Skip to content

LG Dresden: Verwendung von Google-Analytics ohne anonymizeIP ist Verletzung des allgemeinen Persönlichkeitsrechts - Unterlassungsanspruch gegen Websitebetreiber

LG Dresden
Urteil vom 11.01.2019
1a O 1582/18


Das LG Dresden hat entschieden, dass die die Verwendung von Google-Analytics ohne anonymizeIP eine Verletzung des allgemeinen Persönlichkeitsrechts darstellt. Betroffene haben - so das Gericht - gegen den Website-Betreiber einen Unterlassungsanspruch sowie die üblichen Nebenansprüche (Auskunft, Schadensersatz und Erstattung von Abmahnkosten).

Aus den Entscheidungsgründen:

Der Unterlassungsanspruch beruht auf §§ 823 Abs. 1 i. V. m. 1004 BGB analog.

I. Die unerlaubte Weitergabe personenbezogener Daten des Klägers durch die Beklagte an Google Inc. stellt eine Verletzung des allgemeinen Persönlichkeitsrechts des Klägers nach § 823 Abs. 1 BGB dar.

1. Das allgemeine Persönlichkeitsrecht leitet sich aus Art. 2 Abs. 1 i. V. m. Art. 1 Abs. 1 GG ab und stellt ein sonstiges Recht im Sinne des § 823 Abs. 1 BGB dar; auch der Datenbestand einer Person stellt ein solches sonstiges Recht dar (vgl. Palandt/Sprau,BGB, 77. Auflage 2018, § 823 Rn. 19).

2. Das allgemeine Persönlichkeitsrecht des Klägers – im speziellen das informationelle Selbstbestimmungsrecht – wurde verletzt, als die Beklagte die Daten des Klägers an Google Inc. weitergab.

II. Der Schutzbereich des § 823 Abs. 1 BGB umfasst das Recht des Einzelnen auf Achtung seiner personalen Identität. Damit kann der Inhaber des Rechts Angriffe abwehren; es währt ihm aber auch die aktive Handlungs- und Entschließungsfreiheit, die ihm das Recht gibt, selbstbestimmt zu handeln und sich frei zu entfalten (vgl. dazu Palandt/Sprau, aao. § 823 Rn. 86, 115).

Der Schutzbereich des Selbstbestimmungsrechts umfasst auch Daten, die gegenüber Dritten erkennbar einer Person zugeordnet sind. Dabei geht es um die Erhebung der Daten und um die Frage, ob und inwieweit diese Daten gespeichert werden.

III. IP-Adressen stellen personenbezogene Daten i. S. d. § 12 Abs. 1 und Abs. 2 TMGLV m. § 3 Abs. 1 BDSG dar, wenn diese von einem Anbieter von Online-Mediendiensten beim Zugriff auf Internetseiten gespeichert werden (BGH NJW 2017, 2416, zitiert nach juris, dort Rn. 18 ff.).

IV. Die Beklagte verletzt auch das Recht des Klägers: Die Beklagte griff auch zum Nachteil des Klägers in die geschützte Sphäre des Klägers ein: Die Beklagte hat hier die IP-Adresse des Klägers an die Google Inc. weitergeleitet, ohne diese Adresse zu anonymisieren, als der Kläger die Webseite des Beklagten aufsuchte. Denn die Beklagte nutzte den sogenannten Tracking-Dienst Google Analytics, ohne dabei gleichzeitig den Quellcode-Zusatz „anonymisiert“ zu verwenden. Dieser Quellcode-Zusatz hätte es ermöglicht, die IP-Adressen zu anonymisieren.

V. Die Übermittlung der IP-Adresse des Klägers an Google Inc. war unzulässig, da die Verletzungshandlung rechtswidrig war. Denn die Weitergabe der IP-Adresse ist nach dem Datenschutzrecht ein unzulässiger Eingriff in das allgemeine Persönlichkeitsrecht des Klägers.




BAG: Kein Verwertungsverbot - Arbeitgeber darf auch ohne Anfangsverdacht gegen Arbeitnehmer Daten auf Dienstrechner einsehen sofern diese nicht als privat gekennzeichnet sind

BAG
Urteil vom 31.01.2019
2 AZR 426/18


Das Bundesarbeitsgericht hat entschieden, dass ein Arbeitgeber auch ohne Anfangsverdacht einer erheblichen Pflichtverletzung durch einen Arbeitsnehmer, Daten auf einem Dienstrechner einsehen darf, sofern diese nicht ausdrücklich als privat gekennzeichnet sind.

Aus den Entscheidungsgründen:

"bb) Das Berufungsgericht durfte die Inhalte der Datei „Tankbelege.xls“ in seine Würdigung einbeziehen. Der entsprechende Sachvortrag der Beklagten unterliegt keinem Verwertungsverbot.

(1) Nach der inzwischen gefestigten Senatsrechtsprechung greift in einem Kündigungsrechtsstreit jedenfalls dann kein Verwertungsverbot zugunsten des Arbeitnehmers ein, wenn der Arbeitgeber die betreffende Erkenntnis oder das fragliche Beweismittel im Einklang mit den einschlägigen datenschutzrechtlichen Vorschriften erlangt und weiterverwandt hat (ausführlich BAG 23. August 2018 - 2 AZR 133/18 - Rn. 14 ff.). So liegt es im Streitfall. Die Einsichtnahme in die Datei „Tankbelege.xls“ sowie die weitere Verarbeitung und Nutzung der aus ihr gewonnenen Erkenntnisse durch die Beklagte waren nach § 32 Abs. 1 Satz 1 BDSG in der bis zum 24. Mai 2018 geltenden Fassung (im Folgenden BDSG aF) zulässig.

(2) Nach dieser Bestimmung dürfen personenbezogene Daten eines Beschäftigten für Zwecke des Beschäftigungsverhältnisses ua. dann erhoben, verarbeitet oder genutzt werden, wenn dies für dessen Durchführung oder Beendigung erforderlich ist. Zur Durchführung gehört die Kontrolle, ob der Arbeitnehmer seinen Pflichten nachkommt, zur Beendigung iSd. Kündigungsvorbereitung die Aufdeckung einer Pflichtverletzung, die die Kündigung des Arbeitsverhältnisses rechtfertigen kann. Sofern nach § 32 Abs. 1 Satz 1 BDSG aF zulässig erhobene Daten den Verdacht einer solchen Pflichtverletzung begründen, dürfen sie für die Zwecke und unter den Voraussetzungen des § 32 Abs. 1 Satz 1 BDSG aF auch verarbeitet und genutzt werden. Der Begriff der Beendigung umfasst dabei die Abwicklung eines Beschäftigungsverhältnisses. Der Arbeitgeber darf deshalb alle Daten speichern und verwenden, die er benötigt, um die ihm obliegende Darlegungs- und Beweislast in einem potenziellen Kündigungsschutzprozess zu erfüllen (BAG 23. August 2018 - 2 AZR 133/18 - Rn. 22; 27. Juli 2017 - 2 AZR 681/16 - Rn. 28, BAGE 159, 380).

(3) § 32 Abs. 1 Satz 2 BDSG aF entfaltet keine „Sperrwirkung“ dergestalt, dass eine anlassbezogene Datenerhebung durch den Arbeitgeber ausschließlich zur Aufdeckung von Straftaten zulässig wäre und sie nicht nach § 32 Abs. 1 Satz 1 BDSG aF zulässig sein könnte (BAG 27. Juli 2017 - 2 AZR 681/16 - Rn. 30, BAGE 159, 380; ausführlich BAG 29. Juni 2017 - 2 AZR 597/16 - Rn. 28 ff., BAGE 159, 278). Allerdings muss die Erhebung, Verarbeitung und Nutzung der personenbezogenen Daten auch nach § 32 Abs. 1 Satz 1 BDSG aF „erforderlich“ sein. Es hat eine „volle“ Verhältnismäßigkeitsprüfung zu erfolgen. Die Erhebung, Verarbeitung und Nutzung der personenbezogenen Daten müssen geeignet, erforderlich und unter Berücksichtigung der gewährleisteten Freiheitsrechte angemessen sein, um den erstrebten Zweck zu erreichen. Es dürfen keine anderen, zur Zielerreichung gleich wirksamen und das Persönlichkeitsrecht der Arbeitnehmer weniger einschränkenden Mittel zur Verfügung stehen. Die Verhältnismäßigkeit im engeren Sinne (Angemessenheit) ist gewahrt, wenn die Schwere des Eingriffs bei einer Gesamtabwägung nicht außer Verhältnis zu dem Gewicht der ihn rechtfertigenden Gründe steht. Die Datenerhebung, -verarbeitung oder -nutzung darf keine übermäßige Belastung für den Arbeitnehmer darstellen und muss der Bedeutung des Informationsinteresses des Arbeitgebers entsprechen. Dies beurteilt sich ggf. für jedes personenbezogene Datum gesondert (BAG 23. August 2018 - 2 AZR 133/18 - Rn. 24).

(4) Der vom Senat bei der Anwendung von § 32 Abs. 1 Satz 1 BDSG aF herangezogene Verhältnismäßigkeitsgrundsatz genügt dem durch die Richtlinie 95/46/EG sowie Art. 7 der Charta der Grundrechte der Europäischen Union (dazu EuGH 11. Dezember 2014 - C-212/13 - [Ryneš] Rn. 28) und Art. 8 der Europäischen Konvention zum Schutz der Menschenrechte und Grundfreiheiten (dazu EuGH 9. November 2010 - C-92/09 und C-93/09 - [Volker und Markus Schecke] Rn. 52; BAG 19. Februar 2015 - 8 AZR 1007/13 - Rn. 20 f.) garantierten Schutzniveau für die von einer Datenerhebung Betroffenen (BAG 23. August 2018 - 2 AZR 133/18 - Rn. 25; EGMR 5. Oktober 2010 - 420/07 - [Köpke/Deutschland]).

(5) Bei der Interessenabwägung stellt eine „berechtigte Privatheitserwartung“ des Betroffenen einen beachtlichen Faktor dar (EGMR 9. Januar 2018 - 1874/13, 8567/13 - [López Ribalda ua./Spanien] Rn. 57; [Große Kammer] 5. September 2017 - 61496/08 - [Bărbulescu/Rumänien] Rn. 119 - 122; vgl. auch Erwägungsgrund 47 zur Verordnung [EU] 2016/679 des Europäischen Parlaments und des Rates vom 27. April 2016 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten, zum freien Datenverkehr und zur Aufhebung der Richtlinie 95/46/EG [Datenschutz-Grundverordnung; DS-GVO]: „vernünftige Erwartungen“), der selbst dann zugunsten des Nichtverarbeitungsinteresses des Arbeitnehmers den Ausschlag geben kann, wenn das Verarbeitungsinteresse des Arbeitgebers hoch ist. So dürfen Arbeitnehmer grundsätzlich erwarten, dass besonders eingriffsintensive Maßnahmen nicht ohne einen durch Tatsachen begründeten Verdacht einer Straftat oder schweren Pflichtverletzung ergriffen werden und insbesondere nicht „ins Blaue hinein“ oder wegen des Verdachts bloß geringfügiger Verstöße eine heimliche Überwachung und ggf. „Verdinglichung“ von ihnen gezeigter Verhaltensweisen erfolgt (für die verdeckte Videoüberwachung vgl. BAG 22. September 2016 - 2 AZR 848/15 - Rn. 28, BAGE 156, 370; für die verdeckte Observation durch einen Detektiv vgl. BAG 29. Juni 2017 - 2 AZR 597/16 - Rn. 26 ff., BAGE 159, 278; für ein verdecktes Keylogging vgl. BAG 27. Juli 2017 - 2 AZR 681/16 - Rn. 30, BAGE 159, 380).

(6) Demgegenüber können weniger intensiv in das allgemeine Persönlichkeitsrecht des Arbeitnehmers eingreifende Datenerhebungen, -verarbeitungen und -nutzungen nach § 32 Abs. 1 Satz 1 BDSG aF ohne Vorliegen eines durch Tatsachen begründeten Anfangsverdachts - zumal einer Straftat oder anderen schweren Pflichtverletzung - erlaubt sein. Das gilt vor allem für nach abstrakten Kriterien durchgeführte, keinen Arbeitnehmer besonders unter Verdacht stellende offene Überwachungsmaßnahmen, die der Verhinderung von Pflichtverletzungen dienen (BAG 27. Juli 2017 - 2 AZR 681/16 - Rn. 31, BAGE 159, 380). So kann es aber auch liegen, wenn der Arbeitgeber aus einem nicht willkürlichen Anlass prüfen möchte, ob der Arbeitnehmer seine vertraglichen Pflichten vorsätzlich verletzt hat, und er - der Arbeitgeber - dazu auf einem Dienstrechner gespeicherte Dateien einsieht, die nicht ausdrücklich als „privat“ gekennzeichnet oder doch offenkundig „privater“ Natur sind. Das gilt jedenfalls dann, wenn die Maßnahme offen erfolgt und der Arbeitnehmer im Vorfeld darauf hingewiesen worden ist, welche legitimen Gründe eine Einsichtnahme in - vermeintlich - dienstliche Ordner und Dateien erfordern können (vgl. EGMR [Große Kammer] 5. September 2017 - 61496/08 - [Bărbulescu/Rumänien] Rn. 119 - 122), und dass er Ordner und Dateien durch eine Kennzeichnung als „privat“ von einer Einsichtnahme ohne „qualifizierten“ Anlass ausschließen kann (vgl. EGMR 22. Februar 2018 - 588/13 - [Libert/Frankreich]). Der Arbeitnehmer muss dann billigerweise mit einem jederzeitigen Zugriff auf die vermeintlich rein dienstlichen Daten rechnen. Zugleich kann er „private“ Daten in einen gesicherten Bereich verbringen.

(7) In Anwendung dieser Grundsätze durfte die Beklagte die Datei „Tankbelege.xls“ kopieren, öffnen und einsehen. Die damit verbundene Erhebung, Verarbeitung und Nutzung personenbezogener Daten des Klägers war verhältnismäßig.

(a) Die Beklagte hat aus einem nicht willkürlichen Anlass ein legitimes Ziel verfolgt. Sie wollte letztlich prüfen, ob der Kläger vorsätzlich seine arbeitsvertraglichen Pflichten verletzt hat.

(b) Das Kopieren, Öffnen und Einsehen der Datei „Tankbelege.xls“ war geeignet, diesen Zweck zu fördern.

(c) Die vorgenannte Datenverarbeitung war erforderlich, um den verfolgten Zweck zu erreichen. Es standen keine anderen, zur Zielerreichung gleich wirksamen und das allgemeine Persönlichkeitsrecht des Klägers weniger einschränkenden Mittel zur Verfügung.

(aa) Eine Einsichtnahme in die Datei unter Heranziehung eines Mitglieds des Betriebsrats oder des Datenschutzbeauftragten hätte kein milderes Mittel dargestellt. Dadurch hätte nicht die Möglichkeit bestanden, die Datenerhebung ganz abzuwenden oder doch auf die Art und Weise ihrer Durchführung „abschwächenden“ Einfluss zu nehmen (zu einem solchen Fall BAG 20. Juni 2013 - 2 AZR 546/12 - Rn. 31, BAGE 145, 278). Die Untersuchung musste auch nicht im Beisein des Klägers erfolgen. Dieser hatte sich im Nachgang zur Herausgabe seines Dienstrechners noch einmal an die interne Revision gewandt und mitgeteilt, dass sich einige, von ihm näher bezeichnete private Daten auf der Festplatte befänden. Die Beklagte durfte annehmen, dass der Kläger gegen die Auswertung anderer Daten keine Einwände habe. Das betraf ua. den Ordner „DW“ und die Datei „Tankbelege.xls“. Beide hatte der Kläger nicht als „privat“ angeführt.

(bb) Die Maßnahme stellt sich nicht deshalb als unnötig schwerwiegender Eingriff in das Persönlichkeitsrecht des Klägers dar, weil die Beklagte die Festplatte des Dienstrechners zum Zweck der computerforensischen Untersuchung kopiert hat. Durch das Kopieren ist der Inhalt der Dateien nicht verändert worden. Auch wurde die Gefahr einer missbräuchlichen Verwendung der Daten nicht erhöht. Das gilt umso mehr, als der Kläger unmittelbar nach dem Kopieren aufgefordert worden ist, die auf der Original-Festplatte befindlichen Daten zu löschen.

(d) Das Kopieren, Öffnen und Einsehen der Datei war nicht unangemessen. Das Nichtverarbeitungsinteresse des Klägers überwog nicht das Verarbeitungsinteresse der Beklagten.

(aa) Die Beklagte hatte ein erhebliches Interesse daran, vorsätzliche Pflichtverletzungen des Klägers aufzudecken.

(bb) Zwar lag kein durch Tatsachen begründeter Anfangsverdacht - zumal einer Straftat oder schweren Pflichtverletzung - vor. Auch ist nicht festgestellt, ob die Beklagte im Vorfeld des Verlangens, den Dienstrechner herauszugeben, gegenüber dem Kläger die Gründe (allgemein) bezeichnet hatte, die eine Einsichtnahme in dienstliche Ordner und Dateien erfordern können und ob sie ihn auf die Möglichkeit aufmerksam gemacht hat, Ordner und Dateien durch eine Kennzeichnung als „privat“ von einer Einsichtnahme ohne „qualifizierten“ Anlass auszuschließen.

(cc) Gleichwohl stellte sich die von der Beklagten durchgeführte Maßnahme, was die hier allein interessierende Einsichtnahme in nicht ausdrücklich als „privat“ gekennzeichnete oder doch offenkundig als „privat“ zu erkennende Dateien anbelangt, nicht als so eingriffsintensiv dar, dass sich das Nichtverarbeitungsinteresse des Klägers in einer Abwägung gegen das Verarbeitungsinteresse der Beklagten durchsetzen könnte. Die Untersuchung wurde offen durchgeführt. Ihre mögliche Reichweite war klar. Der Kläger wusste, dass die gesamte Festplatte seines Dienst-Laptops einer computerforensischen Analyse unterzogen werden sollte. In eben diesem Bewusstsein hat er bestimmte Daten gegenüber der internen Revision als „privat“ benannt. Die Beklagte durfte hernach davon ausgehen, dass die übrigen, von ihm nicht angeführten Daten für ihre „Augen“ bestimmt waren. Es geht nicht zu ihren Lasten, wenn der Kläger den Ordner „DW“ nebst der Datei „Tankbelege.xls“ vergessen oder das Einsehen von deren Inhalten durch die Beklagte für „ungefährlich“ erachtet haben sollte.

(8) Durfte die Datei „Tankbelege.xls“ kopiert, geöffnet und eingesehen werden, stellte sich ihre weitere Verwendung im Hinblick auf einen potenziellen Rechtsstreit um die Wirksamkeit einer auszusprechenden Kündigung unproblematisch als rechtmäßig dar. Das Führen einer derartigen Aufstellung, aber auch die in der Aufstellung enthaltenen Daten stellten ein Indiz für ein schweres, ggf. zur außerordentlichen Kündigung des Arbeitsvertrags berechtigendes Fehlverhalten dar (Rn. 47).

(9) Die Verwertung der von der Beklagten in zulässiger Weise ermittelten Inhalte der Datei „Tankbelege.xls“ im vorliegenden Rechtsstreit ist nach Maßgabe der DS-GVO und des BDSG in der seit dem 25. Mai 2018 geltenden Fassung ebenfalls rechtmäßig (vgl. BAG 23. August 2018 - 2 AZR 133/18 - Rn. 45 ff.).

(10) Für den vorliegenden Rechtsstreit ist es ohne Belang, ob die Erhebung, Verarbeitung oder Nutzung der anderen personenbezogenen Daten im Zug der computerforensischen Untersuchung des Dienstrechners den Vorgaben des BDSG aF entsprach. Sollte die Beklagte insofern gegen die Vorgaben des BDSG aF verstoßen haben, folgte daraus nicht ein Verbot, die in der Datei „Tankbelege.xls“ enthaltenen personenbezogenen Daten zu verwerten (vgl. BAG 23. August 2018 - 2 AZR 133/18 - Rn. 33).

(11) Die mögliche Verletzung von Mitbestimmungsrechten des Betriebsrats, Verfahrensregelungen in einer Betriebsvereinbarung oder „internen Regeln“ des Arbeitgebers ist für die Frage, ob ein Sachvortragsverwertungsverbot eingreift, irrelevant (vgl. BAG 20. Oktober 2016 - 2 AZR 395/15 - Rn. 36, BAGE 157, 69; 22. September 2016 - 2 AZR 848/15 - Rn. 44, BAGE 156, 370). Es ist weder festgestellt noch sonst ersichtlich, dass in einer einschlägigen Betriebsvereinbarung ein „eigenständiges Verwertungsverbot“ bestimmt gewesen wäre. Deshalb bedarf es keiner Entscheidung, ob die Betriebsparteien gegenüber den Gerichten über das formelle Recht hinausgehende Verwertungsverbote begründen oder doch dem Arbeitgeber die Berufung auf einen Sachvortrag in einem Rechtsstreit mit dem betreffenden Arbeitnehmer wirksam versagen können.

b) Die Beklagte hat alle ihr zumutbaren Anstrengungen unternommen, den Sachverhalt aufzuklären."


Den Volltext der Entscheidung finden Sie hier:

OLG Frankfurt: Kein Urheberrechtsverstoß und kein Verstoß gegen DSGVO oder BDSG wenn Haftpflichtversicherer eingereichtes Schadensgutachten mit Lichtbildern an Unternehmen zur Prüfung weitergibt

OLG Frankfurt
Urteil vom 12.02.2019
11 U 114/17


Das OLG Frankfurt hat entschieden, dass weder ein Urheberrechtsverstoß noch Verstoß gegen die DSGVO oder das BDSG vorliegt, wenn ein Haftpflichtversicherer das bei ihm zur Schadensregulierung eingereichte Schadensgutachten mit Lichtbildern an ein Unternehmen zur Prüfung weitergibt.

Aus den Entscheidungsgründen:

"2. Das Landgericht hat auch den mit ursprünglichen Klageantrag zu 3.) (Berufungsantrag zu 2.) geltend gemachten datenschutzrechtlichen Löschungsanspruch im Ergebnis rechtsfehlerfrei abgewiesen, weil es an einer unzulässigen Verwendung der streitgegenständlichen Daten fehlt.

Der Kläger hat für den geltend gemachten Löschungsanspruch keine Anspruchsgrundlage. Er hat weder a.) nach dem aufgrund Art. 8 des DSAnpUG-EU bis zum 25.05.2018 geltende Bundesdatenschutzgesetz (im Folgenden "BDSG a.F.") noch b.) nach dem ab 25.05.2018 geltenden Datenschutzgesetz (im Folgenden "BDSG" bzw. "DSGVO" oder c.) aus dem Persönlichkeitsrecht nach §§ 823, 1004 BGB einen Anspruch auf Löschung seiner Daten.

a.) Der datenschutzrechtliche Löschungsanspruch ist nach keiner der in Betracht kommenden Alternativen des § 35 Abs. 2 Satz 2 BDSG a.F. begründet.

Für den Löschungsanspruch aus § 35 Abs. 2 Satz 2 Nr. 1 BDSG a.F. fehlt es an einer unzulässigen Speicherung der Daten. Die Speicherung ist nach dem im Datenschutz geltenden Grundsatz des Verbots mit Erlaubnisvorbehalt dann nicht unzulässig, wenn eine andere Rechtsvorschrift sie erlaubt ( Dix in Simitis, Bundesdatenschutzgesetz, 7. Aufl. 2011, § 35 Rn. 26; Wolff/Brink , Datenschutzrecht, § 35 Rn. 33). Dies ist vorliegend nach §§ 4 Abs. 1, 28 Abs. 1 Nr. 2 BDSG a.F. i.V.m. § 11 BDSG a.F. der Fall. Nach diesen Vorschriften darf die Beklagte und die für sie im Auftrag handelnde A GmbH die Daten des Beklagten für eigene Geschäftszwecke speichern, weil dies zur Wahrung ihrer berechtigten Interessen erforderlich ist und kein Grund zu der Annahme besteht, dass das schutzwürdige Interesse des Klägers an dem Ausschluss der Verarbeitung oder Nutzung überwiegt. Ein berechtigtes Interesse kann jedes von der Rechtsordnung gebilligtes Interesse sein, dass bei vernünftiger Erwägung durch die Sachlage gerechtfertigt ist ( Gola/Schomerus , BDSG, 12. Aufl. 2015, § 28 Rn. 24; Wolff/Brink, a.a.O., § 28 Rn. 59). Das berechtigte Interesse der Beklagten an der Verwendung der Daten des Beklagten besteht in dem sich aus § 115 Abs. 1 Nr. 1 VVG i.V.m. § 1 PflVG ergebenen Direktanspruch des geschädigten Klägers gegen die beklagte Haftpflichtversicherung. Als verpflichtete Aktiengesellschaft ist die Beklagte berechtigt und verpflichtet, die gegen sie geltend gemachten Ansprüche zu prüfen und die dazu übermittelten Daten zu speichern. Das Interesse des Klägers am Ausschluss oder Nutzung der Daten überwiegt nicht. Bei dieser Abwägungsentscheidung fällt zu Gunsten der Beklagten ins Gewicht, dass der Kläger die Schadensregulierung aufgrund selbst von ihm zur Verfügung gestellter Daten erwartet, bei denen es sich um wenig sensible Daten handelt. Das Recht der Beklagten zur Speicherung dieser Daten zu Kontrollzwecken umfasst gemäß § 11 BDSG a.F. auch das Recht, diese durch eine von ihr mit dieser Aufgabe betraute Stelle im Rahmen der Auftragsdatenverarbeitung vornehmen zu lassen. Entgegen der Ansicht des Klägers stehen § 28 BDSG a.F. und § 11 BDSG a.F. nicht zueinander in Widerspruch, sondern ermöglichen der Beklagten als i.S.v. § 3 Abs. 7 BDSG a.F. für die Daten verantwortliche Stelle, ihr nach Speicherungsrecht durch einen Auftragnehmer vornehmen zu lassen ( Petri in Simitis, a.a.O., § 11 Rn. 1; Spoerr in Wolff/Brink, a.a.O., § 11 Rn. 4). Wie das Landgericht richtig geurteilt hat ist ein derartiger Auftragnehmer nicht Dritter i.S.v. § 3 Abs. 8 Satz 3 BDSG a.F.

Das Landgericht hat rechtsfehlerfrei festgestellt, dass die Beklagte bei der Speicherung zu Kontrollzwecken in zulässiger Weise als Auftragnehmer i.S.v. § 11 BDSG a.F. für die Beklagte handelt. Die gegen diese Entscheidung in der Berufungsbegründung angeführten Argumente überzeugen nicht. Die von der Beklagten vorgelegte Dokumentation belegt hinreichend, dass die A GmbH als Auftragnehmerin für die Beklagte handelt und dabei die in § 11 BDSG a.F. aufgestellten Voraussetzungen an eine Auftragsdatenverarbeitung erfüllt.

Dass die Beklagte Vertragspartnerin der mit der A GmbH am 15.02./01.03.2011 und am 16./29.09.2011 abgeschlossenen Verträgen zur Auftragsdatenverarbeitung ist, ergibt sich aus dem in der Berufungsinstanz vorgelegten chronologischen Handelsregisterauszug der Gesellschaft vom 03.08.2015. Aus diesem ist ersichtlich, dass die Beklagte am 09.08.2013 die Umfirmierung von C1 Versicherungs-Aktiengesellschaft AG in C Sachversicherungs AG beschloss und deshalb dieselbe Vertragspartnerin mit unterschiedlichen Namen ist. Auch wenn im Laufe des Prozesses lediglich einer der beiden Unterzeichnenden der Verträge auf Seiten der Beklagten namentlich benannt wurde, ist das Gericht davon überzeugt, dass diese zwischen der Beklagten und der A GmbH Geltung haben. Zum einen wurde diese Verträge unstreitig durch die erforderliche Anzahl von vertretungsberechtigten Personen unterschrieben von denen der zeichnende Leiter der Schadensabteilung E ausweislich des vorlegten Handelsregisterauszuges vom 13.09.2018 Gesamtprokura mit einem Vorstandsmitglied oder einem anderen Prokuristen verliehen worden ist. Zum anderen will die Beklagte nach ihrem Vortrag an diese Verträge gebunden sein. Selbst wenn sie zum Vertragsschluss durch einen nicht vertretungsberechtigten Vertreter ihres Unternehmens gezeichnet worden sein sollten, könnte die Beklagte diese jederzeit nach § 177 BGB genehmigen. Da der Rahmenvertrag in § 18 im Fall der Nichtkündigung eine automatische Verlängerung um jeweils 2 Jahre vorsieht, ist auch vom Bestehen eines schriftlichen Vertragsverhältnisses auszugehen ist.

Der von Klägerseite gegen den Beklagtenvortrag zur Parteiidentität der Vertragspartner erhobene Verspätungseinwand greift nicht durch, weil die Frage der Parteiidentität der C1 Versicherungs AG und der Beklagten einen Gesichtspunkt betreffen, der i.S.v. § 531 Abs. 2 Nr. 1 ZPO vom Landgericht Frankfurt am Main bei seinem Urteil erkennbar übersehen worden ist. Das Landgericht ist trotz der namentlichen Abweichung der unterzeichnenden Gesellschaft allein aufgrund der Vorlage der Anlage B 2 vom Bestehen der Datenschutzvereinbarung zwischen der Beklagten und der A GmbH ausgegangen. Dies wird von dem Kläger in seiner Berufungsbegründung zu Recht kritisiert, so dass die Frage der vertraglichen Bindung zwischen der Beklagten und der A GmbH gemäß § 529 Abs. 1 Nr. 1 ZPO zum Gegenstand des Berufungsverfahrens gemacht werden muss.

An der ausführlichen Subsumption des Vertragsverhältnisses unter die Tatbestandsvoraussetzungen des §§ 11 Abs. 2 BDSG a.F. und der dazu gegebenen Begründungen des Landgerichts ist nichts zu erinnern. Insbesondere hat das Landgericht zu Recht judiziert, dass die Berechtigung von A GmbH aus den Unterlagen anonymisierte Auswertungen herzustellen nicht zu beanstanden ist. Auch in der Berufungsbegründung werden hiergegen keine überzeugenden Argumente vorgebracht. Für einen Löschungsanspruch aus § 35 Abs. 1 Nr. 3 BDSG a.F. fehlt es an einer Zweckerfüllung. Die weitere Verarbeitung der Daten ist schon wegen des hiesigen Gerichtsprozesses notwendig. Die Daten sind zur Abwehr des geltend gemachten Schadensersatzanspruches notwendig ( Dix in Simitis, a.a.O., § 35 Rn. 38; Wolff/Brink , a.a.O. § 35 Rn. 39).

b.) Auch unter dem neuen Datenschutzregime ist der geltend gemachte Löschungsanspruch nicht begründet. Der Löschungsanspruch aus Art. 17 Abs. 1 Buchst. a DSGVO scheitert an dem in dessen Absatz 3 Buchst. c geregelten Ausnahmetatbestand. Danach gilt der Löschungsanspruch nicht, soweit die Verarbeitung zur "Verteidigung von Rechtsansprüchen" erforderlich ist. Dass diese erforderlich ist, zeigt hiesiger Rechtsstreit.

c.) Das Datenschutzgesetz hat als Spezialregelung den Anspruch auf Löschung personenbezogener Daten abschließend geregelt. Daneben ist für eine Anwendung für einen auf das allgemeine Persönlichkeitsrecht gestützten Unterlassungsanspruch kein Raum (BGH, Urt. v. 17.12.1985, Az. VI ZR 244/84, NJW 1986, 2505).

3. Das Landgericht hat auch die mit Klaganträgen zu 4.) und 5.) geltend gemachten und mit den Berufungsanträgen zu 3.) und 4.) weiter verfolgten Unterlassungs- und Entschädigungsansprüche rechtsfehlerfrei abgewiesen, weil es - wie festgestellt - an einer unzulässigen Verwendung der streitgegenständlichen Daten fehlt. Aus demselben Grund besteht auch kein Schadensersatzanspruch nach dem neuen Art. 82 DSGVO.

4. Im Ergebnis hat das Landgericht auch die mit den Berufungsanträgen zu 5.) und 6.) weiter verfolgten urheberrechtlichen Ansprüche zu Recht abgewiesen.

Zwar hat das Landgericht übersehen, dass der Kläger Lichtbildner der streitgegenständlichen Fotos ist und solcher Rechtsschutz nach § 72 UrhG genießt. Wie die Berufung zu Recht moniert, hat der Klägervertreter dies in der mündlichen Verhandlung vom 19.01.2017 (Bl. 213 d. A.) vorgetragen. Dies wurde auch nicht bestritten.

Jedoch besteht kein Anspruch nach § 97 UrhG, weil es an einer widerrechtlichen Verletzung der Lichtbildrechte des Klägers fehlt.

§§ 15 Abs. 2 Nr. 2, 19 a UrhG ist nicht einschlägig, weil durch die streitgegenständlichen Handlungen nicht das Recht der öffentlichen Zugänglichmachung betroffen ist. Insoweit unterscheidet sich die Fallgestaltung von denen, die der Bundesgerichtshof in seiner von der Klägerseite zitierten Rechtsprechung entschiedenen hat und bei denen die urhebergeschützten Fotos ins Internet eingestellt worden waren (BGH, Urt. v. 29.04.2010, I ZR 68/09 - Restwertbörse und Urt. v. 20.06.2013, I ZR 55/12 - Restwertbörse II ). Eine Einstellung der Daten in das öffentlich zugängliche Internet steht vorliegend nicht in Streit.

§§ 15 Abs. 1 Nr. 2, 17 UrhG ist auch nicht einschlägig. Der Tatbestand der Verbreitung umfasst gemäß § 17 Abs. 1 UrhG das Recht, das Original oder Vervielfältigungsstücke des Werkes der Öffentlichkeit anzubieten oder in den Verkehr zu bringen. Es ist schon zweifelhaft, ob der Auftragsnehmer einer Auftragsdatenverwaltung i.S.d. § 11 BDSG überhaupt "Öffentlichkeit" im Sinne dieser Vorschrift sein kann. Die Verletzung dieses Verwertungsrecht scheitert jedenfalls am Erschöpfungsgrundsatz des § 17 Abs. 2 UrhG, nachdem der Kläger das Gutachten mit den Fotos der Beklagten selbst zur Verfügung gestellt hat.

Auch an einem Eingriff in das Vermietungsrecht des Klägers gemäß § 17 Abs. 3 Satz 1 UrhG fehlt es. Die Vorschrift setzt eine vorübergehende Gebrauchsüberlassung der geschützten Leistung zu Erwerbszwecken voraus. Eine zeitlich begrenzte Gebrauchsüberlassung ist anzunehmen, wenn der Gegenstand dem Kunden für eine bestimmte Zeit in der Weise zur freien Verfügung übergeben wird, dass ihm eine uneingeschränkte und wiederholbare Werknutzung ermöglicht wird. Der Begriff der "Werknutzung" verweist dabei auf den Zweck des Vermietrechts. Dieser liegt darin, den Berechtigten eine angemessene Beteiligung an den Nutzungen zu sichern, die aus der Verwertung ihrer Werke oder geschützten Leistungen gezogen werden (BGH, Urt. v. 07.06.2001, I ZR 21/99 - Kauf auf Probe ). Unter Anlegung dieser Maßstäbe beinhaltet die zweckgebundene Weitergabe des Gutachtens an die A GmbH keine Gebrauchsüberlassung im Sinne der Vorschrift. Zwar verfolgte die Beklagte damit mittelbar einen Erwerbszweck, weil sie durch die Kontrolle der Kostenpositionen die Erstattung überhöhter Reparaturkosten an den Geschädigten verhindern wollte. Der erstrebte Vorteil beruht jedoch nicht auf der Nutzung der Lichtbilder als der durch das Urheberrecht geschützten Leistung, sondern auf einer Überprüfung der Kalkulation. Er wäre in gleicher Weise eingetreten, wenn die Bekl. das Gutachten ohne die Lichtbilder übermittelt hätte (vgl. auch LG Berlin, Urt. v. 03.07.2012, 16 O 309/11).

Auch das Vervielfältigungsrecht des §§ 15 Abs. 1 Nr. 1, 16 UrhG ist nicht betroffen, weil die Speicherung nach § 1 Nr. 3 der Datenschutzvereinbarung nur die übermittelten Daten bzw. nach § 2 Nr. 7 der Datenschutzvereinbarung die anonymisierte Auswertung der Auswertung, aber nicht die streitgegenständlichen Fotos betrifft."



Den Volltext der Entscheidung finden Sie hier:

LG Köln: Auskunftsanspruch nach Art. 15 Abs. 1 DSGVO dient nicht der vereinfachten Buchführung des Betroffenen sondern Beurteilung von Umfang und Inhalt der gespeicherten personenbezogenen Daten

LG Köln
Teilurteil vom 18.03.2019
26 O 25/18


Das LG Köln hat sich in dieser Entscheidung mit der Reicheite des Auskunftsanspruchs nach Art. 15 Abs.1 DSGVO befasst. Das Gericht führt aus, dass der Auskunftsanspruch nicht der vereinfachten Buchführung des Betroffenen dienen soll. Vielmehr sollen der Betroffene in die Lage versetzt werden, den Umfang und Inhalt der gespeicherten personenbezogenen Daten zu beruteilen.

Aus den Entscheidungsgründen:

2. Hinsichtlich des Auskunftsanspruchs (Klageantrag Ziffer 1) ist die Klage aber unbegründet. Ein weitergehender Auskunftsanspruch steht der Klägerin nicht zu, nachdem die Beklagte während des Prozesses wiederholt Auskünfte erteilt hat und der Rechtsstreit insoweit übereinstimmend für erledigt erklärt wurde.

Gemäß Art. 15 Abs. 1 DS-GVO steht der betroffenen Person ein umfassender Anspruch auf Auskunft über verarbeitete sie betreffende personenbezogene Daten sowie weitere Informationen zu. Die Information muss u.a. auch die Verarbeitungszwecke (Ziffer a)), die Empfänger von Daten (Ziffer b)) und die geplante Dauer der Speicherung (Ziffer c)) enthalten. Gemäß Artikel 4 Nr. 1 DS-GVO sind „personenbezogene Daten“ in diesem Sinne alle Informationen, die sich auf identifizierte oder identifizierbare natürliche Personen beziehen. Eine „Verarbeitung von Daten“ stellt gemäß Artikel 4 Nr. 2 DS-GVO jeder Vorgang im Zusammenhang mit personenbezogenen Daten dar. Insofern ergibt sich ein umfassendes Auskunftsrecht bezogen auf die gespeicherten bzw. verarbeiteten personenbezogenen Daten. Dies beinhaltet Daten wie Namen oder Geburtsdatum genauso wie jegliche Merkmale, die die Identifizierbarkeit einer Person ermöglichen können, z.B. Gesundheitsdaten, Kontonummer usw. Nach diesen Grundsätzen und auf Grundlage der Erwägungsgründe stellen ärztliche Unterlagen, Gutachten oder sonstige vergleichbare Mitteilungen anderer Quellen ebenfalls „personenbezogene Daten“ dar. Nach der Auffassung der Kammer bezieht sich der Auskunftsanspruch aber nicht auf sämtliche internen Vorgänge der Beklagten, wie z.B. Vermerke, oder darauf, dass die betreffende Person sämtlichen gewechselten Schriftverkehr, der dem Betroffenen bereits bekannt ist, erneut ausgedruckt und übersendet erhalten kann (so das OLG Köln zu § 34 BDSG a.F., Beschluss vom 26.07.2018, 9 W 15/18). Rechtliche Bewertungen oder Analysen stellen insofern ebenfalls keine personenbezogenen Daten in diesem Sinne dar. Der Anspruch aus Art. 15 DS-GVO dient nicht der vereinfachten Buchführung des Betroffenen, sondern soll sicherstellen, dass der Betroffene den Umfang und Inhalt der gespeicherten personenbezogenen Daten beurteilen kann. Folgerichtig bestimmt Artikel 15 Abs. 3 DS-GVO, dass der Betroffene eine Kopie (lediglich) der personenbezogenen Daten, die Gegenstand der Verarbeitung sind, erhält. Vorliegend hat die Beklagte verschiedene Auskünfte und Informationen erteilt (u.a. Bl. 164 ff. d.A. = Anlage K 10; Bl. 234 d.A. = Anlage B 4, Bl. 359 ff. d.A. = SS vom 20.12.2018 nebst Anlage B 5) und angegeben, dass weitere personenbezogene Daten über die Klägerin nicht gespeichert seien bzw. verarbeitet wurden. Substantiierter Vortrag der Klägerin, welche Informationen seitens der Beklagten darüber hinaus noch verarbeitet worden seien könnten, ist nicht erfolgt. Insofern sind konkrete Anhaltspunkte, dass die Auskunft - nach Maßgabe der Rechtsauffassung der Kammer - unvollständig ist, nicht vorhanden. Aus den Auskünften der Beklagten ergeben sich vielmehr die personenbezogenen Daten sowie die sonstigen Informationen i.S.v. Art. 15 Abs. 1a)-h) wie Gruppen von personenbezogenen Daten, Erfassung der Daten, Speicherdauer usw..


Den Volltext der Entscheidung finden Sie hier:


LArbG Baden-Württemberg: Umfassender datenschutzrechtlicher Auskunftsanspruch nach § 15 DSGVO des Arbeitnehmers gegen Arbeitgeber - Abwägung mit Geheimhaltungsinteressen Dritter

LArbG Baden-Württemberg
Urteil vom 20.12.2018
17 Sa 11/18


Das LArbG Baden-Württemberg hat entschieden, dass ein umfassender datenschutzrechtlicher Auskunftsanspruch nach § 15 DSGVO des Arbeitnehmers gegen den Arbeitgeber besteht. Dem Anspruch können ggf. auch Geheimhaltungsinteressen Dritter entgegegengehalten werden. Es ist insofern aber eine umfassende Interessenabwägung vorzunehmen.

Aus den Entscheidungsgründen:

Maßgeblich für die nach objektiven Gesichtspunkten zu beurteilende Sachdienlichkeit ist der Gedanke der Prozesswirtschaftlichkeit, für den es entscheidend darauf ankommt, ob und inwieweit die Zulassung der Klageänderung zu einer sachgemäßen und endgültigen Erledigung des Streits zwischen den Parteien führt, der den Gegenstand des anhängigen Verfahrens bildet und einem andernfalls zu erwartenden weiteren Rechtsstreit vorbeugt (BAG, 14. Juni 2017 – 10 AZR 308/15, Rn. 39, juris). Dies ist vorliegend zu bejahen. Der Kläger änderte seinen Antrag im Hinblick auf die seit 25. Mai 2018 geltende Rechtslage nach der DS-GVO. Der früher in § 34 Abs. 1 S. 2 BDSG a.F. geregelte Auskunftsanspruch betroffener Personen ist seit dem 25. Mai 2018 in Art. 15 DSGVO geregelt. Der Sache nach begehrt der Kläger gegenüber seinem Arbeitgeber nach wie vor den bereits erstinstanzlich zunächst auf Basis von § 34 BDSG a.F. und später auf Grundlage von Art. 15 der DS-GVO geltend gemachten datenschutzrechtlichen Auskunftsanspruch. Die Klageänderung wird auch i.S.v. § 533 Nr. 2 ZPO auf Tatsachen gestützt, die das Berufungsgericht seiner Verhandlung und Entscheidung über die Berufung ohnehin nach § 529 ZPO zugrunde zu legen hatte. Zur Begründung des Anspruches wurden vom Kläger keine neuen Tatsachen in den Prozess eingeführt. Auch die Beklagte machte in der Ablehnung der geforderten Auskunft keine Gründe geltend, die nicht bereits zu dem bisherigen Auskunftsanspruch vorgebracht wurden. Damit liegt die nach § 533 Nr. 2 ZPO erforderliche kongruente Tatsachengrundlage vor.

Der Antrag ist auch bestimmt genug im Sinne von § 253 Abs. 2 Nr. 2 ZPO. Zwar ist der Beklagten zuzugeben, dass die Begriffe „Leistung“ und „Verhalten“ weder in Art. 15 DS-GVO genannt, noch in Art. 4 Nr. 1 DS-GVO legal definiert sind. Soweit der Kläger eine Auskunft der verarbeiteten und nicht in der Personalakte des Klägers gespeicherten personenbezogenen Leistungs- und Verhaltensdaten begehrt, ist der Antrag noch bestimmt genug. Gegenüber dem Anspruch auf Auskunft der personenbezogenen Daten handelt es sich um eine präzisierende Eingrenzung. Der Kläger kommt damit der Sollvorschrift aus der Erwägung 63 S. 7 zur DS-GVO nach und beschränkt seinen Auskunftsanspruch. Damit wird der Antrag näher spezifiziert – er beschreibt genauer, auf welche Bereiche er seine Auskunft erstreckt wissen will. Nicht in den Antrag aufgenommen werden können und müssen die eigentlichen personenbezogenen Daten, deren Auskunft begehrt wird. Es ist einem Auskunftsanspruch nach Art. 15 der DS-GVO immanent, dass der Anspruchssteller noch nicht die genauen Gegenstände seiner Auskunft kennt, die er erst einfordert. Eine weitere Konkretisierung ist dem Kläger nicht möglich, weil er nicht weiß, welche Daten die Beklagte über ihn verarbeitet.

D) Begründetheit der Anschlussberufung

Der Kläger hat einen Anspruch nach Art. 15 Abs. 1 der DS-GVO auf Erteilung der mit der Anschlussberufung geltend gemachten Auskünfte. Die DS-GVO findet unmittelbar Anwendung (1) und ist auf das Arbeitsverhältnis der Parteien anwendbar (2). Die Beklagte verarbeitet personenbezogene Daten über den Kläger (3), weshalb dieser sowohl die erweiterte Auskunft (4) nach Art. 15 Abs. 1 Halbsatz 2 DS-GVO als auch einen Anspruch auf Herausgabe einer Kopie (5) der Daten nach Art. 15 Abs. 3 Satz 1 DS-GVO hat. Diese Ansprüche sind im vorliegenden Fall auch nicht durch berechtigte Interessen Dritter eingeschränkt (6).

(1) Nach Art. 99 Abs. 2 DS-GVO gilt die DS-GVO seit dem 25. Mai 2018. Sie ist unmittelbar anwendbar. Die DS-GVO gilt gemäß Art. 288 AEUV unmittelbar in jedem Mitgliedsstaat der Union, ohne dass es einer weiteren Umsetzung durch nationales Recht bedarf.

(2) Der Auskunftsanspruch nach Art. 15 DS-GVO besteht auch in einem Arbeitsrechtsverhältnis. Die allgemeinen Bestimmungen der EU-DSGVO enthalten eine Vollregelung, auch zum Beschäftigtendatenschutz (Düwell/Brink, NZA 2016, 665). Die Mitgliedsstaaten sind jedoch gem. Art. 88 DS-GVO in bestimmten Grenzen befugt, spezifische nationale Vorschriften zum Beschäftigtendatenschutz zu erlassen.

(3) Die Beklagte verarbeitet personenbezogene Daten des Klägers.

a) Nach Art. 4 Nr. 1 DS-GVO sind personenbezogene Daten alle Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person („betroffene Person”) beziehen. Zur Verarbeitung gehört nach Art. 4 Nr. 2 DS-GVO insbesondere auch das Erheben, das Erfassen, die Organisation, das Ordnen, die Speicherung und die Verwendung. In einem Arbeitsverhältnis verarbeitet der Arbeitgeber zwangsläufig personenbezogene Daten der bei ihm beschäftigten Arbeitnehmer.

b) Dass die Beklagte personenbezogene Daten des Klägers verarbeitet, ergibt sich schon aus der Vielzahl der von den Parteien als Ausdrucke in diesem Rechtsstreit vorgelegten dienstlichen E-Mails, die der Kläger im Rahmen seines Arbeitsverhältnisses geschrieben, gesendet und empfangen hat. Jede einzelne vom Kläger geschriebene, gesendete und empfangene E-Mail enthält bereits personenbezogene Daten, nämlich Informationen, die sich auf den Kläger beziehen. Insofern ist der Einwand der Beklagten, sie würde außerhalb der Personalakte keine Negativlisten oder dergleichen über den Kläger führen, unerheblich.

(4) Der Kläger hat einen Anspruch auf Auskunftserteilung der personenbezogenen Leistungs- und Verhaltensdaten. Bei personenbezogenen Leistungs- und Verhaltensdaten handelt es sich um eine bestimmte Kategorie von personenbezogenen Daten im Sinne von Art. 15 Abs. 1 Hs. 2 b) DS-GVO i.V.m. Art 4 Nr. 1 DS-GVO. Der Auskunftsberechtigte ist nach Erwägungsgrund 63 S. 7 zur DS-GVO berechtigt, zu erklären, auf welche Informationen oder auf welche Verarbeitungsvorgänge sich das Auskunftsersuchen bezieht. Hiervon machte der Kläger Gebrauch und schränkte insoweit seinen zunächst umfassend bestehenden Auskunftsanspruch auf personenbezogene Leistungs- und Verhaltensdaten ein.

(5) Der Anspruch auf Herausgabe einer Kopie der Daten ergibt sich aus Art. 15 Abs. 3 Satz 1 DS-GVO.

(6) Die Ansprüche auf Auskunft und Herausgabe der personenbezogenen Leistungs- und Verhaltensdaten sind im vorliegenden Fall nicht durch berechtigte Interessen Dritter beschränkt.

a) Nach § 34 Abs. 1 i.V.m. § 29 Abs. 1 Satz 2 BDSG besteht das Recht auf Auskunft der betroffenen Person gemäß Artikel 15 der Verordnung (EU) 2016/679 (DS-GVO) nicht, soweit durch die Auskunft Informationen offenbart würden, die nach einer Rechtsvorschrift oder ihrem Wesen nach, insbesondere wegen der überwiegenden berechtigten Interessen eines Dritten, geheim gehalten werden müssen. Die Regelungen in § 34 Abs. 1 i.V.m. § 29 Abs. 1 und Abs. 2 BDSG beruhen auf der Öffnungsklausel des Art. 23 Abs. 1 lit. i DS-GVO, wonach Informations- und Benachrichtigungspflichten des Verantwortlichen bzw. das Auskunftsrecht betroffener Personen beschränkt werden können zum Schutz der betroffenen Person oder der Rechte und Freiheiten anderer Personen (BeckOK; DatenschutzR/Uwer, 26. Ed. 1.8.2018, BDSG § 29 Rn. 1).

Das Recht auf Erhalt einer Kopie wird gem. Art. 15 Abs. 4 DS-GVO durch Rechte und Freiheiten anderer Personen beschränkt (Gola DS-GVO/Franck, 2. Aufl. 2018, DS-GVO Art. 15 Rn. 33, 34). Es wird vertreten, dass sich diese Einschränkung nicht lediglich auf das in Art. 15 Abs. 4 DS-GVO geregelte Recht auf Erhalt einer Kopie beschränke, sondern auch den Auskunftsanspruch nach Art. 15 Abs. 1 DS-GVO erfasse (so Paal/Pauly/Paal, 2. Auflage 2018, DS-GVO, Art. 15 Rn. 41 – direkte Anwendung; BeckOK DatenschutR/Schmidt-Wudy, 25. Ed. Stand 01.08.2018, Art. 15 DS-GVO Rn. 97 – analoge Anwendung).

b) Jedenfalls führt auch das Vorliegen eines Geheimhaltungsgrundes nicht zwangsläufig zu dem Recht, die geforderte Auskunft zu verweigern. Das Recht auf Auskunft wird gem. § 34 Abs. 1 i.V.m. § 29 Abs. 1 Satz 2 BDSG nur eingeschränkt, „soweit“ durch die Auskunft Informationen offenbart würden, die nach einer Rechtsvorschrift oder ihrem Wesen nach, insbesondere wegen der überwiegenden berechtigten Interessen eines Dritten, geheim gehalten werden müssen. Damit ist eine dem Grundsatz der Verhältnismäßigkeit Rechnung tragende Güterabwägung zwischen dem Geheimhaltungsinteresse einerseits und dem Auskunftsinteresse andererseits geboten. Es muss in jedem Einzelfall das konkrete Interesse des Arbeitnehmers an der Auskunftserteilung ermittelt und gegen das betriebliche Interesse des Arbeitgebers an der Auskunftsversagung bzw. den berechtigten Interessen Dritter abgewogen werden. Es ist nicht von vornherein ausgeschlossen, dass durch eine Auskunftserteilung legitime Interessen des Arbeitgebers oder berechtigte Interesse anderer Mitarbeiter berührt werden. Es kann ein legitimes Interesse an der Geheimhaltung einer Informationsquelle darstellen, wenn der Arbeitgeber zum Zwecke der Aufklärung innerbetrieblichen Fehlverhaltens Hinweisgebern Anonymität zusichert. Bestimmte Arten von Regelverstößen innerhalb einer hierarchischen Struktur können effektiver durch anonyme Meldeverfahren aufgedeckt werden. Allerdings sind auch bei einem im Grundsatz - aus Gründen des Informantenschutzes - anerkennenswerten Geheimhaltungsinteresse Konstellationen denkbar, in denen das Geheimhaltungsinteresse hinter dem Auskunftsinteresse des Arbeitnehmers zurückzutreten hat. Dies kann Fälle betreffen, in welchen etwa ein Informant wider besseres Wissen oder leichtfertig dem Arbeitgeber unrichtige Informationen gegeben hat. In einem solchen Fall dürfte das Auskunftsinteresse des Betroffenen wegen eines dann erhöhten Schutzbedürfnisses ein überwiegendes Gewicht haben.

c) Im vorliegenden Fall kann die Beklagte den nach Art. 15 DS-GVO im Grundsatz bestehenden Auskunftsanspruch in Anwendung von § 34 Abs. 1 BDSG i.V.m. § 29 Abs. 1 Satz 2 BDSG jedenfalls nicht gänzlich verweigern. Nur „soweit“ schützenswerte Interessen Dritter bestehen würden und diese in der gebotenen Einzelfallabwägung gegenüber dem Auskunftsanspruch als gewichtiger einzustufen wären, wäre eine Einschränkung des Auskunftsanspruches anzunehmen. Die für diese Einzelfallabwägung maßgeblichen Tatsachen, die zur Einschränkung des Auskunftsanspruches führen könnten, sind jedoch von der Beklagten nicht vorgetragen worden. Die Beklagte verweist pauschal auf das Schutzbedürfnis von Hinweisgebern. Die Beklagte führt aus, sie sei auf den bedingungslosen Schutz der Anonymität hinweisgebender Mitarbeiter angewiesen. Ansonsten sei zu befürchten, dass Mitarbeiter künftig aus Angst vor Benachteiligung und „Repressalien“ auch bei schwerwiegendem Fehlverhalten auf entsprechende Hinweise an den Arbeitgeber verzichteten.

Diese Erwägungen sind zu allgemein gehalten, als dass damit gänzlich oder in einem bestimmten Umfang der Auskunftsanspruch des Klägers eingeschränkt werden könnte. Es bedürfte der Nennung eines konkreten Sachverhaltes, anhand dessen geprüft werden könnte, ob durch die Auskunftserteilung tatsächlich die Rechte und Freiheiten anderer Personen beschränkt werden würde. Die Einschränkung des Auskunftsanspruches wegen überwiegender schützenswerter Interesse Dritter scheitert bereits daran, dass es nach dem Vortrag der Beklagten unklar bleibt, auf welche personenbezogenen Daten des Klägers sich die behaupteten schützenswerten Interessen Dritter beziehen sollen. Soweit die Beklagte mit dem Hinweis auf schützenswerte Interessen Dritter den Auskunftsanspruch verweigert, ist sie für die maßgeblichen Umstände in der Darlegungslast. Sie wäre kraft Sachnähe in der Lage gewesen, vorzutragen, welche konkreten personenbezogen Daten nicht herausgegeben werden können, ohne dass schützenswerte Interessen Dritter tangiert werden. Zu dieser Darlegung hätten nicht schon die personenbezogenen Daten als solche preisgegeben werden müssen. Ausreichend, aber auch erforderlich wäre gewesen, darzulegen, auf welche genauen Informationen (Sachverhalt/Vorfall/Thema in zeitlicher und örtlicher Eingrenzung nebst handelnden Personen) sich das überwiegende berechtigte Interesse an einer Geheimhaltung beziehen soll. Nur dann wäre der Kammer die notwendige Einzelfallabwägung möglich gewesen. Soweit in diesem Fall die berechtigten Interessen Dritter gegenüber dem Auskunftsinteresse des Klägers überwogen hätte, wäre auch erst dann in einem zweiten Schritt eine gegenständliche Einschränkung im Tenor möglich gewesen.

Soweit die Beklagte schließlich einwendet, der Kläger mache sein Auskunftsbegehren über seinen Prozessbevollmächtigten geltend und der Kläger habe keinen Nachweis für dessen Bevollmächtigung erbracht, hat der im Berufungstermin anwesende Kläger seinen Prozessbevollmächtigten jedenfalls zu dem Zeitpunkt der Antragsstellung insoweit entsprechend legitimiert.

Den Volltext der Entscheidung finden Sie hier:

BGH setzt Verfahren gegen Facebook wegen möglicher Datenschutzverstöße durch Weitergabe von Nutzer-Daten an Online-Spiele-Anbieter bis zur EuGH-Entscheidung zum Gefällt-Mir-Button aus

BGH
Beschluss vom 11.04.2019
I ZR 186/17


Der BGH hat das Verfahren gegen Facebook wegen möglicher Datenschutzverstöße durch Weitergabe von Nutzer-Daten an Online-Spiele-Anbieter bis zur Entscheidung des EuGH zur datenschutzrechtlichen Problematik des Facebook Gefällt-Mir-Buttons ausgesetzt (siehe dazu OLG Düsseldorf legt EuGH Rechtsfragen im Zusammenhang mit Nutzung des Facebook-Gefällt-Mir-Buttons auf Unternehmenswebseiten vor ).

Die Pressemitteilung des BGH:

Bundesgerichtshof setzt Verfahren gegen Facebook wegen Verstößen gegen Datenschutzrecht bis zu einer Entscheidung des EuGH aus

Der unter anderem für Ansprüche aus dem Gesetz gegen den unlauteren Wettbewerb zuständige I. Zivilsenat des Bundesgerichtshofs hat heute ein bei ihm anhängiges Verfahren des Bundesverbands der Verbraucherzentralen und Verbraucherverbände gegen Facebook wegen Verstößen gegen Datenschutzrecht bis zur Entscheidung des Gerichtshofs der Europäischen Union in einem diesem vom Oberlandesgericht Düsseldorf vorgelegten Vorabentscheidungsverfahren ausgesetzt.

Sachverhalt:

Die in Irland ansässige Beklagte, die Facebook Ireland Limited, betreibt das soziale Netzwerk "Facebook". Auf der Internetplattform dieses Netzwerks befindet sich ein "App-Zentrum", in dem die Beklagte den Nutzern ihrer Plattform kostenlos Online-Spiele anderer Anbieter zugänglich macht. Im November 2012 wurden in diesem App-Zentrum mehrere Spiele angeboten, bei denen unter dem Button "Sofort spielen" folgende Hinweise zu lesen waren: "Durch das Anklicken von ‚Spiel spielen" oben erhält diese Anwendung: Deine allgemeinen Informationen, Deine-Mail-Adresse, Über Dich, Deine Statusmeldungen. Diese Anwendung darf in deinem Namen posten, einschließlich dein Punktestand und mehr."

Der Kläger ist der Dachverband der Verbraucherzentralen der Bundesländer. Er ist der Ansicht, die Beklagte verstoße mit dieser Präsentation der Spiele im "App-Zentrum" gegen § 13 Abs. 1 Satz 1 TMG und § 4a Abs. 1 Satz 2 BDSG aF, weil die den Nutzern erteilten Hinweise zu Umfang und Zweck der Erhebung und Verwendung ihrer Daten unzureichend seien und daher keine Grundlage für eine nach § 4a Abs. 1 Satz 1 BDSG aF wirksame Einwilligung in die Nutzung der Daten bilden könnten. Der Kläger ist ferner der Auffassung, dass es sich bei den verletzten datenschutzrechtlichen Vorschriften um Marktverhaltensregelungen im Sinne von § 3 Abs. 1, § 4 Nr. 11 UWG aF (jetzt § 3 Abs. 1, § 3a UWG) handele und ein Verstoß daher wettbewerbsrechtliche Unterlassungsansprüche nach § 8 Abs. 1 Satz 1 UWG begründe, zu deren Geltendmachung er als qualifizierte Einrichtung im Sinne von § 8 Abs. 3 Nr. 3 UWG berechtigt sei.

Bisheriger Prozessverlauf:

Das Landgericht hat die Beklagte antragsgemäß verurteilt, es zu unterlassen, auf ihrer Internetseite in einem App-Zentrum Spiele so zu präsentieren, dass Nutzer der Internetplattform mit dem Betätigen eines Buttons wie "Spiel spielen" die Erklärung abgeben, dass der Betreiber des Spiels über das von der Beklagten betriebene soziale Netzwerk Informationen über die dort hinterlegten personenbezogenen Daten erhält und ermächtigt ist, Informationen im Namen der Nutzer zu übermitteln (posten). Die Berufung der Beklagten hatte keinen Erfolg.

Entscheidung des Bundesgerichtshofs:

Der Bundesgerichtshof hat das Verfahren in entsprechender Anwendung von § 148 Abs. 1 ZPO bis zur Entscheidung des Gerichtshofs der Europäischen Union in der Rechtssache C-40/17 über das Vorabentscheidungsersuchen des Oberlandesgerichts Düsseldorf vom 19. Januar 2017 (Beschluss vom 19. Januar 2017 - I-20 U 40/16) ausgesetzt. Das Oberlandesgericht hat dem Gerichtshof der Europäischen Union in diesem Verfahren, in dem es um den "Gefällt mir"-Button von Facebook geht, die Frage zur Vorabentscheidung vorgelegt, ob die Regelungen in Art. 22 bis 24 der Richtlinie 95/46/EG zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten und zum freien Datenverkehr (Datenschutz-Richtlinie) einer nationalen Regelung entgegenstehen, die - wie § 8 Abs. 3 Nr. 3 UWG - gemeinnützigen Verbänden zur Wahrung der Interessen der Verbraucher die Befugnis einräumt, im Falle einer Verletzung von Datenschutzvorschriften gegen den Verletzer vorzugehen. Diese Frage ist auch im vorliegenden Rechtsstreit entscheidungserheblich und nicht zweifelsfrei zu beantworten. Möglicherweise lässt die Datenschutz-Richtlinie eine Verfolgung von Verstößen allein durch die Datenschutzbehörden und die Betroffenen und nicht durch Verbände zu.

Vorinstanzen:

LG Berlin - Urteil vom 28. Oktober 2014 - 16 O 60/13

Kammergericht Berlin - Urteil vom 22. September 2017 - 5 U 155/14

Die maßgeblichen Vorschriften lauten:

§ 13 Abs. 1 Satz 1 TMG

Der Diensteanbieter hat den Nutzer zu Beginn des Nutzungsvorgangs über Art, Umfang und Zwecke der Erhebung und Verwendung personenbezogener Daten sowie über die Verarbeitung seiner Daten in Staaten außerhalb des Anwendungsbereichs der Richtlinie 95/46/EG des Europäischen Parlaments und des Rates vom 24. Oktober 1995 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten und zum freien Datenverkehr (ABl. EG Nr. L 281 S. 31) in allgemein verständlicher Form zu unterrichten, sofern eine solche Unterrichtung nicht bereits erfolgt ist.

§ 4a Abs. 1 Satz 1 und 2 BDSG aF

Die Einwilligung ist nur wirksam, wenn sie auf der freien Entscheidung des Betroffenen beruht. Er ist auf den vorgesehenen Zweck der Erhebung, Verarbeitung oder Nutzung sowie, soweit nach den Umständen des Einzelfalles erforderlich oder auf Verlangen, auf die Folgen der Verweigerung der Einwilligung hinzuweisen.

§ 3 Abs. 1 UWG

Unlautere geschäftliche Handlungen sind unzulässig.

§ 3a UWG

Unlauter handelt, wer einer gesetzlichen Vorschrift zuwiderhandelt, die auch dazu bestimmt ist, im Interesse der Marktteilnehmer das Marktverhalten zu regeln, und der Verstoß geeignet ist, die Interessen von Verbrauchern, sonstigen Marktteilnehmern oder Mitbewerbern spürbar zu beeinträchtigen.

§ 8 Abs. 1 Satz 1 UWG

Wer eine nach § 3 oder § 7 unzulässige geschäftliche Handlung vornimmt, kann auf Beseitigung und bei Wiederholungsgefahr auf Unterlassung in Anspruch genommen werden.

§ 8 Abs. 3 Nr. 3 UWG

Die Ansprüche aus Absatz 1 stehen zu: qualifizierten Einrichtungen, die nachweisen, dass sie in der Liste der qualifizierten Einrichtungen nach § 4 des Unterlassungsklagengesetzes oder in dem Verzeichnis der Europäischen Kommission nach Artikel 4 Absatz 3 der Richtlinie 2009/22/EG des Europäischen Parlaments und des Rates vom 23. April 2009 über Unterlassungsklagen zum Schutz der Verbraucherinteressen (ABl. L 110 vom 1.5.2009, S. 30) eingetragen sind.

§ 148 Abs. 1 ZPO

Das Gericht kann, wenn die Entscheidung des Rechtsstreits ganz oder zum Teil von dem Bestehen oder Nichtbestehen eines Rechtsverhältnisses abhängt, das den Gegenstand eines anderen anhängigen Rechtsstreits bildet oder von einer Verwaltungsbehörde festzustellen ist, anordnen, dass die Verhandlung bis zur Erledigung des anderen Rechtsstreits oder bis zur Entscheidung der Verwaltungsbehörde auszusetzen sei.


VG Wiesbaden legt EuGH vor: Unterfällt Petitionsausschuss der DSGVO - können hessische Verwaltungsgerichte Vorlagefragen an EuGH richten

VG Wiesbaden
Beschluss vom 28.03.2019
6 K 1016/15.WI


Das VG Wiesbaden, hat dem EuGH zur Entscheidung vorgelegt, ob ein Petitionsausschuss der DSGVO unterfällt und ob hessische Verwaltungsgerichte überhaupt Vorlagefragen an den EuGH richten können.

Die Pressemitteilung des Gerichts:

Verwaltungsgericht Wiesbaden legt EuGH Fragen zu Datenschutz und richterlicher Unabhängigkeit vor

Mit Beschluss vom 28.03.2019 hat der Einzelrichter der 6. Kammer des Verwaltungsgerichts Wiesbaden dem EuGH zwei Fragen vorgelegt, die die Datenschutzgrundverordnung (DSGVO) und die Unabhängigkeit der hessischen Justiz betreffen (Az.: 6 K 1016/15.WI).

Dem Verfahren liegt eine Auskunftsklage eines Bürgers gegen den Hessischen Landtag zugrunde, mit dem er Auskunft über die über ihn beim Petitionsausschuss gespeicherten personenbezogenen Daten begehrt. Der Präsident des Landtags hatte den Antrag mit dem Argument abgelehnt, das Petitionsverfahren sei eine parlamentarische Aufgabe des Landtages, die nicht in den Anwendungsbereich des europäischen Datenschutzrechts falle (§ 30 Hessisches Datenschutz- und Informationsfreiheitsgesetz).

Das Verwaltungsgericht habe insoweit Zweifel, ob dieser Ausschluss mit der DSGVO vereinbar sei, weil der Petitionsausschuss nicht an der Gesetzgebung mitwirke, sondern als Behörde tätig sei. Die DSGVO klammere aber nur die Gesetzgebungsorgane von ihrem Anwendungsbereich aus, nicht aber die Verwaltung.

Darüber hinaus sei fraglich, ob die hessischen Verwaltungsgerichte überhaupt Vorlagefragen an den EuGH richten könnten. Die Unionsverträge verliehen ein Vorlagerecht nur an unabhängige Gerichte. Die deutsche Rechtsordnung sehe aber nur die Unabhängigkeit der Richter vor, während die Institution „Gericht“ maßgeblich vom Justizministerium, das die Personalakten führe und Personal einstelle, gesteuert werde, und das wiederum Beteiligter an Konkurrenten- und richterrechtlichen Streitigkeiten sei.



Datenschutzkonferenz: Datenschutzkonforme Facebook-Fanpage nach wie vor nicht möglich - Positionspapier zur Verantwortlichkeit und Rechenschaftspflicht bei Facebook-Fanpages

Die Konferenz der unabhängigen Datenschutzbehörden des Bundes und der Länder (DSK) hat ein Positionspapier zur Verantwortlichkeit und Rechenschaftspflicht bei Facebook-Fanpages sowie der aufsichtsbehördlichen Zuständigkeit veröffentlicht.

Nach wie vor kommen die Datenschützer zu dem Ergebnis, dass ein datenschutzkonformer Betrieb einer Facebook-Fanpage nicht möglich ist.


OLG Frankfurt: Kein Anspruch auf Einsicht in Grundbuch um Rechtmäßigkeit einer Videoüberwachung bzw Datenschutzverstoß zu prüfen

OLG Frankfurt
Beschluss vom 03.09.2018
20 W 171/18


Das OLG Frankfurt hat entschieden, dass kein Anspruch auf Einsicht in das Grundbuch besteht, um die Rechtmäßigkeit einer Videoüberwachung bzw. das Vorliegen eines Datenschutzverstoßes zu prüfen

Aus den Entscheidungsgründen:

"Nach § 12 Abs. 1 GBO ist die Einsicht des Grundbuchs jedem gestattet, der ein berechtigtes Interesse darlegt. Gleiches gilt für die Erteilung einer Auskunft aus einem Eigentümerverzeichnis, da in § 12a Abs. 1 S. 2 GBO ausdrücklich geregelt ist, dass die Voraussetzungen für die Einsicht in das Grundbuch, die in § 12 GBO geregelt sind, gegeben sein müssen. Ein solches berechtigtes Interesse im Sinne des § 12 Abs. 1 GBO liegt vor, wenn zur Überzeugung des Grundbuchamtes bzw. des an seine Stelle tretenden Beschwerdegerichts ein verständiges, durch die Sachlage gerechtfertigtes Interesse des Antragstellers dargelegt wird, das sich im Unterschied zum rechtlichen Interesse nicht auf ein bereits vorhandenes Recht oder konkretes Rechtsverhältnis stützen muss, sondern auch mit einem bloß tatsächlichen, insbesondere wirtschaftlichen Interesse begründet werden kann (vgl. BayObLG Rpfleger 1999, 216; KG NJW-RR 2004, 943; BayObLG NJW-RR 1998, 1241; OLG Düsseldorf FGPrax 1997, 90 und ZEW 2011, 44; KG NJW 2002, 223; Schöner/Stöber, Grundbuchrecht, 15. Aufl., Rn. 525; Demharter, a.a.O., § 12 Rn. 7 ff; Meikel/Böttcher, GBO, 11. Aufl., § 12 Rn. 6 jeweils m.w.N.; Grziwotz, MDR 2013, 433 ff). Dabei bezweckt § 12 Abs. 1 GBO in erster Linie nicht einen Geheimnisschutz, sondern zielt auf eine beschränkte Publizität des Grundbuches ab. Diese geht einerseits über die rein rechtliche Anknüpfung an die Vermutungs- und Gutglaubensvorschriften der §§ 891 ff BGB hinaus. Andererseits genügt jedoch nicht jedes beliebige Interesse, vielmehr muss die Verfolgung unbefugter Zwecke oder reiner Neugier ausgeschlossen werden und die Kenntnis vom Grundbuchinhalt für den Antragsteller aus sachlichen Gründen für sein künftiges Handeln erheblich erscheinen (vgl. BayObLG, Rpfleger 1998, 338 und NJW 1993, 1142; OLG Hamm, DNotZ 1986, 497, 498; KG NJW 2002, 223 und NJW-RR 2004, 1316). Bei der hierbei gebotenen Abwägung ist zu berücksichtigen, dass die in ihrem informationellen Selbstbestimmungsrecht möglicherweise beeinträchtigten Berechtigten grundsätzlich vor der Gewährung der Grundbucheinsicht nicht angehört werden (BVerfG NJW 2001, 503) und ihnen von der obergerichtlichen Rechtsprechung (BGHZ 80,126) auch kein Beschwerderecht gegen die Gewährung der Einsicht zugebilligt wird (OLG Düsseldorf ZEV 2011, 44).

Ausgehend von diesen Rechtsgrundsätzen hat der Antragsteller ein berechtigtes Interesse an der Grundbucheinsicht bzw. der Erteilung von Auskunft aus dem Eigentümerverzeichnis über die jeweils im Grundbuch eingetragenen Eigentümer der vier Grundstücke nicht dargelegt.

Die Kontrolle der Rechtmäßigkeit der Videoüberwachung öffentlich zugänglicher Bereiche und damit der Einhaltung der Anforderungen des § 4 BDSG 2018 (inhaltlich im Wesentlichen übereinstimmend mit der zum 24. Mai 2018 außer Kraft getretenen Vorgängervorschrift des § 6b BDSG a.F.) obliegt als öffentliche Aufgabe gemäß § 40 Abs. 1 BDSG dem Hessischen Datenschutzbeauftragten als nach dem Landesrecht zuständiger Behörde. Zwar ist es verständlich, dass der Antragsteller dessen Antwort mit Schreiben vom 27. November 2017, wonach eine Überprüfung der von dem Antragsteller als rechtswidrig angesehenen vier Videoüberwachungsanlagen zwar zu gegebener Zeit vorgenommen werde, jedoch zeitnah nicht erfolgen könne, als nicht zufriedenstellend ansieht. Der von dem Hessischen Datenschutzbeauftragten hierfür angegebene Umstand, dass die Vielzahl der eingehenden Beanstandungen mit den vorhandenen personellen Kapazitäten bedauerlicherweise nicht immer umgehend und zeitnah abgearbeitet werden könnten, vermag jedoch nichts daran zu ändern, dass die Überwachung der Einhaltung der Vorschriften des BDSG und die etwaige Ahndung festgestellter diesbezüglicher Gesetzesverstöße als öffentliche Aufgabe kraft Gesetzes dem Hessischen Datenschutzbeauftragten als Behörde zugewiesen ist. Die von dem hessischen Datenschutzbeauftragten mitgeteilte Überlastung kann letztlich nicht dazu führen, dass einzelne an der Einhaltung des Datenschutzes besonders interessierte Bürger die Erfüllung dieser öffentlichen Aufgabe durch Überprüfung und Ahndung etwaiger Gesetzesverstöße an sich ziehen.

Allerdings wird die Auffassung vertreten, § 4 BDSG könne als Schutzgesetz im Sinne des § 823 Abs. 2 BGB angesehen werden (vgl. Becker/Plath, DGSVO/BDGS, 3. Aufl., § 4 BDSG Rn. 31). Ausgehend hiervon wurde in der zivilrechtlichen Rechtsprechung bereits in Einzelfällen die Auffassung vertreten, einem Bürger könne ein Unterlassungsanspruch nach §§ 823, 1004 BGB gegen den Betreiber einer Videoüberwachungsanlage dann zustehen, wenn er den betroffenen öffentlich zugänglichen Raum regelmäßig nutzen müsse und wegen der besonderen Ausgestaltung des Außenbereichs nicht von dem überwachten privaten Bereich in den nicht überwachten öffentlichen Bereich ausweichen könne (so etwa AG Berlin-Mitte NJW-RR 2004, 531). Eine derartige Situation, in welcher der Antragsteller befürchten müsste, von den von ihm beanstandeten Videoüberwachungsanlagen regelmäßig und ohne Ausweichmöglichkeit erfasst zu werden und deshalb persönlich betroffen zu sein, ist im vorliegenden Fall jedoch ersichtlich nicht gegeben. Denn der im südlichen Baden-Württemberg lebende Antragsteller hat in der von ihm vorgelegten Korrespondenz selbst mitgeteilt, die von ihm fotografierten und mit hoher Wahrscheinlichkeit als rechtswidrig anzusehenden Videokameras nur anlässlich eines Wochenendbesuches in Stadt1 entdeckt zu haben. Abgesehen davon, dass es sich bei den zur Auskunft aus dem Grundbuch verlangten Grundstückseigentümern nicht zwangsläufig um die Betreiber der von dem Antragsteller beanstandeten Videoüberwachungskameras handeln muss, da diese in der Regel von den Mietern oder sonstigen Nutzern der jeweiligen Grundstücke angebracht werden, sind somit die Voraussetzungen eines zivilrechtlichen Unterlassungsanspruches nicht dargelegt und auch im Übrigen nicht ersichtlich. Vielmehr hat der Antragsteller in seinem Widerspruchsschreiben vom 30. April 2018 sich gerade nicht auf eine - nach den Umständen auch nicht ersichtliche - besondere persönliche Betroffenheit berufen, sondern vielmehr selbst darauf hingewiesen, wegen der angesichts der derzeitigen personellen Ausstattung bestehenden Überforderung des Landesdatenschutzbeauftragten als Bürger die entsprechenden Belange selbst in die Hand nehmen zu wollen.

Soweit der Antragsteller auf Ausnahmen bezüglich der Auslegung des berechtigten Interesses zu Gunsten der Presse verweist, wurde weder vom Antragsteller geltend gemacht noch ist im Übrigen ersichtlich, dass er die von ihm begehrten Auskünfte aus dem Grundbuch zum Zwecke der Wahrnehmung von Aufgaben der Presse erhalten wollte."

Den Volltext der Entscheidung finden Sie hier:




EuGH-Generalanwalt: Verbraucherschutzvereine dürfen Datenschutzverstöße abmahnen - Facebook und Webseitenbetreiber gemeinsam datenschutzrechtlich für Gefällt-Mir-Button verantwortlich

EuGH-Generalanwalt
Schlussanträge vom 19.12.2018
C‑40/17
Fashion ID GmbH & Co. KG
gegen
Verbraucherzentrale NRW e. V.,
Beteiligte:
Facebook Ireland Limited,
Landesbeauftragte für Datenschutz und Informationsfreiheit Nordrhein-Westfalen


Der EuGH-Generalanwalt kommt zu dem Ergebnis, dass Verbraucherschutzvereine Datenschutzverstöße abmahnen dürfen. Ferner kommt der EuGH-Generalanwalt zu dem Ergebnis, dass Facebook und Webseitenbetreiber gemeinsam datenschutzrechtlich für die Verarbeitung personenbezogener Daten durch Verwendung des Gefällt-Mir-Buttons verantwortlich sind, wobei die Verantwortlichkeit des Webseitenbetreibers auf Verarbeitungsvorgänge beschränkt ist, für die er tatsächlich einen Beitrag zur Entscheidung über die Mittel und Zwecke der Verarbeitung der personenbezogenen Daten leistet. Der Webseitenbetreiber muss eine Einwilligung von Nutzer einholen und ihn über die Datenverarbeitung informieren.

Die Einschätzung des EuGH-Generalanwalts ist für den EuGH nicht bindend, dürfte aber der bisherigen Linie des EuGH entsprechen.

Ergebnis:
"Im Licht der vorstehenden Ausführungen schlage ich dem Gerichtshof vor, die vom Oberlandesgericht Düsseldorf (Deutschland) gestellten Fragen wie folgt zu beantworten:

Die Richtlinie 95/46/EG des Europäischen Parlaments und des Rates vom 24. Oktober 1995 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten und zum freien Datenverkehr steht einer nationalen Regelung nicht entgegen, die gemeinnützigen Verbänden die Befugnis einräumt, zur Wahrung der Interessen der Verbraucher rechtlich gegen den mutmaßlichen Verletzer von Datenschutzrecht vorzugehen.

Eine Person, die ein von einem Dritten bereitgestelltes Plugin in ihre Webseite eingebunden hat, welches die Erhebung und Übermittlung der personenbezogenen Daten des Nutzers veranlasst, ist als ein für die Verarbeitung Verantwortlicher im Sinne von Art. 2 Buchst. d der Richtlinie 95/46 anzusehen. Die (gemeinsame) Verantwortlichkeit des betreffenden für die Verarbeitung Verantwortlichen ist jedoch auf die Verarbeitungsvorgänge beschränkt, für die er tatsächlich einen Beitrag zur Entscheidung über die Mittel und Zwecke der Verarbeitung der personenbezogenen Daten leistet.

Bei der Prüfung, ob personenbezogene Daten nach den in Art. 7 Buchst. f der Richtlinie 95/46 niedergelegten Kriterien verarbeitet werden dürfen, ist auf die berechtigten Interessen beider im Einzelfall für die Verarbeitung Verantwortlichen abzustellen, und diese Interessen sind gegen die Rechte der betroffenen Personen abzuwägen.

Die nach Art. 7 Buchst. a der Richtlinie 95/46 einzuholende Einwilligung der betroffenen Person ist gegenüber dem Webseiten-Betreiber zu erklären, der Drittinhalte in seine Webseite eingebunden hat. Art. 10 der Richtlinie 95/46 ist dahin auszulegen, dass die sich aus dieser Bestimmung ergebende Informationspflicht auch für diesen Webseiten-Betreiber gilt. Die Einwilligung der betroffenen Person nach Art. 7 Buchst. a der Richtlinie 95/46 muss eingeholt und die Informationen im Sinne von Art. 10 dieser Richtlinie müssen bereitgestellt werden, bevor die Erhebung und die Übermittlung der Daten erfolgt. Jedoch muss der Umfang dieser Verpflichtungen der gemeinsamen Verantwortlichkeit des betreffenden Webseiten-Betreibers für die Erhebung und Übermittlung der personenbezogenen Daten entsprechen."


Den vollständigen Text finden Sie hier:


VG München: Airbnb muss Stadt München Vermieterdaten herausgeben damit Verstöße gegen bayerisches Zweckentfremdungsrecht verfolgt werden können

VG München
Urteil vom 12.12.2018
M 9 K 18.4553

Das VG München hat entschieden, dass Airbnb der Stadt München Vermieterdaten herausgeben muss, damit Verstöße gegen das bayerische Zweckentfremdungsrecht verfolgt werden können.

Die Pressemitteilung des VG München:

Airbnb Ireland muss Identität von Gastgebern preisgeben

Airbnb Ireland muss Daten zu Gastgebern von vermittelten Wohnungen an die Landeshauptstadt München herausgeben. Dies hat die 9. Kammer des Bayerischen Verwaltungsgerichts München mit heute bekanntgegebenem Urteil vom 12. Dezember 2018 entschieden und damit die Klage der Airbnb Ireland UC abgewiesen (Az. M 9 K 18.4553).

Die Klägerin betreibt eine weltweite Online-Plattform zur Vermittlung von privaten Unterkünften. Hierauf inserieren Gastgeber anonym Wohnräume zum zeitweisen Aufenthalt. Nach dem bayerischen Zweckentfremdungsrecht ist eine Vermietung von privaten Wohnräumen länger als acht Wochen im Kalenderjahr für Zwecke der Fremdbeherbergung genehmigungspflichtig. Dadurch soll vermieden werden, dass Wohnraum dem Wohnungsmarkt entzogen wird. Darum hat die beklagte Landeshauptstadt München die Klägerin aufgefordert, sämtliche das Stadtgebiet betreffende Inserate, welche die zulässige Höchstvermietungsdauer überschreiten, mitzuteilen. Konkret soll die Klägerin für den Zeitraum Januar 2017 bis einschließlich Juli 2018 die Anschriften der angebotenen Wohnungen sowie die Namen und Anschriften der Gastgeber mitteilen.

Das Verwaltungsgericht hat entschieden, dass sich die Klägerin trotz ihres Firmensitzes in Irland aufgrund ihrer Tätigkeit im Bundesgebiet an nationale Vorschriften halten muss. Weder sei die Republik Irland für die Überwachung des Zweckentfremdungsrechts in München zuständig noch gelte irisches Recht. Das Auskunftsverlangen sei als Maßnahme zur Überwachung des Zweckentfremdungsrechts nach EU-Recht zulässig. Auch sei die Klägerin als Vermittlerin der Wohnungen verpflichtet mitzuwirken, indem sie der Beklagten die hierfür erforderlichen Daten zur Verfügung stellt. Weniger einschneidende Aufklärungsmöglichkeiten habe die Beklagte nicht. Das Zweckentfremdungsrecht und das darauf beruhende Auskunftsverlangen seien zudem verfassungsgemäß. Der Herausgabe der personenbezogenen Daten stünden keine datenschutzrechtlichen Bedenken entgegen. Auch die Androhung des Zwangsgeldes i.H.v. 300.000 Euro für den Fall der Zuwiderhandlung sei rechtmäßig.

Gegen das Urteil kann die Klägerin innerhalb eines Monats nach Bekanntgabe der vollständigen Entscheidungsgründe beim Bayerischen Verwaltungsgerichtshof in München die Zulassung der Berufung beantragen. Die Verpflichtung zur Herausgabe der Daten besteht ab Rechtskraft des Urteils.




LfDI Baden-Württemberg: Bußgeld von 20.000 EURO gegen knuddels.de wegen Verstoß gegen DSGVO - Speicherung der Passwörter im Klartext widerspricht Art. 32 Abs. 1 lit a DSGVO

Der Landesbeauftragte für den Datenschutz und die Informationsfreiheit Baden-Württemberg hat gegen den Betreiber des Internetportals knuddels.de ein Bußgeld in Höhe von 20.000 EURO wegen eines Verstoßes gegen die DSGVO verhängt. Die Speicherung von Passwörtern im Klartext verstößt gegen Art. 32 Abs. 1 lit a DSGVO

Die Pressemitteilung des LfDI:

Baden-Württemberg: Bußgeld über 20.000 EURO gegen knuddels.de wegen Verstoß gegen DSGVO - Speicherung der Passwörter im Klartext widerspricht Art. 32 Abs. 1 lit a DSGVO

LfDI Baden-Württemberg verhängt sein erstes Bußgeld in Deutschland nach der DS-GVO
Kooperation mit Aufsicht macht es glimpflich

Wegen eines Verstoßes gegen die nach Art. 32 DS-GVO vorgeschriebene Datensicherheit hat die Bußgeldstelle des LfDI Baden-Württemberg mit Bescheid vom 21.11.2018 gegen einen baden-württembergischen Social-Media-Anbieter eine Geldbuße von 20.000,- Euro verhängt und – in konstruktiver Zusammenarbeit mit dem Unternehmen – für umfangreiche Verbesserungen bei der Sicherheit der Nutzerdaten gesorgt.

Das Unternehmen hatte sich am 08. September 2018 mit einer Datenpannenmeldung an den LfDI gewandt, nachdem es bemerkt hatte, dass durch einen Hackerangriff im Juli 2018 personenbezogene Daten von circa 330.000 Nutzern, darunter Passwörter und E-Mail-Adressen, entwendet und Anfang September 2018 veröffentlicht worden waren. Ihre Nutzer informierte das Unternehmen nach den Vorgaben der EU-Datenschutzgrundverordnung (DS-GVO) unverzüglich und umfassend über den Hackerangriff. Gegenüber dem LfDI legte das Unternehmen in vorbildlicher Weise sowohl Datenverarbeitungs- und Unternehmensstrukturen als auch eigene Versäumnisse offen. Hierdurch wurde dem LfDI bekannt, dass das Unternehmen die Passwörter ihrer Nutzer im Klartext, mithin unverschlüsselt und unverfremdet (ungehasht), gespeichert hatte. Diese Klartextpasswörter nutzte das Unternehmen beim Einsatz eines sog. „Passwortfilters“ zur Verhinderung der Übermittlung von Nutzerpasswörtern an unberechtigte Dritte mit dem Ziel, die Nutzer besser zu schützen.

Das Unternehmen setzte innerhalb weniger Wochen weitreichende Maßnahmen zur Verbesserung ihrer IT-Sicherheitsarchitektur um und brachte damit die Sicherung ihrer Nutzerdaten auf den aktuellen Stand der Technik. Zudem wird das Unternehmen innerhalb der nächsten Wochen in Abstimmung mit dem LfDI zusätzliche Maßnahmen zur weiteren Verbesserung der Datensicherheit durchführen.

Durch die Speicherung der Passwörter im Klartext verstieß das Unternehmen wissentlich gegen seine Pflicht zur Gewährleistung der Datensicherheit bei der Verarbeitung personenbezogener Daten gem. Art. 32 Abs. 1 lit a DS-GVO.

Innerhalb des Bußgeldrahmens gemäß Art. 83 Abs. 4 DS-GVO sprach die sehr gute Kooperation mit dem LfDI in besonderem Maße zu Gunsten des Unternehmens. Die Transparenz des Unternehmens war ebenso beispielhaft wie die Bereitschaft, die Vorgaben und Empfehlungen des Landesbeauftragten für den Datenschutz und die Informationsfreiheit, Dr. Stefan Brink, umzusetzen. Auf diese Weise konnte in sehr kurzer Zeit die Sicherheit der Nutzerdaten des Social-Media-Dienstes deutlich verbessert werden. In Abstimmung mit dem LfDI wird die Sicherung der Nutzerdaten in den kommenden Wochen noch weiter ausgebaut. Bei der Bemessung der Geldbuße wurde neben weiteren Umständen die finanzielle Gesamtbelastung für das Unternehmen berücksichtigt. Bußgelder sollen nach der DS-GVO nicht nur wirksam und abschreckend, sondern auch verhältnismäßig sein. Unter Einbeziehung der aufgewendeten und avisierten Maßnahmen für IT-Sicherheit hat das Unternehmen einschließlich der Geldbuße infolge des Verstoßes einen Gesamtbetrag im sechsstelligen Euro-Bereich zu tragen.

„Wer aus Schaden lernt und transparent an der Verbesserung des Datenschutzes mitwirkt, kann auch als Unternehmen aus einem Hackerangriff gestärkt hervorgehen“, betonte Dr. Brink abschließend. „Als Bußgeldbehörde kommt es dem LfDI nicht darauf an, in einen Wettbewerb um möglichst hohe Bußgelder einzutreten. Am Ende zählt die Verbesserung von Datenschutz und Datensicherheit für die betroffenen Nutzer.“

OLG Nürnberg: DSGVO gilt nicht für personenbezogene Daten Verstorbener - Datenschutzgrundverordnung

OLG Nürnberg
Beschluss vom 09.10.2018
11 W 717/18

Das OLG Nürnberg hat bestätigt, dass die Normen der DSGVO nicht für personenbezogene Daten Verstorbener gelten.

Aus den Entscheidungsgründen:

"Benutzungsbeschränkungen können sich nur aus dem PStG selbst oder aus anderen Gesetzen ergeben, die dem Schutz von Adoptierten (§ 1758 Abs. 1 BGB, § 63 Abs. 1 PStG), Transsexuellen (§ 5 Abs. 1 TSG, § 63 Abs. 2 PStG) oder sonst gefährdeten Personen dienen (§ 64 PStG). Derartige gesetzliche Vorschriften sind jedoch nicht ersichtlich. Die Verordnung (EU) 2016/679 des Europäischen Parlaments und des Rates vom 27. April 2016 (Datenschutz-Grundverordnung) ist auf den Fall nicht anwendbar, da sie nach ihrem Erwägungsgrund 27 nicht die personenbezogenen Daten Verstorbener betrifft."

Den Volltext der Entscheidung finden Sie hier:


Datenschutzkonferenz: Betrieb einer Facebook-Fanpage wie sie derzeit von Facebook angeboten wird ohne Vereinbarung nach Art. 26 DSGVO rechtswidrig

Die Konferenz der unabhängigen Datenschutzaufsichtsbehörden des Bundes und der Länder (DSK) hat wenig überraschend in einem Beschluss vom 05.09.2018 die Ansicht geäußert, dass der Betrieb einer Facebook-Fanpage, wie sie derzeit von Facebook angeboten wird, ohne Vereinbarung nach Art. 26 DSGVO rechtswidrig ist.

Siehe auch zum Thema: EuGH: Betreiber einer Facebook-Seite / Facebook-Fanpage gemeinsam mit Facebook für Verarbeitung der personenbezogenen Daten der Besucher verantwortlich

Aus dem Beschluss:

Auch Fanpage-Betreiberinnen und Betreiber müssen sich ihrer datenschutzrechtlichen Verantwortung stellen. Ohne Vereinbarung nach Art. 26 DSGVO ist der Betrieb einer Fanpage, wie sie derzeit von Facebook angeboten wird, rechtswidrig. Daher fordert die DSK, dass nun die Anforderungen des Datenschutzrechts beim Betrieb von Fanpages erfüllt werden. Dazu gehört insbesondere, dass die gemeinsam Verantwortlichen Klarheit über die derzeitige Sachlage schaffen und die erforderlichen Informationen den betroffenen Personen (= Besucherinnen und Besucher der Fanpage) bereitstellen.

Eine gemeinsame Verantwortlichkeit bedeutet allerdings auch, dass FanpageBetreiberinnen und Betreiber (unabhängig davon, ob es sich um öffentliche oder nicht-öffentliche Verantwortliche handelt) die Rechtmäßigkeit der gemeinsam zu verantwortenden Datenverarbeitung gewährleisten und dies nachweisen können. Zudem können Betroffene ihre Rechte aus der DSGVO bei und gegenüber jedem Verantwortlichen geltend machen (Art. 26 Abs. 3 DSGVO). Insbesondere die im Anhang aufgeführten Fragen müssen deshalb sowohl von Facebook als auch und von Fanpage-Betreiberinnen und Betreibern beantwortet werden können



Den vollständigen Beschluss finden Sie hier:




BMI: Anpassung Datenschutzrecht DSGVO - Entwurf Zweites Datenschutz-Anpassungs- und Umsetzungsgesetz EU – 2. DSAnpUGEU

Das BMI hat denEntwurf eines Zweiten Gesetzes zur Anpassung des Datenschutzrechts an die Verordnung (EU) 2016/679 und zur Umsetzung der Richtlinie (EU) 2016/680 (Zweites Datenschutz-Anpassungs- und Umsetzungsgesetz EU – 2. DSAnpUGEU)
zur weiteren Anpassung der datenschutzrechtlichen Vorschriften an die DSGVO vorgelegt.