Skip to content

OLG Bremen: Schadensersatz nach Art. 82 DSGVO nur wenn materieller oder immaterieller Schaden entstanden ist und substantiiert vorgetragen wird

OLG Bremen
Beschluss vom 16.07.2021
1 W 18/21


Das OLG Bremen hat entschieden, dass Schadensersatz nach Art. 82 DSGVO nur verlangt werden kann, wenn ein materieller oder immaterieller Schaden tatsächlich entstanden ist substantiiert vorgetragen wird.

Aus den Entscheidungsgründen:
"Die sofortige Beschwerde der Antragstellerin vom 29.03.2021 gegen den Beschluss des Landgerichts vom 22.02.2021 war aus den zutreffenden Gründen der angegriffenen Entscheidung sowie des Nichtabhilfebeschlusses vom 23.04.2021 zurückzuweisen. Der Antragstellerin war die begehrte Prozesskostenhilfe zu versagen, da sie weiterhin keinen Sachverhalt vorgetragen hat, aufgrund dessen sich das Vorliegen hinreichender Erfolgsaussichten für die Rechtsverfolgung der Antragstellerin als Voraussetzung für die Bewilligung von Prozesskostenhilfe nach § 114 ZPO ergeben würde. Die Antragstellerin verkennt, dass nach Art. 82 der Datenschutz-Grundverordnung (Verordnung (EU) 2016/679 vom 27.04.2016 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten, zum freien Datenverkehr und zur Aufhebung der Richtlinie 95/46/EG, nachfolgend: DSGVO) ein Anspruch auf Schadensersatz voraussetzt, dass einer natürlichen Person wegen eines Verstoßes gegen diese Verordnung ein materieller oder immaterieller Schaden entstanden ist.
Dem Vorbringen der Antragstellerin ist lediglich ein Vortrag zu einem geltend gemachten Verstoß gegen die Bestimmungen der DSGVO zu entnehmen, dagegen fehlt es an jeglichem Vorbringen zu einem der Antragstellerin hierdurch entstandenen immateriellen Schaden. Einer Vorlage an den Europäischen Gerichtshof bedurfte es bereits im Hinblick auf den eindeutigen Wortlaut des Art. 82 DSGVO nicht: Anders als in der Entscheidung des Bundesverfassungsgerichts vom 14.01.2021 (siehe BVerfG, Beschluss vom 14.1.2021 – 1 BvR 2853/19, juris Rn. 21, NJW 2021, 1005) liegt den vorstehenden Erwägungen nicht die Annahme einer Erheblichkeitsschwelle für den Schadensbegriff des Art. 82 DSGVO zugrunde, sondern es fehlt bereits an jeglichem Vorbringen zu einem der Antragstellerin durch die geltend gemachte Rechtsverletzung entstandenen Schaden. Im Übrigen ist Art. 267 Abs. 3 AEUV eine Vorlagepflicht der einzelstaatlichen Gerichte nur in solchen Verfahren zu entnehmen, in denen die Entscheidungen dieser Gerichte selbst nicht mehr mit Rechtsmitteln des innerstaatlichen Rechts angefochten werden können. Im vorliegenden Verfahren über die Bewilligung von Prozesskostenhilfe gilt aber ebenso wie im Verhältnis zwischen Verfahren des einstweiligen Rechtsschutzes und den Hauptsacheverfahren, dass keine Vorlagepflicht besteht, wenn die zu erlassende Entscheidung das Gericht, dem der Rechtsstreit danach in einem Hauptsacheverfahren vorgelegt wird, nicht bindet und den Parteien eine erneute Überprüfung der zunächst nur vorläufig entschiedenen Frage offensteht (siehe BVerfG, Beschluss vom 19.10.2006 – 2 BvR 2023/06, juris Rn. 13, EuR 2006, 814)."


Den Volltext der Entscheidung finden Sie hier:

VG Berlin: Airbnb muss Behörden bei Anfangsverdacht für eine Zweckentfremdung Vermieter-Daten herausgeben

VG Berlin
Urteil vom 23. Juni 2021
VG 6 K 90/20


Das VG Berlin hat entschieden, dass Airbnb den Behörden bei Anfangsverdacht für eine Zweckentfremdung die Vermieter-Daten herausgeben muss.

Die Pressemitteilung des Gerichts:

Airbnb muss Vermieter-Daten übermitteln

Behörden dürfen die Betreiber von Internet-Plattformen zur Buchung und Vermietung privater Unterkünfte im Fall eines Anfangsverdachts für eine Zweckentfremdung verpflichten, die Daten der Unterkünfte-Anbieter zu übermitteln. Das hat das Verwaltungsgericht in einem Klageverfahren entschieden.

Die Klägerin ist ein irisches Unternehmen mit Sitz in Dublin. Sie betreibt eine Internetplattform, auf der die Vermietung von Ferienwohnungen auch in Berlin angeboten wird. Mit Bescheid aus dem Dezember 2019 verpflichtete das Bezirksamt Tempelhof-Schöneberg von Berlin die Klägerin, unter anderem Namen und Anschriften zahlreicher Anbieter, deren Inserate in online veröffentlichten Listen aufgezählt waren, und die genaue Lage der von ihnen angebotenen Ferienwohnungen zu übermitteln. Dies begründete das Bezirksamt mit einem Verdacht für einen Verstoß gegen zweckentfremdungsrechtliche Vorschriften, den es unter anderem darauf stützte, dass die Inserate keine oder falsche Registriernummern enthielten oder die Geschäftsdaten gewerblicher Vermieter nicht erkennen ließen. Der Gesetzgeber hatte eine Pflicht zur Anzeige einer Registriernummer gerade wegen des zunehmenden anonymen Angebots von Ferienwohnungen auf Internet-Plattformen eingeführt. Sie gilt in der Regel für Vermieter, die ihre Wohnung kurzzeitig als Ferienwohnung zur Verfügung stellen. Gegen die Auskunftsverpflichtung setzt sich die Klägerin nach erfolglosem Widerspruch mit ihrer zum Verwaltungsgericht erhobenen Klage zur Wehr. Sie meint, die Norm, auf die das Bezirksamt sein Auskunftsverlangen stütze, sei bereits verfassungswidrig. Zudem sei auch der Bescheid selbst rechtswidrig. Er betreffe als Sammelabfrage schon keinen Einzelfall, auch liege keine konkrete Gefahr einer Zweckentfremdung vor. Überdies missachte er unionsrechtliche Vorgaben und verlange von der Klägerin, dass sie gegen irisches Datenschutzrecht verstoße, dem allein sie verpflichtet sei.

Die 6. Kammer hat die Klage, soweit noch über sie zu entscheiden war, überwiegend abgewiesen. Die vom Bezirksamt herangezogene Rechtsgrundlage des § 5 Abs. 2 Satz 2 und 3 ZwVbG in der damals geltenden Fassung unterliege im Ergebnis keinen verfassungsrechtlichen Bedenken. Sie greife zwar in das Grundrecht auf informationelle Selbstbestimmung ein, sei jedoch insbesondere verhältnismäßig, hinreichend bestimmt und normenklar. Auch mit Unionsrecht sei die Bestimmung vereinbar. Das Auskunftsverlangen des Bezirksamts betreffe in einem Bescheid gebündelte Einzelfälle, da es sich auf jeweils genau bezeichnete Unterkünfte und Vermieter beziehe. Wegen der Anonymität der Angebote auf der von der Klägerin betriebenen Internet-Plattform seien an den hinreichenden Anlass für ein Auskunftsersuchen nur geringe Anforderungen zu stellen. Ein solcher könne angenommen werden, wenn Anbieter ganzer Unterkünfte in ihren Inseraten keine oder eine ersichtlich falsche Registriernummer anzeigten oder sich eine gewerbliche Vermietung nicht bereits aus dem jeweiligen Angebot selbst, insbesondere durch die Angabe von Geschäftsdaten ergebe. Auch irisches Datenschutzrecht könne die Klägerin der Anordnung insoweit nicht entgegenhalten. Das sog. Herkunftslandprinzip, auf das sie sich in der Sache berufe, finde hier keine Anwendung.

Die Kammer hat wegen grundsätzlicher Bedeutung die Berufung zum Oberverwaltungsgericht Berlin-Brandenburg zugelassen.

Urteil der 6. Kammer vom 23. Juni 2021 (VG 6 K 90/20)


EuGH: Nationale Datenschutzbehörden dürfen bei DSGVO-Verstößen im Zusammenhang mit grenzüberschreitender Datenverarbeitung auch tätig werden wenn sie nicht federführend sind

EuGH
Urteil vom 15.06.2021
C‑645/19
Facebook Ireland Ltd, Facebook Inc., Facebook Belgium BVBA
gegen
Gegevensbeschermingsautoriteit


Der EuGH hat entschieden, dass die nationalen Datenschutzbehörden bei DSGVO-Verstößen im Zusammenhang mit grenzüberschreitender Datenverarbeitung auch dann tätig werden dürfen, wenn sie nicht federführend zuständig sind.

Tenor der Entscheidung:

1. Art. 55 Abs. 1 und die Art. 56 bis 58 sowie 60 bis 66 der Verordnung (EU) 2016/679 des Europäischen Parlaments und des Rates vom 27. April 2016 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten, zum freien Datenverkehr und zur Aufhebung der Richtlinie 95/46/EG (Datenschutz-Grundverordnung) sind in Verbindung mit den Art. 7, 8 und 47 der Charta der Grundrechte der Europäischen Union dahin auszulegen, dass eine Aufsichtsbehörde eines Mitgliedstaats, die nach den zur Durchführung von Art. 58 Abs. 5 der Verordnung erlassenen nationalen Rechtsvorschriften befugt ist, vermeintliche Verstöße gegen die Verordnung einem Gericht dieses Mitgliedstaats zur Kenntnis zu bringen und gegebenenfalls die Einleitung eines gerichtlichen Verfahrens zu betreiben, von dieser Befugnis, wenn eine grenzüberschreitende Datenverarbeitung in Rede steht, Gebrauch machen darf, obgleich sie für diese Datenverarbeitung nicht die „zuständige federführende Aufsichtsbehörde“ im Sinne von Art. 56 Abs. 1 der Verordnung ist, sofern es sich um einen der Fälle handelt, in denen die Verordnung 2016/679 der Aufsichtsbehörde eine Zuständigkeit einräumt, einen Beschluss zu erlassen, mit dem festgestellt wird, dass die fragliche Verarbeitung gegen die Vorschriften der Verordnung verstößt, und die in der Verordnung vorgesehen Verfahren der Zusammenarbeit und der Kohärenz eingehalten werden.

2. Art. 58 Abs. 5 der Verordnung 2016/679 ist dahin auszulegen, dass die Ausübung der einer Aufsichtsbehörde eines Mitgliedstaats, die nicht die federführende Aufsichtsbehörde ist, nach dieser Vorschrift zustehenden Befugnis zur Klageerhebung bei einer grenzüberschreitenden Verarbeitung personenbezogener Daten nicht voraussetzt, dass der für die grenzüberschreitende Verarbeitung personenbezogener Daten Verantwortliche oder der Auftragsverarbeiter, gegen den die Klage erhoben wird, im Hoheitsgebiet des Mitgliedstaats der fraglichen Aufsichtsbehörde eine Hauptniederlassung oder eine andere Niederlassung hat.

3. Art. 58 Abs. 5 der Verordnung 2016/679 ist dahin auszulegen, dass die einer Aufsichtsbehörde eines Mitgliedstaats, die nicht die federführende Aufsichtsbehörde ist, nach dieser Vorschrift zustehende Befugnis, vermeintliche Verstöße gegen die Verordnung einem Gericht dieses Mitgliedstaats zur Kenntnis zu bringen und gegebenenfalls die Einleitung eines gerichtlichen Verfahrens zu betreiben, sowohl gegenüber der Hauptniederlassung des Verantwortlichen, die sich in dem Mitgliedstaat der Aufsichtsbehörde befindet, als auch gegenüber einer anderen Niederlassung des Verantwortlichen ausgeübt werden kann, sofern Gegenstand der Klage eine Datenverarbeitung ist, die im Rahmen der Tätigkeiten der Niederlassung erfolgt, und die genannte Behörde nach den Ausführungen zu Vorlagefrage 1 dafür zuständig ist, die Befugnis auszuüben.

4. Art. 58 Abs. 5 der Verordnung 2016/679 ist dahin auszulegen, dass, wenn eine Aufsichtsbehörde eines Mitgliedstaats, die nicht die „federführende Aufsichtsbehörde“ im Sinne von Art. 56 Abs. 1 der Verordnung ist, vor dem 25. Mai 2018, also bevor die Verordnung galt, wegen einer grenzüberschreitenden Verarbeitung personenbezogener Daten eine Klage erhoben hat, diese Klage unionsrechtlich auf der Grundlage der Vorschriften der Richtlinie 95/46/EG des Europäischen Parlaments und des Rates vom 24. Oktober 1995 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten und zum freien Datenverkehr aufrechterhalten werden kann, die für Verstöße gegen die in ihr enthaltenen Vorschriften, die bis zu dem Zeitpunkt begangen worden sind, zu dem die Richtlinie aufgehoben wurde, weiter gilt. Darüber hinaus kann eine solche Klage von der Aufsichtsbehörde auf der Grundlage von Art. 58 Abs. 5 der Verordnung 2016/679 wegen nach diesem Zeitpunkt begangener Verstöße erhoben werden, sofern es sich um einen der Fälle handelt, in denen die Verordnung einer Aufsichtsbehörde eines Mitgliedstaats, die nicht die „federführende Aufsichtsbehörde“ ist, ausnahmsweise die Befugnis verleiht, einen Beschluss zu erlassen, mit dem festgestellt wird, dass die betreffende Datenverarbeitung gegen die in der Verordnung enthaltenen Vorschriften über den Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten verstößt, und die in der Verordnung vorgesehenen Verfahren der Zusammenarbeit und der Kohärenz eingehalten werden, was zu prüfen Sache des vorlegenden Gerichts ist.

5. Art. 58 Abs. 5 der Verordnung 2016/679 ist dahin auszulegen, dass die Vorschrift unmittelbare Wirkung hat, so dass eine nationale Aufsichtsbehörde sich auf sie berufen kann, um gegen Private eine Klage zu erheben oder ein entsprechendes Verfahren fortzuführen, auch wenn die Vorschrift in der Rechtsordnung des betreffenden Mitgliedstaats nicht speziell umgesetzt worden ist.

Den Volltext der Entscheidung finden Sie hier:

Die Pressemitteilung des EuGH:

Datenschutz-Grundverordnung (DSGVO): Der Gerichtshof erläutert die Voraussetzungen für die Ausübung der Befugnisse der nationalen Aufsichtsbehörden bei der grenzüberschreitenden Datenverarbeitung

Unter bestimmten Voraussetzungen kann eine nationale Aufsichtsbehörde ihre Befugnis, vermeintliche Verstöße gegen die DSGVO vor einem Gericht eines Mitgliedstaats geltend zu machen, ausüben, auch wenn sie in Bezug auf diese Verarbeitung nicht die federführende Behörde ist

"EuGH: Nationale Datenschutzbehörden dürfen bei DSGVO-Verstößen im Zusammenhang mit grenzüberschreitender Datenverarbeitung auch tätig werden wenn sie nicht federführend sind" vollständig lesen

VG Berlin: Nach DSGVO kein individueller Anspruch auf Einschreiten der Datenschutzbehörde und Einleitung bestimmter Maßnahmen

VG Berlin
Beschluss vom 21.04.2021
1 K 360.19


Das VG Berlin hat entschieden, dass nach der DSGVO kein individueller Anspruch auf Einschreiten der Datenschutzbehörde und Einleitung bestimmter Maßnahmen besteht.

Aus den Entscheidungsgründen:
Die Klage ist voraussichtlich unbegründet. Der Antragsteller und künftige Kläger hat keinen Anspruch darauf, dass der Antragsgegner (Beklagte) über seine Beschwerde vom 1. August 2019 erneut entscheidet. Mögliche Anspruchsgrundlage ist Art. 57 Abs. 1 lit. f) DS-GVO. Erhebt eine betroffene Person eine Beschwerde im Sinne von Art. 77 DS-GVO, muss sich die Aufsichtsbehörde nach Art. 57 Abs. 1 lit. f) DS-GVO mit der Beschwerde befassen, den Gegenstand der Beschwerde in angemessenem Umfang untersuchen und den Beschwerdeführer innerhalb einer angemessenen Frist über den Fortgang und das Ergebnis der Untersuchung unterrichten. Die Aufsichtsbehörde ist hiernach verpflichtet, die Beschwerde mit der gebotenen Sorgfalt und in angemessenem Umfang zu prüfen. Maßstab für den Umfang der Ermittlungen ist insbesondere die Schwere des in Rede stehenden Verstoßes, aber auch alle weiteren relevanten Aspekte sind zu berücksichtigen, insbesondere die in Art. 83 Abs. 2 DS-GVO genannten (Bergt, in: Kühling/Buchner, Datenschutz-Grundverordnung BDSG, 3. Auflage 2020, Art. 77 DS-GVO, Rn. 16). Nach Maßgabe dieser Grundsätze hat der Antragsgegner seine Pflichten bei der Bearbeitung der Beschwerde des Antragstellers erfüllt. Er hat den Sachverhalt ermittelt, indem er das Beschwerdevorbringen zur Kenntnis genommen und die D... zur Stellungnahme aufgefordert hat. Er hat den Sachverhalt anschließend bewertet und dem Antragsteller das Ergebnis seiner Prüfung mit Abschlussbescheid der Berliner Beauftragten für Datenschutz und Informationsfreiheit vom 25. September 2019 mitgeteilt. Weiter hat er den Antragsteller auf die Möglichkeit gerichtlichen Rechtschutzes gegen die Beschwerdeentscheidung nach Art. 78 Abs. 1 DS-GVO hingewiesen und der Mitteilung eine entsprechende Rechtsmittelbelehrung beigefügt (siehe hierzu Art. 77 Abs. 2 DS-GVO).

Umstritten ist zwar, ob eine weitergehende gerichtliche Überprüfung zum Inhalt der Beschwerdeentscheidung vorzunehmen ist. Dies hat die Kammer in einer Eilentscheidung verneint, weil das Beschwerderecht als Petitionsrecht ausgestaltet sei (Beschluss vom 28. Januar 2019, VG 1 L 1.19, juris, Rn. 5; so nunmehr auch OVG Koblenz, Urteil vom 26. Oktober 2020 – 10 A 10613/20, juris, Rn. 37 ff.; a.A. Halder, jurisPR-ITR 16/2020 Anm. 6; Bergt, a.a.O., Rn. 17, jeweils mwN). Ausgehend hiervon ist der Anspruch des Antragstellers erfüllt, weil dessen Beschwerde zur Kenntnis genommen, geprüft und beschieden worden ist. Selbst unter Zugrundelegung der Gegenmeinung wäre der Anspruch hier erfüllt. Nach der Gegenauffassung steht der betroffenen Person ein Anspruch auf eine ermessensfehlerfreie Entscheidung zu, welche gerichtlich überprüfbar und durchsetzbar sein soll (Halder, jurisPR-ITR 16/2020 Anm. 6); eine konkrete Maßnahme kann die betroffene Person hingegen nicht verlangen (vgl. Urteil der Kammer vom 18. Januar 2021 – VG 1 K 206.19; Bergt, a.a.O., Rn. 17). Auch unter Zugrundelegung dieses Maßstabs gilt im Ergebnis nichts anderes. Der Anspruch des Antragstellers auf eine ermessensfehlerfreie Entscheidung über ein Einschreiten des Beklagten gegen die D... ist erfüllt. Der Abschlussbescheid der Berliner Beauftragten für Datenschutz und Informationsfreiheit vom 25. September 2019 führt aus, dass die D... wegen ihrer unvollständigen Auskunft gegen Art. 15 DS-GVO verstoßen habe und sie deshalb verwarnt worden sei. Den datenschutzrechtlichen Belangen des Antragstellers ist damit ausreichend Rechnung getragen. Warum der Antragsteller gleichwohl meint, der Abschlussbescheid sei für ihn nicht positiv, bleibt unklar. Ein Anspruch auf Verhängung eines Bußgeldes gegen die D... steht ihm dagegen nicht zu, weil er eine konkrete Maßnahme nicht verlangen kann.


Den Volltext der Entscheidung finden Sie hier:

HmbBfDI verbietet Facebook personenbezogene Daten von WhatsApp zu eigenen Zwecken zu verarbeiten - auch sofortiger Vollzug angeordnet

Der Hamburgische Beauftragte für Datenschutz und Informationsfreiheit (HmbBfDI) hat Facebook per Anordnung verboten, personenbezogene Daten von WhatsApp zu eigenen Zwecken zu verarbeiten. Es wurde auch der sofortige Vollzug angeordnet.

Die Pressemitteilung des Gerichts:

Anordnung des HmbBfDI: Verbot der Weiterverarbeitung von WhatsApp-Nutzerdaten durch Facebook

Der Hamburgische Beauftragte für Datenschutz und Informationsfreiheit (HmbBfDI) hat eine Anordnung erlassen, die der Facebook Ireland Ltd. verbietet, personenbezogene Daten von WhatsApp zu verarbeiten, soweit dies zu eigenen Zwecken erfolgt. Der sofortige Vollzug wurde angeordnet. Dies erfolgt im Rahmen des Dringlichkeitsverfahrens der Datenschutzgrundverordnung (DSGVO), das den Erlass von Maßnahmen mit einer begrenzten Geltungsdauer im jeweiligen Hoheitsgebiet vorsieht.

Hintergrund des Verfahrens ist die Aufforderung an alle Nutzerinnen und Nutzer von WhatsApp, den neuen Nutzungs- und Privatsphärebestimmungen bis zum 15. Mai zuzustimmen. Damit lässt sich WhatsApp weitreichende Befugnisse für eine Datenweitergabe an Facebook einräumen.

Mit den neuen Bedingungen werden die Befugnisse zur Datenverarbeitung formal erneuert und künftig inhaltlich erweitert. Das betrifft u.a. die Auswertung von Standortinformationen, die Weitergabe von Kommunikationsdaten der Nutzer von Unternehmen auf WhatsApp an Drittunternehmen ausdrücklich mit Hinweis auf Facebook, den zusätzlichen Zweck der Sicherstellung der Integrität der Dienste sowie die unternehmensübergreifende Verifizierung des Accounts, um den Dienst auf „angemessene Weise“ zu nutzen. Ferner wird die Nutzung der Daten zur Verbindung mit Produkten von Facebook-Unternehmen eröffnet. Ein berechtigtes Interesse für die Datenverarbeitung bzw. für den Austausch der Daten wird künftig pauschal auch gegenüber minderjährigen Nutzern vorgebracht. Ferner fällt der bislang vorhandene Hinweis weg, dass WhatsApp-Nachrichten nicht für andere sichtbar auf Facebook geteilt werden.

Nach Auswertung des gegenwärtigen Sachstands und Anhörung der Facebook Ireland Ltd. fehlt für eine Verarbeitung durch Facebook zu eigenen Zwecken ungeachtet der von WhatsApp derzeit eingeholten Zustimmung zu den Nutzungsbedingungen eine ausreichende rechtliche Grundlage. Die Bestimmungen zur Datenweitergabe finden sich verstreut auf unterschiedlichen Ebenen der Datenschutzerklärung, sie sind unklar und in ihrer europäischen und internationalen Version schwer auseinanderzuhalten. Zudem sind sie inhaltlich missverständlich und weisen erhebliche Widersprüche auf. Auch nach genauer Analyse lässt sich nicht erkennen, welche Konsequenzen die Zustimmung für die Nutzerinnen und Nutzer hat. Ferner erfolgt die Zustimmung nicht aus freien Stücken, da WhatsApp die Einwilligung in die neuen Bestimmungen als Bedingung für die Weiternutzung der Funktionalitäten des Dienstes einfordert.

Datenschutzrechtliche Grundlagen, die eine eigenständige Verarbeitungsbefugnis durch Facebook begründen könnten, liegen vor diesem Hintergrund nicht vor. Insbesondere kann Facebook kein überwiegendes berechtigtes Interesse an der Verarbeitung der Daten von WhatsApp-Nutzerinnen und -Nutzern geltend machen, da deren Rechte und Freiheiten entgegenstehen. Die Zustimmung erfolgt weder transparent noch freiwillig. Das gilt in besonderer Weise für Kinder. Aus diesen Gründen kommt eine datenschutzrechtliche Einwilligung als Rechtsgrund nicht in Betracht. Die Verarbeitung der Daten der Nutzer von WhatsApp ist für Facebook auch nicht zur Durchführung eines Vertrages erforderlich.

Die Untersuchung der neuen Bestimmungen hat gezeigt, dass die enge Verbindung zwischen den beiden Unternehmen weiter ausgebaut werden soll, damit Facebook die Daten der WhatsApp-Nutzerinnen und -Nutzer jederzeit zu eigenen Zwecken verwenden kann. Für die Bereiche Produktverbesserung und Werbung behält sich WhatsApp die Weitergabe an Facebook-Unternehmen vor, ohne dass es hierzu noch einer Einwilligung der Betroffenen bedarf. In anderen Bereichen ist von einer Nutzung für eigene Zwecke nach Maßgabe der Datenschutzrichtlinie bereits derzeit auszugehen. Darin bzw. in den FAQ wird etwa beschrieben, dass für die Netzwerksicherheit und zur Verhinderung des Sendens von Spam bereits aktuell Daten der WhatsApp-Nutzer wie etwa Telefonnummern und Gerätekennungen zwischen den Unternehmen für gemeinsame Zwecke ausgetauscht werden. Eine Untersuchung der federführenden Aufsichtsbehörde über die tatsächliche Praxis der Datenweitergabe und -nutzung hat es bislang trotz unserer Aufforderung nicht gegeben.

Die Nutzerinnen und Nutzer werden von WhatsApp mit intransparenten Bedingungen für eine weitreichende Datenweitergabe konfrontiert. Gleichzeitig wird behauptet, die beschriebenen Verarbeitungen würden tatsächlich gar nicht ausgeführt, um sie dann zu einem späteren Zeitpunkt schrittweise auf Grundlage des auf Zustimmung der Nutzerinnen und Nutzer gegründeten Rechtsrahmens umzusetzen. Diese Strategie erfolgt gegenwärtig insbesondere bei der neu eingeführten Funktion des Business-Marketings, die es unter Einschluss von Facebook ermöglicht, zum Versenden von Direktwerbung und der Marketingkommunikation unternehmensübergreifend Daten zu verarbeiten. Insgesamt entspricht das Vorgehen sowohl mit Blick auf Datenverarbeitungen, die laut Datenschutzrichtlinie bereits derzeit ausgeführt werden, als auch solchen, die durch Facebook jederzeit umgesetzt werden können, nicht den Vorgaben der DSGVO.

Hierzu Johannes Caspar, Hamburgischer Beauftragter für Datenschutz und Informationsfreiheit: „Die Anordnung soll die Rechte und Freiheiten der vielen Millionen Nutzerinnen und Nutzer sichern, die deutschlandweit ihre Zustimmung zu den Nutzungsbedingungen geben. Es gilt, Nachteile und Schäden, die mit einem derartigen Black-Box-Verfahren verbunden sind, zu verhindern. Die Datenschutz-Skandale der letzten Jahre von „Cambridge Analytica“ bis hin zu dem kürzlich bekannt geworden Datenleck, von dem mehr als 500 Millionen Facebook-Nutzer betroffen waren, zeigen das Ausmaß und die Gefahren, die von einer massenhaften Profilbildung ausgehen. Das betrifft nicht allein die Privatsphäre, sondern auch die Möglichkeit, Profile zur Beeinflussung von Wählerentscheidungen einzusetzen, um demokratische Entscheidungen zu manipulieren. Die Gefahr ist angesichts von fast 60 Millionen Nutzerinnen und Nutzern von WhatsApp mit Blick auf die in Deutschland im September 2021 anstehenden Bundestagswahlen umso konkreter, da diese Begehrlichkeiten nach Beeinflussung der Meinungsbildung seitens der Anzeigekunden von Facebook wecken werden. Die nun erlassene Anordnung bezieht sich auf die Weiterverarbeitung von WhatsApp-Nutzerdaten und richtet sich an die Adresse von Facebook. Die weltweite Kritik gegen die neuen Nutzungsbedingungen sollte Anlass geben, den Zustimmungsmechanismus noch einmal grundlegend zu überdenken. Ohne Vertrauen der Nutzerinnen und Nutzer kann auf Dauer kein auf Daten gegründetes Geschäftsmodell erfolgreich sein.“

Aufgrund des beschränkten Zeitrahmens der Anordnung im Dringlichkeitsverfahren von lediglich drei Monaten wird der HmbBfDI eine Befassung durch den Europäischen Datenschutzausschuss (EDSA) beantragen, um eine Entscheidung auf europäischer Ebene herbeizuführen.

BAG legt EuGH vor: Stehen Anforderungen des BDSG an Abberufung eines betrieblichen Datenschutzbeauftragten mit DSGVO im Einklang ?

BAG
Beschluss vom 27.04.2021 - 9 AZR 383/19 (A)
Beschluss vom 27.04.2021 - 9 AZR 621/19 (A)


Das BAG hat dem EuGH zu Entscheidung vorgelegt, ob die Anforderungen des BDSG an die Abberufung eines betrieblichen Datenschutzbeauftragten mit den Vorgaben der DSGVO in Einklang stehen.

Die Pressemitteilung des Gerichts:

Abberufung eines Beauftragten für Datenschutz

Zur Klärung der Frage, ob die Anforderungen des Bundesdatenschutzgesetzes (BDSG) an die Abberufung eines betrieblichen Datenschutzbeauftragten im Einklang mit der europäischen Datenschutz-Grundverordnung (DSGVO) stehen, hat der Neunte Senat des Bundesarbeitsgerichts ein Vorabentscheidungsersuchen an den Gerichtshof der Europäischen Union gerichtet.

Der Kläger ist der von der Arbeit teilweise freigestellte Vorsitzende des bei der Beklagten gebildeten Betriebsrats. Mit Wirkung zum 1. Juni 2015 wurde er zusätzlich zum betrieblichen Datenschutzbeauftragten der Beklagten und - parallel dazu - drei weiterer Konzernunternehmen bestellt. Die Beklagte berief den Kläger (ebenso wie die drei weiteren Konzernunternehmen) mit Schreiben vom 1. Dezember 2017 und - nach Inkrafttreten der DSGVO - mit weiterem Schreiben vom 25. Mai 2018 als Datenschutzbeauftragten ab. Mit seiner Klage hat der Kläger geltend gemacht, seine Rechtsstellung als Datenschutzbeauftragter bestehe unverändert fort. Die Beklagte hat die Auffassung vertreten, es drohten Interessenkonflikte, wenn der Kläger zugleich Datenschutzbeauftragter und Betriebsratsvorsitzender sei. Dies führe zu einer Unvereinbarkeit beider Ämter, die einen wichtigen Grund zur Abberufung des Klägers darstelle.

Die Vorinstanzen haben der Klage stattgegeben. Für die Entscheidung, ob die Beklagte den Kläger wirksam von seinem Amt als betrieblicher Datenschutzbeauftragter abberufen hat, kommt es auf die Auslegung von Unionsrecht an, die dem Gerichtshof der Europäischen Union vorbehalten ist. Das nationale Datenschutzrecht regelt in § 38 Abs. 2 iVm. § 6 Abs. 4 Satz 1 BDSG, dass für die Abberufung eines betrieblichen Datenschutzbeauftragten ein wichtiger Grund iSv. § 626 BGB vorliegen muss. Damit knüpft es die Abberufung eines Datenschutzbeauftragten an strengere Voraussetzungen als das Unionsrecht, nach dessen Art. 38 Abs. 3 Satz 2 DSGVO die Abberufung lediglich dann nicht gestattet ist, wenn sie wegen der Aufgabenerfüllung des Datenschutzbeauftragten vorgenommen wird. Einen wichtigen Grund zur Abberufung verlangt das europäische Recht nicht.

Der Neunte Senat des Bundesarbeitsgerichts hält unter Zugrundelegung der bisherigen Rechtsprechung vorliegend keinen wichtigen Abberufungsgrund für gegeben. Deshalb hat er sich nach Art. 267 AEUV mit der Frage an den Gerichtshof gewandt, ob neben der Regelung in Art. 38 Abs. 3 Satz 2 DSGVO mitgliedstaatliche Normen anwendbar sind, die - wie § 38 Abs. 2 iVm. § 6 Abs. 4 Satz 1 BDSG - die Möglichkeit der Abberufung eines Datenschutzbeauftragten gegenüber den unionsrechtlichen Regelungen einschränken. Sollte der Gerichtshof

die Anforderungen des BDSG an eine Abberufung für unionsrechtskonform erachten, hält der Senat es zudem für klärungsbedürftig, ob die Ämter des Betriebsratsvorsitzenden und des Datenschutzbeauftragten in einem Betrieb in Personalunion ausgeübt werden dürfen oder ob dies zu einem Interessenkonflikt iSv. Art. 38 Abs. 6 Satz 2 DSGVO führt.

Bundesarbeitsgericht, Beschluss vom 27. April 2021 - 9 AZR 383/19 (A) -
Vorinstanz: Sächsisches Landesarbeitsgericht, Urteil vom 19. August 2019 - 9 Sa 268/18

Der Senat hat mit weiterem Beschluss vom 27. April 2021 den Gerichtshof in der Sache - 9 AZR 621/19 (A) - mit teilweise gleichgelagerten Fragen um Vorabentscheidung ersucht.



OVG Schleswig-Holstein: Berufung auf Auskunftsverweigerungsrecht nach § 40 Abs. 4 S. 2 BDSG erstmals im Zwangsgeldverfahren ist zu spät

OVG Schleswig-Holstein
Beschluss vom 19.03.2021
8 B 7/21


Das OVG Schleswig-Holstein hat entschieden, dass die Berufung auf ein Auskunftsverweigerungsrecht nach § 40 Abs. 4 S. 2 BDSG erstmals im Zwangsgeldverfahren zu spät ist.

Aus den Entscheidungsgründen:

Der Antrag nach § 80 Abs. 5 S. 1 VwGO, die aufschiebende Wirkung der Klage 8 A 47/21 vom 19.02.2021 gegen die mit Bescheid vom 05.02.2021 (Bl. 30 Beiakte „A“) verfügte Zwangsgeldfestsetzung anzuordnen, ist zulässig, aber unbegründet.

Die Zwangsgeldfestsetzung erweist sich nach summarischer Prüfung als offensichtlich rechtmäßig, so dass das gesetzlich indizierte (§ 248 Abs. 1 S. 2 LVwG) öffentliche Vollziehungsinteresse das Aussetzungsinteresse der Antragstellerin überwiegt. Ihre Rechtsgrundlage findet die Zwangsgeldfestsetzung in § 237 LVwG. Das Zwangsgeld ist ordnungsgemäß i. S. d. § 236 Abs. 1 S. 1 LVwG angedroht worden. Es hält sich im gesetzlichen Rahmen (§ 237 Abs. 3 LVwG) und steht zum öffentlichen Interesse einerseits und der wirtschaftlichen Bedeutung für die Antragstellerin andererseits in einem angemessenen Verhältnis. Die zugrundeliegende Ordnungsverfügung vom 21.12.2020 (Bl. 17 Beiakte A) ist unstreitig bestandskräftig geworden und die Antragstellerin ist den in dieser Verfügung angeordneten Auskünften nicht nachgekommen.

Die Antragstellerin kann sich gegenüber der Zwangsgeldfestsetzung auch nicht auf das aus § 40 Abs. 4 S. 2 BDSG folgende Auskunftsverweigerungsrecht berufen. Nach dieser Vorschrift kann der Auskunftspflichtige die Auskunft auf solche Fragen verweigern, deren Beantwortung ihn selbst oder einen Angehörigen der Gefahr strafgerichtlicher Verfolgung oder eines Verfahrens nach dem Gesetz über Ordnungswidrigkeiten aussetzen würde, worauf der Auskunftspflichtige hinzuweisen ist.

Die Antragstellerin greift mit ihrer Berufung auf ein Auskunftsverweigerungsrecht die hier zugrundeliegende Verfügung vom 21.12.2020 an. Diese ist jedoch bestandskräftig. Anhaltspunkte für eine Nichtigkeit sind nicht ersichtlich. Sie hat sich im die Grundverfügung betreffenden Verfahren zu keinem Zeitpunkt auf ein Auskunftsverweigerungsrecht berufen. In einem solchen Fall gilt der allgemeine Grundsatz des § 248 Abs. 2 LVwG, dass Einwendungen gegen den dem Vollzug zugrundeliegenden Verwaltungsakt nur außerhalb des Vollzugsverfahrens mit den dafür zugelassenen Rechtsbehelfen geltend gemacht werden können. Folglich kann ein Auskunftsverweigerungsrecht im Vollzugsverfahren nicht mehr mit Erfolg geltend gemacht werden (vgl. VG Göttingen, Urteil vom 31.05.2017, 1 A 83/15, BeckRS 2017, 116998 zu § 38 Abs. 3 S. 2 BDSG a.F.; VG Minden, Urteil vom 26.04.2012, 2 K 884/12, zitiert nach juris). Damit wird dem rechtsstaatlichen Gehalt des Aussagverweigerungsrechts ausreichend Rechnung getragen.


Den Volltext der Entscheidung finden Sie hier:

Volltext LG Berlin: 14,5 Millionen EURO DSGVO-Bußgeld gegen Deutsche Wohnen SE aufgehoben - § 30 OWiG gilt über § 41 Absatz 1 BDSG auch für DSGVO-Verstöße

LG Berlin
Beschluss vom 18.02.2021
(526 OWi LG) 212 Js-OWi 1/20 (1/20), 526 OWiG LG 1/20


Das LG Berlin hat das 14,5 Millionen EURO DSGVO-Bußgeld gegen die Deutsche Wohnen SE (siehe dazu Berliner Datenschutzbeauftragter: Bußgeld von 14,5 Millionen EURO gegen Deutsche Wohnen SE wegen DSGVO-Verstößen) aufgehoben. Das Gericht führt u.a. aus, dass § 30 OWiG über § 41 Absatz 1 BDSG auch für DSGVO-Verstöße gilt.

Die Entscheidungsgründe:
I. Die Betroffene ist ein börsennotiertes Immobilienunternehmen mit Sitz in Berlin. Sie hält über gesellschaftsrechtliche Beteiligungen mittelbar 162.700 Wohneinheiten und 3.000 Gewerbeeinheiten. Eigentümer dieser Einheiten sind Tochtergesellschaften der Betroffenen, sogenannte Besitzgesellschaften, die das operative Geschäft führen und die mit der Betroffenen einen Konzern bilden. Die Geschäftstätigkeit der Betroffenen konzentriert sich auf die übergeordnete Leitung, wie die Geschäftsführung, das Personalwesen oder das Finanz- und Rechnungswesen. Die Besitzgesellschaften vermieten die Wohn- und Gewerbeeinheiten, die Verwaltung der Einheiten erfolgt ebenfalls durch Konzerngesellschaften, die sogenannten Servicegesellschaften.

Im Rahmen ihrer Geschäftstätigkeit verarbeiten die Betroffene und die genannten Konzerngesellschaften unter anderem auch personenbezogene Daten von Mieterinnen und Mietern der Wohn- und Gewerbeeinheiten. Dies geschieht im Rahmen der Neuvermietung eines Objektes, der laufenden Verwaltung eines bestehenden Mietverhältnisses oder auch beim Erwerb von bereits vermieteten Immobilien und der Übernahme der mit diesen verbundenen Mietverhältnissen. Bei diesen Daten handelt es sich unter anderem um Identitätsnachweise (etwa Personalausweiskopien), Bonitätsnachweise (etwa Kontoauszüge), Gehaltsbescheinigungen, Arbeitsnachweise, Steuer-, Sozial- und Krankenversicherungsdaten sowie Angaben zu Vormietverhältnissen

Am 23. Juni 2017 wies die Berliner Beauftragte für den Datenschutz („BlnBDI“ oder „Behörde“) im Rahmen einer sogenannten Vor-Ort-Kontrolle nach § 38 Absatz 4 Bundesdatenschutzgesetz a.F. die Betroffene darauf hin, dass ihrer Auffassung nach Konzerngesellschaften der Betroffenen personenbezogene Daten von Mieterinnen und Mietern in einem elektronischen Archivsystem speicherten, bei dem nicht überprüft werden könne, ob eine erfolgte Speicherung zulässig oder erforderlich ist und bei dem nicht mehr erforderliche Daten nicht gelöscht werden könnten, obgleich dies nach den geltenden datenschutzrechtlichen Bestimmungen zu erfolgen habe. Im Hinblick auf diesen Umstand forderte die Behörde die Betroffene mit Schreiben vom 8. September 2017 auf, eine Vielzahl beanstandeter Dokumente aus dem elektronischen Archivsystem bis Jahresende 2017 zu löschen. Die Betroffene teilte daraufhin mit Schreiben vom 22. September 2017 mit, dass ihr die verlangte Löschung der beanstandeten Dokumente aus technischen und rechtlichen Gründen nicht möglich sei. Eine Löschung der Dokumente erfordere insbesondere zunächst die Überführung der alten Archivdaten in ein neues Archivsystem, welches wiederum Konformität mit den gesetzlichen handels- und steuerrechtlichen Aufbewahrungspflichten aufweisen müsse. Zu diesen Einwänden fand auf Wunsch der Betroffenen sodann am 1. November 2017 ein Gespräch zwischen Vertretern der Behörde und der Betroffenen statt, indem die Behörde insbesondere die Auffassung vertrat, dass es am Markt technische Lösungen gebe, die eine Umsetzung der begehrten Löschungen erlaube. Nachdem die Betroffene unter dem 30. November 2017 noch einmal schriftlich dargelegt hatte, dass die Löschungen innerhalb der gesetzten Frist nicht erfolgen könnten, forderte die Behörde die Betroffene mit Schreiben vom 20. Dezember 2017 dazu auf, die der Löschung entgegenstehenden Gründe, insbesondere einen etwaigen unverhältnismäßigen Aufwand schriftlich darzulegen. Die Betroffene beantwortete diese Aufforderung mit einer E-Mail vom 3. Januar 2018 und einem Schreiben vom 26. Januar 2018 und berichtete über den vorgesehenen Aufbau eines neuen Speichersystems, mit dem das bisherige beanstandete System ersetzt werden sollte.

Am 5. März 2020 nahm die BlnBDI sodann eine Prüfung in der Konzernzentrale der Betroffenen vor, bei der insgesamt 16 Stichproben im Datenbestand der Betroffenen entnommen wurden und die Betroffene die Behörde unterrichtete, dass das beanstandete Archivsystem zum 13. Februar 2020 außer Betrieb gesetzt worden sei und die Migration der Daten auf das neue System unmittelbar bevorstehe. An diesen Termin schloss sich weiterer Briefwechsel zwischen der Betroffenen und der Behörde an, insbesondere hat die Behörde die Betroffene um zahlreiche Auskünfte ersucht, die die Betroffene in mehreren Schreiben bedient hat.

Mit Schreiben vom 30. August 2020, zugestellt am 2. September 2020, hörte die Behörde die ... als Betroffene wegen einer Ordnungswidrigkeit an und teilte ihr mit, gegen sie ein Ordnungswidrigkeitsverfahren eingeleitet zu haben. Mit der Anhörung verlangte die Behörde Auskunft über die vertretungsberechtigten Leitungspersonen der Betroffenen, die die Betroffene mit Schreiben vom 12. September 2020 beantwortet hat. Nach Stellungnahme der Betroffenen mit Schreiben vom 30. September 2020 erließ die BlnBDI am 30. Oktober 2020 sodann den verfahrensgegenständlichen Bußgeldbescheid gegen die Betroffene, der dieser am 31. Oktober 2020 zugestellt worden ist. Die Behörde verhängte mit dem Bußgeldbescheid vom 30. Oktober 2020 gegen die Betroffene wegen „vorsätzlicher“ Verstöße gegen Artikel 25 Absatz 1, Artikel 5 Absatz 1 lit. a), c) und e) sowie gegen Artikel 6 Absatz 1 DS-GVO ein Bußgeld in Höhe von EUR 14.549.503,50. Die ... als Betroffene habe es danach zumindest im Tatzeitraum zwischen dem 25. Mai 2018 und dem 5. März 2019 unterlassen, die notwendigen Maßnahmen zur Ermöglichung der regelmäßigen Löschung nicht mehr benötigter oder in sonstiger Weise zu Unrecht gespeicherter Daten von Mietern zu treffen. Die ... habe ferner personenbezogene Daten von mindestens fünfzehn näher bezeichneten Mietern fortgesetzt gespeichert, obgleich ihr bekannt gewesen sei, dass die Speicherung nicht oder nicht mehr erforderlich war und sie habe damit bewusst in Kauf genommen, Datenschutzgrundsätze zu verletzen. Hinsichtlich der Tatvorwürfe habe die ... vorsätzlich gehandelt.

Mit Schreiben ihrer Prozessbevollmächtigten vom 7. November 2020 legte die Betroffene gegen den Bußgeldbescheid Einspruch ein, der der Behörde noch am selben Tage durch Faxschreiben zuging und den die Betroffene mit Schriftsatz ihrer Prozessbevollmächtigten vom 14. August 2020 begründete. Sie führt neben Einwänden zu den tatbestandlichen Voraussetzungen und Rechtsfolgen der vermeintlich verletzten Bußgeldvorschriften insbesondere aus, dass bereits ein Verfahrenshindernis bestehe, da der Bußgeldbescheid die ... als Betroffene führe, was im Ordnungswidrigkeitenrecht nicht vorgesehen sei.

Wegen des weiteren Sachstandes wird auf den Akteninhalt verwiesen.

II. Das Verfahren war nach § 206a StPO in Verbindung mit §§ 46, 71 OWiG durch Beschluss einzustellen, da ein Verfahrenshindernis besteht.

1. Der Bußgeldbescheid der Berliner Beauftragten für Datenschutz und Informationsfreiheit vom 30. Oktober 2019 leidet unter derart gravierenden Mängeln, dass er nicht Grundlage des Verfahrens sein kann.

a) Der Bußgeldbescheid wurde gegen die ... erlassen, mithin gegen eine Europäische Gesellschaft, eine juristische Person des Privatrechts mit eigener Rechtspersönlichkeit i.S.v. § 1 Absatz 1 AktG in Verbindung mit §§ 1 ff. SEAG in Verbindung mit Artikel 1 Absatz 3 der Verordnung (EG) Nr. 2157/2001 des Rates vom 8. Oktober 2001 über das Statut der Europäischen Gesellschaft. Die ... wurde von der BlnBDI als Betroffene im Sinne des Gesetzes über Ordnungswidrigkeiten behandelt. Ihr wurde im Bußgeldbescheid an zahlreichen Stellen die vorsätzliche Verwirklichung von Ordnungswidrigkeitstatbeständen vorgeworfen. In der Stellungnahme der Berliner Beauftragten für Datenschutz und Informationsfreiheit vom 28. Oktober 2020 zur Einspruchsbegründung der Betroffenen hat die Behörde bekräftigt, der Bescheid richte sich allein gegen die ..., vertreten durch ihre Geschäftsführung.

Eine juristische Person kann indes nicht Betroffene in einem Bußgeldverfahren, auch nicht in einem solchen nach Artikel 83 der Verordnung (EU) 2016/679 des Europäischen Parlaments und des Rates vom 27. April 2016 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten, zum freien Datenverkehr und zur Aufhebung der Richtlinie 95/46/EG (Datenschutz-Grundverordnung oder DS-GVO), sein. Denn eine Ordnungswidrigkeit kann nur eine natürliche Person vorwerfbar begehen. Der juristischen Person kann lediglich ein Handeln ihrer Organmitglieder oder Repräsentanten (der natürlichen Personen) zugerechnet werden. Sie kann deshalb im Bußgeldverfahren nur Nebenbeteiligte sein. Die Verhängung einer Geldbuße gegen sie ist in § 30 OWiG geregelt, der über § 41 Absatz 1 BDSG auch für Verstöße nach Artikel 83 Absatz 4 bis 6 DS-GVO Anwendung findet. Danach kann entweder in einem einheitlichen Verfahren gegen die juristische Person eine Geldbuße festgesetzt werden, wenn wegen der Tat des Organmitgliedes oder Repräsentanten, also der natürlichen Person, gegen diese ein Bußgeldverfahren durchgeführt wird, oder aber nach § 30 Absatz 4 OWiG in einem selbständigen Verfahren. Voraussetzung ist dann freilich, dass wegen der Tat des Organmitgliedes oder Repräsentanten der juristischen Person ein Verfahren nicht eingeleitet oder ein solches Verfahren eingestellt wird. Allerdings muss, da die juristische Person selbst eine Ordnungswidrigkeit nicht begehen kann, auch in diesem sogenannten selbständigen Verfahren eine vorwerfbare Ordnungswidrigkeit eines Organmitgliedes der juristischen Person festgestellt werden.

Der verfahrensgegenständliche Bußgeldbescheid vom 30. Oktober 2019 wurde offensichtlich nicht als selbständiger Bescheid gemäß § 30 Absatz 4 OWiG erlassen. Die BlnBDI war sich der dargestellten Rechtslage nicht bewusst und vertritt die Auffassung, eine juristische Person könne im Ordnungswidrigkeitenrecht wie eine natürliche Person behandelt werden. Der Bußgeldbescheid erging daher in einem Verfahren, das im Gesetz über Ordnungswidrigkeiten nicht vorgesehen und daher nicht zulässig ist. Der Bescheid ist deshalb unwirksam (vgl. OLG Stuttgart, Beschluss vom 1. Februar 1993 – 4 Ss 573/92, MDR 1993, 572).

aa) Dabei übersieht die Kammer nicht, dass in der rechtswissenschaftlichen Literatur und vom Landgericht Bonn (Urteil vom 11. November 2020 – 29 OWi 1/20, BeckRS 2020, 35663) vertreten wird, Artikel 83 DS-GVO allein sei hinreichende Rechtsgrundlage für eine sogenannte unmittelbare Verbandshaftung juristischer Personen (vgl. etwa: BeckOK DatenschutzR/Holländer DS-GVO Art. 83 Rn. 9; Kühling/Buchner/Bergt, DS-GVO BDSG, DSGVO Art. 83 Rn. 20; BeckOK DatenschutzR/Brodowski/Nowak, § 41 BDSG Rn. 11). Nach dieser Auffassung besteht für die Datenschutz-Grundverordnung ein Anwendungsvorrang vor nationalen Vorschriften, da es andernfalls zu ungewünschten Wettbewerbsverzerrungen in den Mitgliedsstaaten der Europäischen Union im Hinblick auf die Durchsetzungen der europarechtlichen Datenschutzregeln kommen könne. Nationale Vorschriften wie § 41 Absatz 1 BDSG in Verbindung mit §§ 30, 130 OWiG, seien wegen des Grundsatzes der praktischen Wirksamkeit (effet utile) so auszulegen, dass ihre Anwendung nicht zu Vollzugsdefiziten führen könne – und wo dies nicht gelänge, seien sie gar nicht anzuwenden. Schließlich gäben die Erwägungsgründe der Datenschutz-Grundverordnung Hinweis darauf, dass der europäische Verordnungsgesetzgeber das Sanktionsregime des europäischen Kartellrechtes habe nachbilden wollen, dem eine unmittelbare Verbandshaftung zugrunde liege. Danach bedarf es gerade nicht der Feststellung einer Tathandlung durch eine natürliche Person, die dem Verband zugerechnet werden müsste (sogenannte Anknüpfungstat). Vielmehr sei die juristische Person selbst Täter und nach dem insoweit unmittelbar anwendbaren Unionsrecht auch schuldfähig.

bb) Dieser Auffassung vermag sich die Kammer indes nicht anzuschließen.

Nach Artikel 83 DS-GVO in Verbindung mit Artikel 4 Nr. 7 und 8 DS-GVO sind Geldbußen für Verstöße gegen die DS-GVO gemäß Artikel 83 Absätze 4 bis 6 DS-GVO nicht nur gegen natürliche Personen, sondern auch gegen juristische Personen als „Verantwortlicher“ im Sinne des Artikel 4 Nr. 7 DS-GVO oder „Auftragsverarbeiter“ im Sinne des Artikel 4 Nr. 8 DS-GVO zu verhängen. Nähere Bestimmungen zur strafrechtlichen Verantwortlichkeit juristischer Personen für von ihnen zurechenbaren natürlichen Personen begangene Verstöße gegen die Datenschutz-Grundverordnung enthält die Verordnung indes nicht.

Auf das von der BlnBDI geführte Ordnungswidrigkeitsverfahren für die Verhängung einer Geldbuße nach Artikel 83 Absatz 4-6 DS-GVO findet nach § 41 BDSG aber das Gesetz über Ordnungswidrigkeiten Anwendung. Die Norm dient – neben der allgemeinen Umsetzungsverpflichtung europäischen Rechts aus Artikel 197 Absatz 3 Satz 1, 291 Absatz 1 des Vertrags über die Europäische Union und des Vertrags über die Arbeitsweise der Europäischen Union (AEUV) – der Umsetzung des spezifischen Regelungsauftrages aus Artikel 83 Absatz 8 DS-GVO. Danach haben die Mitgliedstaaten für die Ausübung der Befugnisse gemäß Artikel 83 DS-GVO durch die zuständige Aufsichtsbehörde angemessene Verfahrensgarantien einschließlich wirksamer gerichtlicher Rechtsbehelfe und ordnungsgemäßer Verfahren vorzusehen. § 41 Absatz 1 BDSG erklärt daher die Anwendung des Gesetzes über Ordnungswidrigkeiten für die Verstöße nach Artikel 83 Absatz 4 bis 6 DS-GVO und damit für das „ob“ einer Tatbestandsverwirklichung unter Ausnahme der §§ 17, 35, 36 OWiG, für anwendbar. § 41 Absatz 2 BDSG regelt sinngleiches für das Verfahren wegen eines Verstoßes gegen Artikel 83 Absatz 4 bis 6 DS-GVO. Die Regelung ist erforderlich, da das Gesetz über Ordnungswidrigkeiten nach dessen § 2 Absatz 2 Satz 2 nur für Bundes- und Landesrecht gilt. Der Nichtanwendungsbefehl für die §§ 17, 35, 36 OWiG folgt dabei daraus, dass in der diesen Normen zugrundeliegenden Regelungsmaterie, namentlich der Bußgeldhöhe und der Zuständigkeit der Aufsichtsbehörde, die Datenschutz-Grundverordnung abschließende Regelungen getroffen hat (vgl. BT-Drs. 18/11325, S. 108 zu § 41). Für den Bereich der Zurechnung schuldhaften Verhaltens ist dies freilich nicht der Fall, weshalb die §§ 30, 130 OWiG auch im Rahmen von Verstößen nach Artikel 83 Absatz 4 bis 6 DS-GVO anwendbar bleiben (vgl. Gola, Datenschutzgrundverordnung, Art. 83, Rn. 11; Sydow/Popp DS-GVO Art. 83 Rn. 5, Art. 84 Rn. 3; Piltz, BDSG Praxiskommentar für die Wirtschaft, § 41 Rn. 7 ff.; Schantz/Wolff, Das neue Datenschutzrecht, Rn. 1128, 1132-1135; zur vergleichbaren Rechtslage in Österreich: ÖVwGH, Erkenntnis vom 12.5.2020 – Ro 2019/04/0229, ZD 2020, 463; BVwG, Spruch vom 19. August 2019 – W211 2217629-1/10E Rn. 29 ff.; Spruch vom 23. Oktober 2019 – W258 2227269-1/114E, sub. 3.11).

Die Regelung der Zurechnung der durch natürliche Personen begangenen Verstöße ist erforderlich, da die juristische Person selbst nicht handelt, ihre Organe und Vertreter tun dies für sie. Eine Ordnungswidrigkeit aber ist eine rechtswidrige und vorwerfbare Handlung, die den Tatbestand eines Gesetzes verwirklicht, welches die Ahndung mit einer Geldbuße zulässt (vgl. § 1 Absatz 1 OWiG). Insoweit ist die Feststellung eines vorwerfbaren Verhaltens einer natürlichen Person die notwendige Grundvoraussetzung für die Begründung einer Verantwortlichkeit des möglicherweise pflichtigen Rechtsträgers.

Der Wortlaut des § 41 Absatz 1 Satz 1 BDSG, der für Verstöße nach Artikel 83 Absatz 4 bis 6 der DS-GVO die „sinngemäße“ Anwendung der Vorschriften des Gesetzes über Ordnungswidrigkeiten vorsieht, liefert – entgegen der Auffassung der Behörde – keinen Hinweis darauf, dass die Normen des Gesetzes über Ordnungswidrigkeiten „eingeschränkt“ oder gar selektiv überhaupt nicht anzuwenden wären. Es handelt sich bei diesem Verweis vielmehr um eine gängige Inbezugnahme außerhalb des Ausgangstextes liegender Vorschriften. Hierzu stehen dem Gesetzgeber verschiedene Formen des Verweises zur Verfügung. Einer von ihnen ist die sogenannte Analogieverweisung, die rechtsförmlich zutreffend mit dem Wort „sinngemäß“ oder „entsprechend“ verbunden wird. Damit soll bestimmt werden, dass der Bezugstext – hier das Gesetz über Ordnungswidrigkeiten – nicht wörtlich, sondern nur sinngemäß angewandt wird, was immer dann angezeigt ist, wenn der Bezugstext nicht wörtlich passt. Eine inhaltliche Einschränkung dahingehend, dass bestimmte Normen des Bezugstextes gar nicht gelten, ist davon indes nicht erfasst. Grundsätzlich wird vielmehr der Bezugstext Bestandteil der verweisenden Regelung (zum Ganzen: Handbuch der Rechtsförmlichkeit, BAnz. Nr. 160a vom 22. September 2008, Rn. 218 ff., 232 ff.). Dementsprechend lässt sich aus dem Analogieverweis auf die Normen des Gesetzes über Ordnungswidrigkeiten auch keinesfalls ableiten, dass die §§ 30, 130 OWiG nicht oder einschränkt auf den hiesigen Sachverhalt anwendbar wäre.

Zu keinem anderen Ergebnis führt es, dass § 41 Absatz 1 Satz 1 BDSG die einschränkende Wendung „soweit dieses Gesetz nichts anderes bestimmt“ enthält. Anders als die Behörde meint, ist mit der Bezeichnung „dieses Gesetz“ nicht etwa die DS-GVO gemeint. Nicht nur wäre die DS-GVO als „Gesetz“ rechtsförmlich unzutreffend bezeichnet worden. Das verweisende Gesetz – hier das Bundesdatenschutzgesetz – wird stets als „dieses Gesetz“ bezeichnet (vgl. Handbuch der Rechtsförmlichkeit, BAnz. Nr. 160a vom 22. September 2008, Rn. 275 f., 310).

Der historische Gesetzgeber des Bundesdatenschutzgesetzes ist denn auch augenscheinlich von der Anwendbarkeit der §§ 30, 130 OWiG im Falle eines Verstoßes gegen die DS-GVO ausgegangen. Denn während der erste Referentenentwurf eines Gesetzes zur Anpassung des Datenschutzrechts an die Verordnung (EU) 2016/679 und zur Umsetzung der Richtlinie (EU) 2016/680 (Datenschutz-Anpassungs- und –Umsetzungsgesetz EU) in § 39 Absatz 1 Satz 2 BDSG-RefE noch die ausdrückliche Nichtanwendung der §§ 30, 130 OWiG vorsah, ist dieser Normbefehl in der Gesetz gewordenen bedeutungs- und im Übrigen wortlautgleichen Vorschrift des § 41 Absatz 1 Satz 2 BDSG gestrichen worden und auch nicht durch die letzte Novelle des Bundesdatenschutzgesetzes, durch das zweite Gesetz zur Anpassung des Datenschutzrechts vom 20. November 2019, geändert worden. Dabei war sich der Gesetzgeber mindestens durch die Entschließung der 97. Konferenz der unabhängigen Datenschutzbehörden des Bundes und der Länder vom 3. April 2019, mit dem für eine „klarstellende“ Ergänzung des § 41 Absatz 1 Satz 2 BDSG und die Nichtanwendung der §§ 30, 130 OWiG geworben wird, der Folgen seiner Entscheidung bewusst.

Die insoweit unzweideutige Entscheidung des Gesetzgebers findet einen guten Grund in den Grenzen der verfassungsmäßigen Ordnung. Denn Hintergrund des Erfordernisses der Anknüpfung an die Handlung einer natürlichen Person ist das aus dem Rechtsstaatsprinzip des Artikel 20 Absatz 3 Grundgesetz (GG), aus Artikel 103 Absatz 2 GG, der allgemeinen Handlungsfreiheit des Artikel 2 Absatz 1 GG sowie der Menschenwürde in Artikel 1 Absatz 1 GG folgende Schuldprinzip. Ohne eine Anknüpfung an eine schuldhafte Handlung ist ein staatlicher Strafausspruch nicht möglich. Wobei jede Strafe, nicht nur die Strafe für kriminelles, sondern auch die strafähnliche Sanktion für sonstiges Unrecht, die Elemente von Repression und Vergeltung beinhaltet, die ein Übel wegen eines rechtswidrigen Verhaltens verhängt, dem Schuldprinzip unterliegt (BVerfG, Beschluss vom 25. Oktober 1966 – 2 BvR 506/63, NJW 1967, 195; Urteil vom 30. Juni 1976 - 2 BvR 435/76, NJW 1976, 1883; Beschluss vom 14. Juli 1981 – 1 BvR 575/80). Dieses gilt daher auch im Ordnungswidrigkeitenrecht. Die schuldhafte Handlung des Einzelnen setzt aber dessen eigene Verantwortung und die Willensfreiheit voraus, sich für Recht oder Unrecht entscheiden zu können. Diese Entscheidung vermag die juristische Person nicht zu treffen, weshalb es insoweit immer der Anknüpfung an die Handlung einer natürlichen Person bedarf. Auf dieser Linie liegt es, wenn auch das aktuelle Gesetzgebungsverfahren zu einem Verbandssanktionengesetz in der Entwurfsfassung des § 3 VerSanG-E (vgl. BT-Drcks. Drucksache 19/23568, S. 11) auf die Begehung einer Straftat durch eine Leitungsperson oder die Verletzung einer Aufsichtspflicht abstellt und insoweit am bestehenden Konzept der Notwendigkeit der Verantwortlichkeit einer natürlichen Person festhält.

Der Hinweis darauf, der europäische Verordnungsgesetzgeber habe mit der Datenschutzgrundverordnung das Sanktionsregime des europäischen Kartellrechts nachbilden wollen, weshalb – wie dort – eine unmittelbare Verbandsverantwortlichkeit in Betracht komme, überzeugt ebenfalls nicht.

Zunächst ist das europäische Kartellrecht davon geprägt, dass es nach Artikel 4 der Verordnung (EG) Nr. 1/2003 des Rates vom 16. Dezember 2002 zur Durchführung der in den Artikeln 81 und 82 des Vertrags niedergelegten Wettbewerbsregeln (KartellVO) grundsätzlich von der europäischen Kommission kraft eigener Kompetenz umgesetzt wird, wohingegen die DS-GVO durch nationale Aufsichtsbehörden exekutiert werden soll. Mag auch Artikel 5 KartellVO eine Zuständigkeit der nationalen Wettbewerbsbehörden zur Anwendung des EU-Wettbewerbsrechts begründen, so ist doch für die Reichweite dieser behördlichen Befugnisse weiterhin das innerstaatliche Recht maßgeblich. Die nationalen Behörden können dementsprechend Verstöße gegen europäisches Recht nur verfolgen, soweit es nationale Bestimmungen zulassen. Dies gilt im Besonderen auch für die bußgeldrechtliche Haftung eines Unternehmens im Sinne des weiten Unternehmensbegriffs nach europäischer Rechtsprechung (zu diesem: EuGH, Urteil vom 10. September 2009 – C-97/08EuZW 2009, 816, 821 [Akzo Nobel u. a./Kommission], Rn. 54 ff.; EuG, Urteil vom 14. Dezember 2006 – T-259/02, BeckRS 2006, 140069, Rn. 21). Denn für das deutsche Recht hat der nationale Gesetzgeber sich für das Rechtsträgerprinzip entschieden, wie es etwa in § 30 OWiG zum Ausdruck kommt. Die Verhängung einer allgemeine Unternehmensgeldbuße durch deutsche Kartellbehörden ohne Anknüpfung an die Tat eines Repräsentanten kommt danach nicht in Betracht (vgl. BGH, Beschluss vom 16. Dezember 2014 − KRB 47/13, NZKart 2015, 272, 275 f. [Silostellgebühren III]; Beschluss vom 10. August 2011 – KRB 55/10, NJW 2012,164, 165 [Versicherungsfusion]; OLG Düsseldorf, Urteil vom 17. Dezember 2012 − V-1 Kart 7/12 (OWi)- NZKart 2013, 166, 167 ff. [Silostellgebühren II]). Das nationale Kartellbußgeldrecht enthält auch nach der jüngsten Novelle des Gesetzes gegen Wettbewerbsbeschränkungen (GWB) keine Ausnahme von diesem Rechtsgrundsatz. Nach den §§ 81 ff. GWB setzt die Bebußung eines Unternehmens voraus, dass die Tat durch eine Leitungsperson selbst oder zwar durch eine andere Person begangen wurde, aber die Leitungsperson sich einer vorsätzlichen oder fahrlässigen Aufsichtspflichtverletzung (§ 130 OWiG) schuldig gemacht hat. Dies gilt insbesondere auch mit Blick auf die Vorschriften der §§ 81a bis 81c GWB. Soweit danach eine gegen ein Unternehmen oder eine Unternehmensvereinigung zu verhängende Geldbuße in Rede steht, geht es dabei – wie bereits in der Vorgängernorm des § 81 Absatz 4 Satz 2 GWB – insbesondere um die Bußgeldbemessung, ohne dass damit die in § 30 OWiG vorgesehene Begrenzung der Ahndung einer Organtat gegenüber derjenigen juristischen Person, deren Organ die Tat begangen hat, aufgehoben wäre (vgl. BGH, Beschluss vom 10. August 2011 – KRB 55/10, NJW 2012, 164, 166 [Versicherungsfusion]).

Insoweit vermag auch der Hinweis auf Erwägungsgrund 150 zur DS-GVO nicht die Annahme rechtfertigen, der europäische Verordnungsgesetzgeber der DS-GVO habe die Übernahme des gesamten supranationalen kartellrechtlichen Sanktionsregimes gewollt. Denn Erwägungsgrund 150 (Satz 3) zur DS-GVO betrifft die Bemessung einer möglichen Bußgeldhöhe allein. Er verhält sich damit zur Rechtsfolge eines Verstoßes und keinesfalls – wie etwa der die europäische Kommission ermächtigende Artikel 23 KartellVO – auch zu dessen Voraussetzungen. Satz 3 des Erwägungsgrundes lautet: „Werden Geldbußen Unternehmen auferlegt, sollte zu diesem Zweck der Begriff „Unternehmen“ im Sinne der Artikel 101 und 102 AEUV verstanden werden.“ Die Formulierung setzt zunächst voraus, dass überhaupt eine Buße gegen ein „Unternehmen“ verhängt wird. Zur Frage der Bemessung der Höhe dieser Buße nimmt Erwägungsgrund 150 erkennbar Bezug auf Artikel 83 Absatz 4 bis 6 DS-GVO und möchte damit erreichen, dass im Falle der Verhängung einer Buße gegen ein „Unternehmen“ eben nicht allein der erzielte Jahresumsatz des (unmittelbar) betroffenen Rechtsträgers zur Bemessungsgrundlage gemacht wird, sondern vielmehr – i.S.v. Artikel 101 f. AEUV und des kartellrechtlichen, weiten Unternehmensbegriffs – der Umsatz der handelnden wirtschaftlichen Einheit (vgl. Immenga/Mestmäcker/Zimmer, Wettbewerbsrecht, Art. 101 Abs. 1 AEUV, Rn. 9 ff.). Diese Ausdeutung wird in systematischer Hinsicht durch Satz 4 des Erwägungsgrundes gestützt, der sich mit der Bemessung der Bußgeldhöhe – und dieser allein – bei natürlichen Personen befasst.

Nach Auffassung der Kammer erlaubt es zudem das Gesetzlichkeitsprinzip des Artikel 103 Absatz 2 GG nicht, die Frage der Verantwortlichkeit einer juristischen Person im Rahmen einer staatlichen Sanktionsanordnung durch die eine europäische Verordnung begleitenden Erwägungsgründe zu manifestieren, die zudem erkennbar nicht Bestandteil der Verordnung selbst sind.

Schließlich ist für die Kammer auch nicht erkennbar, dass sich aus dem unionsrechtlichen Effektivitätsgebot (Art. 197 AEUV) eine Pflicht zur Übernahme des unionsrechtlichen Modells der Verbandsverantwortlichkeit ergeben sollte. Denn dieses belässt den Mitgliedstaaten bei der Ausgestaltung des Sanktionsregimes einen Ermessensspielraum, der verfassungskonform, hier insbesondere unter Beachtung des Schuldgrundsatzes auszufüllen ist (vgl. zum Kartellrecht: Böse, ZStW 126 (2014), 132, 155).

Zwar wird wohl zutreffend darauf hingewiesen, dass es zur effektiven Durchsetzung der Regelungsziele der Datenschutzgrundverordnung erforderlich ist, dass das nationale Recht wirksame und hinreichend abschreckende Sanktionen zulässt, womit die Pflicht der nationalen Gerichte einhergehen dürfte, das einzelstaatliche Recht möglichst so auszulegen, dass bei einer Zuwiderhandlung gegen die DS-GVO effektive Sanktionen verhängt werden können. Die Pflicht zur unionsrechtskonformen Auslegung findet aber in den allgemeinen Rechtsgrundsätzen, insbesondere im Grundsatz der Rechtssicherheit, insofern ihre Schranken, als sie nicht als Grundlage für eine Auslegung des nationalen Rechts contra legem, also entgegen den nach nationalem Recht zulässigen Methoden richterlicher Rechtsfindung, dienen darf (vgl. EuGH, Urteil vom 16.Juli 2009 - C 12/08, BeckRS 2009, 70805, Rn. 61 [Mono Car Styling]; BGH, Urteil vom 26. November 2008 - VIII ZR 200/0, BGHZ 179, 27 Rn. 19 ff. mwN). Besondere Geltung beanspruchen diese Grundsätze für Vorschriften auf dem Gebiet des Straf- oder Ordnungswidrigkeitenrechts (EuGH, Urteil vom 16. Juni 2005 - C-105/03, NJW 2005, 2839 Rn. 47 [M. Pupino]; KK-OWiG/Rogall, § 3 Rn. 83 m.w.N.), bei deren Auslegung dem im deutschen und auch europäischen Verfassungsrecht verankerten Gesetzlichkeitsprinzip (Artikel 103 Absatz 2 GG, Artikel 49 der Charta der Grundrechte der Europäischen Union [2007/C 303/01]; Artikel 7 der Konvention zum Schutz der Menschenrechte und Grundfreiheiten) und somit auch der Wortsinngrenze besondere Bedeutung zukommt. Eine gesetzlich nicht vorgesehene strafrechtliche Verantwortlichkeit kann danach auf eine unionsrechtskonforme Auslegung selbst dann nicht gestützt werden, wenn die in Rede stehende nationale Regelung sich andernfalls als unionsrechtswidrig erweisen könnte (EuGH, Urteil vom 28. Juni 2012 – C-7/11, BeckRS 2012, 81321 [Caronna]; BGH, Beschluss vom 16. Dezember 2014 − KRB 47/13 – Silostellgebühren III, NZKart 2015, 272, 274).

Die hier anzuwendenden Bestimmungen in §§ 30, 130 OWiG i.V.m. § 41 BDSG schließen die bußgeldrechtliche Inanspruchnahme der Betroffenen auf der Grundlage des verfahrensgegenständlichen Bescheides aus. Denn nach ihrem Wortlaut ist für die Verantwortlichkeit der juristischen Person eine schuldhafte Handlung eines ihrer Repräsentanten erforderlich. Dieses Erfordernis kann nicht im Wege der Auslegung der Norm oder durch die Annahme einer Verbandsverantwortlichkeit „sui generis“ entfallen, ohne die Wortlautgrenze zu überschreiten und damit einen Verstoß gegen das Analogieverbot des Artikel 103 Absatz 2 GG zu begründen (vgl. dazu BVerfG, Urteil vom 11. November 1986 – 1 BvR 713/83, BeckRS 1986, 50, Rn. 65).

Es ist überdies lediglich pauschal dargetan worden, dass der Nachweis der Begehung einer Ordnungswidrigkeit durch das Erfordernis des Nachweises einer pflichtwidrigen Organhandlung i.S.v. §§ 30, 130 OWiG erschwert sei. Nicht dargetan ist indessen, dass sie den handelnden Aufsichtsbehörden dadurch nicht möglich wäre. Es ist im hiesigen Falle im Besonderen verwunderlich, dass die verfahrensgegenständlichen Verstöße gegen Datenschutzgesetze durch die Behörde bereits im Jahre 2017 – und damit vor Inkrafttreten der DS-GVO – festgestellt worden sind, verschiedene Vor-Ort Termine stattgefunden haben, Auskünfte, etwa über technische Details der Datenverarbeitung verlangt worden sind, und die Betroffene auch entsprechende Auskünfte erteilt hat, dass jedoch von der Behörde keine hinreichenden Ermittlungen zu den unternehmensinternen Verantwortlichkeiten für die beanstandeten Verstöße erfolgt sind. In diesem Falle dürfte es naheliegen, dass bereits eine Offenlegung der Organisationsstruktur im Unternehmen der Betroffenen zu einer Ermittlung von für die Datenverarbeitungsvorgänge verantwortlichen Personen geführt hätte und so möglicherweise etwa eine Aufsichtspflichtverletzung hätte dargelegt werden können. Vor diesem Hintergrund ist nicht ersichtlich, dass unter Beachtung der §§ 30, 130 OWiG keine wirksamen und abschreckenden Sanktionen verhängt werden können.

b) Auch bei einer Umdeutung des Bescheids in einen selbständigen Bußgeldbescheid gemäß § 30 Absatz 4 OWiG genügte dieser nicht den Anforderungen, die an einen solchen als Verfahrensgrundlage zu stellen wären.

Der Bußgeldbescheid, der im gerichtlichen Verfahren anstelle des Anklagesatzes tritt, begrenzt nach Person und Sache den Prozessgegenstand. Aus ihm muss sich die tatsächlich und rechtlich näher bezeichnete Beschuldigung ergeben (vgl. § 66 OWiG). Voraussetzung für die Festsetzung einer Geldbuße gegen eine juristische Person im selbständigen Verfahren gemäß § 30 Absatz 4 OWiG ist, wie bereits dargelegt, zudem, dass eines ihrer Organe eine Ordnungswidrigkeit begangen hat, die der juristischen Person zuzurechnen ist.

Der Bußgeldbescheid vom 30. Oktober 2019 erfüllt diese Abgrenzungsfunktion nicht. Der Tatvorwurf ist nicht bestimmt. Es fehlt etwa die Angabe von Tatzeit und -ort sowie des Organmitgliedes, das schuldhaft und der Betroffenen zurechenbar die Einrichtung eines den datenschutzrechtlichen Anforderungen genügenden EDV-Systems unterlassen oder aber eine rechtzeitige Löschung relevanter Daten nicht veranlasst haben soll. Der Bescheid enthält – mit Blick auf die Rechtsauffassung der Behörde konsequent – auch sonst keine Angaben zur konkreten Tathandlung selbst oder ihrer Unterlassung. Ihm lässt sich nicht entnehmen, worauf ein Vorwurf, die datenschutzrechtlichen Anforderungen seien nicht eingehalten worden, gestützt wird. Dies wäre aber umso mehr erforderlich, als, wie aus der Akte ersichtlich ist, die Behörde zu den Vorwürfen bei der Betroffenen Ermittlungen geführt hat und über einen längeren Zeitraum mit dieser über die gegenständlichen Vorwürfe in Kontakt stand, sich etwa schriftlich und in persönlichen Gesprächen Fragen von Mitarbeitern des Unternehmens beantworten ließ. Insoweit wären Ausführungen dazu möglich und notwendig gewesen, aus welchen Umständen die Behörde eine Verantwortlichkeit der Betroffenen herleiten möchte. Der Bußgeldbescheid enthält gleichwohl keinen konkreten Tatvorwurf gegen ein Organ der juristischen Person. Dieser Mangel kann auch nicht mehr gemäß §§ 71 Absatz 1 OWiG, 265 StPO durch einen Hinweis des Gerichts behoben werden. Auch bei Umdeutung des Bußgeldbescheides in einen selbständigen Bescheid nach § 30 Absatz 4 OWiG müsste deshalb das Verfahren wegen eines Verfahrenshindernisses eingestellt werden.

2. Die Kostenentscheidung beruht auf §§ 71 OWiG, 467 Absatz 1, Absatz 3 StPO. Es erscheint nicht unbillig, der Staatskasse die notwendigen Auslagen der ... aufzuerlegen, da das Verfahrenshindernis von Anfang an bestand.


Den Volltext der Entscheidung finden Sie hier:



LfDI Baden-Württemberg: Bußgeld in Höhe von 300.000 EURO gegen VfB Stuttgart wegen fahrlässiger Verletzung der datenschutzrechtlichen Rechenschaftspflicht nach Art. 5 Abs. 2 DSGVO

Der Landesbeauftragte für den Datenschutz und die Informationsfreiheit (LfDI) Baden-Württemberg hat gegen den VfB Stuttgart wegen fahrlässiger Verletzung der datenschutzrechtlichen Rechenschaftspflicht nach Art. 5 Abs. 2 DSGVO ein Bußgeld in Höhe von 300.000 EURO verhängt.

Die Pressemitteilung des LfDI:

Bußgeldverfahren gegen VfB Stuttgart 1893 AG endet mit der Verhängung eines Bußgeldes.

LfDI Stefan Brink: „Neben dem spürbaren Bußgeld sorgt der VfB für erhebliche organisatorische und technische Verbesserungen in Sachen Datenschutz. Zudem planen die Verantwortlichen erfreulicherweise künftig ein Engagement bei der Aufklärung über Datenschutzanliegen, mit dem vor allem junge Menschen angesprochen werden sollen.“

Der Landesbeauftragte für den Datenschutz und die Informationsfreiheit Stefan Brink schließt das Verfahren gegen die VfB Stuttgart 1893 AG ab und erlässt ein Bußgeld in Höhe von 300.000 Euro wegen fahrlässiger Verletzung der datenschutzrechtlichen Rechenschaftspflicht gemäß Art. 5 Abs. 2 DS-GVO.

Die Verantwortlichen des VfB Stuttgart 1893 e.V. und der VfB Stuttgart 1893 AG haben die Aufklärungs- und Ermittlungsmaßnahmen des Landesbeauftragten unterstützt, durch eigene Initiative gefördert sowie mit der Behörde des Landesbeauftragten umfangreich kooperiert.

Neben der Bußgeldzahlung und der kostenträchtigen Umstrukturierung und Verbesserung ihres Datenschutzmanagements ergreift die VfB Stuttgart 1893 AG in Abstimmung mit dem LfDI Maßnahmen zur Sensibilisierung junger Menschen für Datenschutzanliegen.

So fördert der VfB das Projekt „Datenschutz geht zur Schule“ durch Unterstützung bei der Öffentlichkeitsarbeit für regionale Schul-Aktionstage und im Rahmen kind-/jugendgerechter Videos zur Sensibilisierung für datenschutzrelevante Themen. Darüber hinaus konzipiert der VfB Schulungen für die Fußballnachwuchsmannschaften U10 bis U21 zum Thema „Datenschutz bei Jugendlichen“.

LfDI Stefan Brink: „Mit dem Erlass dieses Bußgeldbescheides schließen wir ein Verfahren ab, das auch für uns als Aufsichtsbehörde ungewöhnlich war. Ungewöhnlich war nicht nur der Gegenstand unseres Verfahrens, sondern vor allem das hiermit verbundene öffentliche und mediale Interesse. Ungewöhnlich war auch der Umfang des durch die Einschaltung der Esecon belegten Aufklärungsinteresses und der Kooperationsbereitschaft des VfB mit unserer Behörde.“

Aus diesem Verfahren heraus ergebe sich die gute Chance, so Stefan Brink weiter, dass der VfB Stuttgart künftig beim fairen Umgang mit den Daten der Mitglieder besser aufgestellt ist. „Auch wenn wir mit Blick auf Verjährungsvorschriften nicht alle öffentlich diskutierten Vorgänge vollständig untersuchen konnten, ist doch das jetzt einvernehmlich gefundene Ergebnis überzeugend: Neben dem spürbaren Bußgeld sorgt der VfB für erhebliche organisatorische und technische Verbesserungen in Sachen Datenschutz. Zudem planen die Verantwortlichen erfreulicherweise künftig ein Engagement bei der Aufklärung über Datenschutzanliegen, mit dem vor allem junge Menschen angesprochen werden sollen.“

Mit dem Erlass des Bußgeldbescheids sind die Ermittlungen gegen den VfB Stuttgart 1893 e.V. und die VfB Stuttgart 1893 AG abgeschlossen.


BVerfG: Streitrelevante Fragen zur Auslegung des Geldentschädigungsanspruchs aus Art. 82 DSGVO müssen EuGH zur Entscheidung vorgelegt werden

BVerfG
Beschluss vom 14.01.2021
1 BvR 2853/19

Das Bundesverfassungsgericht hat entschieden, dass streitrelevante Fragen zur Auslegung des Geldentschädigungsanspruchs aus Art. 82 DSGVO dem EuGH zur Entscheidung vorgelegt werden müssen, da insofern noch keine erschöpfende Klärung durch den EuGH erfolgt ist und viele offene Rechtsfragen bestehen.

Aus den Entscheidungsgründen:

Die Kammer nimmt die zulässige Verfassungsbeschwerde zur Entscheidung an und gibt ihr statt, weil dies zur Durchsetzung des als verletzt gerügten Rechts des Beschwerdeführers auf den gesetzlichen Richter gemäß Art. 101. Abs. 1 Satz 2 GG angezeigt ist, § 93a Abs. 2 Buchstabe b BVerfGG. Diese Entscheidung kann von der Kammer getroffen werden, weil die maßgeblichen verfassungsrechtlichen Fragen durch das Bundesverfassungsgericht bereits entschieden sind und die Verfassungsbeschwerde danach offensichtlich begründet ist, § 93c Abs. 1 Satz 1 BVerfGG.

1. Das Amtsgericht hat das Recht des Beschwerdeführers auf den gesetzlichen Richter verletzt, indem es aufgrund der teilweisen Klageabweisung, der dadurch für den Beschwerdeführer nicht erreichten Berufungsbeschwer (§ 511 Abs. 2 Nr. 1 ZPO) und der nicht zugelassenen Berufung letztinstanzlich tätig geworden ist und entgegen Art 267 Abs. 3 AEUV von einem Vorabentscheidungsersuchen an den Gerichtshof der Europäischen Union abgesehen hat

a) Der Gerichtshof der Europäischen Union ist gesetzlicher Richter im Sinne des Art. 101 Abs. 1 Satz 2 GG (vgl. BVerfGE 73,339 <366>; 82, 159 <192>; 126, 286 <315>; 128, 157 <186 f.>; 129,78 <105>; 135, 155 <230 f. Rn. 177>). Unter den Voraussetzungen des Art. 267 Abs. 3 AEUV sind die nationalen Gerichte von Amts wegen gehalten, den Gerichtshof anzurufen (vgl. BVerfGE 82, 159 <192 f.>; 128, 157 <187>; 129,78 <105». Es kann einen Entzug des gesetzlichen Richters darstellen, wenn ein nationales Gericht seiner Pflicht zur Anrufung des Gerichtshofs im Wege des Vorabentscheidungsverfahrens nach Art. 267 Abs. 3 AEUV nicht nachkommt (vgl. BVerfGE 73, 339 <366 f.>; 82, 159 <192 ff.>; 135, 155 <230 f. Rn.177>; st Rspr).

Nach der Rechtsprechung des Gerichtshofs der Europäischen Union (EuGH, Urteil vom 6. Oktober 1982, C.I.L.F.I.T., C-283/81, EU:C:1982:335, Rn. 21; Urteil vom 15. September 2005, C-495/03, EU:C:2005:552, Rn. 33; Urteil vom 6. Dezember 2005, C-461/03, EU:C:2005:742, Rn. 16; st Rspr) muss ein nationales letztinstanzliches Gericht seiner Vorlagepflicht nachkommen, Wenn sich in einem bei ihm schwebenden Verfahren eine Frage des Unionsrechts stellt, es sei denn, das Gericht hat festgestellt, dass die gestellte Frage nicht entscheidungserheblich ist, dass die betreffende unionsrechtliche Bestimmung bereits Gegenstand einer Auslegung durch den Gerichtshof war (acte éclairé) oder dass die richtige Anwendung des Unionsrechts derart offenkundig ist, dass für einen vernünftigen Zweifel keinerlei Raum bleibt (acte clair) (vgl. auch BVerfGE 82, 159 <193>; 128, 157 <187>; 129,78 <105 f.>; 140,317 <376 Rn. 125>; 147,364 <378 f. Rn. 37>). Davon darf das innerstaatliche Gericht aber nur ausgehen, wenn es überzeugt ist, dass auch für die Gerichte der übrigen Mitgliedstaaten und für den Gerichtshof der Europäischen Union die gleiche Gewissheit bestünde. Nur dann darf das Gericht von einer Vorlage absehen und die Frage in eigener Verantwortung lösen (vgl. EuGH, Urteil vom 6. Oktober 1982, C.I.L.F.I.T., C-283/81, EU:C:1982:335, Rn. 16).

Diese Grundsatze gelten auch für die unionsrechtliche Zuständigkeitsvorschrift des Art. 267 Abs. 3 AEUV. Daher stellt nicht jede Verletzung der unionsrechtlichen Vorlagepflicht zugleich einen Verstoß gegen Art. 101 Abs. 1 Satz 2 GG dar (vgl. BVerfGE 126, 286 <315>; 147, 364 <380 Rn. 40>). Das Bundesverfassungsgericht überprüft nur, ob die Auslegung und Anwendung der Zuständigkeitsregel des Art. 267 Abs. 3 AEUV bei verständiger Würdigung der das Grundgesetz bestimmenden Gedanken nicht mehr verständlich erscheint und offensichtlich unhaltbar ist (vgl. BVerfGE 126, 286 <315 f.>; 128, 157 <187>; 129, 78 <106>). Durch die zurückgenommene verfassungsrechtliche Prüfung behalten die Fachgerichte bei der Auslegung und Anwendung von Unionsrecht einen Spielraum eigener Einschätzung und Beurteilung, der demjenigen' bei der Handhabung einfachrechtlicher Bestimmungen der deutschen Rechtsordnung entspricht. Das Bundesverfassungsgericht wacht allein über die Einhaltung der Grenzen dieses Spielraums (vgl. BVerfGE 126, 286 <316>). Ein "oberstes Vorlagenkontrollgericht" ist es nicht (vgl. BVerfGE 126, 286 <316>; 135, 155 <231 f. :Rn. 180>; 147, 364 <379 f. Rn. 39>; BVerfGE 13, 506 <512>; 14, 230 <233>; 16, 328 <336>; BVerfG, Beschluss der 1. Kammer des Zweiten Senats vom 9. November 1987 - 2 BvR 808/82 -, NJW 1988, S. 1456 [1457]).

Die Vorlagepflicht nach Art. 267 AEUV zur Klärung der Auslegung unionsrechtlicher Vorschriften wird in verfassungswidriger Weise gehandhabt, wenn ein letztinstanzliches Gericht eine Vorlage trotz der - seiner Auffassung nach bestehenden - Entscheidungserheblichkeit der unionsrechtlichen Frage überhaupt nicht in Erwägung zieht, obwohl es selbst Zweifel hinsichtlich der richtigen Beantwortung der Frage hat (grundsätzliche Verkennung der Vorlagepflicht; vgl. BVerfGE 82, 159 <195 f.>; 126,286 <316 f.>; 128, 157 <187 f.>; 129,78 <106 f.>; 135, 155 <232 Rn. 181>; 147,364 <380 Rn. 41>).

Gleiches gilt in den Fällen, in denen das letztinstanzliche Gericht in seiner Entscheidung bewusst von der Rechtsprechung des Gerichtshofs zu entscheidungserheblichen Fragen abweicht .und gleichwohl nicht oder nicht neuerlich vorlegt (bewusstes Abweichen von der Rechtsprechung des Gerichtshofs ohne Vorlagebereitschaft; vgl. BVerfGE 75, 223 <245>; 82,159 <195>; 126,286 <316 f.>; 128, 157 <187 f.>; 129, 78 <106 f.>; 135, 155 .<232 Rn. 182>; 147, 364 <381 Rn. 42>).

Liegt zu einer entscheidungserheblichen Frage des Unionsrechts einschlägige Rechtsprechung des Gerichtshofs der Europäischen Union noch nicht vor oder hat er die entscheidungserhebliche Frage möglicherweise noch nicht erschöpfend beantwortet oder erscheint eine Fortentwicklung der Rechtsprechung des Gerichtshofs nicht nur als entfernte Möglichkeit (Unvollständigkeit der Rechtsprechung), so wird Art. 101 Abs. 1 Satz 2 GG verletzt, wenn das letztinstanzliche Hauptsachegericht den ihm in solchen Fällen notwendig zukommenden Beurteilungsrahmen in unvertretbarer Weise überschritten hat (vgl. BVerfGE 82, 159 <195 f.>; 126, 286 <316 f.>; 128, 157 <187 f.>; 129, 78 <106 f.>; 135, 155 <232 f. Rn. 183>). Dies kann insbesondere dann der Fall sein, wenn mögliche Gegenauffassungen zu der entscheidungserheblichen Frage des Unionsrechts gegenüber der vom Gericht vertretenen Meinung eindeutig vorzuziehen sind (vgl. BVerfGE 82, 159 <195 f.>; BVerfGK 10,19 <29>). Jedenfalls bei willkürlicher Annahme eines "acte clair" oder eines "acte éclairé" durch die Fachgerichte ist der Beurteilungsrahmen in unvertretbarer Weise überschritten (vgl. BVerfGE 135, 155 <232 f. Rn. 183>; 147; 364 <381 Rn. 43>).

In diesem Zusammenhang ist auch zu prüfen, ob sich das Gericht hinsichtlich des Unionsrechts ausreichend kundig gemacht hat. Etwaige einschlägige Rechtsprechung des Gerichtshofs der Europäischen Union muss es auswerten und seine Entscheidung hieran orientieren (vgl. BVerfGE 82, 159 <196>; 128, 157 <189>). Auf dieser Grundlage muss das Fachgericht unter Anwendung und Auslegung des materiellen Unionsrechts (vgl. BVerfGE 75, 223 <234>; 128, 157 <188>; 129, 78 <107>) die vertretbare Überzeugung bilden, dass die Rechtslage entweder von vornherein eindeutig ("acte clair") oder durch Rechtsprechung in einer Weise geklärt ist, die keinen vernünftigen Zweifel offen lässt ("acte eclaine"; vgl. BVerfGE 129, 78 <107>). Hat es dies nicht getan, verkennt es regelmäßig die Bedingungen für die Vorlagepflicht. Zudem hat das Fachgericht Gründe anzugeben, die dem Bundesverfassungsgericht eine Kontrolle am Maßstab des Art. 101 Abs. 1 Satz 2 GG ermöglichen (vgl. BVerfGE 147,364 <380 f. Rn. 41>; BVerfGE 8, 401 <405>; 10, 19 <30 f.>; BVerfG, Beschluss der 2. Kammer des Ersten Senats vom 9. Januar 2001 - 1 BvR 1036/99 -, Rn. 21; Beschluss der 3. Kammer des Ersten Senats vom 20. Februar 2008 - 1 BvR 2722/06 -; Beschluss der 3. Kammer des Ersten Senats vom 25. Februar 2010 - 1 BvR 230/09 -, Rn. 19).

Bei den in der Rechtsprechung des Bundesverfassungsgerichts genannten Fallgruppen handelt es sich um eine nicht abschließende Aufzählung von Beispielen für eine verfassungsrechtlich erhebliche Verletzung der Vorlagepflicht. Für die Frage nach einer Verletzung des Rechts auf den gesetzlichen Richter gemäß Art. 101 Abs. 1 Satz 2 GG durch Nichtvorlage an den Gerichtshof der Europäischen-Union kommt es im Ausgangspunkt nicht in erster Linie auf die Vertretbarkeit der fachgerichtlichen Auslegung des für den Streitfall maßgeblichen materiellen Unionsrechts - hier der DSGVO - an, sondern auf die Beachtung oder Verkennung der Voraussetzungen der Vorlagepflicht nach der Vorschrift des Art. 267 Abs. 3 AEUV, die den gesetzlichen Richter im Streitfall bestimmt (vgl. BVerfGE 128, 157 <188>; BVerfG, Beschluss der 3. Kammer des Ersten Senats vom 25. Februar 2010 - 1 BvR 230109 -, Rn. 20; Beschluss der 2. Kammer des Ersten Senats vom 30. August 2010 - 1 BvR 1631/08, Rn. 48).

b) Unter Berücksichtigung dieser Grundsätze hat das Amtsgericht Art. 101 Abs. 1 Satz 2 GG verletzt, indem es von einem Vorabentscheidungsersuchen wegen der zu klärenden Frage, ob im vom Beschwerdeführer vorgetragenen Fall der datenschutzwidrigen Verwendung einer Email-Adresse und der Übersendung einer ungewollten Email an das geschäftliche Email-Konto des Beschwerdeführers nach Art. 82 Abs. 1 DSGVO ein Schmerzensgeldanspruch des Beschwerdeführers in Betracht kommt.

aa) Das Amtsgericht hätte nicht ohne Vorabentscheidungsersuchen an den Gerichtshof der Europäischen Union entscheiden dürfen, dass sich kein Anspruch des Beschwerdeführers aus der ohne seine, ausdrückliche Einwilligung erfolgten Übersendung der Email aus Art. 82 DSGVO ergebe, weil ein Schaden nicht eingetreten sei.

Der im Ausgangsverfahren zu beurteilende Sachverhalt warf die Frage auf, unter welchen Voraussetzungen Art. 82 Abs. 1 DSGVO einen Geldentschädigungsanspruch gewährt und welches Verständnis dieser Vorschrift insbesondere im Hinblick auf Erwägungsgrund 146 Satz 3 zu geben ist; der eine weite Auslegung des Schadensbegriffs im Lichte der Rechtsprechung des Gerichtshofs der Europäischen Union verlangt, die den Zielen der DSGVO in vollem Umfang entspricht. Nach Art. 82 Abs. 1 DSGVO hat jede Person, der wegen eines Verstoßes gegen die DSGVO ein materieller oder immaterieller Schaden entstanden ist, Anspruch auf Schadensersatz gegen den Verantwortlichen, also diejenige natürliche oder juristische Person, Behörde, Einrichtung oder andere Stelle, die allein oder gemeinsam mit anderen über die Zwecke und Mittel der Verarbeitung von personenbezogenen Daten entscheidet (vgl. Art. 4 Nr. 7 DSGVO).

Dieser Geldentschädigungsanspruch ist in der Rechtsprechung des Gerichtshofs der Europäischen Union weder erschöpfend geklärt noch kann er in seinen einzelnen, für die Beurteilung des im Ausgangsverfahrens vorgetragenen Sachverhalts notwendigen Voraussetzungen unmittelbar aus der DSGVO bestimmt werden. Auch in der bislang vorliegenden Literatur, die sich im Hinblick auf Erwägungsgrund 146 wohl für ein weites Verständnis des Schadensbegriffes ausspricht, sind die Details und der genaue Umfang des Anspruchs noch unklar (vgl. Gola/Piltz, in: Gola, DSGVO, 2. Aufl., 2018, Art. 82 Rn. 12 f.; Quaas, in: BeckOK Datenschutzrecht, 34. Ed., 11/2020, Art. 82 Rn. 23 f.; Bergt, in: Kühling/Buchner, DSGVO BDSG, 3. Aufl., 2020, Art. 82, Rn. 17 f.; Boehm, in: Simitis/Hornung/Spiecker gen. Döhmann, Datenschutzrecht, 1. Aufl., 2019, Art. 82 Rn. 11 f.; Frenzel, In: Paal/Pauly, DSGVO BDSG, 2. Aufl., 2018, Art. 82 Rn. 10). Von einer richtigen Anwendung des Unionsrechts, die derart offenkundig ist, dass für vernünftige Zweifel kein Raum bliebe (acte clair), konnte das Amtsgericht ebenfalls nicht ausgehen. Dies gilt umso mehr, als Art. 82 DSGVO ausdrücklich immaterielle Schäden einbezieht.

bb) Die angegriffene Entscheidung zeigt, dass das Amtsgericht die Problematik der Auslegung des Art. 82 Abs. 1 DSGVO durchaus gesehen hat. Es hat sodann aber verfassungsrechtlich relevant fehlerhaft eine eigene Auslegung des Unionsrechts vorgenommen, indem es sich für die Ablehnung des Anspruchs auf ein Merkmal fehlender Erheblichkeit gestützt hat, das so weder unmittelbar in der DSGVO angelegt ist, noch von der Literatur befürwortet oder vom Gerichtshof der Europäischen Union verwendet wird.

Gleiches gilt für den vom Beschwerdeführer mit angegriffenen Beschluss des Amtsgerichts, mit dem es die erhobene Gehörsrüge des Beschwerdeführers zurückgewiesen hat. Auch hier rekurriert das Amtsgericht auf das Bestehen eines bislang ungeklärten Merkmals eines Bagatellverstoßes im Rahmen des Art. 82 Abs. 1 DSGVO.

cc) Die Antwort auf die Rechtsfrage, wie Art. 82 Abs. 1 DSGVO vor dem Hintergrund von Erwägungsgrund 146 in Fällen der Übersendung einer Email ohne Zustimmung auszulegen ist, war für die Entscheidung über den vom Beschwerdeführer geltend gemachten Zahlungsanspruch entscheidungserheblich.


Den Volltext der Entscheidung finden Sie hier:



LG Frankfurt: Schadensersatz gem. Art. 82 DSGVO - Rechtsgut der betroffenen Person muss infolge der Verletzung einer DSGVO-Norm im Vergleich zum status quo ante nachteilig verändert worden sein

LG Frankfurt
Urteil vom 18.09.2020
2-27 O 100/20


Das LG Frankfurt hat entschieden, dass ein Schadensersatzanspruch gemäß Art. 82 DSGVO voraussetzt, dass ein Rechtsgut der betroffenen Person infolge der Verletzung einer Norm der DSGVO im Vergleich zum status quo ante nachteilig verändert wurde.

Aus den Entscheidungsgründen:

Ein Anspruch des Klägers gegen die Beklagte auf Zahlung von 8400,00 € nach Art. 82 DSGVO besteht nicht.

Nach Art. 82 Abs. 1 DSGVO hat jede Person, der wegen eines Verstoßes gegen die Verordnung ein materieller oder immaterieller Schaden entstanden ist, Anspruch auf Schadenersatz gegen den Verantwortlichen. Dem Kläger ist zwar unstreitig bisher kein materieller Schaden entstanden, wohl aber ein immaterieller Schaden. Dieser liegt darin, dass seine personenbezogenen Daten Dritten ohne sein Einverständnis zugänglich wurden. Die Kompensation einer solchen öffentlichen "Bloßstellung" fällt unter Art. 82 Abs. 1 DSGVO (Ehmann/Selmayr, DSGVO, 2. Aufl., Art. 82 Rn. 13; Sydow, DSGVO, 2. Aufl., Art. 82 Rn. 6). Die Beklagte ist auch tauglicher Anspruchsgegner. Sie war Verantwortliche im Sinne des Art. 4 Nr. 7 DSGVO, da sie über die Zwecke und Mittel der - unstreitig - stattgefundenen Verarbeitung der Daten des Klägers entschied.

Der Schaden muss jedoch wegen eines Verstoßes gegen die DSGVO entstanden sein. Es muss also ein Verstoß gegen die DSGVO und dessen Kausalität für den Schaden festgestellt werden. Ein Rechtsgut der betroffenen Person muss infolge der Verletzung einer Norm der DSGVO im Vergleich zum status quo ante nachteilig verändert worden sein (Ehmann/Selmayr, DS-GVO 2. Aufl. Art. 82 Rn. 11).

Die Veröffentlichung der Daten, für die der Kläger einen Schadensersatz von 2000,00 € geltend macht, stellt an sich keinen Verstoß der Beklagten gegen die DSGVO dar. Die Veröffentlichung könnte nur dann als Verstoß gegen Art. 5 Abs, 1 a) oder f) DSGVO eingeordnet werden, wenn die Beklagte bzw, BB sie unberechtigt vorgenommen hätte. Dies lässt sich aber nicht feststellen und wird auch von dem Kläger nicht konkret vorgetragen. Der Kläger ist jedoch für den Verstoß gegen die DSGVO darlegungs- und beweisbelastet; erst hinsichtlich der Verantwortlichkeit für den Verstoß sieht Art, 82 Abs, 3 DSGVO eine Vermutung zu Lasten des Anspruchsgegners vor. Hat die Beklagte bzw. BB die Veröffentlichung nicht selbst vorgenommen, so kann sie lediglich die Folge einer Verletzung der Pflichten aus der DSGVO durch die Beklagte bzw. BB sein, nicht aber der Verstoß an sich.

Der Schadensersatzanspruch folgt weiter nicht daraus, dass die Beklagte die BB GmbH nicht nach Art. 28 Abs. 1 DSGVO ordnungsgemäß ausgewählt oder überwacht hat. Dass dies nicht geschehen ist, lässt sich nach dem Sach- und Streitstand schon nicht feststellen. Ein entsprechendes Beweisangebot des Klägers fehlt, ebenso entsprechende Indizien. Insbesondere kann der Kläger sich nicht darauf berufen, es sei offensichtlich, dass die BB GmbH ihr auferlegte Sicherheitsvorkehrungen nicht einhalten könne, weil es sich bei dem Firmensitz um ein Einfamilienhaus in einer Wohnsiedlung handele. Dass sich der Firmensitz dort befindet, sagt nichts darüber aus, wo die Datenverarbeitung erfolgt. Darüber hinaus lässt sich die Kausalität eines etwaigen Verstoßes gegen Pflichten der Beklagten aus der DSGVO für den Datenvorfall und damit für den Schaden des Klägers nicht feststellen. Denn letztlich ist - auch nach dem zuletzt gehaltenen und bestrittenen Vortrag des Klägers hinsichtlich des nicht geänderten Initialpassworts - letztlich unklar geblieben, wodurch das Datenleck verursacht wurde. Dass es durch ein anderes Auswahlverfahren, andere Sicherheitsvorkehrungen oder andere Überwachungen verhindert hätte werden können, bleibt danach Spekulation, Hinzu kommt, dass ein werkseitig individuell voreingestelltes Passwort im Ausgangspunkt nicht weniger sicher als ein vom Nutzer persönlich eingestelltes Passwort sein muss (BGH, Urteil vom 24. November 2016 - I ZR 220/15 —, Rn. 16, juris).

Soweit der Kläger seinen Anspruch in Höhe von 700,00 € darauf stützt, dass seine Daten nach dem 19.08.2019 noch verfügbar gewesen seien und jedenfalls während eines IT-Checks am 29.08.2019 jedermann habe auf sie zugreifen können, vermag dies ebenfalls keinen Schadensersatzanspruch zu begründen. Es kann dahinstehen, ob überhaupt ein Verstoß gegen die DSGVO vorliegt. Denn jedenfalls ist dem Kläger kein Schaden entstanden. Der Kläger behauptet nicht, dass nach dem 19,08.2019 seine Daten nochmals veröffentlicht worden seien oder sie von Unbefugten etwa während des Checks tatsächlich zur Kenntnis genommen worden wären. Dann aber steht dem Kläger kein Schadensersatzanspruch zu. Denn nicht jede Datenschutzrechtverletzung in Form einer nicht (vollständig) rechtskonformen Datenverarbeitung ist automatisch ein ersatzfähiger Schaden (vgl. etwa Wybitul, NJW 2019, 3265 mwN), Vielmehr muss die Verletzungshandlung auch zu einer konkreten Verletzung von Persönlichkeitsrechten der betroffenen Person geführt haben (Wybitul, aaO), Eine weite Auslegung des Schadensbegriffs nach Art. 82 DSGVO, nach dem mit jedem Verstoß ein Schaden begründet wird (sowohl Ehmann/Selmayr, DS-GVO, 2. Aufl., Art. 82 Rn. 13), widerspricht der Systematik des deutschen Rechts. Die mitgliedsstaatlichen Gerichte sind zu einem überkompensatorischen Strafschadensersatz grundsätzlich nicht verpflichtet; nach dem Äquivalenzgrundsatz wäre ein solcher nur dann erforderlich, wenn die mitgliedstaatliche Rechtsordnung allgemein Strafschadensersatz vorsieht (Wytibul, aaO). Das ist jedoch in Deutschland nicht der Fall.

Aus dem identischen Grund steht dem Kläger kein Anspruch in Höhe von 700,00 € wegen Änderung des Administratorenpasswortes im Mai 2019 zu.

Ferner kann der Kläger nicht damit gehört werden, die Beklagte habe gegen Art. 28 DSGVO verstoßen, weil ein Vertrag nach dieser Norm mit BB fehle. Ein Schadensersatzanspruch in Höhe von 800,00 € besteht insofern nicht. Die Beklagte hat einen Datenverarbeitungsvertrag mit der BB GmbH geschlossen. Zwar ist in dem Vertrag kein Rechtsformzusatz für die dort bezeichnete "B..." genannt. Allerdings ergibt sich aus den weiteren zu ihr genannten Daten, dass es sich um die GmbH handelte. Dass der Vertrag nicht von sämtlichen Parteien unterzeichnet wurde, ist unerheblich. Nach Art. 28 Abs. 9 DSGVO bedarf es einer schriftlichen Abfassung, auch in elektronischem Format. Danach ist keine Unterzeichnung erforderlich (vgl. Ehmann/Semayr, DS-GVO, 2. Aufl., Art. 28 Rn. 12); es genügt die Abfassung in Textform nach § 126b BGB. Diesem Erfordernis genügt der Vertrag. Ferner ist nicht ersichtlich, dass der Vertrag den Anforderungen des Art. 28 DSGVO nicht genügen würde. Dass mit der BB Ltd. kein gesonderter Vertrag geschlossen wurde, ist ebenfalls unschädlich. Denn es war vertraglich unter Ziffer 7 des Vertrages geregelt, dass die BB GmbH bei einem Einsatz von Unterverarbeitern diesen gegenüber mindestens dieselben Datenschutzverpflichtungen festzulegen hatte, wie sie der Vertrag zwischen der Beklagten und der BB GmbH vorsah. Dies entspricht Art. 28 Abs. 4 DSGVO. Auch der hierfür geltend gemachte Anspruch in Höhe von 1000,00 € besteht nicht.

Auf die unterlassene Verwendung von Hashes kann der Kläger gleichfalls keinen Schadensersatzanspruch stützen, weil ein Verstoß gegen die DSGVO nicht vorliegt. Bei der Verarbeitung der personenbezogenen Daten muss eine angemessene Sicherheit gewährleistet sein, Art. 5 Abs. 1 f) DSGVO, Dies erfordert geeignete technische und organisatorische Maßnahmen zum Schutz vor unbefugter und unrechtmäßiger Verarbeitung, wobei die Anforderungen in Art. 32 DSGVO festgelegt werden. Art, 32 Abs. 1 a) DSGVO erwähnt zwar Verschlüsselung als technisches Maßnahme, fordert die Anwendung von Hashes aber gerade nicht. Selbiges gilt für die PCC-DSS-Standards. Für seine Behauptung, es sei auch keine anderweitige Kryptografie erfolgt bietet der Kläger keinen Beweis an.

Der Kläger hat gegen die Beklagte keinen Anspruch auf Schadensersatz in Höhe von 1000,00 €, weil Daten gegenüber der M... International inc. ohne Rechtsgrundlage zugänglich gemacht worden wären. Dass der M... International Inc. im Rahmen des Priceless Specials Programms erhobene Daten von Kunden preisgegeben wurden, trägt der Kläger schon nicht substantiiert vor. Erst recht gilt dies für seine konkreten Daten. Dass die M... International Inc. an der Datenverarbeitung beteiligt war, ist aufgrund des als Anlage B 5 vorgelegten Vertrages auch keineswegs zwingend. Dies gilt auch dann, wenn die M... Inc. gemeinsame Verantwortliche nach Art, 26 DSGVO gewesen sein sollte. Denn der Verantwortliche hat die Entscheidungsgewalt über Zweck und Mittel der Verarbeitung; diese kann auch ausgeübt werden, ohne dass der Verantwortliche selbst an der Durchführung der Verarbeitung beteiligt ist (Ehmann/Selmayr, DS-GVO, 2. Aufl., Art. 4 Rn. 36). Es fehlt danach an einem Schaden des Klägers.

Die Behauptung des Klägers, es fehle an einer Vereinbarung zur gemeinsamen Verantwortlichkeit, was ihm zusätzlich nicht mitgeteilt worden sei, rechtfertigt keinen Schadensersatzanspruch in Höhe von insgesamt 1200,00 €. Erneut fehlt es an einem Schaden des Klägers, weil nicht ersichtlich ist, dass seine Daten der M... International Inc. überhaupt zugänglich gemacht wurden. Überdies regelt Art. 26 DSGVÖ lediglich, dass bei zwei oder mehr Verantwortlichen festzulegen ist, wer welche Verpflichtung gemäß der Verordnung erfüllt. Wo der Schaden des Klägers liegen soll, wenn dies nicht geschehen ist und er nicht informiert wurde, ist nicht ersichtlich. Dies gilt insbesondere vor dem Hintergrund des Art. 26 Abs. 3 DSGVO. Schließlich kann der Kläger keinen Schadensersatz in Höhe von 1000,00 € deswegen gegen die Beklagte geltend machen, weil keine ausreichende Vereinbarung von Binding Corporate Rules für Zugriffsmöglichkeiten durch ein US-Unternehmen auf Daten erfolgt sei. Erneut ist schon eine Beeinträchtigung des Klägers nicht feststellbar (s.o.). Ungeachtet dessen lag für die M... International Inc. eine geeignete Garantie in Form von verbindlichen internen Datenschutzvorschriften nach Art. 46 Abs. 1, Abs. 2b), 47 DSGVO vor. Aus dem Datenverarbeitungsvertrag ergibt sich, dass durch die zuständige Aufsichtsbehörde genehmigte Binding Corporate Rules existierten, was ausreichend ist. Für seinen das in Abrede stellenden Vortrag ist der Kläger beweisfällig geblieben.

Für andere deliktische Ansprüche besteht eine Sperrwirkung der DSGVO (Sydow, DSGVO, 2. Aufl., Art. 82 Rn.27).

Ein Anspruch aus § 280 Abs. 1 BGB besteht gleichfalls nicht, weil sich nach den obigen Ausführungen nicht feststellen lässt, dass die Beklagte eine Vertragspflichtverletzung begangen hat, die kausal zu einem Schaden, nämlich der Beeinträchtigung des Allgemeinen Persönlichkeitsrechts des Klägers, geführt hat.

Den Volltext der Entscheidung finden Sie hier:

Internet World Business-Beitrag von Rechtsanwalt Marcus Beckmann - Was 2021 Recht wird - Neue Gesetze und Verordnungen für den digitalen Handel

In Ausgabe 1/2021 S. 54-55 der Zeitschrift Internet World Business erschien ein Beitrag von Rechtsanwalt Marcus Beckmann mit dem Titel "Was 2021 Recht wird". Der Beitrag gibt ein Überblick über die kommenden Gesetzesänderungen und Verordnungen für den digitalen Handel im Jahr 2021.

EuGH-Generalanwalt: Nationale Datenschutzbehörde kann bei DSGVO-Verstoß im Zusammenhang mit grenzüberschreitender Datenverarbeitung tätig werden auch wenn sie nicht federführend zuständig ist

EuGH-Generalanwalt
Schlussanträge vom 13.01.2021
C-645/19
Facebook Ireland Limited, Facebook Inc., Facebook Belgium BVBA / Gegevensbeschermingsautoriteit


Der EuGH-Generalanwalt kommt in seinen Schlussanträgen zu dem Ergebnis, dass die nationalen Datenschutzbehörden bei DSGVO-Verstößen im Zusammenhang mit grenzüberschreitender Datenverarbeitung tätig werden können auch wenn sie nicht federführend zuständig sind.

Die Pressemitteilung des EuGH:

Generalanwalt Bobek: Die Datenschutzbehörde des Staates, in dem sich die Hauptniederlassung eines Verantwortlichen oder Auftragsverarbeiters in der EU befindet, hat eine allgemeine Zuständigkeit, um gerichtliche Verfahren wegen Verstößen gegen die Datenschutz-Grundverordnung in Bezug auf grenzüberschreitende Datenverarbeitung einzuleiten

Die anderen betroffenen nationalen Datenschutzbehörden seien gleichwohl befugt, in Situationen, in denen es ihnen die Datenschutz-Grundverordnung spezifisch gestatte, derartige Verfahren inihren jeweiligen Mitgliedstaaten einzuleiten

Im September 2015 leitete die belgische Datenschutzbehörde vor den belgischen Gerichten ein Verfahren gegen mehrere Unternehmen der Facebook-Gruppe (im Folgenden: Facebook) ein, nämlich gegen Facebook Inc., Facebook Ireland Ltd, das die Hauptniederlassung der Gruppe in der EU ist, und Facebook Belgium BVBA (im Folgenden: Facebook Belgium). In diesem Verfahren beantragte die Datenschutzbehörde, Facebook zu verpflichten, bei in Belgien ansässigen Internetnutzern, wenn sie hierein nicht eingewilligt haben, das Platzieren von bestimmten Cookies auf dem Gerät, das diese Personen verwenden, wenn sie auf eine Website der Domain Facebook.com oder auf eine Website eines Dritten gelangen, zu unterlassen sowie die
übermäßige Erhebung von Daten durch Social Plugins und Pixels auf Websites Dritter zu unterlassen. Ferner beantragte die genannte Behörde, alle personenbezogenen Daten, die mittels Cookies und Social Plugins über jeden in Belgien ansässigen Internetnutzer erlangt worden sind, zu vernichten.

Das fragliche Verfahren ist derzeit beim Hof van beroep te Brussel (Berufungsgericht Brüssel, Belgien) anhängig, betrifft aber nur noch Facebook Belgium, nachdem das genannte Gericht zuvor befunden hat, für Klagen gegen Facebook Inc. und Facebook Ireland Ltd nicht zuständig zu sein. In diesem Zusammenhang trägt Facebook Belgium vor, dass die belgische Datenschutzbehörde ab dem Zeitpunkt, zu dem die Datenschutz-Grundverordnung (DSGVO) 1 anwendbar geworden sei, die Zuständigkeit dafür verloren habe, das fragliche Gerichtsverfahren gegen Facebook weiter zu betreiben. Nach der DSGVO sei lediglich die Datenschutzbehörde desjenigen Staates, in dem sich die Hauptniederlassung von Facebook in der EU befinde (die sogenannte „federführende“ Datenschutzbehörde in der EU für Facebook), nämlich die Irish Data Protection Commission, befugt, wegen Verstößen gegen die DSGVO im Zusammenhang mit grenzüberschreitender Datenverarbeitung ein gerichtliches Verfahren gegen Facebook zu betreiben.

Unter diesen Umständen möchte der Hof van beroep te Brussel vom Gerichtshof wissen, ob die DSGVO tatsächlich andere Datenschutzbehörden als die federführende daran hindert, in ihrem jeweiligen Mitgliedstaat gerichtliche Verfahren wegen Verstößen gegen die Vorschriften der DSGVO in Bezug auf grenzüberschreitende Datenverarbeitung zu betreiben.

In seinen Schlussanträgen vom heutigen Tag vertritt Generalanwalt Michal Bobek erstens die Auffassung, dass sich aus dem Wortlaut der DSGVO ergebe, dass die federführende Datenschutzbehörde für grenzüberschreitende Datenverarbeitung eine allgemeine Zuständigkeit habe, wozu auch die Einleitung gerichtlicher Verfahren wegen Verstößen gegen die DSGVO gehöre; folglich seien die diesbezüglichen Handlungsbefugnisse der übrigen betroffenen Datenschutzbehörden weniger umfassend.

In Bezug darauf, dass die DSGVO jeder Datenschutzbehörde die Befugnis verleiht, gerichtliche Verfahren gegen mögliche Verstöße einzuleiten, die ihr Hoheitsgebiet betreffen, führt der Generalanwalt aus, dass diese Befugnis ausdrücklich beschränkt sei, soweit es um grenzüberschreitende Datenverarbeitung gehe, gerade um der federführenden Datenschutzbehörde zu ermöglichen, insoweit ihre Aufgaben wahrzunehmen.

Zweitens erinnert der Generalanwalt daran, dass der Grund, weswegen mit der DSGVO der sogenannte „One-Stop-Shop“-Mechanismus eingeführt worden sei, wodurch der federführenden Datenschutzbehörde eine bedeutende Rolle zugewiesen worden sei und zur Beteiligung anderer Datenschutzbehörden Kooperationsmechanismen geschaffen worden seien, gerade darin bestanden habe, bestimmten Unzulänglichkeiten abzuhelfen, die sich aus den früheren Rechtsvorschriften ergeben hätten.

Wirtschaftsteilnehmer hätten nämlich die verschiedenennationalen Regelwerke einhalten müssen, mit denen diese Rechtsvorschriften umgesetzt wordenseien, und zugleich mit allen nationalen Datenschutzbehörden in Verbindung treten müssen. Dies habe sich für die Wirtschaftsteilnehmer als kostspielig, belastend und zeitaufwändig erwiesen, und für sie und ihre Kunden hätten sich daraus unvermeidlicherweise Unsicherheiten und Konflikte ergeben.

Drittens betont der Generalanwalt, dass die federführende Datenschutzbehörde bei grenzüberschreitenden Sachverhalten nicht als alleinige Stelle zur Durchsetzung der DSGVO angesehen werden könne und im Einklang mit den einschlägigen Vorschriften und Fristen, die sich aus der DSGVO ergäben, eng mit den anderen betroffenen Datenschutzbehörden zusammenarbeiten müsse, deren Beiträge auf diesem Gebiet äußerst wichtig seien.

Viertens hebt der Generalanwalt hervor, dass nationale Datenschutzbehörden, selbst wenn sie nicht als federführende Behörde fungierten, gleichwohl unter bestimmten Umständen vor den Gerichten ihres jeweiligen Mitgliedstaats Verfahren wegen grenzüberschreitender Verarbeitung einleiten könnten. Dies sei insbesondere möglich, wenn die nationalen Datenschutzbehörden i) außerhalb des sachlichen Anwendungsbereichs der DSGVO tätig würden, ii) sie Untersuchungen
zu grenzüberschreitender Datenverarbeitung anstellten, die durch Behörden, im öffentlichen Interesse, in Ausübung öffentlicher Gewalt oder durch Verantwortliche erfolge, die keine Niederlassung in der Union hätten, iii) bei Dringlichkeit Maßnahmen ergriffen oder iv) tätig würden, nachdem die federführende Datenschutzbehörde beschlossen habe, sich nicht selbst mit dem Fall zu befassen.

Demnach ist der Generalanwalt der Auffassung, dass die Datenschutzbehörde eines Mitgliedstaats nach den Bestimmungen der DSGVO befugt ist, vor einem Gericht ihres Staates ein Verfahren wegen eines angeblichen Verstoßes gegen die DSGVO im Zusammenhang mit einer grenzüberschreitenden Datenverarbeitung einzuleiten, auch wenn sie nicht die federführende Datenschutzbehörde ist, der für die Einleitung solcher Verfahren eine allgemeine Befugnis verliehen worden ist, sofern die erstgenannte Datenschutzbehörde in Situationen tätig wird, in denen ihr die DSGVO spezifisch hierzu Befugnisse verleiht, und die in der DSGVO vorgesehenen entsprechenden Verfahren beachtet.

Den Volltext der Schlussanträge finden Sie hier:




LfD Niedersachsen: 10,4 Millionen Euro Bußgeld gegen notebooksbilliger.de wegen nicht datenschutzkonformer Videoüberwachung von Mitarbeitern

Die Landesbeauftragte für den Datenschutz (LfD) Niedersachsen hat gegen die notebooksbilliger.de AG eine Bußgeld in Höhe von 10,4 Millionen Euro wegen angeblich nicht datenschutzkonformer Videoüberwachung seiner Mitarbeiter verhängt. Der Bescheid ist nicht rechtskräftig.

Die Pressemitteilung der LfD Niedersachsen:

LfD Niedersachsen verhängt Bußgeld über 10,4 Millionen Euro gegen notebooksbilliger.de

Die Landesbeauftragte für den Datenschutz (LfD) Niedersachsen hat eine Geldbuße über 10,4 Millionen Euro gegenüber der notebooksbilliger.de AG ausgesprochen. Das Unternehmen hatte über mindestens zwei Jahre seine Beschäftigten per Video überwacht, ohne dass dafür eine Rechtsgrundlage vorlag. Die unzulässigen Kameras erfassten unter anderem Arbeitsplätze, Verkaufsräume, Lager und Aufenthaltsbereiche.

Das Unternehmen hatte sich darauf berufen, dass es Ziel der installierten Videokameras gewesen sei, Straftaten zu verhindern und aufzuklären sowie den Warenfluss in den Lagern nachzuverfolgen. Zur Verhinderung von Diebstählen muss eine Firma aber zunächst mildere Mittel prüfen (z. B. stichprobenartige Taschenkontrollen beim Verlassen der Betriebsstätte). Eine Videoüberwachung zur Aufdeckung von Straftaten ist zudem nur rechtmäßig, wenn sich ein begründeter Verdacht gegen konkrete Personen richtet. Ist dies der Fall, kann es zulässig sein, diese zeitlich begrenzt mit Kameras zu überwachen. Bei notebooksbilliger.de war die Videoüberwachung aber weder auf einen bestimmten Zeitraum noch auf konkrete Beschäftigte beschränkt. Hinzu kam, dass die Aufzeichnungen in vielen Fällen 60 Tage gespeichert wurden und damit deutlich länger als erforderlich.

Generalverdacht reicht nicht aus

„Wir haben es hier mit einem schwerwiegenden Fall der Videoüberwachung im Betrieb zu tun“, sagt die LfD Niedersachsen, Barbara Thiel, „Unternehmen müssen verstehen, dass sie mit einer solch intensiven Videoüberwachung massiv gegen die Rechte ihrer Mitarbeiterinnen und Mitarbeiter verstoßen“. Auch die immer wieder vorgebrachte, angeblich abschreckende Wirkung der Videoüberwachung rechtfertige keinen dauerhaften und anlasslosen Eingriff in die Persönlichkeitsrechte der Beschäftigten. „Wenn das so wäre, könnten Unternehmen die Überwachung grenzenlos ausdehnen. Die Beschäftigten müssen aber ihre Persönlichkeitsrechte nicht aufgeben, nur weil ihr Arbeitgeber sie unter Generalverdacht stellt“, so Thiel. „Videoüberwachung ist ein besonders intensiver Eingriff in das Persönlichkeitsrecht, da damit theoretisch das gesamte Verhalten eines Menschen beobachtet und analysiert werden kann. Das kann nach der Rechtsprechung des Bundesarbeitsgerichts dazu führen, dass die Betroffenen den Druck empfinden, sich möglichst unauffällig zu benehmen, um nicht wegen abweichender Verhaltensweisen kritisiert oder sanktioniert zu werden.“

Auch Kundinnen und Kunden von notebooksbilliger.de waren von der unzulässigen Videoüberwachung betroffen, da einige Kameras auf Sitzgelegenheiten im Verkaufsraum gerichtet waren. In Bereichen, in denen sich Menschen typischerweise länger aufhalten, zum Beispiel um die angebotenen Geräte ausgiebig zu testen, haben die datenschutzrechtlich Betroffenen hohe schutzwürdige Interessen. Das gilt besonders für Sitzbereiche, die offensichtlich zum längeren Verweilen einladen sollen. Deshalb war die Videoüberwachung durch notebooksbilliger.de in diesen Fällen nicht verhältnismäßig.

Die 10,4 Millionen Euro sind das bisher höchste Bußgeld, das die LfD Niedersachsen unter Geltung der Datenschutz-Grundverordnung (DS-GVO) ausgesprochen hat. Die DS-GVO ermöglicht es den Aufsichtsbehörden, Geldbußen von bis zu 20 Millionen Euro oder bis zu 4 Prozent des gesamten weltweit erzielten Jahresumsatzes eines Unternehmens zu verhängen – je nachdem, welcher Betrag höher ist. Das gegen notebooksbilliger.de ausgesprochene Bußgeld ist noch nicht rechtskräftig. Das Unternehmen hat seine Videoüberwachung mittlerweile rechtmäßig ausgestaltet und dies der LfD Niedersachsen nachgewiesen.


DSK: Datenübermittlungen nach Großbritannien und Nordirland nach Abschluss des Brexit-Deals jedenfalls binnen viermonatiger Übergangsfrist weiter möglich

Die Konferenz der unabhängigen Datenschutzaufsichtsbehörden des Bundes und der Länder (DSK) hat mitgeteilt, dass Datenübermittlungen nach Großbritannien und Nordirland nach Abschluss des Brexit-Deals jedenfalls binnen viermonatiger Übergangsfrist weiter möglich ist.

Die Pressemitteilung des DSK:

Vorläufige Rechtssicherheit für Datenübermittlungen in das Vereinigte Königreich – Entwurf des Brexit-Abkommens bietet viermonatige Übergangsfrist ab dem 01. Januar 2021

Die Konferenz der unabhängigen Datenschutzaufsichtsbehörden des Bundes und der Länder (DSK) weist Unternehmen, Behörden und andere Institutionen in Deutschland darauf hin, dass in den Schlussbestimmungen des Entwurfs eines Handels- und Zusammenarbeitsabkommens zwischen dem Vereinigten Königreich und der Europäischen Union eine neue Übergangsregelung für Datenübermittlungen vorgesehen ist, die den bisher befürchteten gravierenden Rechtsunsicherheiten vorbeugt (Article 10A Interim provision for transmission of personal data to the United Kingdom, S. 406 ff.).

Danach sollen Übermittlungen personenbezogener Daten von der EU in das Vereinigte Königreich Großbritannien und Nordirland für eine Übergangsperiode nicht als Übermittlungen in ein Drittland (Art. 44 DSGVO) angesehen werden. Diese Periode beginnt mit dem In-Kraft-Treten des Abkommens und endet, wenn die EU-Kommission das Vereinigte Königreich betreffende Adäquanzentscheidungen nach Art. 45 Abs. 3 DSGVO und Art. 36 Abs. 3 Richtlinie (EU) 2016/680 getroffen hat, spätestens jedoch nach vier Monaten. Dieses Enddatum kann um zwei Monate verlängert werden, falls keine der beteiligten Parteien widerspricht.

Andreas Schurig: „Damit sind Übermittlungen in das Vereinigte Königreich vorerst weiterhin unter den bisherigen Voraussetzungen möglich. Gravierende Erschwernisse für die betroffenen Unternehmen werden so zunächst vermieden. Allerdings ist jetzt die EU-Kommission in der Pflicht, tragfähige Adäquanzentscheidungen vorzulegen, die auch die aktuelle Rechtsprechung des Europäischen Gerichtshofs berücksichtigen und von den Mitgliedstaaten genauso wie vom Europäischen Datenschutzausschuss sorgfältig zu prüfen sein werden.“


Siehe auch zum Thema: Brexit-Deal zwischen EU und Großbritannien liegt als Entwurf vor