BECKMANN UND NORDA - Rechtsanwälte Bielefeld

BGH
Beschluss vom 27.03.2023
VI ZR 225/21

Der BGH hat das Verfahren hinsichtlich der Frist zur Löschung der Restschuldbefreiung aus der Schufa-Datenbank ausgesetzt, bis der EuGH in einem anderen Verfahren die streitrelaventen Vorgaben der DSGVO geklärt hat.

Die Pressemitteilung des BGH:
Aussetzung des Verfahrens in Sachen VI ZR 225/21 (Löschung der Eintragung über die Erteilung der Restschuldbefreiung im Insolvenzverfahren in einer Datenbank der Schufa)

Der unter anderem für Ansprüche nach der EU-Datenschutzgrundverordnung und dem Bundesdatenschutzgesetz zuständige VI. Zivilsenat des Bundesgerichtshofes hat darüber zu entscheiden, ob ein Schuldner, dem vom Insolvenzgericht Restschuldbefreiung erteilt worden ist, von der Schufa die Löschung dieser Information in ihrer Datenbank grundsätzlich oder jedenfalls dann verlangen kann, wenn die Frist für die Speicherung dieser Information im öffentlichen bundesweiten Insolvenzportal abgelaufen ist (vgl. im Einzelnen Pressemitteilung Nr. 26/2023 vom 9.2.2023).

Mit Beschluss vom heutigen Tag hat der VI. Zivilsenat das Verfahren bis zu der Entscheidung des Gerichtshofs der Europäischen Union in den dort anhängigen (verbundenen) Verfahren C-26/22 und C-64/22 ausgesetzt.

Vorinstanzen:

LG Kiel - 2 O 10/21 – Urteil vom 12. Februar 2021

OLG Schleswig - 17 U 15/21 – Urteil vom 2. Juli 2021

EuGH-Generalanwalt
Schlussanträge vom 16.03.2023
C-634/21 SCHUFA Holding u. a. (Scoring)
und den verbundenen Rechtssachen
C-26/22 und C-64/22 SCHUFA Holding u. a. (Restschuldbefreiung)

Der EuGH-Generalanwalt kommt in seinen Schlussanträgen zu dem Ergebnis, dass das SCHUFA-Scoring Profiling im Sinne der DSGVO ist. Zudem äußert sich der EuGH-Generalanwalt zur Speicherung der Restschuldbefreiung über 6 Monate hinaus durch Wirtschaftsauskunfteien.

Die Pressemitteilung des EuGH:
Generalanwalt Pikamäe: Die automatisierte Erstellung eines Wahrscheinlichkeitswerts über die Fähigkeit einer Person, einen Kredit zu bedienen, ist ein Profiling im Sinne der DSGVO

Rechtsverbindliche Beschlüsse einer datenschutzrechtlichen Aufsichtsbehörde müssten gerichtlich umfassend überprüfbar sein

Die Rechtssache C-634/21 betrifft einen Rechtsstreit zwischen einem Bürger und dem Land Hessen, vertreten durch den Hessischen Beauftragten für Datenschutz und Informationsfreiheit (im Folgenden: HBDI), hinsichtlich des Schutzes personenbezogener Daten. Im Rahmen ihrer wirtschaftlichen Tätigkeit, die darin besteht, ihre Kunden mit Auskünften über die Kreditwürdigkeit Dritter zu versorgen, lieferte die SCHUFA Holding AG einem Kreditinstitut einen Score-Wert in Bezug auf diesen Bürger. Dieser Score-Wert diente als Grundlage für die Verweigerung des von diesem Bürger beantragten Kredits. Der Bürger forderte daraufhin die SCHUFA auf, die darauf bezogene Eintragung zu löschen und ihm Zugang zu den entsprechenden Daten zu gewähren. Die SCHUFA teilte ihm jedoch nur den entsprechenden Score-Wert und in allgemeiner Form die der Methode zur Berechnung des Score-Wertes zugrunde liegenden Grundsätze mit. Sie erteilte ihm aber keine Auskunft darüber, welche konkreten Informationen in diese Berechnung eingeflossen waren und welche Bedeutung ihnen in diesem Zusammenhang beigemessen wurde und begründete dies damit, dass die Berechnungsmethode dem Geschäftsgeheimnis unterliege.

Soweit der betroffene Bürger geltend macht, dass die Ablehnung seines Ersuchens durch die SCHUFA gegen Datenschutzrecht verstoße, wird der Gerichtshof vom Verwaltungsgericht Wiesbaden ersucht, über die Beschränkungen zu entscheiden, die die Datenschutz-Grundverordnung (DSGVO) der wirtschaftlichen Tätigkeit von Auskunfteien im Finanzsektor, insbesondere bei der Datenverwaltung, auferlegt, sowie über die Bedeutung, die dem Geschäftsgeheimnis zuzuerkennen ist. Der Gerichtshof wird auch den Umfang der Regelungsbefugnisse zu präzisieren haben, die dem nationalen Gesetzgeber durch einige Bestimmungen der DSGVO abweichend von dem mit diesem Rechtsakt verfolgten allgemeinen Harmonisierungszweck übertragen werden.

In seinen Schlussanträgen führt Generalanwalt Priit Pikamäe zunächst aus, dass die DSGVO ein „Recht“ der betroffenen Person verankere, nicht einer ausschließlich auf einer automatisierten Verarbeitung – einschließlich Profiling – beruhenden Entscheidung unterworfen zu werden.

Der Generalanwalt stellt sodann fest, dass die Voraussetzungen, denen dieses Recht unterliege, erfüllt seien, da:

1. das fragliche Verfahren ein „Profiling“ darstelle,
2. die Entscheidung rechtliche Wirkungen gegenüber der betroffenen Person entfalte oder sie in ähnlicher Weise erheblich beeinträchtige und
3. davon auszugehen sei, dass die Entscheidung ausschließlich auf einer automatisierten Verarbeitung beruhe.

Die Bestimmung der DSGVO, in der dieses Recht vorgesehen sei, sei somit unter Umständen wie denen des Ausgangsverfahrens anwendbar.

Der Generalanwalt unterstreicht, dass die betroffene Person nach einer anderen Bestimmung der DSGVO das Recht habe, von dem für die Verarbeitung Verantwortlichen nicht nur die Bestätigung zu verlangen, ob sie betreffende personenbezogene Daten verarbeitet werden oder nicht, sondern auch andere Informationen wie das Bestehen einer automatisierten Entscheidungsfindung einschließlich Profiling, aussagekräftige Informationen über die involvierte Logik sowie die Tragweite und die angestrebten Auswirkungen einer derartigen Verarbeitung für die betroffene Person. Der Generalanwalt ist der Ansicht, dass die Verpflichtung, „aussagekräftige Informationen über die involvierte Logik“ bereitzustellen, dahin zu verstehen sei, dass sie hinreichend detaillierte Erläuterungen zur Methode für die Berechnung des Score-Wertes und zu den Gründen umfasst, die zu einem bestimmten Ergebnis geführt haben. Generell sollte der Verantwortliche der betroffenen Person allgemeine Informationen übermitteln, vor allem zu bei der Entscheidungsfindung berücksichtigten Faktoren und deren Gewichtung auf aggregierter Ebene, die der betroffenen Person auch für die Anfechtung von „Entscheidungen“ im Sinne der Bestimmung der DSGVO, in der das Recht verankert sei, nicht einer ausschließlich auf einer automatisierten Verarbeitung, einschließlich Profiling, beruhenden Entscheidung unterworfen zu werden, nützlich seien.

Der Generalanwalt kommt zu dem Schluss, dass diese Bestimmung dahin auszulegen sei, dass bereits die automatisierte Erstellung eines Wahrscheinlichkeitswerts über die Fähigkeit einer betroffenen Person, künftig einen Kredit zu bedienen, eine ausschließlich auf einer automatisierten Verarbeitung – einschließlich Profiling – beruhende Entscheidung darstelle, die der betroffenen Person gegenüber rechtliche Wirkung entfalte oder sie in ähnlicher Weise erheblich beeinträchtige, wenn dieser mittels personenbezogener Daten der betroffenen Person ermittelte Wert von dem Verantwortlichen an einen dritten Verantwortlichen übermittelt werde und jener Dritte nach ständiger Praxis diesen Wert seiner Entscheidung über die Begründung, Durchführung oder Beendigung eines Vertragsverhältnisses mit der betroffenen Person maßgeblich zugrunde lege.

Das Verwaltungsgericht Wiesbaden hat zwei weitere Vorabentscheidungsersuchen zur DSGVO vorgelegt (Rechtssachen C-26/22 und C-64/22). Diese Ersuchen ergehen im Rahmen von zwei Rechtsstreitigkeiten zwischen zwei Bürgern und dem Land Hessen, vertreten durch den HBDI, über Anträge dieser Bürger beim HBDI auf Löschung einer Eintragung betreffend eine Restschuldbefreiung bei der SCHUFA. Im Rahmen der diese Bürger betreffenden Insolvenzverfahren wurde ihnen mit gerichtlichen Beschlüssen eine vorzeitige Restschuldbefreiung erteilt. Dieser Umstand wurde im Internet amtlich veröffentlicht, und der Eintrag nach sechs Monaten gelöscht. Die SCHUFA speichert solche veröffentlichten Informationen über vorzeitige Restschuldbefreiungen in ihrem Datenbestand, löscht sie aber erst drei Jahre nach der Eintragung. Die vom nationalen Gericht gestellten Fragen betreffen unter anderem die Rechtsnatur der Entscheidung der mit einer Beschwerde befassten Aufsichtsbehörde sowie den Umfang der gerichtlichen Kontrolle, die das Gericht im Rahmen eines Rechtsbehelfs gegen eine solche Entscheidung ausüben kann. Die Rechtssachen betreffen auch die Frage der Rechtmäßigkeit der Speicherung personenbezogener Daten aus öffentlichen Registern bei Wirtschaftsauskunfteien.

In seinen Schlussanträgen weist Generalanwalt Pikamäe als Erstes darauf hin, dass sich die Rechtmäßigkeit der Verarbeitung aus einer Abwägung der verschiedenen betroffenen Interessen ergeben müsse, wobei die berechtigten Interessen des Verantwortlichen oder eines Dritten überwiegen müssten. Die Aufsichtsbehörde, die nach der DSGVO jede etwaige Beschwerde der betroffenen Person wegen Verletzung ihrer Grundrechte zu behandeln habe, habe zu prüfen, ob die Voraussetzungen für die Verarbeitung erfüllt seien. Sollte diese Person schließlich gemäß der DSGVO einen Rechtsbehelf gegen einen Beschluss der Aufsichtsbehörde einlegen, obliege es den nationalen Gerichten, eine wirksame gerichtliche Kontrolle sicherzustellen. Nach Ansicht des Generalanwalts unterliegt ein rechtsverbindlicher Beschluss einer Aufsichtsbehörde einer umfassenden gerichtlichen Kontrolle in der Sache, wodurch die Wirksamkeit des Rechtsbehelfs gewährleistet werde.

Als Zweites führt der Generalanwalt aus, dass die Verarbeitung personenbezogener Daten nach der DSGVO unter drei kumulativen Voraussetzungen zulässig sei:

- erstens müsse von dem für die Verarbeitung Verantwortlichen oder von dem oder den Dritten, denen die Daten übermittelt werden, ein berechtigtes Interesse wahrgenommen werden,
- zweitens müsse die Verarbeitung der personenbezogenen Daten zur Verwirklichung des berechtigten Interesses erforderlich sein und
- drittens dürften die Grundrechte und Grundfreiheiten der Person, deren Daten geschützt werden sollen, nicht überwiegen.

Herr Pikamäe merkt an, dass die erheblichen negativen Folgen, die die Speicherung der Daten für die betroffene Person nach Ablauf des fraglichen Zeitraums von sechs Monaten haben werde, gegenüber dem geschäftlichen Interesse des privaten Unternehmens und seiner Kunden an der Speicherung der Daten nach diesem Zeitraum zu überwiegen scheinen. In diesem Kontext sei hervorzuheben, dass die gewährte Restschuldbefreiung dem Begünstigten ermöglichen solle, sich erneut am Wirtschaftsleben zu beteiligen. Dieses Ziel würde jedoch vereitelt, wenn private Wirtschaftsauskunfteien berechtigt wären, personenbezogene Daten in ihren Datenbanken zu speichern, nachdem diese Daten aus dem öffentlichen Register gelöscht worden seien.

Der Generalanwalt kommt zu dem Schluss, dass die Speicherung der Daten durch eine private Wirtschaftsauskunftei nicht auf der Grundlage der Bestimmung der DSGVO, in der die oben genannten Voraussetzungen aufgeführt sind, rechtmäßig sein könne, wenn die personenbezogenen Daten über eine Insolvenz aus den öffentlichen Registern gelöscht worden seien. Was den Zeitraum von sechs Monaten betrifft, in dem die personenbezogenen Daten auch in öffentlichen Registern verfügbar seien, sei es Sache des vorlegenden Gerichts, die angeführten Interessen und Auswirkungen auf die betroffene Person gegeneinander abzuwägen, um festzustellen, ob die parallele Speicherung dieser Daten durch private Wirtschaftsauskunfteien auf dieser Grundlage rechtmäßig sei.

Als Drittes unterstreicht der Generalanwalt, dass die DSGVO vorsehe, dass die betroffene Person das Recht habe, zu verlangen, dass sie betreffende personenbezogene Daten gelöscht werden, wenn sie Widerspruch gegen die Verarbeitung einlege und wenn diese Daten unrechtmäßig verarbeitet worden seien. Nach Ansicht des Generalanwalts hat die betroffene Person in einem solchen Fall daher das Recht, von dem Verantwortlichen zu verlangen, dass sie betreffende personenbezogene Daten unverzüglich gelöscht werden. Es sei Sache des vorlegenden Gerichts, zu prüfen, ob es ausnahmsweise vorrangige berechtigte Gründe für die Verarbeitung gebe.

Den Volltext der Schlussanträge finden Sie hier:
C634/21
C26/22 und C64/22

OLG Frankfurt
Beschluss vom 09.02.2023
11 UH 1/23 , 11 SV 1/23

Das OLG Frankfurt hat entschieden, dass keine Bindungswirkung eines Verweisungsbeschlusses nach § 281 ZPO besteht, wenn das Gericht eine offensichtlich anwendbare Zuständigkeitsregel wie § 44 BDSG übersieht

Aus den Entscheidungsgründen:
1. Die Voraussetzungen einer Zuständigkeitsbestimmung gemäß § 36 I Nr. 6 ZPO liegen vor, da sich sowohl das Amtsgericht Gießen, als auch das Amtsgericht Wiesbaden für örtlich unzuständig erklärt haben. Die Zuständigkeitsbestimmung ist gem. § 36 I ZPO durch das Oberlandesgericht Frankfurt am Main vorzunehmen, da dieses das zunächst höhere gemeinschaftliche Gericht der beiden Gerichte ist.

2. Zuständiges Gericht ist das Amtsgericht Gießen.

a) Die örtliche Zuständigkeit steht nicht aufgrund der Verweisungsbeschlüsse des Landgerichts Gießen und des Amtsgerichts Gießen gem. § 281 I ZPO fest.

aa) Allerdings begegnet der Verweisungsbeschluss des Landgerichts, der auch von den Amtsgerichten nicht in Zweifel gezogen worden ist, keinen Bedenken, insbesondere liegt keine die Bindungswirkung des § 281 II 4 ZPO ausschließende Willkür vor. Er begründet jedoch nur die sachliche Zuständigkeit der Amtsgerichte und nicht auch die örtliche Zuständigkeit des Amtsgerichts in Gießen.

Da die Parteien Verweisungsbeschlüsse nach § 281 I ZPO nicht anfechten können, ist deren Bindungswirkung auf die vom verweisenden Gericht geprüften Zuständigkeitsfragen beschränkt. Wurde wie vorliegend im Verweisungsbeschluss des Landgerichts nur die sachliche Zuständigkeit geprüft (und verneint), wird eine Weiterverweisung wegen örtlicher Unzuständigkeit nicht ausgeschlossen (vgl. BeckOK ZPO/Bacher, 47. Ed. 1.12.2022, ZPO § 281 Rn. 27, 30.1).

bb) Die danach im Grundsatz mögliche Weiterverweisung der Sache durch das Amtsgericht Gießen an das Amtsgericht Wiesbaden ist jedoch willkürlich und daher nicht bindend.

Die Unanfechtbarkeit und die Bindungswirkung von Verweisungsbeschlüssen dienen der Prozessökonomie sowie der Vermeidung von Zuständigkeitsstreitigkeiten und dadurch bewirkten Verzögerungen und Verteuerungen in der Gewährung effektiven Rechtsschutzes. Sie entziehen auch einen sachlich zu Unrecht erlassenen Verweisungsbeschluss grundsätzlich jeder Nachprüfung. Einem Verweisungsbeschluss kann daher die gesetzlich vorgesehene bindende Wirkung nur dann abgesprochen werden, wenn er schlechterdings nicht als im Rahmen des § 281 ZPO ergangen anzusehen ist, etwa weil er auf einer Verletzung rechtlichen Gehörs beruht, nicht durch den gesetzlichen Richter erlassen wurde oder jeder gesetzlichen Grundlage entbehrt und deshalb als willkürlich betrachtet werden muss. Hierfür genügt es aber nicht, dass der Verweisungsbeschluss inhaltlich unrichtig oder fehlerhaft ist. Willkür liegt nur vor, wenn dem Verweisungsbeschluss jede rechtliche Grundlage fehlt und er bei verständiger Würdigung der das Grundgesetz beherrschenden Gedanken nicht mehr verständlich erscheint und offensichtlich unhaltbar ist (BGH, NJW-RR 2008, 1309).

Dies ist nicht nur anzunehmen, wenn ein Gericht sich trotz ausdrücklichen Hinweises durch die Parteien nicht mit einer seine Zuständigkeit begründenden Norm befasst (dazu BeckOK ZPO/Bacher, 47. Ed. 1.12.2022, ZPO § 281 Rn. 32.4 mwN), sondern schon dann, wenn ein nach geltendem Recht unzweifelhaft zuständiges Gericht den Rechtsstreit verweist, ohne die seine Zuständigkeit begründende Gesetzesnorm beachtet oder zur Kenntnis genommen zu haben, vorausgesetzt, diese Vorschrift ist seit geraumer Zeit in Kraft (BGH, NJW-RR 2002, 1295).

Letzteres ist hier der Fall. Ein insoweit für die Bindungswirkung schädlicher Zeitraum ist erreicht, wenn die Gesetzesänderung seit annähernd zwei Jahren bekannt und seit mehr als neun Monaten in Kraft ist (BGH, NJW 1993, 1273). Die Datenschutzgrundverordnung ist am 27.04.2016 ausgefertigt und im Amtsblatt vom 04.05.2016 veröffentlicht worden. Sie gilt seit dem 25.05.2018. Das aktuelle Bundesdatenschutzgesetz und damit sein § 44 sind am 30.06.2017 ausgefertigt und im Bundesgesetzblatt vom 05.07.2017 verkündet worden. Sie sind seit dem 25.05.2018 in Kraft. Die Verweisung durch das Amtsgericht Gießen ist am 19.09.2022 über vier Jahre nach Inkrafttreten erfolgt.

§ 44 I BDSG ist auch offensichtlich einschlägig. Danach können Klagen der betroffenen Person gegen einen Verantwortlichen wegen eines Verstoßes gegen datenschutzrechtliche Bestimmungen im Anwendungsbereich der DSGVO oder der darin enthaltenen Rechte der betroffenen Person am Gericht der Niederlassung des Verantwortlichen (§ 44 I 1 BDSG) oder am Gericht des gewöhnlichen Aufenthaltsorts der betroffenen Person (§ 44 I 2 BDSG) erhoben werden.

Der Kläger hat seinen Wohnsitz und damit seinen gewöhnlichen Aufenthalt in Stadt1 im Bezirk des Amtsgerichts Gießen. Er ist die identifizierbare natürliche Person, auf die sich die gespeicherten Daten beziehen und damit „betroffene Person“ im Sinne der DSGVO (vgl. Art. 4 Nr. 1 DSGVO) und des § 44 I BDSG.

Die beklagte Auskunftei ist Verantwortliche im Sinne des Art. 4 Nr. 7 DSGVO, denn sie ist die juristische Person, die allein oder gemeinsam mit anderen über die Zwecke und Mittel der Verarbeitung von personenbezogenen Daten entscheidet.

b) Ist danach der Verweisungsbeschluss des Amtsgerichts Gießen wegen Nichtbeachtung des einschlägigen § 44 I BDSG nicht bindend, ist das nach dieser Norm zuständige Amtsgericht in Gießen als zuständig zu bestimmen.

Den Volltext der Entscheidung finden Sie hier:

BGH
Beschluss vom 21.02.2023
VI ZR 330/21

Der BGH hat ein Verfahren, in dem es um Auslegung von Art. 15 DSGVO geht, gemäß § 148 ZPO analog ausgesetzt, bis der EuGH die entscheidungserheblichen Fragen zur DSGVO geklärt hat.

Aus den Entscheidungsgründen:
Das vorliegende Verfahren wird gemäß § 148 ZPO analog bis zu der Entscheidung des Gerichtshofs der Europäischen Union (im Folgenden: Gerichtshof) in den dort anhängigen Verfahren C-487/21 bzw. C-307/22 ausgesetzt.

1. Das Österreichische Bundesverwaltungsgericht hat durch Beschluss vom 9. August 2021 (W211 2222613 - 2; ECLI:AT:BVWG:2021: W211.2222613.2.00; Rs. C-487/21; ABl. EU C 431 vom 25. Oktober 2021 S. 8 f.) dem Gerichtshof u.a. folgende Fragen zur Vorabentscheidung gemäß Art. 267 AEUV vorgelegt:

1. Ist der Begriff der "Kopie" in Art. 15 Abs. 3 der Verordnung (EU) 2016/679 des Europäischen Parlaments und des Rates vom 27. April 2016 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten, zum freien Datenverkehr und zur Aufhebung der Richtlinie 95/46/EG (Datenschutz-Grundverordnung, ABl L 119/1 vom 4. Mai 2016, S. 1; im Folgenden: "DS-GVO") dahingehend auszulegen, dass damit eine Fotokopie bzw. ein Faksimile oder eine elektronische Kopie eines (elektronischen) Datums gemeint ist, oder fällt dem Begriffsverständnis deutscher, französischer und englischer Wörterbücher folgend unter
den Begriff auch eine "Abschrift", un "double" ("duplicata") oder ein "transcript"?

2. Ist Art. 15 Abs. 3 Satz 1 DS-GVO, wonach "der Verantwortliche eine Kopie der personenbezogenen Daten, die Gegenstand der Verarbeitung sind", zur Verfügung stellt, dahingehend auszulegen, dass darin ein allgemeiner Rechtsanspruch einer betroffenen Person auf Ausfolgung einer Kopie - auch - gesamter Dokumente enthalten ist, in denen personenbezogene Daten der betroffenen Person verarbeitet werden, bzw. auf Ausfolgung einer Kopie eines Datenbankauszuges bei Verarbeitung der personenbezogenen Daten in einer solchen, oder besteht damit - nur - ein Rechtsanspruch für die betroffene Person auf originalgetreue Reproduktion der nach Art. 15 Abs. 1 DS-GVO zu beauskunftenden personenbezogenen Daten?

3. Für den Fall, dass die Frage 2. dahingehend beantwortet wird, dass nur ein Rechtsanspruch für die betroffene Person auf originalgetreue Reproduktion der nach Art. 15 Abs. 1 DS-GVO zu beauskunftenden personenbezogenen Daten besteht, ist Art. 15 Abs. 3 Satz 1 DS-GVO dahingehend auszulegen, dass es, bedingt durch die Art der verarbeiteten Daten (zum Beispiel in Bezug auf die im Erwägungsgrund 63 angeführten Diagnosen, Untersuchungsergebnisse, Befunde oder auch Unterlagen im Zusammenhang mit einer Prüfung im Sinne des Urteils des Gerichtshofs der Europäischen Union vom 20. Dezember 2017,
C-434/16; ECLI:EU:C:2017:994) und das Transparenzgebot in Art. 12 Abs. 1 DSGVO im Einzelfall dennoch erforderlich sein kann, auch Textpassagen oder ganze Dokumente der betroffenen Person zur Verfügung zu stellen?

2. Der erkennende Senat hat dem Gerichtshof durch Beschluss vom 29. März 2022 - VI ZR 1352/20 (DB 2022, 1249; Rs. C-307/22) unter Ziff. 3 folgende Frage zur Vorabentscheidung vorgelegt:

Umfasst der Anspruch aus Art. 15 Abs. 3 Satz 1 DS-GVO im Arzt-Patienten-Verhältnis einen Anspruch auf Überlassung von Kopien aller die personenbezogenen Daten des Patienten enthaltenden Teile der Patientenakte oder ist er nur auf Herausgabe einer Kopie der personenbezogenen Daten des Patienten als solche gerichtet, wobei es dem datenverarbeitenden Arzt überlassen bleibt, in welcher Weise er dem betroffenen Patienten die Daten zusammenstellt ?

3. Diese Fragen sind auch im vorliegenden Fall entscheidungserheblich. Die Parteien streiten unter anderem darüber, ob sich aus Art. 15 Abs. 3 Satz 1 DS-GVO (lediglich) ein Anspruch auf eine Kopie der nach Art. 15 Abs. 1 DS-GVO zu beauskunftenden Daten oder ein Anspruch auf Herausgabe von Kopien der diese Daten enthaltenden Dokumente ergibt.

4. Aufgrund der Entscheidungserheblichkeit der oben unter II. 1 und 2 genannten Fragen kann der Senat in dieser Sache unter Beachtung seiner in Art. 267 Abs. 3 AEUV enthaltenen Vorlageverpflichtung keine abschließende Sachentscheidung treffen. Eine Vorlage auch dieses Verfahrens an den Gerichtshof würde jedoch dort nicht zu einer schnelleren Beantwortung der maßgeblichen Rechtsfrage führen. Im Gegenteil würde die Funktion des Gerichtshofs im Vorabentscheidungsverfahren beeinträchtigt, wenn die gleiche Rechtsfrage mehrfach vorgelegt würde. Das Vorabentscheidungsverfahren nach Art. 267 AEUV stellt ein grundlegendes Instrument dar, um den Grundsatz des Vorrangs des Gemeinschaftsrechts vor nationalem Recht zu verwirklichen und die einheitliche Anwendung des Gemeinschaftsrechts in allen Mitgliedstaaten zu gewährleisten. Die verbindliche Auslegung des Gemeinschaftsrechts ist dem Gerichtshof vorbehalten. Da der Gerichtshof aber kein Rechtsmittelgericht für sämtliche mitgliedschaftlichen Verfahren darstellt, genügt es, wenn dort über die klärungsbedürftige Rechtsfrage in den bereits anhängigen Verfahren verhandelt und entschieden wird (vgl. Senatsbeschluss vom 31. Mai 2022 - VI ZR 223/21, juris Rn. 9; BGH, Beschluss vom 24. Januar 2012 - VIII ZR 236/10, RIW 2012, 405 Rn. 8 mwN).

5. Der Senat hält es daher für angemessen, wie auch von der Revision angeregt, das vorliegende Verfahren gemäß § 148 ZPO analog wegen Vorgreiflichkeit der beim Gerichtshof anhängigen Vorlageverfahren auszusetzen (zur Zulässigkeit dieser Vorgehensweise vgl. BGH, Beschluss vom 24. Januar 2012 - VIII ZR 236/10, RIW 2012, 405 Rn. 9 mwN).

Den Volltext der Entscheidung finden Sie hier:

Der Bundesbeauftragter für Datenschutz (BfDI) hat dem Bundespresseamt den Betrieb der Facebook Fanpage der Bundesregierung untersagt.

Die Pressemitteilung des BfDI:
BfDI untersagt Betrieb der Fanpage der Bundesregierung
Der BfDI, Professor Ulrich Kelber, hat das Bundespresseamt (BPA) angewiesen, den Betrieb der Facebook Fanpage der Bundesregierung einzustellen. Ein entsprechendes Schreiben hat der BfDI zu Beginn der Woche versendet. Das BPA hat ab Erhalt des Bescheids vier Wochen Zeit diesen umzusetzen.

Der BfDI sagte dazu: „Ich habe lange darauf hingewiesen, dass der Betrieb einer Facebook Fanpage nicht datenschutzkonform möglich ist. Das zeigen unsere eigenen Untersuchungen und das Kurzgutachten der Datenschutzkonferenz. Alle Behörden stehen in der Verantwortung, sich vorbildlich an Recht und Gesetz zu halten. Dies ist nach dem Ergebnis meiner Prüfungen beim Betrieb einer Fanpage wegen der umfassenden Verarbeitung personenbezogener Daten der Nutzenden aktuell unmöglich. Ich finde es wichtig, dass der Staat über soziale Medien erreichbar ist und Informationen teilen kann. Das darf er aber nur, wenn die Grundrechte der Bürgerinnen und Bürger gewahrt bleiben.“

Da sich insbesondere die Interessen von Betreibenden von Fanpages und von Meta ergänzen, besteht nach Einschätzung des BfDI eine gemeinsame Verantwortlichkeit für die Verarbeitung der bei Nutzung der Fanpage erhobenen personenbezogenen Daten. Das BPA muss als Verantwortlicher nachweisen können, dass die Grundsätze des Datenschutzrechts eingehalten werden. Einen solchen Nachweis konnte das BPA im Verfahren nicht zur aufsichtsbehördlichen Überzeugung erbringen. Der BfDI kritisiert insbesondere, dass es nach seiner Begutachtung hier bislang an einer wirksamen Rechtsgrundlage für die Datenverarbeitung fehlt. Außerdem muss nach dem Telekommunikation-Telemedien-Datenschutz-Gesetz für die Verwendung nicht unbedingt erforderlicher Cookies und ähnlicher Trackingtechnologien eine Einwilligung eingeholt werden. Im Falle der Facebook Fanpages wird eine solche Einwilligung jedoch nach Ergebnis der aufsichtsbehördlichen Prüfungen derzeit nicht wirksam eingeholt.

Das BPA hat die Möglichkeit innerhalb eines Monats gegen den Bescheid des BfDI zu klagen.

VG Hannover
Urteil vom 09.02.2023
10 A 6199/20

Das VG Hannover hat entschieden, dass die ununterbrochene Erhebung von Leistungsdaten der Beschäftigten durch Amazon im Fulfilment Center Winsen keinen Verstoß gegen datenschutzrechtliche Bestimmungen darstellt.

Die Pressemitteilung des Gerichts:
Datenerhebung bei Amazon in Winsen ist rechtmäßig

10. KAMMER HAT DER KLAGE VON AMAZON STATTGEGEBEN: DAS PERSÖNLICHKEITSRECHT DER BESCHÄFTIGTEN ÜBERWIEGT HIER NICHT DIE UNTERNEHMERISCHEN INTERESSEN VON AMAZON

Die Klägerin darf weiterhin Handscanner einsetzen, mithilfe derer bestimmte Arbeitsschritte innerhalb der jeweiligen Prozesspfade von Warenein- bis Warenausgang erfasst werden:

Die Klägerin betreibt in Winsen (Luhe) ein Logistikzentrum zur Auslieferung von Waren aus dem Onlineversandhandel von Amazon (sogenanntes „Fulfillment Center“). In bestimmten Arbeitsbereichen benutzen die Beschäftigten Handscanner, mittels derer bestimmte Arbeitsschritte erfasst werden. Die Daten werden mit einer Softwareanwendung ausgewertet und dienen in erster Linie der Steuerung logistischer Prozesse. Daneben werden mit den Daten auch Bewertungsgrundlagen für Qualifizierungsmaßnahmen sowie für Feedback und Personalentscheidungen gelegt.

Wegen dieser Vorgehensweise leitete die Beklagte ein datenschutzrechtliches Kontrollverfahren gegen die Klägerin ein mit dem Ergebnis, dass sie der Klägerin mit Bescheid von Oktober 2020 untersagte, aktuelle und minutengenaue Quantitäts- und Qualitätsdaten ihrer Beschäftigten ununterbrochen zu erheben und diese zur Erstellung von Quantitätsleistungs- und Qualitätsleistungsprofilen sowie für Feedbackgespräche und Prozessanalysen zu nutzen. Sie stellt sich auf den Standpunkt, dass die ununterbrochene Erhebung der entsprechenden Leistungsdaten der Beschäftigten rechtswidrig sei und gegen datenschutzrechtliche Bestimmungen verstoße.

Hiergegen wendete sich die Klägerin mit ihrer Klage. Zur Begründung trug sie unter anderem vor, sie verstoße nicht gegen datenschutzrechtliche Bestimmungen. Vielmehr habe sie ein berechtigtes Interesse an der Datenerhebung und Datenverarbeitung. So würden aktuelle und minutengenaue individuelle Leistungswerte bei der Steuerung der Logistikprozesse kurzfristig dazu benötigt, um auf Schwankungen in einzelnen Prozesspfaden durch Verschiebungen reagieren zu können. Anhand der aktuellen Leistungswerte der Mitarbeiterinnen und Mitarbeiter könne sie erkennen, ob Mitarbeitende an einem bestimmten Tag besonders schnell oder besonders langsam arbeiteten und hierauf durch Umverteilung reagieren. Mittelfristig würden zurückliegende individuelle Leistungswerte benötigt, um die konstanten Stärken und Schwächen der Mitarbeitenden zuverlässig erfassen und bei der flexiblen Einsatzplanung berücksichtigen zu können. Zudem ermögliche diese Vorgehensweise die Schaffung objektiver und fairer Bewertungsgrundlagen für Feedback und Personalentscheidungen. Den Mitarbeiterinnen und Mitarbeitern könne objektives und individuell leistungsbezogenes Feedback gegeben werden, das nicht durch subjektive Wahrnehmungen beeinflusst sei.

Das Gericht hat am 9. Februar 2023 in öffentlicher Sitzung im Amazon Logistikzentrum verhandelt und im Rahmen der Verhandlung das Fulfillment-Center besichtigt. Es hat der Klage stattgegeben und den angefochtenen Bescheid der Beklagten aufgehoben.

Das Gericht sieht in der ununterbrochenen Erhebung von Leistungsdaten der Beschäftigten keinen Verstoß gegen datenschutzrechtliche Bestimmungen. In Deutschland gebe es (noch) kein Gesetz zur Regelung des Beschäftigtendatenschutzes, sodass sich der Beschäftigtendatenschutz weiterhin nach § 26 Bundesdatenschutzgesetz richte. Danach dürften personenbezogene Daten von Beschäftigten für Zwecke des Beschäftigtenverhältnisses verarbeitet werden, wenn dies für die Durchführung des Beschäftigtenverhältnisses oder die Beendigung erforderlich sei.

Das Gericht ist der Auffassung, dass die Datenverarbeitung für alle drei Zwecke – Steuerung der Logistikprozesse, Steuerung der Qualifizierung und Schaffung von Bewertungsgrundlagen für individuelles Feedback und Personalentscheidungen – erforderlich ist. Hinsichtlich der Optimierung der Logistikprozesse leuchte der Kammer ohne weiteres ein, dass die Klägerin die verarbeiteten Daten dazu nutzen kann, um auf Schwankungen in einzelnen Prozesspfaden durch Verschiebungen von Beschäftigten ad hoc zu reagieren und so den reibungsfreien Ablauf aller Prozesse innerhalb des Fulfillment Centers, das auf die Auslieferung der Ware zu einem genau definierten Zeitpunkt (Cut-Off-Zeitpunkt) ausgerichtet ist, zu garantieren. Auch könne die Klägerin individualisierte Qualifizierungsbedarfe der Beschäftigten schnell detektieren und auf diese reagieren. Schließlich verschafften die erhobenen Daten eine breite und objektive Grundlage für Feedback und Personal- und Beförderungsentscheidungen.

Nach Auffassung des Gerichts steht der durch die Überwachung der Beschäftigten bedingte Eingriff in das Recht auf informationelle Selbstbestimmung der Beschäftigten nicht außer Verhältnis zu den schützenswerten Interessen der Klägerin, so dass der Eingriff auch angemessen sei:

Unter Berücksichtigung der vorliegenden Erkenntnisse und nach der Befragung der Zeugen – der früheren Betriebsratsvorsitzenden und des jetzigen Betriebsratsvorsitzenden – in der mündlichen Verhandlung geht nach Auffassung des Gerichts eine Abwägung der gegenläufigen Interessen hier zu Gunsten der Klägerin aus. Das Gericht hat dabei unter anderem berücksichtigt, dass keine heimliche Datenerhebung erfolgt, die Beschäftigten die Datenerhebung vielmehr vorhersehen können und wissen, dass die Klägerin die Daten für die logistischen Prozesse benötigt. Zudem finde keine Verhaltenskontrolle statt, die Kommunikation und physische Bewegungen würden nicht erfasst, vielmehr finde „nur“ eine Leistungskontrolle statt. Die Privatsphäre sei nicht betroffen. Außerdem sei der Hauptzweck der Datenerhebung nicht die Überwachung und Kontrolle der Beschäftigten, sondern die Steuerung der Logistikabläufe. Schließlich werde die Möglichkeit objektiven Feedbacks und fairer Personalentscheidungen von vielen Beschäftigten als positive Wirkung der Überwachung gewertet; dies hätten auch die Zeugen bestätigt, die deutlich gemacht hätten, dass die Überwachung kein besonderes Thema im Betrieb sei.

Das Gericht hat die Berufung zugelassen. Die Beklagte hat demnach die Möglichkeit Berufung gegen das Urteil vor dem Niedersächsischen Oberverwaltungsgericht in Lüneburg binnen eines Monats nach Vorliegen der vollständigen Entscheidungsgründe einzulegen.

Urteil vom 9. Februar 2023

Az.: 10 A 6199/20

EuGH
Urteil vom 09.02.2023
C‑453/21
X-FAB Dresden GmbH & Co. KG gegen FC

Der EuGH hat entschieden, dass die Vorgaben der DSGVO zur Abberufung eines Datenschutzbeauftragten den strengeren Regelungen im BDSG nicht entgegenstehen.

Tenor der Entscheidung:
1. Art. 38 Abs. 3 Satz 2 der Verordnung (EU) 2016/679 des Europäischen Parlaments und des Rates vom 27. April 2016 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten, zum freien Datenverkehr und zur Aufhebung der Richtlinie 95/46/EG (Datenschutz-Grundverordnung) ist dahin auszulegen, dass er einer nationalen Regelung nicht entgegensteht, nach der ein bei einem Verantwortlichen oder einem Auftragsverarbeiter beschäftigter Datenschutzbeauftragter nur aus wichtigem Grund abberufen werden kann, auch wenn die Abberufung nicht mit der Erfüllung seiner Aufgaben zusammenhängt, sofern diese Regelung die Verwirklichung der Ziele dieser Verordnung nicht beeinträchtigt.

2. Art. 38 Abs. 6 der Verordnung (EU) 2016/679 ist dahin auszulegen, dass ein „Interessenkonflikt“ im Sinne dieser Bestimmung bestehen kann, wenn einem Datenschutzbeauftragten andere Aufgaben oder Pflichten übertragen werden, die ihn dazu veranlassen würden, die Zwecke und Mittel der Verarbeitung personenbezogener Daten bei dem Verantwortlichen oder seinem Auftragsverarbeiter festzulegen. Ob dies der Fall ist, muss das nationale Gericht im Einzelfall auf der Grundlage einer Würdigung aller relevanten Umstände, insbesondere der Organisationsstruktur des Verantwortlichen oder seines Auftragsverarbeiters, und im Licht aller anwendbaren Rechtsvorschriften, einschließlich etwaiger interner Vorschriften des Verantwortlichen oder des Auftragsverarbeiters, feststellen.

Den Volltext der Entscheidung finden Sie hier:

BAG
Beschluss vom 22.09.2022
8 AZR 209/21

Wir hatten bereits in dem Beitrag "BAG legt EuGH Fragen zur Auslegung von Art. 82 DSGVO und Art. 88 DGSVO vor - Immaterieller Schadensersatz bei Verarbeitung personenbezogener Daten im Rahmen eines Beschäftigungsverhältnisses" über die Entscheidung berichtet.

Tenor der Entscheidung:

I. Der Gerichtshof der Europäischen Union wird gemäß Art. 267 AEUV um Vorabentscheidung über die Fragen ersucht:

1. Ist eine nach Art. 88 Abs. 1 der Verordnung (EU) 2016/679 (Datenschutz-Grundverordnung; im Folgenden DSGVO) erlassene nationale Rechtsvorschrift – wie etwa § 26 Abs. 4 Bundesdatenschutzgesetz, im Folgenden BDSG -, in der bestimmt ist, dass die Verarbeitung personenbezogener Daten – einschließlich besonderer Kategorien personenbezogener Daten – von Beschäftigten für Zwecke des Beschäftigungsverhältnisses auf der Grundlage von Kollektivvereinbarungen unter Beachtung von Art. 88 Abs. 2 DSGVO zulässig ist, dahin auszulegen, dass stets auch die sonstigen Vorgaben der DSGVO – wie etwa Art. 5, Art. 6 Abs. 1 und Art. 9 Abs. 1 und Abs. 2 DSGVO – einzuhalten sind?

2. Sofern die Frage zu 1. bejaht wird:

Darf eine nach Art. 88 Abs. 1 DSGVO erlassene nationale Rechtsvorschrift – wie § 26 Abs. 4 BDSG – dahin ausgelegt werden, dass den Parteien einer Kollektivvereinbarung (hier den Parteien einer Betriebsvereinbarung) bei der Beurteilung der Erforderlichkeit der Datenverarbeitung im Sinne der Art. 5, Art. 6 Abs. 1 und Art. 9 Abs. 1 und Abs. 2 DSGVO ein Spielraum zusteht, der gerichtlich nur eingeschränkt überprüfbar ist?

3. Sofern die Frage zu 2. bejaht wird:

Worauf darf in einem solchen Fall die gerichtliche Kontrolle beschränkt werden?

4. Ist Art. 82 Abs. 1 DSGVO dahin auszulegen, dass Personen ein Recht auf Ersatz des immateriellen Schadens bereits dann haben, wenn ihre personenbezogenen Daten entgegen den Vorgaben der DSGVO verarbeitet wurden oder setzt der Anspruch auf Ersatz des immateriellen Schadens darüber hinaus voraus, dass die betroffene Person einen von ihr erlittenen immateriellen Schaden – von einigem Gewicht – darlegt?

5. Hat Art. 82 Abs. 1 DSGVO spezial- bzw. generalpräventiven Charakter und muss dies bei der Bemessung der Höhe des zu ersetzenden immateriellen Schadens auf der Grundlage von Art. 82 Abs. 1 DSGVO zulasten des Verantwortlichen bzw. Auftragsverarbeiters berücksichtigt werden?

6. Kommt es bei der Bemessung der Höhe des zu ersetzenden immateriellen Schadens auf der Grundlage von Art. 82 Abs. 1 DSGVO auf den Grad des Verschuldens des Verantwortlichen bzw. Auftragsverarbeiters an? Insbesondere, darf ein nicht vorliegendes oder geringes Verschulden auf Seiten des Verantwortlichen bzw. Auftragsverarbeiters zu dessen Gunsten berücksichtigt werden?

II. Das Revisionsverfahren wird bis zur Entscheidung des Gerichtshofs der Europäischen Union über das Vorabentscheidungsersuchen ausgesetzt.

Den Volltext der Entscheidung finden Sie hier:

EuGH
Urteil vom 12.01.2023
C-132/21
Nemzeti Adatvédelmi és Információszabadság Hatóság

Der EuGH hat entschieden, dass sich zivilrechtliche und verwaltungsrechtliche Rechtsbehelfe bzw. Ansprüche der DSGVO einander nicht ausschließen und parallel geltend gemacht werden können.

Die Pressemitteilung des Gerichts:
Die in der Datenschutz-Grundverordnung vorgesehenen verwaltungs- und zivilrechtlichen Rechtsbehelfe können nebeneinander und unabhängig voneinander eingelegt werden

Es obliegt den Mitgliedstaaten, dafür zu sorgen, dass die parallele Einlegung dieser Rechtsbehelfe die gleichmäßige und einheitliche Anwendung dieser Verordnung nicht beeinträchtigt.

Im April 2019 nahm BE an der Hauptversammlung einer Aktiengesellschaft teil, deren Aktionär er ist, und richtete bei dieser Gelegenheit Fragen an die Mitglieder des Verwaltungsrats und an andere Teilnehmer. Im Anschluss forderte er die Gesellschaft auf, ihm den während der Hauptversammlung aufgezeichneten Tonmitschnitt zu übermitteln. Die Gesellschaft stellte ihm jedoch nur die Abschnitte der Aufzeichnung zur Verfügung, die seine eigenen Beiträge wiedergaben, nicht aber jene der anderen Teilnehmer, selbst wenn es sich hierbei um die Antworten auf seine Fragen handelte.

BE beantragte daraufhin bei der nach der Allgemeinen Datenschutzverordnung (DSGVO) zuständigen ungarischen Aufsichtsbehörde, der Gesellschaft aufzugeben, ihm die fragliche Aufzeichnung zu übermitteln. Da die Behörde seinen Antrag ablehnte, erhob BE eine verwaltungsrechtliche Klage gegen die ablehnende Entscheidung beim Hauptstädtischen Stuhlgericht Budapest. Parallel dazu erhob er auch bei den ungarischen Zivilgerichten eine Klage gegen die Entscheidung der Gesellschaft über die Verweigerung des Zugangs. Diese Klage stützte sich auf eine Bestimmung der DSGVO, die jeder Person, die der Ansicht ist, dass die ihr durch diese Verordnung garantierten Rechte verletzt wurden, das Recht auf einen wirksamen gerichtlichen Rechtsbehelf verleiht. Das erste dieser Verfahren ist noch anhängig; die im zweiten Verfahren angerufenen ungarischen Zivilgerichte stellten jedoch bereits in einem rechtskräftig gewordenen Urteil fest, dass die Gesellschaft das Recht von BE auf Zugang zu seinen personenbezogenen Daten verletzt habe.

Das Hauptstädtische Stuhlgericht Budapest fragt den Gerichtshof, ob es im Rahmen der Überprüfung der Rechtmäßigkeit der Entscheidung der nationalen Aufsichtsbehörde an das rechtskräftige Urteil der Zivilgerichte gebunden sei, das sich auf denselben Sachverhalt und dieselbe Behauptung eines Verstoßes gegen die DSGVO durch die betreffende Gesellschaft beziehe. Da eine parallele Einlegung von verwaltungs- und zivilrechtlichen Rechtsbehelfen zu einander widersprechenden Entscheidungen führen könne, möchte das ungarische Gericht außerdem wissen, ob einer der Rechtsbehelfe gegenüber dem anderen Vorrang habe.

Der Gerichtshof erinnert daran, dass die DSGVO Personen, die einen Verstoß gegen deren Bestimmungen geltend machen, verschiedene Rechtsbehelfe bietet, wobei jeder dieser Rechtsbehelfe „unbeschadet“ der anderen eingelegt werden können muss. Somit sieht die Verordnung weder eine vorrangige oder ausschließliche Zuständigkeit noch einen Vorrang der Beurteilung der Aufsichtsbehörde oder eines Gerichts zum Vorliegen einer Verletzung der betreffenden Rechte vor. Folglich können die in der DSGVO vorgesehenen verwaltungs- und zivilrechtlichen Rechtsbehelfe nebeneinander und unabhängig voneinander eingelegt werden.

Was die Gefahr einander widersprechender Entscheidungen der betroffenen nationalen Verwaltungsbehörden und Gerichte betrifft, betont der Gerichtshof, dass es den Mitgliedstaaten obliegt, durch den Erlass der hierfür erforderlichen Verfahrensvorschriften und in Ausübung ihrer Verfahrensautonomie sicherzustellen, dass die in der DSGVO nebeneinander und unabhängig voneinander vorgesehenen Rechtsbehelfe weder die praktische Wirksamkeit und den effektiven Schutz der durch diese Verordnung garantierten Rechte noch die gleichmäßige und einheitliche Anwendung ihrer Bestimmungen oder das Recht auf einen wirksamen Rechtsbehelf bei einem Gericht in Frage stellen.

Den Volltext der Entscheidung finden Sie hier:

BGH
Beschluss vom 10.11.2022 - I ZR 186/17
App-Zentrum II
Verordnung (EU) 2016/679 Art. 80 Abs. 2; UWG § 8 Abs. 3 Nr. 3; UKlaG §§ 1, 2 Abs. 2 Satz 1
Nr. 11, § 3 Abs. 1 Satz 1 Nr. 1

Der BGH hat dem EuGH zur Entscheidung vorgelegt, wann das Tatbestandsmerkmal "infolge einer Verarbeitung" im Sinne von Art. 80 Abs. 2 DSGVO vorliegt.

Leitsatz des BGH:
Dem Gerichtshof der Europäischen Union wird zur Auslegung von Art. 80 Abs. 2 der Verordnung (EU) 2016/679 des Europäischen Parlaments und des Rates vom 27. April 2016 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten, zum freien Datenverkehr und zur Aufhebung der Richtlinie 95/46/EG (Datenschutz-Grundverordnung, DSGVO, ABl. L 119 vom 4. Mai 2016, S. 1) folgende Frage zur Vorabentscheidung vorgelegt:

Wird eine Rechtsverletzung "infolge einer Verarbeitung" im Sinne von Art. 80 Abs. 2 DSGVO geltend gemacht, wenn ein Verband zur Wahrung von Verbraucherinteressen seine Klage darauf stützt, die Rechte einer betroffenen Person seien verletzt, weil die Informationspflichten gemäß Art. 12 Abs. 1 Satz 1 DSGVO in Verbindung mit Art. 13 Abs. 1 Buchst. c und e DSGVO über den Zweck der Datenverarbeitung und den Empfänger der personenbezogenen Daten nicht erfüllt worden seien ?

BGH, Beschluss vom 10. November 2022 - I ZR 186/17 - Kammergericht - LG Berlin

Den Volltext der Entscheidung finden Sie hier:

OLG Hamm
Beschluss vom 23.09.2022
26 W 6/22

Das OLG Hamm hat entschieden, dass für die karitative Tätigkeit der evangelischen Kirche (hier: Betrieb eines Krankenhauses) gilt kirchliches Datenschutzrecht und nicht die DSGVO.

Aus den Entscheidungsgründen:
(3) In der Sache selbst hat das Landgericht mit zutreffender und ausführlicher Begründung - welcher sich der Senat anschließt - dargelegt, dass der Klägerin gegen die Beklagte keine Ansprüche gem. Art. 15, 82 DS-GVO zugestehen, da die DS-GVO vorliegend nicht anwendbar ist. Auf die entsprechenden Ausführungen wird insoweit vorab Bezug genommen.

Gem. Art. 91 DS-GVO dürfen, wenn eine Kirche oder eine religiöse Vereinigung oder Gemeinschaft in einem Mitgliedstaat zum Zeitpunkt des Inkrafttretens dieser Verordnung umfassende Regeln zum Schutz natürlicher Personen bei der Verarbeitung anwendet, diese Regeln weiter angewandt werden, sofern sie mit dieser Verordnung in Einklang gebracht werden.

Wie das Landgericht zu Recht ausgeführt hat, folgt hieraus, dass die kirchenrechtlichen Datenschutzregeln vorrangig anwendbar sind, wenn sie mit der DS-GVO in Einklang gebracht werden können und bereits vor Inkrafttreten der DS-GVO bestanden. Dies ist bei dem DSG-EKD der Fall (vgl. BeckOK DatenschutzR/Mundil, 41. Ed. 1.11.2021, DS-GVO Art. 91 Rn. 18a; Gola DS-GVO/Gola, 2. Aufl. 2018, DS-GVO Art. 91 Rn. 11). Die Beklagte als Trägerin von diakonischen Krankenhäusern fällt aufgrund ihres Bezugs zur Evangelischen Kirche unter das Merkmal „Kirche“, auch wenn es sich bei ihr um eine selbständige, privatrechtlich (nämlich als GmbH) organisierte Einrichtung der Kirche handelt.

Der Senat schließt sich hierbei der Ansicht des Landgerichts an, dass von den zahlreichen vertretenen Auffassungen (vgl. nur: Preuß ZD 2015, 217, 222) vorliegend mit der differenzierenden Ansicht darauf abzustellen ist, ob es sich bei der Tätigkeit der Beklagten um eine solche aus dem Kernbereich der Kirche handelt, was vorliegend zu bejahen ist. Hierfür spricht, dass sich zunächst aus Art. 91 DS-GVO selbst keine Einschränkung ableiten lässt. Der Anwendungsbereich ist entsprechend weit auszulegen (BeckOK DatenschutzR/Mundil, 41. Ed. 1.11.2021, DS-GVO Art. 91 Rn. 15). Dementsprechend wird vertreten, dass auch Tätigkeiten von Religionsgemeinschaften von Art. 17 Abs. 1 AEUV umfasst sind, wenn auch nur in sehr restriktivem Maße. Eine typische Tätigkeit von Religionsgemeinschaften ist bspw. der Betrieb von karitativen Krankenhäusern. Träger dieser kirchlichen Krankenhäuser ist jedoch zumeist eine GmbH. Folglich handelt es sich um privatrechtliche Einrichtungen einer Religionsgemeinschaft. Es lässt sich demnach vertreten, dass auch privatrechtliche Einrichtungen von Religionsgemeinschaften in den Schutzbereich des Art. 17 AEUV fallen und damit auch nach Art. 91 vom Anwendungsbereich der DS-GVO ausgenommen und dem kirchlichen Datenschutz unterstellt sind (vgl. Paal/Pauly/Pauly, 3. Aufl. 2021, DS-GVO Art. 91 Rn. 10).

Der vorliegende karitative Betrieb des Krankenhauses der Beklagten unterliegt nicht dem Anwendungsbereich der DS-GVO. Wie das Landgericht zutreffend ausgeführt hat, ist hierbei zu berücksichtigen, ob nach kirchlichem Selbstverständnis durch den Betrieb des Krankenhauses eine dem religiösen Auftrag der Kirche entsprechende und dem Zweck kirchlicher Fürsorge gegenüber den Menschen dienende Aufgabe erfüllt werden soll. Dabei ist nicht nur dann der Kernbereich kirchlicher Aufgaben betroffen, wenn es um direkte Seelsorge geht. Entscheidend ist, ob die Kirche mit der Einrichtung ihren Aufgaben gerecht werden will. Hierzu gehören nach dem Selbstbild der Kirche insbesondere auch karitative und fürsorgliche Aufgaben, wozu nicht nur ehrenamtliche bzw. unentgeltliche Betreuungsaufgaben zählen, sondern auch der notwendigerweise wirtschaftliche Betrieb von Betreuungsangeboten für hilfsbedürftige Menschen, wie z.B. von Kindergärten, Alten- und Pflegeheimen und Krankenhäusern. Dies ist vorliegend der Fall. Zutreffend hat das Landgericht insoweit auch darauf verwiesen, dass sich der karitative Aspekt der kirchlichen Trägerschaft auch aus den eigenen Ausführungen der Beklagten auf ihrer Krankenhaus-Homepage ergibt. Dort wird unter der Rubrik „über uns“ die persönliche Zuwendung als eine ihrer besonderen Stärken bezeichnet, wobei sich aus dem grundlegenden christlichen Selbstverständnis – dem Dienst am Menschen – die hohe Qualität von Pflege und Medizin ableite. Als evangelische Einrichtung sei das Unternehmen fest in einem christlichen Weltbild verankert.

4) Soweit die Klägerin unter Hinweis auf die Entscheidung des Bundesverfassungsgerichts (Beschluss von 14.01.2021 – 1 BvR 2853/19, NJW 2021, 1005) der Ansicht ist, die vorliegende Rechtsfrage sei von grundsätzlicher Bedeutung für das vollvereinheitliche europäische Datenschutzrecht und bedürfe damit letztlich einer Klärung durch den Europäischen Gerichtshof, hält der Senat eine Vorabentscheidung nach Art. 267 Abs. 3 AEUV nicht für geboten. Im dortigen Fall ging es um die Auslegung des Schadensbegriffs aus Art. 82 I DS-GVO. Vorliegend ist die DS-GVO jedoch bereits aufgrund tatsächlicher Umstände nicht anwendbar.

5) Schließlich hat das Landgericht auch zutreffend ausgeführt, dass das Begehren der Klägerin auch nicht als ein Auskunftsbegehren nach § 19 DSG-EKD ausgelegt werden konnte. Zum einen steht dem bereits der Wortlaut der Anträge entgegen, in denen sie ihr Begehren nur auf die DS-GVO stützt, zum anderen hat die Klägerin deutlich gemacht, dass sie eine Auskunft nach dem DSG-EKD ausdrücklich nicht begehrt.

Entsprechend war der Klägerin mangels Erfolgsaussicht die begehrte weitere Prozesskostenhilfe zu verweigern.

Den Volltext der Entscheidung finden Sie hier:

VG Hannover
Urteil vom 30.11.2022
10 A 1195/21

Das VG Hannover hat entschieden, dass die Selbstständige Evangelisch-lutherische Kirche den Vorgaben der DSGVO und der Aufsicht durch die Landesdatenschutzbehörde unterliegt.

SELK unterliegt der Datenschutz-Grundverordnung (DSGVO) und der Aufsicht durch die Nds. Landesdatenschutzbeauftragte

10. KAMMER WEIST KLAGE EINER KIRCHE GEGEN LANDESBEAUFTRAGTE FÜR DEN DATENSCHUTZ NIEDERSACHSEN AB

Die 10. Kammer hat auf die mündliche Verhandlung vom heutigen Tage die auf die Feststellung gerichtete Klage, dass die Klägerin zum einen nicht der Datenschutzgrundverordnung unterfalle, sondern eigene Datenschutzvorschriften erlassen dürfe, und zum anderen nicht der Aufsicht durch die Landesdatenschutzbeauftragte in Niedersachsen unterliege, abgewiesen.

Die Klägerin ist eine Kirche in der Rechtsform einer Körperschaft des öffentlichen Rechts. Bundesweit gehören ihr 150 Kirchengemeinden mit ca. 32.000 Mitgliedern an.

Bereits 1993 setzte sie die "Richtlinie über den Datenschutz in der Selbstständigen Evangelisch-Lutherischen Kirche" mit Teilregelungen zum Datenschutz in Kraft. 2018 beschloss die Klägerin eine neue Richtlinie, die im Wesentlichen dem Kirchengesetz über den Datenschutz der Evangelischen Kirche in Deutschland entspricht.

In der Folgezeit kam es zu Meinungsverschiedenheiten über die Anwendbarkeit der eigenen Datenschutzregeln und die Datenschutzaufsicht zwischen den Beteiligten, infolge derer die Klägerin Feststellungsklage vor dem Verwaltungsgericht erhob.

Die Klägerin begründete ihre Klage damit, dass sie aufgrund von Art. 91 Abs. 1 DSGVO berechtigt sei, eigene Datenschutzvorschriften in Kraft zu setzen und daher nicht der Anwendung der DSGVO unterliege. Infolgedessen sei sie nach Art. 91 Abs. 2 DSGVO berechtigt, eine eigene Aufsichtsbehörde einzurichten. Die Landesdatenschutzbeauftragte sei nicht zur Aufsicht berechtigt.

Das Gericht ist dieser Argumentation nicht gefolgt. Die Voraussetzungen der Vorschrift seien nicht gegeben. Die Klägerin habe zum Zeitpunkt des Inkrafttretens der DSGVO, auf den es maßgeblich ankomme, lediglich rudimentäre Regelungen zum Datenschutz in Kraft gehabt, die die Anforderungen an umfassende Datenschutzvorschriften i.S.d. Art. 91 Abs. 1 DSGVO nicht erfüllten. Art. 91 Abs. 1 DSGVO sei als Bestandsvorschrift ausgestaltet. Angesichts des klaren Wortlaut und des Sinns und Zwecks der Norm sei sie auch abschließend zu verstehen. Darin liege kein Verstoß gegen Unionsrecht. Der EuGH habe in ständiger Rechtsprechung deutlich gemacht, dass die Anwendung der Vorschriften des Unionsrechts über den Datenschutz keinen Eingriff in die organisatorische Autonomie der Religionsgemeinschaften, Art. 17 AEUV, darstelle. Soweit die Klägerin aber bereits nach Art. 91 Abs. 1 DSGVO nicht berechtigt sei, eigene Datenschutzregeln weiter anzuwenden, sei sie nach Art. 91 Abs. 2 DSGVO auch nicht berechtigt, eine eigene Aufsichtsbehörde einzurichten. Sie unterfalle damit der Aufsicht der Beklagten.

Gegen das Urteil kann vor dem Oberverwaltungsgericht Lüneburg binnen eines Monats nach Vorliegen der vollständigen Entscheidungsgründe die Zulassung der Berufung beantragt werden.

Urteil vom 30.11.2022 - Az. 10 A 1195/21

BVerwG
Urteil vom 30.11.2022
6 C 10.21

Das Bundesverwaltungsgericht hat entschieden, dass ein Prüfling einen Anspruch aus Art. 15 DSGVO auf Überlassung unentgeltlicher Kopien der von ihm gefertigten Prüfungsarbeiten der zweiten juristischen Staatsprüfung hat.

Die Pressemitteilung des Gerichts:
Datenschutzrecht gibt Anspruch auf unentgeltliche Kopien von Prüfungsarbeiten der zweiten juristischen Staatsprüfung
Absolventen der zweiten juristischen Staatsprüfung haben gemäß Art. 15 Abs. 1 und Abs. 3 Satz 1 i.V.m. Art. 12 Abs. 5 Satz 1 der Datenschutzgrundverordnung (DSGVO) einen Anspruch darauf, dass ihnen das Landesjustizprüfungsamt unentgeltlich eine Kopie der von ihnen angefertigten Aufsichtsarbeiten mitsamt den zugehörigen Prüfergutachten zur Verfügung stellt. Dies hat das Bundesverwaltungsgericht in Leipzig entschieden.

Nachdem der Kläger im Jahr 2018 die zweite juristische Staatsprüfung vor dem Landesjustizprüfungsamt des beklagten Landes Nordrhein-Westfalen bestanden hatte, verlangte er von dem Amt unter Berufung auf die datenschutzrechtlichen Vorschriften, ihm unentgeltlich eine Kopie der von ihm angefertigten Aufsichtsarbeiten und der zugehörigen Prüfergutachten zur Verfügung zu stellen. Das Landesjustizprüfungsamt war zu einer Übermittlung der Kopien nur gegen Erstattung der nach dem Landeskostenrecht berechneten Kosten in Höhe von 69,70 € bereit und lehnte den Antrag des Klägers ab. Der von dem Kläger hiergegen erhobenen Klage hat das Verwaltungsgericht Gelsenkirchen stattgegeben. Die von dem Land Nordrhein-Westfalen gegen dieses Urteil eingelegte Berufung hat das Oberverwaltungsgericht Münster zurückgewiesen. Die hiergegen eingelegte Revision des Landes Nordrhein-Westfalen ist vor dem Bundesverwaltungsgericht erfolglos geblieben.

Nach Art. 15 Abs. 1 DSGVO hat die betroffene Person u.a. das Recht auf Auskunft über ihre personenbezogenen Daten. Gemäß Art. 15 Abs. 3 Satz 1 DSGVO kann sie von dem Verantwortlichen die Überlassung einer Kopie der personenbezogenen Daten, die Gegenstand der Verarbeitung sind, verlangen. Aus Art. 12 Abs. 5 Satz 1 i.V.m. Art. 15 Abs. 3 Satz 2 DSGVO ergibt sich, dass die erste derartige Kopie unentgeltlich zur Verfügung gestellt werden muss. Durch die Rechtsprechung des Gerichtshofs der Europäischen Union (EuGH) ist seit dem Jahr 2017 geklärt, dass die schriftlichen Prüfungsleistungen in einer berufsbezogenen Prüfung und die Anmerkungen der Prüfer dazu wegen der in ihnen jeweils enthaltenen Informationen über den Prüfling insgesamt - das heißt letztlich Wort für Wort - personenbezogene Daten des Prüflings darstellen. Macht in diesen Fällen der betroffene Prüfling das Recht auf Erhalt einer unentgeltlichen ersten Datenkopie geltend, muss das Prüfungsamt eine vollständige Kopie der schriftlichen Prüfungsarbeiten und der zugehörigen Prüfergutachten unentgeltlich zur Verfügung stellen. Dies gilt nicht nur nach einem weiten Normverständnis, nach dem das Recht auf eine Datenkopie stets die Überlassung einer Reproduktion der Daten in der bei dem Verantwortlichen vorliegenden Form umfasst. Nichts Anderes folgt aus einem engeren Interpretationsansatz, nach dem grundsätzlich nur ein Anspruch auf die Zurverfügungstellung der aus dem jeweiligen Verarbeitungszusammenhang extrahierten personenbezogenen Daten oder auch nur einer strukturierten Zusammenfassung dieser Daten besteht. Denn ein solches Vorgehen ist bei Prüfungsarbeiten nicht möglich. Deshalb hat das Bundesverwaltungsgericht von einer Vorlage der Frage an den EuGH abgesehen, welcher Auffassung zu folgen ist.

Dem von dem Kläger geltend gemachten Anspruch stehen keine Ausschlussgründe nach der Datenschutzgrundverordnung entgegen. Insbesondere handelt es sich nicht um einen exzessiven Antrag im Sinne des Art. 12 Abs. 5 Satz 2 DSGVO. Der Umfang, den seine Bearbeitung nach den tatsächlichen Feststellungen des Oberverwaltungsgerichts bei dem Landesjustizprüfungsamt verursacht, ist als vergleichsweise gering zu beurteilen. Der Anspruch bezieht sich vorliegend auf acht Klausuren mit insgesamt 348 Seiten. Durchgreifende Anhaltspunkte für eine rechtsmissbräuchliche Anspruchsverfolgung hat das Oberverwaltungsgericht zu Recht verneint. Es hat ferner festgestellt, dass der fristgebundene Einsichtsanspruch nach dem nordrhein-westfälischen Juristenausbildungsgesetz den datenschutzrechtlichen Anspruch unberührt lässt. An diese Auslegung des Landesrechts ist das Bundesverwaltungsgericht gebunden.

BVerwG 6 C 10.21 - Urteil vom 30. November 2022

Vorinstanzen:

OVG Münster, OVG 16 A 1582/20 - Urteil vom 08. Juni 2021 -

VG Gelsenkirchen, VG 20 K 6392/18 - Urteil vom 27. April 2020 -

BGH
Beschluss vom 10.11.2022
I ZR 186/17

Der BGH hat dem EuGH weitere Fragen zur Abmahnbefugnis bzw. Klagebefugnis von Verbraucherschutzverbänden bei DSGVO-Verstößen zur Entscheidung vorgelegt.

Die Pressemitteilung des BGH:
BGH legt EuGH erneut eine Frage zur Klagebefugnis von Verbraucherschutzverbänden bei Datenschutzverstößen durch Facebook vor

Der unter anderem für Wettbewerbsrecht zuständige I. Zivilsenat des Bundesgerichtshofs hat darüber zu entscheiden, ob ein Verstoß des Betreibers eines sozialen Netzwerks gegen die datenschutzrechtliche Verpflichtung, die Nutzer dieses Netzwerks über Umfang und Zweck der Erhebung und Verwendung ihrer Daten zu unterrichten, wettbewerbsrechtliche Unterlassungsansprüche begründet und von Verbraucherschutzbänden verfolgt werden kann.

Sachverhalt:

Die in Irland ansässige Beklagte, die Meta Platform Ireland Limited (ehemals Facebook Ireland Limited), betreibt das soziale Netzwerk "Facebook". Auf der Internetplattform dieses Netzwerks befindet sich ein "App-Zentrum", in dem die Beklagte den Nutzern ihrer Plattform kostenlos Online-Spiele anderer Anbieter zugänglich macht. Im November 2012 wurden in diesem App-Zentrum mehrere Spiele angeboten, bei denen unter dem Button "Sofort spielen" folgende Hinweise zu lesen waren: "Durch das Anklicken von ‚Spiel spielen‚ oben erhält diese Anwendung: Deine allgemeinen Informationen, Deine-Mail-Adresse, Über Dich, Deine Statusmeldungen. Diese Anwendung darf in deinem Namen posten, einschließlich dein Punktestand und mehr." Bei einem Spiel endeten die Hinweise mit dem Satz: "Diese Anwendung darf Statusmeldungen, Fotos und mehr in deinem Namen posten."

Der Kläger ist der in der Liste qualifizierter Einrichtungen nach § 4 UKlaG eingetragene Dachverband der Verbraucherzentralen der Bundesländer. Er beanstandet die Präsentation der unter dem Button "Sofort spielen" gegebenen Hinweise im App-Zentrum als unlauter unter anderem unter dem Gesichtspunkt des Rechtsbruchs wegen Verstoßes gegen gesetzliche Anforderungen an die Einholung einer wirksamen datenschutzrechtlichen Einwilligung des Nutzers. Ferner sieht er in dem abschließenden Hinweis bei einem Spiel eine den Nutzer unangemessen benachteiligende Allgemeine Geschäftsbedingung. Er hält sich zur Geltendmachung von Unterlassungsansprüchen im Wege der Klage vor den Zivilgerichten gemäß § 8 Abs. 3 Nr. 3 UWG und § 3 Abs. 1 Satz 1 Nr. 1 UKlaG für befugt.

Bisheriger Prozessverlauf:

Der Bundesgerichtshof hat das Verfahren mit Beschluss vom 28. Mai 2020 (I ZR 86/17, GRUR 2020, 896 = WRP 2020, 1182 - App-Zentrum I) ausgesetzt und dem Gerichtshof der Europäischen Union die Frage zur Vorabentscheidung vorgelegt, ob die in Kapitel VIII, insbesondere in Art. 80 Abs. 1 und 2 sowie Art. 84 Abs. 1 der Verordnung (EU) 2016/679 (Datenschutz-Grundverordnung) getroffenen Bestimmungen nationalen Regelungen entgegenstehen, die - neben den Eingriffsbefugnissen der zur Überwachung und Durchsetzung der Verordnung zuständigen Aufsichtsbehörden und den Rechtsschutzmöglichkeiten der betroffenen Personen - einerseits Mitbewerbern und andererseits nach dem nationalen Recht berechtigten Verbänden, Einrichtungen und Kammern die Befugnis einräumen, wegen Verstößen gegen die Datenschutz-Grundverordnung unabhängig von der Verletzung konkreter Rechte einzelner betroffener Personen und ohne Auftrag einer betroffenen Person gegen den Verletzer im Wege einer Klage vor den Zivilgerichten vorzugehen.

Der Gerichtshof der Europäischen Union hat dazu mit Urteil vom 28. April 2022
C-319/20, GRUR 2022, 920 = WRP 2022, 684 - Meta Platforms Ireland) entschieden, dass Art. 80 Abs. 2 der VO (EU) 2016/679 einer nationalen Regelung, nach der ein Verband zur Wahrung von Verbraucherinteressen gegen den mutmaßlichen Verletzer des Schutzes personenbezogener Daten ohne entsprechenden Auftrag und unabhängig von der Verletzung konkreter Rechte betroffener Personen Klage mit der Begründung erheben kann, dass gegen das Verbot der Vornahme unlauterer Geschäftspraktiken, ein Verbraucherschutzgesetz oder das Verbot der Verwendung unwirksamer Allgemeiner Geschäftsbedingungen verstoßen worden sei, nicht entgegensteht, sofern die betreffende Datenverarbeitung die Rechte identifizierter oder identifizierbarer natürlicher Personen aus dieser Verordnung beeinträchtigen kann.

Die Entscheidung des Bundesgerichtshofs:

Der Bundesgerichtshof hat nach mündlicher Verhandlung vom 29. September 2022 das Verfahren erneut ausgesetzt und dem Gerichtshof der Europäischen Union die Frage zur Vorabentscheidung vorgelegt, ob eine Rechtsverletzung "infolge einer Verarbeitung" im Sinne von Art. 80 Abs. 2 DSGVO geltend gemacht wird, wenn ein Verband zur Wahrung von Verbraucherinteressen seine Klage darauf stützt, die Rechte einer betroffenen Person seien verletzt, weil die Informationspflichten gemäß Art. 12 Abs. 1 Satz 1 DSGVO in Verbindung mit Art. 13 Abs. 1 Buchst. c und e DSGVO über den Zweck der Datenverarbeitung und den Empfänger der personenbezogenen Daten nicht erfüllt worden seien.

Die Notwendigkeit einer erneuten Vorlage ergibt sich aus folgenden Umständen: Der Senat ist in seinem ersten Vorlagebeschluss vom 28. Mai 2020 davon ausgegangen, dass sich eine nach deutschem Recht gemäß § 8 Abs. 3 Nr. 3 UWG und § 3 Abs. 1 Satz 1 Nr. 1 UKlaG bestehende Klagebefugnis des Klägers wegen seines im Streitfall allein auf die objektiv-rechtliche Durchsetzung des Datenschutzrechts gerichteten Klagebegehrens nicht den die Rechtsbehelfe, die Haftung und Sanktionen regelnden Bestimmungen des Kapitels VIII der Datenschutz-Grundverordnung und insbesondere nicht den Art. 80 Abs. 1 und 2 DSGVO oder Art. 84 Abs. 1 DSGVO entnehmen lässt. Er hat daher dem Gerichtshof der Europäischen Union mit seinem ersten Vorabentscheidungsersuchen die Frage vorgelegt, ob die Datenschutz-Grundverordnung in Bezug auf die Klagebefugnis eine abschließende Regelung trifft, die der Anwendbarkeit der § 8 Abs. 3 Nr. 3 UWG und § 3 Abs. 1 Satz 1 Nr. 1 UKlaG entgegensteht.

Der Gerichtshof der Europäischen Union hat - abweichend von der vom Senat im Vorlagebeschluss vertretenen Ansicht - entschieden, dass sich die Klagebefugnis des Klägers aus Art. 80 Abs. 2 DSGVO ergeben kann. Die in Art. 80 Abs. 2 DSGVO den Mitgliedstaaten eröffnete Möglichkeit, ein Verfahren einer Verbandsklage gegen den mutmaßlichen Verletzer des Schutzes personenbezogener Daten vorzusehen, besteht allerdings nur für den Fall, dass der klagende Verband geltend macht, die Rechte einer betroffenen Person gemäß der Datenschutz-Grundverordnung seien "infolge einer Verarbeitung" verletzt worden. Es ist fraglich, ob diese Voraussetzung erfüllt ist, wenn - wie im Streitfall - die sich aus Art. 12 Abs. 1 Satz 1, Art. 13 Abs. 1 Buchst. c und e DSGVO ergebenden Informationspflichten verletzt worden sind. Die erneute Vorlage an den Gerichtshof der Europäischen Union dient der Klärung dieser Frage.

Vorinstanzen:

LG Berlin - Urteil vom 28. Oktober 2014 - 16 O 60/13 - CR 2015, 121

Kammergericht Berlin - Urteil vom 22. September 2017 - 5 U 155/14 - GRUR-RR 2018, 115

Verordnung (EU) 2016/679 (Datenschutz-Grundverordnung)

Artikel 4 Begriffsbestimmungen

Im Sinne dieser Verordnung bezeichnet der Ausdruck: …

2. "Verarbeitung" jeden mit oder ohne Hilfe automatisierter Verfahren ausgeführten Vorgang oder jede solche Vorgangsreihe im Zusammenhang mit personenbezogenen Daten wie das Erheben, das Erfassen, die Organisation, das Ordnen, die Speicherung, die Anpassung oder Veränderung, das Auslesen, das Abfragen, die Verwendung, die Offenlegung durch Übermittlung, Verbreitung oder eine andere Form der Bereitstellung, den Abgleich oder die Verknüpfung, die Einschränkung, das Löschen oder die Vernichtung; …

Artikel 12 Transparente Information, Kommunikation und Modalitäten für die Ausübung der Rechte der betroffenen Person

(1) Der Verantwortliche trifft geeignete Maßnahmen, um der betroffenen Person alle Informationen gemäß den Artikeln 13 und 14 …, die sich auf die Verarbeitung beziehen, in präziser, transparenter, verständlicher und leicht zugänglicher Form in einer klaren und einfachen Sprache zu übermitteln; ...

Artikel 13 Informationspflicht bei Erhebung von personenbezogenen Daten bei der betroffenen Person

(1) Werden personenbezogene Daten bei der betroffenen Person erhoben, so teilt der Verantwortliche der betroffenen Person zum Zeitpunkt der Erhebung dieser Daten Folgendes mit: …

c) die Zwecke, für die die personenbezogenen Daten verarbeitet werden sollen, sowie die Rechtsgrundlage für die Verarbeitung; ...

e) gegebenenfalls die Empfänger oder Kategorien von Empfängern der personenbezogenen Daten ...

Artikel 80 Vertretung von betroffenen Personen

(1) Die betroffene Person hat das Recht, eine Einrichtung, Organisationen oder Vereinigung ohne Gewinnerzielungsabsicht, die ordnungsgemäß nach dem Recht eines Mitgliedstaats gegründet ist, deren satzungsmäßige Ziele im öffentlichem Interesse liegen und die im Bereich des Schutzes der Rechte und Freiheiten von betroffenen Personen in Bezug auf den Schutz ihrer personenbezogenen Daten tätig ist, zu beauftragen, in ihrem Namen eine Beschwerde einzureichen, in ihrem Namen die in den Artikeln 77, 78 und 79 genannten Rechte wahrzunehmen und das Recht auf Schadensersatz gemäß Artikel 82 in Anspruch zu nehmen, sofern dieses im Recht der Mitgliedstaaten vorgesehen ist.

(2) Die Mitgliedstaaten können vorsehen, dass jede der in Absatz 1 des vorliegenden Artikels genannten Einrichtungen, Organisationen oder Vereinigungen unabhängig von einem Auftrag der betroffenen Person in diesem Mitgliedstaat das Recht hat, bei der gemäß Artikel 77 zuständigen Aufsichtsbehörde eine Beschwerde einzulegen und die in den Artikeln 78 und 79 aufgeführten Rechte in Anspruch zu nehmen, wenn ihres Erachtens die Rechte einer betroffenen Person gemäß dieser Verordnung infolge einer Verarbeitung verletzt worden sind.

VG Ansbach
Urteile vom 02.11.2022
AN 14 K 22.00468 und AN 14 K 21.01431

Das VG Ansbach hat entschieden, dass das Fotografieren von Falschparkern und die Übermittlung an die Polizei bzw. Ordnungsbehörden durch Privatpersonen nicht datenschutzwidrig ist. Nach Ansicht des Gerichts liegt ein überwiegendes berechtigtes Interesse gemäß Art. 6 Abs 1 lit. f DSGVO vor.

Die Pressemitteilung des Gericht:

Verwaltungsgericht Ansbach gibt Klagen gegen Verwarnungen wegen Ablichtung von Falschparkern statt

Das Verwaltungsgericht Ansbach hat mit heute bekanntgegebenen Urteilen zwei Klagen gegen Verwarnungen des Landesamtes für Datenschutzaufsicht (LDA) stattgegeben, mit denen das LDA die Ablichtung von Falschparkern rügte.

Gegenstand der Verwarnungen waren von den Klägern angefertigte Fotoaufnahmen von ordnungswidrig geparkten Fahrzeugen, die die Kläger mitsamt Anzeigen an die zuständige Polizei übersandten. Bei den angezeigten Verstößen handelte es sich beispielsweise um Parken im absoluten Halteverbot oder ordnungswidrig auf Gehwegen.

Das Gericht hatte darüber zu entscheiden, ob die Übermittlung der Bildaufnahmen eine rechtmäßige Datenverarbeitung im Sinne des Art. 6 Abs. 1 Satz 1 Buchst. f der Datenschutz-Grundverordnung (DS-GVO) darstellte. Die Regelung setzt voraus, dass die Datenverarbeitung zur Wahrung der berechtigten Interessen des Verantwortlichen oder eines Dritten erforderlich ist. Die Beteiligten stritten insbesondere um die rechtliche Frage, ob für die Rechtmäßigkeit der Datenverarbeitung eine persönliche Betroffenheit des Anzeigenerstatters durch die Parkverstöße erforderlich sei und ob nicht für eine Anzeige die bloße schriftliche oder telefonische Schilderung des Sachverhalts unter Angabe des Fahrzeugkennzeichens genüge, sodass eine Übermittlung von Bildaufnahmen nicht erforderlich sei. Problematisch sei nach Ansicht des LDA zudem, dass mit den Fotos oft Daten erhoben würden, die über den reinen Parkvorgang hinausgingen, z.B. bei Ablichtung anderer Fahrzeuge und Personen. Die Kläger verwiesen auf ihnen gegenüber ergangene Hinweise der Polizei, wonach die Parksituation zum Beweis durch Fotoaufnahmen möglichst genau dokumentiert werden sollte. Zudem würde die Verfolgung der Ordnungswidrigkeiten durch die Anfertigung von Fotos
vereinfacht.

Die 14. Kammer des Verwaltungsgerichts Ansbach gab den Klagen mit Entscheidung vom 2. November 2022 statt. Die schriftlichen Urteilsbegründungen liegen noch nicht vor.

Die Entscheidungen sind nicht rechtskräftig. Gegen die Urteile kann Antrag auf Zulassung der Berufung zum Bayerischen Verwaltungsgerichtshof gestellt werden.

(VG Ansbach, Urteile vom 2. November 2022 – AN 14 K 22.00468 und AN 14 K 21.01431)