Skip to content

BAG legt EuGH vor: Stehen Anforderungen des BDSG an Abberufung eines betrieblichen Datenschutzbeauftragten mit DSGVO im Einklang ?

BAG
Beschluss vom 27.04.2021 - 9 AZR 383/19 (A)
Beschluss vom 27.04.2021 - 9 AZR 621/19 (A)


Das BAG hat dem EuGH zu Entscheidung vorgelegt, ob die Anforderungen des BDSG an die Abberufung eines betrieblichen Datenschutzbeauftragten mit den Vorgaben der DSGVO in Einklang stehen.

Die Pressemitteilung des Gerichts:

Abberufung eines Beauftragten für Datenschutz

Zur Klärung der Frage, ob die Anforderungen des Bundesdatenschutzgesetzes (BDSG) an die Abberufung eines betrieblichen Datenschutzbeauftragten im Einklang mit der europäischen Datenschutz-Grundverordnung (DSGVO) stehen, hat der Neunte Senat des Bundesarbeitsgerichts ein Vorabentscheidungsersuchen an den Gerichtshof der Europäischen Union gerichtet.

Der Kläger ist der von der Arbeit teilweise freigestellte Vorsitzende des bei der Beklagten gebildeten Betriebsrats. Mit Wirkung zum 1. Juni 2015 wurde er zusätzlich zum betrieblichen Datenschutzbeauftragten der Beklagten und - parallel dazu - drei weiterer Konzernunternehmen bestellt. Die Beklagte berief den Kläger (ebenso wie die drei weiteren Konzernunternehmen) mit Schreiben vom 1. Dezember 2017 und - nach Inkrafttreten der DSGVO - mit weiterem Schreiben vom 25. Mai 2018 als Datenschutzbeauftragten ab. Mit seiner Klage hat der Kläger geltend gemacht, seine Rechtsstellung als Datenschutzbeauftragter bestehe unverändert fort. Die Beklagte hat die Auffassung vertreten, es drohten Interessenkonflikte, wenn der Kläger zugleich Datenschutzbeauftragter und Betriebsratsvorsitzender sei. Dies führe zu einer Unvereinbarkeit beider Ämter, die einen wichtigen Grund zur Abberufung des Klägers darstelle.

Die Vorinstanzen haben der Klage stattgegeben. Für die Entscheidung, ob die Beklagte den Kläger wirksam von seinem Amt als betrieblicher Datenschutzbeauftragter abberufen hat, kommt es auf die Auslegung von Unionsrecht an, die dem Gerichtshof der Europäischen Union vorbehalten ist. Das nationale Datenschutzrecht regelt in § 38 Abs. 2 iVm. § 6 Abs. 4 Satz 1 BDSG, dass für die Abberufung eines betrieblichen Datenschutzbeauftragten ein wichtiger Grund iSv. § 626 BGB vorliegen muss. Damit knüpft es die Abberufung eines Datenschutzbeauftragten an strengere Voraussetzungen als das Unionsrecht, nach dessen Art. 38 Abs. 3 Satz 2 DSGVO die Abberufung lediglich dann nicht gestattet ist, wenn sie wegen der Aufgabenerfüllung des Datenschutzbeauftragten vorgenommen wird. Einen wichtigen Grund zur Abberufung verlangt das europäische Recht nicht.

Der Neunte Senat des Bundesarbeitsgerichts hält unter Zugrundelegung der bisherigen Rechtsprechung vorliegend keinen wichtigen Abberufungsgrund für gegeben. Deshalb hat er sich nach Art. 267 AEUV mit der Frage an den Gerichtshof gewandt, ob neben der Regelung in Art. 38 Abs. 3 Satz 2 DSGVO mitgliedstaatliche Normen anwendbar sind, die - wie § 38 Abs. 2 iVm. § 6 Abs. 4 Satz 1 BDSG - die Möglichkeit der Abberufung eines Datenschutzbeauftragten gegenüber den unionsrechtlichen Regelungen einschränken. Sollte der Gerichtshof

die Anforderungen des BDSG an eine Abberufung für unionsrechtskonform erachten, hält der Senat es zudem für klärungsbedürftig, ob die Ämter des Betriebsratsvorsitzenden und des Datenschutzbeauftragten in einem Betrieb in Personalunion ausgeübt werden dürfen oder ob dies zu einem Interessenkonflikt iSv. Art. 38 Abs. 6 Satz 2 DSGVO führt.

Bundesarbeitsgericht, Beschluss vom 27. April 2021 - 9 AZR 383/19 (A) -
Vorinstanz: Sächsisches Landesarbeitsgericht, Urteil vom 19. August 2019 - 9 Sa 268/18

Der Senat hat mit weiterem Beschluss vom 27. April 2021 den Gerichtshof in der Sache - 9 AZR 621/19 (A) - mit teilweise gleichgelagerten Fragen um Vorabentscheidung ersucht.



OVG Schleswig-Holstein: Berufung auf Auskunftsverweigerungsrecht nach § 40 Abs. 4 S. 2 BDSG erstmals im Zwangsgeldverfahren ist zu spät

OVG Schleswig-Holstein
Beschluss vom 19.03.2021
8 B 7/21


Das OVG Schleswig-Holstein hat entschieden, dass die Berufung auf ein Auskunftsverweigerungsrecht nach § 40 Abs. 4 S. 2 BDSG erstmals im Zwangsgeldverfahren zu spät ist.

Aus den Entscheidungsgründen:

Der Antrag nach § 80 Abs. 5 S. 1 VwGO, die aufschiebende Wirkung der Klage 8 A 47/21 vom 19.02.2021 gegen die mit Bescheid vom 05.02.2021 (Bl. 30 Beiakte „A“) verfügte Zwangsgeldfestsetzung anzuordnen, ist zulässig, aber unbegründet.

Die Zwangsgeldfestsetzung erweist sich nach summarischer Prüfung als offensichtlich rechtmäßig, so dass das gesetzlich indizierte (§ 248 Abs. 1 S. 2 LVwG) öffentliche Vollziehungsinteresse das Aussetzungsinteresse der Antragstellerin überwiegt. Ihre Rechtsgrundlage findet die Zwangsgeldfestsetzung in § 237 LVwG. Das Zwangsgeld ist ordnungsgemäß i. S. d. § 236 Abs. 1 S. 1 LVwG angedroht worden. Es hält sich im gesetzlichen Rahmen (§ 237 Abs. 3 LVwG) und steht zum öffentlichen Interesse einerseits und der wirtschaftlichen Bedeutung für die Antragstellerin andererseits in einem angemessenen Verhältnis. Die zugrundeliegende Ordnungsverfügung vom 21.12.2020 (Bl. 17 Beiakte A) ist unstreitig bestandskräftig geworden und die Antragstellerin ist den in dieser Verfügung angeordneten Auskünften nicht nachgekommen.

Die Antragstellerin kann sich gegenüber der Zwangsgeldfestsetzung auch nicht auf das aus § 40 Abs. 4 S. 2 BDSG folgende Auskunftsverweigerungsrecht berufen. Nach dieser Vorschrift kann der Auskunftspflichtige die Auskunft auf solche Fragen verweigern, deren Beantwortung ihn selbst oder einen Angehörigen der Gefahr strafgerichtlicher Verfolgung oder eines Verfahrens nach dem Gesetz über Ordnungswidrigkeiten aussetzen würde, worauf der Auskunftspflichtige hinzuweisen ist.

Die Antragstellerin greift mit ihrer Berufung auf ein Auskunftsverweigerungsrecht die hier zugrundeliegende Verfügung vom 21.12.2020 an. Diese ist jedoch bestandskräftig. Anhaltspunkte für eine Nichtigkeit sind nicht ersichtlich. Sie hat sich im die Grundverfügung betreffenden Verfahren zu keinem Zeitpunkt auf ein Auskunftsverweigerungsrecht berufen. In einem solchen Fall gilt der allgemeine Grundsatz des § 248 Abs. 2 LVwG, dass Einwendungen gegen den dem Vollzug zugrundeliegenden Verwaltungsakt nur außerhalb des Vollzugsverfahrens mit den dafür zugelassenen Rechtsbehelfen geltend gemacht werden können. Folglich kann ein Auskunftsverweigerungsrecht im Vollzugsverfahren nicht mehr mit Erfolg geltend gemacht werden (vgl. VG Göttingen, Urteil vom 31.05.2017, 1 A 83/15, BeckRS 2017, 116998 zu § 38 Abs. 3 S. 2 BDSG a.F.; VG Minden, Urteil vom 26.04.2012, 2 K 884/12, zitiert nach juris). Damit wird dem rechtsstaatlichen Gehalt des Aussagverweigerungsrechts ausreichend Rechnung getragen.


Den Volltext der Entscheidung finden Sie hier:

Volltext LG Berlin: 14,5 Millionen EURO DSGVO-Bußgeld gegen Deutsche Wohnen SE aufgehoben - § 30 OWiG gilt über § 41 Absatz 1 BDSG auch für DSGVO-Verstöße

LG Berlin
Beschluss vom 18.02.2021
(526 OWi LG) 212 Js-OWi 1/20 (1/20), 526 OWiG LG 1/20


Das LG Berlin hat das 14,5 Millionen EURO DSGVO-Bußgeld gegen die Deutsche Wohnen SE (siehe dazu Berliner Datenschutzbeauftragter: Bußgeld von 14,5 Millionen EURO gegen Deutsche Wohnen SE wegen DSGVO-Verstößen) aufgehoben. Das Gericht führt u.a. aus, dass § 30 OWiG über § 41 Absatz 1 BDSG auch für DSGVO-Verstöße gilt.

Die Entscheidungsgründe:
I. Die Betroffene ist ein börsennotiertes Immobilienunternehmen mit Sitz in Berlin. Sie hält über gesellschaftsrechtliche Beteiligungen mittelbar 162.700 Wohneinheiten und 3.000 Gewerbeeinheiten. Eigentümer dieser Einheiten sind Tochtergesellschaften der Betroffenen, sogenannte Besitzgesellschaften, die das operative Geschäft führen und die mit der Betroffenen einen Konzern bilden. Die Geschäftstätigkeit der Betroffenen konzentriert sich auf die übergeordnete Leitung, wie die Geschäftsführung, das Personalwesen oder das Finanz- und Rechnungswesen. Die Besitzgesellschaften vermieten die Wohn- und Gewerbeeinheiten, die Verwaltung der Einheiten erfolgt ebenfalls durch Konzerngesellschaften, die sogenannten Servicegesellschaften.

Im Rahmen ihrer Geschäftstätigkeit verarbeiten die Betroffene und die genannten Konzerngesellschaften unter anderem auch personenbezogene Daten von Mieterinnen und Mietern der Wohn- und Gewerbeeinheiten. Dies geschieht im Rahmen der Neuvermietung eines Objektes, der laufenden Verwaltung eines bestehenden Mietverhältnisses oder auch beim Erwerb von bereits vermieteten Immobilien und der Übernahme der mit diesen verbundenen Mietverhältnissen. Bei diesen Daten handelt es sich unter anderem um Identitätsnachweise (etwa Personalausweiskopien), Bonitätsnachweise (etwa Kontoauszüge), Gehaltsbescheinigungen, Arbeitsnachweise, Steuer-, Sozial- und Krankenversicherungsdaten sowie Angaben zu Vormietverhältnissen

Am 23. Juni 2017 wies die Berliner Beauftragte für den Datenschutz („BlnBDI“ oder „Behörde“) im Rahmen einer sogenannten Vor-Ort-Kontrolle nach § 38 Absatz 4 Bundesdatenschutzgesetz a.F. die Betroffene darauf hin, dass ihrer Auffassung nach Konzerngesellschaften der Betroffenen personenbezogene Daten von Mieterinnen und Mietern in einem elektronischen Archivsystem speicherten, bei dem nicht überprüft werden könne, ob eine erfolgte Speicherung zulässig oder erforderlich ist und bei dem nicht mehr erforderliche Daten nicht gelöscht werden könnten, obgleich dies nach den geltenden datenschutzrechtlichen Bestimmungen zu erfolgen habe. Im Hinblick auf diesen Umstand forderte die Behörde die Betroffene mit Schreiben vom 8. September 2017 auf, eine Vielzahl beanstandeter Dokumente aus dem elektronischen Archivsystem bis Jahresende 2017 zu löschen. Die Betroffene teilte daraufhin mit Schreiben vom 22. September 2017 mit, dass ihr die verlangte Löschung der beanstandeten Dokumente aus technischen und rechtlichen Gründen nicht möglich sei. Eine Löschung der Dokumente erfordere insbesondere zunächst die Überführung der alten Archivdaten in ein neues Archivsystem, welches wiederum Konformität mit den gesetzlichen handels- und steuerrechtlichen Aufbewahrungspflichten aufweisen müsse. Zu diesen Einwänden fand auf Wunsch der Betroffenen sodann am 1. November 2017 ein Gespräch zwischen Vertretern der Behörde und der Betroffenen statt, indem die Behörde insbesondere die Auffassung vertrat, dass es am Markt technische Lösungen gebe, die eine Umsetzung der begehrten Löschungen erlaube. Nachdem die Betroffene unter dem 30. November 2017 noch einmal schriftlich dargelegt hatte, dass die Löschungen innerhalb der gesetzten Frist nicht erfolgen könnten, forderte die Behörde die Betroffene mit Schreiben vom 20. Dezember 2017 dazu auf, die der Löschung entgegenstehenden Gründe, insbesondere einen etwaigen unverhältnismäßigen Aufwand schriftlich darzulegen. Die Betroffene beantwortete diese Aufforderung mit einer E-Mail vom 3. Januar 2018 und einem Schreiben vom 26. Januar 2018 und berichtete über den vorgesehenen Aufbau eines neuen Speichersystems, mit dem das bisherige beanstandete System ersetzt werden sollte.

Am 5. März 2020 nahm die BlnBDI sodann eine Prüfung in der Konzernzentrale der Betroffenen vor, bei der insgesamt 16 Stichproben im Datenbestand der Betroffenen entnommen wurden und die Betroffene die Behörde unterrichtete, dass das beanstandete Archivsystem zum 13. Februar 2020 außer Betrieb gesetzt worden sei und die Migration der Daten auf das neue System unmittelbar bevorstehe. An diesen Termin schloss sich weiterer Briefwechsel zwischen der Betroffenen und der Behörde an, insbesondere hat die Behörde die Betroffene um zahlreiche Auskünfte ersucht, die die Betroffene in mehreren Schreiben bedient hat.

Mit Schreiben vom 30. August 2020, zugestellt am 2. September 2020, hörte die Behörde die ... als Betroffene wegen einer Ordnungswidrigkeit an und teilte ihr mit, gegen sie ein Ordnungswidrigkeitsverfahren eingeleitet zu haben. Mit der Anhörung verlangte die Behörde Auskunft über die vertretungsberechtigten Leitungspersonen der Betroffenen, die die Betroffene mit Schreiben vom 12. September 2020 beantwortet hat. Nach Stellungnahme der Betroffenen mit Schreiben vom 30. September 2020 erließ die BlnBDI am 30. Oktober 2020 sodann den verfahrensgegenständlichen Bußgeldbescheid gegen die Betroffene, der dieser am 31. Oktober 2020 zugestellt worden ist. Die Behörde verhängte mit dem Bußgeldbescheid vom 30. Oktober 2020 gegen die Betroffene wegen „vorsätzlicher“ Verstöße gegen Artikel 25 Absatz 1, Artikel 5 Absatz 1 lit. a), c) und e) sowie gegen Artikel 6 Absatz 1 DS-GVO ein Bußgeld in Höhe von EUR 14.549.503,50. Die ... als Betroffene habe es danach zumindest im Tatzeitraum zwischen dem 25. Mai 2018 und dem 5. März 2019 unterlassen, die notwendigen Maßnahmen zur Ermöglichung der regelmäßigen Löschung nicht mehr benötigter oder in sonstiger Weise zu Unrecht gespeicherter Daten von Mietern zu treffen. Die ... habe ferner personenbezogene Daten von mindestens fünfzehn näher bezeichneten Mietern fortgesetzt gespeichert, obgleich ihr bekannt gewesen sei, dass die Speicherung nicht oder nicht mehr erforderlich war und sie habe damit bewusst in Kauf genommen, Datenschutzgrundsätze zu verletzen. Hinsichtlich der Tatvorwürfe habe die ... vorsätzlich gehandelt.

Mit Schreiben ihrer Prozessbevollmächtigten vom 7. November 2020 legte die Betroffene gegen den Bußgeldbescheid Einspruch ein, der der Behörde noch am selben Tage durch Faxschreiben zuging und den die Betroffene mit Schriftsatz ihrer Prozessbevollmächtigten vom 14. August 2020 begründete. Sie führt neben Einwänden zu den tatbestandlichen Voraussetzungen und Rechtsfolgen der vermeintlich verletzten Bußgeldvorschriften insbesondere aus, dass bereits ein Verfahrenshindernis bestehe, da der Bußgeldbescheid die ... als Betroffene führe, was im Ordnungswidrigkeitenrecht nicht vorgesehen sei.

Wegen des weiteren Sachstandes wird auf den Akteninhalt verwiesen.

II. Das Verfahren war nach § 206a StPO in Verbindung mit §§ 46, 71 OWiG durch Beschluss einzustellen, da ein Verfahrenshindernis besteht.

1. Der Bußgeldbescheid der Berliner Beauftragten für Datenschutz und Informationsfreiheit vom 30. Oktober 2019 leidet unter derart gravierenden Mängeln, dass er nicht Grundlage des Verfahrens sein kann.

a) Der Bußgeldbescheid wurde gegen die ... erlassen, mithin gegen eine Europäische Gesellschaft, eine juristische Person des Privatrechts mit eigener Rechtspersönlichkeit i.S.v. § 1 Absatz 1 AktG in Verbindung mit §§ 1 ff. SEAG in Verbindung mit Artikel 1 Absatz 3 der Verordnung (EG) Nr. 2157/2001 des Rates vom 8. Oktober 2001 über das Statut der Europäischen Gesellschaft. Die ... wurde von der BlnBDI als Betroffene im Sinne des Gesetzes über Ordnungswidrigkeiten behandelt. Ihr wurde im Bußgeldbescheid an zahlreichen Stellen die vorsätzliche Verwirklichung von Ordnungswidrigkeitstatbeständen vorgeworfen. In der Stellungnahme der Berliner Beauftragten für Datenschutz und Informationsfreiheit vom 28. Oktober 2020 zur Einspruchsbegründung der Betroffenen hat die Behörde bekräftigt, der Bescheid richte sich allein gegen die ..., vertreten durch ihre Geschäftsführung.

Eine juristische Person kann indes nicht Betroffene in einem Bußgeldverfahren, auch nicht in einem solchen nach Artikel 83 der Verordnung (EU) 2016/679 des Europäischen Parlaments und des Rates vom 27. April 2016 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten, zum freien Datenverkehr und zur Aufhebung der Richtlinie 95/46/EG (Datenschutz-Grundverordnung oder DS-GVO), sein. Denn eine Ordnungswidrigkeit kann nur eine natürliche Person vorwerfbar begehen. Der juristischen Person kann lediglich ein Handeln ihrer Organmitglieder oder Repräsentanten (der natürlichen Personen) zugerechnet werden. Sie kann deshalb im Bußgeldverfahren nur Nebenbeteiligte sein. Die Verhängung einer Geldbuße gegen sie ist in § 30 OWiG geregelt, der über § 41 Absatz 1 BDSG auch für Verstöße nach Artikel 83 Absatz 4 bis 6 DS-GVO Anwendung findet. Danach kann entweder in einem einheitlichen Verfahren gegen die juristische Person eine Geldbuße festgesetzt werden, wenn wegen der Tat des Organmitgliedes oder Repräsentanten, also der natürlichen Person, gegen diese ein Bußgeldverfahren durchgeführt wird, oder aber nach § 30 Absatz 4 OWiG in einem selbständigen Verfahren. Voraussetzung ist dann freilich, dass wegen der Tat des Organmitgliedes oder Repräsentanten der juristischen Person ein Verfahren nicht eingeleitet oder ein solches Verfahren eingestellt wird. Allerdings muss, da die juristische Person selbst eine Ordnungswidrigkeit nicht begehen kann, auch in diesem sogenannten selbständigen Verfahren eine vorwerfbare Ordnungswidrigkeit eines Organmitgliedes der juristischen Person festgestellt werden.

Der verfahrensgegenständliche Bußgeldbescheid vom 30. Oktober 2019 wurde offensichtlich nicht als selbständiger Bescheid gemäß § 30 Absatz 4 OWiG erlassen. Die BlnBDI war sich der dargestellten Rechtslage nicht bewusst und vertritt die Auffassung, eine juristische Person könne im Ordnungswidrigkeitenrecht wie eine natürliche Person behandelt werden. Der Bußgeldbescheid erging daher in einem Verfahren, das im Gesetz über Ordnungswidrigkeiten nicht vorgesehen und daher nicht zulässig ist. Der Bescheid ist deshalb unwirksam (vgl. OLG Stuttgart, Beschluss vom 1. Februar 1993 – 4 Ss 573/92, MDR 1993, 572).

aa) Dabei übersieht die Kammer nicht, dass in der rechtswissenschaftlichen Literatur und vom Landgericht Bonn (Urteil vom 11. November 2020 – 29 OWi 1/20, BeckRS 2020, 35663) vertreten wird, Artikel 83 DS-GVO allein sei hinreichende Rechtsgrundlage für eine sogenannte unmittelbare Verbandshaftung juristischer Personen (vgl. etwa: BeckOK DatenschutzR/Holländer DS-GVO Art. 83 Rn. 9; Kühling/Buchner/Bergt, DS-GVO BDSG, DSGVO Art. 83 Rn. 20; BeckOK DatenschutzR/Brodowski/Nowak, § 41 BDSG Rn. 11). Nach dieser Auffassung besteht für die Datenschutz-Grundverordnung ein Anwendungsvorrang vor nationalen Vorschriften, da es andernfalls zu ungewünschten Wettbewerbsverzerrungen in den Mitgliedsstaaten der Europäischen Union im Hinblick auf die Durchsetzungen der europarechtlichen Datenschutzregeln kommen könne. Nationale Vorschriften wie § 41 Absatz 1 BDSG in Verbindung mit §§ 30, 130 OWiG, seien wegen des Grundsatzes der praktischen Wirksamkeit (effet utile) so auszulegen, dass ihre Anwendung nicht zu Vollzugsdefiziten führen könne – und wo dies nicht gelänge, seien sie gar nicht anzuwenden. Schließlich gäben die Erwägungsgründe der Datenschutz-Grundverordnung Hinweis darauf, dass der europäische Verordnungsgesetzgeber das Sanktionsregime des europäischen Kartellrechtes habe nachbilden wollen, dem eine unmittelbare Verbandshaftung zugrunde liege. Danach bedarf es gerade nicht der Feststellung einer Tathandlung durch eine natürliche Person, die dem Verband zugerechnet werden müsste (sogenannte Anknüpfungstat). Vielmehr sei die juristische Person selbst Täter und nach dem insoweit unmittelbar anwendbaren Unionsrecht auch schuldfähig.

bb) Dieser Auffassung vermag sich die Kammer indes nicht anzuschließen.

Nach Artikel 83 DS-GVO in Verbindung mit Artikel 4 Nr. 7 und 8 DS-GVO sind Geldbußen für Verstöße gegen die DS-GVO gemäß Artikel 83 Absätze 4 bis 6 DS-GVO nicht nur gegen natürliche Personen, sondern auch gegen juristische Personen als „Verantwortlicher“ im Sinne des Artikel 4 Nr. 7 DS-GVO oder „Auftragsverarbeiter“ im Sinne des Artikel 4 Nr. 8 DS-GVO zu verhängen. Nähere Bestimmungen zur strafrechtlichen Verantwortlichkeit juristischer Personen für von ihnen zurechenbaren natürlichen Personen begangene Verstöße gegen die Datenschutz-Grundverordnung enthält die Verordnung indes nicht.

Auf das von der BlnBDI geführte Ordnungswidrigkeitsverfahren für die Verhängung einer Geldbuße nach Artikel 83 Absatz 4-6 DS-GVO findet nach § 41 BDSG aber das Gesetz über Ordnungswidrigkeiten Anwendung. Die Norm dient – neben der allgemeinen Umsetzungsverpflichtung europäischen Rechts aus Artikel 197 Absatz 3 Satz 1, 291 Absatz 1 des Vertrags über die Europäische Union und des Vertrags über die Arbeitsweise der Europäischen Union (AEUV) – der Umsetzung des spezifischen Regelungsauftrages aus Artikel 83 Absatz 8 DS-GVO. Danach haben die Mitgliedstaaten für die Ausübung der Befugnisse gemäß Artikel 83 DS-GVO durch die zuständige Aufsichtsbehörde angemessene Verfahrensgarantien einschließlich wirksamer gerichtlicher Rechtsbehelfe und ordnungsgemäßer Verfahren vorzusehen. § 41 Absatz 1 BDSG erklärt daher die Anwendung des Gesetzes über Ordnungswidrigkeiten für die Verstöße nach Artikel 83 Absatz 4 bis 6 DS-GVO und damit für das „ob“ einer Tatbestandsverwirklichung unter Ausnahme der §§ 17, 35, 36 OWiG, für anwendbar. § 41 Absatz 2 BDSG regelt sinngleiches für das Verfahren wegen eines Verstoßes gegen Artikel 83 Absatz 4 bis 6 DS-GVO. Die Regelung ist erforderlich, da das Gesetz über Ordnungswidrigkeiten nach dessen § 2 Absatz 2 Satz 2 nur für Bundes- und Landesrecht gilt. Der Nichtanwendungsbefehl für die §§ 17, 35, 36 OWiG folgt dabei daraus, dass in der diesen Normen zugrundeliegenden Regelungsmaterie, namentlich der Bußgeldhöhe und der Zuständigkeit der Aufsichtsbehörde, die Datenschutz-Grundverordnung abschließende Regelungen getroffen hat (vgl. BT-Drs. 18/11325, S. 108 zu § 41). Für den Bereich der Zurechnung schuldhaften Verhaltens ist dies freilich nicht der Fall, weshalb die §§ 30, 130 OWiG auch im Rahmen von Verstößen nach Artikel 83 Absatz 4 bis 6 DS-GVO anwendbar bleiben (vgl. Gola, Datenschutzgrundverordnung, Art. 83, Rn. 11; Sydow/Popp DS-GVO Art. 83 Rn. 5, Art. 84 Rn. 3; Piltz, BDSG Praxiskommentar für die Wirtschaft, § 41 Rn. 7 ff.; Schantz/Wolff, Das neue Datenschutzrecht, Rn. 1128, 1132-1135; zur vergleichbaren Rechtslage in Österreich: ÖVwGH, Erkenntnis vom 12.5.2020 – Ro 2019/04/0229, ZD 2020, 463; BVwG, Spruch vom 19. August 2019 – W211 2217629-1/10E Rn. 29 ff.; Spruch vom 23. Oktober 2019 – W258 2227269-1/114E, sub. 3.11).

Die Regelung der Zurechnung der durch natürliche Personen begangenen Verstöße ist erforderlich, da die juristische Person selbst nicht handelt, ihre Organe und Vertreter tun dies für sie. Eine Ordnungswidrigkeit aber ist eine rechtswidrige und vorwerfbare Handlung, die den Tatbestand eines Gesetzes verwirklicht, welches die Ahndung mit einer Geldbuße zulässt (vgl. § 1 Absatz 1 OWiG). Insoweit ist die Feststellung eines vorwerfbaren Verhaltens einer natürlichen Person die notwendige Grundvoraussetzung für die Begründung einer Verantwortlichkeit des möglicherweise pflichtigen Rechtsträgers.

Der Wortlaut des § 41 Absatz 1 Satz 1 BDSG, der für Verstöße nach Artikel 83 Absatz 4 bis 6 der DS-GVO die „sinngemäße“ Anwendung der Vorschriften des Gesetzes über Ordnungswidrigkeiten vorsieht, liefert – entgegen der Auffassung der Behörde – keinen Hinweis darauf, dass die Normen des Gesetzes über Ordnungswidrigkeiten „eingeschränkt“ oder gar selektiv überhaupt nicht anzuwenden wären. Es handelt sich bei diesem Verweis vielmehr um eine gängige Inbezugnahme außerhalb des Ausgangstextes liegender Vorschriften. Hierzu stehen dem Gesetzgeber verschiedene Formen des Verweises zur Verfügung. Einer von ihnen ist die sogenannte Analogieverweisung, die rechtsförmlich zutreffend mit dem Wort „sinngemäß“ oder „entsprechend“ verbunden wird. Damit soll bestimmt werden, dass der Bezugstext – hier das Gesetz über Ordnungswidrigkeiten – nicht wörtlich, sondern nur sinngemäß angewandt wird, was immer dann angezeigt ist, wenn der Bezugstext nicht wörtlich passt. Eine inhaltliche Einschränkung dahingehend, dass bestimmte Normen des Bezugstextes gar nicht gelten, ist davon indes nicht erfasst. Grundsätzlich wird vielmehr der Bezugstext Bestandteil der verweisenden Regelung (zum Ganzen: Handbuch der Rechtsförmlichkeit, BAnz. Nr. 160a vom 22. September 2008, Rn. 218 ff., 232 ff.). Dementsprechend lässt sich aus dem Analogieverweis auf die Normen des Gesetzes über Ordnungswidrigkeiten auch keinesfalls ableiten, dass die §§ 30, 130 OWiG nicht oder einschränkt auf den hiesigen Sachverhalt anwendbar wäre.

Zu keinem anderen Ergebnis führt es, dass § 41 Absatz 1 Satz 1 BDSG die einschränkende Wendung „soweit dieses Gesetz nichts anderes bestimmt“ enthält. Anders als die Behörde meint, ist mit der Bezeichnung „dieses Gesetz“ nicht etwa die DS-GVO gemeint. Nicht nur wäre die DS-GVO als „Gesetz“ rechtsförmlich unzutreffend bezeichnet worden. Das verweisende Gesetz – hier das Bundesdatenschutzgesetz – wird stets als „dieses Gesetz“ bezeichnet (vgl. Handbuch der Rechtsförmlichkeit, BAnz. Nr. 160a vom 22. September 2008, Rn. 275 f., 310).

Der historische Gesetzgeber des Bundesdatenschutzgesetzes ist denn auch augenscheinlich von der Anwendbarkeit der §§ 30, 130 OWiG im Falle eines Verstoßes gegen die DS-GVO ausgegangen. Denn während der erste Referentenentwurf eines Gesetzes zur Anpassung des Datenschutzrechts an die Verordnung (EU) 2016/679 und zur Umsetzung der Richtlinie (EU) 2016/680 (Datenschutz-Anpassungs- und –Umsetzungsgesetz EU) in § 39 Absatz 1 Satz 2 BDSG-RefE noch die ausdrückliche Nichtanwendung der §§ 30, 130 OWiG vorsah, ist dieser Normbefehl in der Gesetz gewordenen bedeutungs- und im Übrigen wortlautgleichen Vorschrift des § 41 Absatz 1 Satz 2 BDSG gestrichen worden und auch nicht durch die letzte Novelle des Bundesdatenschutzgesetzes, durch das zweite Gesetz zur Anpassung des Datenschutzrechts vom 20. November 2019, geändert worden. Dabei war sich der Gesetzgeber mindestens durch die Entschließung der 97. Konferenz der unabhängigen Datenschutzbehörden des Bundes und der Länder vom 3. April 2019, mit dem für eine „klarstellende“ Ergänzung des § 41 Absatz 1 Satz 2 BDSG und die Nichtanwendung der §§ 30, 130 OWiG geworben wird, der Folgen seiner Entscheidung bewusst.

Die insoweit unzweideutige Entscheidung des Gesetzgebers findet einen guten Grund in den Grenzen der verfassungsmäßigen Ordnung. Denn Hintergrund des Erfordernisses der Anknüpfung an die Handlung einer natürlichen Person ist das aus dem Rechtsstaatsprinzip des Artikel 20 Absatz 3 Grundgesetz (GG), aus Artikel 103 Absatz 2 GG, der allgemeinen Handlungsfreiheit des Artikel 2 Absatz 1 GG sowie der Menschenwürde in Artikel 1 Absatz 1 GG folgende Schuldprinzip. Ohne eine Anknüpfung an eine schuldhafte Handlung ist ein staatlicher Strafausspruch nicht möglich. Wobei jede Strafe, nicht nur die Strafe für kriminelles, sondern auch die strafähnliche Sanktion für sonstiges Unrecht, die Elemente von Repression und Vergeltung beinhaltet, die ein Übel wegen eines rechtswidrigen Verhaltens verhängt, dem Schuldprinzip unterliegt (BVerfG, Beschluss vom 25. Oktober 1966 – 2 BvR 506/63, NJW 1967, 195; Urteil vom 30. Juni 1976 - 2 BvR 435/76, NJW 1976, 1883; Beschluss vom 14. Juli 1981 – 1 BvR 575/80). Dieses gilt daher auch im Ordnungswidrigkeitenrecht. Die schuldhafte Handlung des Einzelnen setzt aber dessen eigene Verantwortung und die Willensfreiheit voraus, sich für Recht oder Unrecht entscheiden zu können. Diese Entscheidung vermag die juristische Person nicht zu treffen, weshalb es insoweit immer der Anknüpfung an die Handlung einer natürlichen Person bedarf. Auf dieser Linie liegt es, wenn auch das aktuelle Gesetzgebungsverfahren zu einem Verbandssanktionengesetz in der Entwurfsfassung des § 3 VerSanG-E (vgl. BT-Drcks. Drucksache 19/23568, S. 11) auf die Begehung einer Straftat durch eine Leitungsperson oder die Verletzung einer Aufsichtspflicht abstellt und insoweit am bestehenden Konzept der Notwendigkeit der Verantwortlichkeit einer natürlichen Person festhält.

Der Hinweis darauf, der europäische Verordnungsgesetzgeber habe mit der Datenschutzgrundverordnung das Sanktionsregime des europäischen Kartellrechts nachbilden wollen, weshalb – wie dort – eine unmittelbare Verbandsverantwortlichkeit in Betracht komme, überzeugt ebenfalls nicht.

Zunächst ist das europäische Kartellrecht davon geprägt, dass es nach Artikel 4 der Verordnung (EG) Nr. 1/2003 des Rates vom 16. Dezember 2002 zur Durchführung der in den Artikeln 81 und 82 des Vertrags niedergelegten Wettbewerbsregeln (KartellVO) grundsätzlich von der europäischen Kommission kraft eigener Kompetenz umgesetzt wird, wohingegen die DS-GVO durch nationale Aufsichtsbehörden exekutiert werden soll. Mag auch Artikel 5 KartellVO eine Zuständigkeit der nationalen Wettbewerbsbehörden zur Anwendung des EU-Wettbewerbsrechts begründen, so ist doch für die Reichweite dieser behördlichen Befugnisse weiterhin das innerstaatliche Recht maßgeblich. Die nationalen Behörden können dementsprechend Verstöße gegen europäisches Recht nur verfolgen, soweit es nationale Bestimmungen zulassen. Dies gilt im Besonderen auch für die bußgeldrechtliche Haftung eines Unternehmens im Sinne des weiten Unternehmensbegriffs nach europäischer Rechtsprechung (zu diesem: EuGH, Urteil vom 10. September 2009 – C-97/08EuZW 2009, 816, 821 [Akzo Nobel u. a./Kommission], Rn. 54 ff.; EuG, Urteil vom 14. Dezember 2006 – T-259/02, BeckRS 2006, 140069, Rn. 21). Denn für das deutsche Recht hat der nationale Gesetzgeber sich für das Rechtsträgerprinzip entschieden, wie es etwa in § 30 OWiG zum Ausdruck kommt. Die Verhängung einer allgemeine Unternehmensgeldbuße durch deutsche Kartellbehörden ohne Anknüpfung an die Tat eines Repräsentanten kommt danach nicht in Betracht (vgl. BGH, Beschluss vom 16. Dezember 2014 − KRB 47/13, NZKart 2015, 272, 275 f. [Silostellgebühren III]; Beschluss vom 10. August 2011 – KRB 55/10, NJW 2012,164, 165 [Versicherungsfusion]; OLG Düsseldorf, Urteil vom 17. Dezember 2012 − V-1 Kart 7/12 (OWi)- NZKart 2013, 166, 167 ff. [Silostellgebühren II]). Das nationale Kartellbußgeldrecht enthält auch nach der jüngsten Novelle des Gesetzes gegen Wettbewerbsbeschränkungen (GWB) keine Ausnahme von diesem Rechtsgrundsatz. Nach den §§ 81 ff. GWB setzt die Bebußung eines Unternehmens voraus, dass die Tat durch eine Leitungsperson selbst oder zwar durch eine andere Person begangen wurde, aber die Leitungsperson sich einer vorsätzlichen oder fahrlässigen Aufsichtspflichtverletzung (§ 130 OWiG) schuldig gemacht hat. Dies gilt insbesondere auch mit Blick auf die Vorschriften der §§ 81a bis 81c GWB. Soweit danach eine gegen ein Unternehmen oder eine Unternehmensvereinigung zu verhängende Geldbuße in Rede steht, geht es dabei – wie bereits in der Vorgängernorm des § 81 Absatz 4 Satz 2 GWB – insbesondere um die Bußgeldbemessung, ohne dass damit die in § 30 OWiG vorgesehene Begrenzung der Ahndung einer Organtat gegenüber derjenigen juristischen Person, deren Organ die Tat begangen hat, aufgehoben wäre (vgl. BGH, Beschluss vom 10. August 2011 – KRB 55/10, NJW 2012, 164, 166 [Versicherungsfusion]).

Insoweit vermag auch der Hinweis auf Erwägungsgrund 150 zur DS-GVO nicht die Annahme rechtfertigen, der europäische Verordnungsgesetzgeber der DS-GVO habe die Übernahme des gesamten supranationalen kartellrechtlichen Sanktionsregimes gewollt. Denn Erwägungsgrund 150 (Satz 3) zur DS-GVO betrifft die Bemessung einer möglichen Bußgeldhöhe allein. Er verhält sich damit zur Rechtsfolge eines Verstoßes und keinesfalls – wie etwa der die europäische Kommission ermächtigende Artikel 23 KartellVO – auch zu dessen Voraussetzungen. Satz 3 des Erwägungsgrundes lautet: „Werden Geldbußen Unternehmen auferlegt, sollte zu diesem Zweck der Begriff „Unternehmen“ im Sinne der Artikel 101 und 102 AEUV verstanden werden.“ Die Formulierung setzt zunächst voraus, dass überhaupt eine Buße gegen ein „Unternehmen“ verhängt wird. Zur Frage der Bemessung der Höhe dieser Buße nimmt Erwägungsgrund 150 erkennbar Bezug auf Artikel 83 Absatz 4 bis 6 DS-GVO und möchte damit erreichen, dass im Falle der Verhängung einer Buße gegen ein „Unternehmen“ eben nicht allein der erzielte Jahresumsatz des (unmittelbar) betroffenen Rechtsträgers zur Bemessungsgrundlage gemacht wird, sondern vielmehr – i.S.v. Artikel 101 f. AEUV und des kartellrechtlichen, weiten Unternehmensbegriffs – der Umsatz der handelnden wirtschaftlichen Einheit (vgl. Immenga/Mestmäcker/Zimmer, Wettbewerbsrecht, Art. 101 Abs. 1 AEUV, Rn. 9 ff.). Diese Ausdeutung wird in systematischer Hinsicht durch Satz 4 des Erwägungsgrundes gestützt, der sich mit der Bemessung der Bußgeldhöhe – und dieser allein – bei natürlichen Personen befasst.

Nach Auffassung der Kammer erlaubt es zudem das Gesetzlichkeitsprinzip des Artikel 103 Absatz 2 GG nicht, die Frage der Verantwortlichkeit einer juristischen Person im Rahmen einer staatlichen Sanktionsanordnung durch die eine europäische Verordnung begleitenden Erwägungsgründe zu manifestieren, die zudem erkennbar nicht Bestandteil der Verordnung selbst sind.

Schließlich ist für die Kammer auch nicht erkennbar, dass sich aus dem unionsrechtlichen Effektivitätsgebot (Art. 197 AEUV) eine Pflicht zur Übernahme des unionsrechtlichen Modells der Verbandsverantwortlichkeit ergeben sollte. Denn dieses belässt den Mitgliedstaaten bei der Ausgestaltung des Sanktionsregimes einen Ermessensspielraum, der verfassungskonform, hier insbesondere unter Beachtung des Schuldgrundsatzes auszufüllen ist (vgl. zum Kartellrecht: Böse, ZStW 126 (2014), 132, 155).

Zwar wird wohl zutreffend darauf hingewiesen, dass es zur effektiven Durchsetzung der Regelungsziele der Datenschutzgrundverordnung erforderlich ist, dass das nationale Recht wirksame und hinreichend abschreckende Sanktionen zulässt, womit die Pflicht der nationalen Gerichte einhergehen dürfte, das einzelstaatliche Recht möglichst so auszulegen, dass bei einer Zuwiderhandlung gegen die DS-GVO effektive Sanktionen verhängt werden können. Die Pflicht zur unionsrechtskonformen Auslegung findet aber in den allgemeinen Rechtsgrundsätzen, insbesondere im Grundsatz der Rechtssicherheit, insofern ihre Schranken, als sie nicht als Grundlage für eine Auslegung des nationalen Rechts contra legem, also entgegen den nach nationalem Recht zulässigen Methoden richterlicher Rechtsfindung, dienen darf (vgl. EuGH, Urteil vom 16.Juli 2009 - C 12/08, BeckRS 2009, 70805, Rn. 61 [Mono Car Styling]; BGH, Urteil vom 26. November 2008 - VIII ZR 200/0, BGHZ 179, 27 Rn. 19 ff. mwN). Besondere Geltung beanspruchen diese Grundsätze für Vorschriften auf dem Gebiet des Straf- oder Ordnungswidrigkeitenrechts (EuGH, Urteil vom 16. Juni 2005 - C-105/03, NJW 2005, 2839 Rn. 47 [M. Pupino]; KK-OWiG/Rogall, § 3 Rn. 83 m.w.N.), bei deren Auslegung dem im deutschen und auch europäischen Verfassungsrecht verankerten Gesetzlichkeitsprinzip (Artikel 103 Absatz 2 GG, Artikel 49 der Charta der Grundrechte der Europäischen Union [2007/C 303/01]; Artikel 7 der Konvention zum Schutz der Menschenrechte und Grundfreiheiten) und somit auch der Wortsinngrenze besondere Bedeutung zukommt. Eine gesetzlich nicht vorgesehene strafrechtliche Verantwortlichkeit kann danach auf eine unionsrechtskonforme Auslegung selbst dann nicht gestützt werden, wenn die in Rede stehende nationale Regelung sich andernfalls als unionsrechtswidrig erweisen könnte (EuGH, Urteil vom 28. Juni 2012 – C-7/11, BeckRS 2012, 81321 [Caronna]; BGH, Beschluss vom 16. Dezember 2014 − KRB 47/13 – Silostellgebühren III, NZKart 2015, 272, 274).

Die hier anzuwendenden Bestimmungen in §§ 30, 130 OWiG i.V.m. § 41 BDSG schließen die bußgeldrechtliche Inanspruchnahme der Betroffenen auf der Grundlage des verfahrensgegenständlichen Bescheides aus. Denn nach ihrem Wortlaut ist für die Verantwortlichkeit der juristischen Person eine schuldhafte Handlung eines ihrer Repräsentanten erforderlich. Dieses Erfordernis kann nicht im Wege der Auslegung der Norm oder durch die Annahme einer Verbandsverantwortlichkeit „sui generis“ entfallen, ohne die Wortlautgrenze zu überschreiten und damit einen Verstoß gegen das Analogieverbot des Artikel 103 Absatz 2 GG zu begründen (vgl. dazu BVerfG, Urteil vom 11. November 1986 – 1 BvR 713/83, BeckRS 1986, 50, Rn. 65).

Es ist überdies lediglich pauschal dargetan worden, dass der Nachweis der Begehung einer Ordnungswidrigkeit durch das Erfordernis des Nachweises einer pflichtwidrigen Organhandlung i.S.v. §§ 30, 130 OWiG erschwert sei. Nicht dargetan ist indessen, dass sie den handelnden Aufsichtsbehörden dadurch nicht möglich wäre. Es ist im hiesigen Falle im Besonderen verwunderlich, dass die verfahrensgegenständlichen Verstöße gegen Datenschutzgesetze durch die Behörde bereits im Jahre 2017 – und damit vor Inkrafttreten der DS-GVO – festgestellt worden sind, verschiedene Vor-Ort Termine stattgefunden haben, Auskünfte, etwa über technische Details der Datenverarbeitung verlangt worden sind, und die Betroffene auch entsprechende Auskünfte erteilt hat, dass jedoch von der Behörde keine hinreichenden Ermittlungen zu den unternehmensinternen Verantwortlichkeiten für die beanstandeten Verstöße erfolgt sind. In diesem Falle dürfte es naheliegen, dass bereits eine Offenlegung der Organisationsstruktur im Unternehmen der Betroffenen zu einer Ermittlung von für die Datenverarbeitungsvorgänge verantwortlichen Personen geführt hätte und so möglicherweise etwa eine Aufsichtspflichtverletzung hätte dargelegt werden können. Vor diesem Hintergrund ist nicht ersichtlich, dass unter Beachtung der §§ 30, 130 OWiG keine wirksamen und abschreckenden Sanktionen verhängt werden können.

b) Auch bei einer Umdeutung des Bescheids in einen selbständigen Bußgeldbescheid gemäß § 30 Absatz 4 OWiG genügte dieser nicht den Anforderungen, die an einen solchen als Verfahrensgrundlage zu stellen wären.

Der Bußgeldbescheid, der im gerichtlichen Verfahren anstelle des Anklagesatzes tritt, begrenzt nach Person und Sache den Prozessgegenstand. Aus ihm muss sich die tatsächlich und rechtlich näher bezeichnete Beschuldigung ergeben (vgl. § 66 OWiG). Voraussetzung für die Festsetzung einer Geldbuße gegen eine juristische Person im selbständigen Verfahren gemäß § 30 Absatz 4 OWiG ist, wie bereits dargelegt, zudem, dass eines ihrer Organe eine Ordnungswidrigkeit begangen hat, die der juristischen Person zuzurechnen ist.

Der Bußgeldbescheid vom 30. Oktober 2019 erfüllt diese Abgrenzungsfunktion nicht. Der Tatvorwurf ist nicht bestimmt. Es fehlt etwa die Angabe von Tatzeit und -ort sowie des Organmitgliedes, das schuldhaft und der Betroffenen zurechenbar die Einrichtung eines den datenschutzrechtlichen Anforderungen genügenden EDV-Systems unterlassen oder aber eine rechtzeitige Löschung relevanter Daten nicht veranlasst haben soll. Der Bescheid enthält – mit Blick auf die Rechtsauffassung der Behörde konsequent – auch sonst keine Angaben zur konkreten Tathandlung selbst oder ihrer Unterlassung. Ihm lässt sich nicht entnehmen, worauf ein Vorwurf, die datenschutzrechtlichen Anforderungen seien nicht eingehalten worden, gestützt wird. Dies wäre aber umso mehr erforderlich, als, wie aus der Akte ersichtlich ist, die Behörde zu den Vorwürfen bei der Betroffenen Ermittlungen geführt hat und über einen längeren Zeitraum mit dieser über die gegenständlichen Vorwürfe in Kontakt stand, sich etwa schriftlich und in persönlichen Gesprächen Fragen von Mitarbeitern des Unternehmens beantworten ließ. Insoweit wären Ausführungen dazu möglich und notwendig gewesen, aus welchen Umständen die Behörde eine Verantwortlichkeit der Betroffenen herleiten möchte. Der Bußgeldbescheid enthält gleichwohl keinen konkreten Tatvorwurf gegen ein Organ der juristischen Person. Dieser Mangel kann auch nicht mehr gemäß §§ 71 Absatz 1 OWiG, 265 StPO durch einen Hinweis des Gerichts behoben werden. Auch bei Umdeutung des Bußgeldbescheides in einen selbständigen Bescheid nach § 30 Absatz 4 OWiG müsste deshalb das Verfahren wegen eines Verfahrenshindernisses eingestellt werden.

2. Die Kostenentscheidung beruht auf §§ 71 OWiG, 467 Absatz 1, Absatz 3 StPO. Es erscheint nicht unbillig, der Staatskasse die notwendigen Auslagen der ... aufzuerlegen, da das Verfahrenshindernis von Anfang an bestand.


Den Volltext der Entscheidung finden Sie hier:



LfDI Baden-Württemberg: Bußgeld in Höhe von 300.000 EURO gegen VfB Stuttgart wegen fahrlässiger Verletzung der datenschutzrechtlichen Rechenschaftspflicht nach Art. 5 Abs. 2 DSGVO

Der Landesbeauftragte für den Datenschutz und die Informationsfreiheit (LfDI) Baden-Württemberg hat gegen den VfB Stuttgart wegen fahrlässiger Verletzung der datenschutzrechtlichen Rechenschaftspflicht nach Art. 5 Abs. 2 DSGVO ein Bußgeld in Höhe von 300.000 EURO verhängt.

Die Pressemitteilung des LfDI:

Bußgeldverfahren gegen VfB Stuttgart 1893 AG endet mit der Verhängung eines Bußgeldes.

LfDI Stefan Brink: „Neben dem spürbaren Bußgeld sorgt der VfB für erhebliche organisatorische und technische Verbesserungen in Sachen Datenschutz. Zudem planen die Verantwortlichen erfreulicherweise künftig ein Engagement bei der Aufklärung über Datenschutzanliegen, mit dem vor allem junge Menschen angesprochen werden sollen.“

Der Landesbeauftragte für den Datenschutz und die Informationsfreiheit Stefan Brink schließt das Verfahren gegen die VfB Stuttgart 1893 AG ab und erlässt ein Bußgeld in Höhe von 300.000 Euro wegen fahrlässiger Verletzung der datenschutzrechtlichen Rechenschaftspflicht gemäß Art. 5 Abs. 2 DS-GVO.

Die Verantwortlichen des VfB Stuttgart 1893 e.V. und der VfB Stuttgart 1893 AG haben die Aufklärungs- und Ermittlungsmaßnahmen des Landesbeauftragten unterstützt, durch eigene Initiative gefördert sowie mit der Behörde des Landesbeauftragten umfangreich kooperiert.

Neben der Bußgeldzahlung und der kostenträchtigen Umstrukturierung und Verbesserung ihres Datenschutzmanagements ergreift die VfB Stuttgart 1893 AG in Abstimmung mit dem LfDI Maßnahmen zur Sensibilisierung junger Menschen für Datenschutzanliegen.

So fördert der VfB das Projekt „Datenschutz geht zur Schule“ durch Unterstützung bei der Öffentlichkeitsarbeit für regionale Schul-Aktionstage und im Rahmen kind-/jugendgerechter Videos zur Sensibilisierung für datenschutzrelevante Themen. Darüber hinaus konzipiert der VfB Schulungen für die Fußballnachwuchsmannschaften U10 bis U21 zum Thema „Datenschutz bei Jugendlichen“.

LfDI Stefan Brink: „Mit dem Erlass dieses Bußgeldbescheides schließen wir ein Verfahren ab, das auch für uns als Aufsichtsbehörde ungewöhnlich war. Ungewöhnlich war nicht nur der Gegenstand unseres Verfahrens, sondern vor allem das hiermit verbundene öffentliche und mediale Interesse. Ungewöhnlich war auch der Umfang des durch die Einschaltung der Esecon belegten Aufklärungsinteresses und der Kooperationsbereitschaft des VfB mit unserer Behörde.“

Aus diesem Verfahren heraus ergebe sich die gute Chance, so Stefan Brink weiter, dass der VfB Stuttgart künftig beim fairen Umgang mit den Daten der Mitglieder besser aufgestellt ist. „Auch wenn wir mit Blick auf Verjährungsvorschriften nicht alle öffentlich diskutierten Vorgänge vollständig untersuchen konnten, ist doch das jetzt einvernehmlich gefundene Ergebnis überzeugend: Neben dem spürbaren Bußgeld sorgt der VfB für erhebliche organisatorische und technische Verbesserungen in Sachen Datenschutz. Zudem planen die Verantwortlichen erfreulicherweise künftig ein Engagement bei der Aufklärung über Datenschutzanliegen, mit dem vor allem junge Menschen angesprochen werden sollen.“

Mit dem Erlass des Bußgeldbescheids sind die Ermittlungen gegen den VfB Stuttgart 1893 e.V. und die VfB Stuttgart 1893 AG abgeschlossen.


BVerfG: Streitrelevante Fragen zur Auslegung des Geldentschädigungsanspruchs aus Art. 82 DSGVO müssen EuGH zur Entscheidung vorgelegt werden

BVerfG
Beschluss vom 14.01.2021
1 BvR 2853/19

Das Bundesverfassungsgericht hat entschieden, dass streitrelevante Fragen zur Auslegung des Geldentschädigungsanspruchs aus Art. 82 DSGVO dem EuGH zur Entscheidung vorgelegt werden müssen, da insofern noch keine erschöpfende Klärung durch den EuGH erfolgt ist und viele offene Rechtsfragen bestehen.

Aus den Entscheidungsgründen:

Die Kammer nimmt die zulässige Verfassungsbeschwerde zur Entscheidung an und gibt ihr statt, weil dies zur Durchsetzung des als verletzt gerügten Rechts des Beschwerdeführers auf den gesetzlichen Richter gemäß Art. 101. Abs. 1 Satz 2 GG angezeigt ist, § 93a Abs. 2 Buchstabe b BVerfGG. Diese Entscheidung kann von der Kammer getroffen werden, weil die maßgeblichen verfassungsrechtlichen Fragen durch das Bundesverfassungsgericht bereits entschieden sind und die Verfassungsbeschwerde danach offensichtlich begründet ist, § 93c Abs. 1 Satz 1 BVerfGG.

1. Das Amtsgericht hat das Recht des Beschwerdeführers auf den gesetzlichen Richter verletzt, indem es aufgrund der teilweisen Klageabweisung, der dadurch für den Beschwerdeführer nicht erreichten Berufungsbeschwer (§ 511 Abs. 2 Nr. 1 ZPO) und der nicht zugelassenen Berufung letztinstanzlich tätig geworden ist und entgegen Art 267 Abs. 3 AEUV von einem Vorabentscheidungsersuchen an den Gerichtshof der Europäischen Union abgesehen hat

a) Der Gerichtshof der Europäischen Union ist gesetzlicher Richter im Sinne des Art. 101 Abs. 1 Satz 2 GG (vgl. BVerfGE 73,339 <366>; 82, 159 <192>; 126, 286 <315>; 128, 157 <186 f.>; 129,78 <105>; 135, 155 <230 f. Rn. 177>). Unter den Voraussetzungen des Art. 267 Abs. 3 AEUV sind die nationalen Gerichte von Amts wegen gehalten, den Gerichtshof anzurufen (vgl. BVerfGE 82, 159 <192 f.>; 128, 157 <187>; 129,78 <105». Es kann einen Entzug des gesetzlichen Richters darstellen, wenn ein nationales Gericht seiner Pflicht zur Anrufung des Gerichtshofs im Wege des Vorabentscheidungsverfahrens nach Art. 267 Abs. 3 AEUV nicht nachkommt (vgl. BVerfGE 73, 339 <366 f.>; 82, 159 <192 ff.>; 135, 155 <230 f. Rn.177>; st Rspr).

Nach der Rechtsprechung des Gerichtshofs der Europäischen Union (EuGH, Urteil vom 6. Oktober 1982, C.I.L.F.I.T., C-283/81, EU:C:1982:335, Rn. 21; Urteil vom 15. September 2005, C-495/03, EU:C:2005:552, Rn. 33; Urteil vom 6. Dezember 2005, C-461/03, EU:C:2005:742, Rn. 16; st Rspr) muss ein nationales letztinstanzliches Gericht seiner Vorlagepflicht nachkommen, Wenn sich in einem bei ihm schwebenden Verfahren eine Frage des Unionsrechts stellt, es sei denn, das Gericht hat festgestellt, dass die gestellte Frage nicht entscheidungserheblich ist, dass die betreffende unionsrechtliche Bestimmung bereits Gegenstand einer Auslegung durch den Gerichtshof war (acte éclairé) oder dass die richtige Anwendung des Unionsrechts derart offenkundig ist, dass für einen vernünftigen Zweifel keinerlei Raum bleibt (acte clair) (vgl. auch BVerfGE 82, 159 <193>; 128, 157 <187>; 129,78 <105 f.>; 140,317 <376 Rn. 125>; 147,364 <378 f. Rn. 37>). Davon darf das innerstaatliche Gericht aber nur ausgehen, wenn es überzeugt ist, dass auch für die Gerichte der übrigen Mitgliedstaaten und für den Gerichtshof der Europäischen Union die gleiche Gewissheit bestünde. Nur dann darf das Gericht von einer Vorlage absehen und die Frage in eigener Verantwortung lösen (vgl. EuGH, Urteil vom 6. Oktober 1982, C.I.L.F.I.T., C-283/81, EU:C:1982:335, Rn. 16).

Diese Grundsatze gelten auch für die unionsrechtliche Zuständigkeitsvorschrift des Art. 267 Abs. 3 AEUV. Daher stellt nicht jede Verletzung der unionsrechtlichen Vorlagepflicht zugleich einen Verstoß gegen Art. 101 Abs. 1 Satz 2 GG dar (vgl. BVerfGE 126, 286 <315>; 147, 364 <380 Rn. 40>). Das Bundesverfassungsgericht überprüft nur, ob die Auslegung und Anwendung der Zuständigkeitsregel des Art. 267 Abs. 3 AEUV bei verständiger Würdigung der das Grundgesetz bestimmenden Gedanken nicht mehr verständlich erscheint und offensichtlich unhaltbar ist (vgl. BVerfGE 126, 286 <315 f.>; 128, 157 <187>; 129, 78 <106>). Durch die zurückgenommene verfassungsrechtliche Prüfung behalten die Fachgerichte bei der Auslegung und Anwendung von Unionsrecht einen Spielraum eigener Einschätzung und Beurteilung, der demjenigen' bei der Handhabung einfachrechtlicher Bestimmungen der deutschen Rechtsordnung entspricht. Das Bundesverfassungsgericht wacht allein über die Einhaltung der Grenzen dieses Spielraums (vgl. BVerfGE 126, 286 <316>). Ein "oberstes Vorlagenkontrollgericht" ist es nicht (vgl. BVerfGE 126, 286 <316>; 135, 155 <231 f. :Rn. 180>; 147, 364 <379 f. Rn. 39>; BVerfGE 13, 506 <512>; 14, 230 <233>; 16, 328 <336>; BVerfG, Beschluss der 1. Kammer des Zweiten Senats vom 9. November 1987 - 2 BvR 808/82 -, NJW 1988, S. 1456 [1457]).

Die Vorlagepflicht nach Art. 267 AEUV zur Klärung der Auslegung unionsrechtlicher Vorschriften wird in verfassungswidriger Weise gehandhabt, wenn ein letztinstanzliches Gericht eine Vorlage trotz der - seiner Auffassung nach bestehenden - Entscheidungserheblichkeit der unionsrechtlichen Frage überhaupt nicht in Erwägung zieht, obwohl es selbst Zweifel hinsichtlich der richtigen Beantwortung der Frage hat (grundsätzliche Verkennung der Vorlagepflicht; vgl. BVerfGE 82, 159 <195 f.>; 126,286 <316 f.>; 128, 157 <187 f.>; 129,78 <106 f.>; 135, 155 <232 Rn. 181>; 147,364 <380 Rn. 41>).

Gleiches gilt in den Fällen, in denen das letztinstanzliche Gericht in seiner Entscheidung bewusst von der Rechtsprechung des Gerichtshofs zu entscheidungserheblichen Fragen abweicht .und gleichwohl nicht oder nicht neuerlich vorlegt (bewusstes Abweichen von der Rechtsprechung des Gerichtshofs ohne Vorlagebereitschaft; vgl. BVerfGE 75, 223 <245>; 82,159 <195>; 126,286 <316 f.>; 128, 157 <187 f.>; 129, 78 <106 f.>; 135, 155 .<232 Rn. 182>; 147, 364 <381 Rn. 42>).

Liegt zu einer entscheidungserheblichen Frage des Unionsrechts einschlägige Rechtsprechung des Gerichtshofs der Europäischen Union noch nicht vor oder hat er die entscheidungserhebliche Frage möglicherweise noch nicht erschöpfend beantwortet oder erscheint eine Fortentwicklung der Rechtsprechung des Gerichtshofs nicht nur als entfernte Möglichkeit (Unvollständigkeit der Rechtsprechung), so wird Art. 101 Abs. 1 Satz 2 GG verletzt, wenn das letztinstanzliche Hauptsachegericht den ihm in solchen Fällen notwendig zukommenden Beurteilungsrahmen in unvertretbarer Weise überschritten hat (vgl. BVerfGE 82, 159 <195 f.>; 126, 286 <316 f.>; 128, 157 <187 f.>; 129, 78 <106 f.>; 135, 155 <232 f. Rn. 183>). Dies kann insbesondere dann der Fall sein, wenn mögliche Gegenauffassungen zu der entscheidungserheblichen Frage des Unionsrechts gegenüber der vom Gericht vertretenen Meinung eindeutig vorzuziehen sind (vgl. BVerfGE 82, 159 <195 f.>; BVerfGK 10,19 <29>). Jedenfalls bei willkürlicher Annahme eines "acte clair" oder eines "acte éclairé" durch die Fachgerichte ist der Beurteilungsrahmen in unvertretbarer Weise überschritten (vgl. BVerfGE 135, 155 <232 f. Rn. 183>; 147; 364 <381 Rn. 43>).

In diesem Zusammenhang ist auch zu prüfen, ob sich das Gericht hinsichtlich des Unionsrechts ausreichend kundig gemacht hat. Etwaige einschlägige Rechtsprechung des Gerichtshofs der Europäischen Union muss es auswerten und seine Entscheidung hieran orientieren (vgl. BVerfGE 82, 159 <196>; 128, 157 <189>). Auf dieser Grundlage muss das Fachgericht unter Anwendung und Auslegung des materiellen Unionsrechts (vgl. BVerfGE 75, 223 <234>; 128, 157 <188>; 129, 78 <107>) die vertretbare Überzeugung bilden, dass die Rechtslage entweder von vornherein eindeutig ("acte clair") oder durch Rechtsprechung in einer Weise geklärt ist, die keinen vernünftigen Zweifel offen lässt ("acte eclaine"; vgl. BVerfGE 129, 78 <107>). Hat es dies nicht getan, verkennt es regelmäßig die Bedingungen für die Vorlagepflicht. Zudem hat das Fachgericht Gründe anzugeben, die dem Bundesverfassungsgericht eine Kontrolle am Maßstab des Art. 101 Abs. 1 Satz 2 GG ermöglichen (vgl. BVerfGE 147,364 <380 f. Rn. 41>; BVerfGE 8, 401 <405>; 10, 19 <30 f.>; BVerfG, Beschluss der 2. Kammer des Ersten Senats vom 9. Januar 2001 - 1 BvR 1036/99 -, Rn. 21; Beschluss der 3. Kammer des Ersten Senats vom 20. Februar 2008 - 1 BvR 2722/06 -; Beschluss der 3. Kammer des Ersten Senats vom 25. Februar 2010 - 1 BvR 230/09 -, Rn. 19).

Bei den in der Rechtsprechung des Bundesverfassungsgerichts genannten Fallgruppen handelt es sich um eine nicht abschließende Aufzählung von Beispielen für eine verfassungsrechtlich erhebliche Verletzung der Vorlagepflicht. Für die Frage nach einer Verletzung des Rechts auf den gesetzlichen Richter gemäß Art. 101 Abs. 1 Satz 2 GG durch Nichtvorlage an den Gerichtshof der Europäischen-Union kommt es im Ausgangspunkt nicht in erster Linie auf die Vertretbarkeit der fachgerichtlichen Auslegung des für den Streitfall maßgeblichen materiellen Unionsrechts - hier der DSGVO - an, sondern auf die Beachtung oder Verkennung der Voraussetzungen der Vorlagepflicht nach der Vorschrift des Art. 267 Abs. 3 AEUV, die den gesetzlichen Richter im Streitfall bestimmt (vgl. BVerfGE 128, 157 <188>; BVerfG, Beschluss der 3. Kammer des Ersten Senats vom 25. Februar 2010 - 1 BvR 230109 -, Rn. 20; Beschluss der 2. Kammer des Ersten Senats vom 30. August 2010 - 1 BvR 1631/08, Rn. 48).

b) Unter Berücksichtigung dieser Grundsätze hat das Amtsgericht Art. 101 Abs. 1 Satz 2 GG verletzt, indem es von einem Vorabentscheidungsersuchen wegen der zu klärenden Frage, ob im vom Beschwerdeführer vorgetragenen Fall der datenschutzwidrigen Verwendung einer Email-Adresse und der Übersendung einer ungewollten Email an das geschäftliche Email-Konto des Beschwerdeführers nach Art. 82 Abs. 1 DSGVO ein Schmerzensgeldanspruch des Beschwerdeführers in Betracht kommt.

aa) Das Amtsgericht hätte nicht ohne Vorabentscheidungsersuchen an den Gerichtshof der Europäischen Union entscheiden dürfen, dass sich kein Anspruch des Beschwerdeführers aus der ohne seine, ausdrückliche Einwilligung erfolgten Übersendung der Email aus Art. 82 DSGVO ergebe, weil ein Schaden nicht eingetreten sei.

Der im Ausgangsverfahren zu beurteilende Sachverhalt warf die Frage auf, unter welchen Voraussetzungen Art. 82 Abs. 1 DSGVO einen Geldentschädigungsanspruch gewährt und welches Verständnis dieser Vorschrift insbesondere im Hinblick auf Erwägungsgrund 146 Satz 3 zu geben ist; der eine weite Auslegung des Schadensbegriffs im Lichte der Rechtsprechung des Gerichtshofs der Europäischen Union verlangt, die den Zielen der DSGVO in vollem Umfang entspricht. Nach Art. 82 Abs. 1 DSGVO hat jede Person, der wegen eines Verstoßes gegen die DSGVO ein materieller oder immaterieller Schaden entstanden ist, Anspruch auf Schadensersatz gegen den Verantwortlichen, also diejenige natürliche oder juristische Person, Behörde, Einrichtung oder andere Stelle, die allein oder gemeinsam mit anderen über die Zwecke und Mittel der Verarbeitung von personenbezogenen Daten entscheidet (vgl. Art. 4 Nr. 7 DSGVO).

Dieser Geldentschädigungsanspruch ist in der Rechtsprechung des Gerichtshofs der Europäischen Union weder erschöpfend geklärt noch kann er in seinen einzelnen, für die Beurteilung des im Ausgangsverfahrens vorgetragenen Sachverhalts notwendigen Voraussetzungen unmittelbar aus der DSGVO bestimmt werden. Auch in der bislang vorliegenden Literatur, die sich im Hinblick auf Erwägungsgrund 146 wohl für ein weites Verständnis des Schadensbegriffes ausspricht, sind die Details und der genaue Umfang des Anspruchs noch unklar (vgl. Gola/Piltz, in: Gola, DSGVO, 2. Aufl., 2018, Art. 82 Rn. 12 f.; Quaas, in: BeckOK Datenschutzrecht, 34. Ed., 11/2020, Art. 82 Rn. 23 f.; Bergt, in: Kühling/Buchner, DSGVO BDSG, 3. Aufl., 2020, Art. 82, Rn. 17 f.; Boehm, in: Simitis/Hornung/Spiecker gen. Döhmann, Datenschutzrecht, 1. Aufl., 2019, Art. 82 Rn. 11 f.; Frenzel, In: Paal/Pauly, DSGVO BDSG, 2. Aufl., 2018, Art. 82 Rn. 10). Von einer richtigen Anwendung des Unionsrechts, die derart offenkundig ist, dass für vernünftige Zweifel kein Raum bliebe (acte clair), konnte das Amtsgericht ebenfalls nicht ausgehen. Dies gilt umso mehr, als Art. 82 DSGVO ausdrücklich immaterielle Schäden einbezieht.

bb) Die angegriffene Entscheidung zeigt, dass das Amtsgericht die Problematik der Auslegung des Art. 82 Abs. 1 DSGVO durchaus gesehen hat. Es hat sodann aber verfassungsrechtlich relevant fehlerhaft eine eigene Auslegung des Unionsrechts vorgenommen, indem es sich für die Ablehnung des Anspruchs auf ein Merkmal fehlender Erheblichkeit gestützt hat, das so weder unmittelbar in der DSGVO angelegt ist, noch von der Literatur befürwortet oder vom Gerichtshof der Europäischen Union verwendet wird.

Gleiches gilt für den vom Beschwerdeführer mit angegriffenen Beschluss des Amtsgerichts, mit dem es die erhobene Gehörsrüge des Beschwerdeführers zurückgewiesen hat. Auch hier rekurriert das Amtsgericht auf das Bestehen eines bislang ungeklärten Merkmals eines Bagatellverstoßes im Rahmen des Art. 82 Abs. 1 DSGVO.

cc) Die Antwort auf die Rechtsfrage, wie Art. 82 Abs. 1 DSGVO vor dem Hintergrund von Erwägungsgrund 146 in Fällen der Übersendung einer Email ohne Zustimmung auszulegen ist, war für die Entscheidung über den vom Beschwerdeführer geltend gemachten Zahlungsanspruch entscheidungserheblich.


Den Volltext der Entscheidung finden Sie hier:



LG Frankfurt: Schadensersatz gem. Art. 82 DSGVO - Rechtsgut der betroffenen Person muss infolge der Verletzung einer DSGVO-Norm im Vergleich zum status quo ante nachteilig verändert worden sein

LG Frankfurt
Urteil vom 18.09.2020
2-27 O 100/20


Das LG Frankfurt hat entschieden, dass ein Schadensersatzanspruch gemäß Art. 82 DSGVO voraussetzt, dass ein Rechtsgut der betroffenen Person infolge der Verletzung einer Norm der DSGVO im Vergleich zum status quo ante nachteilig verändert wurde.

Aus den Entscheidungsgründen:

Ein Anspruch des Klägers gegen die Beklagte auf Zahlung von 8400,00 € nach Art. 82 DSGVO besteht nicht.

Nach Art. 82 Abs. 1 DSGVO hat jede Person, der wegen eines Verstoßes gegen die Verordnung ein materieller oder immaterieller Schaden entstanden ist, Anspruch auf Schadenersatz gegen den Verantwortlichen. Dem Kläger ist zwar unstreitig bisher kein materieller Schaden entstanden, wohl aber ein immaterieller Schaden. Dieser liegt darin, dass seine personenbezogenen Daten Dritten ohne sein Einverständnis zugänglich wurden. Die Kompensation einer solchen öffentlichen "Bloßstellung" fällt unter Art. 82 Abs. 1 DSGVO (Ehmann/Selmayr, DSGVO, 2. Aufl., Art. 82 Rn. 13; Sydow, DSGVO, 2. Aufl., Art. 82 Rn. 6). Die Beklagte ist auch tauglicher Anspruchsgegner. Sie war Verantwortliche im Sinne des Art. 4 Nr. 7 DSGVO, da sie über die Zwecke und Mittel der - unstreitig - stattgefundenen Verarbeitung der Daten des Klägers entschied.

Der Schaden muss jedoch wegen eines Verstoßes gegen die DSGVO entstanden sein. Es muss also ein Verstoß gegen die DSGVO und dessen Kausalität für den Schaden festgestellt werden. Ein Rechtsgut der betroffenen Person muss infolge der Verletzung einer Norm der DSGVO im Vergleich zum status quo ante nachteilig verändert worden sein (Ehmann/Selmayr, DS-GVO 2. Aufl. Art. 82 Rn. 11).

Die Veröffentlichung der Daten, für die der Kläger einen Schadensersatz von 2000,00 € geltend macht, stellt an sich keinen Verstoß der Beklagten gegen die DSGVO dar. Die Veröffentlichung könnte nur dann als Verstoß gegen Art. 5 Abs, 1 a) oder f) DSGVO eingeordnet werden, wenn die Beklagte bzw, BB sie unberechtigt vorgenommen hätte. Dies lässt sich aber nicht feststellen und wird auch von dem Kläger nicht konkret vorgetragen. Der Kläger ist jedoch für den Verstoß gegen die DSGVO darlegungs- und beweisbelastet; erst hinsichtlich der Verantwortlichkeit für den Verstoß sieht Art, 82 Abs, 3 DSGVO eine Vermutung zu Lasten des Anspruchsgegners vor. Hat die Beklagte bzw. BB die Veröffentlichung nicht selbst vorgenommen, so kann sie lediglich die Folge einer Verletzung der Pflichten aus der DSGVO durch die Beklagte bzw. BB sein, nicht aber der Verstoß an sich.

Der Schadensersatzanspruch folgt weiter nicht daraus, dass die Beklagte die BB GmbH nicht nach Art. 28 Abs. 1 DSGVO ordnungsgemäß ausgewählt oder überwacht hat. Dass dies nicht geschehen ist, lässt sich nach dem Sach- und Streitstand schon nicht feststellen. Ein entsprechendes Beweisangebot des Klägers fehlt, ebenso entsprechende Indizien. Insbesondere kann der Kläger sich nicht darauf berufen, es sei offensichtlich, dass die BB GmbH ihr auferlegte Sicherheitsvorkehrungen nicht einhalten könne, weil es sich bei dem Firmensitz um ein Einfamilienhaus in einer Wohnsiedlung handele. Dass sich der Firmensitz dort befindet, sagt nichts darüber aus, wo die Datenverarbeitung erfolgt. Darüber hinaus lässt sich die Kausalität eines etwaigen Verstoßes gegen Pflichten der Beklagten aus der DSGVO für den Datenvorfall und damit für den Schaden des Klägers nicht feststellen. Denn letztlich ist - auch nach dem zuletzt gehaltenen und bestrittenen Vortrag des Klägers hinsichtlich des nicht geänderten Initialpassworts - letztlich unklar geblieben, wodurch das Datenleck verursacht wurde. Dass es durch ein anderes Auswahlverfahren, andere Sicherheitsvorkehrungen oder andere Überwachungen verhindert hätte werden können, bleibt danach Spekulation, Hinzu kommt, dass ein werkseitig individuell voreingestelltes Passwort im Ausgangspunkt nicht weniger sicher als ein vom Nutzer persönlich eingestelltes Passwort sein muss (BGH, Urteil vom 24. November 2016 - I ZR 220/15 —, Rn. 16, juris).

Soweit der Kläger seinen Anspruch in Höhe von 700,00 € darauf stützt, dass seine Daten nach dem 19.08.2019 noch verfügbar gewesen seien und jedenfalls während eines IT-Checks am 29.08.2019 jedermann habe auf sie zugreifen können, vermag dies ebenfalls keinen Schadensersatzanspruch zu begründen. Es kann dahinstehen, ob überhaupt ein Verstoß gegen die DSGVO vorliegt. Denn jedenfalls ist dem Kläger kein Schaden entstanden. Der Kläger behauptet nicht, dass nach dem 19,08.2019 seine Daten nochmals veröffentlicht worden seien oder sie von Unbefugten etwa während des Checks tatsächlich zur Kenntnis genommen worden wären. Dann aber steht dem Kläger kein Schadensersatzanspruch zu. Denn nicht jede Datenschutzrechtverletzung in Form einer nicht (vollständig) rechtskonformen Datenverarbeitung ist automatisch ein ersatzfähiger Schaden (vgl. etwa Wybitul, NJW 2019, 3265 mwN), Vielmehr muss die Verletzungshandlung auch zu einer konkreten Verletzung von Persönlichkeitsrechten der betroffenen Person geführt haben (Wybitul, aaO), Eine weite Auslegung des Schadensbegriffs nach Art. 82 DSGVO, nach dem mit jedem Verstoß ein Schaden begründet wird (sowohl Ehmann/Selmayr, DS-GVO, 2. Aufl., Art. 82 Rn. 13), widerspricht der Systematik des deutschen Rechts. Die mitgliedsstaatlichen Gerichte sind zu einem überkompensatorischen Strafschadensersatz grundsätzlich nicht verpflichtet; nach dem Äquivalenzgrundsatz wäre ein solcher nur dann erforderlich, wenn die mitgliedstaatliche Rechtsordnung allgemein Strafschadensersatz vorsieht (Wytibul, aaO). Das ist jedoch in Deutschland nicht der Fall.

Aus dem identischen Grund steht dem Kläger kein Anspruch in Höhe von 700,00 € wegen Änderung des Administratorenpasswortes im Mai 2019 zu.

Ferner kann der Kläger nicht damit gehört werden, die Beklagte habe gegen Art. 28 DSGVO verstoßen, weil ein Vertrag nach dieser Norm mit BB fehle. Ein Schadensersatzanspruch in Höhe von 800,00 € besteht insofern nicht. Die Beklagte hat einen Datenverarbeitungsvertrag mit der BB GmbH geschlossen. Zwar ist in dem Vertrag kein Rechtsformzusatz für die dort bezeichnete "B..." genannt. Allerdings ergibt sich aus den weiteren zu ihr genannten Daten, dass es sich um die GmbH handelte. Dass der Vertrag nicht von sämtlichen Parteien unterzeichnet wurde, ist unerheblich. Nach Art. 28 Abs. 9 DSGVO bedarf es einer schriftlichen Abfassung, auch in elektronischem Format. Danach ist keine Unterzeichnung erforderlich (vgl. Ehmann/Semayr, DS-GVO, 2. Aufl., Art. 28 Rn. 12); es genügt die Abfassung in Textform nach § 126b BGB. Diesem Erfordernis genügt der Vertrag. Ferner ist nicht ersichtlich, dass der Vertrag den Anforderungen des Art. 28 DSGVO nicht genügen würde. Dass mit der BB Ltd. kein gesonderter Vertrag geschlossen wurde, ist ebenfalls unschädlich. Denn es war vertraglich unter Ziffer 7 des Vertrages geregelt, dass die BB GmbH bei einem Einsatz von Unterverarbeitern diesen gegenüber mindestens dieselben Datenschutzverpflichtungen festzulegen hatte, wie sie der Vertrag zwischen der Beklagten und der BB GmbH vorsah. Dies entspricht Art. 28 Abs. 4 DSGVO. Auch der hierfür geltend gemachte Anspruch in Höhe von 1000,00 € besteht nicht.

Auf die unterlassene Verwendung von Hashes kann der Kläger gleichfalls keinen Schadensersatzanspruch stützen, weil ein Verstoß gegen die DSGVO nicht vorliegt. Bei der Verarbeitung der personenbezogenen Daten muss eine angemessene Sicherheit gewährleistet sein, Art. 5 Abs. 1 f) DSGVO, Dies erfordert geeignete technische und organisatorische Maßnahmen zum Schutz vor unbefugter und unrechtmäßiger Verarbeitung, wobei die Anforderungen in Art. 32 DSGVO festgelegt werden. Art, 32 Abs. 1 a) DSGVO erwähnt zwar Verschlüsselung als technisches Maßnahme, fordert die Anwendung von Hashes aber gerade nicht. Selbiges gilt für die PCC-DSS-Standards. Für seine Behauptung, es sei auch keine anderweitige Kryptografie erfolgt bietet der Kläger keinen Beweis an.

Der Kläger hat gegen die Beklagte keinen Anspruch auf Schadensersatz in Höhe von 1000,00 €, weil Daten gegenüber der M... International inc. ohne Rechtsgrundlage zugänglich gemacht worden wären. Dass der M... International Inc. im Rahmen des Priceless Specials Programms erhobene Daten von Kunden preisgegeben wurden, trägt der Kläger schon nicht substantiiert vor. Erst recht gilt dies für seine konkreten Daten. Dass die M... International Inc. an der Datenverarbeitung beteiligt war, ist aufgrund des als Anlage B 5 vorgelegten Vertrages auch keineswegs zwingend. Dies gilt auch dann, wenn die M... Inc. gemeinsame Verantwortliche nach Art, 26 DSGVO gewesen sein sollte. Denn der Verantwortliche hat die Entscheidungsgewalt über Zweck und Mittel der Verarbeitung; diese kann auch ausgeübt werden, ohne dass der Verantwortliche selbst an der Durchführung der Verarbeitung beteiligt ist (Ehmann/Selmayr, DS-GVO, 2. Aufl., Art. 4 Rn. 36). Es fehlt danach an einem Schaden des Klägers.

Die Behauptung des Klägers, es fehle an einer Vereinbarung zur gemeinsamen Verantwortlichkeit, was ihm zusätzlich nicht mitgeteilt worden sei, rechtfertigt keinen Schadensersatzanspruch in Höhe von insgesamt 1200,00 €. Erneut fehlt es an einem Schaden des Klägers, weil nicht ersichtlich ist, dass seine Daten der M... International Inc. überhaupt zugänglich gemacht wurden. Überdies regelt Art. 26 DSGVÖ lediglich, dass bei zwei oder mehr Verantwortlichen festzulegen ist, wer welche Verpflichtung gemäß der Verordnung erfüllt. Wo der Schaden des Klägers liegen soll, wenn dies nicht geschehen ist und er nicht informiert wurde, ist nicht ersichtlich. Dies gilt insbesondere vor dem Hintergrund des Art. 26 Abs. 3 DSGVO. Schließlich kann der Kläger keinen Schadensersatz in Höhe von 1000,00 € deswegen gegen die Beklagte geltend machen, weil keine ausreichende Vereinbarung von Binding Corporate Rules für Zugriffsmöglichkeiten durch ein US-Unternehmen auf Daten erfolgt sei. Erneut ist schon eine Beeinträchtigung des Klägers nicht feststellbar (s.o.). Ungeachtet dessen lag für die M... International Inc. eine geeignete Garantie in Form von verbindlichen internen Datenschutzvorschriften nach Art. 46 Abs. 1, Abs. 2b), 47 DSGVO vor. Aus dem Datenverarbeitungsvertrag ergibt sich, dass durch die zuständige Aufsichtsbehörde genehmigte Binding Corporate Rules existierten, was ausreichend ist. Für seinen das in Abrede stellenden Vortrag ist der Kläger beweisfällig geblieben.

Für andere deliktische Ansprüche besteht eine Sperrwirkung der DSGVO (Sydow, DSGVO, 2. Aufl., Art. 82 Rn.27).

Ein Anspruch aus § 280 Abs. 1 BGB besteht gleichfalls nicht, weil sich nach den obigen Ausführungen nicht feststellen lässt, dass die Beklagte eine Vertragspflichtverletzung begangen hat, die kausal zu einem Schaden, nämlich der Beeinträchtigung des Allgemeinen Persönlichkeitsrechts des Klägers, geführt hat.

Den Volltext der Entscheidung finden Sie hier:

Internet World Business-Beitrag von Rechtsanwalt Marcus Beckmann - Was 2021 Recht wird - Neue Gesetze und Verordnungen für den digitalen Handel

In Ausgabe 1/2021 S. 54-55 der Zeitschrift Internet World Business erschien ein Beitrag von Rechtsanwalt Marcus Beckmann mit dem Titel "Was 2021 Recht wird". Der Beitrag gibt ein Überblick über die kommenden Gesetzesänderungen und Verordnungen für den digitalen Handel im Jahr 2021.

EuGH-Generalanwalt: Nationale Datenschutzbehörde kann bei DSGVO-Verstoß im Zusammenhang mit grenzüberschreitender Datenverarbeitung tätig werden auch wenn sie nicht federführend zuständig ist

EuGH-Generalanwalt
Schlussanträge vom 13.01.2021
C-645/19
Facebook Ireland Limited, Facebook Inc., Facebook Belgium BVBA / Gegevensbeschermingsautoriteit


Der EuGH-Generalanwalt kommt in seinen Schlussanträgen zu dem Ergebnis, dass die nationalen Datenschutzbehörden bei DSGVO-Verstößen im Zusammenhang mit grenzüberschreitender Datenverarbeitung tätig werden können auch wenn sie nicht federführend zuständig sind.

Die Pressemitteilung des EuGH:

Generalanwalt Bobek: Die Datenschutzbehörde des Staates, in dem sich die Hauptniederlassung eines Verantwortlichen oder Auftragsverarbeiters in der EU befindet, hat eine allgemeine Zuständigkeit, um gerichtliche Verfahren wegen Verstößen gegen die Datenschutz-Grundverordnung in Bezug auf grenzüberschreitende Datenverarbeitung einzuleiten

Die anderen betroffenen nationalen Datenschutzbehörden seien gleichwohl befugt, in Situationen, in denen es ihnen die Datenschutz-Grundverordnung spezifisch gestatte, derartige Verfahren inihren jeweiligen Mitgliedstaaten einzuleiten

Im September 2015 leitete die belgische Datenschutzbehörde vor den belgischen Gerichten ein Verfahren gegen mehrere Unternehmen der Facebook-Gruppe (im Folgenden: Facebook) ein, nämlich gegen Facebook Inc., Facebook Ireland Ltd, das die Hauptniederlassung der Gruppe in der EU ist, und Facebook Belgium BVBA (im Folgenden: Facebook Belgium). In diesem Verfahren beantragte die Datenschutzbehörde, Facebook zu verpflichten, bei in Belgien ansässigen Internetnutzern, wenn sie hierein nicht eingewilligt haben, das Platzieren von bestimmten Cookies auf dem Gerät, das diese Personen verwenden, wenn sie auf eine Website der Domain Facebook.com oder auf eine Website eines Dritten gelangen, zu unterlassen sowie die
übermäßige Erhebung von Daten durch Social Plugins und Pixels auf Websites Dritter zu unterlassen. Ferner beantragte die genannte Behörde, alle personenbezogenen Daten, die mittels Cookies und Social Plugins über jeden in Belgien ansässigen Internetnutzer erlangt worden sind, zu vernichten.

Das fragliche Verfahren ist derzeit beim Hof van beroep te Brussel (Berufungsgericht Brüssel, Belgien) anhängig, betrifft aber nur noch Facebook Belgium, nachdem das genannte Gericht zuvor befunden hat, für Klagen gegen Facebook Inc. und Facebook Ireland Ltd nicht zuständig zu sein. In diesem Zusammenhang trägt Facebook Belgium vor, dass die belgische Datenschutzbehörde ab dem Zeitpunkt, zu dem die Datenschutz-Grundverordnung (DSGVO) 1 anwendbar geworden sei, die Zuständigkeit dafür verloren habe, das fragliche Gerichtsverfahren gegen Facebook weiter zu betreiben. Nach der DSGVO sei lediglich die Datenschutzbehörde desjenigen Staates, in dem sich die Hauptniederlassung von Facebook in der EU befinde (die sogenannte „federführende“ Datenschutzbehörde in der EU für Facebook), nämlich die Irish Data Protection Commission, befugt, wegen Verstößen gegen die DSGVO im Zusammenhang mit grenzüberschreitender Datenverarbeitung ein gerichtliches Verfahren gegen Facebook zu betreiben.

Unter diesen Umständen möchte der Hof van beroep te Brussel vom Gerichtshof wissen, ob die DSGVO tatsächlich andere Datenschutzbehörden als die federführende daran hindert, in ihrem jeweiligen Mitgliedstaat gerichtliche Verfahren wegen Verstößen gegen die Vorschriften der DSGVO in Bezug auf grenzüberschreitende Datenverarbeitung zu betreiben.

In seinen Schlussanträgen vom heutigen Tag vertritt Generalanwalt Michal Bobek erstens die Auffassung, dass sich aus dem Wortlaut der DSGVO ergebe, dass die federführende Datenschutzbehörde für grenzüberschreitende Datenverarbeitung eine allgemeine Zuständigkeit habe, wozu auch die Einleitung gerichtlicher Verfahren wegen Verstößen gegen die DSGVO gehöre; folglich seien die diesbezüglichen Handlungsbefugnisse der übrigen betroffenen Datenschutzbehörden weniger umfassend.

In Bezug darauf, dass die DSGVO jeder Datenschutzbehörde die Befugnis verleiht, gerichtliche Verfahren gegen mögliche Verstöße einzuleiten, die ihr Hoheitsgebiet betreffen, führt der Generalanwalt aus, dass diese Befugnis ausdrücklich beschränkt sei, soweit es um grenzüberschreitende Datenverarbeitung gehe, gerade um der federführenden Datenschutzbehörde zu ermöglichen, insoweit ihre Aufgaben wahrzunehmen.

Zweitens erinnert der Generalanwalt daran, dass der Grund, weswegen mit der DSGVO der sogenannte „One-Stop-Shop“-Mechanismus eingeführt worden sei, wodurch der federführenden Datenschutzbehörde eine bedeutende Rolle zugewiesen worden sei und zur Beteiligung anderer Datenschutzbehörden Kooperationsmechanismen geschaffen worden seien, gerade darin bestanden habe, bestimmten Unzulänglichkeiten abzuhelfen, die sich aus den früheren Rechtsvorschriften ergeben hätten.

Wirtschaftsteilnehmer hätten nämlich die verschiedenennationalen Regelwerke einhalten müssen, mit denen diese Rechtsvorschriften umgesetzt wordenseien, und zugleich mit allen nationalen Datenschutzbehörden in Verbindung treten müssen. Dies habe sich für die Wirtschaftsteilnehmer als kostspielig, belastend und zeitaufwändig erwiesen, und für sie und ihre Kunden hätten sich daraus unvermeidlicherweise Unsicherheiten und Konflikte ergeben.

Drittens betont der Generalanwalt, dass die federführende Datenschutzbehörde bei grenzüberschreitenden Sachverhalten nicht als alleinige Stelle zur Durchsetzung der DSGVO angesehen werden könne und im Einklang mit den einschlägigen Vorschriften und Fristen, die sich aus der DSGVO ergäben, eng mit den anderen betroffenen Datenschutzbehörden zusammenarbeiten müsse, deren Beiträge auf diesem Gebiet äußerst wichtig seien.

Viertens hebt der Generalanwalt hervor, dass nationale Datenschutzbehörden, selbst wenn sie nicht als federführende Behörde fungierten, gleichwohl unter bestimmten Umständen vor den Gerichten ihres jeweiligen Mitgliedstaats Verfahren wegen grenzüberschreitender Verarbeitung einleiten könnten. Dies sei insbesondere möglich, wenn die nationalen Datenschutzbehörden i) außerhalb des sachlichen Anwendungsbereichs der DSGVO tätig würden, ii) sie Untersuchungen
zu grenzüberschreitender Datenverarbeitung anstellten, die durch Behörden, im öffentlichen Interesse, in Ausübung öffentlicher Gewalt oder durch Verantwortliche erfolge, die keine Niederlassung in der Union hätten, iii) bei Dringlichkeit Maßnahmen ergriffen oder iv) tätig würden, nachdem die federführende Datenschutzbehörde beschlossen habe, sich nicht selbst mit dem Fall zu befassen.

Demnach ist der Generalanwalt der Auffassung, dass die Datenschutzbehörde eines Mitgliedstaats nach den Bestimmungen der DSGVO befugt ist, vor einem Gericht ihres Staates ein Verfahren wegen eines angeblichen Verstoßes gegen die DSGVO im Zusammenhang mit einer grenzüberschreitenden Datenverarbeitung einzuleiten, auch wenn sie nicht die federführende Datenschutzbehörde ist, der für die Einleitung solcher Verfahren eine allgemeine Befugnis verliehen worden ist, sofern die erstgenannte Datenschutzbehörde in Situationen tätig wird, in denen ihr die DSGVO spezifisch hierzu Befugnisse verleiht, und die in der DSGVO vorgesehenen entsprechenden Verfahren beachtet.

Den Volltext der Schlussanträge finden Sie hier:




LfD Niedersachsen: 10,4 Millionen Euro Bußgeld gegen notebooksbilliger.de wegen nicht datenschutzkonformer Videoüberwachung von Mitarbeitern

Die Landesbeauftragte für den Datenschutz (LfD) Niedersachsen hat gegen die notebooksbilliger.de AG eine Bußgeld in Höhe von 10,4 Millionen Euro wegen angeblich nicht datenschutzkonformer Videoüberwachung seiner Mitarbeiter verhängt. Der Bescheid ist nicht rechtskräftig.

Die Pressemitteilung der LfD Niedersachsen:

LfD Niedersachsen verhängt Bußgeld über 10,4 Millionen Euro gegen notebooksbilliger.de

Die Landesbeauftragte für den Datenschutz (LfD) Niedersachsen hat eine Geldbuße über 10,4 Millionen Euro gegenüber der notebooksbilliger.de AG ausgesprochen. Das Unternehmen hatte über mindestens zwei Jahre seine Beschäftigten per Video überwacht, ohne dass dafür eine Rechtsgrundlage vorlag. Die unzulässigen Kameras erfassten unter anderem Arbeitsplätze, Verkaufsräume, Lager und Aufenthaltsbereiche.

Das Unternehmen hatte sich darauf berufen, dass es Ziel der installierten Videokameras gewesen sei, Straftaten zu verhindern und aufzuklären sowie den Warenfluss in den Lagern nachzuverfolgen. Zur Verhinderung von Diebstählen muss eine Firma aber zunächst mildere Mittel prüfen (z. B. stichprobenartige Taschenkontrollen beim Verlassen der Betriebsstätte). Eine Videoüberwachung zur Aufdeckung von Straftaten ist zudem nur rechtmäßig, wenn sich ein begründeter Verdacht gegen konkrete Personen richtet. Ist dies der Fall, kann es zulässig sein, diese zeitlich begrenzt mit Kameras zu überwachen. Bei notebooksbilliger.de war die Videoüberwachung aber weder auf einen bestimmten Zeitraum noch auf konkrete Beschäftigte beschränkt. Hinzu kam, dass die Aufzeichnungen in vielen Fällen 60 Tage gespeichert wurden und damit deutlich länger als erforderlich.

Generalverdacht reicht nicht aus

„Wir haben es hier mit einem schwerwiegenden Fall der Videoüberwachung im Betrieb zu tun“, sagt die LfD Niedersachsen, Barbara Thiel, „Unternehmen müssen verstehen, dass sie mit einer solch intensiven Videoüberwachung massiv gegen die Rechte ihrer Mitarbeiterinnen und Mitarbeiter verstoßen“. Auch die immer wieder vorgebrachte, angeblich abschreckende Wirkung der Videoüberwachung rechtfertige keinen dauerhaften und anlasslosen Eingriff in die Persönlichkeitsrechte der Beschäftigten. „Wenn das so wäre, könnten Unternehmen die Überwachung grenzenlos ausdehnen. Die Beschäftigten müssen aber ihre Persönlichkeitsrechte nicht aufgeben, nur weil ihr Arbeitgeber sie unter Generalverdacht stellt“, so Thiel. „Videoüberwachung ist ein besonders intensiver Eingriff in das Persönlichkeitsrecht, da damit theoretisch das gesamte Verhalten eines Menschen beobachtet und analysiert werden kann. Das kann nach der Rechtsprechung des Bundesarbeitsgerichts dazu führen, dass die Betroffenen den Druck empfinden, sich möglichst unauffällig zu benehmen, um nicht wegen abweichender Verhaltensweisen kritisiert oder sanktioniert zu werden.“

Auch Kundinnen und Kunden von notebooksbilliger.de waren von der unzulässigen Videoüberwachung betroffen, da einige Kameras auf Sitzgelegenheiten im Verkaufsraum gerichtet waren. In Bereichen, in denen sich Menschen typischerweise länger aufhalten, zum Beispiel um die angebotenen Geräte ausgiebig zu testen, haben die datenschutzrechtlich Betroffenen hohe schutzwürdige Interessen. Das gilt besonders für Sitzbereiche, die offensichtlich zum längeren Verweilen einladen sollen. Deshalb war die Videoüberwachung durch notebooksbilliger.de in diesen Fällen nicht verhältnismäßig.

Die 10,4 Millionen Euro sind das bisher höchste Bußgeld, das die LfD Niedersachsen unter Geltung der Datenschutz-Grundverordnung (DS-GVO) ausgesprochen hat. Die DS-GVO ermöglicht es den Aufsichtsbehörden, Geldbußen von bis zu 20 Millionen Euro oder bis zu 4 Prozent des gesamten weltweit erzielten Jahresumsatzes eines Unternehmens zu verhängen – je nachdem, welcher Betrag höher ist. Das gegen notebooksbilliger.de ausgesprochene Bußgeld ist noch nicht rechtskräftig. Das Unternehmen hat seine Videoüberwachung mittlerweile rechtmäßig ausgestaltet und dies der LfD Niedersachsen nachgewiesen.


DSK: Datenübermittlungen nach Großbritannien und Nordirland nach Abschluss des Brexit-Deals jedenfalls binnen viermonatiger Übergangsfrist weiter möglich

Die Konferenz der unabhängigen Datenschutzaufsichtsbehörden des Bundes und der Länder (DSK) hat mitgeteilt, dass Datenübermittlungen nach Großbritannien und Nordirland nach Abschluss des Brexit-Deals jedenfalls binnen viermonatiger Übergangsfrist weiter möglich ist.

Die Pressemitteilung des DSK:

Vorläufige Rechtssicherheit für Datenübermittlungen in das Vereinigte Königreich – Entwurf des Brexit-Abkommens bietet viermonatige Übergangsfrist ab dem 01. Januar 2021

Die Konferenz der unabhängigen Datenschutzaufsichtsbehörden des Bundes und der Länder (DSK) weist Unternehmen, Behörden und andere Institutionen in Deutschland darauf hin, dass in den Schlussbestimmungen des Entwurfs eines Handels- und Zusammenarbeitsabkommens zwischen dem Vereinigten Königreich und der Europäischen Union eine neue Übergangsregelung für Datenübermittlungen vorgesehen ist, die den bisher befürchteten gravierenden Rechtsunsicherheiten vorbeugt (Article 10A Interim provision for transmission of personal data to the United Kingdom, S. 406 ff.).

Danach sollen Übermittlungen personenbezogener Daten von der EU in das Vereinigte Königreich Großbritannien und Nordirland für eine Übergangsperiode nicht als Übermittlungen in ein Drittland (Art. 44 DSGVO) angesehen werden. Diese Periode beginnt mit dem In-Kraft-Treten des Abkommens und endet, wenn die EU-Kommission das Vereinigte Königreich betreffende Adäquanzentscheidungen nach Art. 45 Abs. 3 DSGVO und Art. 36 Abs. 3 Richtlinie (EU) 2016/680 getroffen hat, spätestens jedoch nach vier Monaten. Dieses Enddatum kann um zwei Monate verlängert werden, falls keine der beteiligten Parteien widerspricht.

Andreas Schurig: „Damit sind Übermittlungen in das Vereinigte Königreich vorerst weiterhin unter den bisherigen Voraussetzungen möglich. Gravierende Erschwernisse für die betroffenen Unternehmen werden so zunächst vermieden. Allerdings ist jetzt die EU-Kommission in der Pflicht, tragfähige Adäquanzentscheidungen vorzulegen, die auch die aktuelle Rechtsprechung des Europäischen Gerichtshofs berücksichtigen und von den Mitgliedstaaten genauso wie vom Europäischen Datenschutzausschuss sorgfältig zu prüfen sein werden.“


Siehe auch zum Thema: Brexit-Deal zwischen EU und Großbritannien liegt als Entwurf vor


LG Landshut: Anspruch auf Ersatz eines immateriellen Schadens nach Art. 82 Abs. 1 DSGVO setzt eine nicht nur unbedeutende Persönlichkeitsrechtsverletzung voraus

LG Landshut
Urteil vom 06.11.2020
51 O 513/20


Das LG Landshut hat entschieden, dass ein Anspruch auf Ersatz eines immateriellen Schadens nach Art. 82 Abs. 1 DSGVO eine nicht nur unbedeutende Persönlichkeitsrechtsverletzung voraussetzt.

Aus den Entscheidungsgründen:

I. Dem Kläger steht gegen die Beklagte zu 1) kein Schadensersatzanspruch gemäß Art. 82 Abs. 1 DSGVO zu.

1. Gemäß Art. 82 Abs. 1 DSGVO hat jede Person, der wegen eines Verstoßes gegen diese Verordnung ein materieller oder immaterieller Schaden entstanden ist, Anspruch auf Schadensersatz gegen den Verantwortlichen oder gegen den Auftragsverarbeiter.

Die Nennung der Wohnung des Klägers sowie die Nennung des Namens des Klägers als Eigentümer der Wohnung und auch die Nennung des KBE-Wertes stellen keinen Verstoß gegen die Vorgaben der DSGVO dar. Die Nennung erfolgte sowohl bei der Übersendung der Tagesordnung als auch in der streitgegenständlichen Eigentümerversammlung durch die Beklagte zu 1) als Verwalterin ausschließlich gegenüber den weiteren Wohnungseigentümern der streitgegenständlichen Wohnungseigentümergemeinschaft. Es ist zwar nicht zutreffend, dass innerhalb einer Wohnungseigentümergemeinschaft die Datenschutzvorschriften nicht zur Anwendung kämen. Die Beklagte ist jedoch als Hausverwaltung vertraglich gegenüber den Eigentümern und der Wohnungseigentümergemeinschaft verpflichtet, den gesetzlichen und vertraglichen Pflichten einer Hausverwaltung nachzukommen. Andere Wohnungseigentümer haben nach §§ 13, 14 WEG einen Anspruch darauf zu erfahren, in welchen Wohnungen eine Legionellenprüfung vorgenommen wird oder wurde und auch, ob es insoweit einen Legionellenbefall und in welchem Umfang gegeben hat oder nicht. Insoweit ist zunächst die Nennung der Wohnung und auch die Nennung der Prüfungsergebnisse zulässig. Die Nennung war hier sowohl in der Tagesordnung als auch in der Eigentümerversammlung als Grundlage für die „Aussprache und Beschlussfassung über weitergehende Maßnahmen zum Legionellenbefall und deren Finanzierung“ erforderlich und unabdingbar. Ohne Nennung der Zahl der Wohnungen, der konkreten Lage der jeweiligen Wohnung und des konkreten Befalls wäre eine Beurteilung und entsprechende Entscheidung in der Eigentümerversammlung nicht möglich gewesen. Nach Auffassung des Gerichts war hier auch die Nennung des Eigentümers aus den genannten Gründen zulässig. Im Hinblick auf die Finanzierung und im Hinblick auf weitergehende Maßnahmen war auch die Nennung der betroffenen Eigentümer erforderlich, gegebenenfalls auch zur Prüfung von Ausgleichsansprüchen gegenüber anderen Eigentümern. Damit lagen die Voraussetzungen von Art. 6 Abs. 1 lit. b) und c) vor.

2. Schadensersatzansprüche sind jedenfalls der Höhe nach ausgeschlossen.

a) Materielle Schäden wurden vom Kläger weder substantiiert vorgetragen noch belegt. Soweit der Kläger behauptet, ein potentieller Käufer seiner Wohnung habe auf Grund der ihm aus den Reihen der informierten Eigentümer zugetragenen Information des Legionellenbefalls den Kauf abgesagt, nachdem er zunächst versucht habe, den Kaufpreis auf Grund des Legionellenbefalls zu reduzieren, stellt dies bereits nicht die Darlegung eines konkreten Schaden dar. Darüber hinaus scheidet hier ein Schaden bereits deshalb aus, weil der Kläger als Verkäufer einer Wohnung bei einem konkreten Legionellenbefall - wie vorliegend unstreitig gegeben - gegenüber dem Käufer seiner Wohnung aufklärungspflichtig wäre. Die durch Legionellen hervorgerufene Legionärskrankheit kann unbehandelt einen lebensgefährlichen Verlauf annehmen, ein erhöhtes Infektionsrisiko besteht dabei insbesondere beim Duschen. Von daher wäre es zudem unverantwortlich, den Legionellenbefall in der Wohnanlage nicht insbesondere den Mietern bzw. auch potentiellen Käufern zu offenbaren. Da der Kläger damit selbst aufklärungspflichtig wäre, kann ihm durch die Weitergabe von Informationen darüber hinaus kein Schaden entstehen.

b) Auch ein Anspruch auf Ersatz eines immateriellen Schadens steht dem Kläger nicht zu. Art. 82 Abs. 1 DSGVO sieht zwar eine Erstattungspflicht für immaterielle Schäden vor. Diese Pflicht ist auch nicht nur auf schwere Schäden beschränkt. Allein die Verletzung des Datenschutzrechts als solche begründet allerdings nicht bereits für sich gesehen einen Schadensersatzanspruch für betroffene Personen. Die Verletzungshandlung muss in jedem Fall auch zu einer konkreten, nicht nur unbedeutenden oder empfundenen Verletzung von Persönlichkeitsrechten der betroffenen Person geführt haben (vgl. Landgericht Hamburg, Urteil vom 04.09.2020 -324 S 9/19- juris). Es ist zwar eine schwere Verletzung des Persönlcihkeitsrechts nicht (mehr) erforderlich. Andererseits ist auch weiterhin nicht für einen Bagatellverst0ß ohne ernsthafte Beeinträchtigung bzw. für jede bloß individuelle empfundene Unannehmlichkeit ein Schmerzensgeld zu gewähren; vielmehr muss dem Betroffenen ein spürbarer Nachteil entstanden sein und es muss um eine objektiv nachvollzeihbare, mit gewissem Gewicht erfolgte Beeinträchtigung von persönlichkeitsbezogenen Belangen gehen (Plath, Art. 82 DSGVO Rn. 4 c, d). Würde man hier einen Datenschutzverstoß durch den streitgegenständlichen Tagesordnungspunkt bejahen, läge hiernach den genannten Kriterien kein Fall vor, der die Zuerkennung des Schmerzensgeldes rechtfertigen könnte. Bei der Nennung von Art und Höhe des Befalls handelt es sich um objektive Umstände. Eine erhöhte Kolizahl im Trinkwasser beruht zumeist auf fehlender Wasserzirkulation und Wassertemperaturen im Bereich von 25 bis 50 Grad Celsius. Die Ursache liegt also nicht in der Person des Wohnungseigentümers oder Mieters, sondern in der Regel in der Warmwasseraufbereitung und den Rohrsystemen der Wohnungseigentümeranlage. Die Weitergabe dieser objektiven Befunde an die anderen Wohnungseigentümer ist damit nicht geeignet, den Ruf des Eigentümers zu schädigen oder diesen gar bloßzustellen. Zudem wäre den Eigentümern im Hinblick auf die Wohnungsnummer eine Zuordnung zum Eigentümer durch die Teilungserklärung sowieso möglich.

II. Dem Kläger stehen gegen die Beklagten auf Grund der Weitergabe der E-Mail-Adresse an den Beklagtenvertreter keine Ansprüche zu.

Es liegt kein Verstoß gegen Art. 82 Abs. 1 DSGVO vor. Die Beklagten haben in berechtigtem Interesse gehandelt. Der Kläger selbst hat wie sich aus dem Klagevortrag ergibt mit den Beklagten überwiegend per Email kommuniziert. Wie der Beklagtenvertreter zu Recht eingewandt hat, ist die E-Mail-Adresse des Klägers auch im Anwaltsportal zugänglich. Deshalb läge hier jedenfalls eine Bagatellverletzung vor, die nicht geeignet ist, Schadensersatzansprüche zu begründen.

Soweit der Kläger Ansprüche zudem auf die Sichtbarkeit der E-Mail-Adresse im Adressfeld des per Post übersandten Schreibens des Beklagtenvertreters stützt, sind hierfür nicht die Beklagten, sondern der Beklagtenvertreter verantwortlich, der vorliegend jedoch nicht in Anspruch genommen wurde.

III. Dem Kläger steht gegen den Beklagten zu 2) kein Schadensersatzanspruch aus Art. 82 Abs. 1 DSGVO zu.

1. Der Beklagte zu 2) ist als Datenschutzbeauftragter nicht „Verantwortlicher“ im Sinne des Art. 4 Nr. 7 DSGVO. Verantwortlicher für Verarbeitung von personenbezogenen Daten im datenschutzrechtlichen Sinne war bezüglich der Versendung der Tagesordnung nur die Beklagte zu 1). Soweit klägerseites der Verstoß auch auf die Nennung in der Wohnungseigentümerversammlung gestützt wurde, war auch hier nicht der Beklagte zu 2), sondern die Beklagte zu 1) verantwortlich.


Den Volltext der Entscheidung finden Sie hier:


OLG München: Facebook darf Klarnamenpflicht in Nutzungsbedingungen vereinbaren - kein Recht auf Anonymität in sozialen Netzwerken

OLG München
Urteil vom 08.12.2020
18 U 5493/19 Pre


Das OLG München hat entschieden, dass Facebook in den Nutzungsbedingungen eine Klarnamenpflicht vereinbaren darf.

Aus den Entscheidungsgründen:

1. Die internationale Zuständigkeit des Landgerichts Ingolstadt, die auch im Berufungsverfahren von Amts wegen zu prüfen ist (vgl. BGH, Urteil vom 28.11.2002 - III ZR 102/02, NJW 2003, 426 m.w.N.), ist zu bejahen.

Maßgeblich ist die Verordnung (EU) Nr. 1215/2012 des Europäischen Parlaments und des Rates vom 12.12.2012 über die gerichtliche Zuständigkeit und die Anerkennung und Vollstreckung von Entscheidungen in Zivil- und Handelssachen (EuGVVO), weil die Beklagte ihren Sitz in Irland und damit in einem Mitgliedstaat der Europäischen Union hat. Im Rahmen der Zuständigkeitsprüfung kann dahinstehen, ob es sich bei den streitgegenständlichen Ansprüchen um vertragliche Ansprüche oder um Ansprüche aus unerlaubter Handlung handelt, denn in beiden Fällen wäre das Landgericht Ingolstadt örtlich und damit auch international zuständig.

Eine Vertragspflicht der Beklagten im Sinne von Art. 7 Nr. 1 lit. a EuGVVO auf Bereitstellung von „Facebook-Diensten“ wäre mangels einer abweichenden Vereinbarung der Vertragsparteien kraft Natur der Sache am Wohnsitz der Klägerin zu erfüllen.

Falls die Sperrung des klägerischen Nutzerkontos ein „schädigendes Ereignis“ im Sinne von Art. 7 Nr. 2 EuGVVO darstellen sollte, träte auch dieses primär am Wohnsitz der Klägerin ein. Denn dort käme es zur Kollision der widerstreitenden Interessen der Parteien, der Klägerin auf Meinungsfreiheit und Schutz ihres allgemeinen Persönlichkeitsrechts und der Beklagten auf Wahrung ihrer Gemeinschaftsstandards (vgl. zur Bedeutung dieses Gesichtspunkts für die internationale Zuständigkeit deutscher Gerichte im Falle einer Klage wegen einer Persönlichkeitsverletzung durch eine im Internet abrufbare Veröffentlichung BGH, Urteil vom 2.3.2010 - VI ZR 23/09, BGHZ 184, 313, juris Rn. 20 ff.).

2. Entgegen der Ansicht des Landgerichts steht der Klägerin kein Anspruch auf Freischaltung ihres unter dem Pseudonym „…“ angelegten Nutzerkontos aus § 280 Abs. 1, § 249 Abs. 1 BGB zu. Die in Ziffer 4 der maßgeblichen Nutzungsbedingungen der Beklagten (Anlage KTB 1, Stand: 30.01.2015) statuierte Verpflichtung der Facebook-Nutzer, ihre wahren Namen und Daten anzugeben, hält der rechtlichen Überprüfung stand.

1) Als Grundlage für den Anspruch der Klägerin gegen die Beklagte auf Freischaltung ihres Nutzerkontos kommt allein der Erfüllungsanspruch aus dem Vertrag, durch den sich die Beklagte als Plattformbetreiberin verpflichtet hat, der Klägerin die Nutzung der von ihr angebotenen Dienste zu ermöglichen, und den die Beklagte durch eine rechtswidrige Sperrung verletzt hätte, in Betracht.

1) Die von der Klägerin geltend gemachten Ansprüche sind nach deutschem Recht zu beurteilen. Dies ergibt sich aus Art. 3 Abs. 1 Rom-I-VO in Verbindung mit der Rechtswahl in Ziffer 5 der besonderen Nutzungsbedingungen der Beklagten für Nutzer mit Wohnsitz in Deutschland (Anlage KTB 2).

1) Zwischen den Parteien besteht unstreitig ein Vertragsverhältnis. Die Beklagte bietet ihren Nutzern unter der Bezeichnung „Facebook-Dienste“ Funktionen und Dienstleistungen an, die sie unter anderem über ihre Webseite unter www.facebook.com bereitstellt (vgl. Ziffer 17.1 der Anlage KTB 1). Insbesondere eröffnet sie ihren Nutzern die Möglichkeit, innerhalb ihres eigenen Profils Beiträge zu posten und die Beiträge anderer Nutzer zu kommentieren, soweit diese eine Kommentierung zulassen, oder mit verschiedenen Symbolen zu bewerten.

Für die von ihr angebotenen Dienste beansprucht die Beklagte kein Entgelt, weshalb der Nutzungsvertrag nicht als Dienstvertrag im Sinne von § 611 BGB eingeordnet werden kann. Es dürfte sich vielmehr um einen Vertrag sui generis handeln. Das ausführliche Regelwerk der Beklagten (Anlagen KTB 1 bis KTB 3) lässt jedenfalls erkennen, dass die Beklagte ihre Dienste mit Rechtsbindungswillen anbietet.

1) Bei der im Streit stehenden Klausel unter Ziffer 4 der Nutzungsbedingungen handelt es sich auch nicht um einen Teil der Leistungsbeschreibung, die gemäß § 307 Abs. 3 Satz 1 BGB der Inhaltskontrolle nach §§ 307 ff. BGB entzogen wäre.

Nach § 307 Abs. 3 Satz 1 BGB gelten die Absätze 1 und 2 der Vorschrift sowie die §§ 308 und 309 BGB nur für Bestimmungen in Allgemeinen Geschäftsbedingungen, durch die von Rechtsvorschriften abweichende oder diese ergänzende Regelungen vereinbart werden. Klauseln, die Art, Umfang und Güte der vertraglichen Hauptleistung und der hierfür zu bezahlenden Vergütung unmittelbar bestimmen (Leistungsbeschreibungen und Preisvereinbarungen) sind dagegen von der Inhaltskontrolle ausgenommen. Es ist nach dem im Bürgerlichen Recht geltenden Grundsatz der Privatautonomie den Vertragsparteien im Allgemeinen freigestellt, Leistung und Gegenleistung zu bestimmen; mangels gesetzlicher Vorgaben fehlt es insoweit regelmäßig auch an einem Kontrollmaßstab. Die Freistellung von der Inhaltskontrolle gilt jedoch nur für Abreden über den unmittelbaren Leistungsgegenstand, während Regelungen, die die Leistungspflicht des Verwenders einschränken, verändern, ausgestalten oder modifizieren, inhaltlich zu kontrollieren sind. Damit bleibt für die der Überprüfung entzogene Leistungsbeschreibung nur der enge Bereich von Regelungen, ohne deren Vorliegen mangels Bestimmtheit des wesentlichen Vertragsinhalts ein wirksamer Vertrag nicht mehr angenommen werden kann (BGH, Urteil vom 05.10.2017 - III ZR 56/17, NJW 2018, 535, juris Rn. 15 m.w.N.; Palandt-Grüneberg, BGB, 79. Aufl. 2020, § 307 Rn. 44).

Unter Zugrundelegung dieses Maßstabs stellt allein die jeweilige Umschreibung der von der Beklagten angebotenen „Facebook-Dienste“ entsprechend den Definitionen unter Ziffer 17 der Nutzungsbedingungen (Anlage KTB 1) eine der Inhaltskontrolle entzogene Leistungsbeschreibung dar. Mit der unter Ziffer 3 der Nutzungsbedingungen geregelten Verpflichtung zur Verwendung des auch im täglichen Leben verwendeten Namens wird dagegen das Hauptleistungsversprechen der Beklagten gegenüber ihren Nutzern, die angebotenen Dienste nutzen zu können, inhaltlich ausgestaltet und hinsichtlich der Verwendung von Pseudonymen eingeschränkt. Diese Klausel unterfällt nicht dem Ausnahmetatbestand des § 307 Abs. 3 Satz 1 BGB.

1) Entgegen der Ansicht des Landgerichts hält die Klausel der Inhaltskontrolle stand. Die in Ziffer 4 vorgesehene Verpflichtung des Nutzers zur Angabe seines wahren Namens benachteiligt diesen nicht entgegen den Geboten von Treu und Glauben in unangemessener Weise (§ 307 Abs. 1 und 2 BGB).

1) Ein Verstoß gegen das Transparenzgebot (§ 307 Abs. 1 Satz 2 BGB) ist nicht ersichtlich. Die unter Ziffer 3 der Nutzungsbedingungen geregelte Verpflichtung, auf „Facebook“ denselben Namen zu verwenden, den der Nutzer auch im täglichen Leben verwendet, ist klar und verständlich formuliert.

1) Die Klausel ist auch nicht im Sinne von § 307 Abs. 2 Nr. 1 BGB mit wesentlichen Grundgedanken der gesetzlichen Bestimmung des § 13 Abs. 6 Satz 1 TMG unvereinbar.

(1) Die Entbehrlichkeit einer Prüfung am Maßstab § 13 Abs. 6 Satz 1 TMG ergibt sich zwar nicht bereits aus dem in § 3 Abs. 2 Satz 1 TMG anerkannten Herkunftslandprinzip in Verbindung mit dem Umstand, dass das irische Recht keine § 13 Abs. 6 TMG entsprechende Verpflichtung des Diensteanbieters kennt, die Nutzung von Telemedien unter einem Pseudonym zu ermöglichen. Denn die Beklagte hat unter Ziffer 5 der besonderen Nutzungsbedingungen der Beklagten für Nutzer mit Wohnsitz in Deutschland (Anlage KTB 2) ausdrücklich die Geltung deutschen Rechts vereinbart (§ 3 Abs. 3 Nr. 1 TMG). Auf das Vertragsverhältnis der Parteien findet deshalb grundsätzlich auch § 13 Abs. 6 Satz 1 TMG Anwendung, soweit diese Bestimmung nicht durch den Anwendungsvorrang höherrangigen Rechts, insbesondere der seit dem 25.05.2018 in jedem Mitgliedstaat geltenden Datenschutzgrundverordnung, verdrängt wird.

Entgegen der Ansicht der Beklagten kann im Rahmen der getroffenen Rechtswahl nicht zwischen „vertraglichen“ und „datenschutzrechtlichen“ Gesetzesbestimmungen differenziert werden. Dem Wortlaut von Ziffer 5 der besonderen Nutzungsbedingungen für Nutzer mit Wohnsitz in Deutschland gemäß Anlage KTB 2 lässt sich eine solche Unterscheidung nicht entnehmen. Dies gilt umso mehr, als Ziffer 5 die in den allgemeinen Nutzungsbedingungen der Beklagten gemäß Anlage KTB 1 enthaltene Ziffer 15.1 vollständig ersetzen soll, so dass auch der Inhalt dieser Ziffer in die Auslegung miteinzubeziehen ist. Darin kommt insbesondere zum Ausdruck, dass die Gesetze der vereinbarten Rechtsordnung umfassend für alle Ansprüche, die möglicherweise zwischen dem Nutzer und der Beklagten entstehen, gelten sollen.

Unabhängig davon verpflichtet § 13 Abs. 6 Satz 1 TMG den Diensteanbieter dazu, die Nutzung von Telemedien anonym oder unter einem Pseudonym zu ermöglichen, soweit dies technisch möglich und ihm zumutbar ist. Dieser Verpflichtung korrespondiert ein entsprechender Anspruch des Nutzers gegen den Diensteanbieter, weshalb die Bestimmung nach der Terminologie der Beklagten zumindest auch „vertraglichen“ Charakter trägt.

(2) Die Vorschrift des § 13 Abs. 6 Satz 1 TMG wird entgegen der Ansicht der Beklagten auch nicht durch den Anwendungsvorrang der Datenschutzgrundverordnung verdrängt. Das liegt aber nur daran, dass ein Widerspruch zwischen den vorrangigen Bestimmungen der Datenschutzgrundverordnung und § 13 Abs. 6 Satz 1 TMG jedenfalls durch die gebotene unionsrechtskonforme Auslegung dieser Vorschrift vermieden werden kann. Im Hinblick auf die zwingenden Vorgaben des europäischen Datenschutzrechts hat das Landgericht zu Unrecht festgestellt, dass es der Beklagten zumutbar sei, ihren Nutzern eine Anonymisierungs- bzw. Pseudonymisierungsmöglichkeit bereitzustellen.

(i) Seit dem 25. Mai 2018 ist die Datenschutzgrundverordnung in allen ihren Teilen verbindlich und gilt unmittelbar in jedem Mitgliedstaat der Europäischen Union (Art. 99 Abs. 2 DSGVO). Nationale Datenschutzgesetze können lediglich nationale Ausführungs-, Durchführungs- und Spezialbestimmungen enthalten und gelten nur subsidiär (§ 1 Abs. 3 BDSG). Daraus folgt nach der höchstrichterlichen Rechtsprechung aber nicht, dass die nationalen Datenschutzvorschriften von vornherein keine Anwendung mehr fänden (vgl. hierzu und im Folgenden: BGH, Urteil vom 24.09.2019 - VI ZB 39/18, BGHZ 223, 168, juris Rn. 31 f. m.w.N.). Ein Anwendungsvorrang der Datenschutzgrundverordnung kommt vielmehr nur in Betracht, soweit zwischen dem unmittelbar anwendbaren Recht der Europäischen Union und dem nationalen deutschen Recht ein Widerspruch auftritt (BGH, Urteil vom 05.07.2007 - IX ZR 256/06, BGHZ 173, 129, juris Rn. 22 m.w.N.). Das supranational begründete Recht der Europäischen Union entfaltet gegenüber dem mitgliedstaatlichen Recht keine rechtsvernichtende (derogierende) Wirkung, sondern drängt nur dessen Anwendung soweit zurück, wie es die Verträge erfordern und es die durch das Zustimmungsgesetz erteilten Rechtsanwendungsbefehle erlauben (vgl. BVerfG, Beschluss vom 19.07.2011 - 1 BvR 1916/09, BVerfGE 129, 78, Rn. 81). Dabei ist es Sache der innerstaatlichen Gerichte, die Vorschriften des nationalen Rechts soweit wie möglich derart auszulegen, dass sie in einer zur Verwirklichung des Unionsrechts beitragenden Art und Weise angewandt werden können (BGH, Urteil vom 24.09.2019 - VI ZB 39/18, BGHZ 223, 168, juris Rn. 32; EuGH, Urteil vom 11.11.2015 - C-505/14, ZfIR 2016, 164, Rn. 31 ff.).

(ii) § 13 Abs. 6 TMG ist als datenschutzrechtliche Regelung zu qualifizieren. Die im Hinweis der Berichterstatterin vom 17.07.2020 geäußerten Bedenken (a.a.O., S. 3) hält der Senat - wie bereits im Berufungstermin mitgeteilt - angesichts der zutreffenden Ausführungen der Beklagten zur Entstehungsgeschichte der Norm nicht aufrecht.

Eine Bestimmung mit entsprechendem Regelungsgehalt wurde erstmals im Jahre 1997 mit § 4 Abs. 1 des früheren Teledienstdatenschutzgesetzes (TDDSG) eingeführt. Ausweislich der Gesetzesbegründung verfolgte der Gesetzgeber mit dieser Bestimmung das Ziel der Datenminimierung bzw. - vermeidung (BT-Drucks. 13/7385, S. 7, 23). Bei der Verabschiedung des Telemediengesetzes im Jahre 2006 wurden die Datenschutzvorschriften des Teledienstdatenschutzgesetzes unverändert in das neue Gesetz übernommen (BT-Drucks. 16/3078, S. 9, 12, 15). Der datenschutzrechtliche Charakter von § 13 Abs. 6 Satz 1 TMG ergibt sich auch aus der systematischen Stellung der Vorschrift im Abschnitt 4 - Datenschutz des Gesetzes.

Der Senat hält auch nicht an der im Hinweis vom 17.07.2020 geäußerten vorläufigen Auffassung fest, dass die Frage, ob der Nutzer einer Social-Media-Plattform die ihm angebotenen Dienste anonym oder unter einem Pseudonym nutzen könne, im Vorfeld der Datenverarbeitung angesiedelt sei. Denn mit der anonymen oder pseudonymen Nutzung von Telemedien verfolgt der Nutzer jedenfalls auch das Ziel, die Preisgabe seiner persönlichen Daten zu vermeiden bzw. zu minimieren. Damit unterfällt der Regelungsgehalt des § 13 Abs. 6 Satz 1 TMG dem Anwendungsbereich der Datenschutzgrundverordnung.

Der Bundesgerichtshof hat zwar in seinem Urteil vom 23.06.2009 (Az.: VI ZR 196/08, BGHZ 181, 328, „spickmich“) seine Auffassung bestätigt, dass dem Internet eine anonyme Nutzung immanent sei. Eine Beschränkung der Meinungsäußerungsfreiheit auf Äußerungen, die einem bestimmten Individuum zugeordnet werden könnten, sei mit Art. 5 Abs. 1 Satz 1 GG nicht vereinbar (BGH a.a.O., Rn. 38). Hieraus kann jedoch nicht abgeleitet werden, dass § 13 Abs. 6 Satz 1 TMG vorrangig dem Schutz der Meinungsäußerungsfreiheit dienen soll. Der Bundesgerichtshof führt vielmehr aus, dass die Vorschriften der §§ 12 ff. TMG dem Schutz der Nutzerdaten gegenüber dem Diensteanbieter dienen (BGH a.a.O.).

(iii) Die durch § 13 Abs. 6 Satz 1 TMG statuierte Verpflichtung des Diensteanbieters, grundsätzlich eine anonyme oder pseudonyme Nutzung von Telemedien zu ermöglichen, steht im Konflikt mit den Bestimmungen der Datenschutzgrundverordnung.

Die Datenschutzgrundverordnung enthält keine dem § 13 Abs. 6 Satz 1 TMG entsprechende Bestimmung. Es bedarf keiner näheren Erörterung, ob dieser Umstand für sich genommen ausreichen würde, um einen Widerspruch zwischen der nationalen Gesetzesbestimmung und dem europäischen Datenschutzrecht zu begründen. Denn der von der Beklagten referierten Entstehungsgeschichte der Datenschutzgrundverordnung lässt sich entnehmen, dass der europäische Normgeber bewusst davon abgesehen hat, dem Anbieter von Telemedien die Verpflichtung aufzuerlegen, die Nutzung von Telemedien anonym oder unter einem Pseudonym zu ermöglichen.

Wie die Beklagte zutreffend ausführt, wurde im Rahmen des europäischen Normsetzungsverfahrens von deutscher Seite versucht, ein Recht auf pseudonyme Nutzung in die Verordnung aufzunehmen. Ein Arbeitspapier der deutschen Delegation vom 24.10.2014 zum Thema Pseudonymisierung in der Arbeitsgruppe „Informationsaustausch und Datenschutz“ des Rates der Europäischen Union (Dok. 14705/14) enthielt den Vorschlag für einen Art. 7a, der ausdrücklich ein „Right to use aliases in information society services“ vorsah. Des Weiteren sprach sich die Konferenz der Datenschutzbeauftragten des Bundes und der Länder am 14.10.2015 dafür aus, zum Schutz der Privatsphäre der Telemediennutzer eine Bestimmung aufzunehmen, die zumindest bei zu privaten Zwecken genutzten Telemedien innerhalb der Europäischen Union ein Recht auf pseudonyme Nutzung verbindlich statuiert (vgl. Konferenz der Datenschutzbeauftragten des Bundes und der Länder vom 14.08.2015, Datenschutzrechtliche Kernpunkte für die Trilogverhandlungen zur Datenschutz-Grundverordnung, S. 15 Ziff. 14).

Die deutschen Vorschläge haben in die Datenschutzgrundverordnung allerdings keinen Eingang gefunden. Vielmehr wird die Pseudonymisierung in Art. 25 Abs. 1 und Art. 32 Abs. 1 DSGVO nur als eine mögliche geeignete (technische und organisatorische) Maßnahme zur Datenminimierung oder für eine sichere Datenverarbeitung genannt, wobei die Entscheidung dem für die Datenverarbeitung Verantwortlichen übertragen und gerade keine diesbezügliche Verpflichtung begründet wird.

Im Hinblick auf den Gang des Normsetzungsverfahrens kann das Schweigen der Datenschutzgrundverordnung in Bezug auf ein Recht des Nutzers auf eine pseudonyme Nutzung von Telemedien mithin als „beredt“ angesehen werden. Dies hat zur Folge, dass auch insoweit von einer abschließenden Regelung der Materie durch die Datenschutzgrundverordnung auszugehen ist, welche grundsätzlich einer abweichenden nationalen Regelung entgegensteht.

(iv) Der Widerspruch zwischen der Regelung des § 13 Abs. 6 Satz 1 TMG und den Bestimmungen der Datenschutzgrundverordnung kann jedoch durch eine unionsrechtskonforme Auslegung der erstgenannten Vorschrift aufgelöst werden.

§ 13 Abs. 6 Satz 1 TMG verpflichtet den Anbieter von Telemedien nur insoweit dazu, deren Nutzung anonym oder unter einem Pseudonym zu ermöglichen, als ihm dies zumutbar ist. Die Zumutbarkeit ist im Rahmen einer auf den konkreten Fall bezogenen Verhältnismäßigkeitsprüfung zu ermitteln, bei der das Interesse des Anbieters mit dem Recht des Nutzers auf informationelle Selbstbestimmung abzuwägen ist (Hullen/Roggenkamp in: Plath, DSGVO/BDSG, 3. Aufl., 2018, § 13 TMG Rn. 41 m.w.N.).

Diese Abwägung fällt entgegen der Ansicht des Landgerichts zugunsten der Beklagten aus:

Das von der Beklagten mit der Verpflichtung der Nutzer zur Verwendung ihres wahren Namens verfolgte Interesse erschöpft sich nicht darin, Nutzer bei Verstößen gegen ihre Nutzungsbedingungen leichter identifizieren zu können. Angesichts eines mittlerweile weitverbreiteten sozialschädlichen Verhaltens im Internet - Cyber-Mobbing, Belästigungen, Beleidigungen und Hassrede - hat die Beklagte ein legitimes Interesse daran, bereits präventiv auf ihre Nutzer einzuwirken. Der Senat teilt die Ansicht der Beklagten, dass die Verpflichtung zur Verwendung des wahren Namens grundsätzlich geeignet ist, Nutzer von einem rechtswidrigen Verhalten im Internet abzuhalten. Bei der Verwendung eines Pseudonyms liegt die Hemmschwelle nach allgemeiner Lebenserfahrung deutlich niedriger. Hiergegen kann die Klägerin nicht einwenden, dass die Verpflichtung zur Verwendung des wahren Namens keine hemmende Wirkung entfaltet habe, weil das beschriebene negative Verhalten im Internet in den letzten Jahren trotz bestehender Klarnamenpflicht massiv zugenommen habe. Der Umstand, dass einzelne Nutzer auch unter Verwendung ihres eigenen Namens Verstöße gegen die Nutzungsbedingungen begehen, rechtfertigt nicht den von der Klägerin gezogenen Schluss, dass die von der Beklagten verfolgte Klarnamenpflicht zur Verwirklichung der angestrebten Ziele von vornherein ungeeignet wäre.

Die Klägerin verweist zu Recht darauf, dass nach der Rechtsprechung des Bundesverfassungsgerichts und des Bundesgerichtshofs auch anonyme oder unter einem Pseudonym abgegebene Äußerungen vom Grundrecht der Meinungsäußerungsfreiheit (Art. 5 Abs. 1 Satz 1 GG) umfasst werden und dem Internet eine anonyme Nutzung immanent ist (vgl. BGH, Urteil vom 23.06.2009 - VI ZR 196/08, BGHZ 181, 328, juris Rn. 38). Im Rahmen der Verhältnismäßigkeitsprüfung ist allerdings zu berücksichtigen, dass es neben der Beklagten noch andere soziale Netzwerke gibt, die ein anderes Grundprinzip verfolgen und keine offene Kommunikation mit realen Namen und Daten verlangen, etwa Instagram, das ebenfalls von der „Facebook“- Unternehmensgruppe betrieben wird, oder YouTube.

In der Kommentarliteratur wird zum Teil die Auffassung vertreten, dass bei sozialen Netzwerken mit vornehmlich privatem Charakter - „Facebook“ wird in diesem Zusammenhang ausdrücklich genannt - eine Verpflichtung des Nutzers zur Verwendung seines Klarnamens nicht ohne weiteres mit der vermeintlichen Unzumutbarkeit einer anonymen oder pseudonymen Nutzung gerechtfertigt werden könne (vgl. Hullen/Roggenkamp in: Plath, DSGVO/BDSG, 3. Aufl. 2018, § 13 TMG Rn. 42 unter Verweis auf Hoeren/Sieber/Holznagel/Schmitz, Teil 16.2 Rn. 205; Spindler/Schuster, Elektron. Medien/Spindler/Nink, 3. Aufl. 2015, TMG, § 13 Rn. 22). Gerade im Social Web bestehe mitunter das legitime Bedürfnis, Äußerungen zumindest unter einem Pseudonym zu veröffentlichen. Ein Konflikt zwischen dem von § 13 Abs. 6 Satz 1 TMG grundsätzlich gewährten Anspruch auf pseudonyme Nutzung von Telemedien und den Bestimmungen der Datenschutzgrundverordnung wird von Vertretern der letztgenannten Auffassung mit dem Argument verneint, dass gemäß Art. 5 Abs. 1 lit. c DSGVO die Verarbeitung personenbezogener Daten auf das für den Zweck der Verarbeitung notwendige Maß beschränkt sein müsse und gemäß Art. 5 Abs. 1 lit. e DSGVO personenbezogene Daten in einer Form gespeichert werden müssten, welche die Identifizierung der betroffenen Personen nur so lange ermögliche, wie es für die Zwecke, für die sie verarbeitet würden, erforderlich sei. Hieraus wird abgeleitet, dass auch nach der Datenschutzgrundverordnung eine anonyme oder zumindest pseudonyme Nutzung von Telemedien zu ermöglichen sei, wenn eine solche dem Diensteanbieter zumutbar sei (so Hullen/Roggenkamp a.a.O., Rn. 43 m.w.N.).

Dieser Argumentation kann nicht gefolgt werden. Sie ignoriert den Gang des Normsetzungsverfahrens der Datenschutzgrundverordnung, dem sich entnehmen lässt, dass der europäische Normgeber entgegen den deutschen Vorschlägen den Nutzern sozialer Netzwerke bewusst keinen Anspruch auf die Verwendung eines Pseudonyms eingeräumt hat, und setzt sich nicht mit dem Umstand auseinander, dass die Pseudonymisierung in Art. 25 Abs. 1 und Art. 32 Abs. 1 DSGVO nur als mögliche Maßnahme zur Datenminimierung bzw. für eine sichere Datenverarbeitung genannt, aber keine entsprechende Verpflichtung des Verantwortlichen begründet wird. Jedenfalls unter Berücksichtigung der Vorgaben der Datenschutzgrundverordnung ist der Beklagten ein größerer Spielraum im Hinblick auf das in § 13 Abs. 6 Satz 1 TMG enthaltene Kriterium der Zumutbarkeit zuzubilligen. Sie kann sich deshalb darauf berufen, dass es für sie unzumutbar ist, die Nutzung der von ihr angebotenen „Facebook“-Dienste im Widerspruch zu dem mit der Schaffung dieser Plattform verfolgten Kommunikationskonzept unter einem Pseudonym zu ermöglichen.

(3) Die streitgegenständliche Klausel schränkt schließlich auch keine wesentlichen Rechte und Pflichten, die sich aus der Natur des zwischen den Parteien bestehenden Nutzungsvertrages ergeben, so ein, dass eine Erreichung des Vertragszwecks gefährdet wäre (§ 307 Abs. 2 Nr. 2 BGB).

Die Natur eines Vertrages wird durch den Zweck und den Inhalt des Vertrages bestimmt. Bei nicht normierten Verträgen ist von dem durch die Verkehrsauffassung geprägten Leitbild des Vertrages auszugehen. Die verkehrsübliche Gestaltung ist aber nur insoweit maßgebend, als sie mit den Grundwerten der Rechtsordnung übereinstimmt. Soweit einschlägige Normen fehlen, muss der Richter auf die vertragstypischen Gerechtigkeitserwartungen des redlichen Geschäftsverkehrs abstellen und für den Vertragstyp ein normatives Leitbild herausarbeiten (Palandt-Grüneberg, BGB, 79. Aufl. 2020, § 307 Rn. 34 m.w.N.).

Bei dem zwischen den Parteien bestehenden Nutzungsvertrag handelt es sich - wie oben dargelegt - um einen nicht normierten Vertrag sui generis. Für die von ihr angebotenen Dienste beansprucht die Beklagte keine Vergütung. Der Nutzer räumt der Beklagten aber eine nicht-exklusive, übertragbare, unterlizenzierbare und weltweite Lizenz für die Nutzung jedweder IP-Inhalte ein, die er auf Facebook postet (vgl. Ziff. 1 der Nutzungsbedingungen für Nutzer mit Wohnsitz in Deutschland, Anlage KTB 2).

Dem Internet ist zwar nach der bereits mehrfach zitierten höchstrichterlichen Rechtsprechung eine anonyme Nutzung grundsätzlich immanent (BGH, Urteil vom 23.06.2009 - VI ZR 196/08, BGHZ 181, 328, juris Rn. 38).

Aufgrund der dominierenden Stellung der Beklagten als Betreiberin von „Facebook“, der mit Abstand größten Social-Media-Plattform, wird die verkehrsübliche Gestaltung solcher Plattformen allerdings auch durch die von der Beklagten auf dieser Plattform verfolgte Klarnamenpolitik geprägt. Die Inanspruchnahme der von der Beklagten angebotenen spezifischen „Facebook“-Dienste ist auch nicht nur unter Verwendung eines Pseudonyms sinnvoll möglich.

Bei der Prüfung der Frage, ob die verkehrsübliche Gestaltung mit den Grundwerten der Rechtsordnung im Einklang steht, sind wiederum die Vorgaben der unmittelbar geltenden Datenschutzgrundverordnung zu berücksichtigen, die gerade keine Verpflichtung des Diensteanbieters zur Ermöglichung der pseudonymen Nutzung von Telemedien kennt. Hinsichtlich der Einzelheiten wird insoweit auf die obigen Ausführungen unter lit. bb) verwiesen. Aus der Natur des mit der Beklagten abgeschlossenen Nutzungsvertrages kann der Kläger deshalb keinen Anspruch auf Verwendung eines Pseudonyms im Rahmen seines eigenen Profils ableiten.

1) Soweit die Klägerin in Bezug auf die Klarnamenpflicht das Fehlen einer wirksamen Einwilligung nach Art. 7, 4 Nr. 11 DSGVO in Abrede stellt, kann sie damit nicht gehört werden. Das Erfordernis einer spezifischen Einwilligung in Bezug auf die streitgegenständliche Klausel vermag der Senat nicht zu erkennen. Im Übrigen ist zu berücksichtigen, dass Art. 6 DSGVO außer der Einwilligung des Betroffenen noch weitere Zulässigkeitstatbestände für die Datenverarbeitung enthält, von denen angesichts der vorstehenden Erwägungen aufgrund der berechtigten Interessen der Beklagten jedenfalls Art. 6 Abs. 1 lit. f) DSGVO als einschlägig anzusehen wäre.

1) Inwiefern die von der Beklagten verfolgte Klarnamenpolitik gegen die guten Sitten verstoßen soll (§ 138 Abs. 1 BGB), hat der Kläger nicht nachvollziehbar dargelegt. Ein Sittenverstoß ist auch nicht ersichtlich.

1) Entgegen den im Hinweis vom 17.07.2020 geäußerten Bedenken können aus dem Urteil des Landgerichts Berlin vom 16.01.2018, Az. 16 O 341/15, für den vorliegenden Rechtsstreit keine Rechtswirkungen, insbesondere keine Rechtskrafterstreckung nach § 11 UKlaG, abgeleitet werden.

Das Landgericht Berlin hatte seine Entscheidung in erster Linie auf das Erfordernis einer wirksamen Einwilligung nach §§ 4, 4a BDSG a.F. gestützt, welche seit Geltung der Datenschutzgrundverordnung nicht mehr in Kraft sind. Die Vorschrift des § 4 BDSG a.F. (Zulässigkeit der Datenerhebung, -verarbeitung und -nutzung) wurde durch Art. 6 DSGVO und die Vorschrift des Art. 4a BDSG a.F. (Einwilligung) durch Art. 4 Nr. 11, Art. 7 DSGVO ersetzt. Die neue Regelung in Art. 6 DSGVO sieht wie bereits erwähnt außer der Einwilligung des Betroffenen nunmehr weitere Zulässigkeitstatbestände für die Datenverarbeitung vor, von denen im vorliegenden Fall jedenfalls Art. 6 Abs. 1 lit. f DSGVO in Betracht kommt. Soweit die Rechtskraft Wirkungen für die Zukunft entfaltet, ist eine Rechtsänderung zu berücksichtigen (vgl. Zöller/Vollkommer, ZPO, 33. Aufl. 2020, Vor § 322 Rn. 53), so dass eine Bindungswirkung an das Urteil des Landgerichts Berlin nicht mehr angenommen werden kann.

1) Die Befugnis der Beklagten zur Verhängung von Sperren gegen einen Nutzer, der gegen seine Vertragspflichten verstoßen hat, ergibt sich aus Ziffer 4.3 und Ziffer 14 der Nutzungsbedingungen (Anlage KTB 1). Zwar ist die Klausel in Ziffer 14 mit „Beendigung“ überschrieben. Entscheidend ist jedoch, dass die Beklagte sich in dieser Klausel die Befugnis vorbehält, auf einen Verstoß des Nutzers gegen den Inhalt dieser Erklärung hin „die Bereitstellung von Facebook […] ganz oder teilweise ein(zu) stellen“. Unabhängig davon wäre die temporäre Sperrung auch als milderes Mittel gegenüber einer Beendigung des Vertrags aus wichtigem Grund zulässig.

2. Da ein Anspruch der Klägerin auf Freischaltung ihres Nutzerkontos nicht besteht, hat auch die vom Landgericht ausgesprochene Verurteilung der Beklagten zur Zahlung anteiliger vorgerichtlicher Rechtsanwaltskosten keinen Bestand.
III.

Die zulässige Berufung der Klägerin hat in der Sache keinen Erfolg.

1. Ein Anspruch der Klägerin auf Schadensersatz in Höhe von insgesamt … € besteht bereits deshalb nicht, weil die Beklagte mit der Sperre des klägerischen Nutzerkontos ihre vertraglichen Pflichten gegenüber der Klägerin nicht verletzt hat. Auf die vorstehenden Ausführungen unter Ziffer II wird Bezug genommen.

2. Im Übrigen wäre ein Anspruch aber auch dann nicht gegeben, wenn die Sperre rechtswidrig erfolgt wäre:

2) Ein Schadensersatzanspruch, sei es aus § 280 Abs. 1 oder §§ 823 ff. in Verbindung mit § 249 ff. BGB, scheitert - ungeachtet aller übrigen Voraussetzungen - daran, dass die Klägerin nicht nachvollziehbar dargelegt hat, dass ihr ein materieller Schaden in Höhe des geltend gemachten Betrages entstanden ist. Die Darlegungs- und Beweislast für die Entstehung des Schadens und dessen Höhe trifft bei sämtlichen Haftungstatbeständen den Geschädigten (vgl. Palandt/Grüneberg, BGB, 79. Aufl. 2020, 280 Rn. 34; Palandt/Sprau, § 823 Rn. 80 f.).

Die Klägerin hat bei ihrer Anhörung im Termin vom 07.11.2018 (Bl… d.A.) selbst eingeräumt, dass sie keine unmittelbaren materiellen Schäden durch die Sperrung habe. Allein der zeitweiligen Einschränkung ihrer privaten Kommunikationsmöglichkeiten auf „Facebook“ und dem Verlust der Kontrolle über ihre personenbezogenen Daten kommt - auch wenn ein solcher Verlust eingetreten sein sollte - für sich genommen kein Vermögenswert zu. Die Einschränkung des „Kontakts nach außen“ kann allenfalls im Rahmen des von § 823 Abs. 1 BGB als „sonstiges Recht“ geschützten Rechts am eingerichteten und ausgeübten Gewerbebetrieb (vgl. hierzu Palandt/Sprau a.a.O. § 823 Rn. 133 ff.) einen Vermögensschaden begründen. Wegen eines immateriellen Schadens kann gemäß § 253 Abs. 1 BGB Entschädigung in Geld nur in den gesetzlich bestimmten Fällen gefordert werden.

2) Die tatbestandlichen Voraussetzungen eines Schmerzensgeldanspruchs aus § 253 Abs. 2 BGB liegen offensichtlich nicht vor. Die Klägerin ist nicht in einem der in dieser Vorschrift genannten Rechtsgüter verletzt worden. Auf andere Rechtsgüter und absolute Rechte ist die Vorschrift nicht entsprechend anwendbar (Palandt/Grüneberg a.a.O. § 253 Rn. 11).

2) Der Klägerin steht auch kein Anspruch auf Geldentschädigung wegen Verletzung des allgemeinen Persönlichkeitsrechts (Art. 2 Abs. 1, Art. 1 Abs. 1 GG) zu.

Nach der höchstrichterlichen Rechtsprechung begründet die schuldhafte Verletzung des allgemeinen Persönlichkeitsrechts bei der Kollision mit der Meinungs- bzw. Pressefreiheit einen Anspruch auf Geldentschädigung, wenn es sich um einen schwerwiegenden Eingriff handelt und die Beeinträchtigung nicht in anderer Weise befriedigend aufgefangen werden kann. Ob eine so schwerwiegende Verletzung des Persönlichkeitsrechts vorliegt, dass die Zahlung einer Geldentschädigung erforderlich ist, kann nur aufgrund der gesamten Umstände des Einzelfalls beurteilt werden. Hierbei sind insbesondere die Bedeutung und Tragweite des Eingriffs, die Nachhaltigkeit und Fortdauer der Interessenschädigung des Verletzten, ferner Anlass und Beweggrund des Handelnden sowie der Grad seines Verschuldens zu berücksichtigen (vgl. BGH, Urteil vom 17.12.2013 - VI ZR 211/12, NJW 2014, 2029, juris Rn. 38).

2) Auch unter Berücksichtigung des Umstands, dass das zwischen den Parteien bestehende Schuldverhältnis über § 241 Abs. 2 BGB durch die mittelbare Drittwirkung der Grundrechte der Parteien geprägt wird, kann diese Rechtsprechung nicht ohne Weiteres auf Pflichtverletzungen im Rahmen eines bestehenden Vertragsverhältnisses übertragen werden. Denn eine pflichtwidrige Einschränkung von Kommunikationsmöglichkeiten, die der Klägerin ohnehin nur aufgrund des mit der Beklagten geschlossenen Nutzungsvertrages zur Verfügung stehen, beeinträchtigt sie bereits nicht in ihrem allgemeinen Persönlichkeitsrecht.

Das allgemeine Persönlichkeitsrecht schützt nach der ständigen Rechtsprechung des Bundesverfassungsgerichts den engeren persönlichen Lebensbereich und die Entfaltung seiner Grundbedingungen (BVerfGE 121, 69, 90). Es bietet Schutz gegen eine umfassende Einschränkung der personalen Entfaltung bzw. der Privatautonomie (BVerfGE 72, 115, 170). Insoweit geht es um die Grundbedingungen freier Selbstbestimmung und Entfaltung, während für einzelne Beeinträchtigungen der Privatautonomie die allgemeine Handlungsfreiheit (Art. 2 Abs. 1 GG) einschlägig ist (vgl. Jarass in Jarass/Pieroth, GG, 13. Aufl., Art. 2 Rn. 50 m.w.N.).

Die Klägerin kann das Recht, sich auf „Facebook“ zu äußern, ausschließlich aus dem mit der Beklagten geschlossenen Nutzungsvertrag ableiten. Die Sperrung des Profils der Klägerin stellt insoweit nur eine einzelne Beeinträchtigung ihrer Privatautonomie dar, die ihre allgemeine Handlungsfreiheit berührt. Mit einer umfassenden Einschränkung ihrer personalen Entfaltung im vorgenannten Sinne ist die Sperrung hingegen nicht verbunden, ein Anspruch auf Nutzung bestimmter Kommunikationsmittel für den Kontakt zu Dritten oder für das Äußern von Meinungen besteht nicht.

2) Unabhängig davon würde es auch an den weiteren Voraussetzungen für die Zubilligung einer Geldentschädigung, dass es sich um eine schwerwiegende Persönlichkeitsrechtsverletzung handelt und die Beeinträchtigung nicht in anderer Weise befriedigend aufgefangen werden kann, fehlen. Wenn die Beklagte mit der Sperrung eines Nutzers schuldhaft ihre Vertragspflichten gegenüber dem Nutzer verletzt, stehen diesem Ansprüche auf Unterlassung, Folgenbeseitigung und Schadensersatz im Wege der Naturalrestitution zu, die gerichtlich - bei Vorliegen der prozessualen Voraussetzungen auch im Wege des vorläufigen Rechtsschutzes - durchgesetzt werden können.

2) Ansprüche der Klägerin auf eine fiktive Lizenzgebühr kommen ebenfalls nicht in Betracht.

Die Klägerin hat mit Abschluss des Nutzungsvertrages die Einwilligung zur umfassenden Nutzung ihrer Beiträge und Daten erteilt, ohne einen Vorbehalt für den Fall vorübergehender Sperrung ihres Nutzerprofils zu erklären.

Die der Beklagten von ihren Nutzern gemäß Ziffer 2 der Nutzungsbedingungen (Anlage KTB 1) eingeräumte Lizenz an den eingestellten Inhalten stellt zwar die „Gegenleistung“ für die Inanspruchnahme der Facebook-Dienste dar. Daraus folgt aber noch nicht, dass es sich bei dem Nutzungsvertrag um einen gegenseitigen Vertrag im Sinne von §§ 320 ff. BGB handelt. Dagegen spricht insbesondere, dass dem Nutzer gemäß Ziffer 2 der Nutzungsbedingungen bzw. gemäß Ziffer 1 der Nutzungsbedingungen für Nutzer mit Wohnsitz in Deutschland (Anlage KTB 2) die von ihm eingestellten Inhalte „gehören“ und er die Lizenz jederzeit durch Löschen der Inhalte oder des Kontos beenden kann. Darüber hinaus lässt sich den vertraglichen Vereinbarungen nicht entnehmen, dass die Beklagte während einer Sperrung des Nutzers an der Nutzung der ihr eingeräumten Lizenz gehindert wäre. Die Lizenz lässt sich nämlich auch als Gegenleistung für die vor der Sperrung erfolgte Zurverfügungstellung der Facebook-Dienste begreifen, zumal neue Inhalte während der Sperre nicht hinzukommen können. Im Übrigen erscheint eine Quantifizierung von Leistung und Gegenleistung wegen der Natur des unentgeltlichen Nutzungsvertrages gar nicht möglich.

2) Schließlich scheidet auch ein Anspruch auf Ersatz des immateriellen Schadens nach Art. 82 Abs. 1 DSGVO aus.

Nach dieser Vorschrift hat jede Person, der wegen eines Verstoßes gegen diese Verordnung ein materieller oder immaterieller Schaden entstanden ist, Anspruch auf Schadensersatz gegen den Verantwortlichen. Die Verarbeitung der Daten der Klägerin durch die Beklagte verstieß aber nicht gegen die DSGVO, denn sie beruhte auf der vorab erteilten Zustimmung zu den Nutzungsbedingungen der Beklagten im Sinne des Art. 6 Abs. 1 lit. a) DSGVO und auf Art. 6 Abs. 1 lit. f) DSGVO.

Im Übrigen gilt auch hier, dass ersatzfähig als Schaden alle Nachteile sind, die der Geschädigte an seinem Vermögen oder an sonst rechtlich geschützten Gütern erleidet (vgl. Kühling/Buchner/Bergt, DS-GVO, 2. Aufl. 2018, Art. 82 Rn. 19). Ein solch immaterieller Schaden, der hier allenfalls an eine - ggf. auch weniger schwerwiegende - Verletzung des Persönlichkeitsrechts anknüpfen könnte (vgl. hierzu Becker in: Plath, DSGVO/BDSG, 3. Aufl. 2018, Art. 82 DSGVO Rn. 4c; Wybitul, Immaterieller Schadensersatz wegen Datenschutzverstößen, NJW 2019, 3265, 3267), liegt jedoch wie dargelegt nicht vor. Die bloße Sperrung des klägerischen Nutzerprofils begründet einen solchen Schaden nicht.


Den Volltext der Entscheidung finden Sie hier:


OVG Koblenz: Kein individueller Anspruch auf Einschreiten der Datenschutzbehörde und Einleitung bestimmter Maßnahmen nach DSGVO

OVG Koblenz
Urteil vom 26.10.2020
10 A 10613/20.OVG


Das OVG Koblenz hat entschieden, dass kein individueller Anspruch auf Einschreiten der Datenschutzbehörde und Einleitung bestimmter Maßnahmen besteht. Die DSGVO enthält keine entsprechende Anspruchsgrundlage.

VG Berlin: Mitbestimmungsrecht des Personalrats wenn Kommentarfunktion in sozialen Netzwerken wie Facebook, Instagram oder Twitter genutzt werden soll

VG Berlin
Beschluss vom 29.05.2020
72 K 7.19 PVB


Das VG Berlin hat entschieden, dass der Personalrat ein Mitbestimmungsrecht hat, wenn Kommentarfunktion in sozialen Netzwerken Facebook, Instagram oder Twitter genutzt werden soll


VG Berlin: Mitbestimmung des Personalrats wenn Windows 7 durch Windows 10 Enterprise ersetzt wird

VG Berlin
Beschluss vom 12.06.2020
62 K 10.19 PVL


Das VG Berlin hat entschieden, dass der Personalrat ein Mitbestimmungsrecht hat, wenn Windows 7 durch Windows 10 Enterprise ersetzt wird.