwecke verwendet werden. Dies erlaubt jedoch gerade nicht die – hier erfolgende – Übermittlung an Dritte (vgl. Plath a.a.O., § 28 Rn. 124). Darüber hinausgehend ist die Übermittlung von Listendaten an Dritte zum Zwecke der Werbung (§ 28 Abs. 2 Satz 4 BDSG) insbesondere an die Bedingung geknüpft, dass die Stelle, die die Daten erstmalig erhoben hat (hier: die Antragstellerin) aus der Werbung „eindeutig hervorgehen“ muss (sog. Transparenzgebot); anders als nach Abs. 3 Satz 5 muss sie nicht (lediglich) „eindeutig erkennbar“ sein. Es muss an geeigneter Stelle der Hinweis enthalten sein, woher der Werbende die Listen hat, etwa durch Angabe des Namens und der Anschrift des Adresshändlers. Der Betroffene muss aufgrund dieses Hinweises in der Lage sein, sein Widerspruchsrecht gem. § 28 Abs. 4 BDSG geltend zu machen (Wolff a.a.O., § 28 Rn. 135; vgl. auch Plath a.a.O., § 28 Rn. 139 f.). Allein der Umstand, dass es sich um Angebote der Antragstellerin handelt, die dem Betroffenen bei F. angezeigt werden, reicht insoweit nicht aus, zumal die Stelle, die die Daten zum Zwecke der Werbung verwendet und die, zu deren Gunsten die Werbung erfolgt, auseinanderfallen können (etwa bei der Beipack- und Empfehlungswerbung, vgl. § 28 Abs. 3 Satz 5 BDSG).

Auch die konkrete Ausgestaltung der Widerspruchsmöglichkeit führt nicht zu einem überwiegenden Interesse der Antragstellerin (auch wenn sich die konkrete Umsetzung des Widerspruchs anders vollziehen mag als vom Antragsgegner angenommen). Wie die Antragstellerin selbst ausführt, besteht (erst) seit dem 22.08.2017 ein konkreter Hinweis auf die Übermittlung der E-Mail-Adressen an F. Personen, die ihre Daten vor diesem Datum an die Antragstellerin übermittelt und im Zuge dessen von den Datenschutzbestimmungen Kenntnis erlangt haben, waren auf diese konkrete Maßnahme der Datenverarbeitung nicht hingewiesen worden. Ihre Daten befinden sich eventuell jedoch nach wie vor auf der hochgeladenen Kundenliste, ohne dass sichergestellt ist, dass sie von den aktuellen Datenschutzhinweisen Kenntnis genommen haben – für die Betroffenen bestand unter Umständen keine Veranlassung dazu, sich erneut mit den Datenschutzhinweisen der Antragstellerin zu befassen (z.B. wenn keine erneute Bestellung erfolgt ist). Ob die Listen (zuletzt) nach dem 22.08.2017 bei F. hochgeladen worden sind, ist somit unerheblich.

Generell setzt die Zulässigkeit einer Datenübermittlung nach § 28 Abs. 1 Satz 1 Nr. 2 BDSG voraus, dass diese zur Wahrung berechtigter Interessen der verantwortlichen Stelle „erforderlich“ ist – nicht etwa lediglich aus Sicht der verantwortlichen Stelle geeignet oder zweckmäßig. Gemeint sind Verwendungen, zu denen es keine objektiv zumutbare Alternative gibt. Eine Berufung der verantwortlichen Stelle auf § 28 Abs. 1 Satz 1 Nr. 2 BDSG kommt so lange nicht in Betracht, wie diese ihr Informationsziel anders erreichen kann (vgl. Simitis a.a.O., § 28 Rn. 108 m.w.N.). Zu berücksichtigen ist daher auch, dass die Antragstellerin die Daten insbesondere im Rahmen von Bestellvorgängen erwirbt und es ihr deswegen ohne einen unverhältnismäßig großen Aufwand möglich wäre, im Einzelfall eine Einwilligung zur Übermittlung der Daten an F. einzuholen.

Somit geht auch die Interessenabwägung zu Ungunsten der Antragstellerin aus (§ 28 Abs. 1 Satz 1 Nr. 2 bzw. § 28 Abs. 3 Satz 6 BDSG), sodass eine Rechtfertigung auf Grundlage des § 28 BDSG ausscheidet. Andere Vorschriften, die eine entsprechende Datenübermittlung rechtfertigen oder anordnen sind nicht ersichtlich.

d) Die Datenübermittlung an F. ist daher rechtswidrig, weswegen das Bayerische Landesamt für Datenschutzaufsicht wie in Ziff. 1 des streitgegenständlichen Bescheids verfügt die Beseitigung des festgestellten Verstoßes verlangen konnte. Auch sonst bestehen hinsichtlich der Löschungsanordnung keine Rechtmäßigkeitsbedenken. Insbesondere sind Ermessensfehler i.S.v. § 114 Satz 1 VwGO nicht ersichtlich. Das Bayerische Landesamt für Datenschutzaufsicht hat das ihm zustehende Ermessen (Art. 40 BayVwVfG) erkannt und im Bescheid in nicht zu beanstandender Art und Weise ausgeübt.

Letztlich geht somit auch die im Rahmen des Verfahrens nach § 80 Abs. 5 VwGO vorzunehmende Interessenabwägung zwischen dem öffentlichen Vollziehungsinteresse und dem Suspensivinteresse der Antragstellerin zu deren Nachteil aus. Nachdem die derzeitigen Zustände sich voraussichtlich als datenschutzwidrig darstellen, ist es geboten, diesen Zustand auch schon vor einer (rechtskräftigen) Entscheidung in der Hauptsache zu beenden."

Den Volltext der Entscheidung finden Sie hier:

Datenschutzbehörden: Nach EuGH-Entscheidung ist rechtskonformer Betrieb von Facebook-Fanpage bzw. Facebook-Seite nicht möglich

Die Konferenz der unabhängigen Datenschutzbehörden des Bundes und der Länder (DFK) hat sich mit einer Entschließung vom 06.06.2018 zur EuGH-Entscheidung vom 05.06.2017 - C-210/16 (siehe dazu EuGH: Betreiber einer Facebook-Seite / Facebook-Fanpage gemeinsam mit Facebook für Verarbeitung der personenbezogenen Daten der Besucher verantwortlich) geäußert. Nach Ansicht der DSK ist ein rechtskonformer Betrieb einer Facebook-Fanpage bzw. Facebook-Seite derzeit nicht möglich, da die Nutzer ohne Mitwirkung von Facebook keine datenschutzkonforme Seite vorhalten können.

Die Mitteilung der DSK:

"Die Zeit der Verantwortungslosigkeit ist vorbei: EuGH bestätigt gemeinsame Verantwortung von Facebook und Fanpage-Betreibern

Die unabhängigen Datenschutzbehörden des Bundes und der Länder begrüßen das Urteil des Europäischen Gerichtshofs (EuGH) vom 5. Juni 2018, das ihre langjährige Rechtsauffassung bestätigt.

Das Urteil des EuGH zur gemeinsamen Verantwortung von Facebook und den Betreibern einer Fanpage hat unmittelbare Auswirkungen auf die Seitenbetreiber. Diese können nicht mehr allein auf die datenschutzrechtliche Verantwortung von Facebook verweisen, sondern sind selbst mitverantwortlich für die Einhaltung des Datenschutzes gegenüber den Nutzenden ihrer Fanpage.

Dabei müssen sie die Verpflichtungen aus den aktuell geltenden Regelungen der Datenschutz-Grundverordnung (DS-GVO) beachten. Zwar nimmt das Urteil Bezug auf die frühere Richtlinie 95/46/EG zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten zum freien Datenverkehr, doch die vom EuGH festgestellte Mitverantwortung der Seitenbetreiber erstreckt sich auf das jeweils geltende Recht, insbesondere auf die in der DS-GVO festgeschriebenen Rechte der Betroffenen und Pflichten der Verarbeiter.

Im Einzelnen ist Folgendes zu beachten:

- Wer eine Fanpage besucht, muss transparent und in verständlicher Form darüber informiert werden, welche Daten zu welchen Zwecken durch Facebook und die Fanpage-Betreiber verarbeitet werden. Dies gilt sowohl für Personen, die bei Facebook registriert sind, als auch für nicht registrierte Besucherinnen und Besucher des Netzwerks.

- Betreiber von Fanpages sollten sich selbst versichern, dass Facebook ihnen die Informationen zur Verfügung stellt, die zur Erfüllung der genannten Informationspflichten benötigt werden.

- Soweit Facebook Besucherinnen und Besucher einer Fanpage durch Erhebung personenbezogener Daten trackt, sei es durch den Einsatz von Cookies oder vergleichbarer Techniken oder durch die Speicherung der IP-Adresse, ist grundsätzlich eine Einwilligung der Nutzenden erforderlich, die die Anforderung der DS-GVO erfüllt.

- Für die Bereiche der gemeinsamen Verantwortung von Facebook und Fanpage-Betreibern ist in einer Vereinbarung festzulegen, wer von ihnen welche Verpflichtung der DS-GVO erfüllt. Diese Vereinbarung muss in wesentlichen Punkten den Betroffenen zur Verfügung gestellt werden, damit diese ihre Betroffenenrechte wahrnehmen können.

Für die Durchsetzung der Datenschutzvorgaben bei einer Fanpage ist die Aufsichtsbehörde zuständig, die für das jeweilige Unternehmen oder die Behörde zuständig ist, die die Fanpage betreibt. Die Durchsetzung der Datenschutzvorgaben im Verantwortungsbereich von Facebook selbst obliegt primär der irischen Datenschutzaufsicht im Rahmen der europäischen Zusammenarbeit.

Die deutschen Aufsichtsbehörden weisen darauf hin, dass nach dem Urteil des EuGH dringender Handlungsbedarf für die Betreiber von Fanpages besteht. Dabei ist nicht zu verkennen, dass die Fanpage-Betreiber ihre datenschutzrechtlichen Verantwortung nur erfüllen können, wenn Facebook selbst an der Lösung mitwirkt und ein datenschutzkonformes Produkt anbietet, das die Rechte der Betroffenen wahrt und einen ordnungsgemäßen Betrieb in Europa ermöglicht.



EuGH: Betreiber einer Facebook-Seite / Facebook-Fanpage gemeinsam mit Facebook für Verarbeitung der personenbezogenen Daten der Besucher verantwortlich

EuGH
Urteil vom 05.06.2018
C-210/16
Unabhängiges Landeszentrum für Datenschutz Schleswig-Holstein ./, Wirtschaftsakademie Schleswig-Holstein GmbH


Der EuGH hat entschieden, dass der Betreiber einer Facebook-Seite / Facebook-Fanpage gemeinsam mit Facebook die datenschutzrechtliche Verantwortung für die Verarbeitung der personenbezogenen Daten der Besucher trägt.

Entscheidend ist für den EuGH, dass der Betreiber einer Facebook-Seite "durch die von ihm vorgenommene Parametrierung (u. a. entsprechend seinem Zielpublikum sowie den Zielen der Steuerung oder Förderung seiner Tätigkeiten) an der Entscheidung über die Zwecke und Mittel der Verarbeitung der personenbezogenen Daten der Besucher seiner Fanpage beteiligt. " Ob dies generell bei Einrichtung einer Facebook-Seite der Fall ist oder die Nutzung weiterer Facebook-Funktionen erfordert, lässt der EuGH leider nicht genau erkennen. Sollten der EuGH generell die Einrichtung der Seite genügen lassen, könnten Facebook-Seiten / Facebook-Fanpages praktisch nicht mehr rechtskonform betrieben werden. Die Datenschutzbehörden sind - so der EuGH - jedenfalls befugt, in diesem Zusammenhang tätig zu werden.

Den Volltext der Entscheidung finden Sie hier:

Tenor der Entscheidung:

1. Art. 2 Buchst. d der Richtlinie 95/46/EG des Europäischen Parlaments und des Rates vom 24. Oktober 1995 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten und zum freien Datenverkehr ist dahin auszulegen, dass der Begriff des „für die Verarbeitung Verantwortlichen“ im Sinne dieser Bestimmung den Betreiber einer bei einem sozialen Netzwerk unterhaltenen Fanpage umfasst.

2. Die Art. 4 und 28 der Richtlinie 95/46 sind dahin auszulegen, dass dann, wenn ein außerhalb der Europäischen Union ansässiges Unternehmen mehrere Niederlassungen in verschiedenen Mitgliedstaaten unterhält, die Kontrollstelle eines Mitgliedstaats zur Ausübung der ihr durch Art. 28 Abs. 3 dieser Richtlinie übertragenen Befugnisse gegenüber einer im Hoheitsgebiet dieses Mitgliedstaats gelegenen Niederlassung dieses Unternehmens auch dann befugt ist, wenn nach der konzerninternen Aufgabenverteilung zum einen diese Niederlassung allein für den Verkauf von Werbeflächen und sonstige Marketingtätigkeiten im Hoheitsgebiet dieses Mitgliedstaats zuständig ist und zum anderen die ausschließliche Verantwortung für die Erhebung und Verarbeitung personenbezogener Daten für das gesamte Gebiet der Europäischen Union einer in einem anderen Mitgliedstaat gelegenen Niederlassung obliegt.

3. Art. 4 Abs. 1 Buchst. a und Art. 28 Abs. 3 und 6 der Richtlinie 95/46 sind dahin auszulegen, dass die Kontrollstelle eines Mitgliedstaats, wenn sie beabsichtigt, gegenüber einer im Hoheitsgebiet dieses Mitgliedstaats ansässigen Stelle wegen Verstößen gegen die Vorschriften über den Schutz personenbezogener Daten, die von einem Dritten begangen wurden, der für die Verarbeitung dieser Daten verantwortlich ist und seinen Sitz in einem anderen Mitgliedstaat hat, die Einwirkungsbefugnisse nach Art. 28 Abs. 3 dieser Richtlinie auszuüben, zuständig ist, die Rechtmäßigkeit einer solchen Datenverarbeitung unabhängig von der Kontrollstelle des letztgenannten Mitgliedstaats zu beurteilen und ihre Einwirkungsbefugnisse gegenüber der in ihrem Hoheitsgebiet ansässigen Stelle auszuüben, ohne zuvor die Kontrollstelle des anderen Mitgliedstaats um ein Eingreifen zu ersuchen.


Die Pressemitteilung des EuGH:

Der Betreiber einer Facebook-Fanpage ist gemeinsam mit Facebook für die Verarbeitung der personenbezogenen Daten der Besucher seiner Seite verantwortlich

Die Datenschutzbehörde des Mitgliedstaats, in dem dieser Betreiber seinen Sitz hat, kann nach der Richtlinie 95/461 sowohl gegen ihn als auch gegen die in diesem Mitgliedstaat niedergelassene Tochtergesellschaft von Facebook vorgehen

Die Wirtschaftsakademie Schleswig-Holstein ist ein auf den Bereich Bildung spezialisiertes Unternehmen. Sie bietet u. a. über eine auf Facebook unter der Adresse www.facebook.com/wirtschaftsakademie unterhaltene Fanpage Bildungsdienstleistungen an. Die Betreiber von Fanpages wie die Wirtschaftsakademie können mit Hilfe der Funktion Facebook Insight, die ihnen Facebook als nicht abdingbaren Teil des Benutzungsverhältnisses kostenfrei zur Verfügung stellt, anonymisierte statistische Daten betreffend die Nutzer dieser Seiten erhalten. Diese Daten werden mit Hilfe sogenannter Cookies gesammelt, die jeweils einen eindeutigen Benutzercode enthalten, der für zwei Jahre aktiv ist und den Facebook auf der Festplatte des Computers oder einem anderen Datenträger der Besucher der Fanpage speichert. Der Benutzercode, der mit den Anmeldungsdaten solcher Nutzer, die bei Facebook registriert sind, verknüpft werden kann, wird beim Aufrufen der Fanpages erhoben und verarbeitet.

Mit Bescheid vom 3. November 2011 ordnete das Unabhängige Landeszentrum für Datenschutz Schleswig-Holstein – als nach der Richtlinie 95/46 für die Überwachung der Anwendung der von Deutschland zur Umsetzung dieser Richtlinie erlassenen Vorschriften im Gebiet des Bundeslandes Schleswig-Holstein zuständige Kontrollstelle – gegenüber der Wirtschaftsakademie an, ihre Fanpage zu deaktivieren. Nach Auffassung des Unabhängigen Landeszentrums für Datenschutz wiesen nämlich weder die Wirtschaftsakademie noch Facebook die Besucher der Fanpage darauf hin, dass Facebook mittels Cookies sie betreffende personenbezogene Daten erhebt und diese Daten danach verarbeitet.

Die Wirtschaftsakademie erhob beim Verwaltungsgericht in Deutschland eine verwaltungsgerichtliche Klage gegen diesen Bescheid und machte geltend, dass ihr die Verarbeitung personenbezogener Daten durch Facebook nicht zugerechnet werden könne und sie Facebook auch nicht mit einer von ihr kontrollierten oder beeinflussbaren Datenverarbeitung beauftragt habe. Daraus leitete die Wirtschaftsakademie ab, dass das Unabhängige Landeszentrum direkt gegen Facebook und nicht gegen sie hätte vorgehen müssen.

Fanpages sind Benutzerkonten, die bei Facebook von Privatpersonen oder Unternehmen eingerichtet werden können. Der Fanpage-Anbieter kann nach einer Registrierung bei Facebook die von diesem unterhaltene Plattform dazu benutzen, sich den Nutzern dieses sozialen Netzwerks sowie Personen, die die Fanpage besuchen, zu präsentieren und Äußerungen aller Art in den Medien- und Meinungsmarkt einzubringen.

Vor diesem Hintergrund ersucht das Bundesverwaltungsgericht (Deutschland) den Gerichtshof um Auslegung der Richtlinie 95/46. In seinem Urteil vom heutigen Tag stellt der Gerichtshof zunächst fest, dass in der vorliegenden Rechtssache nicht in Zweifel gezogen wird, dass die amerikanische Gesellschaft Facebook und, was die Union betrifft, deren irische Tochtergesellschaft Facebook Ireland als „für die Verarbeitung“ der personenbezogenen Daten der Facebook-Nutzer und der Personen, die die auf Facebook unterhaltenen Fanpages besucht haben, „Verantwortliche“ anzusehen sind. Denn diese
Gesellschaften entscheiden in erster Linie über die Zwecke und Mittel der Verarbeitung dieser Daten.

Sodann befindet der Gerichtshof, dass ein Betreiber wie die Wirtschaftsakademie als in der Union gemeinsam mit Facebook Ireland für die fragliche Datenverarbeitung verantwortlich anzusehen ist. Ein solcher Betreiber ist nämlich durch die von ihm vorgenommene Parametrierung (u. a. entsprechend seinem Zielpublikum sowie den Zielen der Steuerung oder Förderung seiner Tätigkeiten) an der Entscheidung über die Zwecke und Mittel der Verarbeitung der personenbezogenen Daten der Besucher seiner Fanpage beteiligt. Der Gerichtshof weist insoweit darauf hin, dass der Fanpage-Betreiber insbesondere demografische Daten über seine Zielgruppe – und damit die Verarbeitung dieser Daten – verlangen kann (u. a. Tendenzen in den Bereichen Alter, Geschlecht, Beziehungsstatus und berufliche Situation), Informationen über den Lebensstil und die Interessen seiner Zielgruppe (einschließlich Informationen über die Käufe und das Online-Kaufverhalten der Besucher seiner Seite sowie über die Kategorien von Waren oder Dienstleistungen, die sie am meisten interessieren) und geografische Daten, die ihn darüber informieren, wo spezielle Werbeaktionen durchzuführen oder Veranstaltungen zu organisieren sind und ihm ganz allgemein ermöglichen, sein Informationsangebot so zielgerichtet wie möglich zu gestalten.

Nach Ansicht des Gerichtshofs kann der Umstand, dass ein Betreiber einer Fanpage die von Facebook eingerichtete Plattform nutzt, um die dazugehörigen Dienstleistungen in Anspruch zu nehmen, diesen nicht von der Beachtung seiner Verpflichtungen im Bereich des Schutzes personenbezogener Daten befreien.

Der Gerichtshof betont, dass die Anerkennung einer gemeinsamen Verantwortlichkeit des Betreibers des sozialen Netzwerks und des Betreibers einer bei diesem Netzwerk unterhaltenen Fanpage im Zusammenhang mit der Verarbeitung personenbezogener Daten der Besucher dieser Fanpage dazu beiträgt, entsprechend den Anforderungen der Richtlinie 95/46 einen umfassenderen Schutz der Rechte sicherzustellen, über die die Personen verfügen, die eine Fanpage besuchen.
Des Weiteren stellt der Gerichtshof fest, dass das Unabhängige Landeszentrum zuständig war, zur Gewährleistung der Einhaltung der Vorschriften zum Schutz personenbezogener Daten im deutschen Hoheitsgebiet von sämtlichen Befugnissen, über die es nach den deutschen Bestimmungen zur Umsetzung der Richtlinie 95/46 verfügt, nicht nur gegenüber der Wirtschaftsakademie, sondern auch gegenüber Facebook Germany Gebrauch zu machen.

Wenn ein außerhalb der Union ansässiges Unternehmen (wie die amerikanische Gesellschaft Facebook) mehrere Niederlassungen in verschiedenen Mitgliedstaaten unterhält, ist die Kontrollstelle eines Mitgliedstaats nämlich auch dann zur Ausübung der ihr durch die Richtlinie 95/463 übertragenen Befugnisse gegenüber einer im Hoheitsgebiet dieses Mitgliedstaats
gelegenen Niederlassung dieses Unternehmens befugt, wenn nach der konzerninternen Aufgabenverteilung zum einen diese Niederlassung (hier Facebook Germany) allein für den Verkauf von Werbeflächen und sonstige Marketingtätigkeiten im Hoheitsgebiet des betreffenden Mitgliedstaats zuständig ist, und zum anderen die ausschließliche Verantwortung für die Erhebung und Verarbeitung personenbezogener Daten für das gesamte Gebiet der Union einer in einem anderen Mitgliedstaat gelegenen Niederlassung (hier Facebook Ireland) obliegt.

Weiter führt der Gerichtshof aus, dass dann, wenn die Kontrollstelle eines Mitgliedstaats (hier das Unabhängige Landeszentrum in Deutschland) beabsichtigt, gegenüber einer im Hoheitsgebiet dieses Mitgliedstaats ansässigen Stelle (hier die Wirtschaftsakademie) wegen Verstößen gegen die Vorschriften über den Schutz personenbezogener Daten, die von einem Dritten begangen wurden, der für die Verarbeitung dieser Daten verantwortlich ist und seinen Sitz in einem anderen
Mitgliedstaat hat (hier Facebook Ireland), die Einwirkungsbefugnisse nach der Richtlinie 95/464 auszuüben, diese Kontrollstelle zuständig ist, die Rechtmäßigkeit einer solchen Datenverarbeitung unabhängig von der Kontrollstelle des letztgenannten Mitgliedstaats (Irland) zu beurteilen und ihre Einwirkungsbefugnisse gegenüber der in ihrem Hoheitsgebiet ansässigen Stelle auszuüben, ohne zuvor die Kontrollstelle des anderen Mitgliedstaats um ein Eingreifen zu ersuchen.



Europäischer Rat ändert Sprachfassungen der EU-DSGVO mit Dokument vom 19.04.2018 und damit kurz vor Inkraftreten am 25.05.2018

Europäische Rat hat mit Dokument vom 19.04.2018 kurz vor Inkrafttreten die Sprachfassungen der EU-DSGVO geändert. Zwar sollen die Änderungen primär dem sprachlichen Schliff der Übersetzungen dienen, allerdings können sich durch die Änderungen im Detail auch rechtliche Abweichungen ergeben.


OVG Hamburg: Facebook darf personenbezogene Daten deutscher WhatsApp-Nutzer mangels ausreichender Einwillungserklärung nach deutschem Recht nicht verwenden

OVG Hamburg
Entscheidung vom 01.03.2018
5 Bs 93/17


Das OVG Hamburg hat im Rahmen eines Eilverfahrens entschieden, dass Facebook personenbezogene Daten deutscher WhatsApp-Nutzer mangels ausreichender Einwillungserklärung nach deutschem Recht nicht verwenden darf. Der Ausgang des Hauptsacheverfahrens sei - so das Gericht - jedoch offen. Im Eilverfahren würden jedoch jedenfalls die Interessen deutscher WhatsApp-Nutzer am Schutz ihrer personenbezogenen Daten überwiegen.

Die Pressemitteilung des Gerichts:

Vorerst weiter keine Verwendung personenbezogener Daten deutscher WhatsApp-Nutzer durch Facebook

Das Hamburgische Oberverwaltungsgericht hat entschieden, dass die Facebook Ireland Ltd. (Facebook) die personenbezogenen Daten deutscher WhatsApp-Nutzer vorerst nicht auf der Grundlage der bisher abgeforderten Einwilligung erheben und speichern darf (5 Bs 93/17). Damit bestätigt es die vorausgegangene Entscheidung des Verwaltungsgerichts Hamburg, das einen Eilantrag von Facebook gegen eine sofort vollziehbare Untersagungsverfügung des Hamburgischen Beauftragten für Datenschutz und Informationssicherheit (Datenschutzbeauftragter) abgelehnt hatte (13 E 5912/16).

Zur Begründung hat das Hamburgische Oberverwaltungsgericht im Wesentlichen ausgeführt: Es sei offen, ob die beanstandete Untersagungsverfügung rechtmäßig sei. Offen sei insbesondere, ob deutsches Datenschutzrecht zur Anwendung gelange und – wenn ja – ob der Datenschutzbeauftragte gegen Facebook mit Sitz in Irland vorgehen dürfe. In diesem Fall erweise sich die beanstandete Untersagung allerdings nicht als offensichtlich rechtswidrig. Denn die seit August 2016 abgeforderte Zustimmung der WhatsApp-Nutzer zu den neuen Nutzungsbedingungen und Datenschutzrichtlinien entspreche voraussichtlich nicht den deutschen Datenschutzvorschriften. Die vor diesem Hintergrund vorzunehmende Interessenabwägung führe zu einem Überwiegen der Interessen deutscher WhatsApp-Nutzer am Schutz ihrer personenbezogenen Daten.



LAG Hamm: Unzulässige Videoüberwachung durch Arbeitgeber führt zu Beweisverwertungsverbot - Persönlichkeitsrechtsverletzung durch den Verstoß gegen den Datenschutz

LAG Hamm
Urteil vom 12.06.2017
11 Sa 858/16


Das LAG Hamm hat entschieden, dass eine unzulässige Videoüberwachung durch den Arbeitgeber zu einem Beweisverwertungsverbot führt. Durch den Verstoß gegen die datenschutzrechtlichen Vorgaben liegt eine Persönlichkeitsrechtsverletzung vor, die das Beweisverwertungsverbot zur Folge hat.

Aus den Entscheidungsgründen:

"I. Auch wegen der restlichen Ersatzforderung von 976,20 € ist die Widerklage unbegründet [133,00 € + 331,20 € + 213,00 € + 56,00 € + 22,00 € (nicht 32,00 €) + 221,00 €]. Zwar beschränkt sich der Beklagte bei dieser Forderung nicht auf die unter I. behandelten Berechnungen und Schlussfolgerungen. Zu den Daten 17.12.2015, 13.01.2016 und 29.01.2016 hat der Beklagte bereits im Verfahren erster Instanz konkrete schädigende Handlungen der Klägerin behauptet, welche er im zweiten Rechtszug für den 17.12.2015 und den 29.01.2016 weiter konkretisiert hat. Zusätzlich hat der Beklagte im Berufungsverfahren weitere konkrete Vorfälle am 19.12.2015, 08.01.2016 und am 23.01.2016 behauptet. Die für die sechs Tage behaupteten Fehlbeträge summieren sich damit auf insgesamt 976,20 €. Der Beklagte hat jedoch keinen zulässigen Beweis für die Richtigkeit der von der Klägerin bestrittenen Behauptungen angetreten. Sowohl für die Beweisführung durch die eingereichten Videosequenzen wie auch für eine Zeugenvernehmung der Mitarbeiterin, welche die Videoaufzeichnungen ausgewertet hat, besteht ein Beweisverwertungsverbot aus Gründen des Daten- und Persönlichkeitsschutzes.

42
1. Ein Beweisverwertungsverbot oder ein Verbot, selbst unstreitigen Sachvortrag zu verwerten, kommt in Betracht, wenn dies aufgrund einer verfassungsrechtlich geschützten Position einer Prozesspartei zwingend geboten ist (BAG 20.10.2016 – 2 AZR 395/15 - ; BAG 22.09.2016 – 2 AZR 848/15 - ). Das Gericht hat insoweit zu prüfen, ob Daten und Erkenntnisse in Übereinstimmung mit datenschutzrechtlichen Vorschriften gewonnen worden sind und ob die Verwertung der gewonnenen Daten und Erkenntnisse mit dem allgemeinen Persönlichkeitsrecht des Betroffenen vereinbar ist. Das allgemeine Persönlichkeitsrecht schützt nicht allein die Privat- und Intimsphäre, sondern in seiner speziellen Ausprägung als Recht am eigenen Bild auch die Befugnis eines Menschen, selbst darüber zu entscheiden, ob Filmaufnahmen von ihm gemacht und möglicherweise gegen ihn verwendet werden dürfen. Die Verwertung von personenbezogenen Daten greift in das Grundrecht auf informationelle Selbstbestimmung ein, das die Befugnis garantiert, selbst über die Preisgabe und Verwendung persönlicher Daten zu befinden (BAG 20.10.2016 - 2 AZR 395/15 - unter Hinweis auf BVerfG 11.03.2008 – 1 BvR 2074/05 -). Greift die prozessuale Verwertung eines Beweismittels in das allgemeine Persönlichkeitsrecht einer Prozesspartei ein, überwiegt das Interesse an seiner Verwertung und der Funktionstüchtigkeit der Rechtspflege das Interesse am Schutz dieses Grundrechts nur dann, wenn weitere, über das schlichte Beweisinteresse hinausgehende Aspekte hinzutreten. Es muss sich gerade diese Art der Informationsbeschaffung und Beweiserhebung als gerechtfertigt erweisen (BAG 20.10.2016 - 2 AZR 395/15; BAG 22.09.2016 – 2 AZR 848/15 - ). Ein Beweisverwertungsverbot wegen eines ungerechtfertigten Eingriffs in das Persönlichkeitsrecht umfasst dabei nicht nur das Beweismittel selbst, also in einem Fall wie hier eine In-Augenscheinnahme der Videoaufzeichnungen, sondern auch dessen mittelbare Verwertung wie etwa die Vernehmung eines Zeugen über den Inhalt des Bildmaterials (BAG 20.10.2016 - 2 AZR 395/15 - unter Hinweis auf BVerfG 31.07.2001 – 1 BvR 304/01 - ).

43
2. Der Schutzzweck der bei der Informationsgewinnung verletzten Norm kann einer Beweisverwertung und auch einer gerichtlichen Verwertung unstreitigen Sachvortrags entgegenstehen. Allerdings ordnen die Bestimmungen des BDSG für sich genommen nicht an, dass unter ihrer Missachtung gewonnene Erkenntnisse oder Beweismittel bei der Feststellung des Tatbestands im arbeitsgerichtlichen Verfahren vom Gericht nicht berücksichtigt werden dürften (BAG 22.09.2016 – 2 AZR 848/15 -; Eylert, Kündigung nach heimlicher Arbeitnehmerüberwachung, NZA-Beilage 2015, 100, 105). Die Annahme eines Sachvortrags- oder Beweisverwertungsverbots setzt weiter voraus, dass es dem Schutzzweck etwa des allgemeinen Persönlichkeitsrechts zuwiderliefe, den inhaltlichen Gehalt des fraglichen Beweismittels zur Grundlage der gerichtlichen Entscheidung zu machen (BAG aaO; Eylert aaO 105, 106). Der Schutzzweck des BDSG gebietet es nicht, dem Arbeitgeber aus generalpräventiven Gründen eine prozessuale Verwertung datenschutzrechtswidrig erlangter Informationen generell zu verwehren. Ein Verbot kommt nur in Betracht, wenn mit der Verwertung ein Eingriff in das allgemeine Persönlichkeitsrecht der anderen Prozesspartei einhergeht. Ein solcher Eingriff scheidet aus, wenn die Unzulässigkeit allein aus der (Dritt-)Betroffenheit anderer Beschäftigter resultiert (BAG 20.10.2016 – 2 AZR 395/15 - ). Unschädlich ist es dabei nach Auffassung des Bundesarbeitsgerichts, wenn der Arbeitgeber seinen Dokumentationspflichten gemäß § 32 Abs. 1 Satz 2 BDSG, die grundsätzlich vor der Datenerhebung zu erfüllen sind, nur unvollständig nachgekommen ist (BAG 20.10.2016 - 2 AZR 395/15 - ).

44
3. Nach diesen Grundsätzen besteht für die Videosequenzen, die mit der sog. Kassenkamera aufgezeichnet worden sind, ein Beweisverwertungsverbot (Screenshot BB 3 und BB 5, Bl. 266, 268 GA). Dies betrifft sämtliche Behauptungen des Beklagten zu den sechs Tagen mit Ausnahme der Behauptung der Geldentwendung im Büroraum am 23.01.2016, welche nach den Angaben des Beklagten mit der sog. Bürokamera aufgezeichnet worden ist (Screenshot BB 6, Bl. 269 GA / dazu unter 4.).

45
a) Bei den Aufnahmen der sog. Kassenkamera handelt es sich um eine offene Videoüberwachung des Ladenlokals als eines öffentlich zugänglichen Raums zur Wahrnehmung des Hausrechts („zur Aufklärung Straftaten Dritter, z. B. von Diebstählen, Überfällen, nächtlichen Einbrüchen oder Trickbetrügereien“).

46
aa) Die grundsätzliche Zulässigkeit solcher Beobachtungen ist in § 6 b Abs. 1 Nr. 2, Nr. 3 BDSG geregelt. § 6 b Abs. 2 BDSG legt fest, dass der Umstand der Beobachtung und die verantwortliche Stelle durch geeignete Maßnahmen erkennbar zu machen sind. Die Verarbeitung oder Nutzung der nach § 6 b Abs. 1 BDSG erhobenen Daten ist gemäß § 6 b Abs. 3 BDSG zulässig, wenn sie zum Erreichen des verfolgten Zwecks erforderlich ist und keine Anhaltspunkte bestehen, dass schutzwürdige Interessen der Betroffenen überwiegen. Für einen anderen Zweck dürfen sie nur verarbeitet oder genutzt werden, soweit dies zur Abwehr von Gefahren für die staatliche und öffentliche Sicherheit sowie zur Verfolgung von Straftaten erforderlich ist. Nach § 6 b Abs. 5 BDSG sind die nach § 6 b Abs. 1 BDSG erhobenen Daten unverzüglich zu löschen, wenn sie zur Erreichung des Zwecks nicht mehr erforderlich sind oder schutzwürdige Interessen der Betroffenen einer weiteren Speicherung entgegenstehen. Diese Vorschrift dient der Durchsetzung des Gebots der sparsamen Datenhaltung (NK-GA-Gola/Schulz, 1. Aufl. 2016, § 6 b BDSG Rn. 10). Bei der Vorgabe der unverzüglichen Löschung ist von einer Frist von ein bis zwei oder zumindest nur wenigen Arbeitstagen nach Wegfall der Erforderlichkeit auszugehen (Simitis-Scholz, BDSG, 8.Aufl. 2014, § 6 b BDSG Rn. 140, 141, 144 [„für kleine überschaubare Läden … Löschung noch am selben Abend“]; Däubler u.a.- Wedde, BDSG 5. Aufl. 2016, § 6 b BDSG Rn. 60).

47
bb) Die von dem Beklagten ab dem 15.02.2016 begonnene Auswertung des mit der Kassenkamera im Dreimonatszeitraum November 2015 bis Januar 2016 aufgezeichneten Arbeitsverhaltens der Klägerin im Kassenbereich verstößt gegen § 6 b Abs. 5 BDSG. Die Vorhaltung der Videoaufzeichnungen zum Kassierverhalten der Klägerin im Dreimonatszeitraum November 2015 bis Januar 2016 noch am 15.02.2016 verstößt gegen die Pflicht zur unverzüglichen Löschung. Der Beklagte wäre verpflichtet gewesen, die letzten Aufzeichnungen aus Januar 2016 in den ersten Tagen des Februar 2016, auf jeden Fall deutlich vor dem 15.02.2016 zu löschen. Die weiter zurückliegenden Aufzeichnungen hätten bereits zu entsprechend früheren Zeitpunkten gelöscht sein müssen. Aus diesem datenschutzrechtlichen Verstoß des Beklagten resultiert nach Abwägung der wechselseitigen Interessen ein Beweisverwertungsverbot. Zu berücksichtigen ist, dass der Beklagte ein Interesse hat, Schadensersatzforderungen für rechtswidriges Verhalten realisieren zu können, welches in seinem Ladenlokal zu seinem Nachteil geschieht. Diesem Interesse hat der Gesetzgeber mit den Regeln in § 6 b BDSG einerseits Rechnung getragen, zugleich hat er dort dem Interesse aber auch aus Gründen des Datenschutzes der überwachten Personen Grenzen gesetzt, der Gesetzgeber erwartet von der verantwortlichen Stelle eine alsbaldige Prüfung des Videomaterials zur Bedarfsklärung (Simitis-Scholz, BDSG, 8. Auf. 2014, § 6 b BDSG Rn. 140). Auf der Seite der Klägerin ist zu berücksichtigen, dass das Vorgehen des Beklagten sie in gravierender Weise in ihrem Recht auf informationelle Selbstbestimmung beschränkt. Die Kassenkamera hat jeden einzelnen Kassiervorgang der Klägerin aufgenommen. Durch die nicht durchgeführten Löschungen verfügte der Beklagte am 15.02.2016 über eine lückenlose Dokumentation jeglichen Kassenverhaltens der Klägerin während etlicher Arbeitswochen weit rückwirkend in den Dreimonatszeitraum November 2015 bis Januar 2016 hinein. Intensiviert ist die Beeinträchtigung dadurch, dass auch das Verhalten der Klägerin an anderen Stellen des Ladenlokals – durch zwei weitere unterschiedliche Kameraeinstelllungen in das Ladenlokal hinein - und außerdem noch ihr Verhalten bei Aufenthalten im nicht öffentlich zugänglichen Büroraum und insbesondere auch an dem dort befindlichen Sitzplatz (Screenshot BB 2, BB 6, Bl. 265, 269 GA) durchgängig aufgezeichnet worden ist. Eine Videobeobachtung des Arbeitnehmers in seinem Arbeitsbereich während der gesamten Dauer seiner Arbeitszeit stellt einen intensiven Eingriff in das Persönlichkeitsrecht dar (BAG 20.10.2016 – 2 AZR 395/15 – Rn. 30; Eylert, Kündigung nach heimlicher Arbeitnehmerüberwachung, NZA-Beilage 2015, 100, 104). Hier tritt hinzu, dass die lückenlose Dokumentation des Arbeitsverhaltens von dem Beklagten weit über eine Wochen- und sogar weit über eine Monatsspanne hinaus gespeichert gehalten worden ist. Angesichts dessen überwiegen die Interessen der Klägerin gegen eine Verwertung der Videoaufzeichnungen zur Beweisführung. Es besteht ein Beweisverwertungsverbot. Dem Antrag des Beklagten, die Videosequenzen zum Zwecke des Beweises in der mündlichen Verhandlung auszuwerten, war nicht zu entsprechen. Das Beweisverwertungsverbot steht aus den oben ausgeführten Gründen auch einer Vernehmung der Zeugin G entgegen, welche die Videoaufzeichnungen im Betrieb des Beklagten ausgewertet hat.

48
b) Ein anderes Ergebnis folgt nicht aus § 32 Abs. 1 Satz 2 BDSG. Nach dieser Bestimmung kann der Arbeitgeber zur Aufdeckung von Straftaten personenbezogene Daten eines Beschäftigten – ggf. auch heimlich – erheben, wenn dies zur Aufdeckung von Straftaten dient und die Datenerhebung nicht unverhältnismäßig ist. Es ist anerkannt, dass diese Vorschrift auch bei Überwachungen in öffentlich zugänglichen Räumen zur Rechtfertigung von – auch heimlichen - Videoüberwachungen herangezogen werden kann (BAG 22.09.2016 – 2 AZR 848/15 -; ErfK-Franzen, 17. Aufl. 2017, § 6 b BDSG Rn. 2). Ein Vorgehen nach § 32 Abs. 1 Satz 2 BDSG setzt voraus, dass der Arbeitgeber Straftaten aufdecken möchte. Voraussetzung für eine Erhebung nach § 32 Abs. 1 Satz 2 BDSG ist darüber hinaus, dass tatsächliche Anhaltspunkte für begangene Straftaten existieren. Der konkrete Tatverdacht muss aktenkundig gemacht werden, d.h. es müssen Schaden, Verdächtigenkreis und die Indizien, warum gerade die überwachte Person oder eine abgrenzbare überwachte Personengruppe verdächtig ist, schriftlich oder elektronisch dokumentiert werden. Allein das Vorliegen eines konkreten Tatverdachts genügt jedoch nicht, um eine flächendeckende Überwachung durchzuführen (ErfK-Franzen, 17. Aufl. 2017, § 6 b BDSG Rn. 31, 32). Vor Durchführung einer Überwachung nach § 32 Abs. 1 Satz 2 BDSG müssen außerdem weniger einschneidende Mittel zur Aufklärung ausgeschöpft sein (BAG 20.10.2016 – 2 AZR 395/15 -). Diese Voraussetzungen waren hier im Zeitpunkt der Überwachungsmaßnahmen in den drei Monaten November 2015 bis Januar 2016 nicht erfüllt. Erst im Nachhinein ist bei dem Beklagten ein Verdacht entstanden, nämlich nachdem er rückwirkend den Dreimonatszeitraum November 2015 bis Januar 2016 betriebswirtschaftlich ausgewertet hatte. Darin unterscheidet sich der hier gegebene Sachverhalt von dem des Urteils des Bundesarbeitsgerichts vom 20.10.2016 (2 AZR 395/15). Dort waren Inventurdifferenzen vor der Einrichtung der Videoüberwachung festgestellt worden. Die zum Beweis angebotenen Videokonsequenzen sind nicht durch die Regelung des § 32 Abs. 1 Satz 2 BDSG gerechtfertigt.

49
c) Die fraglichen Videoaufzeichnungen kann der Beklagte nicht nach § 32 Abs. 1 Satz 1 BDSG rechtfertigen. Danach ist eine Erhebung personenbezogener Daten für Zwecke des Beschäftigtenverhältnisses zulässig, wenn dies für die Entscheidung über die Begründung eines Beschäftigungsverhältnisses oder nach Begründung für dessen Durchführung oder Beendigung erforderlich ist. Insoweit ist anerkannt, dass § 32 Abs. 1 Satz 1 BDSG eine permanente Überwachung des Arbeitsverhaltens des Arbeitnehmers wegen des zu beachtenden Verhältnismäßigkeitsgebotes nicht zulässt (ErfK-Franzen, 17. Aufl. 2017, § 6 b BDSG Rn. 18).

50
d) Schließlich kann sich der Beklagte zur Rechtfertigung seines Vorgehens nicht auf die Rechtsprechung des Bundesarbeitsgerichts zur Verwertbarkeit sog. Zufallsfunde stützen. Für eine Videoüberwachung zur Aufdeckung von Straftaten gemäß § 32 Abs. 1 Satz 2 BDSG ist ein durch konkrete Tatsachen belegter „einfacher“ Verdacht ausreichend, der über vage Anhaltspunkte und bloße Mutmaßungen hinausreichen muss; ein „dringender“ Tatverdacht im Sinne eines hohen Grades an Wahrscheinlichkeit für die Begehung von Straftaten ist nach dem Gesetzeswortlaut nicht erforderlich (BAG 20.10.2016 – 2 AZR 395/15 -). Fällt bei einer zulässigen Videoüberwachung nach § 32 Abs. 1 Satz 2 BDSG gegen andere Verdächtige ein sog. Zufallsfund an, indem eine bislang nicht verdächtigte Person mit strafbarem Verhalten auffällt, so kann die Verwertung des Zufallsfundes nach § 32 Abs. 1 Satz 1 BDSG zulässig sein, auch wenn die Videoüberwachung im Hinblick auf die jetzt betroffene Person bislang anlasslos war (BAG 22.09.2016 – 2 AZR 848/15 - ). Hier ist die Klägerin jedoch nicht im Rahmen einer zulässigen Überwachung „zufällig“ aufgefallen sondern erst und nur im Rahmen einer gegen § 6 b Abs. 5 BDSG verstoßenden und nicht nach § 32 Abs. 1 Satz 1 oder Satz 2 gerechtfertigten Auswertung von Videoaufzeichnungen in einem öffentlich zugänglichen Ladenlokal (s.o.).

51
4. Ein Beweisverwertungsverbot besteht auch, soweit der Beklagte die Wegnahme von 200,00 € durch die Klägerin im Büroraum am 23.01.2016 mit Videosequenzen der sogenannten Bürokamera beweisen will (Screenshot BB2, BB 6, Bl. 265, 269 GA).

52
Der Büroraum mit dem dort befindlichen Tresor ist kein öffentlich zugänglicher Raum im Sinne des § 6 b BDSG. Eine Videoüberwachung dieses Raums nach den Regeln des § 6 b BDSG kommt nicht in Betracht (vgl. Weth / Herberger / Wächter - Byers, Daten- und Persönlichkeitsschutz im Arbeitsverhältnis, 2014, B VI Rn. 46 = S. 354, 355). Die Zulässigkeit der Videoüberwachung an einem nicht öffentlich zugänglichen Arbeitsplatz richtet sich zuvörderst nach § 32 Abs. 1 Satz 1 und Satz 2 BDSG (Weth / Herberger / Wächter - Byers, aaO, B VI Rn. 47, 48 = S. 355; Grimm, Überwachung im Arbeitsverhältnis, jM 2016, 17, 25). Die Zulässigkeitsvoraussetzungen gemäß § 32 Abs. 1 Satz 2 BDSG und nach § 32 Abs. 1 Satz 1 BDSG für eine Überwachung des Büroraums sind aus den oben unter 3. ausgeführten Gründen nicht erfüllt; im Zeitpunkt der Videoaufzeichnung bestand kein konkreter Verdacht für eine - durch die Überwachung aufzudeckende – Straftat (§ 32 Abs. 1 Satz 2 BDSG), eine durchgängige Überwachung der Klägerin bei ihren Aufenthalten im Büroraum gemäß § 32 Abs. 1 Satz 1 BDSG stellt sich – ohne Vorliegen eines konkreten Verdachts - als unverhältnismäßig dar (anlasslose Überwachung). Ein Rückgriff auf die Regeln zur Datenerhebung und –speicherung für eigene Geschäftszwecke gemäß § 28 Abs. 1 Nr. 2 BDSG, wie er auch bei einer Videoüberwachung an Arbeitsplätzen zur Verhinderung von Straftaten betriebsfremder Dritter für zulässig gehalten wird (Weth / Herberger / Wächter - Byers, aaO, B VI Rn. 47, 48 = S. 355), führt zu keinem anderen Ergebnis. Auch eine solche Überwachung ist nur im Rahmen der Erforderlichkeit zulässig. Auch hier ist von der überwachenden Stelle eine zügige Auswertung und alsbaldige Löschung zu fordern (ErfK-Franzen, 17. Aufl. 2017, § 32 BDSG Rn. 18: Löschung „innerhalb kürzester Zeit“; ArbG Frankfurt 27.01.2016 – 6 Ca 4195/15 – LAGE § 32 BDSG 2003 Nr. 1 Rn.55 „unverhältnismäßige Datenflut“; NK-GA-Gola/Schulz, 1. Aufl. 2016, § 32 BDSG Rn. 113 für § 32 Abs. 1 BDSG). Eine rückwirkende Auswertung einer lückenlosen Aufzeichnung nach Ablauf von mehr als zwei Wochen ist unverhältnismäßig und deshalb unzulässig. Auch hier führt die Interessenabwägung angesichts der Umfänglichkeit der Videoüberwachung am Arbeitsplatz einerseits und der langwährenden Speicherung des reichhaltigen Datenmaterials andererseits zum Beweisverwertungsverbot zum Schutz des Persönlichkeitsrechts der Klägerin."

Den Volltext der Entscheidung finden Sie hier:

LG Berlin: Privatsphären-Voreinstellungen von Facebook zu weitgehend und damit Verstoß gegen deutsches Datenschutzrecht - Werbung mit „Facebook ist und bleibt kostenlos" zulässig

LG Berlin
Urteil vom 16.01.2018
16 O 341/15


Das LG Berlin hat entschieden, dass die Privatsphären-Voreinstellungen von Facebook zu weitgehend sind und somit eine Verstoß gegen deutsches Datenschutzrecht vorliegt. Die Werbung mit der Aussage „Facebook ist und bleibt kostenlos" ist - so das Gericht - hingegen zulässig und keine Irreführung.

Den Volltext der Entscheidung finden Sie hier:

Die Pressemitteilung des vzbv:

"Facebook verstößt gegen deutsches Datenschutzrecht

Voreinstellungen im Privatsphäre-Bereich bedürfen einer informierten Einwilligung der Verbraucher.
Klausel zur Klarnamenpflicht und weitere AGB sind unzulässig. Werbung „Facebook ist und bleibt kostenlos“ ist nicht irreführend.

Facebook verstößt mit seinen Voreinstellungen und Teilen der Nutzungs- und Datenschutzbedingungen gegen geltendes Verbraucherrecht. Das hat das Landgericht Berlin nach einer Klage des Verbraucherzentrale Bundesverbands (vzbv) entschieden. Die Einwilligungen zur Datennutzung, die sich das Unternehmen einholt, sind nach dem Urteil teilweise unwirksam.

„Facebook versteckt datenschutzunfreundliche Voreinstellungen in seinem Privatsphäre-Center, ohne bei der Registrierung ausreichend darüber zu informieren“, sagt Heiko Dünkel, Rechtsreferent beim vzbv. „Das reicht für eine informierte Einwilligung nicht aus.“

Kritische Voreinstellungen schon aktiviert
Nach dem Bundesdatenschutzgesetz dürfen personenbezogene Daten nur mit Zustimmung der Betroffenen erhoben und verwendet werden. Damit diese bewusst entscheiden können, müssen Anbieter klar und verständlich über Art, Umfang und Zweck der Datennutzung informieren.

Diese Anforderungen erfüllte Facebook nicht. So war in der Facebook-App für Mobiltelefone bereits ein Ortungsdienst aktiviert, der Chat-Partnern den eigenen Aufenthaltsort verrät. In den Einstellungen zur Privatsphäre war per Häkchen voreingestellt, dass Suchmaschinen einen Link zur Chronik des Teilnehmers erhalten. Dadurch wird das persönliche Facebook-Profil für jeden schnell und leicht auffindbar. Die Richter entschieden, dass alle fünf vom vzbv monierten Voreinstellungen auf Facebook unwirksam sind. Es sei nicht gewährleistet, dass diese vom Nutzer überhaupt zur Kenntnis genommen werden.

Zu weit reichende Einwilligung zum Nutzen von Daten
Das Landgericht Berlin erklärte außerdem acht Klauseln in den Nutzungsbedingungen für unwirksam. Diese enthielten unter anderem vorformulierte Einwilligungserklärungen, wonach Facebook Namen und Profilbild der Nutzer „für kommerzielle, gesponserte oder verwandte Inhalte“ einsetzen und deren Daten in die USA weiterleiten durfte. Die Richter stellten klar, dass mit solchen vorformulierten Erklärungen keine wirksame Zustimmung zur Datennutzung erteilt werden könne.

Unzulässig ist auch eine Klausel, mit der sich Nutzer verpflichten, auf Facebook nur ihre echten Namen und Daten zu verwenden. „Anbieter von Online-Diensten müssen Nutzern auch eine anonyme Teilnahme, etwa unter Verwendung eines Pseudonyms, ermöglichen“, so Dünkel. „Das schreibt das Telemediengesetz vor.“ Nach Auffassung des Landgerichts war Klarnamenpflicht schon deshalb unzulässig, weil Nutzer damit versteckt der Verwendung dieser Daten zustimmten.

Werbung „Facebook ist kostenlos" ist zulässig
Nicht durchsetzen konnte sich der vzbv gegen die Werbung, Facebook sei kostenlos. Der Werbespruch ist nach Ansicht des Verbands irreführend. „Verbraucher bezahlen die Facebook-Nutzung zwar nicht in Euro, aber mit ihren Daten. Und diese bringen dem Unternehmen viel Geld ein“, so Dünkel. Das Landgericht Berlin hält die Werbung dagegen für zulässig, immaterielle Gegenleistungen seien nicht als Kosten anzusehen. Die Richter lehnten außerdem mehrere Anträge des vzbv gegen Bestimmungen in der Facebook-Datenrichtlinie ab. Die Richtlinie enthalte fast nur Hinweise und Informationen zur Verfahrensweise des Unternehmens und keine vertraglichen Regelungen.

Soweit das Gericht die Klage abgewiesen hat, wird der vzbv Berufung zum Kammergericht einlegen.

Urteil des Landgerichts Berlin vom 16.01.2018, Az. 16 O 341/15 – nicht rechtskräftig"



Anordnung des Hamburger Datenschutzbeauftragten (HmbBfDI) gegen Google wegen Beachtung des Datenschutzes bei der Verarbeitung der Nutzerdaten rechtskräftig

Eine Anordnung des Hamburger Datenschutzbeauftragten (HmbBfDI) gegen Google wegen Beachtung des Datenschutzes bei der Verarbeitung von Nutzerdaten ist nunmehr rechtskräftig.


Die Pressemitteilung des Hamburgischen Beauftragten für Datenschutz und Informationsfreiheit:

Verfahren zu den Privatsphärebestimmungen von Google abgeschlossen – Anordnung des HmbBfDI hat Bestand

Das Klageverfahren der Google LLC vor dem Verwaltungsgericht Hamburg gegen die bereits 2014 durch den Hamburgischen Beauftragten für Datenschutz und Informationsfreiheit (HmbBfDI) erlassene Anordnung auf Beachtung des Datenschutzes bei der Verarbeitung der Nutzerdaten wurde nunmehr durch Gerichtsbeschluss eingestellt. Dadurch konnte ein europaweit koordiniertes Verfahren zu einem für die Betroffenen guten Ausgang gebracht werden.

Aus Anlass der Neuformulierung der Datenschutzerklärung durch Google im Jahr 2012 beauftragte die europäische Art.-29-Datenschutzgruppe eine Task-Force unter Leitung der Französischen Datenschutzaufsichtsbehörde CNIL. Diese hatte die Aufgabe, die Rechtmäßigkeit der Datenverarbeitung durch das Unternehmen zu untersuchen und die datenschutzrechtlichen Anforderungen nach Maßgabe der jeweiligen nationalen Gesetze durchzusetzen. An dieser Task-Force war neben den Aufsichtsbehörden Großbritanniens, Italiens, der Niederlande und Spaniens auch der HmbBfDI beteiligt, da Google seinen deutschen Sitz in Hamburg hat. Der HmbBfDI sah in der Bildung von umfassenden Nutzerprofilen durch das Unternehmen mittels der aus den verschiedenen Diensten gesammelten Informationen einen massiven und tiefgreifenden Eingriff in die Interessen und schutzwürdigen Rechte der Betroffenen. Auch die Art.-29-Datenschutzgruppe kam zu dem Ergebnis, dass neben unzureichender Transparenz über Art und Umfang der Datenverarbeitung Google keine hinreichende Rechtsgrundlage für die Zusammenführung der Daten nachweisen konnte. Daraufhin erließ der HmbBfDI eine entsprechende Anordnung mit der Verpflichtung des Unternehmens, die notwendigen Maßnahmen zur Stärkung des Datenschutzes zu ergreifen. Hierzu zählte insbesondere die Forderung nach einer Einwilligung der Nutzer für die diensteübergreifende Datenverarbeitung durch Google.

Obwohl Google gegen diese Anordnung Rechtsmittel einlegte, hat sich der Konzern zeitgleich in eine Abstimmung mit den beteiligten Aufsichtsbehörden begeben und umfassende Maßnahmen ergriffen, um die erforderliche Rechtsgrundlage zu schaffen und die Transparenz und Kontrolle für die Nutzer zu verbessern. Es ist daher nun konsequent, dass das Klageverfahren gegen die Anordnung für alle Beteiligten nunmehr ressourcenschonend beendet werden konnte. Die Anordnung HmbBfDI ist damit rechtskräftig und muss durch Google beachtet werden. Das Verfahren gegen den HmbBfDI war das letzte, das im nationalen Recht der Task Force Mitglieder noch rechtshängig war. Alle anderen Verfahren hatten bereits zuvor ihren Abschluss gefunden.

Dazu Johannes Caspar, der Hamburgische Beauftragter für Datenschutz und Informationsfreiheit: „Mit dem aus unserer Sicht erfreulichen Abschluss dieses europaweit koordinierten und bis dahin wohl einmaligen Verfahrens haben wir gemeinsam mit den anderen Aufsichtsbehörden ein deutliches Zeichen an Google und vergleichbare Unternehmen gesendet. Es wurden dabei Standards für eine Stärkung der Transparenz und zum Schutz des informationellen Selbstbestimmungsrechts der Nutzer gesetzt, hinter die die Anbieter künftig nicht mehr zurückfallen dürfen. Wer in Europa mit der Verarbeitung personenbezogener Daten Geld verdienen möchte, muss sich an die hier herrschenden Spielregeln halten. Diese Aussage wird insbesondere ab Mai 2018 unter den Regeln der einheitlichen Datenschutzgrundverordnung mit Nachdruck fortgelten. Die europäische Koordination bei der Kontrolle der Einhaltung des Datenschutzes wird künftig nicht mehr die Ausnahme, sondern der Regelfall sein. Gerade mit Blick auf die Einwilligung gilt dann EU-weit ein strikteres Koppelungsverbot, das die Marktmacht globaler Anbieter noch stärker begrenzt.“


KG Berlin: Deutsches Datenschutzrecht für Facebook - unzureichende Einwilligungserklärung zur Weitergabe von Daten an App- und Spiele-Anbieter

KG Berlin
Urteil vom 22.09.2017
5 U 155/14


Das KG Berlin hat entschieden, dass sich Facebook an deutsches Datenschutzrecht zu halten hat und dass die streitgegenständlichen Einwilligungserklärungen zur Weitergabe von Daten an App- und Spiele-Anbieter unzureichend und damit unwirksam sind.

Siehe zur Vorinstanz: LG Berlin: Facebook - Einwilligung im App-Zentrum zur Datenweitergabe an App-Anbieter / Spiele-Anbieter mangels ausreichender Belehrung über Umfang unwirksam

Aus den Entscheidungsgründen:

"Diese Tätigkeit der Facebook Germany GmbH stellt einen hinreichenden Rahmen für die hier streitgegenständlichen Datenverarbeitungsvorgänge dar.

Insoweit müssen die Datenverarbeitungsvorgänge inhaltlich mit dieser Tätigkeit der Niederlassung verbunden sein (vergleiche EuGH Google Spain TZ 55 ff). Der vorliegend streitgegenständliche Internetauftritt der Beklagten ist - wie erörtert - auf Nutzer in Deutschland ausgerichtet und damit in einem besonderen Maß für deutsche Werbekunden sowie an einer Werbung gegenüber deutschen Verbrauchern interessierten Kunden von Bedeutung. Gerade diese Werbekunden soll die Facebook Germany GmbH einwerben und betreuen. Auch die Beklagte unterscheidet nicht Werbekunden (insbesondere auf den Nutzerseiten) und Anbieter von Apps/Anwendungen. Die Beklagte hat nicht gezielt in Abrede gestellt, dass die Facebook Germany GmbH für die Werbung und Betreuung von Anbietern von Anwendungen in Deutschland zuständig ist. Bei kostenpflichtigen Anwendungen kann davon ausgegangen werden, dass die Beklagte an dem Erlös - anteilig oder pauschal - beteiligt ist. Im Ausgangspunkt von Dritten kostenlos angebotene Anwendungen (so wie vorliegend die Spiele) dienen den Spieleranbietern in aller Regel entweder als eigene Werbeplattform für Werbungen anderer Unternehmen oder der kostenlose Teil der Anwendungen ist Werbung für entgeltliche Zusatzleistungen der Anwendungsanbieter. Der Kläger hat beispielhaft für die streitgegenständlichen Anwendungen darauf hingewiesen, dass die in Rede stehenden App-Angebote nur im Ausgangspunkt kostenlos sind und sie auch zusätzliche kostenpflichtige Leistungen beinhalten. Dies hat die Beklagte bei den Erörterungen in der mündlichen Verhandlung vor dem Senat nicht in Abrede gestellt, sondern nur etwa angebotene kostenpflichtige Bücher als
unerheblich angesehen.
[...]
Unerheblich ist vorliegend der Umstand, dass die Beklagte hinsichtlich der tatsächlichen Durchführung der Datenverarbeitung einen engeren Bezug zu den Nutzern in Deutschland hat als die Facebook Germany GmbH. Darauf kommt es nicht entscheidend an.

(1) Grundlage eines Abstellens auf einen solchen engeren Bezug ist die Annahme, die Datenschutzrichtlinie wolle eine Konkurrenz mehrerer nationaler Datenschutzrechte innerhalb der EU vermeiden, so dass allein auf die für die Datenverarbeitung verantwortliche Stelle abzustellen sei (was vorliegend für die Beklagte und damit für irisches Datenschutzrecht sprechen könnte).

(2)
Schon der rechtliche Ausgangspunkt ist nicht überzeugend. Gerade für das Datenschutzrecht fehlt es an einer vollständigen Harmonisierung innerhalb der EU, so dass sogar die Richtlinie über den elektronischen Geschäftsverkehr — wie erörtert - vom Herkunftslandprinzip für den Bereich des Datenschutzes eine Ausnahme bestimmt.

Für ein Gebot, bei mehreren Niederlassungen in der EU nur ein nationales Datenschutzrecht anzuwenden und dabei etwa auf die Niederlassung mit der engsten Verbindung zur streitigen Datenverarbeitung abzustellen, findet sich in der Datenschutzrichtlinie weder nach ihrem Wortlaut noch nach ihrer Ratio und den hierzu getroffenen Erwägungen ein hinreichender Anhalt. Eine Konzentration auf ein nationales Datenschutzrecht kommt nur dann in Betracht, wenn das datenverarbeitende Unternehmen innerhalb der EU seinen Sitz hat und keine (im oben genannten Sinne qualifizierte) Niederlassung in anderen EU-Ländern unterhält. Besteht aber eine solche Niederlassung in einem anderen EU-Land, findet allein Art. 4 Abs. 1 lit. a der Datenschutzrichtlinie Anwendung, der schon nach seinem Wortlaut keinen Anhalt für eine Konzentration auf das Datenschutzrecht eines einzigen EU-Landes enthält. Im Gegenteil: Art. 4 Abs. 1 lit. a Satz 2 der
Datenschutzrichtlinie regelt den Fall einer Mehrzahl von Niederlassungen in verschiedenen Mitgliedstaaten dahin, dass der für die Datenverarbeitung Verantwortliche für "jede dieser Niederlassungen die im jeweils anwendbaren einzelstaatlichen Recht festgelegten Verpflichtungen einhält", also das einschlägige nationale Datenschutzrecht für jedes EU-Land (mithin auch mehrere nationale Datenschutzregelungen) anwendet, in dem er eine Niederlassung unterhält. Danach soll der allein in einem einzigen EU-Land ansässige Unternehmer datenschutzrechtlich privilegiert werden, diese Privilegierung aber dann verlieren, wenn er weitergehend mit einer Niederlassung auch in einem anderen EU-Land tätig wird. Mit der Eröffnung einer solchen Niederlassung sind somit auch umfangreichere Verantwortlichkeiten verbunden.

Auch den genannten Entscheidungen des EuGH (Google Spain, Amazon und Weltimmo) ist kein Anhalt für eine Konzentration auf eine Niederlassung zu entnehmen. Dabei ging es sowohl in der Entscheidungen Weltimmo (TZ 17 und TZ 38) als auch in der Entscheidung Amazon (TZ 29 und TZ 80) um eine Mehrzahl von Niederlassungen in der EU. Insoweit verweist der EuGH zu Recht darauf, dass - wenn der Verantwortliche im Hoheitsgebiet mehrerer Mitgliedstaaten niedergelassen ist - er vor allem zur Vermeidung von Umgehungen höherer Datenschutzniveaus sicherstellen muss, dass jede dieser Niederlassungen die Verpflichtungen einhält, die im jeweiligen einzelstaatlichen Recht vorgesehen sind, dass auf ihre jeweiligen Tätigkeiten anwendbar ist (EuGH, aaO, Google Spain, TZ 48; aaO, Weltimmo, TZ 28)."

Den Volltext der Entscheidung finden Sie hier:

OVG Münster: Fahrerberwertungsportal fahrerbewertung.de datenschutzrechtlich unzulässig soweit private Daten für Öffentlichkeit einsehbar

OVG Münster
Urteil vom 19.10.2017
16 A 770/17


Das OVG Münster hat entschieden, dass das Fahrerberwertungsportal fahrerbewertung.de datenschutzrechtlich unzulässig ist, soweit private Daten für Öffentlichkeit einsehbar sind. Insofern geht das Recht auf informationelle Selbstbestimmung der betroffenen Personen vor.

Die Pressemitteilung des OVG Münster:

Fahrerbewertungsportal muss geändert werden

Das Internetportal "www.fahrerbewertung.de" ist in seiner derzeitigen Ausgestaltung datenschutzrechtlich unzulässig. Dies hat heute das Oberverwaltungsgericht ent­schieden und damit Anordnungen der NRW-Landesbeauftragten für Datenschutz und Informationsfreiheit zur Umgestaltung der Plattform bestätigt.

Die Klägerin betreibt ein Online-Portal, mit dem das Fahrverhalten von Verkehrsteil­nehmern und -teilnehmerinnen unter Angabe des Kfz-Kennzeichens im Wesentlichen anhand eines Ampelschemas (grün = positiv, gelb = neutral, rot = negativ) bewertet werden kann. Die abgegebenen Bewertungen können von jedermann ohne Regist­rierung eingesehen werden. Die Landesbeauftragte für Datenschutz sieht darin einen Verstoß gegen das Bundesdatenschutzgesetz. Sie gab der Klägerin unter anderem auf, die Plattform so umzugestalten, dass nur noch der jeweilige Halter oder die jeweilige Halterin eines Fahrzeugs die dafür abge­gebenen Bewertungen einsehen kann und sich zu diesem Zweck zuvor registrieren muss. Die dagegen erhobene Klage hatte das Verwaltungsgericht abgewiesen. Die Berufung hat das Oberverwaltungsgericht heute zurückgewiesen.

Zur Begründung hat der 16. Senat im Wesentlichen ausgeführt: Das Bundesdatenschutzgesetz sei vorliegend anwendbar, insbesondere handele es sich bei den zu bestimmten Kfz-Kennzeichen abgegebenen Bewertungen um personenbezogene Daten. Im Rahmen der vorzunehmenden Abwägung überwiege das informationelle Selbstbestimmungsrecht der betroffenen Kraftfahrzeughalter und -halterinnen ge­genüber den Interessen der Klägerin sowie der Nutzer und Nutzerinnen des Portals, weil eine vollständig anonyme Bewertung von in der Regel privat motiviertem Verhal­ten für eine unbegrenzte Öffentlichkeit einsehbar sei. Dem stünden keine gewichti­gen Interessen der Klägerin und der Portalnutzer und -nutzerinnen entgegen. Insbe­sondere das Ziel, die Fahrer zur Selbstreflexion anzuhalten, könne auch unter Gel­tung der Anordnungen erreicht werden.

Das Oberverwaltungsgericht hat die Revision gegen das Urteil nicht zugelassen. Da­gegen kann Nichtzulassungsbeschwerde erhoben werden, über die das Bundesver­waltungsgericht entscheidet.

Aktenzeichen: 16 A 770/17 (I. Instanz: VG Köln, 13 K 6093/15)

VG Karlsruhe: Anweisungen nach der EU-Datenschutz-Grundverordnung (EU-DSGVO) durch datenschutzrechtliche Aufsichtsbehörde erst ab In-Kraft-Treten am 25.05.2018

VG Karlsruhe
Urteil vom 6.7.2017
10 K 7698/16


Das VG Karlsruhe hat entschieden, dass Anweisungen nach der nach der EU-Datenschutz-Grundverordnung (EU-DSGVO) erst ab In-Kraft-Treten am 25.05.2018 zulässig sind.

Aus den Entscheidungsgründen:

"1. Für die datenschutzrechtliche Verfügung des Beklagten liegt keine Ermächtigungsgrundlage vor.

a) Die tatbestandlichen Voraussetzungen des als Ermächtigungsgrundlage herangezogenen § 38 Abs. 5 S. 1 BDSG liegen nicht vor. Hiernach kann die Aufsichtsbehörde zur Gewährleistung der Einhaltung des Bundesdatenschutzgesetzes und anderer Vorschriften über den Datenschutz Maßnahmen zur Beseitigung festgestellter Verstöße bei der Erhebung, Verarbeitung oder Nutzung personenbezogener Daten oder technischer oder organisatorischer Mängel anordnen. Die Ausübung der Befugnisse nach § 38 Abs. 5 S. 1 BDSG kommt in Betracht, wenn bei kontrollierten Stellen keine Bereitschaft zur Behebung der von der Aufsichtsbehörde gerügten Mängel oder Rechtsverletzungen festzustellen ist (Petri in Simitis, BDSG, 8. Aufl. 2014, § 38 Rn. 72). Eine aufsichtsbehördliche Maßnahme ist nicht erst dann zulässig, wenn die betreffende Datenverarbeitung ins Werk gesetzt ist. Insbesondere bei besonders sensiblen und sogar strafrechtlich geschützten Daten kann die Aufsichtsbehörde Anordnungen bereits treffen, wenn die unzulässige Datenverarbeitung durch ein Vertragswerk schon deutlich vorgezeichnet ist und dieses Vertragswerk in Kraft getreten ist (vgl. OVG Schleswig-Holstein, Beschluss vom 12.01.2011 - 4 MB 56/10 -, juris).

Diese Voraussetzungen sind vorliegend nicht erfüllt. Festgestellte Datenschutzverstöße durch die Klägerin, welche seitens der Aufsichtsbehörde gerügt worden wären, liegen der angefochtenen Verfügung unstreitig nicht zugrunde. Gleiches gilt für technische oder organisatorische Mängel. Ausweislich der Verfügungsbegründung sollen keine gegenwärtigen Datenschutzverstöße der Klägerin unterbunden, sondern vielmehr Missstände verhindert werden, die nach dem 24.05.2018 zu erwarten seien. Soweit der Landesbeauftragte für den Datenschutz Baden-Württemberg insoweit die aus der Rechtsprechung des Oberverwaltungsgerichts Schleswig-Holstein abgeleiteten Grundsätze für anwendbar hält, wonach bei Vorliegen besonderer Umstände auch künftig zu erwartende Datenschutzverstöße bereits ein Tätigwerden der Aufsichtsbehörde zuließen, vermag die erkennenden Kammer dem nicht zu folgen. Denn anders als in der der herangezogenen Entscheidung zugrundliegenden Konstellation ist das künftige Verhalten der Klägerin nicht durch ein bereits in Kraft getretenes Vertragswerk oder eine vergleichbare tragfähige Grundlage deutlich vorgezeichnet. Es ist vielmehr noch völlig ungewiss, wie die Prüf- und Löschpraxis der Klägerin bezüglich forderungsbezogener Daten künftig unter Geltung der EU-Datenschutzgrundverordnung aussehen wird und ob diese rechtswidrig sein wird, zumal auch der genaue rechtliche Rahmen hierfür noch unklar ist.

Die derzeit geltende Regelung des § 35 Abs. 2 S. 2 Nr. 4 BDSG, wonach personenbezogene Daten zu löschen sind, wenn sie geschäftsmäßig zum Zweck der Übermittlung verarbeitet werden und eine Prüfung jeweils am Ende des vierten, soweit es sich um Daten über erledigte Sachverhalte handelt und der Betroffene der Löschung nicht widerspricht am Ende des dritten Kalenderjahres beginnend mit dem Kalenderjahr, das der erstmaligen Speicherung folgt, ergibt, dass eine längerwährende Speicherung nicht erforderlich ist, wird mit Neufassung des Bundesdatenschutzgesetz durch das Datenschutz-Anpassungs- und Umsetzungsgesetz EU vom 30.06.2017 (BGBl. I, S. 2097 ff.) nicht fortbestehen. Die Datenschutzgrundverordnung enthält über den Erforderlichkeitsgrundsatz (vgl. Art. 5 Abs. 1 Buchst. e EU-DSGVO) hinaus keine konkreten Vorgaben zu den Prüf- und Löschfristen. Ihr ist lediglich – unter anderem in Erwägungsgrund 39 – zu entnehmen, dass der Verantwortliche die Dauer seiner Datenverarbeitung unabhängig von einem entsprechenden Verlangen des Betroffenen nach Art. 17 EU-DSGVO („Recht auf Vergessenwerden“) regelmäßig zu überprüfen hat. Hierbei kann auf typisierte Regelprüffristen für wiederkehrende Vorgänge zurückgegriffen werden, da es gerade Unternehmen, die in großem Umfang Daten verarbeiten – wie etwa Auskunfteien – nicht zuzumuten ist, jeden Einzelfall gesondert zu bewerten (vgl. Plath in: Plath, BDSG/DSGVO, 2. Aufl. 2016, Art. 5 EU-DSGVO Rn. 18). Eine Überprüfung kann in bestimmten Intervallen erfolgen, so wie es beispielsweise bislang nach § 35 Abs. 2 S. 2 Nr. 4 BDSG möglich und zulässig war (vgl. Kamlah in: Plath, a.a.O., Art. 17 EU-DSGVO Rn. 6).

Einen Vorschlag bezüglich der Prüf- und Löschfristen unter Geltung der EU-Datenschutzgrundverordnung enthält der vom Verband der Wirtschaftsauskunfteien, dem auch die Klägerin angehört, ausgearbeitete Entwurf von Verhaltensregeln („Code of Conduct“). Nach Art. 40 Abs. 2 EU-DSGVO können Verbände oder andere Vereinigungen, die Kategorien von Verantwortlichen oder Auftragsverarbeitern vertreten, Verhaltensregeln ausarbeiten oder ändern oder erweitern, mit denen die Anwendung der Verordnung präzisiert wird. Auf Antrag nimmt die zuständige Aufsichtsbehörde in einem zweistufigen Verfahren dazu Stellung, ob die vorgelegten Verhaltensregeln mit der Verordnung vereinbar sind und genehmigt diese, soweit sie „ausreichende geeignete Garantien“ bieten (vgl. Art. 40 Abs. 5 S. 2 EU-DSGVO). Ein entsprechender Antrag bei der hier zuständigen Aufsichtsbehörde des Landes Nordrhein-Westfalen ist – wie die Prozessbevollmächtigten der Klägerin in der mündlichen Verhandlung vom 06.07.2017 angegeben haben – formal noch nicht gestellt worden. Aktuell finde noch die Abstimmung und Konsensbildung mit den im Düsseldorfer Kreis vertretenen Aufsichtsbehörden des Bundes und der Länder für den nicht-öffentlichen Bereich statt. Ausweislich des Protokolls der letzten Sitzung des Düsseldorfer Kreises vom 07.03.2017 (abrufbar unter: https://www.ldi.nrw.de/mainmenu_Service/submenu_Entschliessungsarchiv/Inhalt/Protokolle/Inhalt/Protokolle_des_Duesseldorfer_Kreises/Inhalt/7_-Maerz-2017/DK-2017_1-Protokoll.pdf) hat der „Code of Conduct Prüf- und Löschfristen in der Fassung des Entwurfs vom 28.02.2017“ bei einer Probeabstimmung zwar eine mehrheitliche Zustimmung, jedoch nicht die nach der Geschäftsordnung des Düsseldorfer Kreises erforderliche einstimmige Zustimmung erhalten. Mehrheitlich befürworte der Düsseldorfer Kreis, dass Nordrhein-Westfalen als genehmigende Aufsichtsbehörde dem Verband der Wirtschaftsauskunfteien empfehlen solle, den Bundesverband Verbraucherzentralen bei der „weiteren Ausarbeitung des Code of Conduct“ zu beteiligen (vgl. Protokoll der Sitzung vom 07.03.2017, S. 7). Vor dem Hintergrund des nach wie vor laufenden Verfahrens steht weder fest, ob es überhaupt zu einer späteren Genehmigung von Verhaltensregeln zu den Prüf- und Löschfristen kommen wird, noch wie diese letztlich ausgestaltet sein werden. Angesichts dessen kann die weitere Frage der Wirkung und Verbindlichkeit von genehmigten Verhaltensregeln dahingestellt bleiben. Nach dem Voranstehenden fehlt es bereits an einer Grundlage, welche die getroffene Einschätzung tragen könnte, wonach die Klägerin mit ihrer – derzeit im Übrigen noch ungewissen – künftigen Prüf- und Löschpraxis gegen die – ggf. noch zu konkretisierenden – Vorgaben der EU-Datenschutzgrundverordnung verstoßen würde.

Insbesondere kann auch nicht davon ausgegangen werden, dass nur eine Handhabung entsprechend der in der angegriffenen Verfügung vorgesehenen Prüf- und Löschpraxis mit der EU-Datenschutzgrundverordnung vereinbar wäre. Denn die vom Landesbeauftragen für den Datenschutz Baden-Württemberg für angemessen erachtete Frist, wonach Forderungen im Sinne von § 28a BDSG und die mit diesen in Zusammenhang stehenden Informationen über Personen, die die Klägerin in ihren Datenbeständen, aus denen Bonitätsauskünfte erteilt würden, nach dem 24.05.2018 speichere, spätestens nach Ablauf von drei Jahren, beginnend mit dem Zeitpunkt der Fälligkeit der Forderung, zu löschen seien, es sei denn, dass der Betroffene zu diesem Zeitpunkt zahlungsunfähig oder zahlungsunwillig sei, stellt keineswegs die einzig mögliche Speicher- und Löschkonzeption dar, die mit der EU-Datenschutzgrundverordnung in Einklang steht bzw. sich aus selbiger zwingend ergibt. Die künftige Prüf- und Löschpraxis der Auskunfteien muss sich – wie bereits dargestellt wurde – am Erforderlichkeitsmaßstab des Art. 5 Abs. 1 Buchst. e EU-DSGVO messen lassen, der in Hinblick auf Fristlänge und Anknüpfungsmoment einen Spielraum eröffnet. Die erkennende Kammer muss vorliegend nicht darüber entscheiden, wo die Grenzen dieses Spielraums erreicht sind. Sie geht aber – worauf es hier alleine ankommt – jedenfalls davon aus, dass innerhalb des vorhandenen Spielraums eine gewisse Bandbreite an mit der EU-Datenschutzgrundverordnung in Einklang stehenden Prüf- und Löschfristen zulässig ist.

b) Entgegen den Ausführungen der Beklagten ergibt sich eine Ermächtigungsgrundlage für die angegriffene Verfügung auch nicht aus § 38 Abs. 5 S. 1 BDSG i.V.m. Erwägungsgrund 39 der EU-DSGVO. Aus diesem Erwägungsgrund geht unter anderem hervor, dass der Verantwortliche Fristen für die Löschung oder regelmäßige Überprüfung personenbezogener Daten vorsehen sollte, um sicherzustellen, dass die Daten nicht länger als nötig gespeichert werden.

Zunächst kann dahingestellt bleiben, ob aus einem Erwägungsgrund einer zwar in Kraft getretenen, jedoch noch nicht anwendbaren Verordnung in Verbindung mit einer Regelung, die bei Geltung der Verordnung weggefallen sein wird, eine Rechtsgrundlage hergeleitet werden kann. Denn jedenfalls ergibt sich auch aus dem ergänzend herangezogenen Erwägungsgrund nicht, dass die Klägerin bereits vor Geltung der Verordnung verpflichtet wäre, der Verfügung entsprechende Überprüfungs- und Löschfristen zu schaffen und sie hierzu bereits vor Anwendbarkeit der Verordnung durch die Aufsichtsbehörde verpflichtet werden könnte. Eine frühzeitige Anpassung ihrer Datenschutzlöschkonzeption an die EU-Datenschutzgrundverordnung liegt unzweifelhaft im Interesse der Klägerin, da bei Verstößen gegen das europäische Datenschutzrecht erhebliche Sanktionen drohen (vgl. nur Art. 83 Abs. 5 Buchst. a EU-DSGVO zu Verstößen gegen die Grundsätze der Verarbeitung gemäß Art. 5 EU-DSGVO). Eine Ermächtigung für ein Tätigwerden der Aufsichtsbehörde bereits vor Geltung der EU-Datenschutzgrundverordnung – gewissermaßen um frühzeitig sicherzustellen, dass die künftig anwendbaren Vorschriften unter Berücksichtigung der Rechtsauffassung der Aufsichtsbehörde durch die Verantwortlichen eingehalten werden – lässt sich jedoch weder der Verordnung im Wege einer Vorwirkung, noch den aktuell geltenden Bestimmungen des Bundesdatenschutzgesetzes entnehmen.

c) Soweit der Beklagte auf Art. 58 Abs. 2 Buchst. d EU-DSGVO verweist, wonach jede Aufsichtsbehörde über Abhilfebefugnisse verfügt, die es ihr gestatten, den Verantwortlichen oder den Auftragsverarbeiter anzuweisen, Verarbeitungsvorgänge gegebenenfalls auf bestimmte Weise und innerhalb eines bestimmten Zeitraums in Einklang mit der Verordnung zu bringen, kann die am 25.11.2016 erlassene Verfügung bereits deshalb nicht auf diese Ermächtigungsgrundlage gestützt werden, da diese erst ab 25.05.2018 Gültigkeit beanspruchen wird (vgl. Art. 99 Abs. 2 EU-DSGVO)."


Den Volltext der Enstcheidung finden Sie hier: