Skip to content

VG Berlin: Allgemeines Zurückbehaltungsrecht nach § 273 Abs. 1 BGB kann Aukunftsanspruch aus Art 15 DSGVO nicht entgegengehalten werden

VG Berlin
Urteil vom 02.10.2024
1 K 251/22


Das VG Berlin hat entschieden, dass ein allgemeines Zurückbehaltungsrecht nach § 273 Abs. 1 BGB einem Aukunftsanspruch aus Art 15 DSGVO nicht entgegengehalten werden kann. Nach Ansicht des Gerichts handelt es sich bei § 273 Abs. 1 BGB nicht um eine zulässige Beschränkung im Sinne von Art. 23 Abs. 1 DSGVO.

Aus den Entscheidungsgründen:
II. Diese Voraussetzungen liegen hier vor, weil die Klägerin mit der der Beschwerdeführerin erst am 4. März 2022 erteilten Auskunft gegen Art. 15 Abs. 1 Hs. 2 Var. 1 i.V.m. Art. 12 Abs. 3 Satz 1 DS-GVO verstoßen hat. Die Klägerin war gegenüber der Beschwerdeführerin zur Auskunftserteilung bis zum 22. Januar 2022 verpflichtet (vgl. hierzu unter 1.), hat die begehrte Auskunft jedoch verspätet erteilt (vgl. hierzu unter 2.).

1. Nach Art. 15 Abs. 1 Hs. 2 Var. 1 DS-GVO hat die betroffene Person gegenüber dem Verantwortlichen einer Verarbeitung personenbezogener Daten das Recht auf Auskunft über diese personenbezogenen Daten.

Zur Wahrung des Auskunftsrechts ist es erforderlich, dass der Betroffene eine vollständige Übersicht der Daten erhält, die Gegenstand der Verarbeitung sind, in verständlicher Form (vgl. EuGH, Urteil vom 17. Juli 2014 – C-141/12 und C-372/12, ZD 2014, 515, 518). Sinn und Zweck des Auskunftsanspruchs aus Art. 15 Abs. 1 DS-GVO ist es, wie sich unter anderem aus Erwägungsgrund 63 zur DS-GVO ergibt, den Betroffenen in die Lage zu versetzen, von einer Verarbeitung ihn betreffender personenbezogener Daten Kenntnis zu erhalten, um im Folgenden nicht nur die Richtigkeit dieser Daten, sondern auch die Zulässigkeit ihrer Verarbeitung überprüfen und ggf. die ihm nach den Art. 16 ff. DS-GVO zustehenden Rechte – beispielweise auf Löschung oder Einschränkung der Verarbeitung der Daten – ausüben zu können (vgl. EuGH, Urteil vom 4. Mai 2023 – C-487 –, juris Rn. 33f.; vgl. auch: Bäcker, in: Kühling/Buchner, DS-GVO/BDSG, 4. Auflage, 2024, DS-GVO Art. 15 Rn. 32; Franck, in: Gola/Heckmann, DS-GVO/BDSG, 3. Auflage, 2022, DS-GVO Art. 15 Rn. 22; vgl. zum Vorstehenden: VG Berlin, Urteil vom 6. Februar 2024 – VG 1 K 187/21 –, juris Rn. 34).

Die Klägerin war gegenüber der Beschwerdeführerin aufgrund deren Auskunftsersuchens von 22. Dezember 2021 zu einer Auskunft im oben genannten Sinne verpflichtet. Die Beschwerdeführerin hat die Klägerin mit E-Mail vom 22. Dezember 2021, 15:34 Uhr, um Datenauskunft ersucht, als sie schrieb: „Please send me all my data before deleting the account“.

Anders als die Klägerin meint, stand der Verpflichtung zur Auskunftserteilung kein Zurückbehaltungsrecht nach § 273 Abs. 1 Bürgerliches Gesetzbuch (BGB) entgegen. Denn auf ein solches kann sich die Klägerin im Zusammenhang mit dem Auskunftsanspruch nach Art. 15 DS-GVO nicht berufen. § 273 Abs. 1 BGB ist hier nach Überzeugung der Einzelrichterin nicht anwendbar (offen gelassen: OLG Düsseldorf, NZG 2023, 1138 Rn. 30, das im Rahmen eines insolvenzrechtlichen Verfahrens bereits die Konnexität verneint; für den umgekehrten Fall im Ergebnis a.A. AG Wiesbaden, ZD 2022, 395 Rn. 20 ff., das die Anwendbarkeit des § 273 Abs. 1 BGB im Zusammenhang mit Art. 15 DS-GVO jedoch nicht thematisiert).

Hierfür sprechen zunächst, die divergierenden Schutzrichtungen des § 273 Abs. 1 BGB und des Art. 15 DS-GVO. Während § 273 Abs. 1 BGB der Schaffung eines Druckmittels zur Durchsetzung eines zivilrechtlichen Anspruchs dient (vgl. Krüger, in: Münchener Kommentar zum BGB, 9. Auflage, 2022, § 273 Rn. 3), ist Art. 15 DS-GVO Ausprägung des Schutzes personenbezogener Daten nach Art. 8 Abs. 2 Satz 2 der Charta der Grundrechte der Europäischen Union (GRCh) (vgl. Paal, in: Pauly/Paal, DS-GVO/BDSG, 3. Auflage, 2021, DS-GVO Art. 15 Rn. 3) und in seiner Anwendung in Deutschland auch des Grundrechts auf informationelle Selbstbestimmung aus Art. 2 Abs. 1 GG i.V.m. Art. 1 Abs. 1 GG.

Der Auskunftsanspruch aus der Datenschutzgrundverordnung hat per se keinerlei Bezug zu einer vertraglichen Beziehung und setzt eine solche auch nicht voraus – mag der Anspruch in einer Vielzahl von Fällen auch parallel zu einem vertraglichen Verhältnis der Beteiligten geltend gemacht werden.

Darüber hinaus spricht gegen eine Anwendbarkeit des im BGB geregelten Zurückbehaltungsrechts im Rahmen eines Auskunftsanspruchs nach Art. 15 DS-GVO, der Anwendungsvorrang des Gemeinschaftsrechts. Als unmittelbar in allen Mitgliedstaaten geltendes EU-Recht hat Art. 15 DS-GVO in seinem Anwendungsbereich Vorrang vor nationalem Recht (vgl. Artikel 288 Abs. 2 des Vertrags über die Arbeitsweise der Europäischen Union [AEUV]).

Das Auskunftsrecht nach Art. 15 DS-GVO kann nur unter den besonderen Voraussetzungen des Art. 23 DS-GVO beschränkt werden. Nach Art. 23 Abs. 1 DS-GVO können durch Rechtsvorschriften der Union oder der Mitgliedstaaten, denen der Verantwortliche oder der Auftragsverarbeiter unterliegt, unter anderem die Pflichten und Rechte gemäß den Artikeln 12 bis 22 im Wege von Gesetzgebungsmaßnahmen beschränkt werden, sofern eine solche Beschränkung den Wesensgehalt der Grundrechte und Grundfreiheiten achtet und in einer demokratischen Gesellschaft eine notwendige und verhältnismäßige Maßnahme darstellt, die neben anderen Zielen (vgl. lit. a) bis h)) unter anderem Folgendes sicherstellt: i) den Schutz der betroffenen Person oder der Rechte und Freiheiten anderer Personen; j) die Durchsetzung zivilrechtlicher Ansprüche.

Zwar erfüllt § 273 Abs. 1 BGB das Tatbestandsmerkmal der Beschränkung, denn eine solche liegt auch dann vor, wenn die Ausübung eines Rechts zeitlich verzögert wird (vgl. European Data Protection Board, Leitlinien 10/2020 zu Beschränkungen nach Artikel 23 DSGVO, Fassung 2.1, 13. Oktober 2021 Rn. 8, abrufbar: https://www.datenschutz-berlin.de/fileadmin/user_upload/pdf/publikationen/EDSA/ 2020-10_EDSA_Leitlinien_Beschraenkungen-Artikel-23-DS-GVO.pdf, zuletzt abgerufen: 11. Oktober 2024 – im Folgenden: Leitlinien – Rn. 12).

Jedoch liegt im Hinblick auf § 273 Abs. 1 BGB kein Fall einer nach Art. 23 Abs. 1 DS-GVO zulässigen Beschränkung vor. Denn das Zurückbehaltungsrecht nach § 273 Abs. 1 BGB dient nicht der Sicherstellung eines der in Art. 23 Abs. 1 lit. a) bis j) DS-GVO genannten Ziele. In Betracht kommen hier nur Art. 23 Abs. 1 lit. i) Var. 2 (vgl. unter a.) und Art. 23 Abs. 1 lit. j) DS-GVO (vgl. unter b.).

a. Das Zurückbehaltungsrecht nach § 273 Abs. 1 BGB stellt nicht den Schutz der Rechte und Freiheiten anderer Personen i.S.d. Art. 23 Abs. 1 lit. i) Var. 2 DS-GVO sicher. Die Norm ist nach Überzeugung der Einzelrichterin im Interesse des effektiven Schutzes der Betroffenenrechte restriktiv auszulegen.

Hierfür spricht zunächst der Wortlaut, wonach eine Beschränkung der Betroffenenrechte zur „Sicherstellung“ des Schutzes der Rechte und Freiheiten anderer möglich ist. Das Zurückbehaltungsrecht nach § 273 Abs. 1 BGB geht jedoch über eine reine „Sicherstellung“ der Rechte anderer hinaus. Dessen Sinn und Zweck besteht vielmehr – wie bereits erwähnt – in der Schaffung eines Druckmittels zur Durchsetzung eines zivilrechtlichen Anspruchs (s.o.).

Für eine restriktive Auslegung des Art. 23 Abs. 1 lit. i) DS-GVO spricht zudem der systematische Vergleich mit den anderen Buchstaben des Art. 23 Abs. 1 (vgl. z.B. lit. a) die nationale Sicherheit; lit. b) die Landesverteidigung; lit. c) die öffentliche Sicherheit; lit. f) den Schutz der Unabhängigkeit der Justiz und den Schutz von Gerichtsverfahren). Die in den anderen Buchstaben des Art. 23 Abs. 1 DS-GVO benannten Schutzgüter zeigen, dass eine Beschränkung des Auskunftsrechts nach Art. 15 DS-GVO nur in besonders gewichtigen Fällen und zum Schutz hochrangiger (Rechts-)Güter zulässig sein soll (vgl. Leitlinien Rn. 8, die auf „wichtige Ziele“ Bezug nehmen), wozu ein vertragliches Zurückbehaltungsrecht nach Überzeugung der Einzelrichterin nicht zählt. Dementsprechend benennen die Leitlinien des European Data Protection Boards im Zusammenhang mit Art. 23 Abs. 1 lit. i) DS-GVO beispielhaft den Schutz eines Zeugen, Opfers oder Hinweisgebers im Rahmen eines Disziplinarverfahrens, der durch Beschränkung des Auskunftsrechts nach der DS-GVO vor Vergeltungsmaßnahmen des Auskunftsberechtigten geschützt werden soll (vgl. Leitlinien Rn. 34). In ähnlicher Weise wird in der Literatur darauf Bezug genommen, dass höherrangige, menschenrechtsrelevante Interessen, die Grundlage einer beschränkenden Rechtsvorschrift i.S.d. Art. 23 Abs. 1 lit. i) DS-GVO sein können (vgl. Paal, in: Pauly/Paal, DS-GVO/BDSG, 3. Auflage, 2021, DS-GVO Art. 23 Rn. 42).

Für eine restriktive Auslegung des Art. 23 Abs. 1 lit. i) DS-GVO spricht darüber hinaus der effektive Schutz der Betroffenenrechte. Würde eine Beschränkung des datenschutzrechtlichen Auskunftsanspruch zugunsten eines Druckmittels zur Durchsetzung zivilrechtlicher Ansprüche zugelassen, könnte dieses datenschutzrechtliche Betroffenenrecht weitgehend ausgehebelt werden (vgl. auch Bäcker, in: Kühling/Buchner, DS-GVO/BDSG, 4. Auflage, 2024, DS-GVO Art. 23 Rn. 33b, der sich aus diesem Grund gegen eine extensive Auslegung des Art. 23 Abs. 1 lit. j) ausspricht). In der Praxis führte dies etwa dazu, dass eine auskunftsberechtigte Privatperson, in die Lage versetzt würde, gegenüber einem Unternehmen, welches ggf. dauerhaft auf professionelle rechtliche Beratung zurückgreifen kann, nachweisen – und ggf. gerichtlich – durchsetzen zu müssen, dass die Voraussetzungen eines Zurückbehaltungsrechts im konkreten Fall nicht vorliegen. Gerade derartigen Hürden soll der Auskunftsanspruch nach Art. 15 DS-GVO jedoch nicht unterliegen, denn dieser soll den Betroffenen die Möglichkeit eröffnen, sich problemlos über die Verarbeitung der eigenen personenbezogenen Daten zu informieren (vgl. Paal, in: Pauly/Paal, DS-GVO/BDSG, 3. Auflage, 2021, DS-GVO Art. 15 Rn. 3).

b. Das Zurückbehaltungsrecht nach § 273 Abs. 1 BGB stellt auch nicht die Durchsetzung zivilrechtlicher Ansprüche i.S.d. lit. j) sicher. Die Regelung des lit. j) ist weitestgehend schon von der in lit. i) getroffenen Regelung abgedeckt und stellt hierzu einen Sonderfall dar. Sie entfaltet eigenständige Bedeutung etwa im Bereich der Zwangsvollstreckung oder der Gewinnung von Beweismitteln für einen Zivilprozess (vgl. zum Vorstehenden: Bertermann, in: Ehmann/Selmayr, DS-GVO, 3. Auflage, 2024, DS-GVO Art. 23 Rn. 13; Bäcker, in: Kühling/Buchner, DS-GVO/BDSG, 4. Auflage, 2024, DS-GVO Art. 23 Rn. 33c; Paal, in: Pauly/Paal, DS-GVO/BDSG, 3. Auflage, 2021, DS-GVO Art. 23 Rn. 43).

Aus den o.g. Gründen ist auch Art. 23 Abs. 1 lit. j) DS-GVO restriktiv auszulegen (Bäcker, in: Kühling/Buchner, DS-GVO/BDSG, 4. Auflage, 2024, DS-GVO Art. 23 Rn. 33b). Die Norm dient weder dem Zweck, ein informationelles Gleichgewicht zwischen Prozessbeteiligten (vgl. Bäcker, in: Kühling/Buchner, DS-GVO/BDSG, 4. Auflage, 2024, DS-GVO Art. 23 Rn. 33d), noch sonst ein (zivilrechtliches) Gleichgewicht zwischen den Parteien herzustellen oder einer Partei ein Druckmittel zur Durchsetzung zivilrechtlicher Rechte zu verschaffen (s.o.).

2. Die Auskunftserteilung durch die Klägerin gegenüber der Beschwerdeführerin am 4. März 2022 war verspätet. Nach Art. 12 Abs. 3 Sätze 1 bis 3 DS-GVO stellt der Verantwortliche der betroffenen Person Informationen über die auf Antrag gemäß den Artikeln 15 bis 22 ergriffenen Maßnahmen unverzüglich, in jedem Fall aber innerhalb eines Monats nach Eingang des Antrags zur Verfügung. Diese Frist kann um weitere zwei Monate verlängert werden, wenn dies unter Berücksichtigung der Komplexität und der Anzahl von Anträgen erforderlich ist. Der Verantwortliche unterrichtet die betroffene Person innerhalb eines Monats nach Eingang des Antrags über eine Fristverlängerung, zusammen mit den Gründen für die Verzögerung.

Die der Beschwerdeführerin erteilte Auskunft war nicht fristgerecht im Sinne des Art. 12 Abs. 3 Satz 1 DS-GVO. Die Monatsfrist nach Satz 1 der Norm ist offenkundig nicht gewahrt. Der Auskunftsanspruch der Beschwerdeführerin ist bei der Klägerin erstmals mit E-Mail vom 22. Dezember 2021,15:34 Uhr, eingegangen, als sie schrieb: „Please send me all my data before deleting the account“. Nach Überzeugung der Einzelrichterin geht bereits aus dieser Formulierung – unabhängig von dem durch die Beschwerdeführerin ebenfalls verwendeten Begriff des „subject access requests“, von dem die Klägerin vorträgt, dass ihr Mitarbeiter diesen nicht verstanden habe, eine Auskunftsbegehren i.S.d. Art. 15 Abs. 1 DS-GVO klar und eindeutig hervor. In der Folge hat die Beschwerdeführerin ihr Auskunftsbegehren gegenüber der Klägerin mehrfach wiederholt – so etwa in einer E-Mail vom 23. Dezember 2021, 17:15 Uhr, in der es heißt: „(…) Please send me all of the data that you have collected on me (…)“ oder in einer E-Mail vom 28. Dezember 2021, 00:51 Uhr, in der es heißt: „I am entitled to my data under GDPR. If you refuse to provide this data I will ask the BfDI to fine you for breaking European law“. Unter Berücksichtigung dieser eindeutigen Formulierungen und des Umstandes, dass die Klägerin die Kommunikation mit der Beschwerdeführerin offenkundig unproblematisch in der englischen Sprache geführt hat, ist nach Überzeugung der Einzelrichterin nicht glaubhaft, dass sie das Auskunftsbegehren der Beschwerdeführerin nicht verstanden oder übersehen hätte.

Es liegt auch kein Fall der Verlängerung der Auskunftsfrist i.S.d. Art. 12 Abs. 3 Satz 2, 3 DS-GVO vor. Den offenkundig hat die Klägerin die Auskunftsfrist gegenüber der Beschwerdeführerin nicht verlängert und es ist auch nicht ersichtlich, dass dies erforderlich gewesen wäre; im Übrigen beruft sich die Klägerin hierauf auch nicht.

III. Die Beklagte hat das ihr im Rahmen des Art. 58 Abs. 2 DS-GVO eröffnete Ermessen rechtmäßig ausgeübt und sich für eine Verwarnung i.S.d. des lit. b) entschieden.

Ist die Behörde ermächtigt, nach ihrem Ermessen zu handeln, hat sie ihr Ermessen entsprechend dem Zweck der Ermächtigung auszuüben und die gesetzlichen Grenzen des Ermessens einzuhalten (vgl. § 40 VwVfG). Im Sinne des eingeschränkten gerichtlichen Prüfungsumfanges des durch die Verwaltung ausgeübten Ermessens nach § 114 VwGO sind nach der Rechtsprechung der Ermessensausfall, die Ermessensunterschreitung, die Ermessensüberschreitung sowie der Ermessensfehlgebrauch als Ermessensfehler zu prüfen (vgl. Wolff, in: Sodan/Ziekow, VwGO, 5. Auflage, 2018, § 114 Rn. 84). Auch im Rahmen der Ermessensentscheidung hat die Verwaltung den Grundsatz der Verhältnismäßigkeit zu wahren (vgl. Wolff, in: Sodan/Ziekow, VwGO, 5. Auflage, 2018, § 114 Rn. 159). Ein Ermessensfehler liegt unter anderem vor, wenn die Behörde bei ihrer Ermessensentscheidung nicht alle diejenigen Gesichtspunkte in den Blick genommen und zutreffend gewürdigt hat, die bei einer Ermessensentscheidung zu beachten sind (vgl. BVerwG, NVwZ 2000, 688).

Gemessen an diesem Maßstab liegen nach Überzeugung der Einzelrichterin keine Ermessensfehler vor. Die Beklagte hat alle relevanten Gesichtspunkte beachtet, insbesondere hat sie den Verstoß der Klägerin als nicht schwerwiegend eingestuft und in ihrer Abwägungsentscheidung ihre Erwartung berücksichtigt, dass die Klägerin sich künftig an datenschutzrechtliche Vorschriften halten werde.

Der Ausspruch einer Verwarnung gegenüber der Klägerin ist zudem verhältnismäßig. Entgegen der Auffassung der Klägerin war die Beklagte nicht verpflichtet, anstelle der Verwarnung als milderes gleich geeignetes Mittel eine Anweisung nach Art. 58 Abs. 2 lit. c) DS-GVO auszusprechen. Denn die Anweisung stellt die gegenüber der Verwarnung schärfere und nicht mildere Maßnahme dar. Dies geht bereits systematisch aus dem Aufbau des Art. 58 Abs. 2 DS-GVO hervor, der mit den Buchstaben a) ff. eine Steigerung in der Intensität der Maßnahmen erkennen lässt. So sieht etwa lit. a) eine Warnung in Bezug auf voraussichtliche Verstöße als eingriffsschwächste Maßnahme vor, während lit. f) die Verhängung einer vorübergehenden oder endgültigen Beschränkung der Verarbeitung, einschließlich eines Verbots, ermöglicht (vgl. zum Vorstehenden: Sven Polenz, in: Simitis/Hornung/Spiecker gen. Döhmann, Datenschutzrecht, Art. 58 Rn. 6; vgl. auch: Selmayr, in: Ehmann/Selmayr, DS-GVO, 3. Auflage, 2024, DS-GVO Art. 58 Rn. 18 ff.; Nguyen, in: Gola/Heckmann, DS-GVO/BDSG, 3. Auflage, 2022, DS-GVO Art. 58 Rn. 14). Dass die Verwarnung das gegenüber der Anweisung mildere Mittel ist, ergibt sich auch daraus, dass die Verwarnung zwar einen Verwaltungsakt darstellt, aber – anders als die Anweisung – keine unmittelbare Rechtspflicht auslöst, die Verarbeitung abzustellen oder zu ändern. Wegen der beschränkten Feststellungswirkung ist sie auch nicht vollstreckbar und als solche nicht bußgeldbewehrt, sondern kann lediglich bei späterer Verhängung einer Anweisung wegen einer anderen Maßnahme als bußgelderhöhender Faktor berücksichtigt werden (vgl. Selmayr, in: Ehmann/Selmayr, DS-GVO, 3. Auflage, 2024, DS-GVO Art. 58 Rn. 20; Körffer, in: Pauly/Paal, DS-GVO/BDSG, 3. Auflage, 2021, DS-GVO Art. 58 Rn. 18; Sven Polenz, in: Simitis/Hornung/Spiecker gen. Döhmann, Datenschutzrecht, Art. 58 Rn. 29). Demgegenüber ist die Anweisung vollstreckbar und nach Art. 83 Abs. 5 lit. e) DS-GVO im Falle ihrer Nichtbefolgung bußgeldbewehrt.


Den Volltext der Entscheidung finden Sie hier:

Irische Datenschutzbehörde: Bußgeld in Höhe von 251 Millionen EURO gegen Meta wegen Datenschutzverstößen im Zusammenhang mit einem Facebook-Datenleck

Die Irische Datenschutzbehörde hate eine Bußgeld in Höhe von 251 Millionen EURO gegen Meta wegen Datenschutzverstößen im Zusammenhang mit einem Facebook-Datenleck verhängt.

Die Pressmeitteilung der Irischen Datenschutzbehörde:
Irish Data Protection Commission fines Meta €251 Million

The Irish Data Protection Commission (DPC) has today announced its final decisions following two inquiries into Meta Platforms Ireland Limited (‘MPIL’). These own-volition inquiries were launched by the DPC following a personal data breach, which was reported by MPIL in September 2018.

This data breach impacted approximately 29 million Facebook accounts globally, of which approximately 3 million were based in the EU/EEA. The categories of personal data affected included: user’s full name; email address; phone number; location; place of work; date of birth; religion; gender; posts on timelines; groups of which a user was a member; and children’s personal data. The breach arose from the exploitation by unauthorised third parties of user tokens[1] on the Facebook platform. The breach was remedied by MPIL and its US parent company shortly after its discovery.

The decisions, which were made by the Commissioners for Data Protection, Dr. Des Hogan and Dale Sunderland, included a number of reprimands and an order to pay administrative fines totalling €251 million.

The DPC submitted a draft decision to the GDPR cooperation mechanism in Sept 2024, as required under Article 60 of the GDPR[2]. No objections to the DPC’s draft decision were raised. The DPC is grateful for the cooperation and assistance of its peer EU/EEA supervisory authorities in this case.

The DPC’s final decisions record the following findings of infringement of the GDPR:

Decision 1
Article 33(3) GDPR - By not including in its breach notification all the information required by that provision that it could and should have included. The DPC reprimanded MPIL for failures in regards to this provision and ordered it to pay administrative fines of €8 million.
Article 33(5) GDPR - By failing to document the facts relating to each breach, the steps taken to remedy them, and to do so in a way that allows the Supervisory Authority to verify compliance. The DPC reprimanded MPIL for failures in regards to this provision and ordered it to pay administrative fines of €3 million.
Decision 2
Article 25(1) GDPR - By failing to ensure that data protection principles were protected in the design of processing systems. The DPC found that MPIL had infringed this provision, reprimanded MPIL, and ordered it to pay administrative fines of €130 million.
Article 25(2) - By failing in their obligations as controllers to ensure that, by default, only personal data that are necessary for specific purposes are processed. The DPC found that MPIL had infringed these provisions, reprimanded MPIL, and ordered it to pay administrative fines of €110 million.
DPC Deputy Commissioner Graham Doyle commented:

“This enforcement action highlights how the failure to build in data protection requirements throughout the design and development cycle can expose individuals to very serious risks and harms, including a risk to the fundamental rights and freedoms of individuals. Facebook profiles can, and often do, contain information about matters such as religious or political beliefs, sexual life or orientation, and similar matters that a user may wish to disclose only in particular circumstances. By allowing unauthorised exposure of profile information, the vulnerabilities behind this breach caused a grave risk of misuse of these types of data.”

The DPC will publish the full decision and further related information in due course.


LG Hagen: Cyberversicherung greift nicht bei Schäden durch betrügerische E-Mails da es an einer IT-Sicherheitsverletzung fehlt

LG Hagen
Urteil vom 15.10.2024
9 O 258/23

Das LG Hagen hat entschieden, dass eine Cyberversicherung nicht bei Schäden durch betrügerische E-Mails greift, da es in solchen Fällen an der dafür notwendigen IT-Sicherheitsverletzung fehlt.

Aus den Entscheidungsgründen:
Die Klägerin hat keinen Anspruch auf Zahlung in Höhe von 85.000,00 € gegen die Beklagte aus dem zwischen den Parteien bestehenden Versicherungsvertrag über eine Cyber-Versicherung in Verbindung mit § 1 VVG.

1. Es liegt kein Versicherungsfall vor, weil es an einer Informationssicherheitsverletzung im Sinne des Teil A Ziff. 4 der AVB fehlt. Weder liegt eine Verletzung datenschutzrechtlicher Bestimmungen (Teil A Ziffer 3.1 AVB) noch eine Vertraulichkeitsverletzung (Teil A Ziffer 3.2 AVB) noch eine Netzwerksicherheitsverletzung (Teil A Ziffer 3.3 AVB) vor.

a) Eine Verletzung datenschutzrechtlicher Bestimmungen liegt schon deshalb nicht vor, weil die Klägerin als Versicherungsnehmerin keinen Verstoß gegen datenschutzrechtliche Bestimmungen begangen hat.

Für eine Vertraulichkeitsverletzung im Sinne der AVB fehlt es an einer Verletzung der Vertraulichkeit Daten Dritter durch die Klägerin.

b) Auch eine Netzwerksicherheitsverletzung liegt nicht vor. Dies ergibt die Auslegung der zugrundeliegenden AVB, hier Teil A Ziffer 3.3. der AVB.

Allgemeine Versicherungsbedingungen sind so auszulegen, wie ein durchschnittlicher, um Verständnis bemühter Versicherungsnehmer sie bei verständiger Würdigung, aufmerksamer Durchsicht und unter Berücksichtigung des erkennbaren Sinnzusammenhangs versteht. Dabei kommt es auf die Verständnismöglichkeiten eines Versicherungsnehmers ohne versicherungsrechtliche Spezialkenntnisse und damit auch auf seine Interessen an. In erster Linie ist vom Bedingungswortlaut auszugehen. Der mit dem Bedingungswerk verfolgte Zweck und der Sinnzusammenhang der Klauseln sind zusätzlich zu berücksichtigen, soweit sie für den Versicherungsnehmer erkennbar sind (BGH r+s 2020, 163 Rn. 9, beck-online m.w.N.).

Ein solcher Versicherungsnehmer wird die entsprechende Klausel dahin verstehen, dass es zu einer Verletzung der Sicherheit des Netzwerkes der Klägerin gekommen sein muss und eine derartige Verletzung bei dem Empfang von E-Mails, die von einem anderen als dem in den E-Mails angegebenen Absender stammen, nicht gegeben ist. Allein der Umstand, dass aufgrund der unautorisierten Verwendung des E-Mail Exchange Servers des Lieferanten möglicherweise eine nicht zu erkennende Täuschung vorgelegen hat, stellt keinen direkten Angriff auf die Verfügbarkeit, Integrität und Vertraulichkeit der informationstechnischen Systeme der Klägerin dar. Die informationstechnischen Systeme – auch das E-Mail System der Klägerin – und letztlich auch das Netzwerk der Klägerin funktionierten wie vorgesehen. Mails konnten auf normale Weise und unverändert empfangen und gesendet werden. Betroffen von dem Cyber-Angriff war lediglich ein Netzwerk eines Dritten.

Berücksichtigt werden müssen bei einer Auslegung der Versicherungsbedingungen weiterhin die – nicht abschließenden – Regelbeispiele aus Teil A Ziff. 3.3.1., in denen es auszugsweise heißt:

Keine Netzwerksicherheitsverletzung liegt vor, wenn

(3) Beeinträchtigungen der oben genannten Art in Netzwerken Dritter stattfinden, die Auswirkungen jedoch auch beim Versicherungsnehmer auftreten (z. B. man-in-the-middle Angriff bei Zulieferer);

(4) kein Eingriff in das Netzwerk des Versicherungsnehmers stattgefunden hat (z. B. fake president Angriffe mittels nachgebildeter E-Mail-Adresse).

Aus diesen Regelbeispielen kann ein durchschnittlicher und verständiger Versicherungsnehmer erkennen, dass der vorliegende Fall, der zu den eben genannten Regelbeispielen Ähnlichkeiten aufweist, nicht zu den versicherten Risiken zählt. Voraussetzung des Versicherungsschutzes bleibt eine Netzwerksicherheitsverletzung bei dem Versicherungsnehmer selbst, die nicht vorliegt. Beeinträchtigungen bei Dritten sind keine Netzwerksicherheitsverletzung bei der Klägerin. In Abgrenzung zu einem Cyber-Angriff handelt es sich im vorliegenden Fall einer dem „normalen“ Betrug nahen Tat.

Auch im Übrigen ist dieses Verständnis der AVB sachgerecht. Denn im vorliegenden Fall ist die Klägerin auf eine betrügerische E-Mail hereingefallen. Dieses Risiko ist heute allgegenwärtig und nichts, was notwendigerweise durch eine Cyber-Versicherung abzusichern wäre. Andernfalls wäre jedweder E-Mail-Verkehr mit Spam- oder Phishing-Mails eine Netzwerksicherheitsverletzung bei dem Versicherungsnehmer. Das versicherte Risiko würde sich auf den weltweiten E-Mail-Verkehr ausweiten.

c) Auch liegt kein Versicherungsfall nach der Vertrauensschadenversicherung nach Teil D. Ziff. 1 AVB vor. Der Versicherungsfall ist ergänzend in der Vertrauensschadenversicherung zunächst unter Teil D. Ziff.1 wie folgt definiert:

Versicherungsschutz besteht für den Versicherungsnehmer wegen eines Versicherungsfalles im Sinne von Teil A Ziffer 4, wenn die Informationssicherheitsverletzung vorsätzlich und rechtswidrig erfolgte und nach den gesetzlichen Bestimmungen über unerlaubte Handlungen zum Schadenersatz verpflichtet und der Versicherungsnehmer unmittelbar dadurch einen Vermögensschaden erleidet. Es ist dabei unerheblich, ob die Informationssicherheitsverletzung von Mitarbeitern des Versicherungsnehmers oder von Dritten erfolgte.

Weiterhin besteht Versicherungsschutz auch für einen eingetretenen „Täuschungsschaden“ (Teil D. Ziff. 1.2.):

Versicherungsschutz besteht für den mittelbar entstandenen Vermögensschaden, wenn ein Mitarbeiter des Versicherungsnehmers auf Grund einer Informationssicherheitsverletzung gemäß Teil A Ziffer 3, welche einen Straftatbestand im Sinne des Strafgesetzbuches erfüllt, dazu verleitet wurde, Zahlungen / Überweisungen zu veranlassen.

Zwar umfasst der Versicherungsschutz des Teil D der AVB dem Wortlaut und auch dem Sinn und Zweck nach betrügerische Handlungen die das Vertrauen des Versicherungsnehmers ausnutzen. Die Vertrauensschadenversicherung bietet – je nach Ausgestaltung – gerade auch Versicherungsschutz für vorsätzliche Eingriffe in informationsverarbeitende Systeme des Versicherungsnehmers, durch eine Vertrauensperson oder Dritte, und dadurch unmittelbar verursachte Schäden (Schilbach, r+s 2024, 581 Rn. 49, beck-online).

Da allerdings immer auch eine Informationssicherheitsverletzung erforderlich ist, ist der Anwendungsbereich der Vertrauensschadenversicherung nicht eröffnet.

2. Entgegen der Auffassung der Klägerin sind die streitgegenständlichen AVB in den relevanten Auszügen nicht gem. § 307 BGB unwirksam.

a) Zum einen stellen sowohl Teil A. Ziff. 4 AVB, als auch Teil D Ziff. 1.2 Leistungsbeschreibungen des versicherten Risikos dar und unterliegen gem. § 307 Abs. 3 S. 1 BGB nicht der Inhaltskontrolle im Hinblick auf das Kriterium der unangemessenen Benachteiligung. Die Formulierungen in Teil A Ziff. 3 und Teil D Ziff. 1 AVB stellen keine Einschränkungen des zuvor festgelegten Versicherungsumfangs dar, sondern legen erst die vom Versicherer geschuldete Leistung fest (vgl. auch BGH NJW 2023, 208).

b) Die Leistungsbeschreibungen verstoßen auch nicht gegen das – sich gem. § 307 Abs. 3 S. 2 BGB auch auf das Hauptleistungsversprechen erstreckende (vgl. BGH VersR 2014, 625) – Transparenzgebot des § 307 Abs. 1 S. 2 BGB.

aa) Nach dem Transparenzgebot ist der Verwender allgemeiner Geschäftsbedingungen gehalten, Rechte und Pflichten seines Vertragspartners möglichst klar und durchschaubar darzustellen. Dabei kommt es nicht nur darauf an, dass die Klausel in ihrer Formulierung für den durchschnittlichen Versicherungsnehmer verständlich ist. Vielmehr gebieten Treu und Glauben, dass die Klausel die wirtschaftlichen Nachteile und Belastungen soweit erkennen lässt, wie dies nach den Umständen gefordert werden kann. Dem Versicherungsnehmer soll bereits im Zeitpunkt des Vertragsschlusses vor Augen geführt werden, in welchem Umfang er Versicherungsschutz erlangt und welche Umstände seinen Versicherungsschutz gefährden. Nur dann kann er die Entscheidung treffen, ob er den angebotenen Versicherungsschutz nimmt oder nicht (vgl. BGH NJW 2023, 208). Maßgebend sind die Verständnismöglichkeiten des typischerweise bei Verträgen der geregelten Art zu erwartenden Durchschnittskunden. Insoweit gilt kein anderer Maßstab als derjenige, der auch bei der Auslegung von Versicherungsbedingungen zu beachten ist (BGH aaO.).

bb) Nach diesen Grundsätzen sind die Leistungsbeschreibungen der AVB nicht intransparent. Denn für eine Cyber-Versicherung ist typisch und für den Durchschnittskunden erkennbar, dass nur das Risiko der eigenen IT-Systeme geschützt werden soll und nicht weltweite Hacker-Angriffe, die in mittelbarer Weise Auswirkungen gegenüber dem Versicherungsnehmer haben können. Andernfalls wäre bereits die Teilnahme am E-Mail-Verkehr an sich ein großes Risiko, da niemand vor – auch gut gefälschten – Phishing Mails geschützt ist. Die Versicherungsbedingungen sind insoweit klar und verständlich formuliert, dass im Rahmen der Netzwerksicherheitsverletzung gerade eine Beeinträchtigung der eigenen Netzwerke vorliegen muss.


Den Volltext der Entscheidung finden Sie hier:

VG Düsseldorf: Kein Anspruch gegen Datenschutzbehörde auf Abhilfemaßnahmen nach Art 58 Abs. 2 DSGVO wenn Verantwortlicher für Datenschutzverstoß nicht ermittelt werden kann

VG Düsseldorf
Urteil vom 11.11.2024
29 K 4853/22


Das VG Düsseldorf hat entschieden, dass einen Betroffener keinen Anspruch gegen die datenschutzrechtliche Aufsichtsbehörde auf Abhilfemaßnahmen nach Art 58 Abs. 2 DSGVO hat, wenn der Verantwortliche für den Datenschutzverstoß nicht ermittelt werden kann.

Aus den Entscheidungsgründen:
Rechtsgrundlage der streitgegenständlichen Beschwerdeentscheidung ist Art. 57 Abs. 1 Buchst. f DSGVO i. V. m. Art. 77 Abs. 1 DSGVO, sofern das Landgericht U. und die Staatsanwaltschaft U. Verwaltungsaufgaben wahrnehmen (§ 5 Abs. 4 DSG NRW). Soweit durch das Landgericht U. an die Staatsanwaltschaft U. personenbezogene Daten zum Zwecke der Verhütung, Ermittlung, Aufdeckung oder Verfolgung von Straftaten oder der Strafvollstreckung, einschließlich des Schutzes vor und der Abwehr von Gefahren für die öffentliche Sicherheit verarbeitet werden, ist der Anwendungsbereich der Richtlinie (EU) 2016/680 des Europäischen Parlaments und des Rates zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten durch die zuständigen Behörde zum Zwecke der Verhütung, Ermittlung, Aufdeckung oder Verfolgung von Straftaten oder der Strafvollstreckung sowie zum freien Datenverkehr und zur Aufhebung des Rahmenbeschlusses 2008/977/JI des Rates vom 27. April 2016 (JI-RL) eröffnet. Über die Regelungen in §§ 60 Abs. 2, 61 DSG NRW richtet sich die Beschwerdeentscheidung ebenfalls nach Art. 57 Abs. 1 Buchst. f DSGVO i.V.m. Art. 77 Abs. 1 DSGVO.

Aus diesen Rechtsnormen ergibt sich nicht lediglich ein petitionsähnliches Recht in dem Sinne, dass die gerichtliche Kontrolle darauf beschränkt wäre, ob sich die Aufsichtsbehörde mit der Beschwerde befasst, den Beschwerdegegenstand in angemessenem Umfang untersucht und den Beschwerdeführer über das Ergebnis der Prüfung unterrichtet hat.

So noch: OVG Rheinland-Pfalz, Urteil vom 26. Oktober 2020 – 10 A 10613/20 –, juris Rn. 37 ff.; VGH Baden-Württemberg, Urteil vom 22. Januar 2020 – 1 S 3001/19 –, juris Rn. 51,

Stattdessen unterliegt die Entscheidung der Aufsichtsbehörde einer vollständigen inhaltlichen Überprüfung durch das Gericht. Insbesondere ist jede Aufsichtsbehörde nach Art. 57 Abs. 1 Buchst. f DSGVO verpflichtet, sich in ihrem Hoheitsgebiet mit Beschwerden zu befassen, die jede Person gem. Art. 77 Abs. 1 DSGVO einlegen kann, wenn sie der Ansicht ist, dass eine Verarbeitung sie betreffender personenbezogener Daten gegen diese Verordnung verstößt, und den Gegenstand der Beschwerde in angemessenem Umfang zu untersuchen. Die Aufsichtsbehörde muss eine solche Beschwerde mit aller gebotenen Sorgfalt bearbeiten. Hinsichtlich der Bearbeitung von Beschwerden verleiht Art. 58 Abs. 1 DSGVO jeder Aufsichtsbehörde weitreichende Untersuchungsbefugnisse. Stellt eine solche Behörde am Ende ihrer Untersuchung einen Verstoß gegen die Bestimmungen dieser Verordnung fest, ist sie verpflichtet, in geeigneter Weise zu reagieren, um der festgestellten Unzulänglichkeit abzuhelfen. Zu diesem Zweck werden in Art. 58 Abs. 2 DSGVO die verschiedenen der Aufsichtsbehörde zur Verfügung stehenden Abhilfebefugnisse aufgezählt. Hinsichtlich dieser in Art. 58 Abs. 2 DSGVO genannten Abhilfebefugnisse verfügt die Behörde indes über ein Ermessen in Bezug auf die geeigneten und erforderlichen Mittel, welches das Gericht nur dahingehend überprüft, ob die Aufsichtsbehörde die Grenzen ihres Ermessens eingehalten hat.

Vgl. EuGH, Urteil vom 7. Dezember 2023 – C-26/22 –, juris Rn. 47 ff. sowie bereits: BFH, Urteil vom 12. Dezember 2023 – IX R 33/21 –, juris Rn. 14 ff.; BSG, Urteil vom 20. Januar 2021 – B 1 KR 15/20 R –, juris Rn. 111; Hamburgisches OVG, Urteil vom 7. Oktober 2019 – 5 Bf 291/17 –, juris Rn. 69 ff.

Unter Berücksichtigung der vorstehenden Ausführungen handelt es sich bei dem Recht auf Beschwerde nach Art. 57 Abs. 1 Buchst. f DSGVO i. V. m. Art. 77 Abs. 1 DSGVO um ein subjektiv-öffentliches Recht, aus dem sich ein gerichtlich überprüfbarer, zweistufiger Anspruch ergibt. Zunächst ist zu prüfen, ob die Aufsichtsbehörde in angemessenem Umfang überprüft hat, ob ein Verstoß gegen die Datenschutzgrundverordnung vorliegt. Für den Fall, dass ein Verstoß festgestellt wird, besteht ein Anspruch des Klägers auf ermessensfehlerfreie Entscheidung über ein aufsichtsbehördliches Einschreiten der Beklagten.

Vgl. BFH, Urteil vom 12. Dezember 2023 – IX R 33/21 –, juris Rn. 32; VG Hamburg, Urteil vom 1. Juni 2021 – 17 K 2977/19 –, juris Rn. 53.

Soweit der Kläger mit seinem Hauptantrag einen Anspruch auf Verhängung eines Verbots der Datenverarbeitung in Form der Übermittlung seiner personenbezogenen Daten aus den ihn betreffenden Verfahrensakten an Medienvertreter und in Form der Vervielfältigung der Verfahrensakten gegenüber dem „Rechtsträger des Landgerichts U. sowie der Staatsanwaltschaft beim Landgericht U.“ begehrt, kann dahinstehen, ob die Beklagte einen Verstoß gegen datenschutzrechtliche Vorschriften in angemessenem Umfang überprüft hat. Denn ein Anspruch des Klägers gemäß Art. 58 Abs. 2 Buchst. f DSGVO oder gemäß § 60 Abs. 3 DSG NRW entsprechend Art. 58 Abs. 2 Buchst. f DSGVO auf ein aufsichtsrechtliches Tätigwerden der Beklagten gegenüber dem Rechtsträger des Landgerichts U. und der Staatsanwaltschaft U. – nach Auffassung des Klägers das Ministerium für Justiz des Landes Nordrhein-Westfalen – ist bereits deshalb nicht gegeben, weil dieser nicht Verantwortlicher im Sinne der datenschutzrechtlichen Vorschriften ist. Vielmehr sind das Landgericht U. und die Staatsanwaltschaft U. datenschutzrechtlich jeweils selbst verantwortliche Stellen.

Da der Beklagte als Aufsichtsbehörde allein die Einhaltung und Überwachung der datenschutzrechtlichen Bestimmungen obliegt (vgl. §§ 26, 60 DSG NRW), richtet sich die Verantwortlichkeit für einen Datenschutzverstoß nicht nach zivil- oder strafrechtlichen Vorschriften, sondern allein nach Datenschutzrecht.

Die Rechte und Pflichten aus der DSGVO knüpfen an den Verantwortlichen im datenschutzrechtlichen Sinne an.

Vgl. Schild, in: BeckOK Datenschutzrecht, Wolff/Brink/v.Ungern-Sternberg, 49. Edition, Stand 1. August 2024, Art. 4 Rn. 88.

Der Verantwortliche ist nach Art. 5 Abs. 2 DSGVO für die Einhaltung der in Art. 5 Abs. 1 DSGVO genannten Grundsätze für die Verarbeitung personenbezogener Daten verantwortlich und müssen deren Einhaltung nachweisen können. Nur ihnen gegenüber kann die Beklagte als Aufsichtsbehörde demzufolge Maßnahmen ergreifen. Nur der für die Datenverarbeitung Verantwortliche hat die Möglichkeit, auf die Datenverarbeitung einzuwirken und etwaige Verstöße abzustellen.

„Verantwortlicher“ ist nach der gesetzlichen Definition in Art. 4 Nr. 7 DSGVO die natürliche oder juristische Person, Behörde, Einrichtung oder andere Stelle, die allein oder gemeinsam mit anderen über die Zwecke und Mittel der Verarbeitung von personenbezogenen Daten entscheidet; sind die Zwecke und Mittel dieser Verarbeitung durch das Unionsrecht oder das Recht der Mitgliedstaaten vorgegeben, so kann der Verantwortliche bzw. können die bestimmten Kriterien seiner Benennung nach dem Unionsrecht oder dem Recht der Mitgliedstaaten vorgesehen werden.

Nichts Anderes gilt im Anwendungsbereich der JI-RL und des 3. Teils des DSG NRW, sodass offenbleiben kann, auf welcher Grundlage die (rechtswidrige) Datenverarbeitung durch Weitergabe an Medienvertreter erfolgte. Nach der bezogen auf Behörden gleichlautenden Vorschrift ist „Verantwortlicher“ gemäß Art. 3 Nr. 8 JI-RL, § 36 Nr. 9 DSG NRW die zuständige Behörde, die allein oder gemeinsam mit anderen über die Zwecke und Mittel der Verarbeitung von personenbezogenen Daten entscheidet. „Zuständige Behörde“ wiederum ist nach Art. 3 Nr. 7 JI-RL, § 36 Nr. 8 Buchst. a DSG NRW jede staatliche Stelle, die personenbezogene Daten zum Zwecke der Verhütung, Ermittlung, Aufdeckung oder Verfolgung von Straftaten oder die Strafvollstreckung, einschließlich des Schutzes vor und der Abwehr von Gefahren für die öffentliche Sicherheit oder Ordnung verarbeitet.

In Bezug auf Behörden oder öffentliche Stellen wird sowohl nach der DSGVO als auch nach der JI-RL hinsichtlich des „Verantwortlichen“ auf die Behörde oder staatliche Stelle als solche abgestellt.

Vgl. Schild, in: BeckOK Datenschutzrecht, Wolff/Brink/v.Ungern-Sternberg, 49. Edition, Stand 1. August 2024, Art. 4 Rn. 88.

Das Landgericht U. und die Staatsanwaltschaft U. sind Behörde bzw. staatliche Stelle in diesem Sinne. Als untere Justizbehörden nehmen das Landgericht U. und die Staatsanwaltschaft U. Verwaltungsaufgaben wahr (§ 3 Abs. 2 Gesetz über die Justiz im Land Nordrhein-Westfalen (Justizgesetz Nordrhein-Westfalen – JustG NRW)). Soweit die Gerichte und die Strafverfolgungsbehörden als Organe der Rechtspflege tätig werden, zählen sie zu den öffentlichen Stellen.

Vgl. Eßer, in: Schwartmann/Pabst, Landesdatenschutzgesetz Nordrhein-Westfalen, § 36 Rn. 127.

Die für die Datenverarbeitung beim Landgericht U. und bei der Staatsanwaltschaft U. verantwortliche Stelle ist hiernach das Landgericht U. bzw. die Staatsanwaltschaft U. selbst, entweder, soweit sie Verwaltungsaufgaben wahrnehmen, oder weil sie mit der Bearbeitung der betreffenden Rechtssache befasst sind.

Das schließt die Qualifizierung des „Rechtsträgers des Landgerichts U. bzw. der Staatsanwaltschaft beim Landgericht U.“ – sei es das Ministerium der Justiz des Landes Nordrhein-Westfalen, sei es eine andere übergeordnete staatliche Stelle – als „Verantwortlicher“ für die Datenverarbeitung beim Landgericht U. und bei der Staatsanwaltschaft U. und infolgedessen diesem gegenüber die Verhängung eines Verbots der Datenverarbeitung aus. Weder die DSGVO noch die JI-RL stellen bei der Bestimmung des Verantwortlichen auf eine übergeordnete Behörde ab. Vielmehr entscheiden sowohl das Landgericht U. als auch die Staatsanwaltschaft U. als Behörde bzw. staatliche Stelle eigenständig über die Zwecke und Mittel der Verarbeitung von personenbezogenen Daten in ihrem Geschäftsbereich. Sind sie allein für die Datenverarbeitung in ihrem Bereich verantwortlich, scheidet auch eine vom Kläger aufgeworfene gemeinsame datenschutzrechtliche Verantwortlichkeit mit dem Ministerium der Justiz aus.

Der Hilfsantrag ist ebenfalls unbegründet. Da ein Adressat aufsichtsrechtlicher Maßnahmen nicht genannt wird, legt das Gericht den Hilfsantrag des Klägers dahingehend aus, dass er die Verpflichtung der Beklagten begehrt, gegenüber dem Verantwortlichen geeignete Maßnahmen zu ergreifen, um die Weitergabe personenbezogener Daten des Klägers im Geschäftsbereich des Rechtsträgers des LG U. und/oder der Staatsanwaltschaft beim LG U. geführten Verfahrensakten an Dritte zu unterbinden.

Auch mit dem so verstandenen Antrag dringt der Kläger nicht durch.

Die Weitergabe personenbezogener Daten des Klägers aus diesen betreffenden Verfahrensakten vor Verlesung in der Hauptverhandlung an Medienvertreter dürfte zwar objektiv eine rechtswidrige Datenverarbeitung im Sinne von Art. 4 Nr. 2 DSGVO in Form der Offenlegung durch Übermittlung oder Verbreitung darstellen. Weder hat der Kläger in die Übermittlung oder Verbreitung seiner Daten eingewilligt (Art. 6 Abs. 1 Satz 1 Buchst. a DSGVO), noch ist die Übermittlung oder Verbreitung der Anklageschrift und Teilen der Verfahrensakte an die Presse zur Wahrnehmung der Aufgaben der Justiz erforderlich (Art. 6 Abs. 1 Satz 1 Buchst. c und e DSGVO). Dasselbe gilt, soweit in Umsetzung der JI-RL der Anwendungsbereich des DSG NRW eröffnet sein sollte, und es sich um die Verarbeitung personenbezogener Daten durch das Landgericht U. und die Staatsanwaltschaft U. im Rahmen ihrer Aufgabenwahrnehmung zur Verhütung, Ermittlung, Aufdeckung, Verfolgung und Ahndung von Straftaten oder Ordnungswidrigkeiten und der Strafvollstreckung handelt (§ 35 Abs. 1 Satz 1 Nr. 3 DSG NRW). Gemäß § 37 Nr. 2 DSG NRW müssen personenbezogene Daten für festgelegte, eindeutige und rechtmäßige Zwecke erhoben und nicht in einer mit diesen Zwecken nicht zu vereinbarenden Weise verarbeitet werden. Eine schriftliche Einwilligung (§ 38 DSG NRW) des Klägers in die Verbreitung seiner personenbezogenen Daten an die Presse liegt nicht vor.

Gleichwohl hat der Kläger auf den Erlass aufsichtsrechtlicher Maßnahmen keinen Anspruch, weil der Verantwortliche für die Verletzung des Schutzes seiner personenbezogenen Daten nicht bekannt ist. Es steht nicht fest, ob die rechtswidrige Verbreitung der Anklageschrift und von Teilen der Verfahrensakte im Geschäftsbereich des Landgerichts U. oder im Geschäftsbereich der Staatsanwaltschaft U. oder durch eine andere verantwortliche Stelle oder Person erfolgt ist. Der Präsident des Landgerichts U. gab auf das an ihn gerichtete Auskunftsersuchen der Beklagten nach Art. 58 Abs. 1 Buchst. e DSGVO hin an, dass die Prozessakte oder Teile hiervon Vertretern der Presse weder im Rahmen der Öffentlichkeitsarbeit noch durch die zuständige Kammer zugänglich gemacht worden seien. Die Leitende Oberstaatsanwältin im U. verwies in ihrer Auskunft auf den Bescheid der Generalstaatsanwältin in D. vom 14. Juli 2021, wonach es keine zureichenden tatsächlichen Anhaltspunkte für eine strafbare Informationsweitergabe durch die Staatsanwaltschaft U. gebe.

Eine Wahlfeststellung, wie sie der Kläger ins Spiel bringt, kommt von vorneherein nicht in Betracht. Das Rechtsinstitut der Wahlfeststellung setzt in verfahrensrechtlicher Hinsicht u.a. die Gewissheit der Verwirklichung eines von mehreren Strafgesetzen durch den Beschuldigten voraus.

Vgl. Jens Bülte/​Gerhard Dannecker/​Eric Hilgendorf/​Florian Jeßberger/​Bernd Schünemann/​Jan C. Schuhr/​Tonio Walter/​Thomas Weigend/​Gerhard Werle, in: Leipziger Kommentar zum StGB, 13. Auflage, Anhang zu § 1 Wahlfeststellung, IV Nr. 1.

An der Gewissheit, wer den Datenschutzverstoß begangen hat, fehlt es aber gerade.

Das schließt die Ergreifung von Abhilfemaßnahmen nach Art. 58 Abs. 2 DSGVO durch die Beklagte aus. Lässt sich ein Verantwortlicher für den Datenschutzverstoß nicht feststellen, kann die Beklagte als Aufsichtsbehörde weder auf Abhilfe hinwirken noch kann sie gemäß den in der Datenschutzgrundverordnung vorgesehenen Möglichkeiten eine Maßnahme oder Sanktion erlassen.

Die Beklagte konnte den Verantwortlichen auch nicht ermitteln. Das Absehen von weiteren Aufklärungsmaßnahmen ist nicht zu beanstanden.

Um bewerten zu können, ob eine Datenverarbeitung rechtswidrig ist und ob aufsichtsrechtliche Maßnahmen zu ergreifen sind, muss die Aufsichtsbehörde den Sachverhalt ermitteln und alle zur Ermittlung und Überprüfung des Verstoßes erforderlichen Umstände aufklären. Dazu gehört auch die Klärung, wer den möglichen Datenschutzverstoß begangen hat. Denn wenn der Verantwortliche für die Rechtsverletzung nicht feststeht, kommen Abhilfebefugnisse der Aufsichtsbehörde nach Art. 58 Abs. 2 DSGVO mit dem Ziel, den Verstoß abzustellen, von vornherein nicht in Betracht.

Welcher Untersuchungsumfang im Rahmen des Amtsermittlungsgrundsatzes bei der Bearbeitung einer Beschwerde als "in angemessenen Umfang" anzusehen ist, regelt Art. 57 DSGVO nicht. Aus Erwägungsgrund 141 Satz 2 der DSGVO folgt, dass die Untersuchung vorbehaltlich gerichtlicher Überprüfung so weit gehen soll, wie dies im Einzelfall angemessen ist. Maßstab für den Umfang der Ermittlungen sind danach insbesondere die individuelle Bedeutung der Sache und die Schwere des in Rede stehenden Verstoßes. Insoweit steht der Aufsichtsbehörde ein Ermessen zu.

Bundesfinanzhof (BFH), Urteil vom 12. Dezember 2023 – IX R 33/21 –, juris Rn. 30; BeckOK Datenschutzrecht, Wolff/Brink/v. Ungern-Sternberg, 49. Edition, Stand 01.05.2024, DSGVO Art. 57 Rz 17; Boehm in Kühling/Buchner, DSGVO BDSG, 4. Aufl. 2024, Art. 57 DSGVO Rz 11 f; Körffer in Paal/Pauly, DS-GVO BDSG, 3. Aufl. 2021, Art. 77 DSGVO Rz 5.

Die gerichtliche Prüfung richtet sich demnach nach § 114 Abs. 1 VwGO.

Bei Ermessensentscheidungen hat das Gericht nur zu prüfen, ob die Verwaltung den ihr eingeräumten Ermessensspielraum ausgeschöpft hat, ob sie die nach dem Zweck der Ermessensermächtigung für die Entscheidung relevanten Gesichtspunkte bei ihrer Entscheidung berücksichtigt hat und ob sie die gesetzlichen Grenzen der Ermessensbetätigung überschritten hat. Das Gericht darf die getroffene Entscheidung nur anhand derjenigen Erwägungen überprüfen, die die Behörde tatsächlich angestellt hat, wozu auch in Einklang mit § 114 Satz 2 VwGO nachgeschobene Erwägungen zählen.

Vgl. BVerwG, Urteil vom 11. Mai 2016 - 10 C 8/15 -, juris Rn. 13 m.w.N.

Nach diesem Maßstab sind Ermessensfehler bei der Entscheidung der Beklagten, von weiteren Aufklärungsmaßnahmen abzusehen, nicht erkennbar.


Den Volltext der Entscheidung finden Sie hier:

BAG: Schadensersatzanspruch aus Art. 82 DSGVO bei rechtswidriger heimlicher Überwachung eines Arbeitnehmers durch Detektei zur Bewertung des Gesundheitszustandes

BAG
Urteil vom 25.07.2024
8 AZR 225/23


Da BAG hat entschieden, dass ein Schadensersatzanspruch aus Art. 82 DSGVO bei rechtswidriger heimlicher Überwachung eines Arbeitnehmers durch eine vom Arbeitsgeber beauftragte Detektei zur Bewertung des Gesundheitszustandes des Arbeitnehmers besteht.

Leitsatz des BAG:
Lässt ein Arbeitgeber einen Arbeitnehmer wegen des Verdachts einer vorgetäuschten Arbeitsunfähigkeit durch eine Detektei überwachen und dokumentiert diese dabei den sichtbaren Gesundheitszustand des Arbeitnehmers, handelt es sich um die Verarbeitung von Gesundheitsdaten im Sinne der Datenschutz-Grundverordnung.

Den Volltext der Entscheidung finden Sie hier:

Irische Datenschutzbehörde: Bußgeld in Höhe von 310 Millionen EURO gegen LinkedIn - DSGVO-Verstöße durch Analyse des Nutzerverhaltens und zielgerichtete Werbung

Die Irische Datenschutzbehörde hat ein Bußgeld in Höhe von 310 Millionen EURO gegen LinkedIn wegen DSGVO-Verstößen im Zusammenhang mit der Analyse des Nutzerverhaltens und zielgerichteter Werbung verhängt.

Die Pressemitteilung der Irischen Datenschutzbehörde:
Irish Data Protection Commission fines LinkedIn Ireland €310 million

The Irish Data Protection Commission (DPC) has today announced its final decision following an inquiry into LinkedIn Ireland Unlimited Company (LinkedIn). This inquiry was launched by the DPC, in its role as the lead supervisory authority for LinkedIn, following a complaint initially made to the French Data Protection Authority.

The inquiry examined LinkedIn’s processing of personal data for the purposes of behavioural analysis[1] and targeted advertising[2] of users who have created LinkedIn profiles (members). The decision, which was made by the Commissioners for Data Protection, Dr Des Hogan and Dale Sunderland, and notified to LinkedIn on 22 October 2024, concerns the lawfulness, fairness and transparency of this processing. The decision includes a reprimand, an order for LinkedIn to bring its processing into compliance, and administrative fines totalling €310 million.

The DPC submitted a draft decision to the GDPR cooperation mechanism in July 2024, as required under Article 60 of the GDPR[3]. No objections to the DPC’s draft decision were raised. The DPC is grateful for the cooperation and assistance of its peer EU/EEA supervisory authorities in this case.

The DPC’s final decision records the following findings of infringement of the GDPR:

Article 6 GDPR and Article 5(1)(a) GDPR, insofar as it requires the processing of personal data to be lawful, as LinkedIn:
Did not validly rely on Article 6(1)(a) GDPR (consent) to process third party data of its members for the purpose of behavioural analysis and targeted advertising on the basis that the consent obtained by LinkedIn was not freely given, sufficiently informed or specific, or unambiguous.
Did not validly rely on Article 6(1)(f) GDPR (legitimate interests) for its processing of first party personal data of its members for behavioural analysis and targeted advertising, or third party data for analytics, as LinkedIn’s interests were overridden by the interests and fundamental rights and freedoms of data subjects.
Did not validly rely on Article 6(1)(b) GDPR (contractual necessity) to process first party data of its members for the purpose of behavioural analysis and targeted advertising.
Articles 13(1)(c) and 14(1)(c) GDPR, in respect of the information LinkedIn provided to data subjects regarding its reliance on Article 6(1)(a), Article 6(1)(b) and Article 6(1)(f) GDPR as lawful bases.
Article 5(1)(a) GDPR, the principle of fairness.
DPC Deputy Commissioner Graham Doyle commented:

“The lawfulness of processing is a fundamental aspect of data protection law and the processing of personal data without an appropriate legal basis is a clear and serious violation of a data subject's fundamental right to data protection.”

The DPC will publish the full decision and further related information in due course.

Summary of LinkedIn Decision Infographic

Further information
This decision relates to a complaint-based inquiry, which was commenced on 20 August 2018, following a complaint made by the French non-profit organisation, La Quadrature Du Net. The complaint was initially made to the French Data Protection Authority and thereafter provided to the DPC in its role as the lead supervisory authority for LinkedIn, which acts as the controller for the processing of personal data at issue.

This inquiry examined the lawfulness, fairness and transparency of the processing of the personal data of users of the LinkedIn platform for the purposes of behavioural analysis and targeted advertising. The personal data in question encompassed data provided directly to LinkedIn by its members (first-party data) and data obtained via its third-party partners relating to its members (third-party data).

The GDPR requires processing of personal data to be based on one of the legal bases outlined in Article 6(1) GDPR, such as consent, contractual necessity or legitimate interests. Depending on the lawful basis selected by controllers, certain conditions must to be met. For example, any consent obtained must meet the standard required by the GPDR of being a freely given, specific, informed, and an unambiguous indication of the data subject’s wishes.

The GDPR also requires that processing is carried out in a fair manner. Fairness is an overarching principle, which requires that personal data may not be processed in a way that is detrimental, discriminatory, unexpected or misleading to the data subject. An absence of fairness can result in a loss of autonomy of data subjects over their personal data, put them in a position where they may be unable to exercise other GDPR rights, and impact their fundamental rights to privacy and personal data protection.

Transparency is another crucial aspect of data protection, and gives data subjects control over the processing of their personal data. Compliance with transparency provisions by controllers ensures that data subjects are fully informed of the scope and consequences of the processing of their personal data in advance and in a positon to exercise their rights.

The DPC’s final decision exercised the following corrective powers:

a reprimand pursuant to Article 58(2)(b) GDPR;
three administrative fines totalling €310 million pursuant to Articles 58(2)(i) and 83 GDPR; and
an order to LinkedIn to bring its processing into compliance with the GDPR pursuant to Article 58(2)(d).




EuGH: Eine Entschuldigung kann als angemessener Ersatz eines immateriellen Schadens nach Art. 82 DSGVO ausreichend sein

EuGH
Urteil vom 04.10.2024
C‑507/23


Der EuGH hat entschieden, dass eine Entschuldigung als angemessener Ersatz eines immateriellen Schadens nach Art. 82 DSGVO ausreichend sein kann.

Tenor der Entscheidung:
1. Art. 82 Abs. 1 der Verordnung (EU) 2016/679 des Europäischen Parlaments und des Rates vom 27. April 2016 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten, zum freien Datenverkehr und zur Aufhebung der Richtlinie 95/46/EG (Datenschutz-Grundverordnung) ist in Verbindung mit Art. 8 Abs. 1 der Charta der Grundrechte der Europäischen Union dahin auszulegen, dass ein Verstoß gegen Bestimmungen dieser Verordnung für sich genommen nicht ausreicht, um einen „Schaden“ im Sinne von Art. 82 Abs. 1 DSGVO darzustellen.

2. Art. 82 Abs. 1 der Verordnung 2016/679 ist dahin auszulegen, dass eine Entschuldigung einen angemessenen Ersatz eines immateriellen Schadens auf der Grundlage dieser Bestimmung darstellen kann, insbesondere, wenn es nicht möglich ist, die Lage vor dem Eintritt des Schadens wiederherzustellen, sofern diese Form des Schadenersatzes geeignet ist, den der betroffenen Person entstandenen Schaden in vollem Umfang auszugleichen.

3. Art. 82 Abs. 1 der Verordnung 2016/679 ist dahin auszulegen, dass er der Möglichkeit entgegensteht, die Haltung und die Beweggründe des Verantwortlichen zu berücksichtigen, um der betroffenen Person gegebenenfalls einen Schadenersatz zu gewähren, der geringer ist als der Schaden, der ihr konkret entstanden ist.

Den Volltext der Entscheidung finden Sie hier:

EuGH: Soziales Netzwerk darf personenbezogene Daten nich unbegrenzt für Zwecke der zielgerichteten Werbung aggregieren, analysieren und verarbeiten - Schrems ./. Meta bzw. Facebook

EuGH
Urteil vom 04.10.2024
C-446/21
Maximilian Schrems gegen Meta Platforms Ireland Ltd, vormals Facebook Ireland Ltd
(Mitteilung von Daten an die breite Öffentlichkeit)


Der EuGH hat entschieden, dass ein soziales Netzwerk personenbezogene Daten nich unbegrenzt für Zwecke der zielgerichteten Werbung aggregieren, analysieren und verarbeiten darf.

Tenor der Entscheidung:
1. Art. 5 Abs. 1 Buchst. c der Verordnung (EU) 2016/679 des Europäischen Parlaments und des Rates vom 27. April 2016 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten, zum freien Datenverkehr und zur Aufhebung der Richtlinie 95/46/EG (Datenschutz-Grundverordnung) ist dahin auszulegen, dass der darin festgelegte Grundsatz der „Datenminimierung“ dem entgegensteht, dass sämtliche personenbezogenen Daten, die ein Verantwortlicher wie der Betreiber einer Onlineplattform für ein soziales Netzwerk von der betroffenen Person oder von Dritten erhält und die sowohl auf als auch außerhalb dieser Plattform erhoben wurden, zeitlich unbegrenzt und ohne Unterscheidung nach ihrer Art für Zwecke der zielgerichteten Werbung aggregiert, analysiert und verarbeitet werden.

2. Art. 9 Abs. 2 Buchst. e der Verordnung 2016/679 ist dahin auszulegen, dass der Umstand, dass sich eine Person bei einer öffentlich zugänglichen Podiumsdiskussion zu ihrer sexuellen Orientierung geäußert hat, dem Betreiber einer Onlineplattform für ein soziales Netzwerk nicht gestattet, andere Daten über die sexuelle Orientierung dieser Person zu verarbeiten, die er gegebenenfalls außerhalb dieser Plattform von Anwendungen und Websites dritter Partner im Hinblick darauf erhalten hat, sie zu aggregieren und zu analysieren, um dieser Person personalisierte Werbung anzubieten.

Die Pressemitteilung des EuGH:
Ein soziales Online-Netzwerk wie Facebook darf nicht sämtliche personenbezogenen Daten, die es für Zwecke der zielgerichteten Werbung erhalten hat, zeitlich unbegrenzt und ohne Unterscheidung nach ihrer Art verwenden

Der Umstand, dass Herr Maximilian Schrems bei einer öffentlichen Podiumsdiskussion seine sexuelle Orientierung mitgeteilt hat, gestattet dem Betreiber einer Online-Plattform für ein soziales Netzwerk nicht, andere Daten über die sexuelle Orientierung von Herrn Schrems zu verarbeiten, die er gegebenenfalls außerhalb dieser Plattform im Hinblick darauf erhalten hat, sie zu aggregieren und zu analysieren, um Herrn Schrems personalisierte Werbung anzubieten.

Herr Maximilian Schrems wendet sich vor den österreichischen Gerichten gegen die seiner Ansicht nach rechtswidrige Verarbeitung seiner personenbezogenen Daten durch Meta Platforms Ireland im Rahmen des sozialen Online-Netzwerks Facebook. Dabei geht es u. a. um Daten zu seiner sexuellen Orientierung.

Meta Platforms erhebt personenbezogene Daten der Nutzer von Facebook, darunter Herr Schrems, über deren Tätigkeiten innerhalb und außerhalb dieses sozialen Netzwerks. Dazu gehören u. a. Daten über den Abruf der Online-Plattform sowie von Websites und Anwendungen Dritter. Zu diesem Zweck verwendet Meta Platforms auf den betreffenden Websites eingebaute „Cookies“ , „Social Plugins“ und „Pixel“ .

Meta Platforms kann anhand der ihr zur Verfügung stehenden Daten auch das Interesse von Herrn Schrems an sensiblen Themen wie sexuelle Orientierung erkennen, was es ihr ermöglicht, hierzu zielgerichtete Werbung4 an ihn zu richten. Somit stellt sich die Frage, ob Herr Schrems ihn betreffende sensible personenbezogene Daten dadurch offensichtlich öffentlich gemacht hat, dass er bei einer öffentlichen Podiumsdiskussion die Tatsache, dass er homosexuell sei, mitgeteilt und somit die Verarbeitung dieser Daten gemäß der Datenschutz-Grundverordnung (DSGVO) genehmigt hat.

In diesem Kontext hat der österreichische Oberste Gerichtshof den Gerichtshof um Auslegung der DSGVO ersucht .

Erstens antwortet der Gerichtshof, dass der in der DSGVO festgelegte Grundsatz der „Datenminimierung“ dem entgegensteht, dass sämtliche personenbezogenen Daten, die ein Verantwortlicher wie der Betreiber einer Online-Plattform für ein soziales Netzwerk von der betroffenen Person oder von Dritten erhält und die sowohl auf als auch außerhalb dieser Plattform erhoben wurden, zeitlich unbegrenzt und ohne Unterscheidung nach ihrer Art für Zwecke der zielgerichteten Werbung aggregiert, analysiert und verarbeitet werden.

Zweitens ist es nach Auffassung des Gerichtshofs nicht ausgeschlossen, dass Herr Schrems durch seine Aussage bei der fraglichen Podiumsdiskussion seine sexuelle Orientierung offensichtlich öffentlich gemacht hat. Es ist Sache des österreichischen Obersten Gerichtshofs, dies zu beurteilen.

Der Umstand, dass eine betroffene Person Daten zu ihrer sexuellen Orientierung offensichtlich öffentlich gemacht hat, führt dazu, dass diese Daten unter Einhaltung der Vorschriften der DSGVO verarbeitet werden können. Dieser Umstand allein berechtigt jedoch nicht, andere personenbezogene Daten zu verarbeiten, die sich auf die sexuelle Orientierung dieser Person beziehen.

Somit gestattet der Umstand, dass sich eine Person bei einer öffentlichen Podiumsdiskussion zu ihrer sexuellen Orientierung geäußert hat, dem Betreiber einer Online-Plattform für ein soziales Netzwerk nicht, andere Daten über ihre sexuelle Orientierung zu verarbeiten, die er gegebenenfalls außerhalb dieser Plattform von Anwendungen und Websites dritter Partner im Hinblick darauf erhalten hat, sie zu aggregieren und zu analysieren, um dieser Person personalisierte Werbung anzubieten.


Den Volltext der Entscheidung finden Sie hier:


EuGH: Betroffener einer Datenschutzverletzung hat keinen Anspruch gegen datenschutzrechtliche Aufsichtsbehörde auf Verhängung einer Geldbuße oder sonstiger Abhilfemaßnahmen

EuGH
Urteil vom 26.08.2024
C-768/21
Land Hessen (Handlungspflicht der Datenschutzbehörde)

Der EuGH hat entschieden, dass der Betroffene einer Datenschutzverletzung keinen Anspruch gegen die datenschutzrechtliche Aufsichtsbehörde auf Verhängung einer Geldbuße oder sonstiger Abhilfemaßnahmen hat.

Tenor der Entscheidung:
Art. 57 Abs. 1 Buchst. a und f, Art. 58 Abs. 2 sowie Art. 77 Abs. 1 der Verordnung (EU) 2016/679 des Europäischen Parlaments und des Rates vom 27. April 2016 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten, zum freien Datenverkehr und zur Aufhebung der Richtlinie 95/46/EG (Datenschutz-Grundverordnung)

sind dahin auszulegen, dass

die Aufsichtsbehörde im Fall der Feststellung einer Verletzung des Schutzes personenbezogener Daten nicht verpflichtet ist, nach diesem Art. 58 Abs. 2 eine Abhilfemaßnahme zu ergreifen, insbesondere eine Geldbuße zu verhängen, wenn ein solches Einschreiten nicht geeignet, erforderlich oder verhältnismäßig ist, um der festgestellten Unzulänglichkeit abzuhelfen und die umfassende Einhaltung dieser Verordnung zu gewährleisten.

Die Pressemitteilung des EuGH:
Schutz personenbezogener Daten: Die Aufsichtsbehörde ist nicht verpflichtet, in jedem Fall eines Verstoßes eine Abhilfemaßnahme zu ergreifen und insbesondere eine Geldbuße zu verhängen

Sie kann davon absehen, wenn der Verantwortliche bereits von sich aus die erforderlichen Maßnahmen ergriffen hat

In Deutschland stellte eine Sparkasse fest, dass eine Mitarbeiterin mehrmals unbefugt auf personenbezogene Daten eines Kunden zugegriffen hatte. Die Sparkasse setzte den Kunden hiervon nicht in Kenntnis, da ihr Datenschutzbeauftragter der Ansicht war, dass für diesen Kunden kein hohes Risiko bestehe. Denn die Mitarbeiterin hatte schriftlich bestätigt, dass sie die Daten weder kopiert oder gespeichert noch an Dritte übermittelt habe und dass sie dies auch zukünftig nicht tun werde. Außerdem hatte die Sparkasse gegen die Mitarbeiterin Disziplinarmaßnahmen ergriffen. Gleichwohl meldete die Sparkasse diesen Verstoß dem Landesdatenschutzbeauftragten.

Nachdem der Kunde nebenbei von diesem Vorfall Kenntnis erlangt hatte, reichte er bei dem Landesdatenschutzbeauftragten eine Beschwerde ein. Nach Anhörung der Sparkasse teilte der Landesdatenschutzbeauftragte dem Kunden mit, dass er es nicht für erforderlich halte, gegen die Sparkasse Abhilfemaßnahmen zu ergreifen.

Der Kunde erhob daraufhin Klage bei einem deutschen Gericht und beantragte, den Landesdatenschutzbeauftragten zum Einschreiten gegen die Sparkasse zu verpflichten und insbesondere dazu, gegen die Sparkasse eine Geldbuße zu verhängen.

Das deutsche Gericht hat den Gerichtshof ersucht, die Datenschutz-Grundverordnung (DSGVO) im Hinblick auf diese Fragestellung auszulegen.

In seinem Urteil antwortet der Gerichtshof, dass die Aufsichtsbehörde im Fall der Feststellung einer Verletzung des Schutzes personenbezogener Daten nicht verpflichtet ist, eine Abhilfemaßnahme zu ergreifen , insbesondere eine Geldbuße zu verhängen, wenn dies nicht erforderlich ist, um der festgestellten Unzulänglichkeit abzuhelfen und die umfassende Einhaltung der DSGVO zu gewährleisten. Ein solcher Fall könnte u. a. dann vorliegen, wenn der für die Verarbeitung Verantwortliche, sobald er von der Verletzung Kenntnis erlangt hat, die erforderlichen Maßnahmen ergriffen hat, damit die Verletzung abgestellt wird und sich nicht wiederholt.

Die DSGVO räumt der Aufsichtsbehörde ein Ermessen hinsichtlich der Art und Weise ein, wie sie der festgestellten Unzulänglichkeit abhilft.

Dieses Ermessen wird durch das Erfordernis begrenzt, durch den klar durchsetzbaren Rechtsrahmen der DSGVO ein gleichmäßiges und hohes Schutzniveau für personenbezogene Daten zu gewährleisten.

Es ist Sache des deutschen Gerichts, zu prüfen, ob der Landesdatenschutzbeauftragte diese Grenzen eingehalten hat


Den Volltext der Entscheidung finden Sie hier:

OVG Schleswig-Holstein: Bei YouTube veröffentlichte Dashcam-Aufnahmen müssen vom Uploader verpixelt werden so dass Personen und KfZ-Kennzeichen nicht zu erkennen sind

OVG Schleswig-Holstein
Urteil vom 07.08.2024
8 A 159/20


Das OVG Schleswig-Holstein hat entschieden, dass bei YouTube veröffentlichte Dashcam-Aufnahmen vom Uploader verpixelt werden müssen, so dass Personen und KfZ-Kennzeichen nicht zu erkennen sind.

Aus den Entscheidungsgründen:
Rechtsgrundlage für die Anordnung der Beklagten ist Art. 58 Abs. 2 Buchst. d DS-GVO in Verbindung mit Art. 12, 13 Abs. 1 Buchst. d DS-GVO. Gemäß Art. 58 Abs. 2 Buchst. d DS-GVO verfügt jede Aufsichtsbehörde – und damit auch die Beklagte – über sämtliche Abhilfebefugnisse, die es ihr gestatten, den Verantwortlichen oder den Auftragsverarbeiter anzuweisen, Verarbeitungsvorgänge gegebenenfalls auf bestimmte Weise und innerhalb eines bestimmten Zeitraums in Einklang mit dieser Verordnung zu bringen.

Nach Art. 12 Abs. 1 Satz 1 und 2 DS-GVO trifft der Verantwortliche geeignete Maßnahmen, um der betroffenen Person alle Informationen gemäß den Artikeln 13 und 14 und alle Mitteilungen gemäß den Artikeln 15 bis 22 und Artikel 34, die sich auf die Verarbeitung beziehen, in präziser, transparenter, verständlicher und leicht zugänglicher Form in einer klaren und einfachen Sprache zu übermitteln. Die Übermittlung der Informationen erfolgt schriftlich oder in anderer Form, gegebenenfalls auch elektronisch.

Entgegen der Ansicht des Klägers folgen die ihn treffenden Informationspflichten bei der Erstellung von Videoaufnahmen aus Art. 13 DS-GVO und nicht aus Art. 14 DS-GVO. Insoweit besteht zwischen Art. 13 und 14 DS-GVO im Hinblick auf den Zeitpunkt der Informationspflichten ein wesentlicher Unterschied. Bei Art. 13 DS-GVO sind die nach der Vorschrift erforderlichen Informationen der betroffenen Person zum Zeitpunkt der Erhebung dieser Daten zu erteilen, während bei Art. 14 DS-GVO die Informationen erst innerhalb einer angemessenen Frist nach Erlangung der personenbezogenen Daten, längstens jedoch innerhalb eines Monats erteilt werden müssen (Art. 14 Abs. 3 DS-GVO).

Art. 13 DS-GVO betrifft die Datenerhebung bei der betroffenen Person, während Art. 14 DS-GVO greift, wenn die Daten nicht bei der betroffenen Person erhoben wurden. Unter welchen Voraussetzungen von einer Datenerhebung bei der betroffenen Person auszugehen ist, ist Art. 13 und 14 DS-GVO nicht zu entnehmen.

Die Abgrenzung der Datenerhebung nach Art. 13 DS-GVO von derjenigen nach Art. 14 DS-GVO hat nach Auffassung des erkennenden Einzelrichters nach objektiven Kriterien zu erfolgen, insbesondere anhand des Ortes der Datenerhebung (vgl. Schmidt-Wudy in: BeckOK Datenschutzrecht, 48. Ed., Stand: 1. Mai 2024, Art. 14 Rn. 30) oder der Mitwirkung der betroffenen Person. Einer Abgrenzung nach subjektiven Kriterien, insbesondere der Kenntnis der betroffenen Person von der Datenerhebung (vgl. dazu Franck in: Gola/Heckmann, DS-GVO - BDSG, 3. Aufl. 2022, Art. 13 Rn. 4) stehen einerseits Abgrenzungsschwierigkeiten entgegen und der Umstand, dass der Verantwortliche anderenfalls durch offene oder verdeckte Datenerhebung wählen könnte, ob Art. 13 oder 14 DS-GVO eingreift. Letzteres wiederum hätte zur Folge, dass sich der Verantwortliche den Informationspflichten letztendlich vollständig durch verdeckte Datenerhebungen entziehen könnte, weil die betroffenen Personen dem Verarbeitenden oftmals unbekannt sind mit der Folge, dass Informationen im Nachhinein aus tatsächlichen Gründen nicht mehr erteilt werden können und der Ausschlusstatbestand des Art. 14 Abs. 5 Buchst. b DS-GVO griffe (Bäcker in: Kühling/Buchner, DS-GVO BDSG, 4. Aufl. 2024, Art. 13 Rn. 13 f.). Dies ist mit dem in Erwägungsgrund 6 DS-GVO normierten Ziel der Gewährleistung eines hohen Datenschutzniveaus trotz Zunahme des Datenaustausches nicht zu vereinbaren.

Vor diesem Hintergrund sind Videoaufzeichnungen unabhängig von der Frage, ob es sich um offene (mit Hinweisschild oder ähnlichem Hinweis) oder verdeckte Aufzeichnungen handelt, als Datenerhebung bei der betroffenen Person nach Art. 13 DS-GVO anzusehen (vgl. Bäcker in: Kühling/Buchner, DS-GVO BDSG, 4. Aufl. 2024, Art. 13 Rn. 15; a. A. Paal/Hennemann in: Paal/Pauly, DS-GVO BDSG, 3. Aufl. 2021, Art. 13 Rn. 11b; Schmidt-Wudy in: BeckOK Datenschutzrecht, 48. Ed., Stand: 1. Mai 2024, Art. 14 DS-GVO Rn. 31.2).

Die Differenzierung nach offenen und verdeckten Videoaufzeichnungen hätte auch hier zur Folge, dass der Verantwortliche im Ergebnis selbst wählen könnte, ob Art. 13 oder 14 DS-GVO einschlägig ist, indem er die Videoaufzeichnung entweder offen oder verdeckt ausführt. Dies hätte wiederum zur Folge, dass bei verdeckten Videoaufzeichnungen letztendlich oft keine Informationspflichten eingehalten werden müssten, weil die aufgezeichneten Personen dem Verantwortlichen unbekannt sind und deshalb der Ausschlusstatbestand des Art. 14 Abs. 5 Buchst. b DS-GVO greift (vgl. Bäcker in: Kühling/Buchner, DS-GVO BDSG, 4. Aufl. 2024, Art. 13 Rn. 13 f.).

Bezogen auf das streitgegenständliche Filmen mittels einer auf das Autodach montierten Kamera hätte die Abgrenzung nach dem subjektiven Merkmal der Kenntnis zudem Abgrenzungsprobleme in der Form zur Folge, dass der Kläger jeweils prüfen müsste, ob die Person die Kamera gesehen und damit Kenntnis von den Videoaufzeichnungen hat. In diesem Fall griffe dann Art. 13 DS-GVO. Im anderen Fall, in dem die betroffene Person die Kamera nicht gesehen hat, griffe Art. 14 DS-GVO ein und der Kläger müsste die darin normierten nachträglichen Informationspflichten erfüllen. Dazu müsste der Kläger bei jeder gefilmten Person prüfen, ob diese die Kamera gesehen beziehungsweise auf irgend eine Art davon Kenntnis erlangt hat. Bei allen anderen Personen müsste er prüfen, ob er die Informationen nachträglich erteilen kann oder der Ausschlusstatbestand des Art. 14 Abs. 5 Buchst. b DS-GVO greift. Diese Vorgehensweise erscheint nicht praxistauglich.

Der Kläger ist ausgehend von diesen Maßstäben nach Art. 13 Abs. 1 Buchst. d DS-GVO verpflichtet, der betroffenen Person zum Zeitpunkt der Datenerhebung die berechtigten Interessen mitzuteilen, die von dem Verantwortlichen oder einem Dritten verfolgt werden, wenn die Verarbeitung auf Art. 6 Abs. 1 Buchst. f DS-GVO beruht.

Der Kläger hat sich vorliegend insbesondere auf seine Kunstfreiheit und seine Berufsfreiheit und damit auf berechtigte Interessen im Sinne des Art. 6 Abs. 1 Buchst. f DS-GVO berufen.

Nach Art. 12 Abs. 1 Satz 2 DS-GVO erfolgt die Übermittlung der Informationen schriftlich oder in anderer Form, gegebenenfalls auch elektronisch. Jedenfalls über seine berechtigten Interessen im Sinne des Art. 6 Abs. 1 Buchst. f DS-GVO kann der Kläger auch in der von ihm gewählten Form informieren, dass sich auf dem Kraftfahrzeug ein Hinweis auf seine Website befindet, auf der dann wiederum die erforderlichen Informationen nachzulesen sind. Insoweit ist ein Medienbruch zulässig (vgl. Bäcker in: Kühling/Buchner, DS-GVO BDSG, 4. Aufl. 2024, Art. 12 Rn. 16). Gewisse Verarbeitungssituationen lassen es schlichtweg nicht zu, sämtliche Transparenzinformationen unmittelbar zur Verfügung zu stellen (vgl. Franck in: Gola/Heckmann, DS-GVO – BDSH, 3. Aufl. 2022, Art. 13 DS-GVO Rn. 43).

So ist auch hier zu berücksichtigen, dass beim Vorbeifahren eines Kraftfahrzeuges nur in begrenztem Umfang auf dem Kraftfahrzeug angebrachte Informationen von den betroffenen Personen wahrgenommen werden können und diese deshalb auf die essentiellen Informationen beschränkt werden müssen. Dazu zählen die berechtigten Interessen im Sinne des Art. 6 Abs. 1 Buchst. f DS-GVO nicht. Hier ist es ausreichend, wenn die betroffenen Personen die Informationen auf Sekundärebene über eine Website abrufen können.

Vor diesem Hintergrund ist auch Ziffer 4 des Bescheides der Beklagten vom 19. Oktober 2020 rechtswidrig und verletzt den Kläger in seinen Rechten, soweit sich die Nachweispflicht mittels eines Fotos auf die Pflicht bezieht, bei der Anfertigung von personenbezogenen Filmaufnahmen sichtbar darauf hinzuweisen, welche berechtigten Interessen im Sinne des Art. 6 Abs. 1 Buchst. f DS-GVO durch die Anfertigung der Filmaufnahmen verfolgt werden.

Im Übrigen sind Ziffer 3 und 4 des Bescheides der Beklagten vom 19. Oktober 2020 rechtmäßig und verletzen den Kläger nicht in seinen Rechten.

Die für die betroffenen Personen essentiellen Informationen nach Art. 13 Abs. 1 DS-GVO müssen ohne Medienbruch bei der Verarbeitung mitgeteilt werden (vgl. Franck in: Gola/Heckmann, DS-GVO – BDSH, 3. Aufl. 2022, Art. 13 DS-GVO Rn. 43). Dazu zählen jedenfalls die von der Beklagten angenommenen Hinweise darauf, dass Filmaufnahmen für den Zweck der Veröffentlichung im Internet erstellt werden (Art. 12 Abs. 1 Buchst. c DS-GVO), wer Verantwortlicher der Verarbeitung ist sowie dessen Kontaktdaten (Art. 12 Abs. 1 Buchst. a DS-GVO).

Diese überschaubare Anzahl an Daten kann bei gefilmten Personen bei einem Hinweis auf dem Kraftfahrzeug des Klägers noch wahrgenommen werden. Gleichzeitig ist die Information über diese Daten für die Wahrung der Rechte der betroffenen Personen notwendig, damit auch Personen mit wenig Medienkompetenz hinreichend informiert sind und ihre Rechte möglichst umfassend ausüben können.

Ziffer 4 des streitgegenständlichen Bescheides ist hinsichtlich der nicht zu beanstandenden Informationspflichten nach Ziffer 3 des Bescheides ebenfalls nicht zu beanstanden. Rechtsgrundlage ist Art. 58 Abs. 1 Buchst. a DS-GVO. Danach verfügt Jede Aufsichtsbehörde über sämtliche Untersuchungsbefugnisse, die es ihr gestatten, unter anderem den Verantwortliche anzuweisen, alle Informationen bereitzustellen, die für die Erfüllung ihrer Aufgaben erforderlich sind.

Das von der Beklagten geforderte Foto ist notwendig, um überprüfen zu können, ob der Kläger die von der Beklagten geforderten Informationspflichten nach Art. 13 DS-GVO beachtet. Dazu ist die Beklagte nach Art. 57 Abs. 1 Buchst. a DS-GVO verpflichtet. Ermessensfehler sind insoweit weder vorgetragen noch ersichtlich. An der Verhältnismäßigkeit bestehen keine Zweifel.

Im Übrigen ist der Bescheid der Beklagten vom 19. Oktober 2020 rechtmäßig und verletzt den Kläger nicht in seinen Rechten.

Zunächst leidet der Bescheid nicht an fehlender Bestimmtheit. Gemäß § 37 Abs. 1 VwVfG muss ein Verwaltungsakt inhaltlich hinreichend bestimmt sein. Das bedeutet zum einen, dass der Adressat in die Lage versetzt werden muss, zu erkennen, was von ihm gefordert wird. Zum anderen muss der Verwaltungsakt geeignete Grundlage für Maßnahmen zu seiner zwangsweisen Durchsetzung sein können. Im Einzelnen richten sich die Anforderungen an die notwendige Bestimmtheit eines Verwaltungsakts nach den Besonderheiten des jeweils anzuwendenden und mit dem Verwaltungsakt umzusetzenden materiellen Rechts (BVerwG, Urt. v. 15. Februar 1990 – 4 C 41.87 – juris Rn. 29).

Der Regelungsgehalt eines Verwaltungsakts ist entsprechend §§ 133, 157 BGB durch Auslegung zu ermitteln. Dabei ist der erklärte Wille maßgebend, wie ihn der Empfänger bei objektiver Würdigung verstehen konnte. Bei der Ermittlung dieses objektiven Erklärungswertes sind alle dem Empfänger bekannten oder erkennbaren Umstände heranzuziehen, insbesondere auch die Begründung des Verwaltungsakts. Die Begründung hat einen unmittelbaren Zusammenhang mit dem Regelungsgehalt. Sie ist die Erläuterung der Behörde, warum sie den verfügenden Teil ihres Verwaltungsakts so und nicht anders erlassen hat. Die Begründung bestimmt damit den Inhalt der getroffenen Regelung mit, sodass sie in aller Regel unverzichtbares Auslegungskriterium ist (BVerwG, Urt. v. 16. Oktober 2013 – 8 C 21.12 – juris Rn. 14).

Gemessen an diesen Maßstäben ist der Bescheid hinreichend bestimmt. Für den Kläger ist unter Berücksichtigung von Tenor und Begründung des Bescheides hinreichend klar, unter welchen Voraussetzungen die Aufnahmen so verändert werden müssen, dass Personen, nicht mehr anhand ihrer äußerlichen Erscheinung identifiziert werden können (Ziffer 1 und 2 des Bescheides) und was für ein Foto er einreichen soll (Ziffer 4 des Bescheides).

Dies ist bei Auslegung des Bescheides aus dem objektiven Empfängerhorizont immer dann der Fall, wenn aufgrund besonderer Umstände des Straßenverkehrs nicht mehr die Straße und die sie umgebende Landschaft die Aufnahme prägt. In den vom Kläger bislang veröffentlichten Aufnahmen prägt – im fließenden Verkehr – ganz überwiegend die Straße und die sie umgebende Straßenlandschaft das Bild. Gelegentlich passiert der Kläger dabei Personen, die jedoch im Hintergrund bleiben und kaum zu erkennen sind.

Anders verhält es sich unterdessen, wenn Personen aufgrund der äußeren Umstände der Verkehrssituation dicht an die auf dem Fahrzeugdach montierte Kamera herantreten, insbesondere an Ampeln, bei Verkehrsüberwegen und an Kreuzungen. In diesem Fall gerät die Person – angesichts der geringen Geschwindigkeit eines Fußgängers, Fahrradfahrers etc. über einen längeren Zeitraum – in den Fokus der Aufnahme mit der Folge, dass die Straße und die Straßenlandschaft verdeckt wird und in den Hintergrund gerät.

Zugegebenermaßen verbleiben dabei Abgrenzungsschwierigkeiten, weil nicht anhand fester Kriterien vom Kläger oder einem eingesetzten Algorithmus festgestellt werden kann, wie lange etwa eine Person aufgezeichnet werden muss, welchen Anteil sie vom Bildausschnitt ausfüllen muss beziehungsweise ab welcher Entfernung zur Kamera eine Anonymisierung zu erfolgen hat. Derartige feste Kriterien sind jedoch für die Abgrenzung nicht geeignet, weil anhand festgelegter Werte die Umstände der jeweils gegebenen konkreten Situation der Aufnahme nicht hinreichend gewürdigt werden können. Verbleibende Abgrenzungsschwierigkeiten sind in Kauf zu nehmen.

Dies vorangestellt hat die Beklagte zu Recht die Abgrenzungskriterien der sogenannten Beiwerk-Rechtsprechung zu § 23 Abs. 1 Nr. 2 KUG entsprechend herangezogen.

Nach dieser Vorschrift dürfen ohne die nach § 22 KUG erforderliche Einwilligung verbreitet und zur Schau gestellt werden Bilder, auf denen die Personen nur als Beiwerk neben einer Landschaft oder sonstigen Örtlichkeit erscheinen. Auch hier ist die Abgrenzung zwischen Haupt- und Beiwerk schwierig.

Die Vorschrift stellt in erster Linie auf das Verhältnis des Abgebildeten zu der übrigen Aussage des Bildes, auf seinen Stellenwert im Gesamteindruck des Bildes, nicht auf den Grad seiner Erkennbarkeit ab. Von einem Beiwerk in diesem Sinn kann grundsätzlich dann keine Rede sein, wenn die Person das Bild fast ganz ausfüllt (BGH, Urt. v. 26. Juni 1979 – VI ZR 108/78 – juris Rn. 18). Maßgeblich ist, ob entsprechend dem Gesamteindruck der Veröffentlichung die Landschaft oder die sonstige Örtlichkeit Abbildungsgegenstand ist und die einzelnen Abgebildeten nur "bei Gelegenheit" erscheinen oder ob einzelne aus der Anonymität herausgelöst werden (LG Oldenburg, Beschl. v. 23. uar 1986 – 5 O 3667/85GRUR 1986, 464, 465). Voraussetzung hierfür ist, dass nach dem Gesamteindruck der Veröffentlichung die Landschaft der den Gesamtcharakter des Bildes prägende Abbildungsgegenstand ist und die auf dem Bild erkennbaren Personen derart untergeordnetes Beiwerk darstellen, dass sie auch entfallen könnten, ohne dass Inhalt und Charakter des Bildes sich veränderten (OLG Oldenburg (Oldenburg), Urt. v. 14. November 1988 – 13 U 72/88 – juris Rn. 28). Die Personenabbildung muss derart untergeordnet sein, dass sie auch entfallen könnte, ohne dass Gegenstand und Charakter des Bildes sich verändern. Wesentlich ist damit, dass die Personendarstellung untergeordnet und nicht selbst Thema des Bildes ist (OLG Karlsruhe, Urt. v. 18. August 1989 – 14 U 105/88 – juris Rn. 27). Der Stellenwert der Personen entsprechend dem Gesamteindruck des Bildes muss gegenüber dem Stellenwert der Landschaft erheblich niedriger sein (OLG München, Urt. v. 13. November 1987 – 21 U 2979/87 – juris Rn. 31).

Ausgehend von dieser Rechtsprechung hat die Beklagte zu Recht für maßgeblich im Hinblick auf die Pflicht zur Anonymisierung darauf abgestellt, ob sich eine Person nach dem Gesamteindruck im Vordergrund des Bildausschnitts befindet.

In Bezug auf die in Ziffer 4 des Bescheides angeordnete Verpflichtung, durch Übersendung eines Fotos die Erfüllung der Informationspflichten nach Ziffer 3 des Bescheides nachzuweisen, bestehen im Hinblick auf den Bestimmtheitsgrundsatz keine Bedenken. Es ist ohne weiteres verständlich, dass ein Foto des klägerischen Kraftfahrzeuges mit den nach Ziffer 3 des Bescheides geforderten Informationen einzureichen ist.

Rechtsgrundlage für Ziffer 1 und 2 des streitgegenständlichen Bescheides ist Art. 58 Abs. 2 Buchst. f DS-GVO. Danach verfügt jede Aufsichtsbehörde über Abhilfebefugnisse, die es ihr gestatten, eine vorübergehende oder endgültige Beschränkung der Verarbeitung, einschließlich eines Verbots, zu verhängen.

Tatbestandsvoraussetzung für die Abhilfemaßnahmen des Art. 58 Abs. 2 DS-GVO ist das Vorliegen eines Verstoßes gegen die DS-GVO. Ein solcher Verstoß liegt insbesondere dann vor, wenn Daten ohne entsprechende Rechtsgrundlage verarbeitet werden. Dies war vorliegend der Fall.

Das Veröffentlichen von Aufnahmen, bei denen Personen, soweit sie sich nach dem Gesamteindruck im Vordergrund des Bildausschnitts befinden und Kraftfahrzeug-Kennzeichen gelesen werden können, stellt eine rechtswidrige Datenverarbeitung dar.

Bei der Veröffentlichung von Filmen, auf denen betroffene Personen zu erkennen sind, handelt es sich um personenbezogene Daten. Dazu zählen nach Art. 4 Nr. 1 Hs. 1 DS-GVO alle Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person beziehen. Als identifizierbar wird nach Art. 4 Nr. 1 Hs. 2 DS-GVO eine natürliche Person angesehen, die direkt oder indirekt, insbesondere mittels Zuordnung zu einer Kennung wie einem Namen, zu einer Kennnummer, zu Standortdaten, zu einer Online-Kennung oder zu einem oder mehreren besonderen Merkmalen, die Ausdruck der physischen, physiologischen, genetischen, psychischen, wirtschaftlichen, kulturellen oder sozialen Identität dieser natürlichen Person sind, identifiziert werden kann.

Das von einer Kamera aufgezeichnete Bild einer Person fällt daher unter den Begriff der personenbezogenen Daten, sofern es die Identifikation der betroffenen Person ermöglicht (vgl. EuGH, Urt. v. 11. Dezember 2014 – C-212/13 – juris Rn. 22). Dies ist jedenfalls für Personen anzunehmen, die sich nach dem Gesamteindruck im Vordergrund des Bildausschnitts befinden. Anhand ihrer äußeren Erscheinung können sie zumindest über Fotos sowie durch Personen, denen die äußere Erscheinung bekannt ist, identifiziert werden.

Auch Kraftfahrzeug-Kennzeichen stellen personenbezogene Daten dar, weil sie einem Halter und gegebenenfalls auch einem Fahrer zurechenbar sind (vgl. Schild in: BeckOK Datenschutzrecht, 48. Ed., Stand: 1. Mai 2024, Art. 4 DS-GVO Rn. 21). Daran ändert auch der Umstand nichts, dass Halterabfragen beim Kraftfahrt Bundesamt nur unter bestimmten Voraussetzungen zulässig sind.

Dies gilt uneingeschränkt für alle Kennzeichen, unabhängig davon, ob das Fahrzeug auf eine natürliche oder juristische Person zugelassen ist, weil die Kennzeichen auch bei auf juristische Personen zugelassenen Kraftfahrzeugen Rückschlüsse auf die Fahrer vermitteln können. Die DS-GVO findet nach Erwägungsgrund 14 auf juristische Personen keine Anwendung. Die hinter der juristischen Person stehenden natürliche Personen sind jedoch geschützt, wenn sich die Daten der juristischen Person auch auf sie beziehen (vgl. Gola in: Gola/Heckmann, DS-GVO - BDSG, 3. Aufl. 2022, Art. 4 Rn. 28). Jedenfalls Mitarbeiter oder anderweitig informierte Personen können ein Kraftfahrzeug einer juristischen Person über das Kennzeichen einer natürlichen Person als Fahrer zuordnen. So könnte etwa festgestellt werden, dass der Fahrer eines Fahrzeugs seines Arbeitsgebers (juristische Person) bei einer Dienstfahrt von der vorgegebenen Route abgewichen und in seiner Dienstzeit einer privaten Tätigkeit nachgegangen ist.

Im Einzelfall mag bei auf juristische Personen zugelassenen Fahrzeugen eine Identifizierung des Fahrers selbst unter Auswertung sämtlicher Datenquellen nicht möglich sein. Unter dem Aspekt einer praxistauglichen datenschutzrechtlichen Verfügung ist es jedoch nicht zu beanstanden, dass die Beklagte in Ziffer 1 und 2 des streitgegenständlichen Bescheides diese Fälle nicht vom Anwendungsbereich ihrer Anordnung ausgenommen hat. Es ist in tatsächlicher Hinsicht nicht möglich, zu erkennen, ob ein Kraftfahrzeug auf eine juristische oder eine natürliche Person zugelassen und deshalb dem Anwendungsbereich der DS-GVO unterfällt oder nicht. Dies ließe sich allenfalls durch eine Halterauskunft ermitteln. Auch Werbeaufschriften oder Ähnliches auf Fahrzeugen lassen keinen sicheren Schluss auf den Halter des Fahrzeugs zu, weil jeder Halter beziehungsweise Eigentümer eines Kraftfahrzeuges grundsätzlich frei über die äußere Gestaltung seines Fahrzeugs entscheiden kann. Zudem kann der Verantwortliche nicht erkennen, ob über das Kennzeichen etwa mittels eines Fahrtenbuches möglicherweise Rückschlüsse auf den Fahrer als natürliche Person gezogen werden können.

Das von dem Bescheid der Beklagten erfasste Veröffentlichen der Filme auf der Website Youtube stellt eine Datenverarbeitung dar. Nach Art. 4 Nr. 2 DS-GVO bezeichnet „Verarbeitung“ jeden mit oder ohne Hilfe automatisierter Verfahren ausgeführten Vorgang oder jede solche Vorgangsreihe im Zusammenhang mit personenbezogenen Daten wie unter anderem die Speicherung und die Offenlegung durch Verbreitung.

Die Datenverarbeitung ist nach Art. 6 Abs. 1 DS-GVO nur rechtmäßig, wenn mindestens eine der unter den Buchst. a bis f aufgeführten Bedingungen erfüllt ist.

Insbesondere eine Einwilligung der gefilmten Personen liegt nicht vor. Nach Art. 6 Abs. 1 Buchst. f DS-GVO ist die Datenverarbeitung rechtmäßig, wenn die Verarbeitung zur Wahrung der berechtigten Interessen des Verantwortlichen oder eines Dritten erforderlich ist, sofern nicht die Interessen oder Grundrechte und Grundfreiheiten der betroffenen Person, die den Schutz personenbezogener Daten erfordern, überwiegen, insbesondere dann, wenn es sich bei der betroffenen Person um ein Kind handelt.

Das Filmen und die Veröffentlichung der Aufnahmen ohne Anonymisierung ist zunächst als Betätigung der von Art. 13 GRCh geschützten Kunstfreiheit, der von Art. 15 Abs. 1 GRCh geschützten Berufsfreiheit und der von Art. 16 GRCh geschützten Unternehmerischen Freiheit einzuordnen und stellt damit ein berechtigtes Interesse dar.

Die Verarbeitung ist zur Wahrung der berechtigten Interessen des Verantwortlichen auch erforderlich. Dieses Tatbestandsmerkmal ist erfüllt, wenn kein anderes, gleich effektives Mittel ersichtlich ist (VG Ansbach, Urt. v. 23. Februar 2022 – AN 14 K 20.00083 – juris Rn. 40). Die Anonymisierung stellt kein gleich effektives Mittel dar, weil sie den Kläger in seiner Kunstfreiheit, Berufsfreiheit und der Unternehmerischen Freiheit beeinträchtigt.

Die Beklagte ist jedoch zu Recht davon ausgegangen, dass die Abwägung hier zu Lasten des Klägers ausfällt.

Abzuwiegen sind hier die berechtigten Interessen des Klägers als Verantwortlichen einerseits und die Interessen oder Grundrechte und Grundfreiheiten der betroffenen Person, die den Schutz personenbezogener Daten erfordern, andererseits. Erfasst – wie hier – derselbe Sachverhalt eine Vielzahl von betroffenen Personen, erfolgt die Abwägung anhand einer summarischen Prüfung der Belange der betroffenen Personen unter Zugrundelegung von Erfahrungswerten (Schulz in: Gola/Heckmann, DS-GVO – BDSG, 3. Aufl. 2022, Art. 6 Rn. 63).

Maßgeblich ist insoweit insbesondere die Eingriffsintensität, die Art der betroffenen Personen, die Zwecke der Datenverarbeitung sowie die Sphäre, in die eingegriffen wird (vgl. Schulz in: Gola/Heckmann, DS-GVO – BDSG, 3. Aufl. 2022, Art. 6 Rn. 63).

Die gefilmten Personen sind in ihrem Grundrecht auf informationelle Selbstbestimmung sowie des Rechts am eigenen Bild als Teil des allgemeinen Persönlichkeitsrechts aus Art. 1 Abs. 1 in Verbindung mit Art. 2 Abs. 1 GG berührt und zwar in erheblicher Weise.

Zunächst handelt es sich angesichts der Vielzahl an veröffentlichten Videos um eine erhebliche Vielzahl an betroffenen Personen, auch wenn je Video abhängig von der gefilmten Straßenlandschaft teilweise nur vereinzelt Personen in den Vordergrund des Bildausschnitts geraten. Die zufällig gefilmten Personen können sich dem Filmen zudem kaum beziehungsweise nur dann entziehen, wenn sie die Kamera bemerkt haben. Dies ist gerade bei größeren Kreuzungen oder unübersichtlicheren Verkehrssituationen oder wenn die gefilmten Personen durch Gespräche, Telefonate etc. abgelenkt sind nicht unbedingt der Fall.

Eingriffsmindernd ist auf der anderen Seite zu berücksichtigen, dass die Personen lediglich in ihrer Sozialsphäre betroffen sind. Die belastenden Auswirkungen der Verarbeitung auf die betroffenen Personen stellen sich zudem nach allgemeiner Lebenserfahrung und mangels entgegenstehender Anhaltspunkte als eher gering dar.

Dennoch überwiegen diese Interessen der betroffenen Personen die berechtigten Interessen des Klägers. Die Verpflichtung des Klägers, die veröffentlichten Filmaufnahmen aus dem öffentlichen Straßenverkehr so zu verändern, dass Personen, soweit sie sich nach dem Gesamteindruck im Vordergrund des Bildausschnitts befinden, nicht mehr anhand ihrer äußerlichen Erscheinung identifiziert werden können und Kraftfahrzeug-Kennzeichen nicht gelesen werden können, stellt nach Auffassung des erkennenden Einzelrichters einen Eingriff von geringer Intensität dar. Betroffen sind zunächst nur besondere Situationen, in denen Personen – anders als im fließenden Verkehr – in den Vordergrund geraten. Der ganz überwiegende Anteil der Aufnahmen ist nicht von der Pflicht zur Anonymisierung betroffen. Unter Würdigung der Gesamtumstände werden die vom Kläger erstellten und veröffentlichten Aufnahmen von Straßenlandschaften in ihrer Darstellung und Wirkung durch die Anonymisierung der Personen, die sich nach dem Gesamteindruck im Vordergrund des Bildausschnitts befinden, lediglich geringfügig beeinträchtigt, weil sich der Eindruck der Straßenlandschaft durch die Anonymisierung kaum verändert. Die abgebildete Person ist lediglich nicht mehr zu erkennen.

Erwägungsgrund 47 Satz 4 DS-GVO sieht zudem vor, dass insbesondere dann, wenn personenbezogene Daten in Situationen verarbeitet werden, in denen eine betroffene Person vernünftigerweise nicht mit einer weiteren Verarbeitung rechnen muss, die Interessen und Grundrechte der betroffenen Person das Interesse des Verantwortlichen überwiegen könnten.

Im öffentlichen Straßenverkehr können betroffene Personen grundsätzlich davon ausgehen, dass sie nicht gefilmt werden. Da vorliegend nichts dafür spricht, von diesem Grundsatz abzuweichen, führt auch dies zu einem Überwiegen der Interessen der betroffenen Personen.

Diese Wertung muss erst Recht für Kraftfahrzeug-Kennzeichen gelten. Es mag für den Kläger zusätzlichen Aufwand bedeuten, die Kennzeichen etwa durch eine Verpixelung zu anonymisieren. Im Übrigen werden die Aufnahmen der Straßenlandschaften durch die Anonymisierung der Kennzeichen jedoch nur sehr geringfügig verändert, so dass das Grundrecht auf informationelle Selbstbestimmung sowie das Recht am eigenen Bild als Teil des allgemeinen Persönlichkeitsrechts aus Art. 1 Abs. 1 in Verbindung mit Art. 2 Abs. 1 GG der Halter beziehungsweise Fahrer der gefilmten Kraftfahrzeuge überwiegt.

Rechtsfolge von Art. 58 Abs. 2 Buchst. f DS-GVO ist, dass der Aufsichtsbehörde bezüglich der Wahl der konkreten Abhilfemaßnahme ein Ermessen zusteht (vgl. dazu Erwägungsgrund 129 DS-GVO), welches gerichtlich nur eingeschränkt überprüfbar ist, § 114 VwGO. Vorliegend sind Ermessensfehler nicht ersichtlich. Die Beklage hat ihr Ermessen ausgeübt, indem sie unter den verschiedenen Möglichkeiten die aus ihrer Sicht am wenigsten einschränkende, lediglich punktuelle Veränderung der Aufnahmen angeordnet hat (vgl. S. 8 des Bescheides).

Den Volltext der Entscheidung finden SIe hier:

OLG München: Weiterleitung geschäftlicher E-Mails an privaten E-Mail-Account verstößt gegen DSGVO und kann außerordentliche Kündigung rechtfertigen

OLG München
Urteil vom 31.07.2024
7 U 351/23 e


Das OLG München hat entschieden, dass die Weiterleitung geschäftlicher E-Mails an einen privaten E-Mail-Account gegen die DSGVO verstößt und eine außerordentliche Kündigung rechtfertigen kann.

Aus den Entscheidungsgründen:
2. Die Weiterleitung der streitgegenständlichen Emails auf den privaten Account des Klägers ist auch ein wichtiger Grund iSd § 626 Abs. 1 BGB.

Gemäß § 626 Abs. 1 BGB kann das Dienstverhältnis aus wichtigem Grund ohne Einhaltung einer Kündigungsfrist gekündigt werden, wenn Tatsachen vorliegen, aufgrund derer dem Kündigenden unter Berücksichtigung aller Umstände des Einzelfalls und unter Abwägung der Interessen beider Vertragsteile die Fortsetzung des Dienstverhältnisses bis zum Ablauf der Kündigungsfrist oder bis zu der vereinbarten Beendigung des Dienstverhältnisses nicht zugemutet werden kann.

a. Dafür ist zunächst zu prüfen, ob der Sachverhalt ohne seine besonderen Umstände „an sich“, d. h. typischerweise als wichtiger Grund geeignet ist (vgl. BGH, Urteil vom 29.01.2001 – II ZR 360/99, Rdnr. 9 zum Vorstand einer Genossenschaft, BGH, Urteil vom 02.06.1997 – II ZR 101 /96, Rdnr. 6 zum Geschäftsführer einer GmbH, zu Arbeitnehmern vgl. auch BAG, Urteil vom 19.04.2012 – 2 AZR 186/11, Rdnr. 20, Weidenkaff in Grüneberg, BGB, 83. Auflage, München 2024, Rdnr. 38 zu § 626 BGB). Als wichtiger Grund ist nach der höchstrichterlichen Rechtsprechung dabei neben der Verletzung vertraglicher Hauptpflichten auch die schuldhafte Verletzung von Nebenpflichten „an sich“ geeignet (vgl. BAG, Urteil vom 08.05.2014 – 2 AZR 249/13, Rdnr. 19).

aa. Zur Begründung eines wichtigen Grundes „an sich“ kann im vorliegenden Fall jedoch nicht auf § 10 Abs. 1 DV abgestellt werden.

Nach § 10 Abs. 1 UA 1 DV ist der Vorstand verpflichtet, „alle betrieblichen Angelegenheiten und Geschäfts- und Betriebsgeheimnisse“, die ihm während seiner Tätigkeit bekannt wurden, vertraulich zu behandeln. Insbesondere ist er verpflichtet, „vertrauliche Informationen dieser Art“ streng geheim zu halten, sie nicht zu verbreiten oder zu kommunizieren und sie auch nicht zu verwerten. Bei der Auslegung des § 10 Abs. 1 DV ist zu beachten, dass mit dieser Regelung der Umfang der Verschwiegenheitsverpflichtung des Vorstands bestimmt werden soll.

Die Verschwiegenheitsverpflichtung des Vorstands wird in § 93 Abs. 1 S. 3 AktG geregelt, der stipuliert, dass Vorstandsmitglieder über vertrauliche Angaben und Geheimnisse der Gesellschaft, namentlich Betriebs- und Geschäftsgeheimnisse Stillschweigen zu bewahren haben. Da diese Vorschrift zwingendes Recht ist, kann sie nicht ausgeschlossen oder eingeschränkt werden. Die in § 93 Abs. 1 S. 3 AktG normierte Verschwiegenheitsverpflichtung kann aber auch nicht durch Satzung, Geschäftsordnung oder Anstellungsvertrag erweitert werden, wie sich aus § 23 Abs. 5 AktG ergibt (vgl. Fleischer in BeckOGK AktG, Stand 01.02.2024, Rdnr. 202 zu § 93 AktG; Spindler in Münchener Kommentar zum AktG, 6. Auflage, München 2023, Rdnr. 143 zu § 93 AktG; Schmidt in Heidel, Aktienrecht und Kapitalmarktrecht, 5. Auflage, München 2020, Rdnr. 62 zu § 93 AktG; vgl. auch BGH, Urteil vom 05.06.1975 – II ZR 156/73, Rdnrn 8 f. zur Verschwiegenheitspflicht eines Aufsichtsrats nach § 116 iVm. § 93 Abs. 1 S. 2 AktG a.F.). Stellt also die Weiterleitung der streitgegenständlichen Emails an den privaten Email-Account des Klägers keine Verletzung der Verschwiegenheitsverpflichtung des Vorstands nach § 93 Abs. 1 S. 3 AktG dar, so ist unbeachtlich, wenn der Kläger gegen etwaig weitergehende Verpflichtungen aus § 10 Abs. 1 DV verstoßen haben sollte.

Nach der Rechtsprechung des BGH handelt es sich bei „vertrauliche(n) Angaben und Geheimnisse(n) der Gesellschaft“ iSd. § 93 Abs. 1 S. 3 AktG um nicht allgemein bekannte (offenkundige) Tatsachen, an deren Geheimhaltung ein objektives Interesse des Unternehmens besteht (vgl. BGH, Urteil vom 26.04.2016 – IX ZR 108/15, Rdnr. 31).

Alle vom Kläger weitergeleiteten streitgegenständlichen Emails bezogen sich auf „betriebliche Angelegenheiten“ iSd. § 10 Abs. 1 UA 1 DV und beinhalteten keine offenkundigen Tatsachen. So betraf die Email vom 23.04.2021, 16:27 Uhr laut Anl. B 8 das Verhalten u.a. des Mitvorstands … bezüglich der Behandlung von Gehaltsabrechnungen nicht nur des Klägers, sondern auch des früheren Vorstandsvorsitzenden der Beklagten … . In der Email vom 10.05.2012 laut Anl. B 7 ging es um die Behandlung von Forderungen des Klägers gegen die Beklagte, um Schriftwechsel mit der Steuerberatungsgesellschaft der Beklagten sowie um Kompetenzstreitigkeiten mit dem Mitvorstand … Gegenstand der Email vom 31.05.2021, 12:10 Uhr (Anl. B 2) war eine Anfrage der … AG nach dem Geldwäschegesetz und eventuell drohende Maßnahmen der BAFIN gegen die Beklagte. Die Email vom 31.05.2021, 17:47 Uhr (Anl. B 9) bezog sich auf eine Zuständigkeitsstreitigkeit zwischen dem Kläger und Mitarbeitern der …-Gruppe sowie die Provisionsplanung für 2021. Letztere war auch Thema der am 16.06.2021 um 11:13 Uhr vom Kläger versandten Email (Anlage B 5), der u.a. eine als „confidentiel“ überschriebene Präsentation betreffend Fragen zur Provisionierung sowie das Protokoll eines internen Meetings vom 07.06.2021 zu dieser Problematik beigefügt war. Die Emails vom 18.06.2021, 17.17 Uhr (Anl. B 3) und vom 21.06.2021, 12:34 Uhr laut Anl. B 6 betrafen den von einem Mitarbeiter der Beklagten (…) gegen diese geltend gemachten Anspruch auf Provisionszahlungen. In der Email vom 24.06.2021, 11:51 Uhr (Anlage B 1) waren wiederum Umsatzerlöse und Bonifizierungsgrundlagen für diesen Mitarbeiter thematisiert. Dieser Email beigefügt waren Email-Verkehr des Klägers mit Mitarbeitern der Beklagten sowie die Kopie eines Lizenzvertrages mit dem Kundenunternehmen … GmbH. Gegenstand der am 28.06.2021 um 13:26 Uhr versandten Email laut Anl. B 4 an … und … von der Wirtschaftsprüfungs- und Steuerberatungsgesellschaft … GmbH waren Spesenzahlungen der Beklagten an den Kläger.

Ob auch ein objektives Geheimhaltungsinteresse der Beklagten an diesen Tatsachen bestand, kann dahinstehen, da es jedenfalls an einer Verletzung der Verschwiegenheitsverpflichtung des § 93 Abs. 1 S. 3 AktG durch den Kläger fehlt. Wann eine Verletzung der Verschwiegenheitsverpflichtung des § 93 Abs. 1 S. 3 AktG vorliegt, ergibt sich aus dem objektiven Tatbestand des § 404 AktG, der Verletzungen der Verschwiegenheitsverpflichtung des § 93 Abs. 1 S. 3 AktG sanktioniert. Demzufolge ist die Verschwiegenheitsverpflichtung verletzt, wenn ein Geheimnis der Gesellschaft unbefugt offenbart (§ 404 Abs. 1 AktG) oder verwertet (§ 404 Abs. 2 S. 2 AktG) wird. Offenbart wiederum wird ein Geheimnis, wenn es jemandem, der dieses Wissen noch nicht hat (Unbefugter), mitgeteilt oder sonst in einer Weise zugänglich gemacht wird und er somit die Möglichkeit der Kenntnisnahme erhält. Die Art und Weise der Preisgabe ist irrelevant. Es kommt allein darauf an, dass der Adressat die nicht mehr abschirmbare Möglichkeit der Kenntnisnahme hat (vgl. Hefendehl in BeckOGK AktG, Stand 01.06.2024, Rdnr. 54 zu § 404 AktG). Diese Voraussetzungen sind im streitgegenständlichen Fall durch die Weiterleitung der Emails an den privaten Email-Account des Klägers nicht erfüllt, da der Kläger den Inhalt der Emails unstreitig keinem Dritten mitgeteilt oder zugänglich gemacht hat. Die Speicherung auf einem Freemail-Server reicht hierfür nicht aus. Auch eine Verwertung der Geheimnisse durch den Kläger ist unstreitig nicht erfolgt.

In Ermangelung einer Verletzung der Verschwiegenheitsverpflichtung des § 93 Abs. 1 S. 3 AktG kommt es daher nicht mehr darauf an, ob der Kläger die in § 10 Abs. 1 UA 3 lit a DV stipulierte Pflicht zur strengen Geheimhaltung vertraulicher Informationen verletzt hat, da eine Erweiterung der Geheimhaltungsverpflichtung des § 93 Abs. 1 S. 3 AktG durch den Vorstandsdienstvertrag nicht möglich ist.

bb. Auch wenn der Kläger nach alledem nicht gegen die ihm als Vorstand obliegende aktienrechtliche Verschwiegenheitsverpflichtung aus § 93 Abs. 1 S. 3 AktG verstieß, so hat er doch durch die Weiterleitung der streitgegenständlichen Emails gegen seine sich aus § 91 Abs. 1 S. 1 AktG ergebende Sorgfaltspflicht, die in Gestalt der Legalitätspflicht vom Vorstand eigene Regeltreue fordert, verstoßen. Denn wie das Landgericht richtig annahm (LGU S. 14), stellt die Weiterleitung der Emails auf den privaten Account des Klägers und die dortige Speicherung eine Verarbeitung iSd. Art. 4 Nr. 2 DSGVO dar, die nicht durch eine Einwilligung der betroffenen Personen gedeckt war (Art. 6 Abs. 1 lit a DSGVO). Diese Weiterleitung war auch nicht zur Wahrung der berechtigten Interessen des Klägers erforderlich (Art. 6 Abs. 1 lit f DSGVO). Gegen diese zutreffende rechtliche Wertung des Landgerichts hat die Berufung nichts erinnert, vielmehr hat der Kläger in seiner Berufungserwiderung/Anschlussberufungsbegründung (dort S. 13, Bl. 32 d.A.) sogar selbst eingeräumt, dass ihm nunmehr bewusst sei, dass eine Weiterleitung von dienstlichen Emails auf seinen privaten Email-Account nicht zulässig sei.

(1) Zwar ist nicht jeder Regelverstoß und damit auch nicht jeder Verstoß gegen Vorschriften der Datenschutzgrundverordnung schon „an sich“ als wichtiger Grund iSd. § 626 Abs. 1 BGB geeignet. Dies ist jedoch zumindest dann der Fall, wenn – wie streitgegenständlich – die unter Missachtung der Regelungen der DSGVO erfolgte Weiterleitung der Emails an den privaten Email-Account des Klägers sensible Daten der Beklagten und anderer Dritter betrifft. Um solche sensiblen Daten handelte es sich vorliegend, da es in den Emails unter anderem um eine geldwäscherechtliche Bankanfrage, Provisisonsansprüche von Mitarbeitern (…), Gehaltsabrechnungen eines früheren Vorstandsvorsitzenden (…), Planungen der Beklagten zur Verprovisionierung ihrer Mitarbeiter und Zuständigkeitsstreitigkeiten im Vorstand der Beklagten ging. Zu berücksichtigen war darüber hinaus, dass die Weiterleitung nicht ein singulärer Vorfall war, sondern neun Emails weitergeleitet wurden.

(2) Die Weiterleitung der Emails wird auch nicht dadurch gerechtfertigt, dass der Kläger – jedenfalls seiner Vorstellung nach – „nur solche Emails weiterleitete, die aufgrund der besorgniserregenden Veränderungen im Betrieb der Beklagten (…) unentbehrlich waren, um später beweisen zu können, dass er selbst keine zur Haftung führenden Fehler begangen hat“ (vgl. Schriftsatz des Klägervertreters vom 02.05.2022, S. 7, Bl. 31 d.A.). Denn für eine solche prophylaktische Selbsthilfe bestand – wie das Landgericht richtig ausführte (LGU S. 14 f.) – keine Veranlassung. Solange der Kläger noch Vorstand war, hatte er qua Amt Zugriff auf die Unterlagen der Beklagten. Nach seiner Abberufung als Vorstand hat er dagegen einen Einsichtsanspruch aus § 810 BGB, soweit er Unterlagen der Beklagten für seine Verteidigung benötigen sollte, wobei der Kläger durch die die Beklagte treffenden handels- und steuerrechtlichen Aufbewahrungspflichten auch vor unzeitiger Vernichtung der Unterlagen hinreichend geschützt ist (zur fehlenden Rechtfertigung prophylaktischer Selbsthilfe in einem vergleichbaren Fall eines Arbeitnehmers vgl. auch BAG, Urteil vom 08.05.2014 – 2 AZR 249/13, Rdnr. 33 und LArbG Hamm, Urteil vom 28.05.2020 – 15 Sa 2008/19, Rdnr. 63).

Nach alledem kann in der streitgegenständlichen Weiterleitung der Emails ein wichtiger Grund iSd. § 626 Abs. 1 BGB „an sich“ liegen. Ein Vorstand ist demnach nicht anders zu beurteilen als ein Arbeitnehmer, dem es ohne Einverständnis des Arbeitgebers ebenso verwehrt ist, sich betriebliche Unterlagen oder Daten anzueignen oder diese für betriebsfremde Zwecke zu vervielfältigen (vgl. BAG Urteil vom 08.05.2014 – 2 AZR 249/13, Rdnr. 32).

b. Nach Feststellung, dass der streitgegenständliche Sachverhalt „an sich“, d.h. typischerweise als wichtiger Grund geeignet ist, bedarf es der Prüfung, ob der Gesellschaft die Fortsetzung des Anstellungsverhältnisses unter Berücksichtigung der konkreten Umstände des Falls und unter Abwägung der Interessen beider Vertragsteile – jedenfalls bis zum Ablauf der Kündigungsfrist – zumutbar ist oder nicht (vgl. BGH, Urteil vom 29.01.2001 – II ZR 360/99, Rdnr. 9 zum Vorstand einer Genossenschaft, BGH, Urteil vom 02.06.1997 – II ZR 101 /96, Rdnr. 6 zum Geschäftsführer einer GmbH, zu Arbeitnehmern BAG, Urteil vom 19.04.2012 – 2 AZR 186/11, Rdnr. 20, Weidenkaff in Grüneberg, BGB, 83. Auflage, München 2024, Rdnr. 38 zu § 626 BGB). Dabei ist in einer Gesamtwürdigung das Interesse der Gesellschaft an der sofortigen Beendigung des Vorstandsanstellungsvertrages gegen das Interesse des Vorstands an dessen Fortbestand abzuwägen. Es hat eine Bewertung des Einzelfalls unter Beachtung des Verhältnismäßigkeitsgrundsatzes zu erfolgen. Zu berücksichtigen sind dabei u.a. regelmäßig die Schwere der Pflichtverletzung, der Grad des Verschuldens des Vorstands, das Ausmaß des Schadens, eine mögliche Wiederholungsgefahr, die Dauer des Vorstandsverhältnisses und dessen störungsfreier Verlauf sowie die sozialen Folgen für das Vorstandsmitglied (vgl. Fleischer in BeckOGK AktG, Stand 01.02.2024, Rdnr. 187 zu § 84 AktG).


Den Volltext der Entscheidung finden Sie hier:

OLG Stuttgart: Übersendung von Werbung per Briefpost ohne vorherige Einwilligung auch mit den Vorgaben der DSGVO vereinbar

OLG Stuttgart
Hinweisbeschluss vom 02.02.2024
2 U 63/22


Das OLG Stuttgart hat im Rahmen eines Hinweisbeschlusses ausgeführt, dass die Übersendung von Werbung per Briefpost ohne vorherige Einwilligung des Empfängers auch mit den Vorgaben der DSGVO vereinbar ist

Aus den Entscheidungsgründen:
Der Senat ist einstimmig der Auffassung, dass die Berufung offensichtlich keine Aussicht auf Erfolg hat, der Rechtssache auch keine grundsätzliche Bedeutung zukommt, weder die Fortbildung des Rechts noch die Sicherung einer einheitlichen Rechtsprechung eine Entscheidung des Berufungsgerichts erfordert und die Durchführung einer mündlichen Verhandlung über die Berufung nicht geboten ist.

Das Landgericht hat zutreffend einen Anspruch des Klägers auf Schadensersatz abgewiesen. Auf die überzeugende Begründung des Landgerichts wird zur Vermeidung von Wiederholungen verwiesen.

I. Insbesondere hat das Landgericht zutreffend und überzeugend herausgearbeitet, dass sowohl die Erhebung der öffentlich zugänglichen Daten als auch die der Übersendung des Werbeschreibens zugrundeliegende Verarbeitung der Daten in Übereinstimmung mit Artikel 6 Absatz 1 Satz 1 lit. f DS-GVO erfolgte.

Entgegen der Auffassung der Berufung ist für die Rechtmäßigkeit einer Direktwerbung nicht Voraussetzung, dass bereits eine Kundenbeziehung besteht. Bei seiner Auslegung des Artikels 6 Absatz 1 Satz 1 lit. f DS-GVO hat das Landgericht überzeugend den Erwägungsgrund Nr. 47 herangezogen, der die Direktwerbung beispielhaft als berechtigtes Interesse im Sinne der genannten Norm anerkennt. Unter diesem Begriff versteht die Verordnung – etwa in Artikel 21 Absatz 2 DS-GVO – jede unmittelbare Ansprache der betroffenen Person, etwa durch Zusendung von Briefen (Buchner/Petri in: Kühling/Buchner, DS-GVO, 4. Aufl. 2024, Artikel 21 DS-GVO Rn. 26). Weder aus Artikel 6 Absatz 1 Satz 1 lit. f DS-GVO noch aus den Erwägungsgründen ergeben sich Anhaltspunkte dafür, dass die Direktwerbung nur innerhalb einer bestehenden Kundenbeziehung als berechtigtes Interesse anerkannt wird. Unter dem Begriff der berechtigten Interessen sind vielmehr sämtliche rechtlichen, wirtschaftlichen oder ideellen Interessen zu verstehen (OVG Lüneburg, Beschluss vom 19. Januar 2021 – 11 LA 16/20, juris Rn. 16), die auch außerhalb oder im Vorfeld einer Kundenbeziehung liegen können. Zutreffend hat das Landgericht auch gesehen, dass das berechtigte Interesse eines Dritten – hier das Interesse der X. Lebensversicherung AG an der Verteilung der Werbebotschaft – dem Interesse des Beklagten als Verantwortlichen gleichsteht.

Weiter hat das Landgericht überzeugend herausgearbeitet, dass die Verarbeitung der personenbezogenen Daten erforderlich war. Insbesondere steht der Erforderlichkeit nicht der Einwand der Berufung entgegen, dass auch eine Übersendung der Werbung per elektronischer Post möglich wäre. Zwar sollen personenbezogene Daten nicht verarbeitet werden, wenn der Zweck der Verarbeitung in zumutbarer Weise durch andere Mittel erreicht werden kann, die weniger stark in die Grundrechte und Grundfreiheiten der betroffenen Personen eingreifen (EuGH, Urteil vom 4. Juli 2023 – C-252/21, Rn. 108). Dabei kann der Kläger die Beklagte allerdings nicht darauf verweisen, die Zusendung elektronischer Nachrichten sei weniger belastend für Betroffene. Nach der Wertung der deutschen Rechtsordnung stellt die Versendung elektronischer Nachrichten ohne vorherige ausdrückliche Einwilligung vielmehr eine unzumutbare Belästigung dar (vgl. § 7 Absatz 2 Nr. 2 UWG), während die Zusendung eines Briefes mit einer sofort als Werbung erkennbaren Botschaft als zulässig bewertet wird (BGH, Urteil vom 30. April 1992 – I ZR 287/90, juris Rn. 14 – Briefwerbung; BGH, Urteil vom 3. März 2011 – I ZR 167/09, juris Rn. 19 – Kreditkartenübersendung).

Weiter hat das Landgericht auch überzeugend die Interessen der Streitparteien miteinander abgewogen und ist zutreffend davon ausgegangen, dass die Interessen, Grundrechte und Grundfreiheiten des Klägers die Interessen der Beklagten und ihrer Auftraggeberin jedenfalls nicht überwiegen. Alleine das Interesse des Klägers, keine Werbung zu erhalten, führt nicht zu einer ihm günstigen Interessenabwägung. Erst wenn er einen Widerspruch erhebt, ist die künftige Direktwerbung unzulässig (Artikel 21 Absatz 2 DS-GVO).

II. Zutreffend hat das Landgericht auch die weiteren gerügten Handlungen nicht als Verstöße gegen die Datenschutz-Grundverordnung bewertet. Insbesondere wurde der Kläger ganz offenkundig nicht im Sinne von Artikel 22 Absatz 1 DS-GVO einer ihm gegenüber verbindlichen oder erheblich beeinträchtigenden Entscheidung unterworfen, die auf einer automatisierten Verarbeitung seiner Daten getroffen wurde (sog. Profiling). Eine derartige beeinträchtigende Entscheidung legt der Kläger schon nicht dar.

Auch die Behauptung, dass die Beklagte dem Kläger eine unvollständige Auskunft über die Verarbeitung seiner Daten erteilt habe, kann nicht festgestellt werden. Vorgerichtlich wurde danach nicht gefragt, und in der ersten Instanz hat die Beklagte ausgeführt, die personenbezogenen Daten des Klägers nicht mit zusätzlichen Informationen verknüpft zu haben. Auf die Frage, ob eine unvollständige Auskunft überhaupt zu einem Schadensersatzanspruch gem. Art. 82 DS-GVO führen kann, kommt es nicht mehr an (zum Streitstand: OLG Stuttgart, Urteil vom 22. November 2023 – 4 U 20/23, juris Rn. 381 ff.).

III. Unabhängig davon, dass datenschutzrechtliche Verstöße nicht feststellbar sind, hat der Kläger auch nicht ausreichend dargelegt, einen Schaden erlitten zu haben. Zwar ist es nach der Rechtsprechung des Europäischen Gerichtshofs nicht erforderlich, dass der Schaden einen bestimmten Grad an Erheblichkeit überschreitet. Gleichwohl löst der bloße Verstoß gegen Bestimmungen der Verordnung einen Schadensersatzanspruch noch nicht aus. Es muss vielmehr festgestellt werden, dass tatsächlich ein Schaden entstanden ist (EuGH, Urteil vom 4. Mai 2023 – C-300/21, Rn. 42, 51). Insoweit beruft sich der Kläger auf eine mit dem Verlust der Daten seelisch belastende Ungewissheit über das Schicksal der Daten. Dieser Vortrag genügt nicht für die Darlegung eines Schadens, denn es muss festgestellt werden können, ob die Befürchtung einer künftigen missbräuchlichen Datenverwendung unter den gegebenen besonderen Umständen und im Hinblick auf die betroffene Person als begründet angesehen werden (vgl. EuGH, Urteil vom 14. Dezember 2023 – C-340/21, Rn. 85). Dies ist jedoch nicht ersichtlich auf der Grundlage der überzeugenden und unangefochtenen Feststellung des Landgerichts, dass die Beklagte die personenbezogenen Daten nicht an Dritte übermittelt hat. Zudem hat die Beklagte die Daten gelöscht bzw. intern mit einem Sperrvermerk versehen, um künftige Werbesendungen zu verhindern.


Den Volltext der Entscheidung finden Sie hier:

BGH: Name des Datenschutzbeauftragten muss nach Art. 13 Abs. 1 Buchst. b DSGVO nicht zwingend genannt werden

BGH
Urteil vom 14.05.2024
VI ZR 370/2
DS-GVO Art. 13 Abs. 1 Buchst. b; ZPO § 551 Abs. 3 Satz 1 Nr. 2 Buchst. a


Der BGH hat entschieden, dass der Name des Datenschutzbeauftragten nach Art. 13 Abs. 1 Buchst. b DSGVO nicht zwingend genannt werden muss.

Leitsätze des BGH:
a) Nach § 551 Abs. 3 Satz 1 Nr. 2 Buchst. a ZPO muss sich die Revisionsbegründung mit den tragenden Gründen des angefochtenen Urteils auseinandersetzen und konkret darlegen, warum die Begründung des Berufungsgerichts rechtsfehlerhaft sein soll. Hierdurch soll der Revisionskläger dazu angehalten werden, die angegriffene Entscheidung nicht nur im Ergebnis, sondern auch in der konkreten Begründung zu überprüfen und im Einzelnen darauf hinzuweisen, in welchen Punkten und mit welchen Gründen er das angefochtene Urteil für unrichtig hält.

b) Bei Mitteilung der Kontaktdaten des Datenschutzbeauftragten nach Art. 13 Abs. 1 Buchst. b DSGVO ist die Nennung des Namens nicht zwingend. Entscheidend und zugleich ausreichend für den Betroffenen ist die Mitteilung der Informationen, die für die Erreichbarkeit der zuständigen Stelle erforderlich sind. Ist die Erreichbarkeit ohne Nennung des Namens gewährleistet, muss dieser nicht mitgeteilt werden.

BGH, Urteil vom 14. Mai 2024 - VI ZR 370/22 - LG Darmstadt - AG Seligenstadt

Den Volltext der Entscheidung finden Sie hier:

AG Seligenstadt

LAG Niedersachsen legt EuGH vor: Ist Verarbeitung und Berücksichtigung rechtswidrig erlangter Daten im Prozess mit den Vorgaben der DSGVO vereinbar

LAG Niedersachsen
Beschluss vom 18.07.2024
8 Sa 688/23


Das LAG Niedersachsen hat dem EuGH zur Vorabentscheidung vorgelegt, ob die Verarbeitung und Berücksichtigung rechtswidrig erlangter Daten im Prozess mit den Vorgaben der DSGVO vereinbar ist.

Die Pressemitteilung des Gerichts:
LAG Niedersachsen legt dem EuGH Fragen zur Auslegung der DSGVO bei deren Anwendung auf die Tätigkeit der Gerichte vor

In einem vor dem Landesarbeitsgericht Niedersachsen anhängigen Fall (Aktenzeichen: 8 Sa 688/23) verlangt die klagende Arbeitgeberin von einer ausgeschiedenen Arbeitnehmerin Schadenersatz in Höhe von rd. 46.000 Euro. Die Klägerin behauptet, die Beklagte habe unbefugt Gegenstände aus dem privaten Firmeneigentum an Dritte veräußert und sich am Erlös bereichert. Die Klägerin stützt ihre Erkenntnisse über die Veräußerungsvorgänge auf eine ohne Wissen und Willen der Beklagten erfolgte Einsichtnahme in deren privates ebay-Konto. Auf welche Weise die Klägerin die Kenntnis der ebay-Benutzerkennung der Beklagten und des zugehörigen Passwortes erlangt hat, ist zwischen den Parteien streitig.

Die 8. Kammer des Landesarbeitsgerichts Niedersachsen hat in dieser Rechtssache beim Gerichtshof der Europäischen Union (EuGH) ein Vorabentscheidungsverfahren anhängig gemacht. Der Gerichtshof hat in seinen Urteilen vom 24. März 2022 - C-245/20 - (Autoriteit Persoonsgegevens) in Rn. 25 und vom 2. März 2023 – C-268/21 – (Norra Stockholm Bygg AB) in Rn. 26 deutlich gemacht, dass auch justizielle Tätigkeit, soweit dabei Daten verarbeitet werden, in den Geltungsbereich der Datenschutzgrundverordnung (DSGVO) fällt. Mit der ersten Vorlagefrage soll Klarheit darüber geschaffen werden, ob die Regelungen des deutschen Zivilprozessrechts bestimmt genug sind - d.h., die erforderliche Regelungstiefe aufweisen -, um den Anforderungen der DSGVO zu genügen. Des Weiteren wird der Gerichtshof - kurz zusammengefasst - gefragt, welche der Normen der DSGVO auf gerichtliche Datenverarbeitungstätigkeit Anwendung finden und welche Rechtsgrundsätze hierbei von den Gerichten zu beachten sind. Die Beantwortung der Fragen durch den Gerichtshof kann über die konkrete Rechtssache hinaus in allen Fällen hilfreich sein, in denen die nationalen Gerichte zu beurteilen haben, ob und unter welchen Voraussetzungen möglicherweise rechtswidrig erlangte Kenntnisse und Beweismittel, die eine Partei in den Rechtsstreit einführt, von ihnen verwertet werden können.

Das Verfahren wird von dem Gerichtshof der Europäischen Union unter dem Aktenzeichen C-484/24 geführt.


EuGH: Verbandsklagebefugnis von Verbraucherschutzverbänden bei DSGVO-Verstößen - hier: Verstöße gegen Art. 12 Abs. 1 Satz 1 und Art. 13 Abs. 1 Buchst. c und e DSGVO

EuGH
Urteil vom 11.07.2024
C‑757/22
Meta Platforms Ireland Ltd, vormals Facebook Ireland Ltd
gegen
Bundesverband der Verbraucherzentralen und Verbraucherverbände – Verbraucherzentrale Bundesverband e. V
.

Der EuGH hat die Verbandsklagebefugnis von Verbraucherschutzverbänden bei DSGVO-Verstößen abermals bejaht und seine Rechtsprechung weiter präzisiert. Vorliegend ging es um Verstöße gegen Art. 12 Abs. 1 Satz 1 und Art. 13 Abs. 1 Buchst. c und e DSGVO.

Tenor der Entscheidung:
Art. 80 Abs. 2 der Verordnung (EU) 2016/679 des Europäischen Parlaments und des Rates vom 27. April 2016 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten, zum freien Datenverkehr und zur Aufhebung der Richtlinie 95/46/EG (Datenschutz-Grundverordnung)

ist dahin auszulegen, dass

die Voraussetzung, wonach eine befugte Einrichtung, um eine Verbandsklage im Sinne dieser Bestimmung erheben zu können, geltend machen muss, dass ihres Erachtens die in dieser Verordnung vorgesehenen Rechte einer betroffenen Person „infolge einer Verarbeitung“ im Sinne dieser Bestimmung verletzt wurden, erfüllt ist, wenn sich diese Einrichtung darauf beruft, dass die Verletzung der Rechte dieser Person anlässlich einer Verarbeitung personenbezogener Daten geschieht und auf einer Missachtung der Pflicht beruht, die dem Verantwortlichen gemäß Art. 12 Abs. 1 Satz 1 und Art. 13 Abs. 1 Buchst. c und e der Verordnung obliegt, der betroffenen Person spätestens bei dieser Datenerhebung Informationen über den Zweck der Datenverarbeitung und die Empfänger der Daten in präziser, transparenter, verständlicher und leicht zugänglicher Form in einer klaren und einfachen Sprache zu übermitteln.

Den Volltext der Entscheidung finden Sie hier: